网络接入控制技术研究综述【文献综述】

《网络接入控制技术研究综述【文献综述】》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

毕业论文文献综述通信工程网络接入控制技术研究综述摘要：本文主要对网络接入控制技术研究所进行的综述。在阅读大量文献之后，对网络接入技术进行深入了解，对目前主流的网络接入控制技术进行了了解比较。针对网络面临的接入或访问安全以及服务质量（QoS）的问题，提出了解决方案。而基于ACL（网络层访问控制列表）技术的网络控制及网络安全可以在一定程度上缓解这一问题。关键词：接入控制；访问控制列表（ACL）；服务质量（QoS）1、引言在过去的几年中，Internet得到了迅猛的发展，全世界每天都有成千上万的主机连入Internet。Internet的网络规模急剧膨胀，不仅供应商开始利用它开拓电子商务等商业应用，许多政府机构也连入了Internet。计算机网络和Internet的广泛普及引起了人们对网络安全问题的关注，这其中一个主要的安全问题就是如何有效地控制成千上万的用户对网络的各个组成部分和资源所进行的访问。网络正面临着严峻的安全和服务质量(QoS)保证等重大挑战，保障网络的安全成为网络进一步发展的迫切需求[1]。接入或访问控制是保证网络安全的重要手段，它通过一组机制控制不同级别的主体对目标资源的不同授权访问，在对主体认证之后实施网络资源的安全管理使用。网络接入安全控制为当前IT内部控制进行了专门设计，可确保为访问网络资源的所有设备来得到有效的安全控制，以抵御各种安全威胁对网络资源的影响，提升企业管理与生产效率。使网络中的所有接入层网络设备都成为一个安全加强点，而终端设备必须达到一定的安全和策略条件才可以通过路由器和交换机接入访问网络。这样就可以大大消除蠕虫和病毒等对联网业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。任何企业网络系统在为创造价值的同时，对安全性也有很高的要求。其实，ACL（网络层访问控制列表）是一个很不错的解决工具或方案，ACL可以帮助企业实现网络安全策略。通常，很多企业都在使用NAT技术进行地址转换，而NAT技术中就包含了ACL的应用。通过ACL，我们可以控制哪些私有地址能上外网（公网），哪些不能[2]。然后把这些过滤好的数据，进行NAT转换。另外，企业也需要对服务器的资源访问进行控制，通过ACL过滤出哪些用户不能访问，哪些用户能访问。2、网络接入控制6 接入或访问控制是保证网络安全的重要手段，它通过一组机制控制不同级别的主体对目标资源的不同授权访问，在对主体认证之后实施网络资源的安全管理使用[3]。通常，我们认为计算机系统中有3类入侵攻击：远程攻击：从该子网以外的地方向该子网或者该子网内的系统发动攻击。本地攻击：通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。针对以上3类入侵攻击，接入控制基本功能包括以下3个：阻止非法用户进入系统；允许合法用户进入系统；使合法用户按其权限，来进行各种信息活动，不得有越权行为。其实，ACL（网络层访问控制列表）是一个很不错的解决工具或方案，ACL可以帮助企业实现网络安全策略[4]，并利用访问控制列表（ACL）对QoS进行配置及检测，以实现帧过滤、带宽管理和流统计等功能。图2-1网络安全接入控制的实现3、访问表（ACL）技术ACL（AccessControlList，访问控制列表）是应用到路由器接口的指定列表，用来实现流识别功能的。网络设备为了过滤报文，需要配置一系列的匹配条件对报文进行分类，这些条件可以是报文的源地址、目的地址、端口号等[5]。当设备的端口接收到报文后，即根据当前端口上应用的ACL规则对报文的字段进行分析，在识别出特定的报文之后，根据预先设定的策略允许或禁止该报文通过。3.1、ACL的原理6 ACL本质上是通过名称或数字组织在一起的语句。当路由器处理数据包时，路由器将自顶向下的执行特定步骤来查找匹配的ACL语句。ACL语句是有顺序的，数据包和ACL中的语句进行逐条比较，比较是否有匹配的，如果匹配，则后续语句就不再进行，而是直接按该条中的规定对该数据包进行处理（允许或拒绝），否则，将进一步的进行后续ACL的匹配过程，直到找到匹配项，如果整个列表中都没有匹配项，则将该数据包丢弃[6][11]。因此ACL中的语句顺序是十分重要的，应该总是把最详尽的ACL语句放在列表顶部，把最不详尽的放在列表的底部。图3-1访问控制表工作原理3.2、ACL功能[7]：（1）限制网络流量、提高网络性能。（2）提供对通信流量的控制手段。（3）是提供网络安全访问的基本手段。（4）可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞3．3、访问表的类型[8]表3-2访问列表编号访问列表编号类型1~99IP标准访问列表100~199IP扩展访问列表800~899IPX标准访问列表1000~1099IPXSAP访问列表1300~1999IP标准访问列表(扩展范围)2000~2699IP扩展访问列表(扩展范围)由表3-1所述，有两类IP访问列表：6 1、IP标准访问列表——该类型基于源地址过滤IP分组。2、IP扩展访问列表——该类型可以基于多种属性过滤IP分组：源IP地址，目的IP地址，源TCP或UDP端口，目的TCP或UDP端口，协议。3.4、ACL在网络中的应用和实现ACL作为一种规则，可以应用在诸多领域，通过与其它功能的配合，ACL可应用于诸如路由、安全、QoS等领域[4][8]。图3-3访问控制列表在路由器上的控制过程4、基于QoS的网络接入控制IPQoS模型规定了分组传送服务的模式。网络和路由器在规划、设计QoS控制功能时可以遵循模型的规定，运营商依照模型的承诺与用户签署服务协议[9]。IPQoS模型主要研究的内容包括：定义服务需求类型，以及网络节点为满足该服务需求的行为规范；规范为了提高处理效率，网络节点（如边缘节点和内部核心节点）之间必须具有的协作关系；规范如何表示QoS需求或管理信息，以及如何传递这些需求或管理信息，以便传送路径上的节点都能够理解分组的QoS需求并协调一致。4.1、集成服务模型集成服务模型的特点是提交流量的节点在发送分组前要先向网络提出发送申请[12]。申请的提出是通过信令来完成的，一个最典型的应用实例是RSVP协议。应用程序通过信令协议通知网络其所需的QoS（如时延、带宽、丢包率等指示）。在收到资源预留请求后。传送路径上的网络节点实施接纳控制（AdmissionControl）,验证用户的合法性并检查网络资源的可用性，最终判定是否为应用程序预留资源。4.2、区分服务模型6 与Intserv不同，采取区分服务模型的应用在发送分组前部需要预先先向网络提出申请，它通过携带在IP分组头部的QoS参数信息，来向网络节点通告他的QoS需求。此类标识QoS需求的信息犹如一种“带内信令”,分组传播路径上的各路由器都可以通过对它的分析来获知分组的服务需求类型。4.3、其他的网络QoS机制——ATM网络的QoS分层控制机制。ATM能够有效的承载多类型业务，并能够满足各业务的QoS要求，ATM网络的QoS控制机制是建立在其流量模型基础之上的。——基于以太网的CoS保证机制。CoS通过对业务进行简单的分类，为不同类型的流量提供有优先级差异的服务，以此在一定程度上改进而不是保证高优先级业务的服务质量。——子网带宽管理。是一种实现由高层QoS控制机制驱动数据链路层控制的方法，该方法由IETF定义，作为在IEEE802系列子网中支持RSVP等过程的信令协议。——弹性分组环（RPR,ResilientPacketRing）的QoS保证机制。RPR通过对业务流量进行分类，并对不通类型的流量采用不同的处理优先级，来尽量满足各类业务对网络的服务质量要求。5、总结随着路由器应用的普及，通过在路由器的不同接口进行相应的ACL配置，来实现网络流量的有效控制，从而能够实现防火墙的部分功能。访问控制列表使用虽然起来有些麻烦，但正确的配置网络访问控制列表是保护网络的一种重要手段。它的灵活性、安全性、对各种不同的局域网的适应性、遇到突发情况的应对速度仍不是其它方法所能替代的。访问控制列表不能解决所有网络安全问题，这与系统的复杂程度、运行的位置和层次都有很大关系，因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。IP网络如何提供服务质量QoS支持这一问题现已成为业界关注的焦点，部分目前应用于IP网络的QoS控制机制，都或多或少借鉴了ATM技术的相关思想。因此，了解基于ATM网络的QoS保证机制对于较全面掌握QoS保证技术是非常重要的。参考文献[1]张巍娜.QoS与ACL的配置及应用[J].赤峰学院学报（自然科学版）2009年2月第25卷第2期.[2]任志刚.ACL技术在网络控制及网络安全中的应用[J].福建电脑2010年第4期.[3]王常杰.网络安全接入控制技术研究[J].《中兴通讯技术》2001年第5期.[4]李强.访问控制列表ACL在网络安全设计中的应用[J].《计算机与网络》2004年第07期.[5]拉斯特（Laet,G.D.）著；张耀疆，李磊议.网络安全基础[M].人民邮电出版社，2006.1.[6]ACL和QoS配置指导[M].杭州华三通信技术有限公司.资料版本：5PW103-20100917©2007-2010.[7]张润，王准.访问控制列表在路由器上的应用[J].北京广播学院学报（自然科学版）2003年3月第10卷第1期.6 [8]GilbertHeld,KentHundley.cisco访问表配置指南[M].北京:机械工业出版社，2000.[9]张继军，高鹏.基于分组网络的服务质量保证[M].北京邮电大学出版社，2004.5.[10]HristoKoshutanski,ASurveyonDistributedAccessControlSystemsforWebBusinessProcesses[J].InternationalJournalofNetworkSecurity,Vol.9,No.1,PP.61-69,July2009.[11]YUNJin-feng,TANGHui-jia,Applicationoftask-role-basedaccesscontroltoworkflowmanagementsystem[J].JournalofChengduUniversityofInformationTechnology,2008-01.[12]汪成义.以太网业务流量管理机制的关键算法与应用[J].计算机系统应用，2005,(8):39-41.[13]ZHENGLiang-quan,TANGHong-bo,LIUCai-xia,ZHUKe-yun,MagicQuadrantforNetworkAccessControl[J].GartnerResearch,PP.3-22,2009-03-27.[14]WEIYong-he,WANGCheng-en,SHUQi-lin,MAMing-xu,AnAccessControlModelforTask-OrientedWorkflow[J].JournalofNortheasternUniversity(NaturalScience),2008-03.6