基于增強型第二層隧道協(xié)議的隧道代理防火墻系統(tǒng)的研究.pdf

1、隨著下一代互聯(lián)網(wǎng)(NGI)及高性能網(wǎng)絡技術的發(fā)展，網(wǎng)絡邊界漸趨模糊.作為網(wǎng)絡的“安全門戶”，防火墻的作用與地位倍受關注.面對日益頻繁的網(wǎng)絡攻擊行為，傳統(tǒng)意義下的防火墻通常只能被動防御，往往導致網(wǎng)絡安全防范的措施和效率受到影響.因此，將主動防御、深度防御等思想應用于防火墻的研究與設計具有重要意義. 目前，虛擬專用網(wǎng)(VPN)技術得到了廣泛應用.防火墻的安全效率正在受到虛擬專用網(wǎng)的核心技術—隧道技術的影響.當隧道穿越防火墻時，就相當

2、于在防火墻上“鑿”出了一個“洞”.這對網(wǎng)絡的安全有可能是災難性的.因此，新一代防火墻應該具有對隧道及其相關技術進行監(jiān)控和管理的能力.本文研究了防火墻技術、隧道技術、代理技術和基于角色的訪問控制技術，重點研究了隧道代理防火墻技術，提出并設計了一個支持第二層隧道協(xié)議代理的防火墻系統(tǒng).主要研究包括以下幾個方面： (1)提出了防火墻隧道代理區(qū)的概念，設計了隧道代理模型 本文提出了三種隧道代理(TunnelProxy)模型：自愿隧

3、道代理模型、強制隧道代理模型和透明隧道代理模型.在提出對隧道生命周期進行管理的思路基礎上，本文為防火墻增設了一個隧道代理區(qū)(TunnelProxyZone，TPZ).其基本工作原理是：所有的隧道請求都將被定向到隧道代理區(qū)，接受隧道代理系統(tǒng)的監(jiān)督與審計.當隧道穿越防火墻時，隧道代理系統(tǒng)能對流經(jīng)隧道的信息進行主動監(jiān)控、審查和記錄，并能夠在需要時再現(xiàn)隧道的行為.為了提高防火墻的工作效率，被代理的隧道協(xié)議必須簡潔、易實現(xiàn).因此，本文重點研究了防

4、火墻對第二層隧道協(xié)議(L2TP)的代理并以此實現(xiàn)了代理層次在OSI模型上的下移. (2)提出了增強第二層隧道協(xié)議安全性的方法 作為防火墻要代理的隧道協(xié)議，隧道協(xié)議自身應有較高的安全性.但L2TP存在較多的問題.本文列舉了L2TP協(xié)議的安全隱患，分析了由RFC3193提出的安全解決方案存在的問題，提出并設計實現(xiàn)了一個與L2TP兼容、但安全性更高的增強型第二層隧道協(xié)議eL2TP(enhancedLayerTwoTunneli

5、ngProtocol)，使第二層隧道協(xié)議自身也能夠提供機密性保護、認證保護、完整性和抗重播保護. (3)研究了適用于防火墻的基于角色的訪問控制模型 作為網(wǎng)絡安全的屏障，防火墻對用戶、角色、權限十分敏感.在實際環(huán)境中，防火墻常常存在一些特殊的安全要求或約定.為此，本文在研究基于角色的訪問控制(Role-BasedAccessControl，RBAC)模型的基礎上，設計了一個應用于防火墻系統(tǒng)的RBAC模型FW-NRBAC.F

6、W-NRBAC模型能滿足最小特權分配(LeastPrivilege)和職責分離(SeparationofDuties)的要求，可以改善防火墻對局部訪問和全局訪問的安全控制性能. 本文得到了國家自然科學基金項目(90304018、60172035)、湖北省自然科學基金項目(2000J154、2004ABA061)、湖北省科技攻關項目(2004AA101C67)、武漢市重點科技攻關項目(20041001001)、湖北省教育廳重點項目