论文部分内容阅读
近年来,网络安全已经逐渐成为计算机研究领域的新热点。防火墙技术作为其中的一个重要组成部分,在一系列产品实践的基础上迅速成熟起来。防火墙最基本的功能,就是根据用户制定的安全策略进行访问控制。从网络分层的角度上看,访问控制的对象包括:网络层、传输层、及应用层的报文。其中,由于应用层协议直接面向用户,具有高复杂性、高灵活性、以及为满足各种不同需求而产生的多样性。因而,对防火墙来说,如何完善而高效地提供应用层协议安全保护,是一个亟待解决的问题。
对此,目前现有的解决方案包括:使用包过滤提供基于端口的简单访问控制,利用应用代理技术提供基于具体协议的细粒度访问控制,以及利用SOCKS协议提供基于认证的通用访问控制。但是,这些方案都具有各自无法弥补的缺陷:包过滤缺少身份认证、协议状态监控和动态隧道、以及细粒度访问控制等安全功能,只能提供有限的安全保障;应用代理工作在应用层,效率低下,并且只能针对具体的某种协议,开发成本高,缺乏通用性和可扩展性;SOCKS代理同样存在效率问题,并且它不分析协议,无法提供细粒度访问控制。
经过综合的考虑,在文中提出了一种基于流分析的应用层协议访问控制模型。该模型使用了最近出现的流分析技术,在网络层进行应用层协议分析,可以极大的改善系统性能:并采用了独创的基于抽象特征的协议分析技术,根据协议库中规范化的协议安全特征,进行协议状态监控和细粒度访问控制,将应用代理技术提供多协议支持所面临的代码差异问题,转化为数据上的差异。理论上,用同一个程序即可处理任何可规范化的协议,这无疑在通用性和可扩展性上产生了重大突破;此外,模型还对安全策略的组织方式做了一定的改进,以简化策略配置过程、增强安全策略的直观性、提高系统中策略匹配的效率。
本文的主要工作包括:1.分析在防火墒上进行应用层协议安全保护的各种技术,并对一个完善的解决方案应当具备的基本特征和应当实现的安全需求进行总结。
2.对基于流分析的应用层协议访问控制模型进行设计,并阐述了其框架结构、基本原理和流程、各模块的功能与实现、以及主要的数据结构。
3.详细研究了安全策略组织方式的改进方案,提出了安全要素对象抽象、安全域、安全域的继承、树形结构的策略组织等新概念。
4.形式化地描述了基于抽象特征的协议分析技术,从协议标识特征抽象和协议连接状态特征抽象两个方面,分别进行协议判定和协议状态监控的工作。这种形式化的方法为协议配置的规范化奠定了基础,保证了新技术的可用性。最后以HTTP协议为例,说明该技术的具体应用。