PMI在分布式防火墙中的应用研究

论文摘要

随着计算机网络技术的日益发展，无论是机关、单位还是家庭、个人，都可以通过Internet获取资源、共享信息，网络与信息安全问题也变得日益突出。传统的防火墙都基于一个共同的假设，那就是把内部网络一端的用户看成是可信任的，把外部网络一端的用户当成潜在的攻击者来对待。由于基于这样的假设，传统的防火墙将严格依赖于网络拓扑结构，并且无法防范来自于网络内部的攻击。为了克服传统防火墙的缺点，近年来提出了分布式防火墙的概念，分布式防火墙采用策略集中制定，分发到受保护主机执行，很好的解决了传统防火墙面临的一些问题，更加适应了网络的发展需要。本文从介绍分布式防火墙的概念和模型开始，在参阅了大量国内外该领域的研究成果的基础上，详细介绍分布式防火墙的基本原理、本质特征、体系结构等基本理论问题。并对基于keyNote的分布式防火墙模型进行分析，KeyNote信任管理模型中使用公钥作为用户的身份标识，根据用户身份证书获取相应的策略。在制定策略时针对一个或一组用户公钥进行制定。一旦某个用户权限发生变更，那么所有涉及到该用户的策略都要做出相应的修改，这样就造成了用户变更时策略管理异常复杂。可以通过对用户的角色制定策略，用户通过属性证书获取策略来解决这样的问题。将用户与角色关联，角色与策略关联，在用户权限发生变更时只需获取新的属性证书而不需要对策略做出任何改动。PMI(Privilege Management Infrastructure权限管理基础设施)试图为不同的访问控制策略和机制提供一个通用的授权管理和授权服务平台。PMI使用属性证书表示和容纳权限信息，通过管理证书来实现对权限的管理。这种授权管理方法不依赖具体的应用，PMI适合各种访问控制策略的授权管理。因此可以将PMI引入到分布式防火墙中，为各类用户角色制定相应策略，并向用户发放属性证书。主机通过验证发起连接请求者属性证书中的角色信息来判断是否接受此次连接请求。本文提出了PMI在分布式防火墙中的应用模型，并给出了主机部分和权限管理基础设施的实现。主机部分通过改造网络协议栈，在其数据链路层和IP层之间嵌入了安全访问控制层，在此控制所有流过主机协议栈的网络数据包(包括进来的和出去的)。在数据包如何安全的“控制”上，利用权限管理基础设施。将被访问的主机视为一种资源，并把策略决策点应用于主机内，在主机内部进行权限判断。

论文目录

摘要

ABSTRACT

第1章引言

1.1 课题背景

1.2 论文的组织结构

第2章分布式防火墙

2.1 分布式防火墙综述

2.1.1 分布式防火墙的提出

2.1.2 分布式防火墙的本质特征

2.1.3 分布式防火墙的体系结构

2.2 分布式防火墙的实现

2.2.1 系统模型组件

2.2.2 工作过程

2.3 分布式防火墙的优势

2.4 本章小结

第3章分布式防火墙中的信任管理系统

3.1 防火墙的策略描述语言

3.1.1 商业防火墙策略描述

3.1.2 KeyNote策略描述语言

3.2 信任系统在分布式防火墙中的应用

3.2.1 分布式防火墙中的信任管理模型

3.2.2 基于KeyNote信任管理模型的分布式防火墙应用

3.2.3 基于KeyNote信任管理模型的缺点及改进方法

3.3 本章小结

第4章授权管理基础设施PMI

4.1 PMI基本概念

4.2 属性证书

4.2.1 属性证书的组成

4.2.2 属性证书的存储介质

4.3 PMI的组成

4.3.1 AA服务器

4.3.2 AA受理点

4.3.3 管理工具 Admin

4.3.4 决策服务器

4.3.5 LDAP目录服务器

4.3.6 应用服务器

4.4 PMI应用

4.4.1 PMI应用逻辑结构图

4.4.2 应用方式

4.5 本章小结

第5章 PMI在分布式防火墙中的应用

5.1 主机部分实现

5.2 数据包截获模块的设计

5.2.1 NDIS简介

5.2.2 IMD截获数据包的模型分析

5.2.3 截获模块与出、入数据包的接口

5.2.4 MPSend的处理流程

5.2.5 PtReceive的处理流程

5.3 PMI系统结构模型

5.4 PMI系统的实现

5.4.1 环境说明

5.4.2 模块描述

5.4.3 数据分解

5.4.4 依赖关系描述

5.4.5 接口描述

5.5 本章小结

第6章结论及将来的工作

6.1 结论

6.2 将来的工作

参考资料

致谢

攻读学位期间发表的主要学术论文

学位论文评阅及答辩情况表

PMI在分布式防火墙中的应用研究

论文摘要

论文目录

相关论文文献

猜你喜欢