大型網(wǎng)絡(luò)統(tǒng)一訪問控制模型的研究.pdf

1、當(dāng)今社會，網(wǎng)絡(luò)的觸角已經(jīng)深入人們社會生活的各個方面，很多企事業(yè)單位對網(wǎng)絡(luò)的依賴性越來越高，其安全性也就越來越受到人們的重視，這就對網(wǎng)絡(luò)管理提出了更高要求。在日常的網(wǎng)絡(luò)管理中，最常做的工作就是訪問控制，訪問控制是網(wǎng)絡(luò)受到攻擊后能夠立刻采取的最有效的抵御辦法。然而大型網(wǎng)絡(luò)由于其拓?fù)涞膹?fù)雜性和設(shè)備的多樣性，使得管理員很難在發(fā)現(xiàn)異常的第一時間實施恰當(dāng)?shù)脑L向控制，具體說就是，對于單個設(shè)備的各個端口之間以及設(shè)備與設(shè)備之間的ACL的配置和部署，難于保

2、證沒有沖突或重復(fù)。 基于策略的網(wǎng)絡(luò)管理(PBNM)是網(wǎng)絡(luò)管理技術(shù)中的熱門話題，以其諸多優(yōu)點而備受推崇。采用基于策略的網(wǎng)絡(luò)管理能夠更好的實現(xiàn)QoS和IPSec，鑒于網(wǎng)絡(luò)管理各個領(lǐng)域之間的相通性，本文將基于策略的網(wǎng)絡(luò)管理的思想運用于訪問控制。采用了基于策略的網(wǎng)絡(luò)管理之后，策略由策略專家制定，并存儲到LDAP中去，這樣的策略可以提高訪問控制的一致性。發(fā)現(xiàn)網(wǎng)絡(luò)攻擊以后，管理員可以提取現(xiàn)成的策略，去對特定的傳輸層端口進(jìn)行封堵，減少其出現(xiàn)錯

3、誤的可能性。 基于策略的網(wǎng)絡(luò)管理中關(guān)鍵的，核心的步驟就是為策略信息建立模型，并映射到目錄中去。本文針對網(wǎng)絡(luò)節(jié)點上的訪問控制策略，對策略進(jìn)行基于CIM/PCIM標(biāo)準(zhǔn)的建模，這種建模是根據(jù)DMTF/IETF所制定的相關(guān)標(biāo)準(zhǔn)進(jìn)行的。經(jīng)過策略專家精心建模的策略可以提高策略在全局內(nèi)的一致性，從而減少執(zhí)行策略實施所產(chǎn)生的動作在整個大型網(wǎng)絡(luò)中引起沖突或重復(fù)的可能性。因為PBNM是以目錄驅(qū)動網(wǎng)絡(luò)(DEN)為標(biāo)準(zhǔn)的，隨后還將對策略模型進(jìn)行向LDA