自防御网络中客户端Ａｇｅｎｔ的研究与实现.docVIP

自防御网络中客户端Ａｇｅｎｔ的研究与实现 　　摘 要：主要研究自防御网络计划中的网络准入控制功能。介绍自防御网络的概念、功能以及处于自防御网络最前端的部分-客户端Agent的功能；自防御网络系统的设计方法。重点介绍客户端Agent的设计以及其各个组成模块的功能、设计方法。最后搭建测试环境并进行测试，测试结果均达到预期的效果。 　　关键词：自防御网络；网络准入控制；客户端Agent；系统安全 　　中图分类号：TP393.08 文献标识码：B 　　文章编号：1004-373X(2008)06-099-03 　　Research and Implementation of Client Agent in the Self-defending Network 　　FU Cuijiao 　　(School of Computer Science and Engineering，Beihang University，Beijing，100083，China) 　　Abstract：This paper mainly studies the Network Admittance Control (NAC) function in the self-defending network plan.It firstly discusses the conception of Self-defending Network (SDN)，its function and the function of client Agent is in the front of SDN.Then introduces design method of SDN，specially introduces the design of client Agent and the function of its module.At last builds the test circumstance and carries out the test，the results are all satisfying. 　　Keywords：self-defending network；network admittance control；client Agent；system security 　　 　　1 引 言 　　 　　在互联网日益普及的今天，网络安全问题越来越多的受到网络工程师的重视。病毒、黑客以及各种系统漏洞的依然存在，使得安全任务在网络时代变得无比艰巨。怎样才能使网络得到真正的安全保障广泛关注的问题，主要是希望网络自身具有抵抗力，对一些外来的侵蚀有一种自然的抵抗。2004年3月15日，思科以第三代安全解决方案为体系框架，创新地提出了“自防御网络(Self Defending Network，SDN)”计划。这是一个多侧面、多阶段的安全计划，他能大大提高网络发现、预防和对抗安全威胁的能力[1]。于是人们开始把目光投向具有自防御能力的网络。 　　 　　2 自防御网络 　　 　　具有自防御能力的网络不但要具有保护网上主机系统、网上终端系统和网上应用系统的能力，关键是网络本身也具有自我保护能力、自我防御能力和自我愈合能力[2]。一旦受到网络蠕虫等病毒的侵扰或网络攻击时，能够快速反应。网络能够发现攻击、发现病毒、消除病毒在保护网络应用的同时，也保护了网络自身。 　　 　　2.1 自防御网络系统的功能 　　本文主要研究自防御网络计划中的网络准入控制(Network Admittance Control，NAC)功能[3]，他是自防御网络计划中的一部份。SDN的宗旨是防止病毒等新型黑客技术对局域网造成危害，设计目标是客户端只允许合法的、值得信任的端点设备(例如PC机)接入网络而不允许其他设备接入。当端点设备进入网络时，该系统可以根据所获得的终端信息，例如设备的当前防病毒状况以及操作系统补丁等信息，来实现对网络的准入控制[4]。本系统是由3部分组成，分别是客户端Agent边缘路由器和策略服务器。最前端是客户端Agent，负责搜集设备的当前防病毒状况以及操作系统补丁等信息，形成状态证书后向边缘路由器发送，边缘路由器向策略服务器转发该状态证书，策略服务器根据状态证书中的终端信息确定访问策略，并向边缘路由器转发该策略，边缘路由器执行该策略，实现准入控制。 　　2.1.1 客户端Agent的功能 　　客户端Agent处于该系统的最前端，发挥了非常重要的作用。Agent(代理)的意思就是代表其他设备执行功能，客户端Agent就是代表客户端完成自身安全状态的评估，并获得与之相应的接入网络的权限。具体来说就是扫描终端系统，获得操作系统版本信息、系统漏洞、系统补