论文部分内容阅读
随着计算机网络技术的蓬勃发展,网络信息系统存在的多种安全缺陷不断被暴露出来,网络安全问题日趋严重。由国际互联网工程任务组中路由领域的ForCES工作组提出的“转发件和控制件分离(Forwarding and Control Elements Separation,ForCES)”是基于开放可编程思想的新一代网络件(网络件主要指路由器、交换机等)体系结构。它能较好的解决网络中的安全问题,目前已经成为下一代互联网络的一个重要研究方向。本文主要研究基于ForCES架构的安全网关的若干关键技术,包括:(1)ForCES架构安全网关的模型研究;(2)ForCES架构安全网关中相关逻辑功能块(Logical Function Block,LFB)建模;(3)基于网络处理器的LFB实现的关键技术研究,并提出了具体解决方案;(4)数据的加解密硬件实现机制研究。在对以上关键技术研究的基础上,本文主要做了以下几方面的工作。1、设计了一种可适用于防火墙及VPN中的安全策略LFB模型;设计了一种状态包检测(Stateful Packet Inspection,SPI)LFB模型;设计了一种身份认证LFB模型;在对各种加解密技术进行研究的基础上,设计了一种加解密LFB的模型;2、提出了一种基于散列技术的SPI规则快速匹配算法,并基于此算法在NP上实现了状态包检测LFB;3、对NP编程过程中存在的多引擎多线程下串行数据流问题作了深入研究,提出并实现了一种有效解决并发数据存取的方案;4、在安全策略匹配算法的基础上实现了安全策略LFB;5、在对NP并行编程技术深入研究基础上,在IXP2850上实现了一种基于流水线技术的加解密LFB。6、对IPSec VPN的数据包处理流程进行了定量分析,得出了IPSecVPN系统的具体性能指标,对IPSec VPN系统的性能测试验证了提出的性能指标,并提出一些改进的方案。最后,对本文所实现的基于NP的ForCES架构安全网关的原型机进行了测试,结果表明本文提出的基于ForCES架构安全网关的模型是正确的,同时也验证了本文所设计的安全网关相关LFB的可用性,为ForCES的应用提供了重要的技术参数。