资源描述:
《嵌入式防火墙及其关键技术研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、2014’中国教育和科研计算机网华东北地区教育信息化技术研讨会嵌入式防火墙及其关键技术研究南京航空航天大学计算机科学与技术学院陈兵1问题的引出2研究内容之一:包分类主要3研究内容之二:策略生成内容4研究内容之三:策略分发5研究内容之四:实现机制6展望网络威胁来自何处?校园网各种恶意攻击(Virus,Trojanhorseetc.)系统本身的安全缺陷(patch)各种应用软件的漏洞(update)网络安全防范技术应用层面VPN软件平台安全防护Firewall网络平台安全防护IDS物理层面安全防护网络安全防范的对象80%Internet外部网络:内部网络:不可信任可信任集
2、中式防火墙•WilliamCheswick和SteveBeilovin(1994):防火墙是放置在两个网络之间的一组组件,性质:1.只允许本地安全策略授权的通信信息通过2.双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通集中式防火墙特别依赖拓扑结构80%流量集中点不能防止内部攻击嵌入式防火墙的引出集中式分布的分布式嵌入式防火墙集中式防火墙防火墙防火墙网络边界网络及子网边界网络边界+各节点网络边界+各节点保护内部网络防护到桌面保护内部网络防护到桌面保护各子网硬件实现嵌入式防火墙的相关关键技术包分类算法TextHeader包分类器IPPacket策略生成算
3、法策略库策略分发算法实现机制研究内容之一:包分类研究目的嵌入式防火墙需要将进出网络和主机之间的分组遵循防火墙策略,进行快速的分类和处理包分类技术规则库划分技术维度分解技术穷举算法线性匹配算法维度分解几何区域分割基于Trie分割元祖空间分割RFCBVAQTFIS基本分层TrieTupleSpace集合归并SearchCompactABVTICTrieHicutsRFCSub_tuple网格TrieHyperCutsSpaceSearchBitmapRFC2PCEGT-PC基于TCAM的分类TCAM范围编码技术研究内容之二:策略生成研究目的传统集中式防火墙:管理员
4、在线编辑策略分布式防火墙策略Keynote:Bellovin等IPSec:Charles等特点:功能强,可认证和加密,运算量和网络负载影响大,资源要求高嵌入式防火墙特点:运算能力有限、节点数量多且分散,不可能对每个嵌入式防火墙进行策略设置适合于嵌入式环境下的轻型策略生成算法IPSec对网络负载的影响未启用IPSec启用IPSec院系安全子校域S园原子域A原子域A网EFWEFW安RBAC全域部门安全子域S原子域A原子域AFirewallEFWEFW基于RBAC描述嵌入式防火墙的用户、角色和权限RBAC缺陷所有节点需与PS通信;无层次结构;对于不同逻
5、辑组中的相似角色需要单独定义EFW需求访问规则的分发与客户端EFW本身是相关的,不能直接在嵌入式防火墙体系中应用RBAC模型,必须对RBAC进行扩展,根据各EFW特征对角色进行限制和运算,实现用户角色的动态生成RBAC扩展安全域、安全子域和原子域RBAC的角色扩展RBACD(,,URUARHPPA,,,)RBAC扩展D(,,URSRORRHPPA,,,,)U:表示全域安全系统用户集合R:表示全域安全系统角色集合UA:UAUR表示全域安全系统用户与角色分配集合RH:RHRR表示全域安全系统角色继承关系集合,是一个偏序关系(RH,)P:权限集合PA:
6、表示权限与角色分配集合SR:SRRS子域角色限制域,S表示安全子域OR:ORRB原子域角色限制域,B表示原子域K角色限制域与扩展角色角色限制域:继承关系,层次关系扩展角色:处于角色限制域中的角色,可继承,所有扩展角色组成的继承关系,构成层次关系自反性kKkk反对称性kk,,Kkkkkkk12122112传递性kkk,,Kk,kkkkk123122313子域角色继承于全域角色,拥有全域角色的所有属性,且可以扩展;原子域角色继承于子域角色,拥有子域角色的所有属性,且可以扩展子域/原子域角色策略的生成安全域安全子域原
7、子域子域角色子域角色原原子域角色子域角色全域策略集合全域策略集合分运算运算策略集合策略集合运算发策策略集合略集合GDPRSGDPRSSDRPRSSDRPRSADRPRSADRPRS子域限制策略集合子域限制策略集合原原子域限制策略集合子域限制策略集合SDRRPRSSDRRPRSADRRPRSADRRPRS子域/原子域角色策略的生成子域角色策略SDRPRSsRSdRSoRS•sRS禁止访问安全子域内的任何客且:sRSdRS=户端的策略集合dRSoRS=•dRS禁止安全子域内的客户端访问的远程站点或网络范围的策略集合sRSoRS=•oRS
