构建高性能的物理隔离体系

【摘要】： 在网络安全防护体系中，物理隔离技术具有良好的安全性能，但是按照传统方式实现的物理隔离技术却在网络通信性能上有所损失。造成这种损失的主要原因是物理隔离技术往往工作在应用层。为降低物理隔离技术对通信性能的影响，我们需要搭建一个合理的隔离体系结构，以实现有效的内外物理隔离。 物理隔离技术是一种特殊的应用代理技术。传统的应用代理仅通过简单的空闲时间比较来实现对进出连接的控制，而没有考虑连接活动的前后关系。对此，应用概率方法，我们建立了一个新的数学模型来优化对进出连接的控制。这种模型充分利用了连接的空闲时间和数据传输的历史信息，并提出了惰性连接关闭的思想。进一步，为了不影响对请求响应的实时性，我们对该模型进行了优化，提出了缓冲端口预留法及概率关闭法以减少计算次数，节约计算资源。此控制模型适用于所有代理服务器，应用于物理隔离技术体系中将改善对进出连接的控制。 同时为管理目的，物理隔离技术需要PKI提供密钥管理服务。但传统的PKI证书获取、验证流程十分繁琐，效率低下，降低了物理隔离技术的通信性能。为克服其不足，我们应用代数方法，提出了一种新型的PKI证书验证范式。这种范式将PKI本身透明化，利用一台独立的信任关系计算主机便可计算信任矩阵。用户通过信任矩阵就可以验证证书的真实性。这种范式有利于提高隔离技术的网络通信性能，并且其验证过程完全与PKI的结构无关。 在物理隔离技术实施访问控制过程中，必须对通信实体进行准确高效的身份认证。为此，我们设计了TSP身份认证系统。TSP身份认证系统能通过简练的消息交互，提供有效的身份认证服务。结合TSP身份认证系统，可以进一步改善了物理隔离技术的安全性能。