以信息為中心的網(wǎng)絡安全機制研究.pdf

1、信息安全除了保證數(shù)據(jù)在本地存儲過程中的安全，還應該滿足其在網(wǎng)絡傳輸過程中的保密性和完整性要求。目前，網(wǎng)絡安全防御領域的研究主要圍繞邊界安全保護展開，隨著網(wǎng)絡漏洞的增多以及攻擊技術的發(fā)展，傳統(tǒng)的以邊界為中心的被動安全防護策略難以應付與日俱增的安全威脅。本文提出將網(wǎng)絡安全工作的重心，由邊界安全保護轉變到直接針對信息的安全保護。在此基礎上，本文提出一個以信息為中心的安全模型，以保障信息在其整個生命周期的安全性。在模型中，所有數(shù)據(jù)分為存儲和傳輸

2、兩種形式，傳輸信息可以理解為數(shù)據(jù)的一種動態(tài)存儲，網(wǎng)絡則相當于一個大型的存儲設備。因而，任何數(shù)據(jù)都可以認為是存儲在計算機中的靜態(tài)信息或存儲在網(wǎng)絡上的動態(tài)信息。 基于以上思路，本文著重研究網(wǎng)絡上的流動信息的保護機制，對該模型在網(wǎng)絡上的應用進行了探索，設計了一個系統(tǒng)應用方案，并實現(xiàn)了其中的部分關鍵模塊。在網(wǎng)絡通信過程中，針對不同的資源采用不同的密鑰，對應用層數(shù)據(jù)實現(xiàn)加密通信，從而實現(xiàn)特定資源在任何地方存儲時的訪問控制。在應用層，配置系

3、統(tǒng)安全策略，并引入URI數(shù)據(jù)庫來記錄需要加密及監(jiān)控的資源對象。在核心層，分析進出主機的所有網(wǎng)絡數(shù)據(jù)包，根據(jù)應用層的安全策略采用加密通信或做出其他系統(tǒng)響應。系統(tǒng)基于各個應用層協(xié)議分析來識別通信過程中的文件傳輸行為，有效防止機密和私有信息的泄露。本系統(tǒng)采用基于NDIS中間驅動的數(shù)據(jù)包攔截技術實現(xiàn)以上核心層功能，攔截徹底、安全高效。 經(jīng)過實驗證明，本系統(tǒng)能夠有效攔截、監(jiān)控及處理所有網(wǎng)絡數(shù)據(jù)包，保證信息傳輸?shù)暮戏ㄐ约鞍踩?。系統(tǒng)具有性能