安全隔離狀態下的身份鑒別和細顆粒度訪問控制

劉麗娜

濟南職業學院 山東 250014

0 引言

傳統的防火墻、防病毒、漏洞掃描和系統風險評估、以至入侵檢測等技術都可以在一定程度上提供安全防護，但只是被動的防御，不能很好的保證網絡安全。被動的安全防御使得網絡管理人員不斷的通過補丁來升級系統。在這種情況下，網絡安全隔離與信息交換系統應運而生，網絡安全隔離與信息交換系統是通過現有技術進行主動防御的系統，它滿足涉密網絡與同互聯網或公眾網絡物理隔離的非涉密網絡，以及不同涉密級別網絡之間受控數據交換的迫切需求。基于需要通過可信身份鑒別而授權獲取資源的考慮，系統對用戶進行身份驗證和訪問控制，以保證用戶的合法性。PKI/PMI可以提供身份認證、訪問控制、數據保密性、數據完整性以及不可否認性等服務。因此將網絡安全隔離與信息交換技術與PKI/PMI技術相結合可以實現安全隔離狀態下的身份鑒別和細顆粒度訪問控制，進一步保障電子政務建設中國家級的信息既秘密安全、又方便工作，促進我國電子政務建設的健康發展。

1 網絡安全隔離與信息交換系統

網絡安全隔離與信息交換系統是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。系統通常布置在兩個安全級別不同的兩個網絡之間，用以截獲在網絡上傳輸的數據包，解析數據包，提取數據包中不包含連接信息的“純數據”信息，根據數據包的流向通過硬件映射隔離技術(HRI?)在內外網間進行“純數據”交換，交換后根據數據需要再重新構造連接信息，實現在兩個級別的網絡之間的安全的、完全受控的數據交換。安全隔離信息交換系統體系結構模型如圖1所示。

圖1 系統體系結構模型

系統由內端機、外端機和數據交換子系統構成，完成兩個網絡之間的安全受控數據交換：

（1）內端機與內網相連，外端機與外網相連，數據交換子系統包括專用硬件(如數據交換卡)和專用數據交換協議，專用硬件作為內端機和外端機惟一物理通道，并通過物理開關連接內端機和外端機。

（2）在內端機和外端機之間建立起完全隔離的兩條數據通道：一條僅傳輸內網到外網的數據，另一條僅傳輸外網到內網的數據。通過對數據流向的控制達到了對數據通道的完全控制。

（3）專有通信協議達到協議轉換：數據通道上由專用安全隔離交換協議保證了內網和外網之間只傳遞純數據而不傳遞網絡信息、控制信息等存在安全隱患的內容，保證和內外網間交換信息的純潔、安全、可靠。同時“網絡協議→安全隔離交換協議→網絡協議”的協議轉換也可以過濾掉絕大部分基于網絡協議漏洞的攻擊，做到了內外網間的協議隔離。

（4）在內端機和外端機上集成病毒防護、密級標識與內容過濾、安全審計日志分析等技術：系統集成有防病毒模塊，可以通過網絡和GUI管理配置界面進行病毒庫的升級；集成了國家保密局的文件密級標識檢查模塊和高效內容檢查模塊，可以對由內網送到外網的數據進行密級檢查和內容檢查，從很大程度上防止泄密；提供完善的日志分析工具，提供詳盡的網絡訪問日志、管理審計日志、內容過濾日志、攻擊檢測日志、系統運行日志查詢及圖形統計功能與提供掃描攻擊聲音報警功能。

2 基于 PKI/PMI系統的身份鑒別和細顆粒度訪問控制

為了建立一個更安全，更全面的訪問控制系統，人們提出了PKI的概念。PKI(Public Key Infrastructure)即“公開密鑰體系”，是一種遵循既定標準的密鑰管理平臺，它能夠為所有網絡應用提供加密和數字簽名等服務的密鑰和證書管理體系。PKI采用證書管理公鑰，通過第三方可信任機構--認證中心，把用戶的公鑰和用戶的其他標識信息進行捆綁，在Internet網上對用戶的進行驗證。使用PKI可以建立一個可信的網絡環境，使得人們在虛擬的網絡環境里，能夠安全地從事商務活動。PKI系統結構如圖2所示。

圖2 PKI系統結構

（1）PKI系統由注冊機構(RA)、認證機構(CA)、證書數據庫、證書目錄服務器(LDAP)等組成。

（2）申請證書流程：用戶發起請求后，系統通過瀏覽器連接到RA，RA將請求通過安全連接提交給CA，CA對用戶提交的信息進行審核，若審核通過，CA在證書上簽名并把證書存放到證書數據庫中，并在LDAP目錄服務器中生成相應的查詢目錄。

（3）交易控制：交易雙方進行交易時，需要進行身份認證時，雙方都申請查詢對方的數字證書。用戶向LDAP目錄服務器提出查詢對方的請求，目錄服務器在證書數據庫中進行查詢，若有合法的數字證書，則返回查詢結果，否則，返回錯誤信息。

PKI能夠實現身份認證、訪問控制、數據保密性、數據完整性、不可否認性中的大部分功能，但在訪問控制方面存在不足，這主要是因為作為PKI基礎的CA證書只是綁定了用戶的身份。在有些情況下，單獨的身份認證技術不能完全滿足系統對訪問控制的要求，如基于角色的訪問控制。

訪問控制是在身份認證的基礎上，根據身份的合法性對提出資源訪問請求加以控制。訪問控制只是一個總體概念，它沒有描述如何進行控制。在實際應用中，一般都使用細顆粒度訪問控制來對系統的安全進行控制。細顆粒度訪問控制指的是將用戶的訪問權限進行細化，盡最大程度地做到能夠對每個 IP、每個主機、每個用戶、每個進程以及每個時間段進行實時監控與管理，從而保證網絡資源受控、合法的使用。

通過證書對用戶身份進行驗證只是電子商務系統中訪問控制的一部分內容，電子商務系統的訪問控制核心是授權管理機制，通過授權管理機制控制用戶的行為和動作。PMI(授權管理基礎設施)是在 PKI發展過程中被提出并逐漸從PKI中分離出來的一個新的概念。PMI以資源管理為核心，對資源的訪問控制權統一交由授權機構統一進行處理，即由資源的所有者來進行訪問控制。與PKI信任相比，兩者的區別主要在于PKI證明用戶是誰，并將用戶的身份信息保存在用戶的公鑰證書中；而PMI則證明這個用戶有什么權限，什么屬性，能干什么，并將用戶的屬性信息保存在屬性證書中。兩者結合起來的PKI/PMI系統可以很好地實現身份認證和訪問控制。如果信息系統中每一個使用者都是經過認證和授權的，其操作都是符合規定的，那么就不會產生攻擊性的事故，就能保證整個信息系統的安全。

3 網絡安全隔離與PKI/PMI技術相結合

網絡安全隔離技術與PKI/PMI技術有機結合，能夠構建完善的授權訪問安全體系，從而提高數據交換的可信性，更好的促進不同安全等級網絡之間的信息受控交換。如何將 PKI/PMI技術合理應用于網絡安全隔離系統，可以通過兩種途徑，獨立設備配合使用和安全隔離系統內部實現身份認證和訪問控制。

（1）獨立設備配合使用

網絡安全隔離設備和基于PKI/PMI系統的身份認證和細顆粒度的訪問控制設備作為獨立的兩個設備通過接口進行連接。前提條件是保證兩個設備的兼容。

使用獨立的 CA+RA+LDAP+SSL網關并在數據交換關鍵位置配置安全隔離與信息交換系統，CA+RA配置與安全隔隔離內網，SSL網關配置與外網。安全隔離系統支持SSL網關與RA+LDAP的正常訪問，并支持經過SSL網關認證授權后的應用數據交換。

（2）網絡安全隔離系統內部實現鑒別

將基于PKI/PMI系統的身份認證和細顆粒度的訪問控制系統作為一個模塊嵌入到安全隔離系統設備中。

使用獨立的 CA+RA+LDAP，安全隔離與信息交換系統集成相關SSL網關相關功能，實現認證授權和數據交換的整體解決。但要充分考慮安全隔離設備功能、性能開銷。

4 結語

將網絡安全隔離技術和PKI/PMI技術有效地結合，從而實現安全隔離狀態下進行身份驗證和細顆粒度的訪問控制，并輔以具體應用案例。本論文研究成果應用到具體電子政務系統后，能實現系統的主動安全管理，大大提高的安全性、可控性，促進電子政務建設的健康發展。

[1]王群.計算機網絡安全技術.清華大學出版社.2008.

[2]孔雷,趙錦蓉.計算機網絡安全及其防范措施.計算機工程與應用.2001.

[3]鄒翔,劉浩,王福.基于 PKI的網絡邊界安全監控方法.計算機工程.2010.