感悟写书.doc

基于BEEP协议的安全组件间的通信技术摘要:本文通过对BEEP协议及XML-RPC协议的研究,探讨应用基于BEEP协议的安全组件的通信技术来实现不同安全产品之间的通信,解决不同安全产品之间的通用通信问题。<br>关键字:.计算机毕业网BEEP;XML-RPC;安全组件<br><br>随着网络技术的不断深入研究及应用,传统防火墙的静态防御已不足以抵御日趋复杂多样的入侵行为,面对当前网络安全的多样化需求,一个全方位、深层次的可信网络安全防御体系已经出现,它要求防火墙与入侵检测、安全审计、电子取证、灾难恢复等多种安全系统进行有机的整合、协调联动。<br>实现防火墙与其他安全系统间的联动不仅可以提升其自身的机动性和实时反应能力,同时增强了其他安全系统的功能,如可以提高入侵检测系统的阻断反应能力和安全审计系统的日志审计能力等。然而目前缺乏相应的安全系统间联动的标准和技术规范。当前存在的一些安全通信协议(IPSec、SSL)不能充分保证通信的安全性,同时IETF提出的IDXP草案协议[1]距离应用还有一段距离,因此为了更好地解决安全系统间的协调联动性问题,本文对安全联动协议进行了具体分析,提出了安全联动信息描述模型及格式,并给出了协议的具体应用。<br><br>1通信协议<br><br>要实现不同的安全组件之间的信息交换,就需要制定一个通用性安全联动协议和安全联动信息交换格式。安全联动协议为了可以用于保证防火墙与其他安全系统间的安全互操作及满足通用性的要求,已包含了一系列已经标准化的协议,用来实现安全联动信息的交换。主要包括以下协议:<br>(1)块可扩展交换协议BEEP(BlockExtensibleExchangeProtocol):是一个面向消息的异步交互的应用层协议,可作为构建安全联动协议的框架,加载于传输层协议之上。<br>(2)传输层安全协议TLS(TransportLayerSecurity):可以保护传输层的安全,并在传输层协议TCP基础上提供对安全联动信息的加密、认证和完整性保证。<br>(3)简单认证和安全层协议SASL(SimpleAuthenticationandSecurityLayer):可以在BEEP创建过程中实现对应用实体的身份认证。<br>要实现不同安全组件之间的通信,主要是充分利用BEEP协议的通道的特性,为安全联动信息提供多级分类的可靠传输。通过创建自定义的协议配置文件和自定义协议的通道完成数据传输。通过创建TLS配置文件和SASL配置文件获得TLS和SASL协议支持,确保数据传输的安全。<br><br>2基于XML-RPC的安全组件的通信技术实现<br><br>安全联动信息交换格式定义的安全联动信息主要包括联动实体信息、环境因子信息、事件关联信息等,同时可以利用XML语言的特性对联动信息做进一步的扩展。<br>基于XML的远程过程调用技术已经成为安全组件之间的通信研究的一个焦点,然而XML-RPC[2]技术本身不提供任何安全性。本文对BEEP[3]和XML-RPC技术进行了研究,设计并实现了基于XML-RPC的技术,用于解决防火墙中网络安全管理平台和安全组件之间穿越防火墙通信的问题。针对各种不同的应用,网络安全需求将安全机制独立出来并进行模块化,这些安全模块依然采用以前的安全技术,功能上互不重复,并且可以互相协调,保证了结构的开放性、应用的可配置性和内容的可管理性。<br>目前,环境下,不同的安全组件的通信要穿越防火墙最常用的方法就是使用IPTunnel技术,随着对XML技术的深入应用,将XML数据流封装在隧道中,不仅易于实现,而且具有良好的兼容性。<br>网络安全管理平台可以通过XML-RPC实现穿越防火墙对远程网络安全组件的安全策略信息进行添加、删除、查询等各种操作。下例程序描述了网络安全管理平台向网络安全组件发出请求信息的示例,(),参数为字符型变量和一个结构体变量,服务器完成操作后将结果返回客户端。<br><methodCall><br><methodName><br><br></methodName><br><params><br><param><br><value><string>deny</string></value><br></param><br><param><value><struct><br><member><br><name>from</name><br><string></string><br></member><br><member><br><name>ports</name><br><string>all</string><br></member><br></struct></