高性能主動(dòng)安全模型研究及其原型系統(tǒng)實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,硬件帶寬不斷地增加,界面友好的多媒體應(yīng)用日益豐富,互聯(lián)網(wǎng)逐步走進(jìn)了我們的日常生活.然而,計(jì)算能力的增長(zhǎng)遠(yuǎn)落后于帶寬的增長(zhǎng)速度,許多網(wǎng)絡(luò)中的處理節(jié)點(diǎn)的軟件本身也因?yàn)橛布奶幚砟芰Σ粩嗵岣叨晃覀兒鲆?這就更加劇了網(wǎng)絡(luò)服務(wù)的性能瓶頸問題.HTTP代理防火墻作為網(wǎng)絡(luò)安全保護(hù)的基石之一,在大規(guī)模ISP和企業(yè)網(wǎng)絡(luò)中獲得了廣泛應(yīng)用,囿于傳統(tǒng)的代理模型限制,往往需要高昂的硬件投資換取相對(duì)的高性能.TCP/IP協(xié)議的設(shè)計(jì)初衷情以

2、共享和開放為宗旨,對(duì)于協(xié)議本身的安全性問題考慮不足,這種具有先天安全隱患的網(wǎng)絡(luò)協(xié)議被簡(jiǎn)單地移植到企業(yè)和政府網(wǎng)絡(luò)中使用,網(wǎng)絡(luò)用戶對(duì)象的改變和網(wǎng)絡(luò)信息內(nèi)容對(duì)安全性的需求的改變使安全問題成為企業(yè)和政府信息化過程中的首要問題.傳統(tǒng)安全模型下的安全機(jī)制只能提供孤立、靜態(tài)的安全保護(hù),但互聯(lián)網(wǎng)環(huán)境的動(dòng)態(tài)特性使得該模型對(duì)安全事件無法及時(shí)地做出響應(yīng),這樣的系統(tǒng)在面臨安全事件進(jìn)往往處于非常被動(dòng)的局面.該論文以金知公司資助的"寬帶環(huán)境下的高性能防火墻關(guān)鍵技術(shù)

3、"項(xiàng)目中的高性能應(yīng)用層代理服務(wù)和主動(dòng)性防御子課題為背景,從理論角度在第二章和第三章分別對(duì)高性能主動(dòng)安全模型從主動(dòng)安全模型和高性能代理模型進(jìn)行了研究:(1)首先對(duì)傳統(tǒng)安全模型的發(fā)展和不足進(jìn)行分析,然后對(duì)主動(dòng)安全模型P2DR的體系結(jié)構(gòu)、數(shù)學(xué)基礎(chǔ)和關(guān)鍵技術(shù)進(jìn)行了研究,對(duì)P2DR模型的集成機(jī)制——CIDF框架下的互操作的標(biāo)準(zhǔn)和IDWG工作組草案進(jìn)行分析、比較和評(píng)價(jià);(2)分析了HTTP協(xié)議規(guī)范,研究了HTTP/1.0和HTTP/1.1的不同傳輸

4、機(jī)制;對(duì)傳統(tǒng)HTTP代理模型和基于TCP Splicing模型進(jìn)行了分析,得出TCP Splicing模型下可以充分利用HTTP/1.1的傳輸機(jī)制優(yōu)化HTTP代理性能.在實(shí)踐方面,論文大量使用了Linux的Netfilter框架提供的報(bào)文截獲機(jī)制,該文在第四章對(duì)Linux2.4.18內(nèi)核包過濾系統(tǒng)--Netfilter框架實(shí)現(xiàn)和基于Netfilter框架的內(nèi)核模塊擴(kuò)展進(jìn)行了研究和實(shí)踐;第五章基于第三章HTTP代理模型的研究,設(shè)計(jì)并實(shí)現(xiàn)了