分布式防火墻的策略表示與認證加密.pdf

1、摘要傳統(tǒng)網(wǎng)絡(luò)防火墻屬于邊界型防火墻，依賴于網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)來實施它的安全策略，并且假定被防火墻隔離的內(nèi)部網(wǎng)是安全的。隨著網(wǎng)絡(luò)的發(fā)展，這種單一控制點逐漸成為網(wǎng)絡(luò)性能的瓶頸及安全隱患，同時所謂內(nèi)部網(wǎng)安全的假定也被事實證明是不正確的。作為另一種防火墻方案，分布式防火墻采用控制中心制定安全策略，多個節(jié)點防火墻執(zhí)行策略的體系結(jié)構(gòu)，能夠很好解決邊界防火墻安全策略越來趙膨脹的弊端及內(nèi)部網(wǎng)的安全問題在分布式防火墻中，面臨的重要問題是策略管理與信任管理

2、。本文在比較了幾種安全模型之后，提出了HvwaveGuard安全管理模型。該模型采用控制中心簽名的證書表示通信節(jié)點的身份，通過數(shù)字簽名與認證來建立節(jié)點之間的信任關(guān)系?？刂浦行呢撠?zé)整個防火墻的策略制定分發(fā)及公私鑰匙對、證書的制定發(fā)放。節(jié)點之間的關(guān)鍵通信信息都被認為是一個策略，并用采用策略描述語言Hgnot。來表示。每個策略都有策略發(fā)布者，接受者的證書，策略制定的時間戳及有效期，同時還要附上發(fā)布者的數(shù)字簽名，這些信息用于保證策略的安全驗證每

3、個策略還可包含策略管理命令及策略內(nèi)容，這些信息用于保證有效的策略管理與節(jié)點問通信。最后，針對當(dāng)前網(wǎng)絡(luò)的實際情況，本文在Window:系統(tǒng)平臺上設(shè)計與實現(xiàn)了HywaveGuard防火墻模型的一個實例關(guān)鍵詞:防火墻分布式防火墻策略表示:加密認證分布式防火墻的策略表示與認證加密09I1舀隨著網(wǎng)絡(luò)的發(fā)展，信息安全問題也變得越來越嚴重。在眾多的安全技術(shù)中，防火墻Dl由于其充分利用網(wǎng)絡(luò)拓撲的特點，有效的執(zhí)行訪問控制策略，成為一種普遍應(yīng)用的信息保護手

4、段。然而，因為傳統(tǒng)邊界防火墻依賴于網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)，這為實施安全靈活的網(wǎng)絡(luò)應(yīng)用帶來了困難同時，防火墻單一扼制點的特性，也成為網(wǎng)絡(luò)性能的瓶頸。為了克服這些局限，分布式防火墻模型121被提出。分布式防火墻的特點是策略集中管理、分散執(zhí)行，即:安全策略在控制中心制定，再分發(fā)到各個節(jié)點防火墻解析執(zhí)行。但是，分布式防火墻也面臨著一些問題:如何保證策略管理，如何建立起通信節(jié)點之間的信任關(guān)系，如何保護通信節(jié)點之間的通信等。本文針對這些問題進行了初步的

5、研究與探索，并在Windows系統(tǒng)平臺中給出了相應(yīng)的設(shè)計與實現(xiàn)。本文第一部分介紹了本研究的課題來源和研究意義，概述了防火墻技術(shù)、分布式防火墻體系結(jié)構(gòu)的研究現(xiàn)狀，最后描述了本文作者所做的主要工作第二部分提出了一種新的分布式網(wǎng)絡(luò)防火墻模型HywaveGuard，并對其中的策略描述語言、認證加密體系進行了描述第三部分基于Windows系統(tǒng)平臺，對HywaveGuard防火墻進行了功能設(shè)計:第四部分詳細闡述了HywaveGuard防火墻的控制中