對虛擬應用網絡中的安全技術研究

目前面向企業的虛擬信息技術解決方案大多基于B/S模式，該模式利用一種結構化的、規范化的集成方式將各企業、各信息平臺、各種不同應用集成起來，實現虛擬企業中的動態連接。但是這些研究的重點都在于信息、數據和應用的集成，而往往忽略了虛擬企業中的信息安全問題，多數通過系統完成后對系統安全漏洞等進行打補丁的方式添加必要的安全措施。

本文基于虛擬應用網絡（Virtual Application Network，VAN）的概念，對VAN基礎上的安全集成信息系統進行了分析與研究。

一、VAN技術概述

1.1 特點分析

隨著信息技術的發展，虛擬專用網絡（VPN）技術被廣泛應用在涉及通信的多種領域中。VPN提供了這樣一種環境，在該環境中，信息的存儲會受到控制，只允許具有共同利益的共同體內部在同層實體進行連接。信息系統在公共網絡進行信息傳輸時，通常采用基于IP層的隧道式VPN平臺。但是這種實現方式很容易與其他網絡層技術產生兼容性問題，而且在網絡質量不好或路由路徑較遠時，應用速度無法保障，故利用VAN技術對當前的通信方式進行改進。

該VAN技術在TCP/IP應用層進行技術實現，這種實現方式相對而言與網絡基礎設施獨立，可以在應用VAN技術時可以同時應用VPN技術、防火墻技術等，還可以避免與其他網絡技術產生沖突。

VAN具有的特點包括以下幾方面：該技術可實現用戶身份的統一認證；在企業信息系統的應用邊界上對用戶進行統一的訪問控制；對信息資源進行細粒度訪問控制，可以保護信息。

1.2 基本原理

參照電路級代理的工作原理，本文的VAN技術實現了應用層的會話數據流代理，該種方式可以隔離客戶和應用服務器之間的連接，使得雙方的數據通信通過網關實現。但是VAN相較于電路級代理而言，還結合了應用代理對應用協議的代理控制的優點，實現了基于應用協議的細粒度訪問控制?？蛻襞cVAN網關的會話流數據會被加密封裝，這樣就能實現應用數據的安全交互，實現用戶與應用的路由和訪問控制。

二、VAN中的關鍵技術

2.1 統一的認證與加密平臺

由于VAN的用戶身份認證機制是基于會話連接的，因此用戶發起連接的時候，VAN網關會首先對該會話進行攔截，確實用戶身份。具體的安全接口符合通用GSS-API標準，可以實現不同認證方式和加密算法的結合。

VAN網關還可以實現局域網絡與公共網絡的隔離，用戶對網關發送應用請求，網關根據用戶需要進行數據路由，建立內部之間、遠程訪問或者內外部結合的虛擬應用隧道。該隧道的建立由網關自動完成，提升了用戶端的使用體驗，使得用戶可以感覺到應用的運行是在一個統一的網絡平臺進行的。

VAN可以適應不同的安全通信模式的需求，如：用戶端到端、端到網關、甚至是網關到網關的安全通信需求；還可以實現對內網的保護和對外網的通信監控。

2.2 細粒度訪問控制

此處的細粒度訪問控制主要是基于角色的。細粒度控制部分會利用身份認證模塊首先對用戶會話進行身份認證，確認正確后為用戶角色分配適當的庫，激活角色集。然后應用協議探測模塊對用戶的會話數據流進行探測，根據返回結果確定細粒度控制依據，如應用協議版本、用戶相關參數、服務器響應參數等。最后利用用戶庫的信息和探測信息實現細粒度控制。

2.2.1訪問控制與應用協議相對獨立

本文所涉及的細粒度訪問控制具有3層數據結構，自下而上分別為應用協議相關層、應用協議抽象層和與協議獨立的控制層。其中，應用協議相關層利用協議詞法庫和協議探測模塊對用戶會話數據流進行數據解析，提取原子信息并將原子信息交給協議語法分析模塊進行分析和參數提取，提取的結果會傳入應用協議抽象層。應用協議抽象層主要對協議請求和響應進行語義抽象，而協議獨立的控制層則根據抽象出來的數據參數對用戶合法性進行確認，確認完畢向擁擠控制模塊發出指令：用戶是否有訪問權限，用戶訪問的目的資源應該采用的安全機制，建立虛擬應用隧道的相關參數等。

通過上述與應用協議相對獨立的訪問控制體系結構可以實現對應用協議的細粒度控制。

2.2.2訪問控制基于用戶角色

VAN網關還將細粒度控制與用戶角色模型相結合，實現基于角色的細粒度訪問控制。

該控制方式首先對用戶會話數據流進行攔截分析，獲得請求用戶的身份信息，根據訪問用戶的身份認證確定用戶的可能角色信息，然后網關向服務器發送用戶的訪問目的主機和目的端口信息，服務器根據接收信息確認用戶訪問對象，進而確定用戶會話需要激活的角色集。

該系統可以為每一個用戶分配一個角色集，用戶通過身份驗證后，根據會話鎖的數據對象，激活用戶角色集中的某一個子集為活動角色集，細粒度訪問控制依據該活動角色集確定訪問依據，完成訪問控制。

三、總結

本文所提出的虛擬應用網絡可以提供一個統一、安全、透明的網絡應用平臺，該平臺可以繞開訪問信息的安全級別和傳輸數據的保密性等因素實現統一的配置和管理，能夠方便的實現多用戶和多應用的連接。