收藏本站
《四川大学》 2004年 博士论文
收藏 | 手机打开
二维码
手机客户端打开本文

应用区域边界的安全体系结构及实用模型研究

陈兴蜀  
【摘要】:随着信息系统应用的不断普及和深化,信息安全问题越来越受到重视。然而对信息安全的解决方案常常采用被动的方式,发现什么地方可能有风险,有安全问题,则采取对应的安全技术来解决。这种安全技术方案缺乏对信息系统的整体考虑,故目前国内、国外的信息安全专家提出了信息安全保障、信息安全体系结构等概念,用于提供信息系统的整体安全解决方案。 论文对信息系统进行了分析,根据国内专家提出的“三横三纵两个中心”的信息安全保障技术框架,明确地阐述了应用环境、应用区域边界及网络传输平台的概念,将论文的研究重点放在了应用区域边界上,提出了应用区域边界的安全体系结构。并在应用区域安全体系结构的指导下,建立了实用模型,从而在边界上提供了信息系统的基于应用层的整体安全保障框架。最后描述了体系结构的应用方案——虚拟应用网络VAN,对集成信息系统提供全面、完整的信息安全保障。 论文提出的应用区域边界的安全体系结构构建在TCP/IP协议栈的应用层,该体系结构分为四层,分别包括:应用数据层、应用协议层、安全插件层和会话连接控制层。体系结构根据应用协议的会话数据流信息,结合不同的安全插件,对应用区域边界的进出信息进行控制,并使离开区域的信息得到恰当的安全保护,从而为信息系统提供基于应用层的全面的安全解决方案。在体系结构的描述中,阐述了各层之间的信息处理关系,并用三维模型拙述了安全服务、安全插件和不同的访问控制粒度之间的关系。 应用区域边界的安全体系结构是一个理论框架,其目的是为应用环境的边界安全保护提供方法和指导。故论文在安全体系结构的基础上,构建了实用模型。该模型具有实际应用价值,对应用环境的边界进行保护,对信息系统提供粗粒度控制和细粒度访问控制,并通过接口与多种安全技术相结合为边界提供可定制的、统一的、完整的安全解决方案。该模型工作在应用层,具有能满足不同应用环境的安全需求,能适应各种通信模式,并提供统一的策略管理接口等优势。 摘要 对典型的会话级代理协议SOCKSvs进行了分析,阐述了协议认证中的冗 余性和访问控制粒度较粗的缺陷。针对SOCKSvs的冗余性进行了改进,提出 了一种新的会话级代理协议strsockS协议。strsocks协议的特点是对每个进程 的首次会话连接进行认证,并对已通过认证的进程发放Token,使该进程的后 续连接请求不再进行冗余认证和方法协商,在己协商的安全联盟下进行安全的 信息交互,从而提高协议的信息交互效率且不产生新的安全漏洞。Strsocks协 议也成为原型系统的基础协议。 对实用模型原型系统的关键技术和难点进行了研究。应用区域边界的控制 模型采用了客户/服务器工作模式。客户端通过修改网络堆栈,在网络堆栈中动 态地嵌入了一个协议薄层,使用动态加载和拦截技术,使客户端的第三方应用 程序能透明地实现strsockS协议客户端。在服务器端为了提高服务器吞吐量和 并发连接数等性能指标,采用了进程、线程混合模式,并对性能进行了分析。 在服务器上还提出了惰性连接的控制模型,根据客户对信息系统访问的历史特 点,选择可能不再活动的惰性连接,使服务器在高连接负载的情况下,对新的 客户连接请求能作出合理的处理。从而使服务器性能大大提高。 在应用层安全体系结构的指导下,建立了通用细粒度控制模型,该模型中 引入了应用协议知识库,利用协议知识库对应用协议进行统一的形式化描述。 根据可升级、更新的应用协议知识库,对应用协议会话数据流进行词法分析、 语法分析及语义抽象,使会话数据流抽象为与协议无关的统一描述,从而实现 针对应用协议的通用细粒度访问控制。 因实用模型的原型系统是在Linux操作系统上完成的,故如何保护位于应 用区域边界上的安全服务器自身的安全性成为了一个关键点。论文对特洛伊木 马等恶意代码的攻击原理进行了分析,使用双签名技术建立了一种针对采用自 主存取控制DAC机制的操作系统的安全增强方案。该方案在修改客体的存取 控制属性时,操作系统和被授权主体对修改进行评估和监控。采用数字双签名 方案对授权主体和被授权主体进行身份鉴别,在不破坏自主存取控制的自主性 和灵活性的前提下,使访问控制属性的修改在安全、明确、受控的状态下进行, 从而消除恶意程序对系统的攻击基础和环境. 随着信息技术、网络技术的发展,虚拟应用环境、虚拟企业等概念也得到 了发展和应用,但目前的信息系统集成主要关注的是信息的集成和应用,对应 ll 摘要 用系统的安全问题往往独立考虑,出现了一个用户在自己的信息系统中,需要 掌握若干个用户帐号和口令的现象等,缺乏对信息系统安全的整体考虑。在应 用区域边界的安全体系结构指导下,以实用模型为基础,论文针对目前信息系 统集成中的安全问题,提出了虚拟应用网络(VAN)的概念。论文描述了VAN 的基本原理,阐述了VAN的网关的系统结构。VAN网关将粗粒度访问控制与 细粒度访问控制相结合,将基于角色的存取控制 RBAC机制与企业信息系统中 的用户管理相结合,建立了统一、简单的管理平台。通过对VAN的研究和实 施,可以构建企业或?


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 陈刚;李国徽;顾晋广;杨兵;陈辉;唐向红;;基于XJoin的细粒度无阻塞连接算法[J];计算机科学;2009年08期
2 丁震;北京出台信息化“十五”计划 信息安全保障比重加大[J];信息网络安全;2004年02期
3 彭勇;内部安全,怎样才能管理好[J];中国计算机用户;2005年45期
4 崔光耀;;大安全域时代来临的信号[J];信息安全与通信保密;2006年06期
5 ;加强安全防范 构建和谐社会——第八届中国国际计算机网络和信息安全展览会开幕[J];信息安全与通信保密;2007年07期
6 ;全国信息安全标准化技术委员会2007年工作综述及2008年工作要点[J];信息技术与标准化;2008年03期
7 宫颜花;;关于加强档案信息安全化建设的思考[J];兰台内外;2008年04期
8 李仲良;;信息时代的国家安全与信息安全研究[J];现代情报;2008年12期
9 薛丽敏;张霞;;信息安全保障新体制研究[J];信息安全与通信保密;2009年06期
10 新禾;自我评估与自主保护——信息安全保障(IA)的基石[J];网络安全技术与应用;2003年10期
11 丁震;信息安全保障事关国家安全战略——国务院信息办网络与信息安全组副组长吕诚昭答本刊记者问[J];信息网络安全;2004年04期
12 张献华,徐海琛;数据中心信息安全保障体系初探[J];国土资源信息化;2005年01期
13 熊光楷;;信息时代与国家安全[J];今日中国论坛;2007年06期
14 ;编者的话[J];中兴通讯技术;2004年04期
15 刘栎;陆鹏;;网络和信息安全要走产业化之路[J];数码世界;2004年18期
16 于波;;深化信息安全保障体系建设——笫21次全国计算机安全学术交流会侧记[J];计算机安全;2006年08期
17 刘大隆;加强信息安全保障 促进网上银行健康发展[J];信息系统工程;2002年09期
18 ;全面提高防护能力 促进信息化健康发展 全国信息安全保障工作会议召开[J];信息网络安全;2004年02期
19 何德全;;何德全:信息安全保障也要“以人为本”[J];中国信息界;2004年14期
20 杨瑞伟,闫怀志,李雨飞;从入侵检测到入侵防护——信息安全保障主动防御的必然选择[J];计算机安全;2005年01期
中国重要会议论文全文数据库 前10条
1 时晨;乔永强;;一种面向空间应用的可重构计算机体系结构[A];提高全民科学素质、建设创新型国家——2006中国科协年会论文集(下册)[C];2006年
2 苗秋菊;徐祥德;王继志;;区域气候模式对中国梅雨期区域边界水汽输送模型及数值试验研究[A];加入WTO和中国科技与可持续发展——挑战与机遇、责任和对策(下册)[C];2002年
3 李小庆;曾庆凯;;细粒度可信恢复文件系统[A];2011年全国通信安全学术会议论文集[C];2011年
4 陈光;匡兴华;;复杂信息系统信息安全保障工程的研究[A];Well-off Society Strategies and Systems Engineering--Proceedings of the 13th Annual Conference of System Engineering Society of China[C];2004年
5 韩婷婷;陈韬略;颜锋;吕建;;部分状态空间的建模及其验证[A];2005年全国理论计算机科学学术年会论文集[C];2005年
6 刘欣;沈昌祥;孙春来;;可信计算环境下的数据库系统安全体系结构研究[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
7 刘奎恩;丁治明;李明树;;MOIR/HR:覆盖区域受限的热门区域挖掘[A];NDBC2010第27届中国数据库学术会议论文集(B辑)[C];2010年
8 钟卓新;;信息安全保障体系及其框架[A];第十九次全国计算机安全学术交流会论文集[C];2004年
9 朱瑞红;梁娜;熊绍东;孙波;胡鑫磊;桓德铭;;山东省信息安全保障体系建立及应用研究[A];决策与管理研究(2007-2008)——山东省软科学计划优秀成果汇编(第七册·上)[C];2009年
10 孟亚平;;电子政务信息安全指标体系初探[A];2005中国电子政务与信息安全论坛会议资料[C];2005年
中国博士学位论文全文数据库 前10条
1 陈兴蜀;应用区域边界的安全体系结构及实用模型研究[D];四川大学;2004年
2 刘益和;应用区域边界安全体系结构的模型研究[D];四川大学;2005年
3 姚崎;高性能可信区域边界防护体系结构及关键技术[D];北京交通大学;2011年
4 彭双和;信息系统认证体系结构及相关技术研究[D];北京交通大学;2006年
5 朱倩;面向自由文本的细粒度关系抽取的关键技术研究[D];江苏大学;2011年
6 施寒潇;细粒度情感分析研究[D];苏州大学;2013年
7 田昊;面向遥感影像的建筑物区域理解方法研究[D];国防科学技术大学;2012年
8 吴世忠;基于风险管理的信息安全保障的研究[D];四川大学;2002年
9 田红丽;可重构计算系统芯片中的动态数据调度模型及部件的研究[D];河北工业大学;2011年
10 徐毅;粗细粒度双知识网映射的零部件设计重用方法[D];大连理工大学;2012年
中国硕士学位论文全文数据库 前10条
1 马相林;基于安全标记的区域边界访问控制技术研究[D];解放军信息工程大学;2010年
2 张庆成;基于角色的网格细粒度授权的研究[D];华中科技大学;2004年
3 周彩贞;嵌入式操作系统uClinux裁剪技术研究[D];武汉理工大学;2007年
4 朱立明;投资监控系统的权限管理方案研究[D];浙江大学;2008年
5 方琛;粗粒度可重构处理器的结构研究与设计[D];上海交通大学;2013年
6 郭冲;面向在线评论的细粒度意见挖掘及在手机口碑分析中的应用[D];华南理工大学;2013年
7 张玥;面向产品评价的细粒度情感分析技术研究[D];哈尔滨工业大学;2013年
8 屠斐正;信息融合滤波算法细粒度模块提取与管理研究[D];华东理工大学;2013年
9 桂林;跨语言细粒度情感分析技术研究[D];哈尔滨工业大学;2012年
10 万文寅;最大稳定极值区域应用研究[D];西安电子科技大学;2011年
中国重要报纸全文数据库 前10条
1 崔文举;加强信息安全保障务求实效[N];人民邮电;2004年
2 吴军民陈继承;张永福:信息安全“排头兵”[N];光明日报;2007年
3 ;深刻理解信息安全保障的重要地位 正确把握信息安全保障中的重大问题[N];计算机世界;2003年
4 本报记者  侯捷宁;四方面加强信息安全保障建设[N];证券日报;2007年
5 崔光耀;信息安全:管理掌舵[N];中国计算机报;2006年
6 王秀峰邹兵 陈继承 本报记者 唐先武;用青春和智慧筑起信息安全“屏障”[N];科技日报;2007年
7 ;中央军委印发《关于加强新形势下军队信息安全保障工作的意见》[N];解放军报;2010年
8 记者 史颂光 通讯员 成利军;我省电子政务信息安全保障试点运行[N];河南日报;2006年
9 丁之;切实保障国家地理信息安全[N];中国测绘报;2008年
10 何东 曹军;农行上海分行强化信息安全保障[N];金融时报;2004年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978