论文部分内容阅读
P~2DR~2模型是一种基于时间、闭环控制和主动防御的动态安全模型。其实现需要依赖各种网络信息安全技术。本文以提高网络信息安全体系中若干关键技术的性能为研究目标,结合地区级门户网站的实际应用,具体研究了以下四个方面的内容:网络入侵检测系统Snort性能的优化;旨在节省存储空间的文件备份系统;基于RSA的广播加密系统;基于身份的群密钥分发。本文的主要工作如下:1.针对Snort系统工作流程是单线程这一特征,用处理模块间设置缓冲队列,各个协议解码器和链表节点设置忙闲标识等方法实现了对其的多线程改造。改造后的系统在检测速度和漏检率等性能方面有所提高,但也增加了CPU的工作量和内存的使用量。2.根据网络数据包在一段时间内会具有一定的共性的特点,设计了一个动态调整Snort规则链表的方案,该方案使得短时间内具有相同特征的数据包得到迅速匹配,提高了系统的检测速度。3.设计了一个基于协议流分析的预处理器插件,通过过滤相对安全的数据包来减少需要检测的数据流量,提高Snort系统的检测效率。4.设计了一种基于Snort系统的局域网P2P流量识别系统,该系统综合使用端口识别和特征匹配两种方法来提高检测的效率。5.提出了一种基于网络编码的文件备份方案,其核心是对多个备份文件进行网络编码操作,生成编码备份文件后存储于备份服务器中。分析表明该方案较传统备份方案大幅节省了存储空间,提高了备份文件的安全保密性,但文件的可恢复性微降并增加了系统的复杂度。6.提出了一种基于索引的文件备份方案,其核心是用二维链表形式对备份文件建立索引,并对相同的文件只存储一个副本,从而消除重复文件的冗余,达到节省存储空间的目的。分析表明该方案较传统方法节省了存储空间,但备份过程中的系统负载和时间消耗有所增加。7.通过采用不同模余下的授权用户成员的群密钥分发策略,构造了一个新的基于RSA加密方案的广播加密方案,可以有效地实现无需密钥更新的新成员的动态加入。该方案减少了方案中通信传输带宽与用户的密钥存储量(仅需一个群元素),加解密的计算代价与RSA加密方案相当。证明了该方案在任意用户合谋攻击下的安全性。8.基于大整数分解困难问题提出了一个基于身份的群密钥分发方案。应用系统主密钥计算各用户在不同模余下所对应的个人解密密钥,简化了系统的密钥管理。密钥分发中心只需广播传输较少的常量的控制报头信息(仅二个群元素),合法授权用户就可由加密广播信息恢复会话密钥。实现了完全抗合谋攻击的安全性及用户的动态加入。