基于自治域安全策略系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著Internet的迅速發(fā)展,IPSec越來越突出其重要性.但是,原有的IPSec策略管理機(jī)制存在嚴(yán)重的不足與缺陷以及IPSec安全策略系統(tǒng)規(guī)范化的工作尚在進(jìn)行中,無法滿足IPSec的具體實(shí)現(xiàn)需求.本文探討了原有IPSec策略管理機(jī)制和安全策略系統(tǒng)通用模型在具體實(shí)現(xiàn)中可能出現(xiàn)的問題,然后引入了這些問題的解決方案-基于自治域安全策略系統(tǒng).基于安全自治域的安全策略系統(tǒng)通過對(duì)通用模型進(jìn)行了改進(jìn),擴(kuò)展了安全策略描述語言,對(duì)策略的管理和實(shí)施采用

2、"集中存儲(chǔ),統(tǒng)一決策,分布式控制".它采用了域內(nèi)統(tǒng)一決策的機(jī)制,并給出了安全策略的高層次需求描述到低層次安全需求的映射,這樣既克服了通用模型下策略決策錯(cuò)誤的缺點(diǎn),又能夠?yàn)椴煌愋偷陌踩a(chǎn)品如防火墻和入侵檢測(cè)系統(tǒng)提供策略解析服務(wù).通過在安全自治域中建立CA中心,為每個(gè)參與策略交互的實(shí)體發(fā)放證書,解決了信任鏈的問題.最后,根據(jù)基于自治域的安全策略系統(tǒng)的設(shè)計(jì)思想和設(shè)計(jì)模塊,在OpenBSD平臺(tái)上實(shí)現(xiàn)了原型.該原型主要內(nèi)容包括:改進(jìn)安全主機(jī)和安