數據源可信網絡安全的構建方法探究

◆周立軍

數據源可信網絡安全的構建方法探究

◆周立軍

(海軍航空大學 山東 264001)

隨著網絡數據時代的到來，傳統的防范網絡信息安全問題的方法已經開始不能有效地解決信息量越來越龐大的問題，但是數據源可信網絡安全的提出為網絡安全技術引進了新概念，那種防火墻檢測越來越復雜，病毒庫越來越大最終導致系統工作效率低下的傳統網絡信息安全防范措施已經被取締。

數據源；網絡安全；構建方法；探索

0 引言

根據相關統計，目前由于TCP/IP協議漏洞已經導致世界上很多的計算機遭到來自系統內部的破壞和攻擊，由此由微軟、IBM等各大公司成立的可信計算聯盟為了保障網絡信息安全提出了“可信計算”這一概念，從終端上構建安全芯片體系以保障終端安全性能，由此來提高系統的安全。目前在學術界對于可信網絡的定義是：“一個可信的網絡應該是網絡系統的行為及其結果是可以預期的，能夠做到行為狀態可監測、行為結果可評估、異常行為可控制[1]”由于現在對于可信網絡安全的理論不完整，所以現在我們對于可信網絡的研究重點是在用戶方面，不斷的加強對于用戶服務的安全性，把安全可控的可信網絡與目前的網絡安全體系相結合，把行為可信的安全思想構建在原有的網絡安全理論以及網絡安全技術上，設計的過程中保證系統的可操作性。保證系統的可操控、安全網絡關卡的嚴密以及可信終端的順利傳遞就構成了可信網絡的體系結構。加強數據源之間的聯系以及研究數據源之間的聯系對于如何更加安全合理地構建可信網絡結構有著重要的現實意義。

1 對于可信網絡的研究

數據、數據源以及可信網絡是一種理論概念，這些概念被用來闡述可信網絡研究方面的基本理論，數據源指的是數據的提供者，而多個屬性特征則構成了數據，可信網絡則是由數據源和數據源之間實體鏈接的有向網絡，數據源的可信度是指數據在整個可信網絡中的可信度，被稱作全局可信度，如果兩個數據源之間的數據存在一定的相似度甚至超過了一定的閾值時，這兩個數據源之間就有著本地可信度，本地可信度是由兩個數據源上下交互形成的可信度與他們之間的相似度組合形成的。

1.1 構建可信網絡的目的

目前，可信計算的出現帶來了可信網絡，各企業隨著網絡技術的進步在信息化的過程中面臨著信息的安全問題，根據各種問題構建了以信任管理為基礎的安全管理電子系統，但是由于各企業之間缺乏溝通與協作，網絡防御的整體性不能被保證，現目前網絡安全建設的發展已經開始了綜合安全系統的建設，可信網絡的推出可以實現用戶的網絡安全資源的整合與管理，以實現用戶網絡的可信度以及完善信息安全保證，解決用戶的安全需求，確保能夠有效地提高用戶的網絡安全防御能力。

1.2 可信網絡的基本思路

“可信網絡”的基本思路是以物理安全保證為基礎，確保自身擁有良好的管理性，在網絡信息平臺上進行各種操作轉換的過程中不會對于可信狀態造成影響或破壞，可新狀態會根據數據傳遞而隨之傳遞下去，保證平臺上的計算環境始終可信，而且平臺的完整性也可以得到保證，在可信平臺上無論怎么進行各種操作指令都不會損壞可信狀態，這樣就能保證網絡信息平臺的可信，從而也能保證終端可信，這樣就能形成信任傳遞的網絡機制，接下來所要解決的問題就是確保終端可信時如何保證信任鏈在信任網絡中準確無誤地傳遞下去。

1.3 可信網絡的構建方案

目前，為了網絡信息安全，辦理電子政務都是需要建立在專用網絡基礎上。為了能夠在局域網范圍上構建可信網絡，我們可以在局域網上設置服務器用來管理信任信息，對于當地局域網的可信終端要做好集中式認證與管理以節省資源提高效率，把局域網內的所有安全終端集中在一起；對于在廣域網范圍內建立可信網絡，可以將可信網關建立在局域網的路由器上，利用局域網的路由器將信任關系延伸到廣域網，總之無論是廣域網還是局域網都需要對于安全終端設置集中管理，同時要依靠傳統的專用網絡作為構建基礎從而構建可信安全網絡。互聯網到了目前也已經隨著科學技術的發展與網絡技術的進步迅猛傳播，為了實現資源的共享，網絡則需要實行全面透明的共享服務、共享資源，為了更好地保證信息在內網與外網之間的共享能夠得到保障，我們需要將可信網絡技術應用于分布式共享網絡中，該技術最大的難點仍然是如何保證信任鏈的傳遞，確保信任鏈能夠在大范圍的分布式共享網絡中準確地傳遞。這種大范圍的分布式共享網絡有自己專有的數據安全機制以及傳輸機制，在構建可信分布式共享網絡的過程中，可以將分布式共享網絡的安全機制與可信網絡相結合，可以對于分布式網絡的權利和策略描述語言加以改造，從而實現信任鏈在分布式共享網絡之間的傳遞。

2 可信網絡模型

當數據源之間有著直接性的上下文交互的時候，或者兩個數據源之間所提供的數據或者行為的相似度超過一定的閾值時，這個時候數據源之間就可以建立直接性質的聯系，如果在這個過程中發現某個數據源的數據存在不可靠性，可信網絡很快就能對數據源賦以懲罰系數，降低數據源在某一段時間內的可信度，當該數據源提供的數據可信時，可信網絡就會恢復該數據源的可信度[3]。可信網絡主要用管理系統、安全產品、網絡設備以及用戶四個環節來確保安全管理系統的安全性與信任性，確保可信網絡的安全接入與有效擴展，加強信息系統的保護，防止用戶的敏感信息的泄露。圖1是信任鏈的傳遞方式。

圖1 信任鏈的傳遞方式

在確認好信任載體之后，然后進行系統結構的設計，整個安全結構系統的核心是安全過濾器，其部分功能分別是：客戶端代理接受用戶訪問請求建立安全加密通道；認證代理決策用戶是否擁有訪問權；認證服務器憑借數據庫信息進行雙向身份認證并為用戶發放認證憑證，安全管理服務器則用于系統的安全管理。只有在服務器和用戶上安裝了認證代理才能確保控制用戶訪問資源，終端訪問應用系統過程如圖2。

圖2 系統設計

對于身份認證機制的實現則需要依靠憑證獲得機制和身份鑒別極致共同實現，而對于訪問控制機制則需要將訪問的授權和身份認證相互分離，給用戶分配合適的角色與權限相聯系，在結構中安全結構的實現則需要在客戶端和服務器之間建立安全過濾器，通過發放的用戶憑證進行應用系統的訪問。通過可信平臺和身份令牌多重身份認證從而實現應用系統和資源的可控性訪問，通過對于身份認證的管理實現可信網絡在安全管理方面的控制，對網絡實施統一管理，確保了企業網絡安全制度的落實，保證資源訪問的可監控性，保證用戶訪問資源的機密性。

3 結論

綜上所述，可信網絡技術仍然有待發展，對于可信網絡的研究發展道路還很漫長，但是可信網絡有著光明的前途，只有逐漸完善可信操作系統以及可信應用軟件，可信網絡技術才能夠得到發展與應用，才能構建出真正的數據源可信可控網絡，相信隨著網絡技術的迅猛發展，可信網絡也可以逐漸得到完善。

[1]唐贊玉，劉宏.多階段大規模網絡攻擊下的網絡安全態勢評估方法研究[J].計算機科學，2018.

[2]張哲.面向異構數據源的網絡安全態勢研究分析[J].中國新通信，2016.

[3]程曉榮，李天琦.電網數據可信性度量模型研究[J].華北電力大學學報(自然科學版)，2017.

[4]許衛，許辰銘，王素瓊.基于Jpcap的入侵檢測數據源獲取方法[J].昆明冶金高等專科學校學報，2017.