基于XML引擎的安全网关的研究与实现

电子科技大学硕士学位论文基于XML引擎的安全网关的研究与实现姓名：杨柳申请学位级别：硕士专业：计算机软件与理论指导教师：佘堃20090501基于XML引擎的安全网关的研究与实现作者：杨柳学位授予单位：电子科技大学相似文献(10条)1.期刊论文郭洪.林宏基.陈淮一种IPv6安全网关的设计与实现-福州大学学报(自然科学版)2003,31(1)依据IPv6在网络安全上的应用特点,在Linux底层网络通信编程的基础上,设计并实现了一种在IPv6下的安全网关,其具有端口控制和报文识别的功能,能阻截其余的端口攻击,起到安全保护的作用.2.学位论文何可佳基于Linuz平台高性能安全网关的研究与实现2009随着Internet的发展，Internet已经成为人们获取信息的重要手段之一。Internet正不断增强着人类社会的生产力，改变着人类社会的生产方式，也因此Internet成为上个世纪最伟大的人类发明之一。然而，由于Internet最初的设计初衷并未全面考虑到今天Internet发展的现状，因此在最初设计时，设计人员并没有清楚地意识到网络安全对于今天人们进行网络通信的重要性。目前，随着电子商务和电子政务的提出，网络安全问题已经成为Internet发展的巨大障碍，各国政府、公司和科研机构都加大了对网络安全技术的研究和对网络安全产品的开发。与安全网关相关的技术研究成为各公司和科研单位所热衷的课题之一。国外安全网关的相关技术和产品市场已经相当成熟，而国内在这方面还处于起步阶段，虽然有一些公司提出了一些解决方案，但总体上还处在技术探索阶段，没有成熟的产品。自从国家颁布了一系列有关安全的法律法规以来，网络安全逐渐受到人们的重视，其相关市场也逐渐发展起来。本文在研究高性能安全网关技术的基础上，实现了一种基于X86平台的高性能安全网关。该高性能安全网关对Linux操作系统进行了实时性改进，并在Linux内核中集成了数据包加密及认证模块。本文针对高性能安全网关的实时性需求，阐述了Linux作为高性能安全网关操作系统在实时性方面的不足，并从抢占式内核调度、实时任务的调度策略、任务的响应时间三个方面对Linux内核进行改进；通过修改Linux内核的标准IP层处理程序，将数据包的加密和认证模块与IP数据包处理程序捆绑在一起，形成新的IP层处理程序；采用了在网络层使用IPSec协议实现该系统的加密、认证等安全机制。经过测试，高性能安全网关能够很好地完成数据的安全通信、密钥协商等功能，并较好地提高了高性能安全网关的数据转发速度。3.会议论文匡晋湘.徐成基于IPSec的嵌入式安全网关的设计与实现2004本文在分析IPSec的基础上,提出了在uclinux上实现基于IPSec协议的嵌入式安全网关的设计方法,最后对实现的安全网关进行了测试,并对结果进行了分析.4.学位论文高燕基于IPSec的嵌入式VPN安全网关设计2007随着网络的快速发展，人们都在利用方便快捷的网络传媒进行信息交流、资源共享。网络的开放性带来了前所未有的有利条件，但同时也潜藏着各种未知的安全隐患。本文是针对小型企业的内部网络安全开发的VPN安全网关。论文中首先分析了网络中存在的各种安全问题，介绍了一些常用的网络安全解决方案，包括防火墙技术、入侵检测技术、VPN技术、IPSec加密和认证技术等。通过分析企业级安全网关的功能需求，针对不同的环境和资源建立不同的安全保护机制。选用现在比较流行的专用网技术VPN，它是搭建在公共网络设施的基础上，通过隧道技术、认证技术等为数据流提供机密性和完整性保障。IPSec是实现VPN技术的一项标准安全协议，它的突出优势是通过加密和认证算法的运用，提供高强度的数据保密性与数据源认证，因此在实现安全网关时主要选择基于IPSec技术的VPN网关实现。文中在对企业安全需求分析的基础上给出了一个VPN安全网关的总体设计方案。网关的实现体现在硬件结构设计和软件结构设计两个方面。本人的工作重点是实现基于IPSec的VPN安全网关设计，因此在系统的软件实现部分重点介绍了IPSecVPN的具体实现模型，并描述了数据在VPN网关中进行IPSec处理时的处理流程。NAT技术在VPN网关中也得到了广泛应用，但是如果将IPSec与NAT技术组合使用就会出现一些不相兼容的问题，文中在研究分析后介绍了两种方法来解决这个问题。文中在硬件实现部分介绍了安全网关的硬件开发平台IXDP425开发板，它是在IXP425网络处理器的基础上开发的一款高性能评估板。IXP425与传统的网络处理器相比，支持多种不同数据的实时线速处理，并提供多个高速以太网口与网络相连，它的独特之处是提供了专门的网络处理引擎以支持数据的硬件加密，这在实现IPSec时有很大优势。文章最后给出了嵌入式操作系统Linux在IXDP425开发板上的移植过程，主要包括交叉编译环境的创建、内核的剪裁配置、文件系统的创建等。5.期刊论文白君芬.BaiJunfenUTM在矿山企业网络安全中的应用研究-矿山测量2010,(1)单一的安全技术以及多种安全产品的简单堆砌都已无法满足复杂网络综合性防御的需要,而以整合式安全技术为代表的UTM安全网关能够很好地为企业信息安全构建有力的保护屏障.通过分析矿山企业的信息安全需求,研究与阐述UTM所采用的典型技术及其应用优势,详细设计了UTM安全网关系统的体系架构,给出了适合矿山企业网络安全需求的UTM统一解决方案.6.学位论文唐青松基于IPSec的网络安全访问技术的研究2001该文从网络安全的现状谈起,探讨了网络安全的主要威胁因素和相应的攻击手段,同时也归纳了针对这些威胁因素和攻击手段而采取的提高网络安全的安全措施和技术手段.接下来的内容共分为三个部分,就网络安全中的重要课题——网络安全访问,进行了深入的研究和探讨.第一部分包括第二章,主要围绕现有的网络安全访问技术来展开讨论.首先,结合ISO/OSI互联参考模型的七层体系结构,探讨了不同网络层次上所能提供的跟网络安全访问紧密相关的安全业务.然后,着重讨论了两种常见的网络安全访问技术,即建立在应用层基础上的安全Shell协议(SSH),和建立在传输层基础上的安全套接口协议(SSL).最后,简要地介绍了建立在网络层上的网络安全访问技术.第二部分针对网络安全访问技术的发展趋势,对基于IPSec的网络安全访问技术进行了深入的研究,并在此基础上实现了一个提供安全访问服务的安全网关.它包括第三章和第四章,第三章研究了IPSec网络安全体系的原理,并据此提出并旭纳了基于IPSec的三种网络安全访问方案;第四章则根据第三章的研究结果,在FreeBSD环境下实现了一个提供安全访问报务的安全网关,它同时适用于IPv4和IPv6两种网络环境.第三部分包括第五章,在对现有安全网关进行了系统测试之后,再根据这些测试数据,分析了现有系统的不足;进而探讨了本文所提出的基于IPSec的网络安全访问方案所存在的问题.最后,对基于IPSec的网络安全访问技术的进一步研究和安全网关系统的进一步开发,提出了自己的建议和思考.7.期刊论文周业如.徐擒彪网络安全的被动防御与主动防御体系应用研究-安徽电气工程职业技术学院学报2004,9(1)介绍了依据PPDR网络安全模型建立的一个新型网络信息安全体系实例.阐述了主动防御系统与被动防御系统在网络安全中的应用.运用了先进的技术支持平台和网络安全模型,将主动防御体系与被动防御体系有机地结合起来,构成系统相互联动,形成具有特色的企业计算机网络安全的新模式.8.期刊论文高颖.GaoYing浅议网络安全及防范-成都教育学院学报2006,20(3)通过对威胁网络安全的诸多因素的分析,从而使用户做到知己知彼,百战不殆,为其制定相应的防范措施,使网络安全地应用在各行各业中.9.学位论文吴文刚IPv6安全网关系统的设计与实现20061998年年初，IPv6协议的基本框架逐步成熟，同年年底，IETF成立了专门的工作组——Ngtrans研究从现有的IPv4网络向IPv6网络的过渡策略和必要的技术。1996年，国际的IPv6试验网——6bone成立。现在，6bone已经扩展到全球50多个国家和地区，成为IPv6研究者、开发者和实践者的主要平台。2001年以来，国家计委、科技部、自然基金委、信息产业部相继启动关于IPv6的研究项目。如2002年863高性能IPv6路由器重大研究项目分为硬件、协议栈软件以及测试三个子课题完成了招标工作，其它有关IPv6网络安全和服务质量的重大课题也相继公布。随着网络的发展，语音、视频、数据等多媒体业务的开展，对网络提出了更高的要求，所以就有了下一代网络-NGN(NextGenerationNetwork)，而在NGN中首先要解决的就是IP地址的问题-IPv6，新的业务的增加，安全是必不可少的，也是至关重要的。那么IPv4所用的安全技术已不能满足IPv6技术，所以IPv6下安全网关技术的研究有着重大的意义。本文主要研究了IPv6安全网关的总体设计架构，给出了分组过滤、NAT-PT、路由三个主模块的详细设计；采用了一种基于Linux2.4.1内核下Netfilter和iptables两组件的分组过滤的具体实现方法。在总体设计中本文设计了一套在Linux平台下基于Web可视化配置界面的IPv6安全网关系统，与用户直接交互的是系统的最项层——Web可视化配置界面。Web可视化配置界面包含六个主要的模块，分别是系统管理、日志管理、用户管理、策略管理、NAT-PT管理和网络配置。Web界面的下层是IPv6分组过滤、NAT-PT和路由转发三个模块，这三个模块实现了IPv6安全网关的三个主要功能。系统的底层是Linux操作系统的支持。分组过滤用于过滤经过或是进出安全网关的IPv6报文，分组过滤分为三种类型，分别是输入包过滤、输出包过滤和转发包过滤。输入包过滤对目的地址为安全网关的报文进行过滤；输出包过滤对安全网关发出的报文进行过滤；转发包过滤对经过安全网关路由转发的报文进行过滤。这三种类型的报文过滤相互独立，各自维护一张匹配规则表。在NAT-PT模块中，当一个IPv6报文经过NAT-PT时，通过配置IPv4的地址池，可以用地址池中的地址将报文中的IPv6地址映射为IPv4地址。当一个IPv4报文经过NAT-PT时，还需要配置一个IPv6地址的96位前缀，通过在IPv4地址前加上96位前缀，组成一个IPv6地址。路由模块分为路由转发、路由配置和路由信息交互三个模块，路由转发根据路由表，将进入的报文发往相应的网络接口或是本机。路由配置用于设置路由表中的静态路由，静态路由在路由表中具有比动态路由更高的优先级。路由信息交互模块可以和邻居路由器进行路由信息交互，自动生成动态的路由表项。本文通过研究IPv6安全网关技术，设计了一套在Linux平台下基于Web可视化配置界面的IPv6安全网关系统，采用了Linux2.4.1内核下Netfilter和iptables两组件实现了分组过滤，最后针对目前的研究提出了下一步需要研究解决的问题。10.期刊论文罗柏胜.罗俊卫士通新一代安全网关NGSG——内容安全与网络安全融合-信息网络安全2008,(7)随着信息技术和互联网的快速发展,企事业单位对互联网的依赖性增加,通过互联网进行工作、学习、生活成为了每个人不可或缺的一部分.在享用互联网带来益处的同时,受到其带来的负面影响和安全威胁也日趋严重,从而对互联网访问监控、上网行为规范或限制、网络资源合理利用等方面提出了迫切需求.IDC报告显示,全球的内容安全市场以惊人的速度发展,内容安全设备市场尤为突出.内容安全,已经成为安全网关厂家所必须面对的迫切需求.本文链接：授权使用：上海海事大学(wflshyxy)，授权号：f52542d9-fdf4-46fa-9e66-9deb0164a538下载时间：2010年9月8日