基于TCP代理数据传输系统安全性优化.docVIP

基于TCP代理数据传输系统安全性优化 　　摘 要：随着网络技术的发展和普及，企业异地分支局域网之间的网络通信越来越频繁，用户对于安全性和数据传输的可靠性也更加重视。针对以上需求，本文对现有的基于TCP代理的数据压缩传输系统进行了分析，并进行安全性优化，提高了系统对于攻击的防御能力和数据传输的安全性。 关键词：TCP代理；安全；SYN cookie；OpenSSL Improvement of security for TCP proxy based on WAN data compression YAO Hui-feng CHEN Chun-ling PAN Chi（angjing University of Posts and Telecommunications School of Computer Science Technology，School of Software，Nanjing China 210003） Abstract：With development of communication technology， network communication between various enterprise or institutions and their remote branch is more and more important and frequent. Users attach great importance to the TCP proxy itself security and secure transmission of data.According to this demand of user， the article analyzes the existing TCP proxy security deficiencies， improves and designs the existing TCP proxy architecture， provides a certain safety and reliability of TCP proxy technology based on WAN data compression. Key words：TCP proxy；security；SYN cookie；OpenSSL 1 概述 基于TCP代理[1]的数据压缩传输系统，通过对经过互联网的数据流进行压缩传输，提高了带宽的利用率，很好地满足了异地局域网互相通信的需求。但已有的TCP代理技术更多关注的是数据传输速率，忽略了用户对安全性的需求，本文分析了现有数据压缩传输系统存在的安全隐患，引入SYN cookie[2]检测技术和OpenSSL[3]工具，提高了对攻击的防御能力和数据传输的安全性。 2 安全问题 图1是本人参与的企业项目中实现的数据压缩传输系统的结构图，TCP代理位于企业分支局域网和互联网连接的网关上。每个TCP代理上均带有数据压缩和解压缩两部分功能.压缩和解压的双方都需要维护一个数据字典，通过利用字典索引对原始数据进行编解码的方法达到冗余数据删除的效果。 通过分析可以看出安全问题主要是以下两个方面。 ⑴缺乏身份认证机制。TCP代理无法对异地主机进行身份确认，攻击者可以进行SYNFlood[4]攻击。 ⑵对数据信息私密性缺乏保护。TCP代理中，数据信息在经过广域网时缺乏必要的加密保护。 3 优化方案 本节介绍了第2节总提出的主要的安全隐患，并针对问题提出解决方案。 3.1 SYN Flood攻击防御的研究与设计 针对SYN Flood攻击，本文在建立TCP连接时，引入了一种基于SYN cookie的检测方法，报文预处理线程通过调用cookie生成和校验模块，对报文进行相应处理以达到识别正常和异常SYN报文防御SYN Flood攻击的目的。 3.2 数据安全传输的研究与设计 本文通过使用OpenSSL工具，在两个TCP代理之间实现身份认证，放弃原有的传统socket连接，建立基于SSL协议的安全TCP连接[5]，然后使用这个连接来发送和接受字典数据，对发送的数据进行加密处理和校验处理，从而保护字典数据。 4 实验结果和分析 4.1 实验环境 使用5台pc分别作为客户机、服务器、TCP代理、互联网模拟、攻击者，其中TCP代理和互联网模拟需要双网卡。以下为各pc配置： 客户机：cpu：英特尔x86酷睿2双核，内存：2G，硬盘：500G，操作系统：Ubuntu 10.04 服务器：cpu：英特尔x86酷睿2双核，内存：4G，硬盘：500G，操