首页> 正文

大型网络统一访问控制模型的研究

2020-11-27阅读(873)

大型网络统一访问控制模型的研究

论文摘要

当今社会,网络的触角已经深入人们社会生活的各个方面,很多企事业单位对网络的依赖性越来越高,其安全性也就越来越受到人们的重视,这就对网络管理提出了更高要求。在日常的网络管理中,最常做的工作就是访问控制,访问控制是网络受到攻击后能够立刻采取的最有效的抵御办法。然而大型网络由于其拓扑的复杂性和设备的多样性,使得管理员很难在发现异常的第一时间实施恰当的访问控制,具体说就是,对于单个设备的各个端口之间以及设备与设备之间的ACL的配置和部署,难于保证没有冲突或重复。基于策略的网络管理(PBNM)是网络管理技术中的热门话题,以其诸多优点而备受推崇。采用基于策略的网络管理能够更好的实现QoS和IPSec,鉴于网络管理各个领域之间的相通性,本文将基于策略的网络管理的思想运用于访问控制。采用了基于策略的网络管理之后,策略由策略专家制定,并存储到LDAP中去,这样的策略可以提高访问控制的一致性。发现网络攻击以后,管理员可以提取现成的策略,去对特定的传输层端口进行封堵,减少其出现错误的可能性。基于策略的网络管理中关键的,核心的步骤就是为策略信息建立模型,并映射到目录中去。本文针对网络节点上的访问控制策略,对策略进行基于CIM/PCIM标准的建模,这种建模是根据DMTF/IETF所制定的相关标准进行的。经过策略专家精心建模的策略可以提高策略在全局内的一致性,从而减少执行策略实施所产生的动作在整个大型网络中引起冲突或重复的可能性。因为PBNM是以目录驱动网络(DEN)为标准的,随后还将对策略模型进行向LDAP目录映射,存储为可用的数据结构,使相关的网络管理应用能够共享策略专家建立策略模型信息。策略管理的实施方面,针对目前设备并不支持公共策略服务协议(COPS),缺少作为策略执行点(PEP)的特性的情况,我们提出了一个新的访问控制策略执行的架构:先根据访问控制策略生成设备可用的ACL,并且通过程序以SSH方式自动登录到目标设备,对目标设备部署ACL,从而实现基于策略网络管理在访问控制上的应用,进而提高了访问控制部署的一致性。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 研究背景和意义
  • 1.2 目前网络管理中的访问控制现状
  • 1.3 基于策略的网络管理的架构
  • 1.4 国内外研究现状
  • 1.5 本文的研究目的
  • 1.6 本文的主要工作
  • 第二章 策略信息模型的描述
  • 2.1 引言
  • 2.2 公共信息模型
  • 2.2.1 公共信息模型的诞生背景
  • 2.2.2 面向对象建模
  • 2.2.3 CIM的表示方法
  • 2.2.4 CIM规范和CIM模式
  • 2.2.4.1 CIM规范
  • 2.2.4.2 CIM模式
  • 2.3 策略的信息模型
  • 2.4 策略核心模型PCIM和PCIMe
  • 2.5 PCIMe的结构
  • 2.5.1 PolicySet类
  • 2.5.2 变量和值
  • 2.5.2.1 变量
  • 2.5.2.2 值
  • 2.5.3 复杂策略条件和复杂策略动作
  • 2.5.4 把变量和值应用于简单条件和简单动作
  • 2.5.4.1 把变量和值应用与简单条件
  • 2.5.4.2 把变量和值应用于简单动作
  • 2.6 访问控制策略模型的建立
  • 2.6.1 访问控制列表
  • 2.6.2 ACL的策略描述
  • 2.6.3 一条ACE的策略模型
  • 2.6.4 简单条件策略实例的MOF描述
  • 2.7 角色控制及接口控制
  • 第三章 轻量级目录访问协议
  • 3.1 引言
  • 3.2 目录服务概述
  • 3.3 LDAP概述
  • 3.4 组成LDAP的四个模型
  • 3.4.1 信息模型
  • 3.4.2 命名模型
  • 3.4.3 功能模型
  • 3.4.4 安全模型
  • 3.5 LDAP schema
  • 3.5.1 schema的概念
  • 3.5.2 schema的目的
  • 3.5.3 schema元素的格式
  • 3.5.4 OID(object identifer,对象标志符)
  • 3.5.5 schema元素的名称
  • 3.5.6 构成schema的元素
  • 3.5.6.1 属性类型(attribute types)
  • 3.5.6.2 对象类(object classes)
  • 3.5.6.3 语法(syntaxes)
  • 3.5.6.4 匹配规则(matching rules)
  • 3.6 LDIF文件格式
  • 3.7 LDAP的编程接口
  • 3.8 策略模型向LDAP映射的必要性
  • 第四章 策略模型向LDAP的映射
  • 4.1 引言
  • 4.2 目录驱动网络
  • 4.3 映射的标准化schema
  • 4.3.1 CIM向LDAP的映射dls
  • 4.3.2 PCIM和PCIMe向LDAP的映射pcls和pcels
  • 4.4 目录条目的命名
  • 4.5 策略存储结构
  • 4.6 PolicyForwardEnabledVariable和PolicyACLApplyDirection的映射
  • 4.7 条目举例
  • 第五章 系统实现
  • 5.1 引言
  • 5.2 策略管理系统一种实现的架构
  • 5.3 策略仓库的实现
  • 5.3.1 给出策略信息的schema
  • 5.3.2 目录树的组织
  • 5.4 目录访问操作
  • 5.5 SSH握手
  • 第六章 结束语
  • 参考文献
  • 附录1 存储在LDAP中的策略信息的LDIF文件
  • 附录2 本文设计的策略信息映射的schema
  • 附录3 openLDAP的相关配置
  • 发表论文和科研情况说明
  • 致谢

    • 相关论文文献

    标签:;  ;  ;  ;  ;  ;  

    大型网络统一访问控制模型的研究
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5