PMI在分布式防火墙中的应用研究
随着计算机网络技术的日益发展,无论是机关、单位还是家庭、个人,都可以通过Internet获取资源、共享信息,网络与信息安全问题也变得日益突出。传统的防火墙都基于一个共同的假设,那就是把内部网络一端的用户看成是可信任的,把外部网络一端的用户当成潜在的攻击者来对待。由于基于这样的假设,传统的防火墙将严格依赖于网络拓扑结构,并且无法防范来自于网络内部的攻击。为了克服传统防火墙的缺点,近年来提出了分布式防火墙的概念,分布式防火墙采用策略集中制定,分发到受保护主机执行,很好的解决了传统防火墙面临的一些问题,更加适应了网络的发展需要。
本文从介绍分布式防火墙的概念和模型开始,在参阅了大量国内外该领域的研究成果的基础上,详细介绍分布式防火墙的基本原理、本质特征、体系结构等基本理论问题。并对基于keyNote的分布式防火墙模型进行分析,KeyNote信任管理模型中使用公钥作为用户的身份标识,根据用户身份证书获取相应的策略。在制定策略时针对一个或一组用户公钥进行制定。一旦某个用户权限发生变更,那么所有涉及到该用户的策略都要做出相应的修改,这样就造成了用户变更时策略管理异常复杂。可以通过对用户的角色制定策略,用户通过属性证书获取策略来解决这样的问题。将用户与角色关联,角色与策略关联,在用户权限发生变更时只需获取新的属性证书而不需要对策略做出任何改动。
PMI(Privilege Management Infrastructure权限管理基础设施)试图为不同的访问控制策略和机制提供一个通用的授权管理和授权服务平台。PMI使用属性证书表示和容纳权限信息,通过管理证书来实现对权限的管理。这种授权管理方法不依赖具体的应用,PMI适合各种访问控制策略的授权管理。因此可以将PMI引入到分布式防火墙中,为各类用户角色制定相应策略,并向用户发放属性证书。主机通过验证发起连接请求者属性证书中的角色信息来判断是否接受此次连接请求。
本文提出了PMI在分布式防火墙中的应用模型,并给出了主机部分和权限管理基础设施的实现。主机部分通过改造网络协议栈,在其数据链路层和IP层之间嵌入了安全访问控制层,在此控制所有流过主机协议栈的网络数据包(包括进来的和出去的)。在数据包如何安全的“控制”上,利用权限管理基础设施。将被访问的主机视为一种资源,并把策略决策点应用于主机内,在主机内部进行权限判断。
PMI;应用模型;分布式防火墙;权限管理;计算机网络;信息安全
山东大学
硕士
系统分析与集成
周大水
2007
中文
TP393.08
62
2007-08-27(万方平台首次上网日期,不代表论文的发表时间)