（系统分析与集成专业论文）pmi在分布式防火墙中的应用研究.pdf

山东大学硕士学位论文 摘要 随着计算机网络技术的日益发展，无论是机关、单位还是家庭、个人，都可 以通过i n t e r n e t 获取资源、共享信息，网络与信息安全问题也变得日益突出。传统 的防火墙都基于一个共同的假设，那就是把内部网络一端的用户看成是可信任 的，把外部网络一端的用户当成潜在的攻击者来对待。由于基于这样的假设，传 统的防火墙将严格依赖于网络拓扑结构，并且无法防范来自于网络内部的攻击。 为了克服传统防火墙的缺点，近年来提出了分布式防火墙的概念，分布式防火墙 采用策略集中制定，分发到受保护主机执行，很好的解决了传统防火墙面临的一 些问题，更加适应了网络的发展需要 本文从介绍分布式防火墙的概念和模型开始，在参阅了大量国内外该领域的 研究成果的基础上，详细介绍分布式防火墙的基本原理、本质特征、体系结构等 基本理论问题。并对基于k e y n o t e 的分布式防火墙模型进行分析，k e y n o t e 信任管 理模型中使用公钥作为用户的身份标识，根据用户身份证书获取相应的策略。在 制定策略时针对一个或一组用户公钥进行制定。一旦某个用户权限发生变更，那 么所有涉及到该用户的策略都要做出相应的修改，这样就造成了用户变更时策略 管理异常复杂可以通过对用户的角色制定策略，用户通过属性证书获取策略来 解决这样的问题。将用户与角色关联，角色与策略关联，在用户权限发生变更时 只需获取新的属性证书而不需要对策略做出任何改动。 p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e 权限管理基础设施) 试图为不同的 访问控制策略和机制提供一个通用的授权管理和授权服务平台。p m i 使用属性证 书表示和容纳权限信息，通过管理证书来实现对权限的管理。这种授权管理方法 不依赖具体的应用，p m i 适合各种访问控制策略的授权管理因此可以将p m l 引 入到分布式防火墙中，为各类用户角色制定相应策略，并向用户发放属性证书。 主机通过验证发起连接请求者属性证书中的角色信息来判断是否接受此次连接 请求。 本文提出了p m l 在分布式防火墙中的应用模型，并给出了主机部分和权限管 理基础设施的实现。主机部分通过改造网络协议栈，在其数据链路层和i p 层之间 嵌入了安全访问控制层，在此控制所有流过主机协议栈的网络数据包( 包括进来 山东大学硕士学位论文 的和出去的) 。在数据包如何安全的。控制”上，利用权限管理基础设旌将被 访问的主机视为一种资源，并把策略决策点应用于主机内，在主机内部进行权限 判断 关键词：分布式防火墙：授权管理基础设旅：属性证书 山东大学硕士学位论文 a b s t r a c t w i t l it h ed c v e l o p m e n to ft i l ec o m p u t e rn e t w o r kt e c h n o l o g y , 1 1 0m a t t 暂 g o v e r n m e n t 、o r g a n i z a t i o n o i rf a m i l y 、i n d i v i d u a lc a ng e t “爆。眦e sa n ds h a r e i n f o r m a t i o nt h r o u g hi n t e r a c t , s ot h ep r o b l e mo f n e t w o r km a di n f o r m a t i o ns e c u r i t ya l s o b e c o m e t ；i n c r e a s i n g l yo u t s t a n d i n g c o n v e n t i o n a lf i r c w a l l sr e l y 0 1 1t h en o t i o n so f r e s t r i c t e dt o p o l o g ya n dc o n t r o l l e de n t r yp o i n t st of u n c t i o n m o r ep r e c i s e l y , t h e yr e l y 0 1 1t i i ea s s u m p t i o nt h a te v e r y o n eo no n es i d eo ft h ee n t r yp o i n t - m ef i r e w a l l - i st ob e t r i l s 怕也a n dt h a ta n y o n eo i lt h eo t h e rs i d ei s , 砒l e a s tp o t e n t i a l l y , 锄e n e m y i no f d e rt o e l i m i n n t et h es h o r t c o m i n g so ft h ec o n v e n t i o n a lf i r e w a l i s , t h oc o n c e p to fn 他 d i s t r i b u t e df i r t 研a l l si sp r o p o s e d i nt h ed i s t r i b u t e df i r e w a l l s , s e c u r i t yp o l i c yi ss t i l l c e n t r a l l yd e 细c d ，b u te n f o r c e m e n ti sl e t t 叩t ot h ei n d i v i d u a le n d p o i n t s t h e d i s t r i b u t e df i m w a i is o l v e sm a n yp r o b l e m so f t h ee o n v c n t i o n a lf i r e w a l i sa n dn l c e t sn 他 n e e do f n e t w o r kd 酣e i o p m e n t t h i st h e s i sf i r s ti n t r o d u c e st h en o t a t i o no f d i s t r i b u t e df i r e w a l l s ，t h e nd e s e r i b et h e b a s i ct h e o r yo f d i s t r i b u t e df i r c w a l l ss u c ha sf u n d a m e n t a l 、e s s e n t i a lc h a r a c t e r i s t i ca n d a t e h i t o 咖t e a f t e rt h a tw ea n a l y z et h ed i s t r i b u t e df i r c w a l l sw h i c hr e l y k e y n o t e k e y n o t et r u s tm a n a g e m e n tm o d e lu s 懿au s e r sp u b l i ck e ya si t si d e n t i t y , a n du s e r s a c q u i r ep o l i c ya c c o r d i n gt oi t si d e n t i t yc e r t i f i c a t e p o l i c yi sg e n e r a t e da i m i n g 砒硼e 0 1 as e to f u s e r $ p u b l i ck e y , , o n c et h ea u t h o r i z a t i o no f au s e ra l t e r s , a l lp o l i c i e sr e l a t e d t ot h i su s e rn e e dt ob em o d i f i e d , s ot h a ti tm a k e sp o l i c ym a n a g e m e n tc o m p l e x t h e p r o b l e mc o u l db es o l v e dw h e np o l i c yi sg e n e r a t e da i m i n ga tt h er o l eo f au s e r , a n d u 翻璐a c q u i r ep o l i c i e sa c c o r d i n gt oa t t r i b u t ec e r t i f i c a t e i f u s o ri sr e l a t e dt oi t sr o l ea n d r o l et op o l i c y , t h e ni tn e e d n tm o d i f yt h ep o l i c yb u tj u s tm a k ean e w a t l r i b u t e c e r t i f i c a t ew h e nt h ea u t h o r i z a t i o no f u s e ri l l t e 惜 p v i i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) h a sb e e nd e s i g n e da sau n i v e r s a l a u t h o r i z a t i o nm a n a g e m e n ta n ds e r v i c ep l a t f o r mf o rd i f f e r e n ta c c e s sc o n t r o lp o l i c i e s a n dm e c h a n i s m s i tu t i l i z e sa t t r i b u t ec e r t i f i c a t et or e p r e s e n ta n dc o n t a i ns u b j e c t s p r i v i l e g e s i tm a n a g e sp r i v i l e g e sb yi s s u i n g , u p d a t i n ga t t r i b u t ec e r t i f i c a t e s s u c l a i l l 山东大学硕士学位论文 m e c h a n i s mi si n d e p e n d e n to fp a r t i c u l a ra p p l i c a t i o n s p m lw i l lb es u i t a b l ef o r a u t h o r i z a t i o nm a n a g e m e n ti nv a r i a n ta c c e s sc o n t r o ls y s t e m s t h u sw e 啪i m p o r tp m i i n t od i s t r i b u t e df i r e w a l i st om a k ep o l i c ya n di s s u ea t t r i b u t ec e r t i f i c a t ef o re v e r yu 蹴 t h eh o s tm a k e sj u d g m e n to fw h e t h e ra c c e p tt h ev i s i t o ra c c o r d i n gt ot h ei n f o r m a t i o n i n c l u d e di nt h ea t t r i b u t ec e r t i f i c a t e t h i st h e s i sp r o p o s e sam o d e lo fd i s t r i b u t e df i r e w a l lu s i n gp m i a n dg i v e sa r e a l i z a t i o no fh o s ta n dp r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e t h eh o s t - b a s e da c c e s s c o n t r o lm o d e li st h a tb yc h a n g i n gt h el a y e r e dn e t w o r kp r o t o c o ls t a c ko fi 均l 瓯a s e c u r i t ya c c e s sc o n t r o ll a y e ri si n b u i l tb f u v e e nt h ed a t a l i n kl a y e ra n d i pl a y e r , a st o c o n t r o l 胡lt h ep a c k e t sw h i c hg ot h r o u g ht h eh o s r $ p r o t o c o ls t a c k , i n c l u d i n gt h e i n c o m i n ga n do u t g o i n gp a c k e t s f o rt h ep u r p o s eo f s e c u r i t yd a t ac o n t r o l ，t h ep r i v i l e g e m a n a g e m e n ti n f r a s t m c t u r ei su s e d k e yw o r d s ：d i s t r i b u t e df i r e w a i l ；p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ； a t t r i b u t ec e r t i f i c a t e i v 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研 究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡献的个人和集 体，均已在文中以明确方式标明。本声明的法律责任由本人承担。 论文作者签名：塞盛：垄日期：2 丑垒：2 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件和电子版， 允许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和 汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：幺蕴：鍪导师签名： 山东大学硕士学位论文 1 1 课题背景 第1 章引言 随着当前电子商务的普遍开展，企业多处于开放的环境当中，为了更好的为 客户提供各种服务，企业通常将其电子资源对客户、合作伙伴、员工甚至是任何 对企业感兴趣的人员开放。企业网的边境已经是一个逻辑的边界，物理的边界日 趋模糊。同时网络技术的应用日益普及，应用层次逐步深入，应用领域从传统的 小型业务系统逐渐向大型、关键性业务系统扩展，典型的如政府部门信息系统， 金融业务系统、商务系统等。随着网络的开放性、共享性和互联程度的不断扩大， 网络安全问题显得越来越突出，越来越重要。 但是在网络日益发展的今天，传统防火墙已经渐渐的不能满足人们对安全的 需要。主要体现在以下几个方面： 首先，“内部可信”这个假设是不成立的。由于受到网络拓扑结构的限制， 传统的防火墙无法对内部成员之间的通信加以监控，一些特定的个人或是远程网 络甚至可以连接应该受保护的网络节点。根据美国f b i 公布的数据，7 0 的攻击 来自内部。 其次，传统的防火墙无法应对飞速增长的网络服务和网络协议。对于新的服 务和协议防火墙如果不能识别，也就不能对其进行监控。比如i p s e c 协议就是一 个例子。此外，随着电脑处理速度的快速增加，必须通过防火墙的数据量将以超 过摩尔定律速度增长，那时防火墙将来不及处理如此大量的数据，单点的阻塞将 会成为必然。 第三，内部节点可以轻松的建立与外部网络的通信。比如，某公司内部网络 中如果有人利用m o d e m 拨号上网，就很容易将公司内的信息通过网络传送出 去，传统防火墙对此无能为力。 最后，加密技术为防火墙带来了难题。端到端的加密对防火墙可以形成威胁， 玢火墙通常检查包的字段和内容来进行过滤，端到端的加密可以隐藏包的内容， 不易被监控。 为了解决这些问题，人们提出了一种新的解决方案分布式防火墙。分布 山东大学硕士学位论文 式防火墙从根本上克服了传统防火墙的拓扑依赖性，同时保留了传统防火墙的所 有优点。分布式防火墙一经提出便引起广泛关注，美国n e t w o r k - i 公司在2 0 0 1 年 率先推出了商用分布式防火墙c y b e r w a l l p l u s ，c i s c o ，、3 c o r n 等大型网络设备开 发商也开发出自己的分布式防火墙产品。 1 2 论文的组织结构 第一章引言：主要介绍了分布式防火墙产生的背景，传统防火墙的不足，以 及论文的组织结构。 第二章分布式防火墙：主要介绍了分布式防火墙的特征、体系结构以及基于 o p e n b s du n i x 操作系统的分布式防火墙实现及其工作过程，并且说明了分布式 防火墙的优势 第三章分布式防火墙中的信任管理系统：详细描述了k e y n o t e 策略语言，并 介绍了基于k e y n o t e 的信任管理模型在分布式防火墙中的应用。以及基于 k e y n o t e 信任管理模型在分布式防火墙中应用时的缺陷并且提出将p m i 应用于 分布式防火墙中。 第四章授权管理基础设施p m i ：介绍p m i 的概念、组成、提供的服务、应 用。p m i 主要由a a 服务器、管理工具a d m m 、决策服务器( d m s ) 、l d a p 目 录服务器、应用服务器五部分组成。 第五章p m i 在分布式防火墙中的应用：提出了p m i 在分布式防火墙中的应 用模型，并给出了分布式防火墙中主机部分和权限管理基础设施的实现。主机部 分运用n d i s 的中间层技术，截获流经整个协议栈的数据包权限管理基础设施 主要有三部分组成：授权、访问控制和审计。授权子系统主要负责系统集中策略 的制定和发布，属性证书的申请、审核、生成和发布；访问控制子系统主要负责 对用户的身份进行认证，然后判断用户对请求是否具有某种权限；审计子系统主 要负责对系统的事件进行审计，对已经审计的信息进行查看和管理。 第六章结论及将来的工作：对本文的工作进行总结并且提出存在的问题和进 一步改进的方法。 2 山东大学硕士学位论文 第2 章分布式防火墙 “防火墙”原意是指人们在构筑和使用木质结构房屋时，为防止火灾的发生 和蔓延，将坚固的石块堆砌在房屋周围作为屏障，所以这种防护构筑物被称作防 火墙。在计算机世界中，防火墙引申为隔离内部网络和外部网络之间的防御系统， 以保护内部网络的安全。防火墙是一种非常有效的网络安全模型，通过它可以隔 离风险区域( 1 1 1 i n t e m e t 或有一定风险的网络) 与安全区域( 局域网) 的连接，同 时不会妨碍人们对风险区域的访r e 1 9 1 。防火墙可以监控进出网络的通信流，仅 允许安全、核准后的信息进入，同时抵制对内部网络构成威胁的数据。随着安全 问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有 可能来自配置上的低级错误或不合适的口令选择。而防火墙的作用就是防止不希 望的、未授权的信息进入被保护的网络。因此，防火墙已成为控制对网络系统进 行访问的非常流行而且有效的方法。 2 1 分布式防火墙综述 2 1 1 分布式防火墙的提出 虽然传统的防火墙有单点失效、防外不防内、严重依赖网络拓扑结构、不能 处理加密数据等诸多不足，但它在目前仍然是一种较为有效的安全手段。为了克 服传统防火墙的缺点，保留它的优点， ( d i s t r i b u t e df i r e w a l l s d f w ) 一文中， s t e v e nm b e l l o v i n 在“分布式防火墙” 首次提出了分布式防火墙的概念一分 布式防火墙【l 】是这样的一个方案：策略集中订制，在各台主机上执行，日志集 中收集处理。 按照s t e v e n 的说法，分布式防火墙是由一个中心来制订策略，并将策略分发 到主机上执行。它使用一种策略语言( 如k e y n o t e ) 来制订策略，并被编译成 内部形式存储于策略数据库中，系统管理软件将策略分发到被保护的主机上，而 主机根据这些安全策略和加密的证书来决定是接受还是丢弃数据包，从而对主机 实施保护。在d f w 中主机的识别虽然可以根据i p 地址，但i p 地址是一种弱的认证 方法，容易被欺骗。在d f w 中建议采用强的认证方法，用l p s e c 2 1 | 加密的证书作 山东大学硕士学位论文 为主机认证识别的依据，一个证书的拥有权不易伪造，并独立于拓扑，所以只要 拥有合法的证书不管它处于物理上的内网还是外网都被认为是“内部”用户。加 密认证是彻底打破拓扑依赖的根本保证。在d f w 系统中，各台主机的审计事件 要被上传到中心日志数据库中统一保存。 2 1 2 分布式防火墙的本质特征 弄清分布式防火墙的本质特征有助于正确认识它，从而划清分布式防火墙和 非分布式防火墙之间的区别。首先，安全策略必须由管理员统一制订，这是分布 式防火墙区别于个人防火墙的根本所在，虽然它们都是主机驻留防火墙，但个人 防火墙中的所有行为都是用户个人行为，而分布式防火墙中的行为是集体行为， 每台主机的安全策略的并集构成了一个组织的整体安全策略。所以，分布式防火 墙要实行统一的策略管理。第二，策略必须被推到网络的边缘即主机上实旌，这 是分布式防火墙的又一本质特征。因为分布式防火墙的本质就是要将策略从边界 集中实施点迁移到网络末端即主机中来实施，只有这样才能打破拓扑依赖。第三， 日志必须统一收集，集中管理。因为管理员要对全网进行安全监控，必须掌握充 分的信息。综上所述，分布式防火墙的本质特征可以概括为“策略集中制订分散 实施，日志分散产生集中保存”，这一本质特征保证了从管理员的角度来看，他 管理的分布式防火墙就像管理边界防火墙一样，由他制订全网的安全策略并对全 网的安全状况进行监控，只不过策略的实施不在单一节点上而是分散到了多个节 点处而己。 4 山东大学硕士学位论文 2 1 3 分布式防火墙的体系结构 图2 - 1 分布式防火墙体系结构 分布式防火墙体系结构见图2 1 ，包含如下部分： 网络防火墙( n e t w o r kf i r e w a u ) ：它用于内部网络和外部网络之间，也就是 传统的网络边界防火墙，只不过在分布式防火墙体系结构之中它成了分布式防火 墙的一个组成部分，被集成到了分布式防火墙的体系结构当中，并通过中心管理 软件进行相关的管理工作。至于其它方面，与传统的网络防火墙基本类似。 主机防火墙( h o s tf i r e w a l l ) ：它对网络中的服务器和桌面机进行保护，这里 无庸赘述。其物理位置可能在内部网络中，也可能在外部网络中，如托管服务器 或移动办公的便携机。主机以外的网络，不管是在内部网还是在外部网，都被认 为是不可信任的，因此可以针对该主机运行的具体应用和对外提供的服务设定针 对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安 全策略不仅仅停留在网络与网络之间，而是把安全策略推广到每个网络终端 【2 3 】。主机防火墙最好嵌入操作系统工作，也可以采用其它技术来实现。从一定 意义来讲，可以将个人防火墙改造成主机防火墙。 中心策略管理软件( c e n t r a lp o l i c ym a n a g e m e n ts o f t w a r e ) ：它用来对总体安 全策略进行统一策划和管理，对布置在网络中任何需要的位置上的防火墙分发安 全规则以及进行日志汇总等。中心策略管理是分布式防火墙系统的核心和重要特 征之一。 山东大学硕士学位论文 2 2 分布式防火墙的实现 自从1 9 9 9 年1 1 月s t e v e n 的论文“分布式防火墙”发表以来，人们对分布式防 火墙的实现进行了研究，提出了一些实现方法，并实现了原型系统。下面介绍一 - f _ 基于o p e n b s du n i x ) 布式防火墙的实现【2 】 2 2 1 系统模型组件 k e r n e ls p a c e 图2 - 2 基于o p e n b s du n i x 的实现 该原型系统在o p e n b s du n i x 操作系统上修改内核并利用k e y n o t e 、i p s e c 等 技术加以实现的。o p e n b s d 是理想的开发安全应用的平台，因为它有一体化的安 全特性和库( i p s e c 栈、k e y n o t e 、s s l 等) 。 该原型系统( 主机部分) 包括3 个组件：内核扩展程序，用于实施安全机制； 用户层后台处理程序，用于执行d f w 策略；设备驱动程序，为内核和策略后台 程序之问的双向通信提供接口。该原型系统在_ 乇机一端的功能模块见图2 - 2 。 内核扩展部件：在u n i x 操作系统中用户使用系统调用c o n n e c t ( 2 ) 包j 建连接请 6 山东大学硕士学位论文 求，使用a c c e p t ( 2 ) 接受连接请求，一般情况下这两个系统调用不对数据流进行安 全检查。为了在内核中实现包过滤功能需要对它们进行修改。 策略后台程序：它运行在用户层，作用是根据策略服务器传送过来的安全策 略和通信中对方传送的信任书( c r e d e n t i a l ，相当于证书) 来决定接受包还是丢 弃包，并将判断结果返回内核。 策略设备驱动程序：该组件的功能是在用户策略后台程序和内核中被修改的 系统调用之间建立一个通路。它运行于内核态，并向策略后台程序提供r e a d ( 2 ) 、 w r i t e ( 2 ) 等功能调用，后台程序通过调用这些函数与内核交互 2 2 2 工作过程 以连接请求为例。首先，远端主机使用i p s e c 2 7 机制与本地主机进行安全协 商，作为i k e ( i n t e m e tk e ye x c h a n g e ) 交换的一部分，k e y n o t e 信任书被提交给本 地主机。一旦内核收到t c p 连接，就会建立一个上下文，其中包括i p 地址、端口 、 等信息，这些信息连同由i p s e c 取得的信任书被一起提交给策略后台程序。后台 程序调用r e a d ( 2 ) 读取这些信息，再结合本地安全策略执行k e y n o t e 评估，以决定 连接是否允许。然后调用w r i t e ( 2 ) 将判断结果写回内核，内核以此作为丢弃和接 受包的依据。 2 3 分布式防火墙的优势 l 、拓扑结构独立 分布式防火墙最大的优点是它既能保护主机又不受拓扑结构的约束。对于那 些既使用i n t e m e t 进行一般访问又使用i n t e r n e t 和公司网络进行隧道通讯的远程通 讯用户就能得到更好的保护。采用分布式防火墙，主机随时都能得到保护，无论 是否使用了隧道机制，再也不用“三角路由”去访问那些普通资源了。 2 、防止内部攻击 分布式防火墙摆脱了拓扑结构的约束后，对于内部主机的攻击不再显得那么 脆弱。对于主机再也没有内部网络和外部网络的区别，主机通过数字证书区别其 他主机，这就减少了被欺骗的机会。 3 、减少单一点的脆弱 7 山东大学硕士学位论文 传统防火墙需要单一入口执行策略，这不仅造成了单一点的脆弱而且防火墙 的速度限制了整个网络的性能。多重负载均衡的防火墙集群虽然可以解决这一问 题，但他的代价十分高昂，部署也十分复杂。如果部署分布式防火墙这些问题可 以减少到较低的水平，这样性能、可靠性、有效性不再依赖某一个机器。 4 、更充分的保护主机 传统的防火墙不能充分的意识到主机的真实意图。一个例子是端到端的加密 通讯流量，它能很容易的绕过传统防火墙的规则，因为防火墙没有必要的密钥。 还有许多防火墙被设置成用置a c k 位来传递外来的t c p 报文，因为它们认为这些 报文是给那些初始化一个会话的主机的回应，这不总是对的，欺骗性的a c k 报文 能作为“窃取性扫描”的一部分来使用。与之类似的，传统的防火墙不能恰当的 处理u d p 报文。与此相反，初始化会话的主机准确的知道什么报文是它期望的， 什么报文不是，因为它有足够的信息来判断收到的t c p 或u d p 报文是不是合法 的，在端到端加密的情况下它也有必需的密钥。分布式防火墙中主机防火墙由于 运行在主机上，它可以获得想要知道的一切信息，可以对主机通讯进行最大程度 的控制，为主机提供最充分的安全保障。 2 4 本章小结 分布式防火墙的出现是网络飞速发展的结果，传统防火墙的很多缺陷暴露出 来，如单点失效、防外不防内等。分布式防火墙集中制定策略，在各个端主机上 执行，解决了传统防火墙不能解决的上述问题。本章主要介绍了分布式防火墙的 特征、体系结构以及基于o p e n b s du n i x 操作系统的分布式防火墙实现及其工 作过程，并且指出了分布式防火墙的优势。 0 山东大学硕士学位论文 第3 章分布式防火墙中的信任管理系统 3 1 防火墙的策略描述语言 对防火墙策略描述可以有很多方法，可以用简单的访问控制列表( a c l ) ，可以 像商业防火墙一样采用图形界面制定策略，也可以用通用的策略描述语言( 如 k e y n o t e ) 进行描述。 3 1 1 商业防火墙策略描述 现在的商业防火墙无论是个人防火墙，还是网络防火墙一般都采用g u i 图形 用户界面的方式来描述策略。通常，用户通过选择预先设定的各种类型，制定出 类似访问控制列表的策略表。进一步说，一些防火墙可以对不同的访问类型分别 制定策略表，如分别按协议、主机地址、应用程序、时间等制定多个策略表。当 对包进行分析时，可以先后通过这些策略表，寻找匹配项。这种策略的描述很难 做到策略的灵活性，比如当需要把协议、主机地址、应用程序和时间等因素综合 起来判断时，这样的形式显得困难一些。还有，如今的商业防火墙很少能够将策 略和i p s c c 等用户认证和加密的安全手段结合，这不适合像分布式防火墙系统中 需要内部成员之间安全通信的情况。 3 1 2k e y n o t e 策略描述语言 k e y n o t e 3 采用简单的格式化文本来描述安全策略和安全凭证断言，这也体 现t k e y n o t e 的标准化和易读性。一个k e y n o t e 的断言如下： k e y n o t e - v e r s i o n ：2 a u t h o r i z e r ：“p o l i c y l i c e n s e e s ：“r s a - h e x ：1 0 2 3 a b c d c o m m e n t ：a l l o wl i c e n s e et oc o n n e c tt ol o c a lp o r t2 3 ( t e i n e t ) f r o mi n t e r n a l a d d r e s s e so n l y , o rt op o r t2 2 ( s s h ) f r o ma n y w h e r e s i n c et h i si sap o l i c y , n o s i g n a t u r ef i e l di sr e q u i r e d 山东大学硕士学位论文 c o n d i t i o n s ：( 1 0 c a lp o r t 一 2 3 ”& & p r o t o c o l 一- - - t c p ”& & r e m o t e _ a d d r e s s 1 5 8 1 3 0 0 0 6 0 0 0 & & r e m o t e _ a d d r e s s t r u e ”； k e y n o t e - v e r s i o n ：2 a u t h o r i z e r ：“r s a - h e x ：1 0 2 3 a b c d l i c e n s e e s ： d s a - h e x ：9 8 6 51 2 a l ”旷x 5 0 9 - b a 6 4 ：1 9 a b c d o 净” c o m m e n t ：a m h o r i z e rd e l e g a t e ss s hc o n n e c t i o na c c e s st oe i t h e ro ft h e l i c e n s e e s ，i f c o m i n gf r o mas p e c i f i ca d d r e s s c o n d i t i o n s ：( r e m o t e _ a d d r e s s 2 = = “1 3 9 0 9 1 0 0 1 0 0 1 ”& & l o c a l _ p o r t 一 2 2 ) - t r u e ”； s i g n a t u r e ： r s a - m d 5 - h e x ：f 0 0 f 5 6 7 3 ” 其中，k e y n o t e - v e r s i o n 是k e y n o t e 的版本，目前是2 ；c o m m e n t 是注释： a u t h o r i z e r 是发布断言者的标识，如果用公钥形式则这个断言是凭证，必须有签 名字段；l i c e n s e e s 是被断言批准的负责人( p r i n c i p a l ) 的标识；c o n d i t i o n s 是一组“行 为一结果对”f a c t i o n v a l u ep a i r ) ，描述行为产生的结果；s i g n a t u r e 是k e y n o t e 的 最后一个字段，是凭证的数字签名，保证凭证的不可修改。签了名的凭证可以在 不可信的信道中传输。 上面的k e y n o t e 断言包含一个策略和一个凭证。本地策略允许内部地址的主 机( 从1 5 8 1 3 0 6 0 到1 5 8 1 3 0 7 2 5 5 ) 访问特定的用户( 用公钥r s a - h e x ：1 0 2 3 a b c d 表 示) ，且允许所有的主机访问本机s s h 端口。之后，这个用户又对另两个用户授 权( 用公钥形式d s a - h e x ：9 8 6 5 1 2 a l “8 x 5 0 9 - b a s e 6 4 ：1 9 a b c d 0 2 一”) ，只允许从一个特 定l p ( 1 3 9 0 9 1 0 0 1 o o d 访问s s h 端口。这样的授权只能是本地策略的一个子集， 不允许授权的放大。 可以看出，k e y n o t e 描述策略和凭证时使用统一的、简单的语言，有很好的 弹性，在制定策略的时候，c o n d i t i o n s 字段的描述可以非常丰富，也可以有很多 的组合方式，如与( & & ) 、或q 1 ) 、非( ! ) 、大于( ) 、小于( t r u e ”； 这样，其它的访问都会被视为非法。现在再对两人进行个性化策略的制定，规 定b o b 只将网页对研发部门开放，a l i c e 只将f t p 对财务部门开放。那么就需要b o b 和a l i c e 对研发部门与财务部门进一步的授权( 这种授权不能超越本地策略) 凭 证用k e y n o t e 语言描述如下： k e y n o t e - v e r s i o n ：2 a u t h 妇：b o b _ p u b k e y # b o b 的公钥 i 埘a l c o n s t a n t s ： d e v e p m e a t _ d o m a i n = ”d e v t l l d e v 2 l l l l d e v m ”# 研发部门 群常量可用i p s c ci d 、公钥或i p 地址的形式，通常用公钥形式表示 l i c e n s e e s ：d e v e l o p m e n td o m a i n c o m m e n t ：b o b 允许研发部门访问自己的网页 c o n d i t i o n s ：( r e m o t ep o r t 一”8 0 ”& & r e m o t e _ a d d r e s s = = d e v e l o p m e n t _ d o m a i n ) - ”t r u e ”： s i g n a t u r e ：s i g n a t u r e l k e y n o t e - v e r s i o n ：2 a u t h o r i z e ：r ：a l i c e p u b k 砖y # a l i c e 的公钥 l o c a l - c o n s t a n t s ： f i n a l _ d o m a i n f i n l l l f i r l 2 l l i l f i r m ”撑财务部门 群常量可用i p s e ci d 、公钥或i p 地址的形式，通常用公钥形式表示 l i c e n s e e s ：f i n a c e _ d o m a i n c o m m e n t ：a l i c e 允许财务部门访问自己的f t p c o n d i t i o n s ：( r e m o t e _ p o 忙 2 1 ”& & r e m o t e = 一_ a d d r e s sf i n a c e _ d o m a i n ) 山东大学硕士学位论文 。t r u e ： 上述描述形成了一套完整的分层次的策略系统，大大简化了策略中心服务器 策略制定的复杂度，不再需要对每一个用户进行大量的策略制定；认证与非认证 方法得到了统一，c o n d i t i o n s 中既可以用i p s e ci d 、公钥等加密认证方式，也可以 用i p 地址，主机名等非认证方式，提高了策略的灵活性。 3 2 3 基于k e y n o t e 信任管理模型的缺点及改进方法 l 、用户迁移时策略管理复杂 k e y n o t e 信任管理模型中一般使用用户的公钥作为用户的身份标识。策略是 针对用户身份标识进行制定的。如果增加或删除一个用户那么将在所有涉及此用 户的策略中增加或删除此用户的公钥信息：如果要将一个用户从一个域换到另一 个域中，那么要在所有涉及这两个域的策略中删除或增加此用户的公钥信息，并 为此用户制定新的策略。如将d e v l 由研发部门调入销售部门则策略需要做如下更 改 k e y n o t e - v e r s i o n ：2 a u t h o r i z e r ：”p o l i c y ” l o c a l - c o n s t a n t s ： s a l e s = ”b o b l l a l i c e l l d e v i ”撑销售部门 d e v e l o p m e n t _ d o m a i n = ”d e v 2 1 f i l d e v m ”群研发部门 f i n a c ed o m a i n = “f i n l l l f m 2 1 1 f i n n “ 撑财务部门 # 常量可用i p s e c i d 、公钥或i p 地址的形式，通常用公钥形式表示 l i c e n s e e s ：s a l e s c o m m e n t ：允许研发部门和财务部门访问销售部门 c o n d i t i o n s ：( r e m o t ea d d r e s s = d e v e l o p m e n td o m a i n l l f i n a c e _ d o m a i n l - t r u e ”； k e y n o t e - v e r s i o n ：2 a u t h o r i z e r ：b o b _ p u b k e y # b o b 的公钥 l o c a l c o n s t a n t s ： d e v e l o p m e n t _ d o m a i n = ”d e v 2 1 1 i l d e v m ”拌研发部门 1 4 山东大学硕士学位论文 # g - 量可用i p s e ci d 、公钥或i p 地址的形式，一般使用公钥 l i c e n s e e s ：d e v e l o p m e n td o m a i n c o m m e n t ：b o b 允许研发部门访问自己的网页 c o n d i t i o n s ：( r e m o t ep o r t = = 8 0 & & r e m o t e _ a d d r e s s = = d e v e l o p m e n t _ d o m a i n ) ”t r u e ”： s i g n a t u r e ：s i g n a t u r e ! 将所有涉及到d e v l 、研发部门域以及销售部门域的策略都要作出相应修改， 将d e v l 从研发部门域中剔除并加入到销售部门域中。 2 、策略更新困难 由于用户域的迁移需要