郭大春[1]2004年在《基于嵌入式Linux安全网关的研究与实现》文中提出随着Internet的飞速发展,网上丰富的资源对人们产生着巨大的吸引力,Internet已经成为获取信息的重要手段之一,这就使得接入访问Internet成为当今信息业最为迫切的需求,同时伴随而来的网络安全问题也越来越受到人们的重视。 基于嵌入式Linux系统的热点研究领域,结合防火墙及虚拟专用网的安全理论,本文提出一种嵌入式安全网关的解决方案。该方案具有NAT技术,能满足人们接入Internet的迫切要求,同时具有包过滤防火墙及虚拟专用网功能,能解决一定的安全问题。 本文包括两个方面: 一方面是对Linux2.4以上内核所具有的netfilter原理及iptables工作原理进行了深入分析研究,通过基于netfilter中的iptables,对包过滤以及网络地址转换进行了设计和实现;采用了一种在Linux网络协议栈插入IPSec处理模块的方式,设计和实现了ESP隧道模式下的企业内部虚拟专用网。将这几个功能共同应用于企业的安全网关中,这不仅保护了企业的内部网络,而且保证了企业信息的安全传输。 另一方面是设计本系统安全网关的应用平台,采用Linux2.4.22内核,通过裁剪Linux内核和设计文件系统,实现一个嵌入式Linux系统,在此系统上实现包过滤、网络地址转换和虚拟专用网功能,最终构建成一个嵌入式网关,满足内部网络用户共享一个有效IP同时访问Internet的需求以及提供一定的安全保障。
杨淼[2]2007年在《嵌入式小型安全网关的研究与实现》文中指出Linux源代码的公开性以及它的方便可用性大大推动了基于嵌入式Linux操作系统平台的安全技术研究及其相关安全产品开发。本文主要研究基于嵌入式Linux操作系统平台的防火墙技术开发和分布式拒绝服务攻击防御技术,描述了一个集合基本包过滤、状态检测、网络地址转换、日志、拒绝服务攻击防御等功能为一体,支持多种因特网接入方式、支持非武装区接口的嵌入式小型安全网关的设计与实现。文章首先对嵌入式技术进行阐述,重点讨论如何定制嵌入式Linux操作系统。继而深入研究了Linux内核中的Netfilter框架,提炼出重要数据结构、数据处理流程,掌握Linux防火墙内核框架的实现机制,以此为基础在应用Linux内核原有的包过滤机制时加入状态检测模块,充分利用连接的相关状态信息,构建出了基于状态检测的动态包过滤,又以状态检测机制为基础实现了源地址NAT和目的地址NAT等防火墙功能。分析目前主流防火墙采用的两种技术:基本包过滤和状态检测。前者虽然速度较快,但存在着安全漏洞;而后者虽然安全性高,但受物理内存大小限制,可能无法满足用户量大的情况。课题中实现的动态包过滤技术将二者的优势有效地结合起来,能够提取更多的信息,在一定程度上简化了安全规则,避免了安全漏洞,具有较快的处理速度。同时,文章剖析了防火墙在抵御拒绝服务攻击方面的不足,设计出一种能抵御常见攻击的防御系统。分析并改进了抵御SYN洪泛攻击算法,增强了网关抵御SYN洪泛攻击的能力。文中针对防火墙脚本进行了效率和安全性问题的分析,并给出实际的测试过程和问题解决办法。测试证明过滤规则集满足高安全性和灵活性的要求,实现了既定安全策略。
章晓明[3]2006年在《VPN-防火墙联合设计与嵌入式安全网关开发》文中认为本文通过研究Linux 2.6.10内核IPsec框架与跟踪IPsec v2最新标准RFC4301,讨论了IPsec v2框架下VPN与防火墙的联合设计,同时研究了32位嵌入式系统开发和Linux内核移植,最后实现了基于华恒公司HHPPC8245开发板的嵌入式安全网关原型系统。本文的具体研究和实现工作包括以下几个方面:分析了RFC4301中IPsec框架对包过滤功能的支持,研究了VPN-防火墙的一体化设计方法;对Linux 2.6.10内核IPsec处理逻辑进行更为细致深入的分析,包括IP数据包的收发、IPsec安全策略的管理和实施、IPsec与应用层的接口等,改进内核中IPsec处理逻辑,添加包过滤功能和相关应用层的接口;设计安全策略管理控制平台和基于Netlink机制的消息通信处理模块,Netlink消息格式通过分析内核IPsec模块的消息处理流程反向解析得到;详细研究了32位嵌入式系统的开发和华恒公司HHPPC8245开发板的体系结构,修改了Linux 2.6.10硬件平台和驱动程序相关代码,通过自行构建的交叉编译环境,将Linux 2.6.10移植到目标板;在目标板上实现了一个嵌入式VPN-防火墙安全网关原型系统,对该原型系统进行了功能、性能测试,并对测试数据进行了分析。本文的研究工作是江苏省自然科学基金项目“基于PKI、ECC的高强度VPN安全网关技术与核心系统的研究”(编号BK2004039)的延续和扩展。
陈蓓[4]2003年在《基于嵌入式Linux安全网关的实现》文中研究说明随着Internet的发展,人们对互联网络连接要求越来越普遍。当前许多用户已经拥有了一个或多个自己的局域网,如何快速、稳定、安全的让整个局域网接入Internet,这是一个对于电信数据接入部门、用户都广泛关注的话题。这一需求即是本文作者设计实现嵌入式安全网关的初衷。 本文从介绍嵌入式系统入手,简述了嵌入式系统的种类及其广泛的应用,硬件平台和开发工具,以及嵌入式Linux系统的特点及优越性;并进一步说明了本文所述安全网关选择嵌入式Linux系统的原因;接着本文对安全网关进行了需求分析,描述了安全网关的叁个主要需求,即接入需求,安全需求和内网管理需求,并根据需求分析阐述了两个技术要点的详细原理,即包过滤防火墙原理和NAT原理。在系统实现部分,本文列出了系统框图及逻辑框图,介绍了构建系统内核及文件系统的方法,对网络部分的代码和数据包过滤部分的代码都进行了详细的分析,并对图形化界面的实现进行了描述,给出了图形化界面的实例应用;最后对所实现的安全网关的性能作出了分析,包括对测试设备和相关标准的介绍,测试的环境与方法,给出了测试结果。 本文得到了如下一些结果: (1) 提出了一个切实可行安全网关的系统分析设计方案; (2) 对嵌入式HTTP服务器进行了探索和实现,完成了图形化的控制管理接口; (3) 对包过滤防火墙原理的分析及代码的实现,解决了网络传输中一定的安全问题; (4) 构建了基于嵌入式Linux安全网关的内核及文件系统; (5) 对软件系统进行了整合,使用了模块化设计思想,增强了软件系统的可移植性。
宋维嘉[5]2008年在《基于嵌入式Linux的铁路专用安全网关关键技术的研究与实现》文中研究说明随着计算机网络技术的不断发展,计算机网络已经深入的应用于我们的生活和工作的各个方面。随着网络应用范围的扩张,网络安全也逐渐成为关系到人民群众生产生活的重大问题。目前我国许多计算机网络应用领域都缺少有效的低成本网络安全防护手段,铁路信号网络中的车站网络就是其中之一。铁路信号系统车站网络属于铁路生产网,对网络安全产品的可靠性有较高要求。现有通用型网络安全产品大多无法满足铁路信号系统车站网络的特殊架构与成本限制的需求。在上述背景下,提出了针对铁路信号系统车站网络的网络安全防护研究课题。对铁路信号系统车站网络的信息传输机制进行了深入研究,提出了一套符合铁路信号系统车站网络特点和安全需求的网络安全隔离解决方案,并研究开发了相应的网络安全隔离设备。本论文主要研究了应用于铁路信号网络中车站网安全网关的安全架构设计、具体软硬件实现,以及对安全设备的软硬件优化。论文首先综合分析了当前被普遍采用的几种网络安全技术,然后提出了一套针对铁路信号系统车站网络的嵌入式系统安全设备的解决方案。接着介绍了该安全设备的具体硬件平台设计,并针对硬件平台构建了以嵌入式Linux操作系统为核心的软件平台。在软硬件平台基础上,提出无TCP/IP协议栈的网络数据包捕获和网络数据包过滤的实现方法及其优化。最后提出了安全设备远程管理的方法,以及远程管理中的安全设备主机间通信方式设计及实现。目前该设备已经初步完成了软硬件开发和测试工作。
俞力[6]2003年在《基于Motorola PowerPC和嵌入式Linux的VPN网关设计》文中研究说明随着对Internet通信安全性需求的日益增加,VPN安全网关广泛应用于企事业单位。高安全性、可靠性和高的性价比,是提高VPN网关竞争力的有力手段。本文首先介绍VPN的基本概念,然后提出了基于摩托罗拉MPC855T硬件平台和嵌入式Linux操作系统的VPN网关的设计方案,并重点介绍了硬件平台的设计和嵌入式Linux操作系统的构建方法,简述了硬件加密模块的实现方法,最后给出了该VPN安全网关的一个具体应用。
高松[7]2006年在《基于NP的无线局域网嵌入式VPN安全网关研究》文中进行了进一步梳理目前,无线局域网的应用已经越来越广泛。但是,广泛应用的802.11无线产品,主要使用WEP协议来确保无线局域网中的数据传输的安全性,但WEP协议存在着严重的安全隐患,致使WEP无法满足人们日益增长的安全需求。为解决WLAN的安全问题,IEEE提出了改进的安全协议IEEE802.11i。 但是,802.11、802.11i等协议在安全性方面仍存在缺陷,而目前有两种改进WLAN安全性的方案——WAPI国家安全标准和基于有线网络的IPSec VPN技术。WAPI是我国提出的WLAN安全标准,但是实施进程不太顺利。IPSec VPN作为基于有线网络的网络层安全协议,能够提高机密性、完整性、真实性等安全服务,可以有效弥补WLAN存在的安全问题。因此,我们将IPSec VPN安全技术引入无线网络,研究和开发适用于WLAN的信息安全产品(比如网关产品),可以进一步在网络层增强WLAN的安全性,保证无线数据传输的安全性。 本文在安全性方面对这四种安全协议进行比较分析,在此基础上将基于有线网络的IPSec VPN安全协议应用于无线网络来增强其安全性。我们设计了一种基于x86的嵌入式VPN网关IVW-2005,经过测试该方案可以满足当前无线局域网的需求。但是,随着WLAN向下一代具有百兆传输速率的WLAN发展,IVW-2005已经不能满足传输速率的要求。因此,我们提出了一种WLAN嵌入式VPN安全网关改进方案WG-2006。本文主要研究工作如下: (1)WEP、802.11i、WAPI等无线安全协议的研究 详细分析了WEP协议的安全隐患,并对WPA、802.11i、WAPI等改进安全协议从认证、加密等方面进行了较为深入的研究。 (2)IPec协议的研究 给出了IPSec体系结构,从加密机制、密钥管理等方面对IPSec协议进行了分析和研究,并对WEP、802.11i、WAPI以及IPSec VPN在安全性方面进行了详细比对分析。 (3)IPSec VPN网关研究 综合比较了四种IPSec VPN网关的应用案例,并简要我们设计的WLAN嵌入式IPSec VPN安全网关方案IVW-2005,然后在此基础上提出了一种改进方案WG-2006,并给出该网关的详细设计方案。
孙延鹏[8]2005年在《基于嵌入式Linux系统的SOHU家庭网关的设计与实现》文中认为目前,嵌入式技术在数字网络领域已经得到了广泛应用,然而国内外嵌入式产品在安全性、完善性和实用性等方面还存在着一些缺陷,这使得开发建立在自主研发的操作系统内核上的嵌入式产品成为当前的一个研究热点。本文设计实现了一个基于嵌入式Linux 系统的SOHU 家庭网关,它是构建数字网络系统的核心部件。本系统的实现综合了嵌入式软硬件开发技术,为了达到本网关的特定要求,将uClinux系统内核进行了相应的裁剪,同时改进了系统的启动方案,节省了存储空间,降低了整个系统的开销与能耗。为了加强本网关安全方面的性能,本文提出了新的“IP+IPSec”的方案来实现该网关的VPN 功能,利用uClinux 操作系统的开放性,修改内核的标准IP 处理程序,将IPSec 处理程序与内核IP 处理程序捆绑,解决了传统方案下存在的通讯瓶颈问题,提高了处理效率。并且本系统对Windows 平台同样适用,满足了多平台的兼容性,同时提供了抗重播服务。本文还对实现过程中出现的问题加以分析和改进,并设计了系统测试用例,将SOHU 网关的VPN 功能进行验证,保证了系统的安全性和可靠性。
张硕萌[9]2007年在《面向安全网关的Linux实时性改进及数据加密模块的设计与实现》文中研究表明在研究安全网关技术的基础上,本文实现了一种基于X86平台的安全网关。该安全网关对Linux操作系统进行了实时性改进,并在Linux内核中集成了数据包加密及认证模块。本文针对安全网关的实时性需求,阐述了Linux作为安全网关操作系统在实时性方面的不足,并从抢占式内核调度、实时任务的调度策略、任务的响应时间叁个方面对Linux内核进行改进;通过修改Linux内核的标准IP层处理程序,将数据包的加密和认证模块与IP数据包处理程序捆绑在一起,形成新的IP层处理程序;采用了在网络层使用IPSec协议实现该系统的加密、认证等安全机制。经测试,本安全网关能够很好地完成数据的安全通信、密钥协商等功能,并较好地提高了安全网关的数据转发速度。
王欢[10]2016年在《基于嵌入式设备的网络安全机制的研究与实现》文中认为传统的网关设备,作为网络中的一个节点,主要用于连接两个使用不同通信协议的网络。然而,如今随着网络安全问题的增多,使用网关设备为其所在的内部网络提供安全网络安全防护也变得更加重要。安全隔离与信息交换技术把内部和外部网络隔离开,使其不能直接进行通信,是网关设备提供安全防护最为适用的技术。目前的隔离交换技术基本都是基于网络层的,这对于使用TCP进行传输的应用层协议而言,由于无法对完整的数据流进行还原,单纯的IP包过滤无法对可能存在于TCP数据流中的安全威胁进行有效检测以及应对更深层次的网络攻击。深度的安全过滤必须要对应用协议交互的会话状态进行跟踪,提供会话层的安全保护。针对现有隔离交换技术的以上问题,本文设计并实现了一种基于传输层隔离与交换并结合流过滤机制的安全隔离网关设备,主要的研究内容以及创新点如下:(1)针对传统的基于网络层的隔离与交换技术无法对使用TCP的应用协议安全提供保护的缺陷,分析了分割TCP连接技术在隔离网关中实现的可能性,提出了一种基于传输层的安全隔离与交换技术,使得隔离网关作为中间介质隔离了通信双方在传输层以上的直接交互,并可直接获取到连接双方经过重组的TCP数据流,进而实现对应用层的深度安全过滤。(2)基于目前分割TCP连接技术中所存在的缓冲管理困难以及隔离网关中存在大量TCP连接条件下如何实现高效I/O控制的问题,给出了在分割连接条件下的I/O控制算法。实验结果显示,分割连接所带来的负载对于网关的网络传输性能影响在链路延迟较低情况下只有大约20%。(3)针对本文提出的安全过滤的负载可能对网关原始通信功能产生影响的问题,设计了一种分布式的安全负载架构,并对可能存在的拒绝服务攻击提出了一种网络协议栈的优化算法,该算法通过预淘汰机制对可能存在恶意的SYN进行过滤,直到叁次握手完成之后才为该连接分配资源。本文最后搭建了系统的测试环境,经过实验分析表明,隔离网关实现了对内部网络的安全防护,并降低了隔离交换负载对于网关传输性能的影响。
参考文献:
[1]. 基于嵌入式Linux安全网关的研究与实现[D]. 郭大春. 西南交通大学. 2004
[2]. 嵌入式小型安全网关的研究与实现[D]. 杨淼. 解放军信息工程大学. 2007
[3]. VPN-防火墙联合设计与嵌入式安全网关开发[D]. 章晓明. 苏州大学. 2006
[4]. 基于嵌入式Linux安全网关的实现[D]. 陈蓓. 西南交通大学. 2003
[5]. 基于嵌入式Linux的铁路专用安全网关关键技术的研究与实现[D]. 宋维嘉. 北京交通大学. 2008
[6]. 基于Motorola PowerPC和嵌入式Linux的VPN网关设计[D]. 俞力. 四川大学. 2003
[7]. 基于NP的无线局域网嵌入式VPN安全网关研究[D]. 高松. 武汉理工大学. 2006
[8]. 基于嵌入式Linux系统的SOHU家庭网关的设计与实现[D]. 孙延鹏. 新疆大学. 2005
[9]. 面向安全网关的Linux实时性改进及数据加密模块的设计与实现[D]. 张硕萌. 西安电子科技大学. 2007
[10]. 基于嵌入式设备的网络安全机制的研究与实现[D]. 王欢. 电子科技大学. 2016
标签:电信技术论文; 安全网关论文; ipsec论文; 防火墙论文; 嵌入式linux论文; 包过滤防火墙论文; 嵌入式软件论文; linux系统论文; 网络隔离技术论文; 内部网关协议论文; linux服务器论文; 动态vpn论文; 嵌入式系统设计论文; 嵌入式计算机论文; 安全平台论文; 信息安全论文; 功能分析论文; 网络安全论文; vpn网关论文; vpn论文;