欢迎来到天天文库
浏览记录
ID:34728389
大小:5.20 MB
页数:133页
时间:2019-03-10
《应用区域边界安全体系结构及实用模型的研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、了653609摘要应用区域边界的安全体系结构及实用模型研究应用数学专业研究生:陈兴蜀指导教师:沈昌祥院士【摘要】随着信息系统应用的不断普及和深化,信息安全问题越来越受到重视。然而对信息安全的解决方案常常采用被动的方式,发现什么地方可能有风险,有安全问题,则采取对应的安全技术来解决。这种安全技术方案缺乏对信息系统的整体考虑,故目前国内、国外的信息安全专家提出了信息安全保障、信息安全体系结构等概念,用于提供信息系统的整体安全解决方案。论文对信息系统进行了分析,根据国内专家提出的“三横三纵两个中心”的信息安全保障技术框架,明确地阐述了应用环境、应用区域边界及网络传输平台的概念,
2、将论文的研究重点放在了应用区域边界上,提出了应用区域边界的安全体系结构。并在应用区域安全体系结构的指导下,建立了实用模型,从而在边界上提供了信息系统的基于应用层的整体安全保障框架.最后描述了体系结构的应用方案—虚拟应用网络VAN,刘一集成信息系统提供全面、完整的信息安全保障。论文提出的应用区域边界的安全休系结构构建在TCP/IP协议栈的应用层,该体系结构分为四层,分别包括:应用数据层、应用协议层、安全插件层和会话连接控制层。体系结构根据应用协议的会话数据流信息,结合不同的安全插件,对应用区域边界的进出信息进行控制,并使离开区域的信息得到恰当的安全保护,从而为信息系统提供基
3、于应用层的全面的安全解决方案。在体系结构的描述中,阐述了各层之间的信息处理关系,并用三维模型描述了安全服务、安全插件和不同的访问控制粒度之间的关系。应用区域边界的安全体系结构是一个理论框架,其日的是为应用环境的边界安全保护提供方法和指导。故论文在安全体系结构的基础上,构建了实用模型。该模型具有实际应用价值,对应用环境的边界进行保护,对信息系统提供粗粒度控制和细粒度访问控制,并通过接口与多种安全技术相结合为边界提供可定制的、统一的、完整的安全解决方案。该模型工作在应用层,具有能满足不同应用环境的安全需求,能适应各种通信模式,并提供统一的策略管理接口等优势。摘要对典型的会话级
4、代理协议SOCKSv5进行了分析,阐述了协议认证中的冗余性和访问控制粒度较粗的缺陷。针对SOCKSvS的冗余性进行了改进,提出了一种新的会话级代理协议StrSocks协议。StrSocks协议的特点是对每个进程的首次会话连接进行认证,并对己通过认证的进程发放Token,使该进程的后续连接请求不再进行冗余认证和方法协商,在己协商的安全联盟下进行安全的信息交互,从而提高协议的信息交互效率且不产生新的安全漏洞。StrSocks协议也成为原型系统的基础协议。对实用模型原型系统的关键技术和难点进行了研究。应用区域边界的控制模型采用了客户/服务器工作模式。客户端通过修改网络堆栈,在网
5、络堆栈中动态地嵌入了一个协议薄层,使用动态加载和拦截技术,使客户端的第三方应用程序能透明地实现StrSocks协议客户端。在服务器端为了提高服务器吞吐量和并发连接数等性能指标,采用了进程、线程混合模式,并对性能进行了分析。在服务器上还提出了惰性连接的控制模型,根据客户对信息系统访问的历史特点,选择可能不再活动的惰性连接,使服务器在高连接负载的情况下,对新的客户连接请求能作出合理的处理。从而使服务器性能大大提高。在应用层安全体系结构的指导下,建立了通用细粒度控制模型,该模型中引入了应用协议知识库,利用协议知识库对应用协议进行统一的形式化描述.根据可升级、更新的应用协议知识库
6、,对应用协议会话数据流进行词法分析、语法分析及语义抽象,使会话数据流抽象为与协议无关的统一描述,从而实现针对应用协议的通用细粒度访问控制。因实用模型的原型系统是在Linux操作系统上完成的,故如何保护位于应用区域边界上的安全服务器自身的安全性成为了一个关键点。论文对特洛伊木马等恶意代码的攻击原理进行了分析,使用双签名技术建立了一种针对采用自主存取控制DAC机制的操作系统的安全增弧方案。该方案在修改客体的存取控制属性时,操作系统和被授权主体对修改进行评估和监控。采用数字双签名方案对授权主体和被授权主体进行身份鉴别,在不破坏自主存取控制的自主性和灵活性的前提下,使访问控制属性
7、的修改在安全、明确、受控的状态下进行.从而消除恶意程序对系统的攻击基础和环境。随着信息技术、网络技术的发展,虚拟应用环境、虚拟企业等概念也得到了发展和应用.但目前的信息系统集成主要关注的是信息的集成和应用,对应摘要用系统的安全问题往往独立考虑,出现了一个用户在自己的信息系统中,需要掌握若干个用户帐号和口令的现象等,缺乏对信息系统安全的整体考虑。在应用区域边界的安全体系结构指导下,以实用模型为基础,论文针对目前信息系统集成中的安全问题,提出了虚拟应用网络(VAN)的概念。论文描述了VAN的荃本原理,阐述了VAN的网关的系统结构。
此文档下载收益归作者所有