单位文秘网 2021-10-23 08:12:05 点击: 次
ǜ sivi.)ăyO7_餃y<i s^5iTDHyuvi "https://www.kgf8887.com/list-170-1.html" target="_blank" class="keylink">信息查找系统的安全隧道,并根据查找到的安全隧道信息进行安全隧道状态、生存期、重放窗口等处理,数据包的具体的处理过程如下图所示:
(1)安全封装包检查:根据数据包的nmask标记判断其是否为安全封装包,如果是则转入安全封装处理,如够将丢弃该数据包;
(2)安全策略索引SPI(Security Parameter Index)信息查找:根據数据包的目的地址、安全参数索引等信息提取安全策略索引;
(3)安全联盟库SAD(Security Association Databasee)信息查找:根据数据包的目的地址、协议以及安全策略索引SPI查找安全联盟库SAD。如果没找到对应的安全隧道,则丢弃该IP包,如果找到对应的安全隧道,则将根据安全隧道对安全封装数据包进行后续处理;
(4)数据包认证或者解密处理:根据安全隧道指定的安全封转协议、算法和密钥进行认证或解密处理;
(5)新数据包处理策略匹配:对认证或者解密之后的数据包进行再处理,包括数据包重新匹配安全策略库,检查其是否所有属于多重加密数据包;
(6)新数据包进入处置:调用数据包进入模块进行系统协议栈,进行路由转发等。
1.2 数據包外出处理
针对将要外出的数据包,系统将根据IP包的相关信息查找安全策略库,找到该IP包对应的外出处理策略,并根据安全策略对数据包进行处置,如下表所示:
对于可以向外发送的IP数据包,外出的数据包将根据策略提供的信息,查找安全隧道表,找到该IP包应该应用的安全隧道。如果找到了安全隧道,则检查安全隧道的状态、生存期。然后进行安全封装协议处理,数据包的具体的处理流程如下图所示:
(1)安全联盟库(SAD)信息查找:根据数据包的信息查找安全联盟库SAD,得到该数据包对应的安全隧道信息;
(2)安全隧道状态检查:检查安全隧道的生命周期等信息,对于超时等失效的安全隧道,需要释放并重新协商;
(3)数据包安全封装:根据安全策略信息,对数据包进行加密封装,增加ESP头或者AH认证头部信息;
(4)数据包校验:对数据包进行数字签名以及数据包校验;
(5)数据包外发:根据数据包的IP地址,查找系统的路由表,将数据包路由转发。
2 安全策略检查
安全策略检查将从IP包中提取源/目的IP地址、源/目的端口、下一层协议等信息,根据IP包的相关信息构造选择符,然后通过选择符查询进入安全策略库,找到第一个匹配项(策略),根据该匹配项所定义的策略对IP包进行检查和处理,数据包的处理结果分为三类,如下表所示:
在检查的过程当中,如果数据包中的数据包类型、数据包长度、IP版本、校验和等任何一项没有通过都将丢弃。对于处理结果为接受的数据包,根据IP包的源地址、目的地址和服务类型(tos)等信息查找路由表,并根据路由表的信息进行下一步处置。
3 结论
网络安全问题已经逐步成为威胁工控系统正常稳定运行的最为严重的风险之一,针对网络通信安全,VPN技术是保障网络通信机密性以及完整性保
护最为重要的方法之一,本文基于Linux内核开展了IPsec协议栈设计,本文首先分析了IPsec协议栈下的数据处理数据流图,其次对数据出入栈等环节的处理流程进行了优化处理以及详细说明。实践证明该IPsec协议栈设计可以有效满足网络数据通信加密的需求。
参考文献
尹肖栋, 严丹, 赵一凡. 论工业控制系统网络安全风险评估试点工作[J]. 软件, 2018, 39(09): 55-57.
周波, 熬洪, 高原. 军队无线网络安全体系构建思考[J]. 软件, 2015, 36(8): 17-21
杨盾, 王小鹏. 应对 DDoS 攻击的 SDN 网络安全特性研究[J]. 软件, 2018, 39(3): 175-180
王天明, 符天. 基于扩展OpenFlow流标结构增强SDN网络安全性研究[J]. 软件, 2018, 39(7): 01-05
李磊. 数据通信网络安全维护策略探讨[J]. 软件, 2018, 39(7): 191-193
赵澄, 方建辉, 姚明海. 工业控制网络中APT攻击检测系统设计[J]. 计算机测量与控制, 2018, 26(10): 250-254.
李艺. 工业控制网络安全防御体系及关键技术研究[D]. 华北电力大学(北京), 2017.
沃建栋. 基于IEC61850规约数字化变电站的建设与实施[D]. 浙江大学, 2017.
汪繁荣. 智能变电站网络通信流量实时监测系统及仿真研究[D]. 武汉大学, 2017.
刘爽. 基于分布式光纤温度传感器的配网在线监测系统的设计与实现[D]. 电子科技大学, 2018.
陈建辉. 工业控制系统带来信息安全建设巨大机遇——《关于加强工业控制系统信息安全管理的通知》学习与分析[J]. 中国信息安全, 2012(03): 52-56.
蒋华, 李康康, 胡荣磊. 一种基于strong Swan的IPsec VPN网关的实现[J]. 计算机应用与软件, 2017, 34(07): 79-84.
古红锋. IPsec VPN产品测试平台设计与实现[D]. 电子科技大学, 2018.
潘晓瑜. IPsec封装模式在不同场景下的应用[J]. 软件导刊, 2017, 16(12): 169-171.
孟祥也. 多层级服务网络的信息安全传输技术研究[D]. 北京理工大学, 2016.
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-145-96503-1.html
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用