论文部分内容阅读
Internet是开放性的,存在着严重的网络信息安全问题。为了保证网络信息安全,研究制定了多种解决方法,其中大部分都是基于PKI认证体系的。但是PKI本身存在缺陷,在一定程度上限制了其应用。基于标识的CPK(组合公钥)认证技术不需要多层密钥管理中心,技术上解决了密钥的大规模管理与存储,具有广阔的应用前景。
在基于CPK认证技术的网络通信中,参与者可以根据离线公钥矩阵和用户标识计算出通信对方的公钥。假设在往外发送IP数据包时,采用 NDIS(Network Driver Interface Specification,网络驱动接口标准)中间层驱动把数据包拦截,并往数据包中添加签名信息;当签名数据包被接收方接收,对数据包拦截并进行签名信息的认证,通过认证的数据包被传递给上层应用程序,从而达到可信通信的目的。因此,在Windows平台上研究实现基于CPK认证技术的可信IP包过滤系统是可行的并且具有理论意义和重要的实用价值。
本文主要的研究工作包括:
1)实现了基于CPK认证技术的IP数据包的签名与认证,签名者的用户信息和CPK签名后的签名信息被添加到IP包中。
2)提出并优化规则匹配算法,过滤规则被转化为二进制序列的形式保存在内核规则表中,占据内存空间较小并且运行效率较高。
3)提出了基于CPK认证技术的IP包过滤体系结构,在此基础上,设计了系统组件间的交互协议和数据队列缓冲区方案。
4)对系统的执行效率进行了优化,基本实现了系统的稳定与负载均衡。