安全隔离系统中的隔离方案与实现

安全隔离系统中的隔离方案与实现

赵亚楠[1]2015年在《专用网络安全隔离关键技术的研究与实现》文中提出随着网络信息技术的不断发展,网络安全问题越来越受到重视,各种安全隔离方法和设备也越来越丰富。但如今网络环境愈发复杂,攻击方式也在不断地演变和发展,传统的网络安全产品已经无法支撑人们对安全性的需求,尤其是在专用网络环境中,对网络的安全性要求更高,对功能的要求也更为具体,现有的安全隔离方式已不能满足专用网络中的隔离需求。本文在分析了安全隔离现状的同时,针对专用网络安全问题提出了一种在网络层和应用层进行综合防护的隔离方案,能够隔离大部分数据达到保护专用网络的目的。对网络层和应用层的隔离防护做了详细地分析研究与设计实现,并进行了测试。主要工作如下:1.首先对网络安全现状及运用在隔离中的网络安全技术进行了介绍,指明现有的技术中存在的缺点,并提出了一种适用于专用网络的对网络层和应用层进行综合防护的隔离方案。2.网络层的隔离方式利用iptables防火墙技术,对流入的数据包进行过滤。为提高过滤效率,在传统的iptables过滤的基础上提出了一种优化方法,根据规则针对的协议将过滤规则分为4类,过滤时不同协议的数据包到不同的规则集中进行匹配,同时对此种优化方法可能带来的冲突问题进行了分析,并且利用添加规则的预处理方式对其进行解决。3.应用层的隔离首先利用深度包检测技术对应用层协议内容进行分析,之后利用规则表对数据进行两次过滤。利用规则表的方式进行过滤隔离可适用于多种协议,且扩展性好、灵活性高,可根据环境的需求随时对其进行更改并能够实时生效。为了对数据进行更精细的过滤,采用了两次过滤的方式。本文以专用网络中常用到的简单网络管理协议和会话初始化协议为例,进行检测分析。4.将网络层和应用层综合防护的隔离方案应用到专用网络中的安全隔离系统中进行实现并测试,测试结果达到了预期的目标。同时完成了系统中安全日志、运行统计、操作日志等功能。整个系统运行良好,能够过滤掉非法数据,保证专用网络安全。本文中对iptables防火墙的优化,利用规则表对报文进行两次过滤的方式对专用网络环境的网络隔离的提供了一种新思路,具有一定的参考价值。

张锦玉[2]2007年在《网络隔离系统通道协议设计与实现》文中研究表明随着互联网技术的不断发展,计算机网络在人们社会生活中的各个领域发挥着越来越重要的作用,人们对计算机网络的依赖程度日益加深。在感受网络所带来的便利和高效率的同时,人们也面临着日益突出的网络安全问题。日益严峻的网络安全问题成为关系到国家安全、社会和谐和稳定的重大问题。许多国家纷纷投入大量的人力物力进行网络安全技术研究。网络隔离技术是人们发现防火墙、入侵检测系统等在高安全性方面的局限后兴起的迄今为止安全性最高的防护技术。目前网络隔离成为了保障网络安全的一种重要手段。基于以上现状,本文主要任务是完成用于网络隔离系统内部数据传输的通道协议的设计和实现。由于通道协议在已有网络隔离系统产品中常常作为内部私有协议出现,一直作为关键技术不对外公开,而传统的TCP╱IP协议栈的开放性及存在的安全漏洞,无法满足网络隔离系统的高安全性需求。因而,需要在研究TCP/IP协议栈实现基础上,重新设计和实现满足网络隔离系统需求的具有自主知识产权的内部通道协议。通道协议能够提供可靠的端到端的连接,保证数据有序地在网络隔离系统内外网主机系统间传输。论文首先介绍课题研究背景、目的及研究内容,接下来分析了网络隔离相关技术,重点研究了Linux操作系统的TCP╱IP网络协议栈的设计思想和实现技术,最后通过借鉴和学习Linux下原有网络协议栈的实现机制,设计和实现了独立于系统内核原有网络协议栈的通道协议即INNER协议栈。目前,INNER协议栈已成功应用于网络隔离系统。本文所提出的新的网络协议栈的实现方法同样适应于其它类似场合,具有较为普遍的意义,也为其它相关课题的开展拓展了道路。

王刘飞[3]2018年在《Docker虚拟化安全隔离系统设计与实现》文中提出随着计算机技术的高速发展,云计算对各行各业产生了深远的影响,伴随着云计算的广泛应用,基于资源池化的虚拟化技术也得到了快速发展。Docker作为一种操作系统级的虚拟化解决方案开始崭露头角,逐渐替代传统的虚拟化方案,被广泛地应用于各大云服务提供商和互联网机构。然而,Docker以其自身优势得到广泛应用的同时,自身也暴漏出越来越多的缺陷,如隔离性差、安全加固复杂等,导致易发生容器逃逸、容器和宿主机瘫痪、用户数据泄露等安全问题。传统的安全加固方案如SELinux,虽然有较高的安全性,但是由于其自身的实现复杂、兼容性差、管理不便的原因,不能够很好的适应Docker容器间对共享数据卷文件的安全隔离与共享需求。因此,对Docker中的容器进行隔离增强以及实现容器间高效安全的数据共享是Docker安全解决方案需要面临的问题。本文针对Docker所面临的安全问题以及容器间高效安全的数据共享需求,提出了一种多级安全容器隔离机制,并在其基础之上设计并实现了一个基于LSM的强制访问控制系统CMAC(Container based MAC)。CMAC系统包括容器进程隔离和共享数据卷隔离两个部分,旨在保护宿主机文件和容器的可读写层镜像并实现容器间文件的安全共享和隔离。在容器进程隔离方面,CMAC实现了一个容器只允许访问自己所属的可读写层镜像,阻止容器访问不属于其自身的可读写层镜像和受访问限制的宿主机文件的访问控制系统。在共享数据卷隔离方面,CMAC对宿主机中的容器进行分组,赋予每个容器组间id和组内等级id。不属于同一组的容器之间无法相互访问,同一组的容器按照组内的安全等级来进行访问控制。最后在该方案基础上,本文给出了CMAC的详细设计与实现过程以及最终的测试结果。总体来说,本文主要创新点如下:(1)针对Docker面临的安全问题,研究Docker的技术基础,提出一种多级安全容器隔离机制,并依据该理论基础设计了强制访问控制系统CMAC,该系统包含容器进程隔离和共享数据卷隔离两个部分。(2)在Docker虚拟化环境中,给出CMAC强制访问控制系统的详细设计,实现了对容器内进程读写宿主机文件、可读写层镜像文件和共享数据卷的访问控制,最后对系统进行功能性测试和性能测试。由测试结果可知,CMAC系统完成了对容器进程和共享数据卷的隔离,有效的保护了宿主机文件和容器镜像文件的安全,并使容器之间能灵活高效的进行数据共享。

胡志新[4]2004年在《物理隔离技术在网络化制造信息安全中的应用研究》文中研究说明信息技术和网络技术的巨大发展对制造业产生了巨大的影响,在制造领域出现了一种新的生产模式——网络化制造。而随着网络化制造的蓬勃发展,其中的信息安全问题也日益被人们所重视。物理隔离技术是信息安全领域出现的一种新技术,本学位论文尝试把物理隔离技术应用到网络化制造信息安全领域,为解决网络化制造中的信息安全问题提供了一种新的全面可靠的解决方案。在对网络化制造的特点和网络化制造系统存在的安全隐患及其对信息安全的需求进行分析的基础上,提出了网络化制造的信息安全体系结构。在将相关信息安全技术应用于网络化制造中的基础上,提出应用物理隔离技术到网络化制造信息安全领域中,试图最大限度地消除网络化制造系统存在的安全隐患。通过对物理隔离技术的相关理论进行研究,阐明国内还不是很明晰的物理隔离技术产生的历史技术背景、有关概念,分析物理隔离技术的作用、技术原理、分类方法和发展趋势等,并澄清一些在业界存在的对物理隔离技术的理解误区。重点介绍本课题开发成功的SecInfo物理隔离系统,包括系统需求分析、主要功能和体系结构设计等,详细分析系统硬件与软件的设计与实现原理,其中包括硬件隔离控制卡、系统主要功能模块和隔离控制卡驱动程序的设计与实现方法等。两款隔离控制卡中GapCardV2.0卡的设计具有独创性,已经申报国家发明专利(国家知识产权局专利申请受理号:200410012767.2,见附录II);本文为网络化制造企业和其他类似涉密单位设计实现了一套较为完善的物理隔离解决方案,该系统设计与实现中涉及到的一些关键技术的实现方法对相关课题研究有一定的借鉴意义。

刘魁[5]2017年在《基于Android平台的财产隔离系统设计与实现》文中认为近年来,随着当代科技的日益发展,智能手机已经成为人们生活中的良好伙伴,并且在很多方面提供了很大的方便,从而提高了其生活质量,这其中最大方便莫过于是在管理自己的财产上提供了很大的灵活性。利用智能手机进行支付或者转账,已成为当下最流行的方式,针对这一现状,市面上出现了各种第叁方支付平台,例如支付宝、微信及各大银行应用等,人们在出去消费的时候,就可以利用智能手机通过这些第叁方平台进行支付,从而不需要自带现金,以此给人们提供了方便及安全性。然而在当代智能手机中,Android系统占有很大的市场份额,由于其开源性而出现了大量的恶意软件,从而严重威胁人们财产隐私数据的安全。因此,论文提出一种保护手机用户财产应用数据的设计方案。论文重点研究了Android平台上现有保护用户财产的措施,并分析了其中存在的安全漏洞,给出了两种保护Android手机用户财产的设计方案。通过对比分析,最后论文给出设计方案,以此来保护用户财产白名单应用的静态数据和传输数据。静态数据安全是通过为用户财产相关应用的静态数据建立一个隔离存储空间,以此来达到与普通应用数据隔离的目的,并采用SEAndroid(Security-Enhanced Android)中的强制访问机制(MAC)对其进行保护,从而使用户手机即使感染病毒也可以保证其支付的安全;传输数据安全是通过Wifi网络环境安全检测、交易短信验证码和系统界面防劫持来对其进行保护。论文完成了基于Android平台的财产隔离系统的详细设计与实现。首先研究与分析了相关技术,其中包括Android系统架构、Android关键组件、Android安全机制及SEAndroid安全机制;然后,论文通过财产隔离系统的总体架构给出了软件功能的需求分析,并完成了整体方案的设计。其中功能模块包括系统界面、数据隔离存储区、隔离存储区数据的安全防护、Wifi安全检测、短信安全检测和系统防截屏,并通过代码对每个模块进行实现;最后,论文对财产隔离系统的功能、性能及安全性进行相关性测试。测试结果表明:隔离系统能够稳定运行并能保护用户财产白名单应用的静态数据与传输数据,符合预期设计目标。

许乃利[6]2011年在《网络终端设备的双网物理隔离方法研究》文中提出随着信息技术的快速发展,计算机网络得到了广泛的发展和应用,这给人们带来办公方便的同时,也对保密管理工作提出了新的挑战。在电子政务网络中,一端连接的是政府内部的涉密网络,另一端连接的是伴有不安全因素的外部网络,由于其中涉及到许多保密信息,所以其信息安全必须得到有效的保证。在国家大力推进电子政务发展的过程中,一方面是电子政务中涉及了不同等级的涉密信息,他们之间必须进行安全隔离,另一方面是电子政务中的部分内部网络信息需要与外部网络进行实时交换。他们两方面的需求矛盾,导致我们需要寻找新的解决方案,能够使电子政务内部网络与外部网络在保证安全隔离的情况下,实现数据信息的安全交换。本文在详细分析当前国内外多种网络隔离技术,总结其在实现网络隔离和信息安全交换等方面的优缺点的基础上,结合当前网络隔离的需求,研究了在电子政务中,如何更好的进行物理隔离并实现数据安全交换的方法,设计出了一种双网物理隔离系统,能够有效避免网络信息泄露,实现内外网信息的安全交互。本文的主要研究工作和成果如下:(1)本文对当前电子政务中的网络安全问题和特点做了详细的分析、总结,提出了解决这一安全问题的有效方法。(2)本文对当前国内外使用的多种网络隔离技术进行了深入的分析研究,在总结其优缺点的基础上,利用模拟切换技术,设计了一套双网物理隔离系统方案,能够有效降低办公成本,节约空间,降低能耗。(3)本文对当前电子政务中数据交换所存在的安全问题做了详细的分析,设计了在电子政务中利用USB2.0技术,依据数据摆渡原理,实现数据安全交换的方案。(4)根据以上设计方案,本文给出了双网物理隔离系统的硬件设计和具体实现过程。

徐贤仲[7]2013年在《专用隔离系统的设计与实现》文中研究表明在计算机网络技术飞速发展的今天,政府、军队、金融以及企业的信息化建设步伐不断加速,计算机网络技术在其中得到越来越广泛的应用。信息技术在给政府、军队、金融以及企业的建设与工作带来更高的工作效率,同时也带来了巨大的信息安全风险。加强专用网络的网络安全任务已经变得刻不容缓。为满足专用网络对于网络的高安全性与通信的高效性的需求,本文提出一种Linux上实现的专用隔离系统的具体的设计与实现。专用隔离系统为专用网和民用网之间提供隔离服务,可以为专用网和民用网之间的安全通信提供屏障。系统利用包过滤技术、协议分析技术等技术,可以实现对流入专用网的数据流的识别与监控,并将检测结果传入系统维护模块,以便于进行各种相应的分析和决策,以提高网络通信质量与健康水平。专用隔离系统对通过检测的数据和语音媒体等数据包,以最小的延迟路由到专用网内对应的主机或服务器,从而完成专用网和民用网之间的通信。鉴于目前常见防火墙系统技术单一,难以抵御多种复杂攻击,配置与使用缺乏灵活性与易用性等问题,专用隔离系统结合多种防护技术,针对网络体系结构的多层进行安全防护处理,并对每一层的数据包进行检测与监控,同时提供友好灵活的控制界面。系统被划分为以下五个子系统进行设计与代码实现:1、数据交互,负责数据的透明转发。2、网络层/传输层数据防护,完成阻塞管理与流量控制功能。3、应用层数据防护,负责应用层数据的检测与防护。该子系统给出了一种基于DPI(深度报文检测)技术的用户态防火墙实现方法,可以对应用层协议的报文进行特征分析、检测与过滤。系统中以SIP协议的数据安全防护为例进行功能实现。4、系统监控,负责系统运行数据的记录、监控与分析。5、系统交互,完成用户交互功能。专用隔离系统对于一些技术的设计解决具有独创性,满足用户需求,具有实际的应用意义。

张树超[8]2015年在《基于物理隔离技术的视频系统设计与实现》文中提出随着信息时代的来临,互联网的应用得到了空前发展,例如金融业,网上银行,网络购物等等深刻的改变了人们的生活方式,可见互联网在国家经济中发挥重要作用。然而,网络是一柄双刃剑,在给人们提供便利的同时也带来了负面的影响,信息安全已不再是仅仅和个人利益有关的事情,它已然变成国家安全且必须要做的事情,加固网络信息安全已迫在眉睫。如何能确保在体验网络给我们提供各种便利的同时,又能规避它潜在的威胁,网络隔离器的设计与实现,在这种需求环境下应运而生。文章在调研目前现成网络隔离器产品设计和实现的基础上,对它们的产品进行了不同角度的分析和比较。例如,设备的成本,系统的性能,兼容性,扩展性,灵活性和友好性。根据已有隔离器硬件的实际情况,提出了错误隔离方法,且修补了现有驱动偶然宕机的bug,完成了已有方案一的编码实现和测试,可以进行基于UDP通信。在此基础上分析了隔离器的具体应用背景,即远程视频监控。探讨方案一中存在的问题,性能方面的短板和安全方面的缺陷。本文完成了以下工作:1.设计与实现了软件的整体架构,并进行了功能模块组合调试,解决了软件中存在的逻辑错误,并且完善了驱动程序。2.分析系统存在的瓶颈,提出修改解决方法,规定硬件提供的API接口。实现了协议的剥离,并且设计了专有的通信协议,以及实现了相应的函数操作。3.实现过程中采用了网络编程技术与进程锁机制,在大量实验的测试基础之上,完成系统连通性调试,实现了系统的基本功能,整个系统达到了可以使用的目标。

李正茂[9]2006年在《网络隔离理论与关键技术研究》文中认为计算机安全问题几乎随着计算机的产生而产生,特别是计算机网络的出现及其迅速发展,计算机安全问题越来越重要。 面对各种网络安全问题和防火墙等各种安全解决手段,越来越发达的信息技术和对信息安全提出了更高的要求。源自以色列美国等国家的网络隔离技术在一定程度上满足了这种信息安全的要求。 论文基于以上现状,研究探讨了网络隔离技术的原理以及关键技术的原理和实现思路。研究并提出了一个网络隔离系统模型来保证内外网的隔离和数据交换。其核心部分切断了TCP/IP等网络传输协议,用专用软件及硬件构成的系统对数据进行扫描传输。数据传输过程中,物理隔离机制使内网或外网进行数据交换时,内外网保持相当于物理隔离的隔离状态。保证了数据交换的安全性。

王绪国[10]2017年在《基于VT-x虚拟化的容器间资源硬隔离技术研究》文中研究表明随着CPU多核硬件技术的突破,其计算性能得到了飞速的发展,但CPU资源利用率低的问题却越来越严重。虚拟化技术在解决资源利用率的问题中扮演着极为重要的角色。传统虚拟机作为一项虚拟化技术,通过抽象硬件同时为多个客户机提供统一的服务接口,提高CPU资源的利用率,但该技术自身占用较多的资源,造成了资源的重复浪费。容器技术作为另一项虚拟化技术,其轻量级、复用内核服务等特性,极大提高了CPU资源利用率,在一些领域得到广泛应用。但容器技术基于共同的内核代码提供服务,通过软件方式隔离资源使用,存在严重安全隐患。本文深入调研容器技术中存在的问题,提出一种资源硬隔离技术,该技术既能够提高CPU的资源利用率,又能够为容器提供高效安全的运行环境。文章基于Intel平台提供的VT-x特性设计了硬件隔离的关键机制,包括:物理CPU隔离、外围设备隔离、内存隔离等。物理CPU隔离通过VMCS机制实现。VMCS机制为每个物理CPU分配一个4KB的内存页,该内存页映射所有对该CPU的操作。修改该内存页中特定字段的数据项,修改内存页中某个寄存器字段的参数,就是对该内存页映射的物理CPU的对应寄存器的数据的修改。通过该特性使容器运行在各自独占的CPU中。外围设备隔离通过VAPIC实现。VAPIC使用的是中断转发的方式,VMM先接收外部硬件的中断信息,并将该中断信息根据预先设置的配置项,重新注入到客户机。通过该方式使外围设备以独占的方式运行在容器中。内存隔离通过EPT特性实现。EPT机制在CPU中增加了新的地址转译硬件,隔离了所有容器的非法内存访问。通过上述叁种隔离方式保证了容器运行的安全可靠。在实现关键机制的基础上,文章设计实现了基于Intel平台VT-x特性的硬件隔离解决方案。在文章的最后,作者对系统进行了测试和验证。测试用例反馈的结果表明,系统成功实现了物理CPU隔离、PCI设备隔离和内存隔离。在该系统中不同容器间无法互相访问,某个容器产生的错误不会扩散到其他容器。该系统具有安全、稳定、可靠运行等特点,能够保障容器系统长期运行。

参考文献:

[1]. 专用网络安全隔离关键技术的研究与实现[D]. 赵亚楠. 北京邮电大学. 2015

[2]. 网络隔离系统通道协议设计与实现[D]. 张锦玉. 国防科学技术大学. 2007

[3]. Docker虚拟化安全隔离系统设计与实现[D]. 王刘飞. 西安电子科技大学. 2018

[4]. 物理隔离技术在网络化制造信息安全中的应用研究[D]. 胡志新. 华中科技大学. 2004

[5]. 基于Android平台的财产隔离系统设计与实现[D]. 刘魁. 重庆邮电大学. 2017

[6]. 网络终端设备的双网物理隔离方法研究[D]. 许乃利. 安徽大学. 2011

[7]. 专用隔离系统的设计与实现[D]. 徐贤仲. 北京邮电大学. 2013

[8]. 基于物理隔离技术的视频系统设计与实现[D]. 张树超. 西安电子科技大学. 2015

[9]. 网络隔离理论与关键技术研究[D]. 李正茂. 同济大学. 2006

[10]. 基于VT-x虚拟化的容器间资源硬隔离技术研究[D]. 王绪国. 兰州大学. 2017

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

安全隔离系统中的隔离方案与实现
下载Doc文档

猜你喜欢