广域网数据压缩基础上安全性革新

第一章 绪论

本人参与了某IT 公司的对已有广域网加速软件优化和改进的项目，课题以这个项目为背景，进一步研究和设计了对于TCP 代理安全性方面的改进。论文的主要工作和成果如下：在掌握并熟悉了已有的TCP 代理结构体系和实现方法的基础上，分析已有的TCP 代理存在的安全隐患，并研究如何防范和解决这些安全隐患，然后修改相应的模块，设计一种新的基于广域网数据压缩的TCP 代理，提出一种可以提供安全性的稳定的TCP 代理方案。通过具体的描述，以及测试结果的验证，说明了这种方案的正确性和可行性。

为了追求更高的压缩率，在进行了冗余数据编码基础上，再使用一种LZ77 算法进行编码。LZ77 算法是一种基于“滑动窗口”机制的压缩编码算法，使用窗口在数据流上的滑动来找出匹配的字符串并进行相应的编码。LZ77 的数据字典是不固定和未知的，编码时不断扫描和分析原始的数据流，通过窗口向右滑动不断地将特征数据加入到字典中去，然后根据前面临时生成的字典，对当前落入到窗口内的数据进行编码[5]。在开始编码时，首先取开头一段大小的数据流作为初始字典，窗口的起始位置是初始字典后的第一个数据位，然后将字典中的数据与窗口中的数据进行匹配。如果匹配成功，则按照相应的格式将原始数据替换为一个三元组编码并将窗口向右滑动，滑动的长度就是匹配成功的数据的长度；否则，窗口向右滑动一个数据位，将没有匹配成功的数据位按原始内容输出。解码时刚好相反，根据三元组存储的位置和长度信息，窗口不断地滑动，将三元组依次还原出来作为后面用到的窗口数据，一直到整个编码的数据全部被还原出来。当某地的局域网中的某台客户端与另一地局域网内的某台服务器进行TCP 通信时，TCP报文会在离开本地局域网后通过TCP 代理发送到广域网中，而经过了广域网的传输在进入异地的局域网之前要先经过异地的TCP 代理，客户端与服务器之间的通信要经过双方的TCP代理。不同于传统的TCP 端到端的应答方式，TCP 代理会对通信双方的应答进行控制和处理，通过TCP 做中转连接的方式来减少传统应答方式带来的传播时延。此外，每个TCP 代理上均带有广域网数据压缩和解压缩两部分功能，任何时候，只要其中一个TCP 代理进行冗余数据的删除和压缩的处理，接收数据的另一个TCP代理就必然会进行解压缩和解码还原的处理。因为在广域网上传输的是经过代理压缩处理后的数据，其数据大小远小于原始数据的大小，从而就达到了广域网“加速”的效果。

全文共分六个章节，内容组织如下：第一章 绪论。主要介绍论文的课题背景和研究意义，目前国内对于该课题的研究现状，论文的主要研究内容和组织结构等。第二章 基于广域网数据压缩的TCP 代理技术综述。主要介绍广域网数据压缩技术，基于广域网数据压缩的TCP 代理的网络部署、核心功能和模块设计，并指出了存在的安全隐患。第三章SYN Flood 攻击防御的研究与设计。主要介绍了SYN Flood 攻击的原理，对现有TCP 连接管理机制的安全性进行了分析和研究。然后通过分析对比，引入了一种基于SYNcookie 的检测方法，并根据这种方法改进和设计了新的报文处理流程。第四章 数据安全传输的研究与实现。对现有的报文处理、发送以及字典同步功能的安全性做了分析，介绍了SSL 协议和OpenSSL 开发工具，并使用OpenSSL 改进和设计新的字典通道。第五章 测试与结果分析。先介绍了测试的目的、测试环境的搭建以及测试用例，通过对测试结果的对比分析，验证它们满足了设计的预期功能。第六章 总结与展望。总结了全文所做的工作，并对不足之处和未来的研究方向进行了展望。

第三章SYN Flood 攻击防御的研究与设计............................ 17

3.1 SYN Flood 攻击原理.......................................... 17

3.2 现有的TCP 连接管理机制的安全性分析........................... 18

3.3 基于SYN cookie 的SYN Flood 攻击防御技术..................................... 23

3.4 报文预处理线程的改进与设计............................. 25

3.5 本章小结................................................................. 30

第四章 数据安全传输的研究与实现....................................... 31

4.1 现有的数据处理和发送功能的安全性分析................................. 31

4.1.1 数据报文的处理与发送....................................... 31

4.1.2 字典数据的同步................................... 33

4.1.3 数据泄漏的危害与改进...................................... 34

4.2 SSL 协议............................................................. 35

4.3 数字证书与授权机构................................................. 37

4.4 OpenSSL 基础........................................ 38

4.5 安全字典通道的设计与实现................................................. 40

第五章 测试与结果分析.......................................... 48

5.1 测试目的..................................................................... 48

5.2 测试环境的搭建.............................................................. 48

5.2.1 硬件环境................................................. 48

5.2.2 软件环境................ 48

5.2.3 网络环境..................................... 48

5.3 测试方案............................................... 50

5.4 测试结果分析................................................... 52

总结

广域网复杂的网络环境以及网络攻击的存在，使得TCP 代理系统的安全性和可靠性受到了很大的威胁。因此，为了使TCP 代理不仅可以提供高速的数据传输服务，也能满足企业用户对于TCP 代理安全性可靠性以及经TCP代理处理的数据的保密性的综合需求，就需要对已有的TCP 代理系统进行必要的改进，保证TCP 代理的稳定可靠的运行以及提供对数据的保护措施。论文简要介绍广域网冗余数据编码和压缩相关技术，详细阐述了基于广域网数据压缩的TCP 代理技术，并在此基础上，指出了TCP 代理存在的安全隐患。紧接着，在第三章和第四章中对TCP 代理存在的安全隐患进行仔细地研究和分析，并提出了改进的方法，然后还介绍了SYN Flood 攻击防御方法和SSL 协议，并通过使用这些技术来改造TCP 代理系统，实现对SYN Flood 攻击的防御以及字典数据的保护。最后进行了详实和严谨的对比测试，通过对测试数据的研究和分析证明了改进后的TCP 代理系统不仅保持了原有的性能，还具备了一定的安全性和稳定性，可以防御SYN Flood 攻击对TCP 代理的影响以及对字典数据进行保护。论文主要工作如下：1. 阐述了已有的TCP 代理技术的功能、实现方法和体系结构，研究和分析现有TCP 代理存在的安全问题，以及对TCP 代理造成的危害。2. 研究SYN Flood 攻击的防御策略，详细介绍SYN cookie，使用SYN cookie 技术来改进现有的报文处理方式以防范攻击。3. 介绍SSL 协议以及 OpenSSL 工具，对现有的字典同步线程进行改进，实现TCP 代理的认证，建立安全TCP 连接对字典数据进行加密传输。4. 搭建测试环境并设计测试用例，通过对测试数据的分析来论证设计的可行性。

参考文献

[1]曾勇军,王建新.广域网加速技术及其网络部署综述[J].电信快报,2010,6:32-34.

[2]王建新,彭娜.广域网加速技术研究综述[J].电信快报,2009,5:11-14.

[3]朱萍.基于透明代理的Linux防火墙的设计与实现[J].合肥工业大学学报,2007,30(05):576-578.

[4]谭明君,王宝生,张锦玉.面向TCP透明代理截获技术的研究与实现[J].微计算机信息,2008,30:182-184.

[5]毛允亭.广域网数据压缩算法的研究与实现[D].南京:南京邮电大学,2012.

[6]林瑶,蒋慧,杜蔚轩,etal.用TCP/IP进行网际互联第一卷：原理、协议与结构[M].第四版.北京:电子工业出版社,2001:144-172.

[7]张娟,王海,黄述真.用TCP/IP进行网际互联第二卷：设计、实现与内核[M].第三版.北京:电子工业出版社.2001:218-247.

[8]LI Fuguo.Study on security and prevention strategies of computer network[J].2012 International Conferenceon Computer Science and Information Processing,2012:645-647.

[9]BARBHUIYA F A,GUPTA V,BISW AS S,etal.Detection and mitigation of induced low rate TCP-TargetedDenial of Service Attack[J].2012 IEEE Sixth International Conference on Software Security andReliability.2012:291-300

.[10]武铨.广域网数据冗余消除TCP透明代理的设计与实现[D].南京:南京邮电大学,2012.