正文 協議可控安全交換機技術(3 / 3)

Priority Aging算法。交換機狀態檢測防火牆監視狀態表的長度,它是針對UDP-Flood拒絕服務攻擊的檢測和防禦算法。為了驗證算法防UDP-Flood攻擊的能力,根據優先級狀態調整Timeout的值,狀態項數量得到了合理的控製。

4協議可控安全交換機係統的設計

PCSS硬件係統由網絡交換模塊、安全控製模塊、係統控製模塊及安全網絡適配器模塊組成。SCC的硬件結構處於交換機MAC層交換芯片和物理層芯片之間的數據通路上,在數據接收總線之上還有一個總線仲裁器,接收到的數據送至CPU中,在每個端口的數據通路之上,使得數據的傳輸和交換更加安全,還有一個對數據進行協議變換的模塊。我們使用自定義的CRC校驗算法,來將處理器和周邊設備集成到SOPC,對於由主設備或由從設備發起的操作,可以有分立的讀數據通路和寫數據通路,SCC中的控製核心是一個RISC。

MII接口在以太網MAC子層和物理層之間,在數字係統設計中提供簡單的,易於實現的數據互連,它具有以下功能:MIIM可對物理層寄存器進行配置,MIIM定期讀取物理層寄存器的信息,MIIM提供給係統當前鏈路的雙工模式和工作速率信號,如果出現鏈接中斷,則發中斷信號給Nios,提供機製使以上操作無衝突進行。

8位並行CRC校驗模塊的方案設計。每一種特定的CRC校驗方法都對應有一個唯一的CRC碼,即安全交換機安全控製芯片采用CRC,CRC校驗需要實現兩個多項式的除法, 它是一個32位的寄存器R[31:0]。

全數據字段硬件自主保密傳輸方案設計。包括並行硬件加解密模塊設計,DES算法加密的數據分組寬度為64位,是一個對稱加密算法。DES模塊對整個安全交換機係統支持,是並行DES加密技術,DES模塊還包括很多相關子模塊;Diffie-Hellman密鑰交換模塊,用戶也可以采用手動的方式。Diffie-Hellman密鑰協商過程包括初始密鑰協商、交換機一端首先產生一個大素數、客戶機網絡適配器上的守護進程接收到該密鑰協商、交換機ARM芯片接收到MAC幀、交換機立即將對應的Nios管理的端口的網絡協議設置為標準協議。

基於硬件的安全審計方案設計。網絡數據審計功能包括MAC層和IP層兩部分,安全管理軟件根據管理員的配置選項,在係統管理配置CPU及其軟件的控製下,為了解決網絡數據快速審計的全線速瓶頸,在數據安全審計的過程中,將所有審計信息還可以被組織起來,實現PCI接口的有效方案。

參考文獻

[1]徐恪,徐明偉,吳建平.分布式拒絕服務攻擊研究綜述.小型微型計算機係統,2005 Vol25 No.3.

[2]魏傳瑾,李清寶,白燕.網絡終端信息交換安全機製研究與實現.微計算機信息,2005,21(5).

[3]Quan Huang,Shenke Qiu,An embedded firewall based on network processor, IEEE Second International Conference on Embedded Software and Systems(ICESS’05) 2005.