本文是一篇计算机论文,本文设计和实现了一种应用IPSec策略利用SR隧道进行LSN业务国密安全传输的驱动系统。此外,本项目还基于NP芯片设计实现了一种SSL硬件加密软件驱动。
第一章绪论
1.1研究背景及研究现状
计算机互联网技术进入二十一世纪后快速发展,并且伴随着移动互联网的兴起深入到了人类经济社会的方方面面。从各个国家的军事活动、政府行政办公到普通民众的日常生活,网络已经成为社会活动中不容忽视的一部分。以我国为例,根据第49次《中国互联网络发展状况统计报告》显示:截至2021年12月,我国的网民规模达到了10.32亿人,互联网的普及率为73.0%,较2020年12月增长4296万[1]。
随着互联网应用的快速普及,网络安全问题日渐凸显。在网络上新的软件应用不断增长,这些应用中通常包含有各类的敏感信息,如电子商务、多种类型的远程协作以及不断变化的端到端通信系统。网络的安全性主要取决于数据传输通道、转发设备和用户终端设备的安全性,而路由器及交换机作为交换转发设备是信息通信的关键设施,是维护网络安全的重要节点。所以,在核心路由器等主要信息转发设备中实现报文协议信息及用户数据加密,可以有效地保障网络信息安全以及防止入侵者进行网络监听。
近年来,国际各类信息安全事件不断发生,个体、企业以及政府的信息和内部机密也时常泄露,引发全社会对网络安全的关注到一个新的高度[2]。在国家政策法规层面,对广域网、城域网、局域网等通信网络的网络架构、通信传输、可信验证等方面的安全控制提出了更高的要求。在工业互联网安全领域,国密算法的应用主要体现在身份认证、访问控制、账户管理、数据安全等方面,涉及通信协议、认证协议、电子签名等关键技术[3-7]。
随着分段路由技术的大规模应用以及企业自主可控安全传输需求的迅速提升,传统的ACL匹配隧道传输功能已逐渐无法满足LSN业务的隧道加密传输需求。当前的路由设备在报文转发的流程中通过优先级匹配ACL,在同接口同方向转发的流程中只能匹配一次ACL规则,否则不同ACL规则中可能存在匹配相同元素造成冲突;LSN业务及IPsec业务在处理流程中都需进行ACL流策略处理,难以实现同一接口两种业务的叠加传输处理。此外,从实践情况来看,单纯依靠软件加密已经不能够满足大型计算机以及服务器系统的需求,因此硬件加密技术的研发对于网络信息安全能够起到巨大的作用。
....................................
1.2论文的研究目标和主要贡献
本文的目标是基于企业路由器应用IPsec策略实现一种利用分段路由隧道进行LSN业务国密安全传输。项目将基于IPsec策略的LSN业务国密加密处理与SR隧道结合,不仅满足了端到端组网的加密需求,还满足了纵向网部署,如使用专线或公有网络的加密需求,有效解决了企业网用户对网络安全保护的诉求。本项目基于高性能的核心路由器进行国密业务加密,为加密业务提供了良好的性能处理及业务扩展性,国密业务板卡及LSN业务板卡作为可插拔的设备在路由器上执行业务,路由器设备作为网络既有节点,新增高性能的国密及NAT能力,可有效支撑企业安全网络的改造升级。
此外,本文还基于博通XLP316芯片实现了一种硬件SSL加密驱动的方案,当前企业级路由器设备的SSL加密引擎以软件为主,相对于硬件加密,性能较差,通过本文的方案可有效提升用户HTTP业务的上线性能满足线上需求。本文的主要贡献主要有以下三点:
(1)本文提出了一种基于企业路由器的融合隧道加密传输方案,在现有纵向网、城域网、局域网等架构上,配合国密业务板卡及LSN业务板卡,通过分布式板级的异步ACL匹配处理,在设备间建立基于IPSec策略的LSN业务国密加密隧道,可有效解决用户对高速传输网络自主可控安全保护的诉求。
(2)在国密加密隧道的选板处理流程中,提出了一种国密业务板卡负载均衡及主备业务板倒换的实现方案,可大幅度提升报文加密性能,并且可以有效提升加密隧道任务的可靠性。
(3)本文还基于博通XLP316网络处理器芯片实现了一种硬件SSL加密驱动的方案,当前企业级路由器设备的SSL加密引擎主要是软件实现,相对于硬件加密,性能较差,通过本文的方案可有效提升用户HTTP业务的上线性能满足线上需求。
..........................
第二章相关背景知识介绍
2.1 Comware网络操作系统
Comware是一款基于Linux操作系统[8]开发的应用于网络设备的网络操作系统,包含了丰富的网络功能,支持从SOHO到数据中心、从企业级到运营商级的全系列网络设备。
Comware V7包括4个平面:管理平面、控制平面、数据平面和基础设施平面。基础设施平面在操作系统的基础上为业务运营提供软件基础,包括基本的操作系统服务和业务支撑功能。基础服务功能是与业务无关的各种软件功能,包括Linux操作系统的各种基础功能、C语言库功能、数据结构操作、标准算法等。业务支撑系统是整个系统业务运行的基础,为Comware的各个流程提供软件和业务基础设施。这部分提供了后面提到的各种系统架构所涉及的基本功能。数据平面提供数据报文转发功能,包括本地包的发送和接收,即IPv4/IPv6协议栈、套接字,以及基于各层转发表的数据转发功能。控制平面运行路由、MPLS、链路层、安全等各种路由、信令和控制协议,并生成各种转发表项来控制数据平面的转发行为。管理平面对外提供设备的管理接口,如Telnet、SSH、SNMP、HTTP和Web Services等,通过管理平面,实现人机交互,对Comware V7进行设置、监控、管理[9,10]。
Comware网络操作系统具有高性能、高可靠性、弹性和开放性[11]的特点。操作系统通过模块化的实现,提高了硬件资源的利用效率。支持多核多CPU的架构可以保证特殊模块进程的性能要求,减少对硬件有性能要求的功能的特殊要求,扩展业务功能的适用范围。操作系统通过模块化技术实现故障隔离,采用进程级的平滑重启,保证当一个路由设备重启协议时,可以通知其外围设备在一定时间内保持邻居关系和路由稳定。操作系统的灵活性通过模块化结构实现了灵活的功能剪裁。此外,它支持堆叠技术,可以轻松扩展设备的端口和带宽,提升设备的业务能力。Comware网络操作系统为开发提供标准编程接口,内嵌TCL功能,支持TCL脚本语言直接编写,具有较高的开放性。
................................
2.2 IPSec
IPSec用于保护敏感信息在互联网上的传输,它在网络层加密和验证IP数据报文。IPSec提供以下网络安全服务,这些安全服务是可选的,通常本地安全策略决定采用以下一种或多种安全服务:
数据机密性:IPSec的发送方对发送给对端的数据进行加密。数据完整性:IPSec的接收方对接收到的数据进行验证,以确保数据在传输过程中未被修改。
数据来源验证:IPSec接收方验证数据的来源。
防重放:IPSec的接收者可以检测到重放的IP包并丢弃。
使用IPSec可以避免数据报文的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。IPSec使用“封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据报文的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库[12]。
计算机论文怎么写
...............................
第三章国密加密隧道软件驱动模块设计与实现........................8
3.1引言.....................................8
3.2路由转发引流处理流程概述................................8
3.3 ACL规则处理.................................10
第四章SSL硬件加密驱动模块设计与实现.......................37
4.1引言..................................37
4.2 SAE安全加速引擎介绍.............................................37
4.3加密业务板注册及加密引擎初始化..................................39
第五章驱动系统的测试与调试....................................48
5.1引言.........................................48
5.2国密加密隧道驱动模块测试.................................48
第五章驱动系统的测试与调试
5.2国密加密隧道驱动模块测试
5.2.1组网配置
计算机论文参考
..................................
第六章总结与展望
6.1总结
随着分段路由技术的大规模应用以及企业自主可控安全传输需求的迅速提升,传统的ACL匹配隧道传输功能已逐渐无法满足LSN业务的隧道加密传输需求。本文设计和实现了一种应用IPSec策略利用SR隧道进行LSN业务国密安全传输的驱动系统。此外,本项目还基于NP芯片设计实现了一种SSL硬件加密软件驱动。
论文的主要工作总结如下:
(1)研究分析了驱动实现的相关技术,包括ComwareV7网络操作系统、IPSec、ACL、LSN、SSL等;
(2)在分析系统需求的基础上设计了驱动系统的总体方案,设计实现了分布式板级的异步ACL匹配处理,在设备间建立基于IPSec策略的LSN业务国密加密隧道,并使用C语言实现了此系统。系统主要包含ACL规则处理模块、国密业务板卡的负载均衡及主备倒换模块及国密板卡加密模块。详细阐述了各模块的设计思想,以伪代码和流程图的形式介绍了其具体实现。
(3)基于博通XLP316芯片实现了一种硬件SSL加密驱动的方案;
(4)对驱动软件系统进行单元测试及系统测试,定位解决开发过程中遇到的故障。根据开发文档需求点配置测试,完成了业务基本功能测试和高速复杂流量下的性能测试。测试结果表明,本项目完成了设计需求和既定目标。
参考文献(略)