改进及优化Linux网络协议栈.doc

第 36卷 第 6期 电 子 科 技 大 学 学 报 V ol.36 No.6 2007年 12月 Journal of University of Electronic Science and Technology of China Dec. 2007 改进及优化 Linux 网络协议栈 童 浩,陈兴蜀,严 宏 (四川大学计算机学院 成都 610064 【 摘要 】 针对 X86通用硬件平台,分析了 Linux 网络协议栈工作原理及网络安全功能实现的机理,及基于 Linux 协议栈设 计与配置网络安全平台中存在的问题,对原有 Linux 网络协议栈进行了改进及优化,实现了一种适应网络安全平台要求的、基 于网络硬件端口转发、转发端口与管理端口分离,与原有 Linux 网络协议栈兼容的新的网络协议栈。通过测试,利用该协议栈 实现的网络安全平台比基于传统 Linux 协议栈实现的网络安全平台性能有较大辐度的提升, 并可使网络安全产品的设计更具紧 凑性与正交性。 关 键 词 Linux; 网络 ; 端口 ; 协议栈 中图分类号 TN918; O332 文献标识码 A Improved Network Protocol Stack of Linux Network TONG Hao, CHEN Xing-shu, YAN Hong (College of Computer Science, Sichuan University Chendu 610064 Abstract Focusing on the X86 platform, this paper analyzes the theory of Linux network protocol stack and the mechanism of firewall under this architecture, The problems of designing the Linux protocol stack and configuring secure network platform are pointed out. Then we introduce a new Linux network protocol stack which is based on the network hardware port transmission and the separation of transmission port and managerial port. By testing and comparing to traditional Linux protocol stack, this technology can greatly improve the performance of secure network platform and it makes the design of secure network products more compactness and orthogonality. Key words Linux; network; port; stack 收稿日期:2007 ? 05 ? 30 基金项目:国家 242信息安全计划项目 (2005C47; 2006电子发展基金 (信部运 634号 ;四川省科技攻关项目 (06GG0618 作者简介:童 浩 (1971 ? ,男,硕士生,主要从事信息安全、计算机网络方面的研究;陈兴蜀 (1968 ? ,女,博士,副教授,主要从事信息安全 方面的研究;严 宏 (1984 ? ,男,硕士,主要从事信息安全、计算机网络方面的研究 . 目前国内广泛使用 X86+Linux 作为网络防火墙 或其他类似安全设备的开发平台。 X86架构采用了 通用 CPU 和 PCI 总线接口, 具有很高的灵活性和可扩 展性; Linux 作为开放源代码的操作系统,开发者具 有良好的开发环境和系统源码支持。基于该平台的 产品功能主要由软件实现,可以根据用户的需求灵 活调整功能模块,因此它一直作为网络安全设备开 发的主要平台。 X86+Linux 架构的缺点:X86通用的计算平台 结构层次较多,不易优化; Linux 作为通用的操作系 统,更多考虑的是系统的通用性,没有对应用作进 一步的性能优化。该平台往往作为防火墙低端产品 的开发平台 [1]。 随着 CPU 性能的不断提升,总线结构的不断发 展 [2], X86+Linux 平台上的网络安全产品逐步向高 端发展。为与硬件平台发展相适应,本文针对 Linux 操作系统, 特别是对 Linux 网络协议栈进行了优化与 改进,提高了系统的处理能力,使之能适应网络安 全发展的需求。 1 网络安全设备