文档介绍:武汉理工大学博士学位论文基于增强型第二层隧道协议的隧道代理防火墙系统的研究姓名:张颖江申请学位级别:博士专业:交通信息工程及控制指导教师:李腊元 20060401 武汉理工大学博士学位论文摘要随着下一代互联网(NGI)及高性能网络技术的发展,“安全门户”,,传统意义下的防火墙通常只能被动防御,,将主动防御、深度防御等思想应用于防火墙的研究与设计具有重要意义. 目前,虚拟专用网(VPN),就相当于在防火墙上“凿”出了~个“洞”.,、隧道技术、代理技术和基于角色的访问控制技术,重点研究了隧道代理防火墙技术,: (1)提出了防火墙隧道代理区的概念,设计了隧道代理模型本文提出了三种隧道代理(Tunnel Proxy)模型:自愿隧道代理模型、,本文为防火墙增设了一个隧道代理区(Tunnel Proxy Zone, TPZ).其基本工作原理是:所有的隧道请求都将被定向到隧道代理区,,隧道代理系统能对流经隧道的信息进行主动监控、审查和记录,,被代理的隧道协议必须简洁、,本文重点研究了防火墙对第二层隧道协议(L2TP)的代理并以此实现了代理层次在OSI模型上的下移. (2)提出了增强第二层隧道协议安全性的方法作为防火墙要代理的隧道协议, ,分析了由 RFC3193提出的安全解决方案存在的问题,提出并设计实现了一个与L2TP 兼容、但安全性更高的增强型第二层隧道协议eL2TP(enhanced Layer Two 武汉理工大学博士学位论文 Tunneling Protoc01),使第二层隧道协议自身也能够提供机密性保护、认证保护、完整性和抗重播保护. (3)研究了适用于防火墙的基于角色的访问控制模型作为网络安全的屏障,防火墙对用户、角色、,,本文在研究基于角色的访问控制( Access Control,RBAC)模型的基础上,设计了一个应用于防火墙系统的RBAC模型FW--NRBAC模型能满足最小特权分配(Least Privilege)和职责分离(Separation ofDuties)的要求,可以改善防火墙对局部访问和全局访问的安全控制性能. 本文得到了国家自然科学基金项目(90304018、60172035)、湖北省自然科学基金项目(2000J154、2004ABA061)、湖北省科技攻关项目(2004AAl01C67)、武汉市重点科技攻关项目(2004l001001)、湖北省教育厅重点项目(2001A02010)的资助. 关键词:网络安全,隧道,代理,L2TP,RBAC,防火墙系统武汉理工大学博士学位论文 ABSTRACT With the development of next generation (NGI)and high work technology,work perimeter the” secure gate”of work,firewalls have e the extremely important device work attacks,the traditional firewalls can only offerpassive would resultinthenegative influence ,it isimportant toenhance thedefense ability forfirewall itself and active defense technology must beintroduced intotheresearch and design offirewalls. Nowadays,because the wide use work(VPN),the security