內(nèi)網(wǎng)安全關(guān)鍵技術(shù)的研究與實現(xiàn).pdf_第1頁
已閱讀1頁,還剩134頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、多年來,眾多的研究者一直致力于網(wǎng)絡(luò)安全的研究,取得了巨大的進展。ISO于1989年制定了國際標準,給出了ISO/OSI參考模型的安全體系結(jié)構(gòu),在該模型中,增設(shè)了安全服務(wù),安全機制和安全管理,并給出了OSI網(wǎng)絡(luò)層次、安全服務(wù)和安全機制之間的邏輯關(guān)系,定義了五大類安全服務(wù),提供了這些服務(wù)的八大類安全機制以及相應(yīng)的開放系統(tǒng)互連的安全管理。在這一框架下不斷完善,目前已經(jīng)基本形成了一套由訪問控制、加密技術(shù)、數(shù)據(jù)完整性機制、認證機制、系統(tǒng)脆弱性檢測

2、、安全協(xié)議和防火墻技術(shù)與入侵檢測技術(shù)構(gòu)成的比較成熟的Internet安全體系結(jié)構(gòu)。但是,Internet安全體系結(jié)構(gòu)重點在于解決網(wǎng)絡(luò)邊界的安全問題,即只解決了外網(wǎng)與內(nèi)網(wǎng)之間的通信的安全問題。對于網(wǎng)絡(luò)中各部分之間的通信及運行情況無法進行統(tǒng)計和管理,也缺乏有效的內(nèi)網(wǎng)安全保障的技術(shù)手段,內(nèi)網(wǎng)的安全問題十分突出。另外,內(nèi)網(wǎng)與Internet的安全要求有著不同的側(cè)重點。Internet安全需求主要關(guān)注不同系統(tǒng)間的信息安全傳輸,而內(nèi)網(wǎng)必須考慮系統(tǒng)、

3、設(shè)備或組織內(nèi)所需要的安全措施。內(nèi)網(wǎng)的安全重點需求體現(xiàn)在如下方面:(1)通常內(nèi)網(wǎng)中的用戶可以通過簡單的工具對內(nèi)網(wǎng)中的其他主機和設(shè)備進行訪問、攻擊和監(jiān)聽,需要在內(nèi)網(wǎng)中有不同安全等級的隔離與權(quán)限管理;(2)隨著應(yīng)用的需求發(fā)展,內(nèi)網(wǎng)中的子網(wǎng)很可能不在同一物理空間內(nèi),需要對每一個端點進行具體的安全策略管理;(3)內(nèi)網(wǎng)中的資源和傳輸不受傳統(tǒng)邊界安全機制的保護,需要增加適用于內(nèi)網(wǎng)的一整套檢測控制安全手段。 針對內(nèi)網(wǎng)區(qū)別于Internet的安全

4、需求,本文提出了內(nèi)網(wǎng)安全體系結(jié)構(gòu),包括:在物理層和數(shù)據(jù)鏈路層,基于網(wǎng)絡(luò)交換機根據(jù)需要將內(nèi)網(wǎng)劃分成互相隔離的多個部分;在網(wǎng)絡(luò)層利用內(nèi)置虛擬服務(wù)器的NAT網(wǎng)關(guān)將內(nèi)網(wǎng)或內(nèi)網(wǎng)的一部分隱藏以保證其安全的同時,使網(wǎng)絡(luò)的其他部分可以對隱藏網(wǎng)絡(luò)的部分資源進行安全訪問;利用可靠的IP地址管理與分配機制,防止IP地址被盜用或濫用;在應(yīng)用層利用雙向代理服務(wù)器相互隔離內(nèi)網(wǎng)的各個部分,使它們中的主機可以基于應(yīng)用和基于用戶權(quán)限來相互訪問;用安全交換機連接隔離的內(nèi)網(wǎng)

5、的各個部分,在基于用戶授權(quán)控制的同時,基于應(yīng)用進行訪問控制。該安全體系結(jié)構(gòu)著重于傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)部網(wǎng)絡(luò)的安全保證,確保內(nèi)網(wǎng)中的可靠性、可用性、保密性、完整性、不可抵賴性和可控性,為內(nèi)網(wǎng)安全提供基礎(chǔ)框架。 在內(nèi)網(wǎng)安全體系結(jié)構(gòu)的基礎(chǔ)上,根據(jù)實際的需求和實踐的需要對關(guān)鍵技術(shù)進行了研究并實現(xiàn)了相應(yīng)的系統(tǒng)原型,包括: (1)采用普通代理和反向代理相結(jié)合的技術(shù),提出了雙向代理服務(wù)器模型,基于ARM嵌入式硬件環(huán)境和嵌入式Linux操作系

6、統(tǒng)設(shè)計并實現(xiàn)了雙向代理服務(wù)器。測試與實際運行表明,該雙向代理服務(wù)器改進了傳統(tǒng)代理服務(wù)器在內(nèi)網(wǎng)安全保證中的不足,安全可靠、效率較高,達到設(shè)計需求。 (2)將NAT技術(shù)與虛擬服務(wù)器技術(shù)相集成,并基于ARM嵌入式硬件環(huán)境和嵌入式Linux操作系統(tǒng)實現(xiàn)了集成虛擬服務(wù)器的NAT網(wǎng)關(guān),實現(xiàn)了對內(nèi)網(wǎng)的部分隱藏,內(nèi)網(wǎng)對外網(wǎng),外網(wǎng)對內(nèi)網(wǎng)的受限訪問,提高了對內(nèi)網(wǎng)安全的保護。 (3)基于DHCP實現(xiàn)了對內(nèi)網(wǎng)的計算機設(shè)備以及其他網(wǎng)絡(luò)設(shè)備的IP地

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論