安全可控網(wǎng)絡(luò)域間訪問(wèn)控制技術(shù)研究.pdf

1、本文主要研究安全可控網(wǎng)絡(luò)中的域間訪問(wèn)控制方案，討論如何從加固網(wǎng)絡(luò)基礎(chǔ)設(shè)施角度出發(fā)，提供獨(dú)立于應(yīng)用和用戶的安全解決方案，構(gòu)造安全可控的網(wǎng)絡(luò)環(huán)境。 首先，分析現(xiàn)有的網(wǎng)絡(luò)層訪問(wèn)控制方案，發(fā)現(xiàn)大部分采用面向連接方式，這種方式適合在特定主機(jī)或網(wǎng)絡(luò)之間提供高質(zhì)量安全服務(wù)，但不適合在大范圍網(wǎng)絡(luò)內(nèi)普遍部署。根據(jù)面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全模型，采用無(wú)連接方式，提出基于安全域的控制模型。 通過(guò)分析安全可控網(wǎng)絡(luò)中域間通信的安全需求，提出一種域間訪問(wèn)

2、控制方案，并詳細(xì)描述其內(nèi)部機(jī)制、協(xié)議和算法。域間訪問(wèn)控制方案包括基于策略的逐跳訪問(wèn)控制機(jī)制和報(bào)文跟蹤回溯機(jī)制。逐跳訪問(wèn)控制機(jī)制借鑒Gouda提出的逐跳完整性方案，但逐跳之間通過(guò)策略協(xié)商而不是密鑰協(xié)商來(lái)建立訪問(wèn)控制關(guān)系，使得改進(jìn)后的方案更加靈活，能夠滿足不同的安全需求。報(bào)文跟蹤回溯機(jī)制將低開(kāi)銷(xiāo)的報(bào)文標(biāo)記方法和準(zhǔn)確度高的iTrace方法結(jié)合起來(lái)，通過(guò)路徑標(biāo)識(shí)和跟蹤報(bào)文來(lái)構(gòu)造路徑樹(shù)以實(shí)現(xiàn)報(bào)文的跟蹤和回溯，并給出抵御(分布式)拒絕服務(wù)攻擊的方法