中国科学院机构知识库网格
Chinese Academy of Sciences Institutional Repositories Grid
防火墙体系下的IPSEC及其策略

文献类型:学位论文

作者袁勋
学位类别博士
答辩日期2001
授予单位中国科学院软件研究所
授予地点中国科学院软件研究所
关键词防火墙 连接跟踪 状态检测 状态检测防火墙 认证头 封装安全 载荷 安全关联 可信管理
学位专业计算机应用技术
中文摘要本文采取链式结构,对一个以防火墙为主体的整体网络安全架构进行了描述,并重点讨论了网络安全体系中的网络层安全IPSec与新型的状态检测型防火墙的结合作用,进一步地,对其策略管理进行了探讨性的研究。首先,从传统防火墙解决方案的不足,我们引出了对两种先进技术的讨论:网络跟踪技术(连接跟踪技术)和状态检测技术。网络跟踪技术实现的网络层,它为每一个网络连接建立连接跟踪项,收集与安全有关的信息。之后,该连接上通过的所有网络包都将被跟踪。各种安全机制,如包过滤,认证,地址转换等都在连接跟踪项中有相应的接口,通过连接跟踪模块的网络包可以直接进入各层策略检测模块。状态检测技术则以不同的服务区分应用类型,汲取相关的通讯和应用程序的状态信息。根据网络通讯中的状态转换,它不断动态地更新连接跟踪表中的状态信息,结合预定义好的规则,实现安全策略。其次,文章介绍了运用以上两种技术的状态检测防火墙,并拓展地描绘了以该防火墙为主体的安全体系架构。从而引出了这个架构中的另一个重要的部分-网络层安全IPSec。对于一个完整的安全解决方案,提供端对端的安全是必不可少的。但是,当IPSec实现在状态检测防火墙中,与连接跟踪技术结合时,又产生了一些新的情况。第三部分,说明IPSec是如何适当地契合入状态检测防火墙中的。连接跟踪项中安全关联链的使用,使得对IPSec的处理与其它安全机制保持了统一,模块更清晰。但是,如果要充分发挥IPSec的长处,其策略管理的规范化必将是进一步发展的趋势。第四部分,IPSec的策略管理。文章介绍了“可信管理”的概念。这是一个具有普遍推广意义的管理策略模式。它使用一种统一的“安全策略说明语言”来描述应用的安全策略。可信管理机构接收应用提交的使用安全策略说明语言书定的行为请求以及其自身策略,进行一致性检查,以确定该行为是否被允许以及有何种限制条件。文章进一步分析了目前已经实现了的一个可信管理系统—KeyNote。通过对其设计与实现的研究,为今后在我们的防火墙体系中实施这种更完善的策略模式做好了前期的准备。
语种中文
公开日期2011-03-17
页码65
源URL[http://ir.iscas.ac.cn/handle/311060/7504]  
专题软件研究所_中科院软件所_中科院软件所
推荐引用方式
GB/T 7714
袁勋. 防火墙体系下的IPSEC及其策略[D]. 中国科学院软件研究所. 中国科学院软件研究所. 2001.

入库方式: OAI收割

来源:软件研究所

浏览0
下载0
收藏0
其他版本

除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。