内网主机访问控制应用研究

内网主机访问控制应用研究

ID:34823488

大小:2.94 MB

页数:93页

时间:2019-03-11

内网主机访问控制应用研究_第1页
内网主机访问控制应用研究_第2页
内网主机访问控制应用研究_第3页
内网主机访问控制应用研究_第4页
内网主机访问控制应用研究_第5页
资源描述:

《内网主机访问控制应用研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、东华大学硕士学位论文内网主机访问控制应用研究姓名:戎健申请学位级别:硕士专业:计算机应用技术指导教师:王以刚20050301内鼹主机访问控制应用研究摘要内网主机访问控制应用研究摘要现今众多的企业组织、政府部门与机构都在组建和发展自己的内部网络系统,并且融入国际互联网络Internct,同时攻击威胁也一直和网络的发展相互交织。组织机构的内网通信因其在局部范围内大量的网络用户而面临更多潜在的网络威胁,包括网络数据包嗅探、IP地址欺骗、会话劫持等,同时边界防火墙也不再能承担所有的抗攻击重任。网络安全的木桶效应又使安全人员在内网攻击的防范上顾此失彼,很可能从一

2、个攻陷点最后渗透到整个内网。如何确保内网的安全成为当前信息安全的一个重要研究领域。针对内网环境的复杂性,仅仅运用单一的或者零散的防范技术对安全需求来说是形同虚设,已不能有效抵抗成百上千、方式各异的网络威胁,要求一种系统的但又实施方便的安全措施来保障内网主机间的通信安全。基于上述要求,本文提出了一种内网主机安全访问控制模型。其基本思想是通过改造内网通信主机的网络协议栈,在其数据链路(Datalink)层和IP层之间嵌入了一安全访问控制层,在此控制所有流过主机协议栈的网络数据包(包括进来的和出去的);在数据包如何安全的“控制”上,采用了凭证一策略验证的信任

3、管理子模型、附加Datalink层序列号确认以及实时的加密网络数据包等技术手段。改造后的协议栈运行在内网的每一主机,而且每一主机既可作为服务端,内两主机访向控制应用研究摘要也可作为客户端来实施安全访问控制,达到分布式网络主机的对称安全访问。对于安全访问控制的流程安排上,依次经过四次握手建立安全通道以及在已建立的安全通道的正式数据传输。四次握手初始化并建立合法的会话,并完成会话密钥以及序列号池的协商,其中序列号池的协商依靠会话密钥来加密序列号种子;正式数据传输以四次握手为安全基础,以对称会话密钥加密网络数据包并通过数据链路层序列号来引入严格的底层确认机制

4、,保证了通信双方会话过程数据包的机密性及安全同步。这样,各个安全资源条件建立过程合理,互为依赖,整个系统的整合安全有效、逻辑严密。研究的系统模型具有如下特点和创新:1.基于凭证一策略信任关系的、分布式对称多用户的灵活的访问控制。避免了当前大多数访问控制系统采用的庞大复杂的、难以维护和扩展的集中式访问列表形式,并且主机在内网中的角色是对等的而不是明显区分的C/S模式。2.对应用层透明,也即该安全模型的实施与具体的应用程序无关。通过引入凭证一策略,分化了特定的应用程序同访问控制策略的关联,这种关联将只是通过配置凭证和策略来解决,而无需改造特定的应用程序。3

5、.协议栈底层的网络数据包的加密以及数据链路层序列号确认机制作为系统的安全屏障,有效屏蔽了对IP层及以上各协议层的漏洞攻击,克服了内网通信易受IP地址欺骗、数据包嗅探、会话劫持等弱点。4.很好的防范了内网主机间的DOS攻击。非法的不持有凭证的通信发起端将不能发出第一个数据包,从而在源头被阻断。Ⅱ内嗣主机访阿控制应用研究摘要5。拥有自主源代码的安全控制模块和加密等安全算法,克服了使用非开放源代码的操作系统和安全算法的风险。本文从内网通信中安全需求和背景出发,分析了建立该安全系统模型的技术基础,给出了整个安全访问控制模型的框架结构,并对各个模块的详细设计和仿

6、真实现进行了阐述。最后总结了该模型作为内网安全保障的刨新之处和不足之处,并对开销作了简单的定性分析。作为模型的仿真,最终以c语言实现了内核协议栈的编码,以C++完成应用层编码,形成了~个完整的内网安全访问控制系统。关键词:内网安全,访问控制,网络协议栈改造,协商,加密,序列号确认Ill内两主机访问拄制应用研究AbstramApplicationResearchofHost-basedAccessControlinInnerNetworkABSTRACTNowadaysagreatnumberoforganizations,includingenterp

7、risesandgovernmentdepartments,alebuildinganddevelopingtheirinnernetworksystems,andthenjointheIntemet.Atthesametime,theattackthreatshavealwaysbeenaccompanyingthedevelopmentofthenetwork.ForthereafcSOmanyusersinalocalnetwork,thecommunicationintheorganization’Sinnernetworkisfacedwit

8、hmuchmorelatentthreats,includingthenetworkpacke

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。