应用安全服务模式的研究与实现.doc

资源描述

1、研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 1 应用安全服务模式的研究与实现清华得实科技股份有限公司闵京华摘要：本文作者首先分析了应用安全的风险和需求，并提出了 CA+AAs 的应用安全体系构架。然后从安全系统与应用系统结合的角度，提出了纵向安全服务模式和横向安全服务模式的概念，论述了完全独立于应用、无需应用系统二次编程开发的横向安全服务模式的优越性。最后介绍了横向安全服务模式的实现方案和相关产品。关键词：应用安全、安全服务模式、公钥基础设施 PKI、网络应用安全平台

2、。一、引言从概念上讲，网络信息安全由两大层面组成：一个是保证信息运行安全的层面，称为网络安全；另一个是保证信息使用安全的层面，叫做信息安全。网络安全保证信息载体（包括处理载体、存储载体、传输载体和输入输出载体）的安全运行；信息安全是建立在网络安全之上，保证信息自身的安全使用。将上述网络安全和信息安全的概念进一步细化，便形成了如表 1 所示的安全概念架构。网络安全按层次划分，由低向高分为物理层安全、网络层安全和系统层安全。信息安全针对信息的使用，是应用层安全。贯穿网络安全和信息安全各层的是安全管理，因为所有层次都涉及安全配置、安全审计和

3、安全监控等。上述的各安全层都有相应的安全措施及其安全产品，表 2 给出了各种安全措施在表 1 所示的安全概念架构中的定位。表 1 安全概念架构划分角度层面层次贯穿概念名称信息安全应用层安全安全管理网络安全系统层安全网络层安全物理层安全表 2 安全措施定位安全概念安全措施安全概念信息安全应用层安全数字证书体系故障恢复、容灾备份、应急响应安全配置、安全审计、安全监控安全管理应用安全平台内容过滤控制门户网站保护网络安全系统层安全漏洞扫描病毒防治基于系统的入侵检测网络层安全

4、防火墙基于网络的入侵检测非法拨号监控物理层安全门控系统研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 2 本文的研究定位在应用层安全（简称应用安全），解决信息安全中的问题，特别是应用层安全系统与应用系统结合过程中遇到的问题。二、应用安全的风险分析随着开放性极强的互联网的普及和计算机系统自身脆弱性的暴露，来自网上的各种各样的风险日趋严重。如信息窃听、数据篡改、身份假冒、越权访问、病毒传播、入侵探测、拒绝服务攻击等等，这些风险是众所周知的，已经有很多的论述书籍和研究文章。这里我们将不做进一步的解释和分析，只是指出

5、已经有很多的安全风险普遍存在，应用系统需要采取各种相应的安全措施进行防范。这里，我们强调的是另一种容易被忽视的风险，即应用系统引入安全机制过程中的风险。常规的安全系统与应用系统的耦合是在应用程序中通过 API 方式调用由安全厂家提供的各种安全功能模块来实现，这就需要应用开发商具备一定的安全知识和技能，才能将这些不同的安全功能模块有机地结合，实现应用系统所需的安全特性和级别。目前，普遍的应用开发商毕竟不是专业安全厂商，加之安全问题比应用问题更加复杂，因此，上述耦合方式不仅增加了应用系统的复杂度和应用开发商的负担，而且在耦合过程中容易出现新的安全漏洞，不能保证最终系统达到预想的安全水准。所以，

6、在安全体系设计时，要充分考虑“应用安全实现的可控性”，以便尽可能地降低安全系统与应用系统结合过程的风险。三、应用安全的需求分析随着我国信息化的不断深入，以及电子商务、电子政务等现代网络应用的推广和普及，信息安全的重要性被越来越多的行业用户所重视。特别地，关系到国家政治、经济、军事和社会安全的国家涉密信息系统中的信息安全更是受到我国政府部门的高度重视。但是，目前国内自主的网络信息安全产品和解决方案主要集中在网络层安全和系统层安全，如防火墙、入侵检测、防病毒等，应用层安全的产品和解决方案相对薄弱，已经不能适应网络应用的迅猛发展。从最终用户的角度看，应用层要实现高水准的信息安全，除了安全系

7、统本身在常规安全功能，包括 ISO7498-2 中提出的五大安全功能（即身份认证、访问控制、数据机密性、数据完整性和抗否认），加上安全审计和安全管理，及这些功能的实现机制方面要达到一定安全水准外，安全系统与应用系统的结合风险必须考虑。为了把两者结合过程对安全水准的影响降到最低点，保证结合后的系统达到安全系统提供的最高安全水准，需要把握如下几点原则：保持安全系统与应用系统的相互独立性，避免功能实现上的交叉或跨越。避免程序级别的低层接口，免除两者结合时应用系统的二次编程开发。增强安全系统的适用性，最大程度地提供便捷可靠的结合方式。四、应用安全的体系构架： CA

8、+AAs 公钥基础设施 PKI（ Public Key Infrastructure）作为国际上公认和普遍采用的信息安全保障体系的基础设施，提供信任和安全服务，可广泛应用于电子政务、电子商务、电子社区、远程教育、远程医疗等各种网络应用的安全体系中。我国政府正在大力推动电子政务向网上事务处理这一高级阶段发展，同样采用 PKI 作为其信息安全的基础设施。 PKI 利用公钥理论和技术建设具有通用性的、高水准的安全基础设施，目标是全面提高建立在其上的应用系统的安全水平。对于影响 PKI 推广的因素分析如下：正面因素：互联网的普及和应用，特别是电子商务和电子政务等高安全级别的应用，对

9、无用户边界的互联网的信任机制提出了严格要求， PKI 也因此应运而生。 PKI 中的可信第三方证书认证中心 CA（ Certificate Authority），可以解决无边界用户的身份确定问题，提供了信任的基础。因此，当今网络应用，特别是基于互联网的应用需要 PKI。研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 3 负面因素： PKI 自身机制具有一定的复杂度，除了 CA的建设、维护和管理，使用好 CA颁发的数字证书也不是一件轻松的事情，需要一定的安全知识、技能和编程工作。因此，还不能像电力基

10、础设施，只要插上电源插座便可使用，那样容易推广使用。可控因素：如何使 CA 与应用能够安全和便捷地相结合是一个可控制的因素，做的好便成为促进 PKI 推广的正面因素，做不好便成为阻碍 PKI 推广的负面因素。全面的 PKI 理解应包括两个方面：一个是数字证书的签发和管理；另一个是数字证书的使用。 CA 是数字证书的签发和管理机构，证书反映持有者的身份。如同国家护照管理部门与护照、信用卡公司与信用卡的关系， CA 从功能和服务上讲，只负责证书的签发和管理，证明证书与持有者的关系。同时提供诸如加解密、数字签名等与证书相关的安全功能模块。但至于如何使用证书及其相

11、关的安全功能模块满足应用系统的实际安全需求，不是 CA 的任务。数字证书的使用是本文的重点。本文提出应用安全中心 AAs 概念就是为了突出和重视数字证书的如何使用。与 CA 相对应， AAs 是完成面向应用的数字证书使用。 AAs 表示以身份认证中心 AA（ Authentication Authority）、授权中心 AA（ Authorization Authority）、审计中心 AA（ Audit Authority）和管理中心 AA（ Administration Authority）等为代表的应用安全中心。 AAs 为应用系统提供面向应用的整套安全服务，起着 C

12、A 通向应用的桥梁和纽带作用。综合上述， CA 是应用安全服务的信任基础， AAs 是应用安全服务的具体实现， CA+AAs 才是对 PKI 的全面理解（详见表 3）。 CA、 AAs 和应用的关系如图 1 所示，即 CA是核心， AAs 是桥梁和纽带，应用是目标。表 3 CA+AAs 安全框架安全功能安全机制名称内容 CA+AAs 证书的签发和管理证书认证中心（ CA）证书认证中心（ Certificate Authority）证书的使用应用安全中心（ AAs）身份认证中心（ Authentication Authority）授权中心（ Auth

13、orization Authority）审计中心（ Audit Authority）管理中心（ Administration Authority）等面向应用的其他安全机制中心图 1 CA、 AAs 和应用的关系研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 4 五、应用安全的服务模式：纵向安全服务模式与横向安全服务模式应用安全中心 AAs 为应用系统提供安全服务，其服务模式有两种：纵向安全服务模式；横向安全服务模式。 1、纵向安全服务模式纵向安全服务模式的特点（见图 2）是，安全系统介于应用系统与

14、操作系统之间，即纵向切入，以 API 程序接口的形式提供安全功能，应用系统使用 API 调用安全系统提供的安全模块，来实现其安全目标。因此，应用系统为引入安全特性，不可避免地要进行二次编程开发。图 2 纵向安全服务模式中安全系统的位置纵向安全服务模式采用的系统结构如图 3 所示。各应用系统的服务器和客户端均在程序级与安全系统结合，即应用程序通过 API 调用安全模块。安全通道应用服务器 1应用服务器 2应用服务器 m应用客户端 1应用客户端 2应用客户端 nA P I安全模块操作系统应用程

15、序应用程序A P I安全模块操作系统应用程序A P I安全模块操作系统应用程序A P I安全模块操作系统应用程序A P I安全模块操作系统应用程序A P I安全模块操作系统安全通道安全通道安全通道安全通道图 3 纵向安全服务模式的系统结构纵向安全服务模式是一种分散的实现方式，容易导致重复和低水平的开发。也是一种被动的结研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 5 合方式，安全系统提供的安全功能模块要靠应用系统去修改

16、程序调用才能发挥作用。综合上述分析，纵向安全服务模式存在的问题归纳如下：实现的可控性问题：一般应用开发方不是专业安全厂商，缺乏足够的安全知识和技能，加之安全问题的复杂性，虽然有现成的安全功能模块，但也不能完全保证他们使用好这些安全功能模块，真正达到保护应用信息的目的。一旦应用系统中某个应用出现安全漏洞，那么整个应用系统的安全水准就会降到这个最低点，这就是所谓安全体系的木桶效应。系统的可维护性问题：新的安全威胁不断出现，安全系统需要相应地不断升级。因此，安全系统是动态的，不是一成不变的。由此导致的安全功能模块或其 API 的变更，会引起应用系统与安全相关各部分的重

17、新安装、或重新编译、甚至重新编写，给应用系统安全性的维护造成极大的困难甚至混乱。在这种情况下，就更难避免安全漏洞的出现。 2、横向安全服务模式横向安全服务模式的的特点（见图 4）是，安全系统介于应用客户端和应用服务器之间，即横向切入，以安全过滤器的形式为应用系统提供安全服务，无 API 程序级接口，也就无需应用系统为此进行再次编程开发，而是通过对安全过滤器按照应用的安全策略进行安装和配置即可。图 4 横向安全服务模式中安全系统的位置横向安全服务模式采用的系统结构如图 5 所示。与纵向安全服务模式不同，各应用系统不在程序级与安全系统结合，因

18、此应用系统的服务器程序和客户端程序均不需要修改。安全通道应用服务器 1应用服务器 2应用服务器 m应用客户端 1应用客户端 2应用客户端 n安全通道安全通道应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统安全域安全过滤器图 5 横向安全服务模式的系统结构研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 6 横向安全服务模式是一种集中的实现方式，

19、可避免重复和低水平的开发。也是一种主动的结合方式，只需配置安全系统，不需修改应用系统程序，便能提供安全服务。横向安全服务模式的基本工作原理为：通过客户端配置或客户端安全代理，应用客户端的请求不是直接送往应用服务器，而是送到安全过滤器，经过安全过滤器依据事先设置的安全控制策略进行过滤并通过之后，才能被送往应用服务器，否则拒绝应用请求。横向安全服务模式中的安全过滤器提供如下功能和服务：安全通道：应用客户端与安全过滤器之间的通道是加密通道，保证它们之间通信的安全性。安全域：为需要保护的资源（应用服务器及其上的信息资源）提供安全空间，可通过系统

20、和网络的配置将被保护的资源纳入安全空间。在进行系统和网络配置时，必须保证应用客户端的请求只能经过安全过滤器才能进入安全域，在物理网络上不能有旁路或后门。集中管理：可将用户、资源以及用户对资源的访问权限在逻辑上统一管理，实施统一的安全策略。分布控制：可将安全功能的实现机制分散部署，实施分布式的安全控制，提高安全系统的可用性和可靠性，防止性能瓶颈和单点失效。横向安全服务模式的优越性体现在如下方面：获得高性能价格比：横向安全服务模式提供的全套和高质量的安全功能，既可以免去应用开发方重复开发各自的安全功能，又可以得到高水平的和不断升级的安全功能。高

21、水平的安全功能的开发难度通常高于应用功能本身。根据统计，高安全需求的应用系统如果自行开发安全功能，其开发量平均占总开发量的二分之一以上。使用横向安全服务模式将极大简化有安全需求的应用系统的开发，提高开发效率，降低开发和维护成本，同时保证安全功能的高质量。实施统一安全策略：横向安全服务模式提供的集中管理和分布控制功能，可以实施统一的安全策略，避免安全孤岛和安全弱点的出现，从而保证系统整体的安全水准。安全孤岛出现是因为应用系统自行开发独自的、非标准的安全功能，不能与其他应用系统进行互操作，导致应用系统之间的交互安全没有保证，因此全局的安全也无法保证。安全弱点出现是因为应用系统自行开发的安

22、全功能很难达到高水准的安全级别，容易产生安全的薄弱环节。按照木桶效应（木桶中的水准与最低木板的高度相等），系统整体的安全水准等于最薄弱环节的安全水准。采取集中管理和实施统一安全策略是解决安全孤岛和安全弱点的有效途径。可持续发展：横向安全服务模式的安全系统独立于应用系统，便于应对新的安全需求，开发新的或增强的安全功能，从而保证安全体系的可持续发展。安全系统升级换代后，运行其上的应用系统的安全功能也随之自动升级换代。六、应用安全服务模式的实现与应用由北京清华得实科技股份有限公司（以下简称清华得实）自主研制和开发的“ 网络应用安全平台 WebST” 是一款实现应用安全中心 AAs

23、的典型产品。 WebST 采用横向安全服务模式，其系统结构如图 6 所示。该系统由安全认证服务器、安全控制服务器、安全管理服务器、安全管理控制台和安全客户端，以及用户注册数据库和授权策略数据库组成。 WebST 安全服务器系统实现了横向安全服务模式中的安全过滤器，包括安全认证服务器、安全控制服务器和安全管理服务器，提供面向应用的整套安全服务。 WebST 安全客户端截获应用客户端访问安全域中应用服务器上被保护资源的请求，经由安全通道提交给 WebST 安全服务系统进行安全过滤，即身份认证和访问控制，决定该请求是否允许通过。 WebST 安全管理控制台提供统一用户注册、统一资源目

24、录、统一授权策略、用户分组管理、研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 7 用户分级管理和系统设置等安全管理功能。应用服务器 1应用服务器 2应用服务器 m应用客户端 1应用客户端 2应用客户端 n应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统应用程序操作系统安全域W e b S T 安全服务器系统W e b S T 安全客户端W e b S T

25、安全管理控制台W e b S T s 安全客户端W e b S T 安全客户端用户注册数据库授权策略主数据库访问请求数字证书访问结果资源访问访问结果复制权限获得权限授权策略从数据库授权策略从数据库授权策略从数据库用户信息安全通道安全通道安全通道设置权限注册用户和资源认证请求用户凭证安全管理服务器安全认证服务器安全控制服务器安全控制服务器安全控制服务器安

26、全服务器安全服务器安全服务器图 7 WebST 的系统结构该产品通过了国家信息安全机构的评测，获得了相关证书，得到了专家的好评： “ 网络应用安全平台 WebST 产品定位明确、功能完备、性能稳定，已在有关单位实际应用。该平台技术处于国内领先水平、达到国际先进水平。”（摘自 WebST 的“科学技术成果鉴定书”中的专家鉴定意见）。 WebST 已经在教育、政府、军队、公安、企业、电子政务等行业和领域中广泛应用。以 WebST为核心的安全解决方案在全国网上招生安全系统自 2000 年已经运行了三年，基本满足了全国网上招生应用系统对网络和信息安全的要求，在普通高

27、校网上录取工作中发挥了积极的作用。三年来，在全国网上招生期间，未发生过假冒身份、数据窃取、信息篡改等任何信息安全事件，防护效果显著。由于不需要应用系统修改程序，对应用方有一种“不知不觉的安全”效果。清华得实本着 CA+AAs 的信息安全理念，积极地与地方 CA、行业 CA 和 CA 厂商开展合作，为 PKI 在我国电子政务和电子商务的应用推广而努力。目前， WebST 已经能够使用北京数字证书认证中心 BJCA（北京 CA）和上海市电子商务安全证书管理中心 SHECA（上海 CA）颁发的数字证书提供应用安全服务。七、结论应用层安全系统与应用系统的结合过程是

28、有风险的，会影响到最终系统的整体安全性，所以必研发中心战略研究室闵京华（ 2003/6/14）应用安全服务模式的研究与实现清华得实科技股份有限公司 8 须加以考虑。 CA+AAs 的应用安全体系构架为 CA 与应用的结合提供了安全和便捷的解决方案，可有效降低结合过程的风险，对 PKI 的推广有着积极的促进作用。本文提出的横向安全服务模式为应用安全中心 AAs 的实现开辟了新的途径，与传统的纵向安全服务模式相比具有明显的优越性。北京清华得实科技股份有限公司自主研制和开发的 “网络应用安全平台 WebST” 是一款基于横向安全服务模式实现应用安全中心 AAs 的优秀产

29、品，得到了实践检验的成熟产品，支持多家权威 CA 证书的通用产品。作者简介：闵京华， 1984 年 7 月和 1987 年 6 月分别获得清华大学计算机系的学士和硕士学位。 1987 年 7 月至 1991 年 9 月在清华大学计算机系任教。 1991 年10 月赴日本攻读博士学位，就读于东京大学。 1995 年 3 月取得博士学位，同时获得日立制作所（即日立公司）的 HIVIPS（日立高级外国人访问学者）资格。 1995 年 4 月至 2000 年 12 月以 HIVIPS 研究员身份工作于日立制作所中央研究所。 2000 年 12 月归国，自 2000 年 12 月至今工作于北京清华得实科技股份有限公司，任高级研究员。联系方法：电子邮件： minjhth- 或 minieee.org 电话： 010-62988822 转 7007 传真： 010-82899313

展开阅读全文