基于TRILL协议的使用控制模型研究
摘要TRILL协议[1]是IETF推荐的连接层(L2)网络标准,通过TRILL协议将能够建立没有冗余的网络环境下的大二层开放数据资源共享平台,提供技术支持,以确保合理利用各种网络资源。 UCON的Web过滤技术在一定程度上,保护用户免受病毒的干扰是一个比较好的网络安全控制技术。
【关键词】TRILL协议 控制模型 UCON
信息化发展到今天,已经进入到云计算平台的时代。但是“云计算”也带来了一些新的挑战,服务器高可用集群技术和虚拟服务器动态迁移技术,在数据中心容灾及计算资源调配方面得以广泛应用。Trill协议的出现为当今网络资源的合理利用提供更多更好的选择,同时也为构建大二层无环网络提供了重要支撑。大型数据中心级网络的组建必然需要多种资源的整合,如何有效的对这些网络资源进行保护,有效的对网络资源进行规范。防范来自内部或外部不合法的访问,是一个值得我们思考的问题。
1 TRILL协议优势和特点
Tirll协议想对于以往使用在二层网络中的STP协议具有很大的优势,它既解决了STP协议中路径单一且不一定是最优路径、容易形成环路、对中间设备不是透明的、无法做到跨VPN最终导致其无法再大型网络组建中的广泛应用。而TRILL却很好的支持多路径流量负载均衡、对中间设备相对透明。从而能够很好的进行数据中心级网络架构。
TRILL协议不仅能在二层网络中为我们选择最佳合适路径,同时能够把原来STP协议在二层网络中所“闲置”的网络资源有效的利用起来,从而很有效的扩展了二层网络使用范围,使之能够用二层的网络资源来完成原来二层、三层网络共同构建的数据中心。
2 UCON策略模型网络应用
借鉴与UCON模型架构我们将其应用在trill协议的大二层网络实例当中使得访问控制能够有效的应用到实际场景之中。
对UCON 的主体和客体以及条件、义务等各项描述在TRILL协议网络背景下进行如下描述:
访问者S(Subjects)是UCON模型的主体,主体是访问者是否具有相应的访问等级能够对其想访问的资源进行使用。
资源O(Objects)是UCON模型的客体,客体是具有相应等级的访问资源,访问者具有或高于相应等级者可以访问。
义务R(Responsibility)是访问者有义务对访问的资源按规定进行相应合法性使用。有义务进行一些类似于问卷调查、指出业务不足并能给出相应建设性意见等。
条件C(Conditions)是网络验证平台根据访问者的访问信用等级进行评估等于或高于相应的最低阀值则可以访问相应资源。
授权策略A(Authorization policies)这种策略是在主体具备访问客体的信用等级时,给予其访问授权,并在访问者使用资源的整个过程中进行合法性授权。
3 引入UCON策略模型
从UCON,具体实施使用控制的核心对象主要包括如下因素: 使用控制的主体,客户S;使用控制的客体,网络资源O;以及相关的一些操作义务;为了对访问行为执行严格的控制,引入了验证平台,具体步骤解释如下。
(1)访问者需要对相应的资源进行访问,验证平台收到访问者访问请求。
(2)访问者如果自身等级超过或者等于该资源的最低阀值,则并认为是合法用户可以进行下一步操作,否者将被强制结束此次访问流程。
(3)当访问者能过访问所需要的资源时候,这时授权策略将开始发挥作用,它将对本次访问过程进行全程“监管”,它会监督访问者按照相应的规则对资源进行合法访问并进行相应的义务操作,比如访问资源在同一时间必须为有限次的,或者继续及时的资源访问反馈调查等义务性操作。当满足一些列合法操作时则访问者将继续具有相应权限,否者将被判为非法,将被强制终止访问。
(4)验证平台对每一次访问者的行为进行评估,并对评估通过的访问者,在其用户资料“白名单”进行计次后进行处理。
(5)验证平台对每一次访问者的行为进行评估,并对评估不通过的访问者,在其用户资料“黑名单”进行计次后进行处理。
(6)验证平台根据黑白名单次数对客户进行一定的升降级处理。对“黑名单”次数超过一定次数的客户将进行降低访问等级处理,对“白名单”次数超过一定次数的客户也将进行相应的提高访问等级处理。
(7)访问者处理结果出来后将结束本次访问控制流程。
参考文献
[1]龙吟.云计算中的大二层网络技术研究[J].通信与信息技术,2012.
[2]刘剑锋.基于TRILL协议实现数据交换[J].网络安全技术与应用,2011
[3]胡海英.基于ACL的网络病毒过滤规则[J].科技资讯,2010.
[4]龚文涛.郎颖莹.基于UCON的访问控制模型在银行中的应用[J].信息技术,2011.
作者单位
1.南昌航空大学信息工程学院江西省南昌市330063
2.南昌工程学院江西省南昌市330063
