面向区域的网络访问控制系统的设计与实现

发布时间：2017-05-14 09:22

  本文关键词：面向区域的网络访问控制系统的设计与实现，，由笔耕文化传播整理发布。

【摘要】：随着互联网的迅速发展,网络已经成为了日常生活中必不可少的一部分。由此也带来了互联网企业的高速发展,主要体现在互联网企业规模越来越大,服务器数量越来越多等方面。但与此同时,互联网企业的内部局域网安全问题也越来越突出,管理难度也愈发的增强。因此,服务器集群的网络访问控制管理成为企业管理的核心问题之一。如何在有效的管理企业内部的服务器集群的同时,保证局域网内部安全就显得尤为的重要。 本文针对大规模服务器管理问题,分析了传统的网络访问控制的方法,结合“集中管理,分布式部署”的观点,提出了面向区域的网络访问控制模型,设计了面向区域的网络访问控制架构,最后系统实现并进行了对比分析得出了相应的结果。主要包含以下工作： (1)提出了面向区域的网络访问控制模型。该模型克服了传统局域网管理方式的局限性,结合了“区域”的概念,通过使用逻辑区域代理物理区域的方法来管理服务器,提高了服务器管理的灵活性,并且降低了审计上的难度。 (2)设计了面向区域的网络访问控制模型架构,实现了局域网内服务器的安全访问控制。该架构总体由三个模块组成,分别为运营中心、服务端以及Agent。论文依次的阐述了各个模块的构造和工作流程,给出了模型的开发环境以及各个模块的实现细节。 (3)设计并实现了面向区域的网络访问控制系统。该系统在LINUX内核层实现了一套基于NETFILTER框架的数据包过滤模块。通过研究各类包分类算法,设计出了一种适用于本系统的基于哈希的多维包分类算法。该算法克服了IPTABLES匹配效率随着规则数量的增加而急剧下降的特点,并且通过实验证明其在大规则集的情况下,仍然能够保持纳秒级别的数据包匹配速度。 (4)对系统进行了功能以及性能评测,并分析了评测结果。论文从访问控制和策略更新两方面做了功能性测试,对数据包分类算法做了性能测试。测试结果表明,本论文提出的方法可以实现大规模服务器的可靠管理,功能完善,性能良好。
【关键词】：访问控制 区域 包过滤 服务器
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• ABSTRACT5-10
• 第一章 绪论10-14
• 1.1 课题背景及意义10
• 1.2 研究现状10-12
• 1.3 研究内容和目标12-13
• 1.4 论文组织13-14
• 第二章 面向区域的网络访问控制系统相关技术研究14-26
• 2.1 LINUX内核网络协议栈14-16
• 2.1.1 LINUX内核网络协议栈层次结构14-16
• 2.2 NETFILTER/IPTABLES框架16-19
• 2.2.1 NETFILTER框架16-17
• 2.2.2 NETFILTER HOOK17-19
• 2.2.3 自定义HOOK函数19
• 2.3 多维数据包分类算法19-25
• 2.3.1 多维数据包分类问题描述20-21
• 2.3.2 多维包分类算法性能评价21
• 2.3.3 线性查找算法21-22
• 2.3.4 基于Tries树的算法22-23
• 2.3.5 基于域分割的算法23-25
• 2.4 本章小结25-26
• 第三章 面向区域的网络访问控制模型设计26-33
• 3.1 传统网络访问控制系统26-27
• 3.1.1 网关型网络访问控制系统26-27
• 3.1.2 主机型分布式网络访问控制系统27
• 3.2 面向区域的网络访问控制系统模型27-30
• 3.3 面向区域的网络访问控制系统区域设计30-32
• 3.4 本章小结32-33
• 第四章 面向区域的网络访问控制系统设计33-43
• 4.1 面向区域的网络访问控制系统概述33-34
• 4.1.1 面向区域的网络访问控制系统总体目标33
• 4.1.2 面向区域的网络访问控制系统功能目标33-34
• 4.2 面向区域的网络访问控制系统技术架构设计34-37
• 4.2.1 面向区域的网络访问控制系统功能架构34-36
• 4.2.2 面向区域的网络访问控制系统部署架构36-37
• 4.2.3 面向区域的网络访问控制系统总体流程37
• 4.3 面向区域的网络访问控制系统AGENT详细设计37-42
• 4.3.1 配置管理38
• 4.3.2 基础通信流程38-39
• 4.3.3 策略更新流程39-41
• 4.3.4 策略执行流程41
• 4.3.5 日志管理流程41-42
• 4.4 本章小结42-43
• 第五章 面向区域的网络访问控制系统实现43-58
• 5.1 AGENT端网络访问控制实现43-52
• 5.1.1 网络访问控制策略定义43-45
• 5.1.2 策略在内存中的存储结构45-47
• 5.1.3 基于NETFILTER内核级框架47-48
• 5.1.4 基于哈希的数据包分类算法48-50
• 5.1.5 数据包匹配规则优先级确定50-52
• 5.2 区域策略冲突解决方案52-53
• 5.2.1 区域内策略冲突52-53
• 5.2.2 上下级区域策略冲突53
• 5.2.3 交叉区域策略冲突53
• 5.3 基于NETLINK的日志模块实现53-55
• 5.4 系统接口设计55-57
• 5.4.1 区域管理接口55-56
• 5.4.2 策略管理56
• 5.4.3 服务器管理接口56-57
• 5.5 本章小结57-58
• 第六章 面向区域的网络访问控制系统评测58-64
• 6.1 面向区域的网络访问控制系统评测环境58-60
• 6.1.1 系统评测环境58
• 6.1.2 评测环境部署58-60
• 6.2 系统功能评测60-61
• 6.2.1 策略更新功能评测60
• 6.2.2 访问控制功能评测60-61
• 6.3 系统性能评测61-64
• 6.3.1 基于哈希的数据包分类算法性能评测61-62
• 6.3.2 数据包匹配效率评测62-63
• 6.3.3 系统性能负载评测63-64
• 第七章 结束语64-66
• 7.1 论文工作总结64-65
• 7.2 问题和展望65-66
• 参考文献66-69
• 致谢69-70
• 攻读学位期间发表的学术论文70

【参考文献】

中国期刊全文数据库 前10条

1 彭文灵,王丽娜,张焕国,傅建明;基于角色访问控制的入侵容忍机制研究[J];电子学报;2005年01期

2 周瑞;常旭;林丹峰;杨林峰;;基于多分支Trie的路由查找算法设计与实现[J];大众科技;2013年08期

3 何国雄;;基于安全区域和对象的防火墙逻辑策略配置设计[J];计算机安全;2011年06期

4 杨武,方滨兴,云晓春,张宏莉;基于Linux系统的报文捕获技术研究[J];计算机工程与应用;2003年26期

5 崔尚森,张白一;一种基于哈希表和Trie树的快速IP路由查找算法[J];计算机工程与应用;2005年09期

6 姚晓宇,赵晨;Linux内核防火墙Netfilter实现与应用研究[J];计算机工程;2003年08期

7 刘云;;Linux下基于Netfilter的包过滤算法[J];计算机工程;2009年11期

8 刘建彪,杨寿保;Netfilter功能框架及其在校园网中的应用[J];计算机应用;2003年02期

9 郑小军,赵轶群;构建集成的Linux内核防火墙[J];计算机应用;2003年12期

10 熊忠阳;张逢贵;张玉芳;;Linux下基于Netfilter个人内核防火墙的设计与实现[J];计算机应用;2009年S1期

  本文关键词：面向区域的网络访问控制系统的设计与实现，由笔耕文化传播整理发布。

本文编号：364810