一種多通道信息安全傳輸與管控系統(tǒng)設(shè)計(jì)_第1頁(yè)
一種多通道信息安全傳輸與管控系統(tǒng)設(shè)計(jì)_第2頁(yè)
一種多通道信息安全傳輸與管控系統(tǒng)設(shè)計(jì)_第3頁(yè)
一種多通道信息安全傳輸與管控系統(tǒng)設(shè)計(jì)_第4頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

一種多通道信息安全傳輸與管控系統(tǒng)設(shè)計(jì)

隨著科學(xué)技術(shù)的進(jìn)步,網(wǎng)絡(luò)數(shù)據(jù)的傳輸、監(jiān)控和管理系統(tǒng)在許多領(lǐng)域發(fā)揮著重要作用。目前,在網(wǎng)絡(luò)安全監(jiān)控方面一些學(xué)者有了如下研究:文獻(xiàn)本文提出了一種網(wǎng)絡(luò)信息安全傳輸與管控系統(tǒng),它能夠?qū)崿F(xiàn)信息節(jié)點(diǎn)(計(jì)算機(jī))之間的正常通信,完成數(shù)據(jù)在網(wǎng)絡(luò)系統(tǒng)上正常傳輸。在數(shù)據(jù)傳輸過(guò)程中,系統(tǒng)能夠通過(guò)身份認(rèn)證、數(shù)字簽名和報(bào)文加密等方式保證數(shù)據(jù)的原始性和保密性。系統(tǒng)工作時(shí),通過(guò)對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)測(cè),提取網(wǎng)絡(luò)通信數(shù)據(jù)特征,了解運(yùn)行狀態(tài)的情況,識(shí)別網(wǎng)絡(luò)流量中各種業(yè)務(wù)成分,掌握網(wǎng)絡(luò)流量中業(yè)務(wù)和用戶(hù)的組成及變化規(guī)律;同時(shí)也能夠阻斷網(wǎng)絡(luò)上的各類(lèi)惡意攻擊,甄別異常信息節(jié)點(diǎn),保證信息網(wǎng)絡(luò)能安全可靠地運(yùn)行。1安全交互設(shè)備間域管控系統(tǒng)采用由信息節(jié)點(diǎn)、安全交互設(shè)備、協(xié)同管控設(shè)備構(gòu)成的三級(jí)網(wǎng)絡(luò)架構(gòu),如圖1所示。底層為各信息節(jié)點(diǎn),負(fù)責(zé)在通信網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳輸,各個(gè)信息節(jié)點(diǎn)之間不能直接通信,需借助安全交互設(shè)備進(jìn)行相互通信。中間層為安全交互設(shè)備,該設(shè)備直接與各信息節(jié)點(diǎn)連接,不僅能接收和轉(zhuǎn)發(fā)各節(jié)點(diǎn)之間的通信信息,還能對(duì)網(wǎng)絡(luò)信息進(jìn)行安全認(rèn)證與加密操作,確保信息安全傳輸;同時(shí)提取網(wǎng)絡(luò)通信數(shù)據(jù)特征,傳輸給協(xié)同管控設(shè)備。上層為協(xié)同管控設(shè)備,負(fù)責(zé)分析處理安全交互設(shè)備發(fā)送的通信數(shù)據(jù)特征,并將數(shù)據(jù)處理結(jié)果顯示在監(jiān)控界面上,幫助網(wǎng)絡(luò)管理員準(zhǔn)確掌握網(wǎng)絡(luò)中各節(jié)點(diǎn)工作狀態(tài),及時(shí)發(fā)現(xiàn)信息通信網(wǎng)絡(luò)中的異常節(jié)點(diǎn)并對(duì)其管控。網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的工作原理如圖2所示,它可分為安全交互系統(tǒng)和協(xié)同管控系統(tǒng)兩部分,在兩個(gè)子系統(tǒng)的相互配合下,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)能夠?qū)崿F(xiàn)兩項(xiàng)主要功能,分別是信息安全傳輸功能和信息監(jiān)控管理功能。2現(xiàn)狀及特征安全交互設(shè)備通過(guò)多網(wǎng)口網(wǎng)卡連接多個(gè)信息節(jié)點(diǎn),主要實(shí)現(xiàn)信息的安全傳輸以及對(duì)傳輸?shù)男畔⑦M(jìn)行特征提取。安全交互設(shè)備軟件采用模塊化設(shè)計(jì)方法,主要包括數(shù)據(jù)包截獲及特征提取功能模塊和安全認(rèn)證及數(shù)據(jù)包轉(zhuǎn)發(fā)功能模塊。2.1基于libpcap的網(wǎng)口包創(chuàng)建技術(shù)由于各信息節(jié)點(diǎn)之間并沒(méi)有連接,都是通過(guò)直接連接到安全交互設(shè)備實(shí)現(xiàn)相互通信。當(dāng)源信息節(jié)點(diǎn)向目的信息節(jié)點(diǎn)發(fā)送消息時(shí),會(huì)先向安全交互設(shè)備廣播ARP請(qǐng)求,因?yàn)榘踩换ピO(shè)備是不轉(zhuǎn)發(fā)廣播報(bào)文的,因此目的信息節(jié)點(diǎn)是無(wú)法接收到ARP請(qǐng)求并回復(fù)的,信息節(jié)點(diǎn)之間就無(wú)法進(jìn)行通信。為解決該問(wèn)題,提出“ARP欺騙”的方法,安全交互設(shè)備偽裝成目的信息進(jìn)行ARP回復(fù),即將目的信息節(jié)點(diǎn)的IP與自己的MAC綁定回復(fù)給源信息節(jié)點(diǎn)。源信息就會(huì)將數(shù)據(jù)包發(fā)送到安全交互設(shè)備上。然后便需要對(duì)發(fā)送到安全交互設(shè)備上的數(shù)據(jù)包進(jìn)行捕獲,因?yàn)榘踩换ピO(shè)備在Linux系統(tǒng)下運(yùn)行,因此選用Libpcap網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)包進(jìn)行數(shù)據(jù)包捕獲。Libpcap提供了系統(tǒng)獨(dú)立的用戶(hù)級(jí)別網(wǎng)絡(luò)數(shù)據(jù)捕獲接口,充分考慮應(yīng)用程序的可移植性。在程序中調(diào)用Libpcap的各種庫(kù)函數(shù)實(shí)現(xiàn)對(duì)流經(jīng)特定網(wǎng)口的數(shù)據(jù)包的捕獲,并能夠設(shè)置一定規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。為了確保多個(gè)網(wǎng)口的數(shù)據(jù)包被有序捕獲,在進(jìn)行程序設(shè)計(jì)時(shí)采用多線(xiàn)程的方法,每個(gè)網(wǎng)口都對(duì)應(yīng)一個(gè)專(zhuān)門(mén)的線(xiàn)程捕獲數(shù)據(jù)包。2.2用戶(hù)包包管理策略各信息節(jié)點(diǎn)之間采用UDP通信協(xié)議進(jìn)行通信,UDP協(xié)議相較于TCP協(xié)議不需要建立連接,雖然可靠性會(huì)降低,但傳輸速度快實(shí)時(shí)性強(qiáng)。采用UDP通信時(shí),從用戶(hù)數(shù)據(jù)到封裝成一個(gè)以太網(wǎng)數(shù)據(jù)包的過(guò)程如圖3所示。Libpcap捕獲的數(shù)據(jù)包是一個(gè)完整的數(shù)據(jù)包,包括以太網(wǎng)幀頭、IP報(bào)頭、UDP報(bào)頭等。其中以太網(wǎng)幀頭長(zhǎng)度為14個(gè)字節(jié),包括目的MAC地址、源MAC地址、類(lèi)型/長(zhǎng)度等;IP包頭長(zhǎng)度為20個(gè)字節(jié),包括服務(wù)類(lèi)型、源IP地址、目的IP地址、協(xié)議、生存時(shí)間等;UDP包頭長(zhǎng)度為8個(gè)字節(jié),包括源/目的端口號(hào)、用戶(hù)數(shù)據(jù)包長(zhǎng)度等。數(shù)據(jù)包特征提取方法為創(chuàng)建一個(gè)結(jié)構(gòu)體數(shù)組,定義提取的特征變量,包括源/目的MAC地址、源/目的IP地址、源/目的端口號(hào)、協(xié)議類(lèi)型、報(bào)文字節(jié)長(zhǎng)度、時(shí)間戳等。由于各報(bào)頭的長(zhǎng)度以及存放的內(nèi)容都是固定的,因此可以從捕獲的數(shù)據(jù)包的首地址開(kāi)始偏移特定的字節(jié)數(shù)獲取各變量的值,存放在定義的結(jié)構(gòu)體數(shù)組中,從而完成對(duì)數(shù)據(jù)包的特征提取。該模塊會(huì)定時(shí)每1s給協(xié)同管控設(shè)備發(fā)送一次提取的數(shù)據(jù)包特征值。2.3用戶(hù)數(shù)據(jù)加密算法為確保信息傳輸?shù)陌踩趯?duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)之前,安全交互設(shè)備會(huì)對(duì)數(shù)據(jù)包中的數(shù)字簽名進(jìn)行認(rèn)證,并對(duì)用戶(hù)數(shù)據(jù)加密。數(shù)字簽名可保證報(bào)文的原始性(完整和未被篡改),信息節(jié)點(diǎn)在發(fā)送數(shù)據(jù)包時(shí)會(huì)生成數(shù)字簽名附在報(bào)文之后,一起發(fā)送出去。安全交互設(shè)備在截獲到數(shù)據(jù)包后會(huì)首先進(jìn)行數(shù)字簽名驗(yàn)證,未通過(guò)數(shù)字簽名驗(yàn)證的數(shù)據(jù)包將不會(huì)被轉(zhuǎn)發(fā)。數(shù)字簽名驗(yàn)證之后,安全交互設(shè)備會(huì)對(duì)去掉數(shù)字簽名的用戶(hù)數(shù)據(jù)進(jìn)行加密。常用的加密算法包括對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。非對(duì)稱(chēng)加解密采用不同的密鑰,可以有效保證數(shù)據(jù)的安全性,但該加密技術(shù)計(jì)算量較大,數(shù)據(jù)量較大時(shí),加密解密時(shí)間較長(zhǎng),難以滿(mǎn)足數(shù)據(jù)實(shí)時(shí)傳輸?shù)囊?;?duì)稱(chēng)加密雖然加密解密速度較快,但其密鑰容易泄露,安全性較低。本方案中采用對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密相結(jié)合的算法,利用對(duì)稱(chēng)加密算法對(duì)數(shù)據(jù)進(jìn)行加密,然后再利用非對(duì)稱(chēng)對(duì)加密算法的密鑰加密,既能滿(mǎn)足數(shù)據(jù)安全性的要求,又能滿(mǎn)足加解密的快速性要求。3信息節(jié)點(diǎn)工作參數(shù)上下門(mén)限值的確定協(xié)同管控設(shè)備主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息傳輸系統(tǒng)的監(jiān)測(cè)、管理和控制。協(xié)同管控設(shè)備的軟件功能主要包括數(shù)據(jù)的分析與處理、異常節(jié)點(diǎn)的檢測(cè)與管控。協(xié)同管控設(shè)備會(huì)定時(shí)接收到安全交互設(shè)備發(fā)送來(lái)的數(shù)據(jù)包特征,但該特征并不能直接反映出各信息節(jié)點(diǎn)的工作狀態(tài),需要經(jīng)過(guò)一定的數(shù)據(jù)運(yùn)算處理,轉(zhuǎn)化為能直接反映各個(gè)信息節(jié)點(diǎn)工作狀態(tài)的參數(shù)。例如可通過(guò)統(tǒng)計(jì)一定時(shí)間間隔內(nèi)數(shù)據(jù)包的源IP地址,計(jì)算出每個(gè)信息節(jié)點(diǎn)發(fā)送數(shù)據(jù)包的頻率;可通過(guò)統(tǒng)計(jì)信息節(jié)點(diǎn)發(fā)送數(shù)據(jù)包的目的IP地址,得到該信息節(jié)點(diǎn)與其他各節(jié)點(diǎn)的通信頻率等。經(jīng)過(guò)分析處理的各信息節(jié)點(diǎn)工作參數(shù)會(huì)直接在協(xié)同管控設(shè)備的界面上進(jìn)行顯示。經(jīng)過(guò)上述功能模塊處理得到的信息節(jié)點(diǎn)工作參數(shù)能夠很好地反映信息節(jié)點(diǎn)的工作狀態(tài)。因此可通過(guò)設(shè)置信息節(jié)點(diǎn)工作參數(shù)的上下門(mén)限作為判斷節(jié)點(diǎn)是否工作在異常狀態(tài)的依據(jù)。而上下門(mén)限值是通過(guò)實(shí)驗(yàn)結(jié)合概率統(tǒng)計(jì)模型共同確定的。首先通過(guò)實(shí)驗(yàn)得到多組工作參數(shù)樣本,然后計(jì)算出樣本的均值和方差。然后使用概率統(tǒng)計(jì)模型對(duì)工作參數(shù)進(jìn)行區(qū)間估計(jì),選取置信水平為95%進(jìn)行置信區(qū)間估計(jì),所得的置信區(qū)間即可設(shè)置為工作參數(shù)的上下門(mén)限值。當(dāng)節(jié)點(diǎn)異常時(shí),協(xié)同管控設(shè)備的監(jiān)控界面會(huì)彈出報(bào)警界面,報(bào)警界面會(huì)提示節(jié)點(diǎn)異常的原因,并向管理員提供處理措施,管理員可根據(jù)實(shí)際情況選擇合適的處理方法以完成對(duì)異常節(jié)點(diǎn)的管控。4數(shù)據(jù)傳輸?shù)臏?zhǔn)確性測(cè)試1)信息節(jié)點(diǎn)之間通信的實(shí)時(shí)性的測(cè)試。經(jīng)實(shí)驗(yàn)測(cè)試,從發(fā)送節(jié)點(diǎn)發(fā)送數(shù)據(jù)包,到安全交互設(shè)備截獲數(shù)據(jù)包并對(duì)用戶(hù)數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證和加密,再到安全交互設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包,接收節(jié)點(diǎn)接收到數(shù)據(jù)包,整個(gè)過(guò)程在極短的時(shí)間內(nèi)完成,對(duì)信息節(jié)點(diǎn)通信的實(shí)時(shí)性未造成較大影響。2)系統(tǒng)數(shù)據(jù)處理的準(zhǔn)確性測(cè)試。信息節(jié)點(diǎn)1定時(shí)100ms一次向信息節(jié)點(diǎn)2發(fā)送數(shù)據(jù)包,此時(shí)界面上顯示信息節(jié)點(diǎn)2的工作參數(shù)如圖4所示。3)系統(tǒng)報(bào)警管控功能的測(cè)試。設(shè)置信息節(jié)點(diǎn)1發(fā)送數(shù)據(jù)包頻率的閾值為50。此時(shí)讓信息節(jié)點(diǎn)1定時(shí)10ms發(fā)送一次數(shù)據(jù)包,發(fā)送頻率超過(guò)所設(shè)置的閾值,會(huì)彈出報(bào)警界面如圖5所示,當(dāng)選擇禁用后,系統(tǒng)便不再接收信息節(jié)點(diǎn)1發(fā)送的數(shù)據(jù)包。5系統(tǒng)的功能特性本文針對(duì)網(wǎng)絡(luò)信息的傳輸和管控提出了一種多加密技術(shù)的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的設(shè)計(jì)方法,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論