以信息為中心的網(wǎng)絡(luò)安全機(jī)制研究.pdf

1、信息安全除了保證數(shù)據(jù)在本地存儲過程中的安全，還應(yīng)該滿足其在網(wǎng)絡(luò)傳輸過程中的保密性和完整性要求。目前，網(wǎng)絡(luò)安全防御領(lǐng)域的研究主要圍繞邊界安全保護(hù)展開，隨著網(wǎng)絡(luò)漏洞的增多以及攻擊技術(shù)的發(fā)展，傳統(tǒng)的以邊界為中心的被動安全防護(hù)策略難以應(yīng)付與日俱增的安全威脅。本文提出將網(wǎng)絡(luò)安全工作的重心，由邊界安全保護(hù)轉(zhuǎn)變到直接針對信息的安全保護(hù)。在此基礎(chǔ)上，本文提出一個以信息為中心的安全模型，以保障信息在其整個生命周期的安全性。在模型中，所有數(shù)據(jù)分為存儲和傳輸

2、兩種形式，傳輸信息可以理解為數(shù)據(jù)的一種動態(tài)存儲，網(wǎng)絡(luò)則相當(dāng)于一個大型的存儲設(shè)備。因而，任何數(shù)據(jù)都可以認(rèn)為是存儲在計算機(jī)中的靜態(tài)信息或存儲在網(wǎng)絡(luò)上的動態(tài)信息。 基于以上思路，本文著重研究網(wǎng)絡(luò)上的流動信息的保護(hù)機(jī)制，對該模型在網(wǎng)絡(luò)上的應(yīng)用進(jìn)行了探索，設(shè)計了一個系統(tǒng)應(yīng)用方案，并實(shí)現(xiàn)了其中的部分關(guān)鍵模塊。在網(wǎng)絡(luò)通信過程中，針對不同的資源采用不同的密鑰，對應(yīng)用層數(shù)據(jù)實(shí)現(xiàn)加密通信，從而實(shí)現(xiàn)特定資源在任何地方存儲時的訪問控制。在應(yīng)用層，配置系

3、統(tǒng)安全策略，并引入URI數(shù)據(jù)庫來記錄需要加密及監(jiān)控的資源對象。在核心層，分析進(jìn)出主機(jī)的所有網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)應(yīng)用層的安全策略采用加密通信或做出其他系統(tǒng)響應(yīng)。系統(tǒng)基于各個應(yīng)用層協(xié)議分析來識別通信過程中的文件傳輸行為，有效防止機(jī)密和私有信息的泄露。本系統(tǒng)采用基于NDIS中間驅(qū)動的數(shù)據(jù)包攔截技術(shù)實(shí)現(xiàn)以上核心層功能，攔截徹底、安全高效。 經(jīng)過實(shí)驗(yàn)證明，本系統(tǒng)能夠有效攔截、監(jiān)控及處理所有網(wǎng)絡(luò)數(shù)據(jù)包，保證信息傳輸?shù)暮戏ㄐ约鞍踩?。系統(tǒng)具有性能