（计算机科学与技术专业论文）协议可控安全交换机技术研究.pdf

国防科学技术大学研究生院工学硕士学位论文 摘要 安全交换机技术旨在解决内部网络日益复杂的安全问题。安全交换机所在的 内部网存在的一个显著问题就是网络链路协议不可控，使得任何遵守标准协议的 网络访问在底层机制上都是合法的。本文首先综述了安全交换机体系结构技术及 其采用的安全策略，提出了一种新型的协议可控安全交换机系统的体系结构，在 此基础上提出了其采用的安全策略，包括协议控制与动态切换、数据全字段硬件 自主保密传输、基于数据包头和用户自定义字段的硬件数据过滤等，极大提高了 内部网络的安全。 作为支撑该体系结构的关键技术，我们提出了基于组帧变换和c r c 校验方式 变换的秘密局域网s l a n 协议，构建了s l a n 协议的f s m 模型，采用自然语言和 形式化的方式描述了s l a n 协议，对该协议进行了硬件仿真。仿真结果表明，s l a n 协议可实现动态切换和静态配置，灵活的组帧方式和安全的协议更新策略对内部 网数据链路层的安全起到了很大的提升作用。我们还分析了不同协议状态下数据 帧的处理延迟，协议切换的不同步对丢包率的影响等协议性能指标。 安全交换机防火墙也是该体系结构的安全增强点。在研究了包过滤防火墙技 术、状态检测防火墙技术基础上。针对传统包过滤防火墙仅对用户包头数据进行 过滤的局限，提出基于用户包头和用户自定义数据字段的硬件包过滤策略；针对 有些状态检测防火墙状态表项的t i m o o u t 值不能动态改变的缺点，提出一种改进的 状态检测防火墙模型，提出一种基于优先级的“老化”算法来控制状态项的“老 化”速度，以防控u d p f l o o d 等拒绝服务攻击。运用该算法，结合n e t s c r e e n 2 5 防火墙的参数，我们仿真了网络流量每隔1 0 0 秒，单位时间内数据包递增1 0 0 个 的拒绝服务攻击场景，仿真总时间为3 0 0 秒。结果表明该算法可有效控制状态表 项的数目，达到了动态防控拒绝服务攻击的目的。 最后我们设计并实现了协议可控安全交换机系统的核心部件一安全控制芯片 和安全网络适配器芯片，我们对芯片模块进行了s o p c 集成，对芯片功能进行了 仿真，对其性能进行了评价。 主题词：安全交换机，协议可控，s l a n 协议，防火墙，硬件过滤，拒绝服务 攻击，优先级老化算法，s o p c 技术 第i 页 国防科学技术大学研究生院工学硕士学位论文 s e c u r i t y - s w i t c ht e c h n o l o g yi sa i m i n gt ot a c k l ew i t ht h ee v e r - e n m p l e x i n gs e e u r i t y p r o b l e mw i t h i nt h ei n t r a - n e t w o r k an o t a b l ep r o b l e mi sr a i s e dt h a tt h ed a t al i n kc a nn o t b ec o n t r o l l e d ；t h e r e f o r ea n ya c c e s sf o l l o w i n gt h es t a n d a r de t h e m e td a t al i n kl a y e r p r o t o c o li sr e c o g n i z e da sl e g a l n l et h e s i sf i r s ts u m m a r i z e st h ea r c h i t e c t u r ea n ds e c u r i t y s t r a t e g i e so fs e c u r i t ys w i t c h , a n dt h e nab r a n dn e wa r c h i t e c t u r en a m e l yp r o t o c o l c o n t r o l l e ds e c u r i t y - s w i t c hs y s t e m ( p c s s ) i sp r o p o s e d ，i n c l u d i n gt h ea d o p t e ds t r a t e g i e s s u c ha sp r o t o c o lc o n t r o la n dd y n a m i cc o n v e r s i o n , h a r d w a r eb a s e df u u f i e l ds e c u r i t y t r a n s f e r r i n ga n dh a r d w a r ed a t af i l t e r i n gs t r a t e g yb a s e d0 1 1p a c k e th e a da n ds e l f - d e f m e d d a t af i e l d 鹤w e l l a st h ek e yt e c h n o l o g yo f t h ep c s sa r c h i t e c t u r e , ad a t al i n kl a y e rp r o t o c o l s l a ni s p r o p o s e d , w h i c hi sb a s e do nt r a n s f o r m a t i o no ff r a m ef i e l d sa n dd i f f e r e n tc r cc h e c k i n g m e t h o d s n o to n l yd i dw ee s t a b l i s ht h ef s mm o d e lo fs l a n ，b u td e s c r i b e di tb yu s i n g t h en a t u r a la n df o r m a ll a n g u a g e t h es i m u l a d o no fs l a np r o v e dt h a ti tc o u l dr e a l i z e d y n a m i cc o n v e r s i o na n ds t a t i cc o n f i g u r a t i o n n l ef l e x i b l es l a ns t a t ea n ds e c u r i t y u p d a t i n gs t r a t e g yg r e a t l yi m p r o v e dt h es e c u r i t yl e v e lo fi n t r a - n e t w o r k a n a l y s e s s u c ha st h ed e l a yp a r a m e t e ro fe v e r ys l a ns t a t ea n dp a c k e tl o s sr a t ed u et ot h e a s y n c h r o n i s r no f s t a t ec o n v e r s i o na r ea l s od o n e n el i r e w a l lo f t h es e c u r i t ys w i t c hi st h ei n t e n s i f i e ro f p c s s w eh a dar e s e a r c ho n p a c k e tf i l t e r i n gf i r e w a l la n ds t a t ei n s p e c t i o nf i r e w a l l a i m e da t 也el i m i t a t i o no f t r a d i t i o n a lp a c k e tf i l t e r i n gf i r e w a uw h i c hf i l t e rp a c k e tb a s e do nt h ei t sh e a d , an e w h a r d w a r e - b a s e ds e l f - d e f i n e dd a mf i e l df i l t e r i n gs t r a t e g yi sp r o p o s e d ；a i m e da tt h et h e w e a k n e 龉o fs o m es t a t ei n s p e c t i o nf i r e w a l lw h o s et i m e o u tp a r a m e t e rc o u l dn o tb e c h a n g e d , a p r i o r i t y a g i n g a l g o r i t h m i s p u t f o r w a r d t od e a lw i t l l d e n a l o f s e r v i c e a t t a c k s u c ha su d p h o o d w er e f e r e n c e dt o1 1 1 ep a r a m e t e ro fn e t s c r e e n 2 5f t r e w a l la n d s i m u l a t e dad o sa t t a c k i n gs c e n a r i o ，i nw h i c ht h ea t t a c k i n gr a t ei n c r e a s e db y1 0 0 p a c k e t sp e r1 0 0s e c o n d s t h es i m n l a t i o nt i m ew a st o t a l l y3 0 0s e c o n d s t h er e s u l tp r o v e d t h a tt h ea l g o r i t h mc 矾e f f e c t i v e l yc e n t r e lt h ee n t r yn u m b e ra n dd e a lw i t ht h ed o s a t t a c k i n ge a s i l y f i n a l l yw ed e s i g n e da n dr e a l i z e dt h ec 0 惦o fp c s s - s e c u r i t yc o n t r o lc h i pf o r s e c u r i t ys w i t c ha n ds e c u r i t ya d a p t e rc h i pf o rs e c u r i t ya d a p t e r b yu s i n gs o p c t e c h n o l o g y , w ei n t e g r a t e dt h em o d u l e so ft b ec h i pa n df i n a l l yh a di ts i m u l a t e da n d e v a l u a t e d k e yw o r d s ：s e c u n t ys w i t c h ，p r o t o c o lc o n t r o l l e d ，s l a n ，f i r e w a l l ， h a r d w a r e - b a s e dd a t a - f i l t e r i n g 。d o s ，p d o d t y a g i n ga l g o d t h m ，s o p c 第i i 页 国防科学技术大学研究生院工学硕士学位论文 表目录 表4 1p a 算法的符号表。 表5 1 硬件审计模块的寄存器表 第i 页 国防科学技术大学研究生院工学硕士学位论文 图目录 图2 in e n - f uh u a n g 提出的安全交换机体系结构图 图2 2n e n - f u h u a n g 等提出的负载均衡的安全交换机体系结构图7 图2 3n e n - f uh u a n g 等设计的安全交换机性能评价8 图2 43 c o r n 安全交换机结构图 一8 图2 5p c s s 的体系结构原理图1 1 图3 1s l a n 协议f s m 实体图1 7 图3 2 安全交换机的f s m 转换图( 2 个基本状态) 1 8 图3 3 安全网络适配器的f s m 转换图( 2 个基本状态) 1 8 图3 4s l a n 协议的f s m 转换图1 9 图3 5s l a n 协议的c c s 实体图 图3 6s l a n 协议硬件模块的r t l 视图2 2 图3 7 帧变换模块的硬件仿真2 2 图3 8c r c 校验模块的硬件仿真2 3 图3 9 不同协议状态帧处理延迟和帧长度的关系图2 3 图3 1 0 不同帧长度对应的丢包数量与切换时间的关系图2 4 图4 1 硬件包过滤防火墙原理图 2 7 图4 2i p 报文在m a c 帧中的封装格式2 8 图4 3 硬件包过滤防火墙的硬件仿真图2 9 图4 4 针对状态检测防火墙的d o s 攻击原理图3 l 图4 5 改进的u d p 状态检测防火墙模型3 2 图4 6p a 算法的功能验证( 1 ) 3 3 图4 ，7p a 算法的功能验证( 2 ) 3 4 图5 1s c c 的结构原理图3 5 图5 2m i i m 模块总体图3 7 图5 3 异步f i f o 在m i i 接口模块中的应用3 8 图5 4m i i m 主状态转换图3 9 图5 5 主状态机对各模块的控制机制图3 9 图5 6c r c3 2s t a n d a r d 的l s f r 结构4 0 图5 7 安全网络适配器硬件系统逻辑框图 图5 8p c i 总线接口模块逻辑框图4 5 图5 9d a t a p a t h 状态转换图 图5 1 0c o n t r o l p a t h 状态转换图 图5 1 1 系统管理软件结构 第页 国防科学技术大学研究生院工学硕士学位论文 图5 1 2 数据服务器系统 图5 1 3p c s s 安全控制芯片硬件系统s o p c 集成图 4 8 4 9 图5 ，1 4p c s s 安全控制芯片的应硬件仿真5 0 图5 1 5 系统测试原理图， 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材科与我一同工作的同志对本研究所做的任何贡献均巴在论文 中作了明确的说明并表示谢意 学位论文题目：谴这互整窒全銮垫狃拉盎盈塞 学位论文作者签名：叠之盛日期：硎年f ，月厅日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使月学位论文的规定本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 ( 保密学位论文在解密后适用本授权书) 学位论文题目：盐这互整塞全銮搀扭拉盎丑窒 学位论文作者签名： ! 隆壁鎏日期：捌年，月西日 作者指导教师签名：日期：2 都年1 1 月，f 日 国防科学技术大学研究生院工学硕士学位论文 第一章绪论 1 1 研究背景和意义 高速安全的计算机网络是构建政府、金融、教育等行业信息平台的基础，也 是构建军事训练和武器装备研发平台的关键。但据p o n e r n o n 研究中心统计，有6 9 的信息安全破坏来自内部网员工的恶意行为和非恶意的失误【l 】；g a r t n c r g r o u p 研 究中心统计了全球损失金额在5 万美元以上的攻击，发现7 0 都涉及网络内部攻 击者【2 1 。因此，对内部网络安全的研究就越来越重要。 交换机实现了内部网计算机用户的互连，是进行内部网安全控制的关键设备。 传统交换机主要用于数据包的快速转发，强调转发性能。随着局域网的的广泛互 联，加上t c p i p 协议本身的开放性，网络安全成为一个突出问题。网络中的敏感 数据、机密信息被泄露，重要数据设备被攻击，而交换机作为网络环境中重要的 转发设备，其原来的安全特性已经无法满足现在的安全需求，因此传统的交换机 需要增加安全性。安全以太网交换机能有效地防止来自网络内部的安全威胁。网 络安全交换机通过对所有流经它的用户数据包进行监视、记录和分析，能够提供 访问控制和入侵检测等功能，从而有效遏制从网络内部发起的攻击，为网络系统 的安全提供重要的安全保证。 交换机的。安全”没有统一的标准，很多“安全交换机”已经嵌入了防火墙、 v l a n 、入侵检测、8 0 2 1 x 身份认证、流量控制、安全日志等功能，使交换机的功 能得到了极大的扩展。 然而，安全交换机运行于传统的基于以太网的计算杌内部网络，因此存在的 一个显著问题就是网络链路协议不可控，使得任何遵守标准协议的网络访问在底 层机制上都是合法的，网络的底层安全管理不便于实现；另外，现有安全交换机 未能实现和内部网另外一个关键设备一网络适配器的联动，没有形成一个整合的 安全交换机系统。为了从底层保证网络的安全性，迫切需求研究协议可控的安全 交换机技术，设计协议可控安全交换机原型系统，为保障我国和我军计算机网络 安全提供坚实的保证。 安全交换机的核心是交换芯片和安全控制芯片。长期以来，国内军用和民用 的交换芯片一直依靠国外的芯片制造商，安全控制芯片更是无处可寻；对于安全 交换机安全策略、算法、新型秘密协议的设计资料更是难以获取。因此，研究协 议可控安全交换机的体系结构，研究其所在网络的秘密网络协议，研究运行于其 上的安全策略和算法，设计和打造具有自主知识产权的安全控制芯片就成为我们 不得不去努力开拓的任务。 第1 页 国防科学技术大学研究生院工学硕士学位论文 1 2 本文研究内容和工作 依托“十五”国防预先研究项目“网络安全设备”，本文对安全交换机体系 结构和安全策略、秘密局域网s l a n 协议技术、安全交换机防火墙技术、嵌入式 安全芯片设计等技术进行了深入的研究，在此基础上提出并实现了一种新型的协 议可控安全交换机系统( p r o t o c o lc o n t r o l l e ds e c u r i t y - s w i t c hs y s t e m ，p c s s ) 。 本文的研究内容和工作主要包括： 1 安全交换机体系结构与安全策略研究 网络安全设备所采用的体系结构和安全策略向来都是“兵家必争”之地。本 文研究了现有的安全交换机体系结构技术；研究了理想安全交换机所应具备的安 全策略，阐述了安全交换机的防d o s 攻击、虚拟局域网v l a n 、流量控制、8 0 2 1 x 身份认证等传统的安全策略；针对现有安全交换机存在网络链路协议不可控、不 能实现和安全网卡的联动等缺点，提出了一种新型的协议可控的安全交换机系统 体系结构，在此基础上提出了其采用的安全策略，包括协议动态切换、数据自主 保密传输、基于数据包头和用户自定义字段的网络数据过滤等策略。 2 秘密局域网s l a n 协议建模与分析 秘密局域网s l a n 协议是应用于p c s s 中的数据链路层协议。本文在研究协 议建模与形式化描述技术、协议验证与安全性分析技术的基础上，提出了基于组 帧变换和c r c 校验方式变换的秘密局域网s l a n 协议，对s l a n 协议进行了自然 语言描述、构建了其f s m 模型和c c s 模型，对其进行了l o t o s 形式化描述，并 对s l a n 协议进行了硬件仿真。 3 安全交换机防火墙及其算法研究 安全交换机防火墙是p c s s 的安全增强点。本文研究了包过滤防火墙技术，针 对现有包过滤防火墙硬件不能对基于用户自定义字段进行过滤的缺陷，提出了 p c s s 的硬件包过滤策略并对其功能进行了硬件仿真；本文还研究了软件层次上的 状态检测防火墙机制，针对有些防火墙的状态表状态项的t i m e o u t 值不能动态改变 的缺陷，提出一种新型的状态检测防火墙框架和一种基于优先级的“老化”算法 来控制状态项自勺“老化”速度，以防控u d p - f l o o d 等拒绝服务攻击( d e n i a lo f s e r v i c e ， d o s ) 。 4 安全芯片技术研究与实现 课题研究的目的就是围绕网络安全需要，设计实现p c s s 。本文利用s o p c 技 术，设计了p c s s 所需要的重要部件一安全控制芯片( s e c u r i t yc o n t r o lc h i p ，s c c ) ， 安全网络适配器芯片( s e c u r i t ya d a p t e rc h i p ，s a c ) ，对芯片功能进行了仿真， 对芯片的性能进行了评价。 第2 页 国防科学技术大学研究生院工学硕士学位论文 1 3 论文组织结构 根据课题的研究内容，论文的各章组织如下： 第一章是绪论，介绍课题研究的背景和意义，指出本课题研究的主要内容； 第二章综述了现有安全交换机体系结构和安全策略，针对现有体系结构的缺 点，提出一种新型的协议可控安全交换机体系结构及安全策略： 第三章研究了协议建模和形式化描述技术、协议验证与安全性分析技术，提 出秘密局域网s l a n 协议，对协议进行了建模、形式化描述、分析和硬件仿真； 第四章研究了安全交换机硬件包过滤防火墙、状态检测防火墙技术，提出基 于用户包头和用户自定义数据字段的硬件包过滤防火墙策略，以及防御拒绝服务 攻击的状态检测防火墙框架和优先级老化算法p r i o r i t ya g i n g ，对算法性能进行了 验证与评价； 第五章设计并实现了协议可控安全交换机系统中的核心芯片一安全控制芯片 和安全网络适配器芯片，完成了部分软件系统的设计：对芯片性能进行了仿真， 对集成后的p c s s 系统进行了测试与评价； 第六章对本文的研究工作进行了总结，并展望j 二进一步的研究方向。 第3 页 国防科学技术大学研究生院工学硕士学位论文 第二章安全交换机安全策略与体系结构技术综述 完美的网络安全设备需要出色的体系结构支持。本章综述了安全交换机的体 系结构技术和所采用的安全策略。首先探讨了理想安全交换机所应具备的安全策 略，即在交换式以太网环境下“安全”的交换机应具备的所有功能。然后综述了 已经提出的安全交换机的体系结构及其采用的安全策略，最后提出了一种新型的 协议可控安全交换机系统一p c s s 的体系结构及所采用的安全策略。 2 1 安全交换机安全策略研究 网络安全是指保护网络系统的硬件、软件及其数据不受偶然的或者恶意的原 因所导致的破坏、更改、泄漏，使系统连续可靠正常地运行，网络服务不中断。 从广义来说，凡是涉及到网络上信息的保密性、完整性，可用性、可控性和不可 抵赖性的相关技术和理论都是网络安全的研究领域。交换机作为网络的核心设备， 是否具备健全的安全功能和安全策略，是保证整个内部网络安全的关键。 一般来说，安全的交换机有三层含义。首先，交换机最重要的作用就是转发 数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率， 不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。其次，交换机作 为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。 更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进 行监控和阻止。更确切的说，理想的安全交换机应具备以下安全功能和策略： 1 支持数据链路层安全协议 安全交换机是数据链路层的重要设备，运行数据链路层协议，如8 0 2 3 。数据 链路层安全协议将保证数据的底层传输安全。 本文第三章将重点介绍数据链路层安全协议技术，提出应用于安全交换机上 的秘密局域网s l a n 协议，对协议进行形式化描述，提出协议的静态配置和动态 切换策略，对协议的性能进行分析。 2 防d o s d d o s 攻击功能删 内部网一旦遭到大规模分布式拒绝服务攻击( d i s l r i b u t e dd e r m a lo fs e r v i c e ， d d o s ) ，会影响大量用户的正常网络使用，严重的甚至造成网络瘫痪，成为服务 提供商最为头疼的攻击。安全交换机的防火墙或入侵检测系统应具备防范d d o s 攻击的功能，它应可以在不影响正常业务的情况下，智能地检测和阻止恶意流量， 从而防止网络受到d d o s 攻击的威胁。 3 基于访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 的防火墙功能 安全交换机采用了访问控制列表a c l 来实现包过滤防火墙的安全功能，增强 安全防范能力。访问控制列表以前只在核心路由器中才使用。在安全交换机中， 第4 页 国防科学技术大学研究生院工学硕士学位论文 访问控制过滤措施可以基于源，目标交换槽、端口、源目标v l a n 、源目标口、 t c p a j d p 端口、i c m p 类型或m a c 地址来实现。 a c l 不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据 流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽，让黑客找不到网 络中的特定主机进行探测，从而无法发动攻击。 针对上述两点策略，本文的第四章将重点介绍集成防d o s 攻击策略的安全交 换机防火墙技术。 4 虚拟局域网( v i r t u a ll a n ，v l a n ) 功斛4 】 v l a n 是安全交换机必不可少的功能。v l a n 可以在二层或者三层交换机上 实现有限的广播域，它可以把网络分成分立的区域，可咀控制这些区域是否可以 通讯。v l a n 可能跨越一个或多个交换机，与它们的物理位置无关，设备之间好 像在同一个网络间通信一样。v l a n 可在各种形式上形成，如端口、m a c 地址、 p 地址等。v l a n 限制了各个不同。a n 之间的非授权访问，而且可以设置 i p m a c 地址绑定功能限制用户的非授权网络访问。 5 流量控制功能 安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内，避 免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量 的控制，避免网络堵塞，该功能也可集成进安全交换机防火墙中。 6 入侵检铡( i n t r u s i o nd e t e c t e ds y s t e m ，i d s ) 功能 安全交换机的i d s 功能可以根据上报信息和数据流内容进行检测，在发现网 络安全事件的时候，进行有针对性的操作，并将对这些安全事件反应的动作发送 到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机 能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能。 7 8 0 2 1 x 安全认证功斛6 为了阻止非法用户对局域网的接入，保障网络的安全性，基于端口的访问控 制协议8 0 2 1 x 无论在有线l a n 或w l a n 中都得到了广泛应用。在传统的局域网 环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者 是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成 了潜在的安全威胁。另外，在学校以及智能小区的网络中，由于涉及到网络的计 费，所以验证用户接入的合法性也显褥非常重要。i e e e8 0 2 1 x 正是解决这个问题 的良药，目前已经被集成到二层交换机中，完成对用户接入的安全审核。 8 0 2 1 x 协议是刚刚完成标准化的一个符合i e e e8 0 2 协议集的局域网接入控制 协议，其全称为基于端口的访问控制协议。它能够在利用i e e e8 0 2 局域网优势的 基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法 用户接入，保护网络安全的目的。 8 0 2 i x 协议与l a n 是无缝融合的。8 0 2 1 x 利用了交换l a n 架构的物理特性， 第5 页 国防科学技术大学研究生院工学硕士学位论文 实现了l a n 端口上的设备认证。在认证过程中，l a n 端口要么充当认证者，要么 扮演请求者。在作为认证者时，l a n 端口在需要用户通过该端口接入相应的服务 之前，首先进行认证，如若认证失败则不允许接入；在作为请求者时，l a n 端口 则负责向认证服务器提交接入服务申请。基于端口的m a c 锁定只允许信任的m a c 地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从 而确保最大限度的安全性。 在8 0 2 1 x 协议中，只有具备了以下三个元素才能够完成基于端1 3 的访问控制 的用户认证和授权。 ( 1 ) 客户端。一般安装在用户的工作站上，当用户有上网需求时，激活客户 端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。 ( 2 ) 认证系统。在以太网系统中指认证交换机，其主要作用是完成用户认证 信息的上传、下达工作，并根据认证的结果打开或关闭端1 ：3 。 ( 3 ) 认证服务器。通过检验客户端发送来的身份标识( 用户名和口令) 来判 别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打 开或保持端口关闭的状态。 8 l 2 l 4 层过滤功能 现在的新型安全交换机大都可以通过建立规则的方式来实现各种过滤需求。 规则设置有两种模式，一种是m a c 模式，可根据用户需要依据源m a c 或目的 m a c 有效实现数据的隔离；另一种是口模式，可以通过源m 、目的m 、协议、 源端口及目的端口过滤数据包；拟定的规则必须附加到相应的接收或传送端口上， 当交换机此端口接收或转发数据时，根据过滤规则来过滤数据包，决定是转发还 是丢弃。另外，交换机也可通过硬件“逻辑与非门”对过滤规则进行逻辑运算， 实现过滤规则确定，完全不影响数据转发速率，该功能也可集成进安全交换机防火 墙中。 9 s y s l o g 和w a t c h d o g 功能 交换机的s y s l o g 日志功能可以将系统错误、系统配置、状态变化、系统退出 等用户设定的期望信息传送给日志服务器，网管人员依据这些信息掌握设备的运 行状况，及早发现问题，及时进行配置设定和排障，保障网络安全稳定地运行。 w a t c h d o g 通过设定一个计时器，如果设定的时间间隔内计时器没有重启，则 生成一个内在c p u 重启指令，使设备重新启动，这一功能可使交换机在紧急故障 或意外情况下时可智能自动重启，保障网络的运行。 1 0 双映象文件【7 】 一些最新的交换机还具备双映像文件。这一功能保护设备在异常情况下( 固 件升级失败等) 仍然可正常启动运行。文件系统分m a j o y 和m i l t o r 两部分进行保 存，如果一个文件系统损害或中断，另外一个文件系统会将其重写，如果两个文 件系统都损害，则设备会清除两个文件系统并重写为出厂时默认设置，确保系统 第6 页 国防科学技术大学研究生院工学硕士学位论文 安全启动运行。 ， 综上，理想安全交换机的功能和安全策略为我们提供了一个完美的内部网络 安全解决方案。而实际上受限于软硬件实现复杂度和实现成本，大部分安全交换 机系统并没有完全具备上述功能。安全交换机的研究方兴未艾，其研究者也在试 图朝着降低成本、提高性能的目标迈进。 2 2 安全交换机体系结构研究 近年来，国内外很多大学、公司的研究人员都对安全交换机体系结构研究给 予极大关注。下面对已经提出的安全交换机体系结构及其采用的安全策略做综述。 文献嘲： o nt h ed e s i g no f ac o s te f f e c t i v en e t w o r ks e c u r i t ys w i t c ha r c h i t e c t u r e 是2 0 0 5 年台湾清华大学n e n - f uh u a n g 等人在i e e e g l o b a l c o m 上发表的关于安全 交换机的文章。文中提出了可一种能监测交换机端口的高性价比网络安全交换机 体系结构，结构图如图2 1 所示。传统的二层交换机与安全服务引擎( s e c u r i t y s e r v i c ee n g i n e ，s s e ) 配合，通过合理配置v l a n 参数，使报文从二层交换机端口 通过g b 以太网端口送入s s e 迸行深度包检测。s s e 上运行安全过滤算法，非法数 据包被过滤掉，合法数据包被送回交换机。 图2 1n m - f uh u a n g 提出的安全交换机体系结构图 采用这种体系结构具有良好的扩展能力。如图2 ，2 所示，利用g b 以太网接口， 它可以实现一种负载均衡的安全交换机体系结构【9 l 。 图2 2n c m - f uh u a n g 等提出的负载均衡的安全交换机体系结构图 第7 页 国防科学技术大学研究生院工学硕士学位论文 实验结果如图2 3 所示，当s s e 和l 2 交换机同时工作，可达到2 4 0 m b p s 的高 吞吐率。该体系结构还具有低延迟的优点，这种体系结构为传统l 2 层交换机提供 了一种成本低廉的安全功能扩充方案。 1 2 乱* 王口口钟 g o 艟 她神 曲秘 屯 + 2 - n 一- ，饵l 十，n 卜l 一 硼 + ，| l t + 1 2r 州 + l 删 一l - 阿 hl am ，ki 口”1 2 u l h h l s 坤声 图2 3n - f uh 嘲g 等设计的安全交换机性能评价 文献【删： 网络终端信息交换安全机制研究与实现该文介绍了安全隔离 和信息交换技术，分别讨论了网络控制、数据加密及数据交换三个关键技术的实 现原理，提出了一种新的网络终端信息数据交换安全机制，该信息数据安全交换 机制采用软硬件结合的方法，实现了信息数据的快速交换，保障了网络终端信息 数据的安全。 文献【1 l 】： p h y s i c a ls w i t d 脚n e r o & s e c u r i w 该系统审计和监控网络活动以 预防入侵者。它包含电路交换用来建立或者破坏通信网络外部端口和内部私有端 口之间的连接。审计和监视系统通过入侵者难以访问的通路连接到交换电路上， 控制交换电路阻断入侵者到内部网络的访问并且使用不被察觉的方式将入侵者引 导进提前设好的陷阱中。 文献1 1 2 】：( 3 c o r n s e c u r i t ys 稍t c h6 2 0 0 3 c o m 提出的安全交换机产品，其 结构图如图2 4 所示。它运用一个嵌入式网络处理器和软件流控加速器来保证数据 报文被及时送到d s 和反病毒引擎中。实现了对病毒的探测、数据过滤、d s ，口s 等功能。 图2 43 c o m 安全交换机结构图 第8 页 一薹譬篆l爹2舞 国防科学技术大学研究生院工学硕士学位论文 文献【”l ： 联想天工i s p i r i t 4 5 0 4 交换机联想天工i s p i r i t 4 5 0 4 千兆安全交 换机是一款集三层路由交换机和企业级千兆防火墙于一体的高性能，高可靠性、 高安全性的骨干交换机。它既可提供全千兆的二层线速交换和三层路由，具有强 大的q o s 实施能力，又可根据网络安全需求提供入侵检测、数据包过滤、访问控 制、v p n 等功能，具备防病毒能力。其主要特性：联想天工i s p i r i t 4 5 0 4 交换机将 具有防火墙功能的安全模块与负责数据处理与转发功能的交换模块有机地结合在 一起，使交换模块与安全模块功能优势互补，提供了高流量情况下的系统级安全 特性功能；主动式动态数据包过滤功能；私有v l a n 技术；特有的安全访问控制 功能；应用级的服务质量保证等。 文献 1 4 l ：( c i s c oc a t a l y s te x p r e s s5 0 0s e r i e ss w i t c h e s ) ) 是思科公司的这款交换 机，它提供了无阻塞的线速性能以及一个针对数据、无线和m 通信的优化过的的 安全网络平台。思科网络助理还能够对思科交换机以及路由器和无线接入点等其 它思科设备进行集中的管理和配置。 文献【1 5 】：( f l e x h a m m e r 5 2 1 0 系列安全智能多层交换机该文献介绍了港湾 网络研制的f l e x h a m m e r 5 2 1 0 系列安全智能多层交换机，针对目前网络面临着各种 安全威胁，漏洞和攻击方式，f l e x h a m m e r 5 2 1 0 系列安全智能多层交换机提供了领 先的安全特性，以保证网络的安全运行：支持完善的a c l 访问控制策略，支持基 于用户m a c 地址、口地址、m 协议( t c p u d p ) 、t c p 端口号、u d p 端口号以 及基于时间的a c l 控制；可通过p o r t - i p m a c 的捆绑精确识别合法业务终端；支 持用户接入控制协议8 0 2 i x ，提供比传统接入控制方式更为有效的用户端口控制 能力，端口m a c 地址限定功能可以对端口接入的主机数目进行限制；支持 p v l a n ，在一个8 0 2 1 q v l a n 内部实现各个端口的严格隔离，在保障业务开展的 同时实现高安全性；拥有专利的c p u 保护技术，对发送到c p u 的数据进行检查， 过滤，以避免对c p u 的恶意攻击；对于r i p 、o s p f 、b g p 等协议可以提供多种验 证方式( 明文验证、m d 5 验证) ，保证路由和网络拓扑的可控，具备更高级别的 安全性；支持港湾的以太网环冗余协议( e t h e m e tr i n gr e d u n d a n c yp r o t o c o l ， e r r p ) ，提供具备毫秒级环倒换时间的链路保护机制。 文献f 1 6 】：天一银河系列千兆以太网交换机h m s 3 2 2 6 ) h m s 3 2 2 6 交换机 是一款智能型以太网交换机，能为企业提供高性能、多层次化的解决方案，具有 很强的市场竞争力。h m s 3 2 2 6 交换机有2 4 个1 0 1 0 0 m 自适应r j 4 5 端口，提供2 个标准的g b i c 扩充槽，用户根据需要可以选择支持不同距离的g b i c ，另外用于 管理的c o n s o l e 端口。r j 4 5 端口具有自动m d i m d i x 切换功能，可以识别所接双 绞线的类型；g b i c 千兆口可以配置成s x 、l x 、z x 。1 0 0 0 b a s e - s xg b i c 使用标 准的多模光纤可以达到5 5 0 米的传输距离，1 0 0 0 b a s e - l xg b i c 用标准的单模光纤 可以达到1 0 公里的传输距离，1 0 0 0 b a s e - z xg b i c 模块使用标准的单模光纤可以 达到7 0 公里的传输距离。h m s 3 2 2 6 交换机无限定堆叠技术可以以一个逻辑d 地 第9 页 国防科学技术大学研究生院工学硕士学位论文 址来管理多台交换机，并可在任一端口上镜像其他端口的数据包，提供基于w e b 的网管系统以及c l i 方式来调试交换机。h m s - 3 2 2 6 交换机支持s n m p 协议， r m o n ，和t e l n e t 功能，便于管理。 综上，针对各种安全问题，可以说，交换机的体系结构和安全策略没有统一 的标准，他们体系结构不尽相同，安全策略也各有千秋，这为我们研究新型安全 交换机体系结构奠定了坚实的基础。 2 3 一种新型协议可控安全交换机系统- - p c s s 虽然2 。l 节和2 2 节提出了各种安全交换机的体系结构及安全策略，但它们还 存在一些明显的不足： 1 网络适配器作为内部网的关键设备，在安全交换机系统中确没有将它的安 全考虑在内，没有实现安全网络适配器和安全交换机的联动； 2 安全交换机运行于传统的基于以太网的计算机内部网络，因此存在的一个 显著问题就是网络链路协议不可控，使得任何遵守标准协议的网络访问在 底层机制上都是合法的，网络的底层安全管理不便于实现； 3 安全交换机集成了防火墙功能，包过滤防火墙基本上都是针对用户报文头 过滤，不能实现对用户自定义事件的捕获、跟踪、定位； 4 基本都是对数据报文头进行软件加密，没有实现对数据报文全字段的硬件 加密，从而在底层确保传输的安全； 5 i p s 或s s e 都采用专门