刘丽娜
济南职业学院 山东 250014
传统的防火墙、防病毒、漏洞扫描和系统风险评估、以至入侵检测等技术都可以在一定程度上提供安全防护,但只是被动的防御,不能很好的保证网络安全。被动的安全防御使得网络管理人员不断的通过补丁来升级系统。在这种情况下,网络安全隔离与信息交换系统应运而生,网络安全隔离与信息交换系统是通过现有技术进行主动防御的系统,它满足涉密网络与同互联网或公众网络物理隔离的非涉密网络,以及不同涉密级别网络之间受控数据交换的迫切需求。基于需要通过可信身份鉴别而授权获取资源的考虑,系统对用户进行身份验证和访问控制,以保证用户的合法性。PKI/PMI可以提供身份认证、访问控制、数据保密性、数据完整性以及不可否认性等服务。因此将网络安全隔离与信息交换技术与PKI/PMI技术相结合可以实现安全隔离状态下的身份鉴别和细颗粒度访问控制,进一步保障电子政务建设中国家级的信息既秘密安全、又方便工作,促进我国电子政务建设的健康发展。
网络安全隔离与信息交换系统是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。系统通常布置在两个安全级别不同的两个网络之间,用以截获在网络上传输的数据包,解析数据包,提取数据包中不包含连接信息的“纯数据”信息,根据数据包的流向通过硬件映射隔离技术(HRI™)在内外网间进行“纯数据”交换,交换后根据数据需要再重新构造连接信息,实现在两个级别的网络之间的安全的、完全受控的数据交换。安全隔离信息交换系统体系结构模型如图1所示。
图1 系统体系结构模型
系统由内端机、外端机和数据交换子系统构成,完成两个网络之间的安全受控数据交换:
(1)内端机与内网相连,外端机与外网相连,数据交换子系统包括专用硬件(如数据交换卡)和专用数据交换协议,专用硬件作为内端机和外端机惟一物理通道,并通过物理开关连接内端机和外端机。
(2)在内端机和外端机之间建立起完全隔离的两条数据通道:一条仅传输内网到外网的数据,另一条仅传输外网到内网的数据。通过对数据流向的控制达到了对数据通道的完全控制。
(3)专有通信协议达到协议转换:数据通道上由专用安全隔离交换协议保证了内网和外网之间只传递纯数据而不传递网络信息、控制信息等存在安全隐患的内容,保证和内外网间交换信息的纯洁、安全、可靠。同时“网络协议→安全隔离交换协议→网络协议”的协议转换也可以过滤掉绝大部分基于网络协议漏洞的攻击,做到了内外网间的协议隔离。
(4)在内端机和外端机上集成病毒防护、密级标识与内容过滤、安全审计日志分析等技术:系统集成有防病毒模块,可以通过网络和GUI管理配置界面进行病毒库的升级;集成了国家保密局的文件密级标识检查模块和高效内容检查模块,可以对由内网送到外网的数据进行密级检查和内容检查,从很大程度上防止泄密;提供完善的日志分析工具,提供详尽的网络访问日志、管理审计日志、内容过滤日志、攻击检测日志、系统运行日志查询及图形统计功能与提供扫描攻击声音报警功能。
为了建立一个更安全,更全面的访问控制系统,人们提出了PKI的概念。PKI(Public Key Infrastructure)即“公开密钥体系”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等服务的密钥和证书管理体系。PKI采用证书管理公钥,通过第三方可信任机构--认证中心,把用户的公钥和用户的其他标识信息进行捆绑,在Internet网上对用户的进行验证。使用PKI可以建立一个可信的网络环境,使得人们在虚拟的网络环境里,能够安全地从事商务活动。PKI系统结构如图2所示。
图2 PKI系统结构
(1)PKI系统由注册机构(RA)、认证机构(CA)、证书数据库、证书目录服务器(LDAP)等组成。
(2)申请证书流程:用户发起请求后,系统通过浏览器连接到RA,RA将请求通过安全连接提交给CA,CA对用户提交的信息进行审核,若审核通过,CA在证书上签名并把证书存放到证书数据库中,并在LDAP目录服务器中生成相应的查询目录。
(3)交易控制:交易双方进行交易时,需要进行身份认证时,双方都申请查询对方的数字证书。用户向LDAP目录服务器提出查询对方的请求,目录服务器在证书数据库中进行查询,若有合法的数字证书,则返回查询结果,否则,返回错误信息。
PKI能够实现身份认证、访问控制、数据保密性、数据完整性、不可否认性中的大部分功能,但在访问控制方面存在不足,这主要是因为作为PKI基础的CA证书只是绑定了用户的身份。在有些情况下,单独的身份认证技术不能完全满足系统对访问控制的要求,如基于角色的访问控制。
访问控制是在身份认证的基础上,根据身份的合法性对提出资源访问请求加以控制。访问控制只是一个总体概念,它没有描述如何进行控制。在实际应用中,一般都使用细颗粒度访问控制来对系统的安全进行控制。细颗粒度访问控制指的是将用户的访问权限进行细化,尽最大程度地做到能够对每个 IP、每个主机、每个用户、每个进程以及每个时间段进行实时监控与管理,从而保证网络资源受控、合法的使用。
通过证书对用户身份进行验证只是电子商务系统中访问控制的一部分内容,电子商务系统的访问控制核心是授权管理机制,通过授权管理机制控制用户的行为和动作。PMI(授权管理基础设施)是在 PKI发展过程中被提出并逐渐从PKI中分离出来的一个新的概念。PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一进行处理,即由资源的所有者来进行访问控制。与PKI信任相比,两者的区别主要在于PKI证明用户是谁,并将用户的身份信息保存在用户的公钥证书中;而PMI则证明这个用户有什么权限,什么属性,能干什么,并将用户的属性信息保存在属性证书中。两者结合起来的PKI/PMI系统可以很好地实现身份认证和访问控制。如果信息系统中每一个使用者都是经过认证和授权的,其操作都是符合规定的,那么就不会产生攻击性的事故,就能保证整个信息系统的安全。
网络安全隔离技术与PKI/PMI技术有机结合,能够构建完善的授权访问安全体系,从而提高数据交换的可信性,更好的促进不同安全等级网络之间的信息受控交换。如何将 PKI/PMI技术合理应用于网络安全隔离系统,可以通过两种途径,独立设备配合使用和安全隔离系统内部实现身份认证和访问控制。
(1)独立设备配合使用
网络安全隔离设备和基于PKI/PMI系统的身份认证和细颗粒度的访问控制设备作为独立的两个设备通过接口进行连接。前提条件是保证两个设备的兼容。
使用独立的 CA+RA+LDAP+SSL网关并在数据交换关键位置配置安全隔离与信息交换系统,CA+RA配置与安全隔隔离内网,SSL网关配置与外网。安全隔离系统支持SSL网关与RA+LDAP的正常访问,并支持经过SSL网关认证授权后的应用数据交换。
(2)网络安全隔离系统内部实现鉴别
将基于PKI/PMI系统的身份认证和细颗粒度的访问控制系统作为一个模块嵌入到安全隔离系统设备中。
使用独立的 CA+RA+LDAP,安全隔离与信息交换系统集成相关SSL网关相关功能,实现认证授权和数据交换的整体解决。但要充分考虑安全隔离设备功能、性能开销。
将网络安全隔离技术和PKI/PMI技术有效地结合,从而实现安全隔离状态下进行身份验证和细颗粒度的访问控制,并辅以具体应用案例。本论文研究成果应用到具体电子政务系统后,能实现系统的主动安全管理,大大提高的安全性、可控性,促进电子政务建设的健康发展。
[1]王群.计算机网络安全技术.清华大学出版社.2008.
[2]孔雷,赵锦蓉.计算机网络安全及其防范措施.计算机工程与应用.2001.
[3]邹翔,刘浩,王福.基于 PKI的网络边界安全监控方法.计算机工程.2010.