学位论文 > 优秀研究生学位论文题录展示
基于Linux的数据转发平台的研究与应用
作 者: 屈浩然
导 师: 谷建华
学 校: 西北工业大学
专 业: 计算机应用技术
关键词: 网络信息安全 安全网关 IPSec协议 Linux内核
分类号: TP316.81
类 型: 硕士论文
年 份: 2003年
下 载: 169次
引 用: 2次
阅 读: 论文下载
内容摘要
随着计算机网络的发展,信息的安全保护面临着单机系统时代没有的新问题。如何保护网络的安全成为了人们关注的焦点。连接局域网和Internet的安全网关作为一种典型网络安全设备能有效的对抗网络环境下,信息系统面临的两种主要的威胁——通信安全和主动攻击。但是由于安全网关在网络通信中所在的逻辑位冒,决定了它本身将是整个通信过程中转发效率方面的一个潜在瓶颈。如何提高安全网关的效率问题,一直是安全网关研究的一个重点。 本文针对安全网络转发效率低下这一问题,在详细分析自由软件Linux内核的基础上,提出了一种新的在安全网关中用到的数据转发平台方案。这种转发平台的主要思想是通过对接收到的不同类型数据包指定不同的优先级,并且针对这些不同优先级的数据包,构建不同优先级的内核转发线程,通过内核线程基于优先级的调度,高优先级的内核线程占有处理器执行转发任务,最终将高优先级的数据包尽可能快的转发出去。 本文研究的主要内容包括以下几个方面: 1.对Linux内核2.4.0版本的网络协议栈部分进行了深入的分析。论述了网络协议栈的工作机制,针对RTL8139这种流行的以太网卡,阐述了Linux下网络接口设备的工作原理,指出了标准Linux内核协议栈与本文要构建的数据转发平台的差异。 2.提出了一种将协议栈数据转发功能用Linux内核线程实现的方案,在这种方案中,借用多进程操作系统中各个进程基于优先级抢占处理器的思想,来实现基于网络数据包优先级进行转发的目标。为了实现这种方案,首先对Linux内核2.4.0版本的进程管理部分进行了详尽的分析,阐述了Linux内核进程调度机制中,有关调度时机、调度策略、调度方式等关键部分的实现原理,指出标准Linux内核进程调度和目标平台中对内核线程调度机制之间的差异,并给出了解决办法,最终给出了目标平台的实现细节。 3.基于Linux系统,提出了解决网络安全问题的安全设施体系结构,阐述了网络安全设施中主要采用的相关技术,如隧道技术,加密技术,认证技术等。重点研究了安全协议集IPSec的功能模块,使用原理等问题,将IPSec协议中核心的功能模块和作者构建的数据转发平台有机的集成在一起,搭建了一个具有基本安全功能的安全网关。本文构建的安全网关还只是个原型,将其进一步完善是后续工作的重点。
|
全文目录
摘要 3-4 Abstract 4-6 目录 6-8 第一章 绪论 8-11 1.1 研究背景 8-9 1.2 论文研究内容 9 1.3 论文结构 9-11 第二章 网络安全技术 11-21 2.1 概述 11 2.2 主动攻击 11-12 2.2.1 问题描述 11 2.2.2 防火墙技术 11-12 2.3 通讯安全 12-13 2.3.1 问题描述 12 2.3.2 VPN技术 12-13 2.4 安全网关的体系结构 13-14 2.5 相关技术 14-16 2.5.1 隧道技术 14-15 2.5.2 加密技术 15 2.5.3 认证和数字签名 15-16 2.6 IPSec概述 16-21 2.6.1 IPSec组成 16-18 2.6.2 安全联盟 18 2.6.3 ESP和AH的使用 18-19 2.6.4 IPSec操作模式 19 2.6.5 安全联盟的构建 19 2.6.6 IPSec实施位置 19-21 第三章 平台设计与实现 21-48 3.1 转发平台设计目标 21-24 3.1.1 转发平台在网络中的位置 21-22 3.1.2 硬件平台 22 3.1.3 数据包的优先级定义 22-23 3.1.4 目标平台的设计思想 23-24 3.2 Linux网络协议栈分析 24-34 3.2.1 Linux网络设备概述 24-26 3.2.2 协议栈中重要的数据结构 26-29 3.2.3 RTL8139网卡发送接收 29-31 3.2.4 网络设备的中断处理 31-33 3.2.5 协议栈功能与目标平台的差异 33-34 3.3 Linux进程管理分析 34-38 3.3.1 进程控制块task_struct{} 34-36 3.3.2 内核线程 36 3.3.3 进程调度 36-38 3.4 转发平台设计与实现 38-47 3.4.1 平台总体设计 38-40 3.4.2 平台的模块划分与数据流程 40-43 3.4.3 平台实现 43-47 3.5 本章小节 47-48 第四章 基于转发平台的安全网关实现 48-63 4.1 概述 48 4.2 系统方案 48-51 4.2.1 总体思想 48-49 4.2.2 功能模块划分与相互关系 49-50 4.2.3 处理流程概述 50-51 4.3 功能模块实现 51-58 4.3.1 安全策略库(SPD)的实现 51-54 4.3.2 安全关联库(SAD)的实现 54-55 4.3.3 AH模块 55-56 4.3.4 ESP模块 56-57 4.3.5 加密认证算法 57 4.3.6 日志、统计、配制 57-58 4.4 策略缓存机制 58-60 4.4.1 策略缓存的结构 58-59 4.4.2 策略缓存的初始化 59 4.4.3 策略缓存的更新 59-60 4.5 处理过程描述 60-62 4.5.1 初始化IPSec 60 4.5.2 IP包预处理 60 4.5.3 安全策略处理 60 4.5.4 IP包分片组装处理 60-61 4.5.5 IPSec进入处理 61 4.5.6 发送处理 61 4.5.7 IPSec外出处理 61-62 4.6 本章小结 62-63 第五章 总结与展望 63-64 致谢 64-65 参考文献 65-66
|
相似论文
- 基于HTTP代理的安全网关的分析和研究,TP393.08
- 在线招投标系统信息安全的设计与实现,TP393.08
- 移动AdHoc网网的入侵检检:基于时时有限状状自动机方法,TN929.5
- ARM平台上实现Linux内核虚拟机技术研究,TP316.81
- 数字家庭媒体系统设计与实现,TP311.52
- NAT网关port triggering功能设计与实现,TP393.08
- 网络信息安全的法律问题研究,D922.17
- 基于Linux的实时嵌入式操作系统内核的改进研究,TP316.2
- 基于TCAM的报文分类算法研究,TP393.08
- 一体化安全网关防火墙报文过滤技术研究与实现,TP393.08
- TCP协议结束控制流状态转换的研究,TP393.04
- 面向SAN和NAS融合的安全方案研究,TP393.08
- 基于零拷贝的数据包捕获与过滤系统的设计与实现,TP393.08
- 基于可重构密码处理的IPSec VPN网关研究与设计,TP393.05
- 基于可信计算的内网信息安全研究,TP393.08
- IPSec穿越NAT的研究与设计,TP393.04
- 基于嵌入式Linux的系统构建及桌面应用程序研究,TP316.81
- 基于ARM的嵌入式linux移植技术,TP316.81
- 广播电台媒体资料库系统的设计与建设,TP311.52
- 基于Linux内核的块级连续数据保护系统设计与实现,TP309
- 基于XSBase255的嵌入式系统软件设计与研究,TP368.1
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 操作系统 > 网络操作系统 > UNIX操作系统
© 2012 www.xueweilunwen.com
|