基于CA认证的网络终端安全监管技术研究

摘要

随着政府以及企业信息化和网络化规模的日益扩大,网络安全问题越来越成为人们关注的焦点,而如何保障网络安全一直以来都是国内外学者研究的重点。面对日益发达的网络技术,传统的“堵漏洞、筑高墙、防外攻”等防护技术已经远远不能满足政府以及企业对网络安全的需求,尤其是在政府、科研机构、银行证券等终端计算机安全管理较为薄弱的要害部门,源于内部终端隐患造成的网络安全问题尤为突出。故而,对于终端主机控制管理既是保证网络安全可靠运行的前提,也是目前网络安全管理亟需解决的问题。
　　本文利用CA认证、SNMP以及中间层驱动等关键技术,从终端用户身份的可信性认定、终端计算机可信性认定、终端数据安全以及网络终端行为监管四个方面着手,以保障终端的可信接入以及信息安全。首先本文使用基于SNMP的终端节点接入发现算法,扫描整个网络的终端节点,获取终端节点信息;其次采用基于CA的终端用户身份认证与基于终端标识的主机身份认证相结合的认证技术,实现对终端的认证,防止非法终端接入内网;然后利用中间层驱动技术,实现对内网用户使用NAT、代理服务器等违规行为的阻断;接着提出了一种基于组管理的安全访问控制策略,并依据策略对终端端口、终端可运行进程以及是否允许中断联接互联网作了严格的控制,将终端的违规行为上报服务端,最后服务端依据预定的策略或者由管理员人工对相应的违规行为作出处理。
　　基于对以上内容的深入研究,并综合安全性、易用性、健壮性等设计原则,本文开发实现了一套基于CA认证的网络终端安全监管系统,并在真实的网络环境中进行了详细的测试。测试结果表明,该系统能够在不影响网络正常功能的情况下,对终端接入进行可信性认定,准确的鉴别并管理终端的违规行为,从而保障整个网络的安全。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景

1.2 研究目的及意义

1.3 论文的研究内容及组织结构

第二章 网络终端安全监管技术分析

2.1身份认证技术

2.2 WDF驱动模型

2.3 SNMP协议分析

2.4 NDIS中间层驱动技术

2.5本章小结

第三章 网络终端安全监管关键技术研究

3.1 终端节点的标识

3.2 终端节点接入的发现算法研究

3.3 终端节点的安全性检查控制机制设计

3.4非法外联监测方法设计

3.5 终端端口的可控性研究

3.6 终端用户的行为监管

3.7基于组管理的安全访问控制策略设计

3.8本章小结

第四章 基于CA认证的网络终端安全监管系统的设计与实现

4.1 系统需求分析

4.2 系统结构设计

4.3 系统功能模块设计

4.4 系统实现

4.5 本章小结

第五章 系统测试及评价

5.1 测试环境

5.2 系统测试

5.3 本章小结

总结与展望

参考文献

致谢