资源描述
黑匣子密路系统
需求分析文件
项目需求分析文件
文件状态:
[√] 草稿
[ ] 正式发布
[ ] 正在修改
文件标识:
Project No.XXX-RD-RF No.XXX
当前版本:
X.Y
作 者:
完成日期:
Year-Month-Day
关于文件的其他属性还可以根据需要添加诸如需求认可负责人、涉及的产品版本号、关联文档编号等内容。
版 本 历 史
版本/状态
作者
参与者
起止日期
备注
第一章 引言
1.1 目的
黑匣子密路系统通过对通信双方(服务端、客户端)进行IP地址、端口、及一些传输内容的控制,来达到优化数据传输环境,增强数据传输能力,保证数据传输通道的性、健壮性、高效性的目的;并能够实时显示业务主机受到的威胁事件,为优化网络结构(路由器、交换机、防火墙等)提供依据及参考。
1.2 背景
在互联网产业飞速发展的今天,不断更新网络技术已经让传统的社会生产方式产生翻天覆地的变化。但是Internet在给人们的生产生活带来便利的同时,也带来了极大的隐患。
要保护政府机构、企业、事业单位日渐庞大的信息数据,目前通常采用的办法是防火墙、杀毒软件、入侵检测等这些传统的设备。诚然,这些已经被广泛采用的设备可以防御相当一部分常规攻击行为,但同时我们不得不接受一个残酷的现实,不少机构、企业在部署了几乎全部传统产品后,机密的信息数据依然出现了被破坏、丢失等情况。
那么是什么原因导致这些情况的发生呢?我们知道所有的攻击来源和攻击目标最终都会归结到承载企事业单位信息数据的终端和服务器上。但是储存数据和承载着业务系统的操作系统的问题却是层出不穷的,一旦最后一道防线被攻破,即使我们有监控证据和管理措施,重要数据丢失造成的影响是我们无法估量的。
1.2.1 行业背景
随着互联网的飞速发展,互联网面临的各种问题层出不穷,从而带动了网络行业的巨大发展,基于网络保护的产品有交换机、路由器、防火墙、IDS、IPS、流量清洗系统等,基于主机保护的产品有个人防火墙、防病毒木马系统、主机检测及防护系统等,还有一些用于评估及管理的产品,用于数据传输阶段的认证及加密的产品及方案等;除了产品外,很多网络厂商还提供针对各种行业的解决方案、服务等;产品、解决方案、服务为互联网的发展提供了技术支撑和保障;没有互联网,就不会有网络,没有网络,互联网行业就无法发展、壮大。
网络厂商提供的产品、服务、解决方案总体上解决了网络问题,但对网络及业务应用等方面的细节保护却不可能做的太细,一方面是厂商没有精力去对各种业务应用及部署进行研究,另一方面是客户也不希望厂商了解牵涉到业务应用方面的内容。这就为熟悉行业特点同时又有一定网络技术能力的服务商提供了一定得发展的空间和机会。
罗克佳华通过多年对一些行业的研究和技术方面的积累,对数据传输通道的进行了深入研究,提出了对数据传输通道的保护解决方案,解决了目前个人防火墙、防病毒、主机保护不能跨平台、不同系统事件不能集中监控显示、不同系统业务主机不能统一管理等问题。
1.2.2 存在的问题
(1)业务主机防护系统还没被广泛接受
目前,在网络,基于网络的产品能够普遍被接受,基于个人主机的防火墙、防病毒也普遍被接受,但对于在业务主机上部署主机防护系统会普遍会受到客户或业务单位的抵制,原因在于业务主机万一出现问题后,到底是因为业务系统的问题还是因为主机防护系统的问题很难划分清楚。
(2)用户对防护所采用的技术缺乏了解
目前,个人主机上应用的主机保护系统(防火墙、防病毒等)技术已经非常成熟,这些软件只是属于应用软件,而不是操作系统级软件,防火墙、防病毒等软件本身即使出现问题,也不会对业务应用本身造成直接影响。类软件都需要国家相关部门的认证(工信部、国家保密局等)才可应用发布,其测试也比一般应用软件更为严格,其可靠、稳定程度远比一般的业务应用健壮的多。
(3)制度及机制不健全
业务主机系统出现问题后,往往会出现不同软件或硬件供应商间互向指责对方,出现扯皮、责任不清等问题。这就需要有专门的制度、机制、机构或授权单位来处理这些问题,从而更好的保障客户利益,而这方面的建设目前还比较滞后。
1.3 参考资料
1、住房信息系统项目(一期)竞争性谈判文件
2、住房信息系统操作规程
3、住房信息系统业务规范。
1.4 术语
列出本文档中用到的专门术语的定义。
第二章 任务概述
2.1 目标
本软件产品是一项独立的软件,而且全部内容自含。
2.2 系统(或用户)的特点
数据传输通道保护系统通过对通信双方(服务端、客户端)进行IP地址、端口、及一些传输内容的控制,来达到优化数据传输环境,增强数据传输能力,保证数据传输通道的性、健壮性、高效性的目的;并能够实时显示业务主机受到的威胁事件,为优化网络结构(路由器、交换机、防火墙等)提供依据及参考
第三章 假定和约束
1.功能明确,易于操作:当前系统力求做到功能简洁明确,便于实施部署、培训操作。
2.分步实施,急用先行:首先通过实现统一的项目贷款实时结算功能,控制关键节点、规范业务操作,满足当前对住房项目贷款专户资金全程、实时监管的需要。
3.持续改进,拓展功能:系统在满足当前监管需要的同时,兼顾长远,不断增强和改进系统功能。
第四章 产品的功能性需求
4.1 Windows网络包过滤引擎模块
引擎通过拦截传输层报文,根据策略配置来判断报文是否合法,对不合法的报文进行阻断,同时生成事件交给通信模块;对合法报文不做任何处理,这样引擎通过对数据传输层的控制,既能限制外界非法IP及端口对本机的访问,也能限制本机对外网IP及端口或局域网内其它IP及端口的访问,还可以通过定制来限制一些非法内容的传播,以达到保护本机系统,净化本机数据传输环境、提高效率、增强稳定性、性的目的。
引擎采用成熟的SPI技术来实现保护主机通信环境,阻断非法访问。SPI(Stateful Packet Inspection) 全状态数据包检测,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的性。
引擎在默认情况下拒绝所有来自外网的请求,并且对通过引擎的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过引擎进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
引擎模块保护原理图:
4.2 Linux网络包过滤引擎模块
引擎采用成熟的netfilter技术来实现保护主机业务通信环境,阻断非法访问;netfilter架构就是在整个网络通信流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是用户自定义的功能)。通过检测点处理函数对通信的源地址、源端口、目的地址、目的端口、协议类型进行检测从而判断是否过滤数据报。
Netfilter是linux下一种非常成熟的网络包过滤技术架构,linux自身防火墙就是基于这种技术架构实现的,因此引擎采用该架构可以降低开发风险,确保主机系统的稳定、可靠,从而更好实现净化本机业务数据传输环境、提高效率、增强稳定性、性等目标。
4.3 通信模块
Tcp通信是应用最广泛的面向连接的通信机制,要简单实现通信双方的数据传输比较容易。但要想实现在互联网上高效、稳定、并且支持多并发、断开自动重连的通信组件并非易事,需要开发者对tcp协议、套接字状态、发送窗口、三次握手等内容有详细了解。
4.3.1通信过程描述
服务器端:
(1)执行SOCKET,创建一个新的套接字通信端点并为其分配表空间。
(2)执行BIND为套接字分配一个本地地址和名字。
(3)执行LISTEN表示服务器进程愿意接受连接请求,并指定连接等待队列的最大长度。
(4)执行ACCEPT,阻塞或轮询服务器进程,等待客户的连接请求。一旦客户的连接请求到达,传输实体即为其创建一个新的具有相同属性的套接字,并产生一个进程或线程在新套接字上处理该连接。然后服务器进程回到原来的套接字上继续监听连接请求。
客户端:
(1)执行SOCKET,创建一个新的套接字通信端点。
(2)执行CONNECT,阻塞连接请求者并主动开始建立连接的进程。当服务器的应答到来后,客户进程被唤醒,连接即告建立。
通信连接建立后,双方都可使用SEND和RECEIVE在已有的连接上发送和接收数据;连接的释放是对称的,当双方都执行了CLOSE后,连接即被释放。
4.3.2 Tcp套接字通信示意图:
4.3.3 三次握手
TCP通信连接建立过程如下:
客户请求连接TCP段:SYN=1,ACK=0,seq=x
服务器响应连接TCP段:SYN=1,ACK=1,seq=y,ack=x+1
客户响应连接TCP段: ACK=1,seq=x+1,ack=y+1
初始连接序号的选择采用基于时钟的方案,每隔4微妙初始连接序号加1
4.3.4 通信状态描述
互联网的网络环境是极其复杂的,运行于局域网上的性能稳定的通信软件到了互联网上会出现很多问题,也许软件根本就没法正常使用,这一方面是因为互联网复杂造成的,另一方面是因为软件存在较多缺陷,健壮性不够造成的。编写能过长期运行于互联网上的软件就必须考虑互联网上的各种通信状态,发生状态变化时应采取怎样的处理机制,只有对这些做深入了解才有可能写出稳定、健壮、能长期运行于互联网的通信软件。TCP通信状态变化见下图:
4.4 加密认证模块
4.4.1 身份认证功能
通信双方(甲和乙)通过公钥加密和私钥解密可实现彼此的身份认证。甲方用乙公钥加密一标识,发送给乙;乙方用乙私钥解密密文,得到标识,然后乙用甲公钥加密该标识,发送给甲;甲用甲私钥解密密文,解密后的标识与甲用乙公钥加密前的标识对照,从而实现甲对乙的认证。同理,用上述方法也可实现乙对甲的身份认证。如下图:
认证功能由认证子模块提供,主要完成通信双方彼此间身份的确认和数据加密密钥的交换,以便进行数据的传输;认证采用1024位RSA非对称加密算法,该算法加密强度高;数据加密采用128位AES对称加密算法,加密强度和效率均能较好满足数据加密需求;认证流程如下:
4.4.2 数据加密功能
数据传输是在身份认证的基础上建立起来的,认证过程为数据通信过程提供AES对称密钥,通信双方的命令、事件、策略、日志、原始报文等信息发送前用该密钥进行加密,接收后用该密钥解密。流程如下:
4.5 数据库接口模块
通信模块客户端接受来之数据传输通道保护引擎上报来的事件,并把事件转发给数据可接口模块和实时显示模块,数据库接口模块把接收到的数据记录到数据库中,供分析查询模块适用;数据库接口模块提供数据库配置接口,供其他模块调用;在系统中,数据库接口模块除了事件入库外,还为策略配置模块提供接口,以便策略配置信息的入库和提取。
数据接口模块与其它模块关系如下图:
4.6 策略配置模块
策略配置模块对数据传输通道保护引擎进行策略配置,以便使数据传输通道保护引擎对需要阻止的数据包进行阻断操作,根据策略配置需要阻止的源IP、源端口、目的IP、目的端口、协议等内容,也可配置事件的报警级别(可把事件分成高、中、低);配置好的策略信息存放于数据库中,策略配置模块可以把策略信息生成策略配置文件通过通信模块客户端发送给数据传输通道保护引擎,传输通道保护引擎根据策略配置信息对业务主机系统进行保护。
策略配置模块其它模块关系如下图:
4.7 实时显示模块
通信模块客户端接受来之数据传输通道保护引擎上报来的事件,并把事件转发给数据可接口模块和实时显示模块,实时显示模块把接收到的数据根据显示配置选项进行显示。通过事件实时显示,用户可以非常方便的掌控业务系统主机中出现的事件,并根据情况对网络的相关环节进行配置、加固(如防火墙、路由器等)。
实时显示模块与其它模块关系图:
4.8 分析查询模块
分析查询模块可以根据引擎IP、端口、数据流向、协议类型、监控行为、时间段等对事件日子进行查询,既可以单条件查询也可根据需要进行组合查询;查询结果可以以表格、曲线、柄状图、柱状图等方式显示,可以帮助用户分析整个系统的状况、趋势、问题分布等信息,为用户进行信息规划、网络规划提供决策支持。
第五章 产品的非功能性需求
5.1 用户界面需求
需求名称
详细要求
字体表达
界面文字(包括数字和英文字母),一般情况下都应垂直右对齐,并且使用中文全角标点符号。
使用统一字体,字体标准的选择依据操作系统类型决定。 中文采用标准字体,“宋体”,英文采用标准 Microsoft Sans Serif 不考虑特殊字体(隶书、草书等,特殊情况可以使用图片取代),保证每个用户使用起来显示都很正常。字体大小根据系统标准字体来,例如 MSS字体8磅,宋体的小五号字(9磅)五号字(10.5磅)。 所有控件尽量使用大小统一的字体属性,除了特殊提示信息、加强显示等例外情况 。ITop采用BCB,所有控件默认使用 parent font,不允许修改,这样有利于统一调整
控件
屏幕不能拥挤,行与行之间间距相同,数据对齐要适当,窗口缩放时,控件位置、布局
……
5.2 软硬件环境需求
Tab.4 the Table of Hardware Requirement
需求名称
详细要求
服务器
数据库及应用服务器操作系统
客户端PC
中高档主流PC机
n WindowsXP
n IE 6.0\ IE 7.0
n IBM Rational application Developer 6.0(for windows)
n PowerDesigner 11.0
n Rational Rose 2003企业版
5.3 产品质量需求
主要质量属性
详细要求
可靠性
系统的设计应具有较高的可靠性,在系统故障或事故造成中断后,能确保数据的准确性、完整性和一致性,并具备迅速恢复的功能,同时系统具有一整套完成的系统管理策略
易用性
操作方便简单,界面友好
性
应符合国家相关规定和国家、行业标准要求,具备较高的保密性,强化存储备份,确保可靠稳定运行。
可扩展性
系统设计中考虑到今后技术的发展和使用的需要,具有更新、扩充和升级的可能。
兼容性
与软件无需采用有别于为该软件准备的活动或手段就可能适应不同的规定环境有关的软件属性
可移植性
移植性强是指在不同的操作系统下(WINDOWS,LINUX,UNIX,FREEBSD等等)都能有很好的兼容性,不会出现兼容性问题
5.4 其他需求
第六章 尚需解决的问题
无
附录A 用户需求调查报告
需求调研过程中会产生各种记录如调查表格、业务系统单据等。记录或报告的存档编号和名称填写在下表中。其中类别是记录的分类,一般有业务系统说明书、业务系统数据说明书、业务系统调查表、原始数据单据、业务系统参考资料。
A.1 需求标题1
需求标题1
调查方式
调查人
调查对象
时间、地点
需求信息记录
A.n 需求标题N
需求标题N
调查方式
调查人
调查对象
时间、地点
需求信息记录
附录B 其它用户相关资料
1. 基于C8051F单片机直流电动机反馈控制系统的设计与研究
2. 基于单片机的嵌入式Web服务器的研究
3. MOTOROLA单片机MC68HC(8)05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究
4. 基于模糊控制的电阻钎焊单片机温度控制系统的研制
5. 基于MCS-51系列单片机的通用控制模块的研究
6. 基于单片机实现的供暖系统最佳启停自校正(STR)调节器
7. 单片机控制的二级倒立摆系统的研究
8. 基于增强型51系列单片机的TCP/IP协议栈的实现
9. 基于单片机的蓄电池自动监测系统
10. 基于32位嵌入式单片机系统的图像采集与处理技术的研究
11. 基于单片机的作物营养诊断专家系统的研究
12. 基于单片机的交流伺服电机运动控制系统研究与开发
13. 基于单片机的泵管内壁硬度测试仪的研制
14. 基于单片机的自动找平控制系统研究
15. 基于C8051F040单片机的嵌入式系统开发
16. 基于单片机的液压动力系统状态监测仪开发
17. 模糊Smith智能控制方法的研究及其单片机实现
18. 一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制
19. 基于双单片机冲床数控系统的研究
20. 基于CYGNAL单片机的在线间歇式浊度仪的研制
21. 基于单片机的喷油泵试验台控制器的研制
22. 基于单片机的软起动器的研究和设计
23. 基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究
24. 基于单片机的机电产品控制系统开发
25. 基于PIC单片机的智能手机充电器
26. 基于单片机的实时内核设计及其应用研究
27. 基于单片机的远程抄表系统的设计与研究
28. 基于单片机的烟气二氧化硫浓度检测仪的研制
29. 基于微型光谱仪的单片机系统
30. 单片机系统软件构件开发的技术研究
31. 基于单片机的液体点滴速度自动检测仪的研制
32. 基于单片机系统的多功能温度测量仪的研制
33. 基于PIC单片机的电能采集终端的设计和应用
34. 基于单片机的光纤光栅解调仪的研制
35. 气压式线性摩擦焊机单片机控制系统的研制
36. 基于单片机的数字磁通门传感器
37. 基于单片机的旋转变压器-数字转换器的研究
38. 基于单片机的光纤Bragg光栅解调系统的研究
39. 单片机控制的便携式多功能乳腺治疗仪的研制
40. 基于C8051F020单片机的多生理信号检测仪
41. 基于单片机的电机运动控制系统设计
42. Pico专用单片机核的可测性设计研究
43. 基于MCS-51单片机的热量计
44. 基于双单片机的智能遥测微型气象站
45. MCS-51单片机构建机器人的实践研究
46. 基于单片机的轮轨力检测
47. 基于单片机的GPS定位仪的研究与实现
48. 基于单片机的电液伺服控制系统
49. 用于单片机系统的MMC卡文件系统研制
50. 基于单片机的时控和计数系统性能优化的研究
51. 基于单片机和CPLD的粗光栅位移测量系统研究
52. 单片机控制的后备式方波UPS
53. 提升高职学生单片机应用能力的探究
54. 基于单片机控制的自动低频减载装置研究
55. 基于单片机控制的水下焊接电源的研究
56. 基于单片机的多通道数据采集系统
57. 基于uPSD3234单片机的氚表面污染测量仪的研制
58. 基于单片机的红外测油仪的研究
59. 96系列单片机仿真器研究与设计
60. 基于单片机的单晶金刚石刀具刃磨设备的数控改造
61. 基于单片机的温度智能控制系统的设计与实现
62. 基于MSP430单片机的电梯门机控制器的研制
63. 基于单片机的气体测漏仪的研究
64. 基于三菱M16C/6N系列单片机的CAN/USB协议转换器
65. 基于单片机和DSP的变压器油色谱在线监测技术研究
66. 基于单片机的膛壁温度报警系统设计
67. 基于AVR单片机的低压无功补偿控制器的设计
68. 基于单片机船舶电力推进电机监测系统
69. 基于单片机网络的振动信号的采集系统
70. 基于单片机的大容量数据存储技术的应用研究
71. 基于单片机的叠图机研究与教学方法实践
72. 基于单片机嵌入式Web服务器技术的研究及实现
73. 基于AT89S52单片机的通用数据采集系统
74. 基于单片机的多道脉冲幅度分析仪研究
75. 机器人旋转电弧传感角焊缝跟踪单片机控制系统
76. 基于单片机的控制系统在PLC虚拟教学实验中的应用研究
77. 基于单片机系统的网络通信研究与应用
78. 基于PIC16F877单片机的莫尔斯码自动译码系统设计与研究
79. 基于单片机的模糊控制器在工业电阻炉上的应用研究
80. 基于双单片机冲床数控系统的研究与开发
81. 基于Cygnal单片机的μC/OS-Ⅱ的研究
82. 基于单片机的一体化智能差示扫描量热仪系统研究
83. 基于TCP/IP协议的单片机与Internet互联的研究与实现
84. 变频调速液压电梯单片机控制器的研究
85. 基于单片机γ-免疫计数器自动换样功能的研究与实现
86. 基于单片机的倒立摆控制系统设计与实现
87. 单片机嵌入式以太网防盗报警系统
88. 基于51单片机的嵌入式Internet系统的设计与实现
89. 单片机监测系统在挤压机上的应用
90. MSP430单片机在智能水表系统上的研究与应用
91. 基于单片机的嵌入式系统中TCP/IP协议栈的实现与应用
92. 单片机在高楼恒压供水系统中的应用
93. 基于ATmega16单片机的流量控制器的开发
94. 基于MSP430单片机的远程抄表系统及智能网络水表的设计
95. 基于MSP430单片机具有数据存储与回放功能的嵌入式电子血压计的设计
96. 基于单片机的氨分解率检测系统的研究与开发
97. 锅炉的单片机控制系统
98. 基于单片机控制的电磁振动式播种控制系统的设计
99. 基于单片机技术的WDR-01型聚氨酯导热系数测试仪的研制
100. 一种RISC结构8位单片机的设计与实现
101. 基于单片机的公寓用电智能管理系统设计
102. 基于单片机的温度测控系统在温室大棚中的设计与实现
103. 基于MSP430单片机的数字化超声电源的研制
104. 基于ADμC841单片机的防爆软起动综合控制器的研究
105. 基于单片机控制的井下低爆综合保护系统的设计
106. 基于单片机的空调器故障诊断系统的设计研究
107. 单片机实现的寻呼机编码器
108. 单片机实现的鲁棒MRACS及其在液压系统中的应用研究
109. 自适应控制的单片机实现方法及基上隅角瓦斯积聚处理中的应用研究
110. 基于单片机的锅炉智能控制器的设计与研究
111. 超精密机床床身隔振的单片机主动控制
112. PIC单片机在空调中的应用
113. 单片机控制力矩加载控制系统的研究
项目论证,项目可行性研究报告,可行性研究报告,项目推广,项目研究报告,项目设计,项目建议书,项目可研报告,本文档支持完整下载,支持任意编辑!选择我们,选择成功!
项目论证,项目可行性研究报告,可行性研究报告,项目推广,项目研究报告,项目设计,项目建议书,项目可研报告,本文档支持完整下载,支持任意编辑!选择我们,选择成功!
单片机论文,毕业设计,毕业论文,单片机设计,硕士论文,研究生论文,单片机研究论文,单片机设计论文,优秀毕业论文,毕业论文设计,毕业过关论文,毕业设计,毕业设计说明,毕业论文,单片机论文,基于单片机论文,毕业论文终稿,毕业论文初稿,本文档支持完整下载,支持任意编辑!本文档全网独一无二,放心使用,下载这篇文档,定会成功!
展开阅读全文