（计算机应用技术专业论文）内网主机访问控制应用研究.pdf

内鼹主机访问控制应用研究摘要 内网主机访问控制应用研究 摘要 现今众多的企业组织、政府部门与机构都在组建和发展自己的内部 网络系统，并且融入国际互联网络i n t e r n c t ，同时攻击威胁也一直和网 络的发展相互交织。组织机构的内网通信因其在局部范围内大量的网 络用户而面临更多潜在的网络威胁，包括网络数据包嗅探、i p 地址欺 骗、会话劫持等，同时边界防火墙也不再能承担所有的抗攻击重任。 网络安全的木桶效应又使安全人员在内网攻击的防范上顾此失彼，很 可能从一个攻陷点最后渗透到整个内网。如何确保内网的安全成为当 前信息安全的一个重要研究领域。 针对内网环境的复杂性，仅仅运用单一的或者零散的防范技术对安 全需求来说是形同虚设，已不能有效抵抗成百上千、方式各异的网络 威胁，要求一种系统的但又实施方便的安全措施来保障内网主机间的 通信安全。 基于上述要求，本文提出了一种内网主机安全访问控制模型。其 基本思想是通过改造内网通信主机的网络协议栈，在其数据链路 ( d a t a l i n k ) 层和i p 层之间嵌入了一安全访问控制层，在此控制所有 流过主机协议栈的网络数据包( 包括进来的和出去的) ；在数据包如何 安全的“控制”上，采用了凭证一策略验证的信任管理子模型、附加 d a t a l i n k 层序列号确认以及实时的加密网络数据包等技术手段。改造 后的协议栈运行在内网的每一主机，而且每一主机既可作为服务端， 内两主机访向控制应用研究 摘要 也可作为客户端来实施安全访问控制，达到分布式网络主机的对称安 全访问。 对于安全访问控制的流程安排上，依次经过四次握手建立安全通 道以及在已建立的安全通道的正式数据传输。四次握手初始化并建立 合法的会话，并完成会话密钥以及序列号池的协商，其中序列号池的 协商依靠会话密钥来加密序列号种子；正式数据传输以四次握手为安 全基础，以对称会话密钥加密网络数据包并通过数据链路层序列号来 引入严格的底层确认机制，保证了通信双方会话过程数据包的机密性 及安全同步。这样，各个安全资源条件建立过程合理，互为依赖，整 个系统的整合安全有效、逻辑严密。 研究的系统模型具有如下特点和创新： 1 基于凭证一策略信任关系的、分布式对称多用户的灵活的访问 控制。避免了当前大多数访问控制系统采用的庞大复杂的、难以维护 和扩展的集中式访问列表形式，并且主机在内网中的角色是对等的而 不是明显区分的c s 模式。 2 对应用层透明，也即该安全模型的实施与具体的应用程序无 关。通过引入凭证一策略，分化了特定的应用程序同访问控制策略的 关联，这种关联将只是通过配置凭证和策略来解决，而无需改造特定 的应用程序。 3 协议栈底层的网络数据包的加密以及数据链路层序列号确认机 制作为系统的安全屏障，有效屏蔽了对i p 层及以上各协议层的漏洞攻 击，克服了内网通信易受i p 地址欺骗、数据包嗅探、会话劫持等弱点。 4 很好的防范了内网主机间的d o s 攻击。非法的不持有凭证的通 信发起端将不能发出第一个数据包，从而在源头被阻断。 内嗣主机访阿控制应用研究 摘要 5 。拥有自主源代码的安全控制模块和加密等安全算法，克服了使 用非开放源代码的操作系统和安全算法的风险。 本文从内网通信中安全需求和背景出发，分析了建立该安全系统 模型的技术基础，给出了整个安全访问控制模型的框架结构，并对各 个模块的详细设计和仿真实现进行了阐述。最后总结了该模型作为内 网安全保障的刨新之处和不足之处，并对开销作了简单的定性分析。 作为模型的仿真，最终以c 语言实现了内核协议栈的编码，以c + + 完 成应用层编码，形成了个完整的内网安全访问控制系统。 关键词：内网安全，访问控制，网络协议栈改造，协商，加密， 序列号确认 i l l 内两主机访问拄制应用研究 a b s t r a m a p p l i c a t i o n r e s e a r c ho fh o s t - b a s e da c c e s sc o n t r o l i ni n n e rn e t w o r k a b s t r a c t n o w a d a y sag r e a tn u m b e r o f o r g a n i z a t i o n s , i n c l u d i n ge n t e r p r i s e sa n d g o v e r n m e n td e p a r t m e n t s ，a l eb u i l d i n ga n dd e v e l o p i n g t h e i ri n n e rn e t w o r k s y s t e m s , a n dt h e nj o i nt h ei n t e m e t a t t h es a m et i m e , t h ea t t a c kt h r e a t s h a v ea l w a y sb e e na c c o m p a n y i n gt h ed e v e l o p m e n to ft h en e t w o r k f o r t h e r ea f cs om a n yu s e r si nal o c a ln e t w o r k , t h ec o m m u n i c a t i o ni nt h e o r g a n i z a t i o n s i n n e rn e t w o r ki sf a c e dw i t hm u c hm o r el a t e n tt h r e a t s ， i n c l u d i n gt h en e t w o r kp a c k e t ss n i f f e r , i ps p o o f , s e s s i o n 坷a c k i n g e t c t h e r e f o r et h ep e r i m e t e rf i r e w a l l sc a n n o tt a k eo nt h ei m p o r t a n tt a s ko f r e s i s t i n gt h ea t t a c k s t h ec a n n i k i n e f f e c tc o n c e r n i n gt h en e t w o r ks e c u r i t y a l s ot r o u b l e st h es e c u r i t ye n g i n e e r st oa t t e n do n et h i n ga n dl o s ea n o t h e r w h e nt h e ym a n a g et h ei n n e rn e t w o r k i ti s i na l l p r o b a b i l i t yt h a tt h e a t t a c k e rp e n e t r a t e sa l ia r o u n dt h ei n n e rn e t w o r kf r o mo n e a g g r e s s e dp o i n t s oh o wt oe n s u r et h ei n n e rn e t w o r ks e c u r i t yh a sb e e nv e r yi m p o r t a n ti nt h e r e s e a r c ho f t h ei n f o r m a t i o nt e c h n o l o g ys e c u r i t yf i e l d w i t ht h ec o m p l e x i t yo f r u n n i n ge n v i r o n m e n to f t h ei n n e rn e t w o r k , o n l y 内网主机访问控制应用研究 al i t t l e s e c t a s t yc o u n t e r m e a s u r ew h i c hi s e v e no u to f i n t e g r a t i o nw i l ln o l o n g e rg u a r a n t e es e c u r i t yw o r k i n g ，a n dn ol o n g e rr e s i s th u n d r e d so re v e n t h o u s a n d so f k n d s o f a t t a c k s t h e r e b y a s y s t e m a t i cs e c u r i t ys t r a t e g yw h i c h i se x e c u t e d e a s i l ys h o u l db e e ng i v e n t op r o t e c tt h ei n n e rn e t w o r k w h e nt h ea b o v e r e q u i r e m e n t s a r e c o n s i d e r e d , i n t h i st h e s i sa h o s t - b a s e da c c e s sc o n t r o lm o d e li ni n n e rn e t w o r ki sp u tf o r w a r d i t sb a s i c i d e ai st h a tb y c h a n g i n g t h el a y e r e dn e t w o r k p r o t o c o ls t a c ko f h o s ti ni n n e r n e t w o r k , as e c u r i t ya c c e s sc o n t r o ll a y e ri s i n b u i l tb e t w e e nt h ed a t a l i n k l a y e ra n di pl a y e r , s oa st oc o n t r o la l l t h ep a c k e t sw h i c hg ot h r o u g ht h e h o s t sp r o t o c o ls t a c k , i n c l u d i n gt h ei n c o m i n ga n d o u t g o i n gp a c k e t s f o r t h e p u r p o s eo fs e c u r i t yd a t ac o n t r o l ，at r u s tm a n a g e m e n ts u b - m o d e lb a s e do n c r e d e n t i a l - p o l i c y v e r i f i c a t i o ni s b u i l t b e s i d e s ，d a t a i i n k - l a y e r - b a s e d s e q u e n c e sv a l i d a t i o na n dn e t w o r kd a t ae n c r y p t i o n f o re v e r yp a c k e ta r e a d o p t e d t h ec h a n g e dp r o t o c o ls t a c k i si n s t a l l e da n d r u n n i n gi ne v e r y h o s t i nt h ei n n e rn e t w o r k e a c hh o s to l i nr u nn o t o n l ya sas e r v e r , b u ta l s oa sa c l i e n t , s ot h a ti tg e t st h ea i mo fs y m m e t r i c a ls e c u r i t ya c 圮e s sb e t w e e nt h e h o s t si nd i s t r i b u e di n n e rn e t w o r ke n v i r o n m e n t a f t e rt h e s y s t e m i si n s t a l l e da n d r u n n i n g ，o n es e c u r i t y c o m m u n i c a t i o ns e s s i o nb e t w e e nt w oh o s t sc o n s i s t so ft w op r o c e s s e si n s g q u e n c e t h ef i r s tp r o c e s si st h e4 - h a n d s h a k e a n dt h e nt h ef o r m a ld a t a t r a n s p o r tp r o c e s sb a s e do nt h ef o r m e r4 - h a n d s h a k e t h ef o r m e rp r o c e s s i n i t i a l i z e sa n de s t a b l i s h e st h e a p p r o b a t o r ys e s s i o n ，a n d f i n i s h e st h e n e g o t i a t i o n o ft h e s e s s i o n k e y a n dt h e nt h e s e q u e n c e n u m b e r s p 0 0 1 m e a n w h i l e ，t h es e e df o rt h es e q u e n c en u m b e ri se n c r y p t e du s i n gt h e n e g o t i a t e ds e s s i o n k e ya n d t h e nt r a n s p o r t e d t h a tw i l lp r o d u c et h e p 0 0 1 n e l a t t e r p r o c e s sa n di t ss e c u r i t y i sb a s e do nt h ef o r m e ro f4 - h a n d s h a k e d u r i n gt h i sp r o c e s s ，e v e r yp a c k e ti se n c r y p t e du s i n gt h es e s s i o n k e y , a n d 内尉主机访阐控制应用研究a b s t r a c t a d d e dw i t ha d d i t i o n a ld a t a l i n k - l a y e r - b a s e ds e q u e n c en u m b e r , t o g o i n t ot h e n e t w o r k a n dt h er e c e i v i n gh o s tc o n f i r m si t s s e q u e n c en u m b e r ，a n dt h e n d e c i p h e r s t h e p a c k e t t h u s ，t h ec o n f i d e n t i a l i t y a n d s y n c h r o n i s m o f c o m m u n i c a t i o ns e c u r i t yi se n s u r e d a l lt h es e c u r i t yr e s o u r c e sa r eb u i l t r a t i o n a l l ya n dr e l yc l o s et oe a c ho t h e r , t op r o v i d et h ew h o l es y s t e mw i t h e f f e c t i v es e c u r i t ya n d r i g o rl o g i c t h i sr e s e a r c hm o d e lh a ss o m ec h a r a c t e r i s t i c s a n di n n o v a t i o n sa s f o l l o w s ： 1 t h ea g c c s sc o n t r o li s s y m m e t r i c a l ，f l e x i b l e ，f o rm u l t i - u s e r a n d c r e d e n t i a l p o l i c y b a s e di nd i s t r i b u t e dn e t w o r k i ta v o i d st h ed i s a d v a n t a g e s o f n o r m a la c l s t y l eu s e dm o s t l y t h a ti sh u g ea n dc o m p l i c a t e d ，d i f f i c u l tt o m a i n t a i na n de x t e n d 1 1 1 er e l a t i o n s h i pb e t w e e nt h eh o s t si sp e e rt op e e r , b u t n o tb a s e d e v i d e n t l y 0 1 1c sm o d e 2 i ti st r a n s p a r e n tt ot h e 叩p l i c a t i o nl a y e r , i e t h ee x e c u t i o no ft h e m o d e li s i n d e p e n d e n t t o s p e c i f i ca p p l i c a t i o n b yu s i n g t h e c r e d e n t i a l p o l i c y - b a s e ds u b m o d e l ，t h e a s s o c i a t i o nb e t w e e nt h es p e c i f i c a p p l i c a t i o na n dt h ea c c e s sc o n t r o lp o l i c yi sd i v i d e d , a n dt h i sa s s o c i a t i o n w i l lb es o l v e do n l yb yc o n f i g u r i n gt h ec r e d e n t i a la n dp o l i c y , b u tn o tb y m o d i f y i n g t h ea p p l i c a t i o n 3 t h ep a c k e tc n c r y p t i o na n ds e q u e n c en u m b e rv a l i d a t i o na tt h el o w l a y e ro f t h e p r o t o c o ls t a c ka ss e c u r i t yp r o t e c t i o n ，e f f e c t i v e l ys h i e l da g a i n s t t h ea t t a c k sa i m i n ga tt h el e a ko fi pa n dh i g h e rl a y e r , a n do v e r c o m et h e v u l n e r a b i l i t yo f b e i n g av i c t i mo f l p s p o o f , s n i f f e ra n dh i j a c k e t c 4 。i t sag o o ds o l u t i o na g a i n s tt h ed o sa t t a c ka m o n gt h ei n n e rh o s t s f o rt h ei n v a l i d l a u n c h i n g h o s tw i t h o u tac r e d e n t i a lc a n n o ts e n do u tt h ef i r s t p a c k e ti t s e l f , t h ed o s a t t a c ki sc o n q u e r e da tt h es o u r c e p o i n t 5 t h es o u r c ec o d e o ft h e s e c u r i t y c o n t r o l m o d e l ，e n c r y p t i o n v i 内网主机访鹤控制应用研究 a b s t r a c t a r i t h m e t i ca n do t h e r si so w n e d b yu s e r s ，s o t h er i s k so f u s i n g t h eo p e r a t i o n s y s t e m a n d s e c u r i t ya r i t h m e t i cw i t h o u t f r e es o u r c ec o d ei se l i m i n a t e d t h i st h e s i s b e g i n s 喇t 1 1 也ed e m a n da n db a c k g r o u n do ft h ei n n e r n e t w o r kc o m m u n i c a t i o n s e c u r i t y t h e n i t a n a l y z e s t h e s u p p o r t i n g t e c h n o l o g i e sf o rt h eb u i l d i n go f t h i ss e c u r i t ys y s t e mm o d e l a f t e r p u t t i n g f o r w a r daf r a m e w o r ko ft h ew h o l em o d e l ，i ta n a l y z e sa n de x p o u n d st h e d e s i g na n di m p l e m e n t o f t h em o d e l a sas i m u l a t i o no f t h e m o d e l ，t h ec o d e i sw r i t t e n i t sk e r n e l p a r ti si m p l e m e n t e d i nc l a n g u a g e ，a n d i t sa p p l i c a t i o n i nc + + ，t of i n i s ha l li n t e g r a t e dh o s t b a s e ds e c u r i t ya c c e s s c o n t r o ls y s t e mi n i n n e rn e t w o r k r o n gj i a n ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) s u p e r v i s e db yw a n gy i g a n g k e yw o r d s ：i n n e rn e t w o r k s e c u r i t y , a c c e s sc o n t r o l ，n e t w o r k p r o t o c o l s t a c k c h a n g i n g , n e g o t i a t e ，e n c r y p t i o n ，s e q u e n c e n u m b e r v a l i d a t i o n 附件一： 东华大学学位论文原创性声明 本人郑重声明：我恪守学术道德，崇尚严谨学风。所呈交的学位论文，是本人在导师的 指导下，独立进行研究工作所取褥的成果。除文中已明确注明和引用的内容外，本论文不包 含任何其他个人或集体已经发表或撰写过的作品及成果的内容。论文为本人亲自撰写，我对 所写的内容负责，并完全意识到本声明的法律结果由本人承担。 学位论文作者签名：栽晓 日期：归f 年月l f 日 附件二： 东华大学学位论文版权使用授权书 学位沦文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留井向国家有 关部门或机构送交论文的复印件和电子版允许论立被苍蔺或借阅。本人授权东华大学可以 将本学位论文的垒部或部分内容蝙入有关数据库进行检索，可以采用影印、缩印或扫描等复 制手段保存和汇编奉学位论文。 保密口，在年解密后适用本版权书。 本学位论文属于 不保密母 学位论文作者签名：戎勺建 指导救师签名 日期乒p 辟1 月f f 日 日期：知j _ 年弓月x 日 一7 厂、 内网主机访问控制应用研究 第一章引言 第一章引言 1 1 研究内网安全的背景 当前各类机构、单位越来越离不开网络，不仅包括访问外部广袤的国际互 联网i n t e m e t ，也包括其内部网络的相互访问通信。内网概念，是针对公网而 言的，是指政府或企业等的部门与部门之间，或部门的内部所建立的有限范围 的内部通信网络，通过内网实现内部信息共享、协同工作。一般内网计算机可 通过一个公共的网关访问i n t e m e t 。 世界的网络化使得使用耆在享受网络广泛的开放性便利的同时，也将不得 不面对许多新的信息安全问题。竞争对手、间谍、不满的雇员、无聊的年轻人 以及黑客会更加频繁地借助网络入侵他人的计算机，以便于偷窃信息、进行破 坏工作、发泄捣乱。尽管大多机构已重视提高网络的边界安全，但是企业网络 的内网还是非常脆弱的。虽然他们也对内部网络实施了相应保护措旖，如：安 装动辄数万甚至数十万的网络防火墙、入侵检测软件等，并希望以此实现内网 与i n t e m e t 的安全隔离然而，情况并非如此! 企业中经常会有人私自以m o d e m 拨号、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种 情况的存在给企业网络带来了巨大的潜在威胁，还有是内网中提供对外服务的 一些服务器有系统漏洞存在，等等这些，极有可能使得外网的黑客绕过防火墙 而在企业毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒 等严重后果。在此情况下，企业耗费巨资配鍪的防火墙己失去意义。实践证明， 很多成功防范威胁企业网边界安全的技术对保护企业内隔却没有效用。大多数 的计算机安全统计数字表明，内网发起的攻击占全部计算机攻击的7 0 8 0 a 因此今天企业网络的安全( 对于政务网也同样) ，仅靠网络边界的安全已 经远远不够，如何加强内网主机间的访问控制从而加强内阿的整体安全将具有 重要意义。 内网主祝访海瞪馘壹用研究 第一章引言 1 2 内网安全分析 由安全角度考察内网，从分析它自身固有的特点出发，发现内网面临很多 安全方面的隐患： 1 、内网的主机间的安全通信很大程度上依赖于主机操作系统的安全。而 当前流行的操作系统如w i n d o w s 2 0 0 0 、l i n u x 、u n i x 经常发现有漏洞存在，或 者内网用户技术的或人为的缺乏安全管理手段，或安装操作系统时采用了某些 默认配置从而导致安全问题。 2 、很多内网是局域网( l a n ) ，或者有若干个局域网段构成。如果以集线 器( h u b ) 相连，一群主机将处于同一个冲突域。其中任意主机，只要将网卡 设为混杂模式( p r o m i s c u o u s ) ，它即能监听冲突域的所有过往数据包，不管是 与它相关的，还是另外两台主机间的通信数据包。这种称之为“嗅探”【2 j 的技 术现在已经是非常成熟了，攻击者可非常方便的被动获取双方的通信内容，可 能是用户的帐号、密码等重要信息。即使主机之间以交换机相连而不处于同一 个冲突域，还是可以针对交换机的转发原理。采用a r p 欺骗1 3 1 来达到网内嗅探 目的。 3 、 内网的主机她址可以任意改动。如果主机间的信任关系是建立在口 地址信任之上，那么口地址欺骗【4 | 将是可行的。数据包的口源地址能够伪造， 可以通过软件编程实现，甚至直接在网络属性配置上改动腰地址，这样信任 关系就名存实亡。之所以这种碑地址欺骗的数据包能到达目的主机，就因为 双方处在同一内网，而外网就不行，因为数据包通不过边界网关或防火墙。 4 、 由于嗅探技术和欺骗技术的存在，引发了t c p 会话劫持聊。根据t c p i p 中的规定，t c p 协议进行通信要提供两段序列号确保连接同步以及安全通讯， 系统的t c p i p 协议拽依据时闯或线性的产生这些值。在通讯过程中。双方的 序列号是相互依赖的，这也就是为什么称t c p 协议是可靠的传输协议 6 】。如果 攻击者在这个时候进行会话劫持，结果肯定是失败，因为会话双方。不认识” 攻击者，攻击者不能提供合法的序列号，所以会话劫持的关键是预测正确的 序列号t 对予内网环境，攻击者则可以采取嗅探技术获得这些信息，同时结合 破欺骗等技术取代合法访问主机接管t c p 会话。从后果上看，会话劫持攻击 内网主机访翘控制应用研究 第一章引言 是致命的。 5 、恶性的黑客攻击事件一般都会先控制内网的一台主机，然后以此为跳 板，利用内网主机间缺乏访问控制机制，对其他主机发起恶性攻击，威胁整个 网段。这种内网攻击的扩散性很强，常见的缺乏安全机制的内网环境很难限制 这种扩散。 6 、即使考虑部署传统意义的主机间的安全访问控制用，也会产生访问控 制策略配置问题：在拥有众多分布式主机的内网主机问访问频繁，访问规则 各异，每个用户到权限的映射规则将变得非常复杂庞大，极难维护。 等等诸如此类总结起来，内网的主要威胁包括：网络数据包嗅探、m 地址 欺骗、序列号会话劫持等，它们也是攻击最初始可能利用的途径。由于作为内 网用户的内部人员了解内部的系统，内部业务流程，拥有一定的访问权限，更 有机会作非法的网络操作行为，比一般的黑客更加危险。这就使得对于内网安 全的研究显得迫切重要。 1 3 内罔安全研究现状 目前研究人员提出了一些常用的内网安全防范方法，但仍存在很多不足。 ( 1 ) 采用安全交换机、v l a n 划分代替集线器来隔离网络资源：从网络 的层次上来说，链路层的安全，主要是接入设备和核心设备链路的安全性。目 前部署在交换机上的8 0 2 1 x 、8 0 2 1 w 标准协议可用以实现链路快速切换，实现 安全。此外，对于网络层以上的安全。例如一些主要依靠广播方式传播的病毒、 拒绝服务攻击等，可以通过对交换机器端口的通道隔离、流量控制等一些方式 来解决。例如，作为对付2 0 0 3 年1 月底肆虐全球的“s q ls l a m m e r 糯虫病毒的 措施之一，就是通过禁止交换机上采用u d p1 4 3 4 端口来得已防范。但是这种 方法技术屏障低，对于有一定经验的攻击者还是能够采用特定的技术来攻破。 ( 2 ) 通过口地址、m a c 地址、端口等的绑定：内部技术人员之间的互访 经常没有任何限制屏障，对内部作案就形同虚设。假如内部人员盗用他人 进行操作，此时网管只知道有人在访问和操作网络业务系统，但是无法识别、 控制；再者，网络程序的连接端口完全可以自己改变而i p 、m a c 地址也完 内网主机访问控制应用研究 铕一章 1 言 全有假冒的可能性。所以该方法也只能做基本的控制管理。 ( 3 ) 简化、裁减内网的服务、限制互访：为了减少漏洞出现的几率，禁止 无关的主机间的访问，对内网的服务提供主机力求单一简单。比如某个服务器 只能提供单一的服务，或对内网主机的软件安装严格限制，造成了资源的浪费， 管理的困难，而且对不服从网管秩序的员工较难限制。对于网络恶意监听也难 对付。 ( 4 ) 确保操作系统的安全：所有网络上的主机都运行于一定的操作系统之 上，而选择安全的操作系统也是作为内网安全保障的重要方面。由于当前流行 的操作系统如w i n d o w s 系列不断出现严重的漏洞，漏洞发现的时间间隔惊人 的短，厂商除了提供补丁外没有更好的解决办法，而且补丁只是事后的补救， 对于未公开的操作系统漏洞无能为力。所以它不是解决安全问题的彻底办法， 且使用菲国内自主研发的操作系统本身就具有一定的安全风险。 ( 5 ) 对于e m a i l 、聊天内容、麸享文件等采取预先加密手段：这些针对 特定用户之间的通信内容加密从效果上来看确乎不错，但是就实际情况而言， 实行起来非常不便：这些基于应用层上的加密只能实现于特定的程序，或者要 求改造这些e m a i l 、聊天程序、共享文件服务，或者预先手动加密成密文， 再运行上述程序；而且预先因为使用者贪图方便而设置弱密码，或者密码泄露。 无论对用户还是对管理者都很麻烦。 ( 6 ) 入侵检测系统( i d s ) s l ：i d s 对于来自内部的入侵行为无法向管理 员做出报告，更让人担忧的是，无法调查内部员工造成的破坏程度。为克服这 个难题，许多组织利用基于查询的内部分析工具来加强内部安全，发现未授权 的活动。基于查询的分析工具虽然为发现安全漏洞或滥用网络权限提供了有效 方法，但最多也只能算是被动的补救办法，即使最警惕的基于查询的分析，通 常也要晚一个小时。总之，当前的大多数i d s 系统只能在案件发生后提供相应 的事后报告，没有前期预警，没有事中监督，无法防止案件的发生。 1 4 研究目标和现实意义 本文研究的总体目标是：在内网分布式环境中，通过对其中每个主机节点 内罔主机访问控制应用研究 第一章引言 的网络协议栈嵌入一个安全访问控制层( 在i p 层和数据链路层之间) ，建立一 个基于主机闯的安全通信访问控制模型，使得主机间的通信都经过严格的基于 凭证一策略信任关系模型的访问控制认证，所有的传输数据包在内网通道上传 输都是安全加密的，并且附加了额外的链路层序列号验证机制，从而保证内网 最大限度的通信安全。在最终的代码实现上主要利用微软提供的网络驱动程序 接口规范( n d i s ，n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n ) i 。 之所以考虑这样的系统，是源于以上针对当前内网本身存在的安全现状的 分析，以及当前政府、企业对内网安全的需求，最大努力地将有效的安全技术 手段统一集成到这个安全层。具体说，本文涉及以下技术以达到相应的内网安 全目标： 1 、基于公钥证书【1 0 1 的身份认证机制和凭证、策略结合的访问控制，从根 本上防止内网i p 地址欺骗攻击； 2 、 为通信数据包附加第三方难以预测的链路层序列号，达到通信双方数 据包的安全同步有效抵制欺骗型数据包的攻击，如针对t c p 序列号的会话劫 持攻击； 3 、对于网络数据流的加密。使得采用嗅探技术键到的数据包都是杂乱无 意义的密文形式。而且是一次会话过程使用一个会话密钥，该会话结束后销毁， 大大增加破解的难度： 4 、基于凭证、策略信任关系】的访问控制模型还解决了在众多网络用户 时，访问控制表制定、维护的极度复杂化，且实现了对分布式网络主机群横向 的安全域的划分和纵向的分级控制，管理方便。 5 、在主机的网络协议栈额外嵌入一个安全层，可以自己拥有安全加密算 法库。支持我国自主开发的安全算法，弥补了将安全性建立在国外操作系统本 身安全性之上( 如w i n d o w s 2 0 0 0 的i p s e c ) 的不足，且所有访问控制和数据包的 加密由自己实现，免去源代码非公开的安全性后顾之忧。 6 、严格的包确认机制和底层加密通信，即使内网某台主机被攻破也不能 再继续向同网段其它主机发起跳板攻击，即便是利用i p 或t c p 协议等保留字 段的的数据驱动攻击，因为非法包不能越过嵌入的安全层而继续向上到达i p 内网主机访问控制应用研究 第一章引言 层。 本文所构建的系统适用于对主机间访问需要严格限制的安全内网，它拥有 便于管理的基于凭证策略的、分布式、多用户对等的访问控制管理模型，具有 灵活、易维护、可扩展、安全性强等特点，大大加强企业内网安全：同样，考 虑到电子政务内网的网上传输对象以日常办公的电子公文为主，所以网络的数 据流量相对较小，需要加密数据包的资源消耗就相对小，但对数据安全性要求 非常高。所以该模型也非常适合于电子政务内网。 1 5 本文的章节结构概要 第章引言从课题研究的背景出发，分析了内网的安全问题及其研究的现 状，提出了内网主机访问控制的研究目标模型，及该研究目标所具备的现实意 义。 第二章介绍了建立该目标模型所必须的些技术基础。包括访问控制技术、 分布式主机访问控制的信任管理模型、t c p f l p 协议的数据包确认机理、网络安 全的密码技术，作为展开本课题研究的基础性知识。 第三章根据前两章的分析和介绍，提出了模型系统的设计思想，分析建立 模型的技术背景和总体安全部署，给出了模型的整体框架及各模块的概略。 第四章是整个内网主机访问控制模型系统的全面设计，对模型框架进行详 细分析和描述，包括各个过程、功能模块、相互之间的交互作用、具体技术的 应用等各小节依次阐述了数据包截获模块的设计：系统的安全访问流程； 信任管理设计；曲a i l g 。阶段一协商认证；e s t a b l i s h e d 阶段一安全的 数据传输： 核心层与应用层的交互。在阐述中根据仿真实验，有选择的附上 少量代码作为对文字叙述的补充n 第五章按照前文的设计给出模型的仿真实现。从而绘系统模型设计的应用 和研究以实际的可行性支持。 第六章作为全文的结束，总结了所建立的系统模型的特点及创新，定性的 分析了该安全模型系统的时延开销，最后点出了系统尚待解决的不足或需改进 提高的方面，并作了研究展望。 6 内两主机访问控制应用研究第二章安全访问控制的技术基础 第二章安全访问控制的技术基础 本课题所研究的目标是一个内网分布式主机间访问控制的安全通信系统， 所采用的技术必须是适用于内网环境下访问控制的。本章将探讨相关技术，作 为创建目标系统的技术依托或理论启发，从而保证内网安全运行。这里涉及到 的多种知识和技术，包括访问控制技术、分布式主机访问的信任管理模型、 t c p i p 协议及其包确认机制、网络安全的密码技术等几个方面。 2 1 访问控制技术 2 1 ，1 访问控制的基本概念 访问控制【1 2 】 1 3 1 是计算机系统最重要和最基础的安全机制，实现既定安全策 略。美国国防部的可信计算机系统评估标准( t e s e c ) 把访问控制作为评价系统 安全的主要指标，访问控制对提高系统安全性的重要件是不言而喻的。访问控 制是通过某种途径显式地准许或限制访问权力及范围的一种方法。它管理所有 资源访问请求，通过访问控制服务对每一个资源访问请求做出是否许可的判 断，可以限御对关键资源的访问，防止非法用户访问系统资源或者因合法用户 的不慎操作所造成的破坏。 访问控制系统存在以下要素【1 3 | ： 1 、主体( s u b j e c t ) ：即主动实体，导致信息在系统中流动及改变系统状态的 用户或进程，也就是发出访问操作、存取要求的主动方，可以指一个组、一个 子系统、一台主机、一个用户或某个进程； 2 、客敝o b j o o t ) 能包含或接受信息的被动实体。客体可以是一台主机、 被调用的程序、欲存取的数据访问、或者附属于计算机的设备。客体在信息流 动中的地位是被动的，在主体的作用之下。包括传统访问控制在内的大多数访 问控制技术都把资源访问统一抽象为主体对客体的访问加以控制。 3 、访问控制规j l u ( a c c c s sr i g h t ) ：是规定一个主体是否对某个特定客体有访 问和执行特定操作的许可，用以确定一个主体拥有的访问权力。在计算机系统 中，访问是主体和客体之间的交互，这种交互的结果往往引发信息流动。主体 对客体的访问就意味着对客体所包含的数据的访问。 7 内网主机访问控制应用研究第二章安全访问控制的技术基础 访问控制实施模块在主体和客体之间，负责控制主体对客体的访问。访问 控制决策功能块是访问控制实施功能中最主要的部分，它根据访问控制信息作 出是否允许主体操作的决定，这里访问控制信息可以存放在数据库、数据文件 中，也可以选择其它的存取方法，视访闯控制信息的多少及安全敏感度而定。 其原理如图2 1 所示。 图2 - 1 访问控制功能原理 2 1 2 访问控制的安全策略” 计算机信息系统访问控制技术最早产生于六十年代，随后出现了多种重要 的访问控制策略： l 、自主访问控制( d j 湖训o n 州a c c c o n t r o l ，d a c ) 传统的d a c 随分时系统的出现而产生，它基于这样的思想：客体的主人 全权管理有关该客体的访问授权，有权自主地将其拥有的对客体的访问权限 ( 全部或部分地) 授予其它主体，有权泄漏，修改该客体的有关信息。因此，有 些学者把d a c 称为基于主人的访问控制。其实现方法一般是建立系统访问控 制矩阵，矩阵的行对应系统的主体，列对应系统的客体，元素表示主体对客体 的访问权限。为了提高系统性能，在实际应用中常常是建立基于行( 主体) 或列 ( 客体) 的访问控制方法。 尽管d a c 已在许多系统中得以实现( 如u n i x ) ，然而d a c 的一个致命弱 点是：