內(nèi)網(wǎng)安全關(guān)鍵技術(shù)的研究與實(shí)現(xiàn).pdf

1、多年來(lái)，眾多的研究者一直致力于網(wǎng)絡(luò)安全的研究，取得了巨大的進(jìn)展。ISO于1989年制定了國(guó)際標(biāo)準(zhǔn)，給出了ISO/OSI參考模型的安全體系結(jié)構(gòu)，在該模型中，增設(shè)了安全服務(wù)，安全機(jī)制和安全管理，并給出了OSI網(wǎng)絡(luò)層次、安全服務(wù)和安全機(jī)制之間的邏輯關(guān)系，定義了五大類(lèi)安全服務(wù)，提供了這些服務(wù)的八大類(lèi)安全機(jī)制以及相應(yīng)的開(kāi)放系統(tǒng)互連的安全管理。在這一框架下不斷完善，目前已經(jīng)基本形成了一套由訪(fǎng)問(wèn)控制、加密技術(shù)、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、系統(tǒng)脆弱性檢測(cè)

2、、安全協(xié)議和防火墻技術(shù)與入侵檢測(cè)技術(shù)構(gòu)成的比較成熟的Internet安全體系結(jié)構(gòu)。但是，Internet安全體系結(jié)構(gòu)重點(diǎn)在于解決網(wǎng)絡(luò)邊界的安全問(wèn)題，即只解決了外網(wǎng)與內(nèi)網(wǎng)之間的通信的安全問(wèn)題。對(duì)于網(wǎng)絡(luò)中各部分之間的通信及運(yùn)行情況無(wú)法進(jìn)行統(tǒng)計(jì)和管理，也缺乏有效的內(nèi)網(wǎng)安全保障的技術(shù)手段，內(nèi)網(wǎng)的安全問(wèn)題十分突出。另外，內(nèi)網(wǎng)與Internet的安全要求有著不同的側(cè)重點(diǎn)。Internet安全需求主要關(guān)注不同系統(tǒng)間的信息安全傳輸，而內(nèi)網(wǎng)必須考慮系統(tǒng)、

3、設(shè)備或組織內(nèi)所需要的安全措施。內(nèi)網(wǎng)的安全重點(diǎn)需求體現(xiàn)在如下方面：(1)通常內(nèi)網(wǎng)中的用戶(hù)可以通過(guò)簡(jiǎn)單的工具對(duì)內(nèi)網(wǎng)中的其他主機(jī)和設(shè)備進(jìn)行訪(fǎng)問(wèn)、攻擊和監(jiān)聽(tīng)，需要在內(nèi)網(wǎng)中有不同安全等級(jí)的隔離與權(quán)限管理；(2)隨著應(yīng)用的需求發(fā)展，內(nèi)網(wǎng)中的子網(wǎng)很可能不在同一物理空間內(nèi)，需要對(duì)每一個(gè)端點(diǎn)進(jìn)行具體的安全策略管理；(3)內(nèi)網(wǎng)中的資源和傳輸不受傳統(tǒng)邊界安全機(jī)制的保護(hù)，需要增加適用于內(nèi)網(wǎng)的一整套檢測(cè)控制安全手段。 針對(duì)內(nèi)網(wǎng)區(qū)別于Internet的安全

4、需求，本文提出了內(nèi)網(wǎng)安全體系結(jié)構(gòu)，包括：在物理層和數(shù)據(jù)鏈路層，基于網(wǎng)絡(luò)交換機(jī)根據(jù)需要將內(nèi)網(wǎng)劃分成互相隔離的多個(gè)部分；在網(wǎng)絡(luò)層利用內(nèi)置虛擬服務(wù)器的NAT網(wǎng)關(guān)將內(nèi)網(wǎng)或內(nèi)網(wǎng)的一部分隱藏以保證其安全的同時(shí)，使網(wǎng)絡(luò)的其他部分可以對(duì)隱藏網(wǎng)絡(luò)的部分資源進(jìn)行安全訪(fǎng)問(wèn)；利用可靠的IP地址管理與分配機(jī)制，防止IP地址被盜用或?yàn)E用；在應(yīng)用層利用雙向代理服務(wù)器相互隔離內(nèi)網(wǎng)的各個(gè)部分，使它們中的主機(jī)可以基于應(yīng)用和基于用戶(hù)權(quán)限來(lái)相互訪(fǎng)問(wèn)；用安全交換機(jī)連接隔離的內(nèi)網(wǎng)

5、的各個(gè)部分，在基于用戶(hù)授權(quán)控制的同時(shí)，基于應(yīng)用進(jìn)行訪(fǎng)問(wèn)控制。該安全體系結(jié)構(gòu)著重于傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)部網(wǎng)絡(luò)的安全保證，確保內(nèi)網(wǎng)中的可靠性、可用性、保密性、完整性、不可抵賴(lài)性和可控性，為內(nèi)網(wǎng)安全提供基礎(chǔ)框架。 在內(nèi)網(wǎng)安全體系結(jié)構(gòu)的基礎(chǔ)上，根據(jù)實(shí)際的需求和實(shí)踐的需要對(duì)關(guān)鍵技術(shù)進(jìn)行了研究并實(shí)現(xiàn)了相應(yīng)的系統(tǒng)原型，包括： (1)采用普通代理和反向代理相結(jié)合的技術(shù)，提出了雙向代理服務(wù)器模型，基于ARM嵌入式硬件環(huán)境和嵌入式Linux操作系

6、統(tǒng)設(shè)計(jì)并實(shí)現(xiàn)了雙向代理服務(wù)器。測(cè)試與實(shí)際運(yùn)行表明，該雙向代理服務(wù)器改進(jìn)了傳統(tǒng)代理服務(wù)器在內(nèi)網(wǎng)安全保證中的不足，安全可靠、效率較高，達(dá)到設(shè)計(jì)需求。 (2)將NAT技術(shù)與虛擬服務(wù)器技術(shù)相集成，并基于ARM嵌入式硬件環(huán)境和嵌入式Linux操作系統(tǒng)實(shí)現(xiàn)了集成虛擬服務(wù)器的NAT網(wǎng)關(guān)，實(shí)現(xiàn)了對(duì)內(nèi)網(wǎng)的部分隱藏，內(nèi)網(wǎng)對(duì)外網(wǎng)，外網(wǎng)對(duì)內(nèi)網(wǎng)的受限訪(fǎng)問(wèn)，提高了對(duì)內(nèi)網(wǎng)安全的保護(hù)。 (3)基于DHCP實(shí)現(xiàn)了對(duì)內(nèi)網(wǎng)的計(jì)算機(jī)設(shè)備以及其他網(wǎng)絡(luò)設(shè)備的IP地