1、 研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 1 应用安全服务模式 的 研究 与实现 清华得实科技股份有限公司 闵京华 摘要: 本文作者 首先 分析 了 应用安全的风险和需求, 并提出了 CA+AAs 的应用安全体系构架。然后从 安全系统 与应用系统结合的角度,提出了 纵向安全服务模式和横向安全服务模式 的概念 , 论述了完全独立于应用、无需应用系统二次 编程 开发的横向安全服务模式的优越性 。最后 介绍了 横向安全服务模式的 实现方案和 相关产品 。 关键词: 应用安全、安全服务模式 、公钥基础设施 PKI、网络应用安全平台
2、 。 一、 引言 从概念上讲,网络信息安全由两大层面组成 : 一个是 保证信息运行 安全 的层面 ,称 为 网络安全;另一个 是保证信息使用 安全 的层面 ,叫做信息安全 。网络安全保证信息载体 (包括处理载体、存储载体、传输载体和输入输出载体)的 安全运行;信息安全是建立在网络安全之上,保证信息 自身的安全使用 。 将上述网络安全和信息安全的概念进一步细化,便形成 了 如 表 1 所示 的安全概念架构。 网络安全按层次划分,由低向高分为物理层安全、网络层安全和系统层安全。信息安全针对信息的使用,是应用层安全。 贯穿网络安全和信息安全 各层 的是安全管理,因为所有层次都涉及安全配置、安全审计和
3、安全监控等。 上述的各安全层都有相应的安全措施及其安全产品 ,表 2 给出了各种安全措施在 表 1 所示的安全 概念架构 中的定位。 表 1 安全 概念架构 划分角度 层面 层次 贯穿 概念名称 信息安全 应用层安全 安全管理 网络安全 系统层安全 网络层安全 物理层安全 表 2 安全措施定位 安全概念 安全措施 安全概念 信息安全 应用层安全 数字证书体系 故 障 恢 复 、 容 灾 备 份 、 应 急 响 应 安 全 配 置 、 安 全 审 计 、 安 全 监 控 安全管理 应用安全平台 内容过滤控制 门户网站保护 网络安全 系统层安全 漏洞扫描 病毒防治 基于系统的入侵检测 网络层安全
4、防火墙 基于网络的入侵检测 非法拨号监控 物理层安全 门控系统 研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 2 本文的研究定位在应用层安全 (简称应用安全) ,解决信息安全中的问题,特别是应用层安全系统与应用系统结合过程中遇到的问题。 二、 应用安全的风险分析 随着开放性极强的互联网的普及和计算机系统自身脆弱性的暴露,来自网上的各 种各样的风险日趋严重。如信息窃听、数据篡改、身份假冒、越权访问、病毒传播、入侵探测、拒绝服务攻击等等,这些风险是众所周知的,已经有很多的论述书籍和研究文章。这里我们将不做进一步的解释和分析,只是指出
5、已经有很多的安全风险普遍存在,应用系统需要采取各种相应的安全措施进行防范。 这里,我们强调的是另一种容易被忽视的风险,即应用系统引入安全机制过程中的风险。常规的安全系统与应用系统的耦合是在应用程序中通过 API 方式调用由安全厂家提供的各种安全功能模块来实现,这就需要应用开发商具备一定的安全知识和技能,才能将这些不同 的安全功能模块有机地结合,实现应用系统所需的安全特性和级别。目前,普遍的应用开发商毕竟不是专业安全厂商,加之安全问题比应用问题更加复杂,因此,上述耦合方式不仅增加了应用系统的复杂度和应用开发商的负担,而且在耦合过程中容易出现新的安全漏洞,不能保证最终系统达到预想的安全水准。所以,
6、在安全体系设计时,要充分考虑“应用安全实现的可控性”,以便尽可能地降低安全系统与应用系统结合过程的风险。 三、 应用安全的需求分析 随着我国信息化的不断深入,以及电子商务、电子政务等现代网络应用的推广和普及,信息安全的重要性被越来越多的 行业用户所重视。特别地,关系到国家政治、经济、军事和社会安全的国家涉密信息系统中的信息安全更是受到我国政府部门的高度重视。但是,目前国内自主的网络信息安全产品和解决方案主要集中在网络层安全和系统层安全,如防火墙、入侵检测、防病毒等,应用层安全的产品和解决方案相对薄弱,已经不能适应网络应用的迅猛发展。 从最终用户的角度看,应用层要实现高水准的信息安全,除了安全系
7、统本身在常规安全功能,包括 ISO7498-2 中提出的五大安全功能(即身份认证、访问控制、数据机密性、数据完整性和抗否认),加上安全审计和安全管理,及这 些功能的实现机制方面要达到一定安全水准外,安全系统与应用系统的结合 风险必须考虑。 为了把两者结合过程对安全水准的影响降到最低点,保证结合后的系统达到安全系统提供的最高安全水准,需要把握如下几点原则: 保持 安全系统与应用系统 的相互独立性, 避免功能 实现上 的交叉或 跨越 。 避免程序级别的低层接口,免除两者结合时应用系统的二次编程开发。 增强安全系统的适用性,最大程度地提供 便捷可靠的结合方式 。 四、 应用安全的 体系构架 : CA
8、+AAs 公钥基础设施 PKI( Public Key Infrastructure)作为国际上公认和普 遍采用的信息安全保障体系的基础设施 ,提供信任和安全服务, 可 广泛应用于电子政务、电子商务、电子社区、远程教育、远程医疗等各种网络应用的安全体系中。我国政府正在大力推动电子政务向网上事务处理这一高级阶段发展,同样采用 PKI 作为其信息安全的基础设施。 PKI 利用公钥理论和技术建设具有通用性的、高水准的安全基础设施,目标是全面提高建立在其上的应用系统的安全水平。 对于 影响 PKI 推广的因素分析如下: 正面因素 :互联网的普及和应用 ,特别是电子商务和电子政务等高安全级别的应用, 对
9、无用户边界的互联网的信任机制提出了 严格 要求, PKI 也因此应运而生。 PKI 中的可信第三方 证书认证中心 CA( Certificate Authority), 可以解决无边界用户 的 身份确定问题,提供了信任 的 基础。 因此, 当今 网络应用 ,特别是基于互联网的应用 需要 PKI。 研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 3 负面因素 : PKI 自身机制具有一定的复杂度,除了 CA的建设、维护和管理,使用好 CA颁发的数字证书也不是 一件 轻松的事情,需要一定的安全知识、技能和编程工作。因此,还不能像电力基
10、础设施 , 只要插上电源插座便可使用 ,那样 容易推广使用。 可控因素 : 如何使 CA 与应用能够安全和便捷地相结合是一个 可控制的 因素, 做的好便 成为 促进 PKI 推广的正面因素,做不好便成为阻碍 PKI 推广的负面因素。 全面的 PKI 理解应包括两 个 方面:一个是数字证书的签发和管理;另一个是数字证书的使用 。 CA 是数字证书的签发和管理机构,证书反映持有者的身份。如同国家护照管理部门与护照、信用卡公司与信用卡的关系, CA 从功能和服务上讲,只负责证书的签发和管理,证明证书与持有者的关系。 同时提供诸如加 解 密、数字签名等与证书相关的安全功能模块。但至于如何使用证书及其相
11、关的安全功能模块满足应用系统的实际安全需求,不是 CA 的任务 。 数字证书的使用 是本文的重点。 本文提出应用安全中心 AAs 概念就是为了突出和重视数字证书的 如何 使用 。与 CA 相对应, AAs 是完成面向应用的数字证书使用。 AAs 表示以身份认证中心 AA( Authentication Authority)、授权中心 AA( Authorization Authority)、审计中心 AA( Audit Authority)和 管理中心 AA( Administration Authority)等为代表的应用安全中心。 AAs 为应用系统提供面向应用的 整 套安全服务,起着 C
12、A 通向应用的桥梁 和纽带 作用。 综合上述, CA 是 应用安全服务的信 任基础, AAs 是应用安全服务的具体实现 , CA+AAs 才是对 PKI 的全面理解 (详见表 3) 。 CA、 AAs 和应用的关系如图 1 所示,即 CA是核心, AAs 是 桥梁和纽带,应用是目标。 表 3 CA+AAs 安全框架 安全功能 安全机制 名称 内容 CA+AAs 证书的签发和管理 证书认证中心( CA) 证书认证中心 ( Certificate Authority) 证书的使用 应用安全中心( AAs) 身份认证中心 ( Authentication Authority) 授权中心 ( Auth
13、orization Authority) 审计中心 ( Audit Authority) 管理中心 ( Administration Authority) 等面向应用的其他安全机制中心 图 1 CA、 AAs 和应用的关系 研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 4 五、 应用安全的服务模式 :纵向安全服务模式与横向安全服务模式 应用安全中心 AAs 为应用系统提供安全服务,其 服务模式有两种: 纵向安全服务模式; 横向安全服务模式。 1、纵向安全服务模式 纵向安全服务模式的 特点 (见图 2) 是,安全系统介于应用系统与
14、操作系统之间 ,即纵 向切入 ,以 API 程序接口的形式提供安全功能,应用系统使用 API 调用 安全系统提供的 安全模块,来实现其安全目标。 因此,应用系统 为引入安全特性,不可避免 地要进行 二次 编程 开发。 图 2 纵向安全服务模式 中安全系统的位置 纵向安全服务模式采用的系统结构如图 3 所示。 各应用系统的服务器和客户端均在程序级与安全系统结合,即 应用程序通过 API 调用安全模块。 安 全 通 道应 用 服 务 器 1应 用 服 务 器 2应 用 服 务 器 m应 用 客 户 端 1应 用 客 户 端 2应 用 客 户 端 nA P I安 全 模 块操 作 系 统应 用 程
15、序 应 用 程 序A P I安 全 模 块操 作 系 统应 用 程 序A P I安 全 模 块操 作 系 统应 用 程 序A P I安 全 模 块操 作 系 统应 用 程 序A P I安 全 模 块操 作 系 统应 用 程 序A P I安 全 模 块操 作 系 统安 全 通 道安 全 通 道安全通道安全通道图 3 纵向安全服务模式 的系统结构 纵向安全服务模 式 是一种分散的实现方式,容易导致重复和低水平的开发。也是一种被动的结研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 5 合方式,安全系统提供的安全功能模块要靠应用系统去修改
16、程序调用才能发挥作用。 综合上述分析 , 纵向安全服务模式 存在 的 问题 归纳如下 : 实现的可控性问题 :一般应用开发方不是专业安全厂商,缺乏足够的安全知识和技能 ,加之安全问题的复杂性 ,虽然有现成的安全功能模块,但也不能完全保证他们使用好这些安全功能模块,真正达到保护应用信息的目的。一旦应用系统中某个应用出现安全漏洞,那么整个应用系统的安全水准就会降到这个最低点,这就是所谓安全体系的木桶效应。 系统的 可维护性问题 :新的安全威胁不断出现,安全系统需要相应地不断升级。因此,安全系统是动态的,不是一成不变的。由此导致的安全功能模块或其 API 的变更,会引起应用系统与安全相关各部分的 重
17、新安装、或重新 编译 、甚至重新 编写,给应用系统 安全性的维护造成极大的困难甚至混乱。在这种情况下,就更难避免安全漏洞的出现。 2、横向安全服务模式 横向安全服务模式的 的 特点 (见图 4) 是, 安全系统介于 应用客户端和应用服务器之间 ,即横向切入 ,以安全过滤器的形式为应用系统提供安全 服务 ,无 API 程序 级 接口,也 就 无需应用系统 为此 进行 再 次 编程 开发 ,而是通过对安全过滤器按照应用的安全策略进行安装和配置即可。 图 4 横向安全服务模式中安全系统的位置 横向安全服务模式采用的系统结构如图 5 所示。与纵向安全服务模式不同,各应用系统不在程序级与安全系统结合,因
18、此应用系统的服务器程序和客户端程序均不需要修改。 安 全 通 道应 用 服 务 器 1应 用 服 务 器 2应 用 服 务 器 m应 用 客 户 端 1应 用 客 户 端 2应 用 客 户 端 n安全通道安全通道应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统安 全 域安 全 过 滤 器图 5 横向安全服务模式的系统结构 研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 6 横向安全服务模式 是一种集中的实现方式,
19、 可避免重复和低水平的开发 。也是一种主动的结合方式,只需配置安全 系统,不需修改应用系统程序 ,便能提供安全服务。 横向安全服务模式的基本工作原理为:通过 客户端 配置或客户端安全代理,应用客户端的请求不是直接送往应用服务器,而是送到安全过滤器,经过安全过滤器依据 事先设置 的 安全控制策略进行过滤并通过之后,才能被送往应用服务器 ,否则拒绝应用请求 。 横向安全服务模式中的安全过滤器 提供如下功能和服务: 安全通道 : 应用客户端与安全过滤器之间的通道是 加密通道,保证 它们之间 通信的安全性。 安全域 :为需要保护的 资源( 应用服务器 及其上的信息资源) 提供安全空间, 可 通过 系统
20、和网络的 配置将被保护 的 资 源纳入安全 空间 。 在 进行系统和网络配置时,必须保证 应用客户端的请求 只能 经过安全过滤器才能 进入安全域,在物理网络上不能有旁路或后门。 集中管理 :可将用户、资源以及用户对资源的访问权限在逻辑上统一管理,实施统一的安全策略。 分布控制 :可将安全功能的实现机制分散部署,实施分布式的安全控制 ,提高安全系统的可用性和可靠性 ,防止性能瓶颈和单点失效 。 横向安全服务模式的 优越性 体现在 如下方面 : 获得高性能价格比 :横向安全服务模式提供的全套和高质量的安全功能,既可以免去应用开发方重复开发各自的安全功能,又可以得到高水平的和不断 升级的安全功能。高
21、水平的安全功能的开发难度通常高于应用功能本身。根据统计,高安全需求的应用系统如果自行开发安全功能,其开发量平均占总开发量的二分之一以上。使用横向安全服务模式将极大简化有安全需求的应用系统的开发,提高开发效率,降低开发和维护成本,同时保证安全功能的高质量。 实施统一安全策略 :横向安全服务模式提供的集中管理和分布控制功能,可以实施统一的安全策略,避免安全孤岛和安全弱点的出现,从而保证 系统 整体的安全水准。安全孤岛出现是因为应用系统自行开发独自的、非标准的安全功能,不能与其他应用系统进行互操作,导 致应用系统之间的交互安全没有保证,因此全局的安全也无法保证。安全弱点出现是因为应用系统自行开发的安
22、全功能很难达到高水准的安全级别,容易产生安全的薄弱环节。按照木桶效应(木桶中的水准与最低木板的高度相等), 系统 整体的安全水准等于最薄弱环节的安全水准。采取集中管理和实施统一安全策略是解决安全孤岛和安全弱点的有效途径。 可持续发展 :横向安全服务模式的安全系统独立于应用系统,便于应对新的安全需求,开发新的或增强的安全功能,从而保证安全体系的可持续发展。安全系统升级换代后,运行其上的应用系统的安全功能也随之自动升级换 代。 六、 应用安全 服务模式的实现与应用 由北京清华得实科技股份有限公司(以下简称清华得实)自主研制和开发的“ 网络应用安全平台 WebST” 是一款 实现应用安全中心 AAs
23、 的 典型 产品。 WebST 采用横向安全服务模式,其系统结构如图 6 所示。 该系统由安全认证服务器、安全控制服务器、安全管理服务器、安全管理控制台和安全客户端,以及用户注册数据库和授权策略数据库组成。 WebST 安全服务器系统 实现了横向安全服务模式中的安全过滤器,包括安全认证服务器、安全控制服务器和安全管理服务器,提供面向应用的整套安全服务。 WebST 安 全客户 端截获应用客户端访问安全域中应用服务器上被保护资源的请求,经由安全通道提交给 WebST 安全服务系统进行安全过滤,即身份认证和访问控制,决定该请求是否允许通过。 WebST 安全管理控制台 提供统一用户注册、统一资源目
24、录、统一授权策略、用户分组管理、研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 7 用户分级管理和系统设置等安全管理功能。 应 用 服 务 器 1应 用 服 务 器 2应 用 服 务 器 m应 用 客 户 端 1应 用 客 户 端 2应 用 客 户 端 n应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统应 用 程 序操 作 系 统安 全 域W e b S T 安 全 服 务 器 系 统W e b S T 安 全 客 户 端W e b S T
25、 安 全 管 理 控 制 台W e b S T s 安 全 客 户 端W e b S T 安 全 客 户 端用 户 注 册数 据 库授 权 策 略主 数 据 库访 问 请 求数 字 证 书访 问 结 果资 源 访 问访 问 结 果复 制 权 限获 得 权 限授 权 策 略从 数 据 库授 权 策 略从 数 据 库授 权 策 略从 数 据 库用 户 信 息安 全 通 道安 全 通 道安 全 通 道设 置 权 限注 册 用 户和 资 源认 证 请 求 用 户 凭 证安 全 管 理 服 务 器安 全 认 证 服 务 器安 全 控 制 服 务 器安 全 控 制 服 务 器安 全 控 制 服 务 器安
26、全 服 务 器安 全 服 务 器 安 全 服 务 器图 7 WebST 的系统结构 该产品通过了国家信息安全机构的评测,获得了相关证书,得到了专家的好评: “ 网络应用安全平台 WebST 产品定位明确、功能完备、性能稳定, 已在有关单位实际应用。该平台技术处于国内领先水平、达到国际先进水平。”(摘自 WebST 的“科学技术成果鉴定书”中的专家鉴定意见)。 WebST 已经在教育、政府、军队、公安、企业、电子政务等行业和领域中广泛应用。 以 WebST为核心的安全解决方案在 全国网上招生安全系统 自 2000 年 已经运行了三年,基本满足了全国网上招生应用系统对网络和信息安全的要求,在普通高
27、校网上录取工作中发挥了积极的作用。三年来,在全国网上招生期间,未发生过假冒身份、数据窃取、信息篡改等任何信息安全事件,防护效果显著。由于不需要应用系统修改程序 ,对应用方有一种“不知不觉的安全”效果。 清华得实 本着 CA+AAs 的信息安全理念,积极地与地方 CA、行业 CA 和 CA 厂商开展合作 ,为 PKI 在我国电子政务和电子商务的 应用 推广 而 努力 。目前, WebST 已经能够使用 北京数字证书认证中心 BJCA(北京 CA)和 上海市电子商务安全证书管理中心 SHECA( 上海 CA)颁发的数字证书提供应用安全服务。 七、 结论 应用层安全系统与应用系统 的 结合 过程 是
28、有风险 的 ,会影响到最终系统的 整体 安全性,所以必研发中心战略研究室 闵京华 ( 2003/6/14) 应用安全服务模式的研究 与实现 清华得实科技股份有限公司 8 须加以考虑。 CA+AAs 的应用安全体系构架 为 CA 与应用的结合提供了安全和便捷的解决方案 , 可有效降低结合过程的风险 ,对 PKI 的推广有着积极的促进作用。本文提出的横向安全服务模式为 应用安全中心 AAs 的实现开辟了新的途径,与传统的纵向安全服务模式相比具有明显的优越性。北京清华得实科技股份有限公司自主研制和开发的 “网络应用安全平台 WebST” 是一款 基于横向安全服务模式实现应用安全中心 AAs 的优秀产
29、品 ,得到了实践检验 的成熟产品 ,支持多家权威 CA 证书的通用产品 。 作者简介: 闵京华, 1984 年 7 月和 1987 年 6 月分别获得清华大学计算机系的学士和硕士学位。 1987 年 7 月至 1991 年 9 月在清华大学计算机系 任教。 1991 年10 月赴日本攻读博士学位,就读于东京大学。 1995 年 3 月取得博士学位,同时获得日立制作所(即日立公司)的 HIVIPS(日立高级外国人访问学者)资格。 1995 年 4 月至 2000 年 12 月以 HIVIPS 研究员身份工作于日立制作所中央研究所。 2000 年 12 月归国,自 2000 年 12 月至今工作于 北京 清华得实科技股份有限公司,任高级研究员。 联系方法 : 电子邮件: minjhth- 或 minieee.org 电话: 010-62988822 转 7007 传真: 010-82899313
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。