论文题目: 高速边缘路由器IPSec体系结构及关键技术的研究
论文类型: 博士论文
论文专业: 计算机科学与技术
作者: 荣霓
导师: 龚正虎
关键词: 网络安全,高速边缘路由器,混合式体系结构,安全数据库管理,双阈值队列,长度调度,流水线处理,协议测试
文献来源: 国防科学技术大学
发表年度: 2005
论文摘要: 随着计算机网络技术的蓬勃发展,网络信息系统存在的多种安全缺陷不断被暴露出来,网络安全问题日趋严重。安全风险的增大,促使人们加大对网络安全的研究力度,并由此产生了多种面向网络安全的传输协议和相关设备。高速边缘路由器是一种在边缘接入网使用的基于IPSec协议的高速路由器。作为接入网中重要的安全设备,高速边缘路由器必须提供高速的安全报文转发和大容量的安全信息(包括安全策略、证书、签名等)存储能力,满足边缘接入网在速度匹配和安全管理上的特殊需求。为了支持高速边缘路由器这些特性,有必要针对接入网中安全报文转发速度快、安全信息存储量大的应用特点,研究与之相适应的高速边缘路由器的IPSec体系结构和相关实现的关键技术。 本文力图在综合通用IPSec路由器体系结构模型特点的基础上,提出一种面向高速边缘路由器应用的体系结构模型,对其中的IKE协商优化调度机制、安全数据库管理机制和AH/ESP处理机制进行研究,设计和描述相关的算法,并将其应用于高速边缘路由器的原型实验系统中。 围绕上述高速边缘路由器IPSec体系结构的构造思路,本文分析和研究了基于双阈值队列长度算法的IKE密钥协商调度策略、基于混合式结构的安全数据库管理关键技术和基于流水线的AH/ESP处理过程,工作主要在以下一些方面展开: 1.高速边缘路由器混合式体系结构模型的构造。传统的集中式模型不利于有效利用并行的报文处理技术和网络处理器的能力,并发式模型又会给系统带来繁重的通讯开销。引入混合式模型有利于提高系统的并行性和可扩展能力。 2.面向IPSec协议的安全策略管理框架的构造及其在高速边缘路由器安全数据库系统中应用的关键技术。安全策略的管理制约着安全数据库的设计,面向高速边缘路由器安全数据库的管理更需要一种简单、有效的机制,以提供对大容量安全数据的有效分割和对外部安全策略系统的一致性管理接口。通过引入面向IPSec协议的安全策略管理框架,并基于该框架构造混合式安全数据库管理模型,可以有效地提高安全数据库管理系统的管理能力。 3.高速边缘路由器系统设计中各功能部件的关键技术。与传统的IPSec报文处理部件相比,高速边缘路由器系统的功能部件在处理速度或存储能力上都有着更高的要求,有必要研究基于大规模IPSec协议处理的部件结构,并通过原型系统的构造来检验上述设计的合理性。 以上各方面中,(1)是本文其他工作的基础。(2)是(1)在安全数据库管理模型上的延伸和应用。(3)是(1)和(2)工作在高速边缘路由器系统中的具体展开,并在具体的实现中贯彻了(1)的要求。 本文的主要研究成果和创新包括以下几个方面: 1.提出了混合式HSBR体系结构HAIR。本文深入分析了通用IPSec路由器集中式模型
论文目录:
目录
摘要
ABSTRACT
第一章 绪论
1.1 问题的提出
1.1.1 应用需求
1.1.2 研究背景
1.1.3 高速边缘路由器
1.1.4 IPSec路由器研究现状
1.1.5 HSBR实现IPSec协议的意义与挑战
1.2 本文的工作
1.3 论文的结构
第二章 HSBR体系结构模型HAIR
2.1 IPSec路由器有关概念和相关工作
2.1.1 有关概念
2.1.2 研究现状
2.2 HAIR(Hybrid Architecture of IPSec Router)模型
2.2.1 松耦合的引入
2.2.2 模型的结构
2.2.3 基于ForCES的HAIR模型映射
2.3 模型的分析
2.4 基于HAIR模型的HSBR设计
2.5 相关工作比较
2.6 本章小结
第三章 IKE执行器的设计与优化
3.1 基于保护套件的IKE协商分派机制
3.1.1 问题的引入
3.1.2 保护套件和协商派发机制
3.2 IKE报文调度策略
3.2.1 调度算法设计目标
3.2.2 常用的调度算法
3.2.3 基于队列长度双阈值的IKE协商调度算法
3.3 IKE执行器的设计
3.3.1 配置管理器
3.3.2 日志管理器
3.3.3 密码算法管理器
3.3.4 协商器
3.3.5 ISAKMP入站、出站报文处理
3.3.6 安全数据库管理器SDU
3.4 本章小结
第四章 安全数据库管理器SDU
4.1 基于安全策略管理的相关工作
4.2 面向IPSec协议的安全策略管理框架SPMF
4.2.1 SPMF结构
4.2.2 基于SPMF的HAIR设计
4.3 HAIR数据库访问控制模型
4.3.1 相关工作分析
4.3.2 SDU访问控制模型SDUACM
4.4 SDU的结构
4.4.1 存储管理相关定义
4.4.2 存储结构
4.5 SDU的功能说明
4.5.1 基于UML的操作顺序类图
4.5.2 登记表及基于登记表的安全数据库管理
4.6 cache的相关讨论
4.7 本章小结
第五章 IPSEC执行器的设计与优化
5.1 IPSec执行器的结构
5.1.1 相关工作介绍
5.1.2 AH/ESP协议执行过程分析
5.1.3 IPSec执行器的结构
5.1.4 IPSec执行器与NP的软件程序接口设计
5.2 IPSec执行器部件级流水线
5.2.1 流水线各站划分
5.2.2 流水线的效率分析
5.3 密码算法管理器的设计
5.3.1 密码算法管理器结构
5.3.2 密码算法管理器配置策略
5.4 本章小结
第六章 原型系统设计与测试
6.1 原型系统设计
6.1.1 原型系统结构
6.1.2 模块划分
6.2 原型系统的测试
6.2.1 系统的互操作性测试
6.2.2 系统的一致性测试
6.2.3 系统的性能测试(单负载)
6.2.4 系统的性能模拟(多负载)
6.3 实现中值得注意的问题
6.4 本章小结
第七章 结束语
7.1 研究工作总结
7.2 本文的主要贡献
7.3 下一步的工作
图表目录
攻读博士期间发表的论文和参研工作
致谢
参考文献
附录A
附录B
附录C
发布时间: 2005-11-07
参考文献
- [1].位置与标识分离网络关键技术研究[D]. 侯婕.国防科学技术大学2011
相关论文
- [1].高可用IPSec虚拟专用网研究[D]. 张云鹤.华中科技大学2009
- [2].面向无线接入的IPSec VPN关键技术研究[D]. 肖凌.华中科技大学2009
- [3].并行路由器体系结构若干关键技术研究[D]. 胡晓峰.国防科学技术大学2004
- [4].高速路由器的数据转发技术研究[D]. 吴卫东.华中科技大学2005
- [5].集群路由器关键技术研究[D]. 余鑫.华中科技大学2005
- [6].一种新型路由器体系结构及其实现技术研究[D]. 王宝生.国防科学技术大学2005
- [7].集群路由器体系结构及其关键技术的研究[D]. 管剑波.国防科学技术大学2005
- [8].高性能路由器的服务质量关键技术研究[D]. 庞斌.中国科学院研究生院(计算技术研究所)2003
- [9].组密钥管理技术研究及其在IPSec VPN中的应用[D]. 李欣.浙江大学2006
- [10].高性能业务路由器系统软件研究[D]. 吉萌.华中科技大学2006
标签:网络安全论文; 高速边缘路由器论文; 混合式体系结构论文; 安全数据库管理论文; 双阈值队列论文; 长度调度论文; 流水线处理论文; 协议测试论文;