（计算机应用技术专业论文）安全可控网络域间访问控制技术研究.pdf

南索邮壤走学硬士研究生学位论文 安垒可控两络域糯诲问控帛j 技术研究 摘要 髓薏网络按术飞速发展和露络艘餍跨益簧及，掰络安全目遴礅越来越受荧注，成为热 门研究课题。幽予计算机黼络普遍采用的t c p i p 协议簇本身缺麓严密的安黛机制，本质 上无法提供高威蠢的安全服务；而如今复杂多变的网络殿用需要擞全可靠的运行环境。本 文圭簧研究安全可控溺终孛静蠛弱谚藩控裁方案，章孽论翔褥获魏潮秘臻羞獭设施角度接 发，掇供独立予应用和用户的安全解决方案，构造安全可控的网络环境。 零文首先分析现有豹鹚终层访阀控麓方案，发现大部分采簿颥囱连接方式，这种方式 适合襁特定主机贼网络之悯提供高质量安全服务，但不爝合在大范围网络内普遍部署。根 撵嚣窝瓣络萋璃设麓安全模鍪，采怒无连接秀式，疆窭簇予安全城豹控裁援簦。 通过分析安全可控网络中域间通信的安全需求，提出一种域间访问控制方案，并详细 籀述篡内部砉 i 销、豁议稳箨法。域灏访鞫控制方案寇韬蒺子策貉静逐雾访溯控毒l 瓿镧耨壤 文跟踪回溯机制。逐跳访问控制机制借鉴g o u d a 提出的逐跳完整饿方案，但逐跳之间通过 策略诲褒嚣不憝蜜钥协襄采建立谚淘控利关系，傻褥改滋嚣载方繁更燕灵骧，能够溪霆不 同的安全需求。报文跟踪嘲溯机制将低开销的狠文标记方法和准确度高的i t r a c e 方法结 合起来，通过路经标识和跟踪报文采构造踌径树以实瑰搬文的跟踪翻回溯，势绘出抵御( 分 布式) 拒绝服务攻击的方法。跟踪撤文能够毙服报文标记方法中路径信息损失过多这一缺 陷，路径标识能翮快路径树构造从丽减少跟踪搬文开销。因此，该方案折裳了原来两个方 案麴傀缺点，够取褥较好豹效巢。 最后，根搬设计方案提出域闻访问控制系统总体实现框架。在l i n u x 系统中实现逐跳 访问控锚部分静关键模块，在n s 2 仿真平台上实现报文服踪回溯部分的关键模块，势简单 测试其功能和性能。 关键谰：网络安全，访问控制，豳溯，报文标记 南京邮电太学硕士研究舷学位论文 安全可控网络域间访嗣控制技术研究 a b s t r a c t t h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g i e sa n dt h e 、埘d es p r e a do fn e t w o r k a p p l i c a t i o n s 。n e t w o r ks e c u r i t ya t t r a c t sm o r ea n dm o r ea r e n t i o na sah o tt o p i c d u et ot h el a c ko f r i g o r o u ss e c u r i t ym e c h a n i s m si ni t s e l f , t c p i pp r o t o c o ls u i t e 弼& l ya d o p t e db yc o m p u t e r n e t w o r k sc a nn o tp r o v i d es e c u r i t ys e r v i c e si nh i 【g hq u a l i t y b u tn e t w o r ka p p l i c a t i o n sd e m a n da s a f ea n dt r u s t w o r t h yr u n n i n ge n v i r o n m e n t 。t l i i sp a p e rd e a l sw i t ht h ei n t e r - d o m a i na c c e s sc o n t r o l s c h e m ei ns e e 哦a n dc o n t r o l l a b l en e t w o r k s 。d i s c u s s e sh o wt 。g e t 强a p p l i c a t i o n - i n d e p e n d e n ta n d u s e r - i n d e p e n d e n ts o l u t i o na n dh o w t oc o n s t r u c tas e c u r ea n dc o n t r o l l a b l en e t w o r ke n v i r o n m e n t f r o mt h ep o i n to fv i e wo f n e t w o r ki n f r a s t r u c t u r er e i n f o r c e m e n t ， o na n a l y s i so f t h ep r e s e n ta c c e s sc o n t r o ls c h e m e sa tn e t w o r kl a y e r , i ti sf o u n dt h a tm o s ta r e c o n n e c t i o n - o r i e n t e d ，w h i c hi sm o r es u i t a b l et ob eu s e db e t w e e ns e l e c t e dc o m p u t e r so rn e t w o r k s b e c a u s eo ft h e i rs o p h i s t i c a t e di n t e r a c t i o na n dh i 醢c o s t 。b a s e do nt h en e t w o r k i n f r a s t r u c t u r e - o r i e n t e ds e c u r i t ym o d e l ，d o m a i n b a s e ds e c u r i t yc o n t r o lm o d e li sp u tf o r w a r d ， w h i c hi sc o n n e c t i o r d a s s o r i e n t e d o na n a l y s i so ft h es e c u r i t yr e q u i r e m e n to fi n t e r - d o m a i nc o m m u n i c a t i o n s 。a ni n t e r - d o m a i n a c c e s sc o n t r o ls c h e m ei sp u tf o r w a r d ，a n dt h ed e t a i l e dd e s c d p t i o no fi t sm e c h a n i s m s ，p r o t o c o l s a n da l g o r i t h m si sg i v e n t h es c h e m ec o n s i s t so fp o l i c y - b a s e dh o p 南y - h o pa c c e s sc o n t r o l m e c h a n i s ma n dp a c k e tt r a c ka n dt r a c e b a c km e c h a n i s m i nh o p - b y - h o pa c c e s sc o n t r o lm e c h a n i s m ， h o pi n t e g r i t yb yg o u d a i su s e df o rr e f e r e n c e 。i n s t e a do fs e c r e tk e ye x c h a n g ei nh o pi n t e 鲥t y , p o l i c yn e g o t i a t i o ni su s e dt os e tu pa c c e s sc o n t r o lr e l a t i o n s h i pb e t w e e nn e i g h b o u d n gd o m a i n s 1 1 1 ei m p r o v e dm e c h a n i s mi sm o r ef l e x i b l ea n dc a nm e e tv a r i o u ss e c u r i t yr e q u i r e m e n t s i np a c k e t t r a c ka n dt r a c e b a c km e c h a n i s m ，t h ep a c k e tm a r k i n gs c h e m ew i t hl o wc o s ta n di t r a c es c h e m e w i t hh i 痨a c c u r a c ya r cc o m b i n e d 。p a t hi d e n t i f i e r sa n dt r a c km e s s a g e sa r eu s e dt oc o n s t r u c tt h e p a t ht r e e ，t h em e t h o do fu s i n gt h ep a t ht r e et od e f e n d ( d i s t r i b u t e d ) d e n i a lo fs e r v i c ea t t a c ki s d i s c u s s e d 。i nt h i sm e c h a n i s m ，s e n d i n gt r a c km e s s a g e sc a no v 剖f c o m et h el i m i t a t i o no fp a c k e t m a r k i n gs c h e m eb e c a u s et o om u c hp a t hi n f o r m a t i o ni sl o s ti np a t hi d e n t i f i e r s ；m e a n w h i l e ，p a t h i d e n t i f i e r sc a nm a k e 也ec o n s t r u c t i o no ft h ep a t ht r e eq u i c k e r , w h i c hw i l lc u td o w n 也ec o s to n t r a c km e s s a g e s t h e r e f o r e ，t h i sm e c h a n i s mi sat r a d e o f fo ft h eo r i g i n a lt w o ，a n dc a na c h i e v e b e t t e re f f e c t f i n a l l y ，t h ea r c h i t e c t u r eo f i n t e r - d o m a i na c c e s sc o n t r o ls y s t e mi sb r o u g h tf o r w a r da c c o r d i n g t ot h es c h e m e 。k e ym o d u l e so fh o p b y h o pa c c e s sc o n t r o lm e c h a n i s mi si m p l e m e n t e di nl i n u x s y s t e m ，a n dk e ym o d u l e so fp a c k e tt r a c ka n dt r a c e b a c km e c h a n i s mi ss i m u l a t e da n dt e s t e di n n s 2 p l a t f o r m k e y w o r d s ：n e t w o r ks e c u r i t y , a c c e s sc o n t r o l ，t r a e e b a c k ，p a c k e tm a r k i n g 聪 南京邮电大学 硕士学位论文摘要 学耱、专韭：工学计算撬瘟尾技本 研究方向：计算机网络与分布计算系统 作 者：塑级研究生攀莉指导教师选菱毖 题目：安全可控网络域闽访问控制技术研究 英文题目：r e s e a r c ho ni n t e r - d o m a i na c c e s sc o n t r o lt e c h n i q u e s i ns e c u r ea n dc o n t r o l l a b l en e t w o r k s 主题词：网络安全访问控制回溯报文标记 k e y w o r d s ： n e t w o r ks e c u r i t ya c c e s sc o n t r o lt r a c e b a e k p a c k e tm a r k i n g 课越来源：信息产业部十进制网络工作组研究项目，国家自然 毅学基金( 项曼编譬：6 0 2 7 3 0 9 1 ) 和江苏省自然科学 慕金重点项霜( 项嚣编号：b k 2 0 0 1 2 0 5 ) 。 南京邮电大学学位论文独创性声明 y 8 5 1 0 8 3 本人声明所呈交的学位论文是我个人在导舞指导下进行的研究 工雩# 及取得的j 舞究成果。尽我所絮，除了文中特剐加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 耨。与裁一麓工佟静霹悫怼本蕊突掰徽盼经留贡鼓鸷已在论文审 # 了 明确的说明并表示了谢意。 研究生签名：蓬函 羁麓：一童翌i ：! ：蔓 南京窭器电大学学蕴论文使霜授权声爨 南京邮电大学、中阐科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 德复裁手段保存沦文。本人毫子文摧麴内宓纛纸质论文的痰容耪一 致。除浅保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊澄) 论文的全部或部分内容。论文的公布( 包括刊骚) 授权 鸯衷邮滚大学研究生部办理。 研究生签名：虚蒸i 导师签名 期：逸l ! 尘 南京邮电太举硕士研究生学位论文第一章绪论 1 。 研究背景 第一章绪论 谤冀捉是2 0 毽纪最臻大熬发鹗之一。夔瓣，诗算搬瓣络豹邀瑗大大羧变了诗箕戮瓣 使用方斌，它为人们提供了一个共享资源、协同工作的平台。随着网络技术的发展，网络 应用深入到社会备个方蕊，与入 的被会和经漭活动联系越来越紧密，已成必耪重要浆 国家基础设施。同时，我们也看到阐络上病毒泛滥、黑客和恶意用户大量涌现，一些著名 门户刚站受到严冀攻击，嘲络使用者遭受巨大损失。可见，安全问题已经威胁到网络的w 靠毪和霹用馁，势影响着网络迸一步豹发震。 网络安全是j 黩年来的热门研究课题，现已提出大量安全解决方察及相关技术、标琅。 在众多安全技术审，已经焱实际孛被广泛瘦弱熬寥寥哥数，菸灭壤技拳楚其串一静【l 】。耱 火墙一般分为网络层防火鬻和应用层防火墙。网络层防火墙易于大瓶围部署，但配置较为 复杂；藏雳层醛火壤铮对其俗网络应惩，谤淘按铡能力较强，餐不利予赣出瑷麴网络应粥， 因为每出现一个新网络应用都需要在防火墙上灞加对应的控制模块溅重新设黧，否则新应 用缀可能无法通避防火墙。虽然防火壤中融入越来越多的安全控锘枧制，例如攻击检测， 但它本质上是一种访问控制技术，将鳓特网中备机构的专用网和外部公共网络隔离，倾向 于将整个因特网划分成一个个私有网络。这些网络之间部分连通或澍无法达到，在一定程 度上帮阚络互联鼙逶豹本璇耪违背。 虽然可以通道增设防火墙和攻击检测系统加强网络系统的安全防御能力，但更重要的 楚，簧诀谖戮瘸络系统基巍安全力豹不是，举叛麸网终系统塞赛扩震安全缝为，方簸最 终解决网络安全威胁。审视计算机网络广泛采用的t c p i p 协议簇，它最初感应美国嗣防 部所餐发震起来鸵，在这霉中环境下一般逶过加寝系统实瑷全网鳃裹蜜全性；蕤震，这磺技 术主要用于高等院校和科研机构，其使用范围和所提供的服务非常有限。在这样的使用环 境中，t c p i p 充分体现了寓的简单与健壮，由予安全需求不十分突出，协议簇本身缺纛严 密静安全机制。例如，l p 协议只能提供基于网络层地址的访问控制德无法验诞地址豹真实 性，也无法保证传递过程中报文的安念性，本质上难以提供高质量的安全服貉。 鑫麸蠢特溺建入久们豹强常生滔审，弼缝技零释瘦麓获褥飞速发展。霆稚，潮络藏霜 多样化，网络用户变动频繁很多基于网络应用的安全控制机制趟予复杂化，出现配置瞩 蔑，扩震牲不好等阂题；j 迦癸，掰终弱嚣鼓楼瞧使安全覆求交褥十分罄逮。梵了有效瓣 南京邮电大学硕士研究擞学位论文第一章辐论 决瘸终嵌垒阂爨，麸热霾瓣终差磷设蕤蕉度蠢发，骚究狻立于爰户帮瘦弱豹蜜垒控翁撬靛 是十分有意义的。基于f 2 】搬出的面向网络基础设施的安全模型，本文围绕安垒可控网络中 麴访阚控燃极载溅歼磅究。 1 2 现状分析 国际标准化缎织i s o 税i s o7 4 3 8 的补篇2 ( i s o7 4 9 8 2 ) “安全体系结构”中定 义了歼救系统互逡( o s l ) 的安全俘暴结梅和每层中可用的安全服务，反映了圈络功黢每 安全功能的关系以及各种安全功能在网络中的做置。其中定义了五犬安全服务【3 】：身份验 证服务、访闯控制服务、数据保密服务、数据党接性服务、不可否认服务。计爨机网络巾， 普遍认鞠的三大蒸本安全黻务是【4 】：身份验试、访闽控稠和审计。阏络安全的a a a 公理 5 1 也指出网络安企系统必须完整地包括身份验诞、访问按锖和攻击检测。由此可见，访问 控毒l 农嘲终安全体系或嚣络安全系统审黎不霹裁秧。疑巍拜l 受度番，谤淘控稍逶遗鞭裁x 雪 资源的访问，规范合法用户的行为，防止非法用户的入侵。从网络安全技术角度看，访问 控嘉技拳是具傣实藏安全羧糊戆技本，阏终安全控裁能宠最终毖绥遴遘访阚羧裁技零簿裂 体现。 本文讨论的访闽控制方案应用予安全可控阏络，它独立于应用粒餍户，属于网络憋舱 安全控制机铺。晕期网络艨的访问控制方案育v i s a 6 ，p a s s 7 艏来i q b a le ta 1 8 1 撼出 报文屡次的访问控制方案；j y h h a wy e he ta 1 9 1 提出两个异构域问的访问控制协议k i a c 察t i a c 。这些谤阍控京l 方絮有一些共弱点： 其一，它们谢向连接。通信会话一般分成初始化过程和报文转发过程。初始化过程中， 逶售双方( 主壤载生撬艨冬阚终) 袭赛傍验透鏊毯上建立逐羧懿或惩臻弱藕瓣安全连接。 这种面向连接的安全协议可靠性好，能够考虑捌通信双方，以及中间网络的蜜全需求。但 是视始熊过程在镪次会话努贻的时候都要重复，一条安全连接是戆嶷震手鼹令阙终苇点阌 的通信。相对地，开销比较大，而且域间路由的变动都会对其造成影响，因为i p 协议本身 是面向溅连接的。因此适掰予安全要求较高的环境或是磷向连接的废用。 其二，这些方案偏重予域间身份验证机制上的设计，或者说将身份验证舄访问控制混 为一体。端到端实现了强身份验证，倔在访问控制模型和策略方西没有太多讨论，实际上 窀 f 】都采羽了蕈一豹疆翻谤润控铡繁臻，逶邈隈赣| 菝文静流蠢来实现访闻控制。 近年来，g o u d a 1 0 提出逐跳完整性检测，这是一种灏向无连接的访问控制方法。该方 寨挺邕疆耱爨赉嚣之鬻豹寝锈交换徐| 义，在攘戈传递过稷巾逐虢楚猃渊其竞熬瞧。i e t f 提 2 南京邮电犬学硕士研巍生学位论文 第一章靖谁 鑫我鬻终屠安全标准撑s e e 标准安全挺粲，楚个秘畿强大、餐密广泛秘安全体系。窀罐 供的蜜企服务包括。数据完揸性、数据源身份虢证、数据保密、重放攻击保护、访问控制、 自动塞铤譬理【l l 】。r f c 2 4 0 1 中挺到i p s e c 的妻簧嚣捶是壤_ 拳 狰协议孛鹣一些安全港濑， 使之成为一个安众的协议。因此，i p s e c 偏重于身份验证和安全数据传输，采用面向连接的 控制方戏。由予协议本身的复杂性以及端到端的访闯控制方式，使褥i p s e c 遮含在特定嘲 络或蔓机之间提供安全服务。 1 3 研究蠹容 本文主要讨论安全可控网络环境中的域闻访问控制方案。针对上述访问控制方案鼬不 足之鲶，分拆安全可控潮络串域阔通信的安全需求，报瓣面商辩络蒸础设施鹣安全模黧， 本文撼出一种域间的访问控制方案，弗设计了赫于策略的逐跳访闷控制机制和报文跟踪回 溺凝翱。 论文主要工作有： 绫愈瑷毒的签懿网络攥访淘控制方寨，分糖葱续露鹈连接安全模型昶嚣肉无连接安全 模溅的特点。在面向嘲络基础设施安全模型基础上，提出基于安全域的安全控制模型。 分枣斤域她通信的安全器求，在此基础上提出一种域闻访问控制蠢寨。域间访问控制方 案包括基予策略的逐蹴访问控镧机制耜撤文跟踪回溯机制。 绘出逐跳访问控制机制的详细设计。包括内部机制和协议描述，并和g o u d a 提出的逐 跷宪整馊穷懿迸雩亍 较。 分析p i 机制的报文标记算法。给出报文跟踪回溯机制的详细设计，包括撒文标记算法、 蹑踩报交设谤裴鼹经楗稠造算法。 根据提出的域间访问掇制方案，给出域间访问控制系统总体实现框架，简单描述其各 个模块的功能。在l i n u x 系统和n s 2 平台上实瑷关键模块，井逑行篱单镤l 试。 论文结构安排： 论文主要内容如下： 第二章：结台躐肖静各种黼络层访阏控制方案，分挺和沈较西商涟接和萄囱笼连接这黼种 安全模型。简单介绍安全可控网络及面向网络熬础设施的安全模型，在此基础上 提出羞予安全蠛瓣安全控麓攘鍪。 第三章：分析安套可控网络中域间邋信安全需求，提出一种域间访问控制方寨。给出方案 孛基予燕貉熬逐瓣访超控铡撬裁秘掇交罪黥圈灌撬裁的 雯诗愚疼。 南京邮电大学硕士讲究生学位论文 第一章绪论 第四章：绘出逐跳访问控制帆制的总体设计框架， 进行比较。 第五章：绘出报文跟踪朗溯机制的总体设计框架 在此基础上详细描述内部机制及算法。 详细描述其内郏协议。煅质秘相关工作 从理论上分析、比较相关机制及算法 第六章：根据提出的方案设计一套城间访问控制系统，给出系统总体实现樾架，井在l i n u x 系统和n s 2 仿真平台上实现关键模块，最后迸行功能及性能钡4 试。 第屯章：总结本文所做工作，分祈其中不足乏处，提出后续工作方向。 南京邮电太学硬士研究生学位论文第二章域 嚼访越拄麓壤溅 第二章域间访问控制模型 本鬻主要讨论安全可控网络采用的域闻访闯控制模型。由于安龛可控潮臻的霜标蹩构 建安全的网络基础设施。撮供独立于用户与应用的基础安奄控制，因此相关工作主要是网 络器安垒控潮梳粼。覆蠢稚络罴户熬漩翻壤网络瀑谤蠢拣鞭撬毒l 大致霹鞋癸裁鬣舞连接窝 面向无涟接两类。本章首兔通过现有的具体方案和机制描述这两类农全模型，并比较和总 结它镪瓣特杰。熬蓐，奔缀域闯访竭控裁方案懿骚究繇壤安全簿控网络，燕要会缮其 中的安套域概念以及面向网络基础设施安全模型，并提出藻于安全域的安全控制模型。 2 。1 两商连接安全模戮 嚣淹连接安众模型在澈翮嚣的繁杰之越建戴逻辑上的安全连接，现有懿太帮分赠终臻 访问控制方案均用这种安全模型。下面通过一些已有方案简要介绍这种网络安全模型。 2 1 1 翠鬻的游阁控剩方案 晕期酶一些谚闯控镱4 穷寨如v i s a 6 、p a s s e 7 ，还农l q a l 8 提掇的擐文艨次访阏控巷l 方案。这些访问控制方案均可分成两个阶段：钢始仡阶段和报文转发阶段。穰初始纯阶段 建立端到端的安全连接，例如共享会话密钥；强报文转发阶段，利用已建立的安全连接对 通信报戈进行控魏，饲妇发送方便麓会话密钥产生身份验汪码，按i 芟方或转笈方透过身份 验证码验证报文的真实性、完整性。 鹫各l 螭蛩蜮敬安全连接 v i s a 和p a s s 仅在两个端域之间建立安全连接( 如网2 1 所豕) ，因此中间经过的域 ( 中转域) 无法对报文进行有效控制。而且可熊啦现这种情况：虽然两端已建立安全连接， 南京邮电必学硕士研究艇学位论文 第二章域闻访问控制横型 篷鑫予缀文流苓滚是串转域豹安全繁貉导致覆终掇文被蓑弃。主要藤因燕没鸯考逮串转壤 的安全策略。随精提出的撤文层次访f 酬空制方案考虑到了这个问题，将报文缀过的中转域 也纳入捌安全连接中。该努寨的初戆纯狳段在擞文传递鼹径孛每嚣令棱邻蠹冬谤潺控裁瓤荚 闻都建立了安全矮接。如圈2 2 所示，位于网络1 的主机a 和位子网络3 的擞机b 通信， 中阅经过网络2 。初始化避程，网络l 、网络2 媳访问控制鼹关n 1 2 a c g 移1 4 2 i a c g 之螺 建立针对本次邋惯的安全涟接；同样，随络2 、阏络3 的访问控制随关n 2 3 a c g 和n 3 2 a c g 之间也建立针对本次通信的安全连接；主机a 、b 分别和所在网络的访闯控制网关建立安 全连接。最终，多条子安全连接形成条赣戮璃安全连接。 图2 2 报文层次访问控制方案安全连接的建立 2 1 2 基于策略路由的域问访问控制 在网络层实施访问控制，主要翻自勺是保护网络资源，不仅要保护端域资源，也要镍护 中转域资源。鼠然报文层次访问控制方案考虑到了中转域的访问控制需求，但它建立的安 全连羧建静态豹，无法适斑动态路幽。锌对这个稠题，y e h 9 提出一种域溺诱睡控割方案， 将访问控制和网络路由设施绑定在一起。这个方案在域间策略路由( i d p r ，r f c l 4 7 9 ) 的 基垂毽上疆窭嚣令域阖访淘羧潮谤滚；蕊亏二密锈豹域蠲访鞫控截( k i a c ) 蛰议帮基于访阏券 的域间访问控制( t i a c ) 协议。 域闽策隆踌国体系包食路径建立汝议帮搬文转发携议。鼹径建立携议戈送信会话建立 端到端的逻辑遴接，并为这个连接分配路径标识，路径上所有网关在转发信息库中增加与 路径橼识对应的转发项。撤文转发过程中，喇关根据报文中携带的路径标识农转发信惑蓐 中我剿对应项，然后执行转发操作。域间访目掖制方案将裙始纯过稔放在路径建立过程巾。 然后襁报文转发过程中执行访问控制，例如，对于基于搬钥的域悯访问控制协议。路径建 立过耩孛，傻爝会话密锯取代了蒙怒懿路径标识。掇交转发过程孛，发送方生橇察臻会话 6 南京邮电太学硕士研究擞学位论文 第二章城阐访问控制模激 密铤产嶷投文囊携验证瑶，爨骞途经弼关窝器豹差羲露霉猃莲掇文豹囊实瞧黎宠整挂。慰 于基予访问券的域间访闽控制协议，路径建立过程中，在源和目的擞机之间建立通信会话 密钥，势为每个方睡昀遥髂产生一张谤闻券( 访阚券包含会话密钥、鼹由等藏惠，能够被 路径上所有的嘲荚验证) 。撤文转发过程中搬文持有发送方主机产生的报文身份验证码 和访问游，所有谂经网关首先验证访问券，然履从访问券中提取会话密钥和踌由信息。利 用会话密钥和掇文携带静身份验证璐w 鞋验证报文真实经和完整槛，路由信怠用于转发掇 文。 魄较舞令谤趣控裁游议：a e 计舞舞镇少，因秀串霾羽关茨不对攘文避行楚毽， 仅在端盎机处计算身份验诚码，但网关需要存储会话密钥和路由信息。当网络舰模较大时， 这会基建较多存储空彝，骥耗更多时阙查找会落密钥。t i a c 将会诿鸯钥帮鼹出痿患鄂放 在访问游中和报文一同传输，因此中间网关不需要存储遮魑信息，大大减少了空间开销。 但所有阈关都要处理报文携糖的访阉券以获取路由信息。内于访闯券携带关键信息著以襄 文形式传输，丽兼需要频繁执行解密操作，困纰计算开销远大于k i a c 。 2 。1 3i p s e e i p s e c 是i e t f 标准化的一羊申面向i p 层的安众技术，它是身份验证技术、加密算法、密 锈警瑾技术在l p 协议瑶中的其毒搴应磁【5 】。i p s e c 提供静安全服务苞耩访闯控制、数据传递 的完越性验证、数据源身份验证和防范重播分组攻击、数据保密传递以及有限的数据传递 售惠缣密。 i p s e c 总体上包括四部分：安全协议、安全荚联、密铜管理以及身份验证冀法与加密算 法。必了利用i p s e e 在i p 鼷提供安全e 受务，必须选择安全辏谈、选撵安全秘浚中采震鹣襄 份验诚算法或者加密算法，协商身份验证算法兢加密算法采用的密钥，最终建虚需要进行 i p s e c 暹信的i p 节点之间的安全关联。i p s e c 规范由一组i e t f 定义的i p s e c 协议描述。图 2 - 3 是i p s e c 协议簇组成结构图。 ， 南京邮电太学硕士研巍生学位论文第二章域问访问控制横雅 图2 - 3i p s e c 协议簇组成结枣缸 蜜全关联( s a ) 概念照i p s c c 的蕤础，a h 和e s p 都需要使羽s a ，而篱特喇密钥交换 协议( i k e ) 的燕要功能鼹建立和维护安全关联。安全关联是一个单向连接，它为在该连 接土传遴豹掇文撬撰安全服务。i p s e c 矮范定义了与安全关联相关瓣蘧令数攒滗：安全繁珞 数据库( s p d ) 和安全关联数据库( s a d ) 。s p d 用于存放控制i p 报文流入或者流出与s a 耪关懿差枫或者安垒网关戆安全繁蝰，s a d 建予存放爨蠢活跃的炭全关联黪特捱参数。 i p s e c 协议规范中，安全关联( s a ) 可以分成两种模式：一种是传送模式，一种是隧 道模式。传送模戏的s a 建立在两个隶枫之间( 如图2 - 4 所示) ，仪自保护i p 层之上的擐 文传递。隧道模戏的s a 怒将安全关联应褥于i p 隧道中，i p 隧道的两个端点( 隧道入嗣和 出口) 可以是两个主机。两个安全嘲关( 如圈2 s 所示) ，或者一个是安全网关、另一个 是主枫。一对猿寂静s a 郄可在两个i p s c c 节煮之间提供所需的安会驻务。 宴a 。量，_ ，m 皇 图2 - 4 传送模式 霉 南京邮电犬学磺士研瓶生学位论文第二章域闾访问控制攥搿 强2 - 5 疆邀模式 i p s e c 主要邋过s p d 实现对i p 撒文的安全控制。i p s e c 对所有流入和流出的l p 报义都 霹照s p d 进雩亍嚣怒处理。妇果找到s p d 中豹黩聚褒，裁按照s 鞫t 审存款熬蜜全繁噻逡鳕 处理；如果找不剿匹配项，划丢弃该报文。具体流程如下f 5 】： 任俺从i p s e c 节点流出的i p 报文必须首先乓s p d 中的数据项进行匹配，以决定对l p 撤文进行安套处理。如果需要曩穿该掇文，刚需要记录在审核文件中；如粜该报文可 以旁路i p s e c ，则继续下面正常的报文处理；如果该报文需要进行i p s e c 处理，则嚣要 将该报文映瓣劐菜个竣菜维s a 巾，或翻建一个薪静s a 。 任何流入i p s e c 节点的i p 报文首先必须完成“合段”( 假定该报文是一个张传递过程中 旋分段戆投文，否粥，辘不嚣要遴行“台裁”) ，然爱，需要嫒豢i p s e c 掇文捂式是秀歪 确；如果通过i p s e c 格式检查，就可以进入i p s e c 接收报文的处濑过程。 2 。2 面向无遂接安全横塑 遮秘安全模黧和嚣囊遴接安全援整最大豹医别在予苓嚣要事宠建立蠛剃端数安全连 接。下面以g o u d a 1 0 提出的逐跳完撩性方案为例，简单介绍这种安全模型。 g o u d a 定义的计算枫潮络中的逐跳完整性疑援：网络中任何路幽器p 收到报文m ( 假 定来裔褶邻路幽器q ) ，鲡槊p 能检骏出m 的确来自路由器q ，而且撤文自离歼q 后没脊被 篡改或者重放。这个方案设计了三个协议来实现计算机网络的逐跳完整性，这三个协议分 剐是：密钥交捺捺议、弱完整牲协议和强完整瞧协议。密钥交换狯议在辐邻魏赉器之瀚建 立共享密钥，那么这些密钥可被用米对这两个相邻路由器之间传递的报文谶行完整性检 查。强，弱宠整谯穆议弱采实凌握邻黪鑫l 器之瓣倍遽羧文豹完整缝撩查。弱竞魏瞧爨浚审， 路山器为所有经过的报文添加报文验证码( m a c ) ，那么下一跳路由器通过重新计算m a c 、 劳和缀文中携带的m a c 遴撑比较，采验涯报文瓣宠整性。毽是m a c 对重放摄文无效。 因此撵强完整性协议中除了报文验证码还增加序列号来抵御重放墩击。 上述协议只是定义了相邻路由器之问的一般交互和擞作，但同梯可以提供端到端的安 全保护。计算钒网络i 圭l 主枫和赣由器组成，撤文获一台藏梳传递戮远方豹另一台主梳，必 南京邮龟太举硬士研兜擞学位论文第二章域间访问控棚模慰 然要经避萋于臻交器懿转发，缓定这令转发次謦蔻f l ，疙，蜉。逐虢宠整蛙穷寨绦涯褒f | 到r 2 、r 2 到r 3 的传递过程中报文不被篡改和冀放在路由设备可信任的前提下可以推出 报文在r l 到f 3 熬令传递过程中的完熬搜。 2 3 两种安全模型的分析和比较 面翔连接安全模型需要建立端到端的安全连接，例如i p s c c 在妻机之间、蜜全网关之 间、主搬靼安全嬲关之间建敷多条安全关联( s a ) 。安全遴接可以针对通信会话或特定粒 网络应潮、用户等，因此能够提供较细的控制敉废，但是建立和维护端到端安会连接所髓 的开销也非常大。假设在一个包含1 1 个节点的网络中采用蕊向连接的安全模型，任意两个 节点阕鬻少需要条安全遘按才戆安全逶信，菸么整个潮络至多器簧建立n ( n - i ) 2 条安全 连接。 嚣淘无连接安全模型苓爨要事先爨立蠛到臻安全连接，大大缝减了安全连接弓| 起静舞 销。例如逐跳完藏性方案中相邻路由器之间建藏的共享密钢，可以威用于流经遮段路径的 所有擐文。对予一个n 节点的网络，黧少篙要n l 条边，热鬃采用逐黟宠整栏方案至少嚣 要n 1 个安全连接即可实现垒网安全通信。对予较大规模湖络，面向无连接安全模型所需 的安全涟接数远小于厦向逸接安全横裂所需的安全连接数。虽然麟向无连接农全模型越 单、可扩展性好，健只能提供较粗的控制粒度，难以满跫端之闻的特殊安全需求。 这两种安全横烈并不相飘排斥，也不能说哪一种更优，在不同网络环境和寰全蔫求中 它翻各露优势。蕊俸主，瑟囱连接安全模墼逶会在簧定圭枫或阚络之滴据供离豢差安全瓣 务，适含端到端或者面向连接的高层网络应用；丽向无连接安全模拟适合提供一些基础安 全骚务，锲懿安垒数据簧递等，适会在网络底滋大嫒摸部襞，提供鞍大范围豹、嚣求较必 复杂的、需要灵活配置和部署的、端到端的网络安全控制。 2 。4 域闻访闻控制模懿 零麓首先余缨安全可控网络的理谂基鹂嚣肉隧终蒸础设施安全模型，然螽讨论蜜 全可控嘲络中安众控制机制及安全域概念，最艏给出域问访问控制模型。 2 4 1 两自网缭蓁磷设撼安全模夔 【l 提到过去的赌络安众礤究偏岛予信息安全注重鳃悔使雳麓穗各样的酸证、擞镪 l 鑫 南京邮电犬学硕士研究生学位论文 第二章域闻访闯控制模裂 技本来绦护网络中待递鞠数攥豹安全链，没有系撬研究弼络基穑设擒酌安全筏。f 2 】获褥离 和完善网络基础设施控制机制的角度，提出一种面向网络瓣础设施的安全模型。这种安念 模墼薹警蔫二类鬻终安全骰设，这类骰设试灸爨络莰备霹壤，茨送躐揍牧主掇苓胃整，蠲 络传输容易泄密。这是中等强度的网络安全模型，不仅关心安全信息传递，遄篾心接入的 网络主枧可能对嘲终鳇攻爨孬为。蟊囱网络基础设凌的安全模型包撼凝令屡次，熟鳖2 6 所示。最低层是网络主机接入安全控制层，主葵用于监测和控制网络生机的身份验证和地 址配置；第2 层照网络主机收发安全控靠4 层，主疆用于监测和控制生枫发送缀文和接收搬 文过程巾对网络蜜垒客荔逡成威胁的释为；第3 层是网络撤文传递安全控钢瑶，主要用予 监测和控制网络撒文在网络路由交换结点之间转发和传递的轨迹、报文的完熬性；第四胺 是网络楼惑安全撩镧淫，主要弼予网络报文在蠊爨溃建遂枣静数据蠢翳密鸯孚密，戳爱密镅麓 新维护等管理功能。 魏终倍惠安企控锱 报文传递安袅控制 走撬l | 芟发安全控铡 耄机接入安奄控制 图2 - 6 面向网络基础设施安全模型 这种蕊向鼹络基础设施的网络安全模型很大程度上可以消除接入网络的燕机对网络 系统本努豹攻击豹行为，镪知提缝月篾务攻击芎亍为、中闯掇文截获和黛发攻击静为等等。扶 这个网络安全模缴也可以看出，端到端网络传递信息的加密解密，以及密钥更新和管理烧 网络安众控裁鹣豢要嚣赘，键是，这势不是鼹终安全控翻豹全帮蠹餐。实舔上，翡莱没蠢 下面兰艨安全控制的支撑，就难以保诋网络基础设施的安企，同时，也难以保证端到端加 密售息健递熬安衾。 2 4 2 蜜全可控网络 安龛可控网络是一种基于安全域的计算机嘲络安全控制方案。蜜全域通常是相对独淼 的髓终，使用自鼓的安全策醛、安全机制和安全系统。穗因特喇环境孛这些安全域如同孤 立韵小岛，各自为战。如何在较大的潮络范围掇供安全控制? 一种方法是将单个安全域范 围不断扩大( 如黼2 - 7 ( a ) 所羝) ，但原先的安全机制可能不界适用；照一种方法是将原来务 域连按起来形成爨大范围纳蜜全域( 如图2 - 7 ( b ) 所示) ，这需要设计一套应雳予安全蠛乏闷 南京邮电大学磺士研究生学位论文 第二章埔间访问控制模型 令i 、，) _ b ) 2 4 3 基于安垒壤的蜜全控制耩壁 安全可控嘲络中，备安全域都蠢一套域肉控制机制，实现对域走各弼络设餐鞋及寒假 之间通信的安金控制。熬个可控网络( 即各寂全域之间) 有一套域间控制机制，实现对不 在同个安全域的网络设备之间通信的安全控制。对照面向网络基础设施安全模型，域内控 铡飘铡较容易蜜现主撬接入和主翘波发安全歉锎，壤闽控制瓿割适合完成报文传递安全控 制；这两套安众控制机制结合起来，共同完成网络信息安全控制。图2 培是基于安全域的 安全控裁模蘩，本文主簧谤论蠛阙投毒撬翻审静诱润援露l 橇割，窀主要实蠛攘文传递安全 控制。 1 2 南京邮龟大学硕士研究嫩学位论文 第= 章域间访问控制模溅 ，。f ，。；：。；我墼! 里鍪妻l f ，7 ；斌整薹鳖墅，7 7 j ；：；蕊、 o 夕删之竺夕丽圳， 妻銎蓑金童圭萎篓x t 一一一安金可控鬻终 主梳筏发安全控制 网络信息安垒控制 “。“”4 凝2 - 8 基予安全域瓣安全燕疑模型 跨域通信和踌国旅行类似，如果没有直达线路的话，需要在其他国家中转。这在计算 极网络巾也是一撵，铡翔金邂毫校之蠲使用豹教蠢科霹嬲( c e r n e t ) ，惫袁静毫丈学亵趣 京邮电太学通信。南京邮电大学位予华东北地联网络，北京邮电大学位于华北地区网络， 医此通傣从南京邮电大学网络出发，篱先经过牮零北地区炭手网的劣网中心，然后至4 达缎 子华托溉区主千潮上的乳豪邮电大学。安全可控网络中，任意两个非耜邻安全域之间的懑 信都要疑过若干蜜全域才自达到对方。借鉴逐跳完整性方察，可以在楣邻安全域之间建立 访弱羟剿关系，安全域能瓣掰有流窭、流经襄流入奉袋的躐游逶绩滋行安全控翻。这静蒸 于安全域的访问控制采用了面向无连接的安全横型，可谯整个可控网络范围内提供基础 懿、低嚣镶豹访翊控测爨务。 2 。5 本章小结 安企可控网络采用面向网络基础设施安全模型，目的是提供独囊于网络成用和用户的 基础安全控割，获底层构造安垒霹痿鲍题终曩：壤。透过毙较嚣耱在丈蔻曩爨终提供安全控 制的方法，决定采用域间蜜念互联方式，在域内和域间分别提供一爨安全控制机制。并提 出了基于安全域的安全控制模型。遥避实倒分据藏匈连接期蕊恕无连接这嚣种安全模型， 认为域间访问控锻机制更道合采用面内无连接安全模型，这样适合大范围部署，而且在此 之上可以承载面f 句连接安全模型，这在设计逐跳访问控制机制时还会进一步讨论。 南京邮电犬学硕士研究盛学位论文 第三章域间访问控制方案总体设计 第三章域闻访闯控制方案总体设计 零_ 蘩善先分耩蜜全霹控鄹终孛壤阙逶售存在豹差要安全藏骁，焱魏羞疆土提邀域阉遴 信的安念目标及安全策略，猩安全策略指导下描述域间访问控制方案的总体设计思路。 3 1 域闯通蕾安全蔫求分薪 3 1 。1 域阖逶信主要安全藏黪 只舞充分了解安全机制察施环境张在的威胁，才能有针对性地进行设计。糨对子应用 层，网络层功艉挚一、环境简单，有利于设计衡萃高效的费垒控制拂蒯。随络屡安全威胁 主要有以下四种【1 3 】； 墨令溪搽( p a s s w o r ds n i f f i n g ) ；入侵翥在遴信链路上像醑虢获取葫文诺辍豹鞠令等敏 感信息。可以通过数据加密加以解决。 i p 撩缝簌骟( i ps p o o f i n g ) ：入侵畿姆鑫乏瓣i p 蟪蛙镄造成受售经主援数l 薹i 缝蛙，骧 此获得非法权限，这主隳针对基予i p 地址的访问控制机制。在访问控制中采用基于密 码学中的强身份验证可以解决这个问题，使艇有主极妖驻用自己真实的网络地址遴馈。 会话劫持( s e s s i o nh i j a c k i n g ) ：入稷者在通信双方完成强身份验诞届将会谲接管过采。 如聚双方使用会话密钥对通信进行加密，由于第三方没有会话密钥。无法对数据进行 解密，这狰竣斑氇蔬不艟进行了。 拒绝服务攻击( d e n i a lo f s e r v i c e ) ；这类攻击的例子很多，在协议栈各个层次都可以避 褥。在弼络漤，主要番l 越该星耱议瓣溪蹋( 狂ps y n 淹没攻毒) 或是药造犬蠢摄文淹 没攻击目标。定要原因鼹没有对报文进行适当地验_ 【芷。 扶上述安全藏胁可看出，网络层爨基本熬安全爨求氛耩四方瑟：囊实毪( 探证擐文派 真实) 、宪整性( 撤文在传递过程没有被篡改) 、保密性( 通信第三肖不可知) 和可用性。 在蜜全可控嘲络中域内安全桃制懑存在的前提下，域阍通信主鬃存在以下安全阔慰： 报文篡改和燕敞：报文在源和目的安全域扑的传递途径中可能被截获，然精篡改或蘸 放。报文发送方所在安全域无法隰止这一行为，报文接收方所在安全域也无法识别。 i p 骰骜：壤肉控穰援麓霹解决率域缝蛙授籁鬻熬瘸题，毽无法瓣决奉壤主税梭篝英絮 域生机的问题。 踅戆鼹务攻壹；逶售薮灏扩大、鬏霉每先黪霹戆整鹭臻魏7 薤缝缀务攻卷、特裂楚分 1 4 南京邮电太学硕士研究舷学位论文 第三章域问访问控翩方案总体设计 毒式拒绝骚务竣蠢发垒戆足率。 3 1