2秘密局域網SLAN協議建模

2.1 協議分析技術

在對其建模的和形式化描述的基礎上，秘密局域網SLAN協議是應用於PCSS係統中數據鏈路層安全協議。協議至少需要兩個參與者。在參與者之間呈現為消息處理和消息交換交替，必須能夠完成某項任務。

對協議本身的邏輯正確性進行校驗稱為驗證，又分為協議分析和協議綜合，安全協議是建立在密碼體製基礎上的一種高互通協議，為進一步增強局域網數據傳輸的安全性，在SLAN協議下，要為安全需求的各方提供一係列步驟。

SLAN協議具有以下特點：SLAN協議具有多種實現形式, 安全交換機和安全網絡適配器協同配合以切換SLAN, SLAN協議可動態切換和靜態配置, 支持加解密、密鑰分配等安全技術.

進程是計算機科學與工程中廣泛使用的概念，根據SLAN協議雙狀態切換的描述和實體圖，SLAN協議的發送進程和接收進程可以采用相應公式計算。一個SLAN協議實體由兩個獨立的進程並行組合而成。

2.2 SLAN協議硬件支持

具體包括幀格式變換模塊，CRC校驗與生成模塊，高速硬件加解密模塊。

SLAN協議的硬件仿真驗證首先對幀變換模塊進行仿真，協議切換使數據幀的接收延遲時間增加，設網絡接口接收模塊、發送模塊、解密模塊的延遲為相應值，根據不同協議狀態對幀處理的需求和實驗數據，協議狀態切換是由安全交換機發起的。設切換不同步導致切換點的時間間隔，發現丟包數量和數據幀長度有關，可通過在網絡適配器端設置計時設備，並注意協議切換帶來的安全性增強是需要付出代價，根據當時協議狀態確定具體的時間間隔，避免切換不同步對丟包數量的影響。

3安全交換機防火牆及其相關算法

防火牆技術主要分為包過濾防火牆、應用代理防火牆、狀態檢測防火牆。它作為一種網絡安全的增強點，廣泛運用於安全操作係統中。傳統意義上的包過濾防火牆是針對數據包的過濾，包過濾的配置規則決定著包過濾防火牆的安全等級，包過濾規則的製定要具有源和目的IP地址，IP選項，高層協議，TCP包的ACK位檢查，ICMP的報文類型和TCP和UDP包的源目端口。

硬件包過濾防火牆如果應用於交換機中，傳統的過濾針對以太網報文頭的過濾，基於用戶自定義數據字段的硬件過濾策略針對MAC幀的數據報文頭過濾和針對IP報文的數據報文頭和用戶自定義的字段進行過濾。數據接收模塊從數據通路上接收數據，並送給數據接收緩衝。在硬件結構和硬件過濾策略的支持下，防火牆可實現IP報文的報文頭及數據字段的過濾，MAC幀的報文頭及數據字段的過濾。

為了克服基本狀態包過濾模式所帶來的安全問題，狀態檢測技術對提高防火牆的效率表現在狀態包檢測防火牆在網絡層攔截輸入包，再有就是必須檢查其是否屬於某一有效連接，從而在某種意義上能夠可提高防火牆的整體效率；拒絕服務攻擊技術是利用合理的服務請求來占用過多的服務資源，主要有以下幾種DoS攻擊技術，UDP FLOOD攻擊、TCP SYN FLOOD、Crikey CRC Flood。由於安全交換機內嵌了防火牆功能，如果新的數據包通過防火牆，網絡攻擊者有可能通過采用針對狀態檢測防火牆會話表，就會在狀態表中增加一個會話項，很多防火牆在流量發生異常時依然不會改變，解決該問題的方法主要有對初始會話使用分離的Time-out值，使用動態更改狀態表大小。