论文部分内容阅读
多年来,众多的研究者一直致力于网络安全的研究,取得了巨大的进展。ISO于1989年制定了国际标准,给出了ISO/OSI参考模型的安全体系结构,在该模型中,增设了安全服务,安全机制和安全管理,并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系,定义了五大类安全服务,提供了这些服务的八大类安全机制以及相应的开放系统互连的安全管理。在这一框架下不断完善,目前已经基本形成了一套由访问控制、加密技术、数据完整性机制、认证机制、系统脆弱性检测、安全协议和防火墙技术与入侵检测技术构成的比较成熟的Internet安全体系结构。但是,Internet安全体系结构重点在于解决网络边界的安全问题,即只解决了外网与内网之间的通信的安全问题。对于网络中各部分之间的通信及运行情况无法进行统计和管理,也缺乏有效的内网安全保障的技术手段,内网的安全问题十分突出。另外,内网与Internet的安全要求有着不同的侧重点。Internet安全需求主要关注不同系统间的信息安全传输,而内网必须考虑系统、设备或组织内所需要的安全措施。内网的安全重点需求体现在如下方面:(1)通常内网中的用户可以通过简单的工具对内网中的其他主机和设备进行访问、攻击和监听,需要在内网中有不同安全等级的隔离与权限管理;(2)随着应用的需求发展,内网中的子网很可能不在同一物理空间内,需要对每一个端点进行具体的安全策略管理;(3)内网中的资源和传输不受传统边界安全机制的保护,需要增加适用于内网的一整套检测控制安全手段。
针对内网区别于Internet的安全需求,本文提出了内网安全体系结构,包括:在物理层和数据链路层,基于网络交换机根据需要将内网划分成互相隔离的多个部分;在网络层利用内置虚拟服务器的NAT网关将内网或内网的一部分隐藏以保证其安全的同时,使网络的其他部分可以对隐藏网络的部分资源进行安全访问;利用可靠的IP地址管理与分配机制,防止IP地址被盗用或滥用;在应用层利用双向代理服务器相互隔离内网的各个部分,使它们中的主机可以基于应用和基于用户权限来相互访问;用安全交换机连接隔离的内网的各个部分,在基于用户授权控制的同时,基于应用进行访问控制。该安全体系结构着重于传统网络边界内部网络的安全保证,确保内网中的可靠性、可用性、保密性、完整性、不可抵赖性和可控性,为内网安全提供基础框架。
在内网安全体系结构的基础上,根据实际的需求和实践的需要对关键技术进行了研究并实现了相应的系统原型,包括:
(1)采用普通代理和反向代理相结合的技术,提出了双向代理服务器模型,基于ARM嵌入式硬件环境和嵌入式Linux操作系统设计并实现了双向代理服务器。测试与实际运行表明,该双向代理服务器改进了传统代理服务器在内网安全保证中的不足,安全可靠、效率较高,达到设计需求。
(2)将NAT技术与虚拟服务器技术相集成,并基于ARM嵌入式硬件环境和嵌入式Linux操作系统实现了集成虚拟服务器的NAT网关,实现了对内网的部分隐藏,内网对外网,外网对内网的受限访问,提高了对内网安全的保护。
(3)基于DHCP实现了对内网的计算机设备以及其他网络设备的IP地址集中分配管理,解决了内网中极易发生的IP地址冲突和IP地址盗用问题,确保内网合法计算机或网络设备的正常工作,统一管理使用权限。
研究与实践的结果表明,本文所提出的观点和结论是正确的,内网安全的解决方案是有效和可行的。这些研究工作将为内网安全的进一步研究提供基础理论与方法的支持。