随着计算机网络的迅猛发展，网络的安全问题也越来越引起人们的重视。防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中。防火墙技术经历了多个阶段的改进与发展，然而无论是传统的边界防火墙，还是目前流行的分布式防火墙，都有其各自的缺陷及不足，使得其在实际使用中受到很多限制。本文研究一种结合二者优势的防火墙解决方案——分级防火墙系统，并对其核心部分——动态访问控制技术作深入研究。访问控制技术作为防火墙的核心部分，它的有效与否直接影响着整个防火墙系统性能的好坏。在本文提出的分级防火墙系统中，访问控制技术包含了两方面的内容：单个模块内的动态访问控制技术，以及整个分级系统中多个成员间的动态访问控制技术。 本文研究了分级防火墙系统解决方案，给出了分级防火墙系统的拓扑结构模型及管理结构模型，并对系统的功能模块进行划分。该方案是对传统防火墙技术与分布式防火墙技术的折衷，既能克服传统防火墙的单失效点及内部不安全等问题，又能避免分布式防火墙的过于集中管理所带来的问题。 本文提出了一种基于决策树分类器的数据包分类算法。其主要思想是通过预处理，利用规则集的结构特点构建一棵决策树，然后对数据包进行分类。该算法适用于多维及多类型的数据分类问题，并能适应规则集的动态更新的需求。在此算法基础之上，又提出了非精确匹配数据包算法，使用加权-阈值的方法控制分类的深度，使数据包分类具有一定的可预测性。本文还提出使用有限直接插入法来解决决策树节点的动态递增问题，减少决策树的重建次数，从而降低更新复杂度。 本文针对分级防火墙系统的等级结构特点，提出基于索引树的分级访问控制方案，使用分组二进制表示法建立索引树。将分级的防火墙系统结构转换为树状空间结构，为树节点建立索引，并使用单钥密码系统，利用索引值产生密钥，然后基于该密钥系统实现分级访问控制。该方法充分利用了分级系统的结构特点，具有实现简单且高效的特点，适用于等级结构清晰的区域网络之中。哈尔滨工程大学博士学位论文 本文设计了隐匿公钥的产生及分配协议，并对该协议进行形式化证明，进而提出基于隐匿公钥密码系统的分级访问控制方案。该方案以ChangScheme为基础，对其进行改进，并将隐匿公钥应用于改进后的Chang Scheme方案中，增强了系统的抗攻击能力，使其能够阻止密文篡改攻击，并具有双向身份认证的能力，以及良好的数字签名和容错性等特点，同时克服了公钥系统中普遍存在的安全隐患。 最后，本文对分级防火墙的动态访问控制模块在Linux环境下进行仿真，试验结果表明该方案是切实可行的。关键词:分级防火墙;访问控制;决策树分类器;索引树:隐匿公钥