一種基于邏輯安全域劃分的分布式安全實(shí)現(xiàn)方案

王曉紅

（山西工程職業(yè)技術(shù)學(xué)院 計算機(jī)工程系，太原030009）

當(dāng)前網(wǎng)絡(luò)應(yīng)用已經(jīng)空前龐大，政府、企業(yè)、個人的各種應(yīng)用如雨后春筍，層出不窮，它在給大家?guī)肀憷耐瑫r，也帶來了不可忽視的威脅和破壞［1］，例如上網(wǎng)的數(shù)據(jù)，或遭刪除或被復(fù)制，數(shù)據(jù)和系統(tǒng)的安全性和自身的利益都受到嚴(yán)重的威脅。尤其是在網(wǎng)絡(luò)爆發(fā)的年代，各個企業(yè)及政府由于考慮到多個獨(dú)立應(yīng)用的存在制約了自身的發(fā)展，提出了整合的概念，將各個不同的系統(tǒng)通過數(shù)據(jù)、資源、系統(tǒng)等方式進(jìn)行整合。但是整合以后，需要考慮整合前的用戶身份和整個大系統(tǒng)的有效權(quán)限等問題［2］。因此考慮安全再也不能僅僅從單個安全功能和安全范圍來考慮安全問題，而應(yīng)從整體上來考慮?；诖吮疚奶岢隽嘶诎踩騽澐值姆植际桨踩Ｐ汀?/p>

筆者提出的分布式安全模型主要有如下優(yōu)點(diǎn)：

1）安全域劃分。本文安全域劃分是邏輯區(qū)域的劃分，與具體計算機(jī)或地理區(qū)域無關(guān)，這樣能夠更好地控制用戶訪問邊界，適合應(yīng)用系統(tǒng)整合，具有動態(tài)調(diào)整能力。安全域中安全管理各自獨(dú)立，解決應(yīng)用系統(tǒng)整合以后，雖然共享部分資源，但仍然存在私密信息保護(hù)。

2）認(rèn)證機(jī)制。通常采用的PKI（public Key Infrastructure）公鑰基礎(chǔ)設(shè)施是一種基于公鑰密鑰算法原理的技術(shù)，完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)（CA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)和應(yīng)用接口構(gòu)成。構(gòu)建PKI系統(tǒng)也必須圍繞這5大系統(tǒng)來構(gòu)建，但是遺憾的是該系統(tǒng)并沒有提及分布式的實(shí)現(xiàn)方式，尤其是跨安全域的分布式實(shí)現(xiàn)方案，本文正是針對這種情況進(jìn)行了擴(kuò)展，安全體系具有良好的信息共享、協(xié)作能力，能夠從傳輸層和應(yīng)用層對數(shù)據(jù)和數(shù)據(jù)通道進(jìn)行安全保護(hù)。

3）授權(quán)機(jī)制。授權(quán)體系采用了授權(quán)回溯的機(jī)制，實(shí)現(xiàn)了跨域授權(quán)；授權(quán)體系采用了崗位、角色、用戶聯(lián)合的授權(quán)機(jī)制。利用崗位來授權(quán)，方便用戶操作；利用角色來授權(quán)，可以減少授權(quán)步驟，直接用戶授權(quán)，可以使授權(quán)更加靈活。

1 安全域劃分

1．1 傳統(tǒng)意義的安全域劃分

根據(jù)2006年1月由全國各級公安機(jī)關(guān)組織開展了全國范圍內(nèi)各行業(yè)、企業(yè)信息系統(tǒng)的基礎(chǔ)信息調(diào)研工作，并先后出臺了《信息系統(tǒng)安全保護(hù)等級定級指南（試用稿）》、《信息系統(tǒng)安全等級保護(hù)基本要求（試用稿）》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則（送審稿）》、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南（送審稿）》等指導(dǎo)性文件［3］。安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制盒邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略［4］。廣義點(diǎn)的安全域是具有相同的業(yè)務(wù)要求和安全要求的系統(tǒng)要素的集合，這些要素包括網(wǎng)絡(luò)區(qū)域、主機(jī)和系統(tǒng)、人和組織、物理環(huán)境、策略和流程、業(yè)務(wù)和使命等諸多因素［5］。

安全域的劃分需要從劃分安全計算域、劃分安全用戶域、劃分安全網(wǎng)絡(luò)域三部分綜合考慮［6－7］。

1）劃分安全計算域。根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)功能實(shí)現(xiàn)機(jī)制、保護(hù)等級程度進(jìn)行安全計算域的劃分，一般分為核心處理域和訪問域，其中數(shù)據(jù)庫服務(wù)器等后臺處理設(shè)備歸入核心處理域，前臺直接面對用戶的應(yīng)用服務(wù)器歸入訪問域；｛參考：局域網(wǎng)訪問域可以有多種類型，包括：開發(fā)區(qū)，測試區(qū)，數(shù)據(jù)共享區(qū)，數(shù)據(jù)交換區(qū)，第三方維護(hù)管理區(qū)，VPN接入?yún)^(qū)等；局域網(wǎng)的內(nèi)部核心處理域包括：數(shù)據(jù)庫，安全控制管理，后臺維護(hù)區(qū)（網(wǎng)管工作區(qū)）等，核心處理域應(yīng)具有隔離設(shè)備對該區(qū)域進(jìn)行安全隔離，如防火墻，路由器（使用ACL），交換機(jī)（使用VLAN）等。

2）劃分安全用戶域。根據(jù)業(yè)務(wù)系統(tǒng)的訪問用戶分類進(jìn)行安全用戶域的劃分，訪問同類數(shù)據(jù)的用戶終端、需要進(jìn)行相同級別保護(hù)劃為一類安全用戶域，一般分為管理用戶域、內(nèi)部用戶域、外部用戶域。

3）劃分安全網(wǎng)絡(luò)域。安全網(wǎng)絡(luò)域是由連接具有相同安全等級的計算域和（或）用戶域組成的網(wǎng)絡(luò)域。網(wǎng)絡(luò)域安全等級的確定與網(wǎng)絡(luò)所連接的安全用戶域和（或）安全計算域的安全等級有關(guān)。一般同一網(wǎng)絡(luò)內(nèi)劃分三種安全域：外部域、接入域、內(nèi)部域。

通過上述安全域的劃分，可以把一個復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)安全問題轉(zhuǎn)化為較小區(qū)域更為單純的安全保護(hù)問題，從而更好地控制網(wǎng)絡(luò)安全風(fēng)險，降低系統(tǒng)風(fēng)險。但是這種安全域的劃分，須在系統(tǒng)成立之初進(jìn)行劃分，需要對先用網(wǎng)絡(luò)進(jìn)行大范圍的重構(gòu)，成本較高。傳統(tǒng)意義的安全域劃分，側(cè)重物理網(wǎng)絡(luò)的改造，不能滿足當(dāng)前系統(tǒng)整合的需要。本文提出的安全域劃分是邏輯區(qū)域的劃分，安全用戶域劃分與具體物理節(jié)點(diǎn)或區(qū)域無關(guān)，能有效解決整合帶來的上述問題。

1．2 本文安全域劃分

筆者所提出的每個安全域主要包含五大模塊：CA模塊、本地資源授權(quán)模塊、跨域授權(quán)模塊、資源代理模塊、應(yīng)用系統(tǒng)模塊等。

1）CA模塊。主要負(fù)責(zé)簽發(fā)證書或代理證書、認(rèn)證證書、管理已頒發(fā)證書的機(jī)關(guān)。制定政策和具體步驟來驗(yàn)證、識別用戶身份，并對用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。同時管理用戶登陸或認(rèn)證。

2）本地資源授權(quán)模塊。主要負(fù)責(zé)制定本地資源的授權(quán)方案，如：本地XX崗位、XX角色、或XX用戶是否能夠?qū)X本地資源進(jìn)行XX操作。

3）跨域授權(quán)模塊。主要負(fù)責(zé)制定跨區(qū)域資源的授權(quán)方案，如：本地XX崗位、XX角色、或XX用戶是否能夠?qū)X異地資源進(jìn)行XX操作。

4）資源代理模塊。主要負(fù)責(zé)代表用戶進(jìn)行資源訪問。

5）應(yīng)用系統(tǒng)模塊。主要負(fù)責(zé)處理用戶請求，完成后臺系統(tǒng)與用戶的人機(jī)交互操作。

每個安全域都擁有自己的唯一的CA模塊和跨域授權(quán)模塊，其它模塊可以根據(jù)具體應(yīng)用的需求擁有多個。如圖1所示。

圖1 安全域劃分

本文所描述的安全方案中包含的認(rèn)證方案和授權(quán)方案都是建立在上述安全域劃分基礎(chǔ)上的。

筆者提及的安全域僅僅是一個邏輯上的概念，屬于安全用戶域范疇，并不存在物理上部署限制問題，可以把任意系統(tǒng)劃分進(jìn)某個安全域。每個安全域之間相互獨(dú)立，沒有從屬關(guān)系，只存在并列關(guān)系，擁有較強(qiáng)的伸縮性能。由于每個安全域的認(rèn)證和授權(quán)都是單獨(dú)維護(hù)，不僅僅解決了由于系統(tǒng)龐大帶來的集中式管理的開銷，提高了管理效率，也充分保障了信息的保密性，符合當(dāng)前科學(xué)化管理的宗旨。另外，系統(tǒng)每個安全域都提供了安全管理工具，大大提高了系統(tǒng)自動化管理的程度。

2 分布式認(rèn)證模型

筆者提出的認(rèn)證模型是借鑒于Kerberos認(rèn)證機(jī)制，它要求系統(tǒng)建立一個中心認(rèn)證服務(wù)器，并用以用戶和服務(wù)器相互認(rèn)證。傳統(tǒng)的身份認(rèn)證僅僅是對客戶端身份的認(rèn)證，并沒有對服務(wù)器本身進(jìn)行認(rèn)證，很容易遭到攻擊。另外，kerberos認(rèn)證機(jī)制在網(wǎng)絡(luò)上并沒有傳遞密碼，甚至是被加密的密碼，直接利用私鑰和公鑰計算配合，完成雙方的認(rèn)證。

但是，Kerberos的認(rèn)證機(jī)制并沒有解決大規(guī)模的跨域分布式的問題，比如：用戶跨域訪問時的用戶身份問題，僅僅局限于一個安全域下的用戶身份認(rèn)證和登陸。另外，當(dāng)前日新月異的網(wǎng)路環(huán)境，越來越龐大的系統(tǒng)，并不是一蹴而就，在某種前提下，通過兼并或合并等手段，在系統(tǒng)運(yùn)行階段，逐一升級或添置，然后又保留自己的相對獨(dú)立，這就需要認(rèn)證系統(tǒng)擁有伸縮性能。

筆者提及的分布式認(rèn)證機(jī)制主要有以下優(yōu)點(diǎn)：

1）同域中實(shí)現(xiàn)用戶的統(tǒng)一管理，每個域都有自己的用戶添加方法和策略，不能跨域決定用戶的注冊權(quán)利，這樣解決了系統(tǒng)整合后由于權(quán)責(zé)劃分不明確帶來的矛盾。

2）不僅支持同域單點(diǎn)登錄，而且還解決了用戶跨域訪問的用戶身份問題。

3）安全體系具有良好的信息共享、協(xié)作能力，能夠從傳輸層和應(yīng)用層對數(shù)據(jù)和數(shù)據(jù)通道進(jìn)行安全保護(hù)。

2．1 利用代理證書鏈機(jī)制實(shí)現(xiàn)用戶跨域身份識別

通常情況下，利用證書登陸或訪問時，為了確定用戶身份，需要用戶根據(jù)其私鑰、簽名來確認(rèn)用戶身份，但是私鑰保存在USBkey里面，而且確認(rèn)用戶身份的位置很多，在用戶訪問過程中涉及到節(jié)點(diǎn)都需要對訪問本地的用戶進(jìn)行身份確認(rèn)，因此都需要用戶簽名。而用戶輸入密碼提取私鑰只能一次，因此本系統(tǒng)采用了代理證書鏈的機(jī)制來保證用戶身份，同時也僅僅只需要用戶輸入一次密碼。具體過程如下：

用戶認(rèn)證或訪問開始時，由用戶輸入密碼，簽署代表用戶身份的信息或代理證書及私鑰，當(dāng)后續(xù)工作需要簽署用戶信息時，則由代理證書的私鑰來代表用戶簽署信息。各個節(jié)點(diǎn)需要驗(yàn)證用戶身份時，根據(jù)代理證書鏈表，來驗(yàn)證用戶。該方式利用代理證書的私鑰來簽署信息同時具有該用戶訪問的唯一憑證，不可偽造，具有一定的抵賴性、保密性。代理證書鏈的運(yùn)行機(jī)制與現(xiàn)實(shí)當(dāng)中的代理有相同功能，比如：當(dāng)你需要找人幫你辦某些業(yè)務(wù)的時候，需要您編寫自己的委托書，授予XX人XX權(quán)限，并簽名，且僅簽一次。如圖2所示。

圖2 代理證書鏈

通過上述過程，用戶在訪問過程中，每個服務(wù)器的每個線程甚至每個請求，都會很清楚地知道是誰在訪問。當(dāng)某個跨域服務(wù)器面臨跨域用戶訪問時，會利用現(xiàn)有安全框架，逆向驗(yàn)證代理證書，最后主動要求用戶所在CA進(jìn)行驗(yàn)證，從而保證用戶身份不可偽造。這里的CA模塊分為三層，形狀如一棵倒立的樹，樹根（Root）為認(rèn)證的起點(diǎn)；第二層為各個安全域的CA模塊，它的證書由Root CA頒發(fā)，職責(zé)為簽發(fā)第三層的用戶和服務(wù)器證書。由于每個CA服務(wù)器證書由整個系統(tǒng)的root證書頒發(fā)，所以它們之間相互信任。

2．2 利用隧道機(jī)制實(shí)現(xiàn)信息安全

通常的認(rèn)證系統(tǒng)都支持SSL協(xié)議，通過該協(xié)議可以解決信道的安全問題，但是如果根據(jù)每個用戶證書建立安全信道，顯然系統(tǒng)無法承載這樣的開銷。因此系統(tǒng)提出，第一，在服務(wù)器之間利用服務(wù)器證書建立安全信道，解決信息安全問題；第二，在此基礎(chǔ)上利用隧道機(jī)制解決用戶身份問題，從而保證在整個系統(tǒng)中每個一個步驟能夠確定操作的用戶身份。

“隧道”不是一個物理概念，僅僅是一個邏輯上的協(xié)議，隧道的擁有者即任務(wù)的執(zhí)行者，系統(tǒng)可以利用隧道來識別用戶的身份，唯一的開銷僅僅增加隧道的標(biāo)識，如圖3所示。這樣不僅僅減輕了服務(wù)器的載荷，實(shí)現(xiàn)了對物理連接或SSL通道的重復(fù)利用，也提升了分布式系統(tǒng)整體性能，在不降低系統(tǒng)安全性的同時，縮短了用戶或服務(wù)器訪問系統(tǒng)的時間。

圖3 安全隧道

3 分布式授權(quán)模型

分布式環(huán)境下的授權(quán)，除了需要解決不同安全域的用戶訪問異域資源的問題（跨域訪問）以外，還需要解決不同安全域用戶為了協(xié)同工作，組成一個虛擬協(xié)作環(huán)境的問題（虛擬組織問題），該環(huán)境下，可以允許組員動態(tài)加入和退出，并擁有不同權(quán)利。

本文提出的分布式授權(quán)方案是建立在X．509V4提出的 PMI（Privilege Management Infrastructure，特權(quán)管理基礎(chǔ)設(shè)施）公鑰認(rèn)證的授權(quán)模型基礎(chǔ)上的，并對 RMBC（Role－Based Access Control）進(jìn)行了擴(kuò)展。PMI解決的是用戶權(quán)限保存問題，利用屬性證書（Attribute Certificate，AC）保存用戶的權(quán)限或角色及其權(quán)限擁有的時間，RBAC解決的是分布式環(huán)境下委托授權(quán)的問題。但是通常意義的委托授權(quán)是分布式的基于角色的委托授權(quán)，并不能解決跨域委托授權(quán)的問題，對于權(quán)限細(xì)粒度的劃分也過于粗糙。因?yàn)榻巧驆徫坏膭澐?，與用戶一樣是以安全域?yàn)檫壿嬤吔绲模景踩虼嬖诘慕巧蛵徫?，在其它安全域可能不會存在，就算存在同樣名稱的角色，承擔(dān)的任務(wù)和功能很可能是不一致的，例如：生物領(lǐng)域的工程師與建筑行業(yè)的工程師角色和任務(wù)就不一樣。為了解決這個問題，本文提出了更加細(xì)粒度的委托模型，基于具體權(quán)限的委托模型，一個權(quán)限的描述可以由一個五元組構(gòu)成：What，指目標(biāo)；Who，指對目標(biāo)進(jìn)行動作行為的執(zhí)行者，該執(zhí)行者可以是人，也可以是組織、單位，也可以是一個跨域社區(qū)或虛擬組織；Action，指對目標(biāo)采取什么樣的動作；Formula，行為公式，即在什么情況下的行為；Denny，指是否拒絕。這就是一個最小的委托授權(quán)的單元。

3．1 委托授權(quán)的過程

委托授權(quán)過程分為兩種，一種為本域的委托授權(quán)，一種為跨域的委托授權(quán)。本域的委托授權(quán)一般不存在，因?yàn)橐粋€域的系統(tǒng)管理員一般只有一個，由他來指定本系統(tǒng)的所有用戶、崗位、用戶或組織授權(quán)策略，一般是直接授權(quán)。而跨域的授權(quán)過程，由于域件的控制各不相同，所以每個域之間制定的策略和資源有所不同，為了使用戶能夠跨域訪問資源，則需要通過委托授權(quán)的方式來進(jìn)行間接授權(quán)。

圖4 跨域授權(quán)過程

圖4所示為跨域授權(quán)過程，實(shí)際上包含了兩個部分，第一為本域的委托授權(quán)過程，如圖4左邊部分。首先選擇跨域的委托授權(quán)的對象，然后根據(jù)當(dāng)前本安全域已經(jīng)編寫的授權(quán)策略，選擇某條授權(quán)策略進(jìn)行轉(zhuǎn)授，選擇授權(quán)的時間限制、禁止限制和義務(wù)限制。時間限制：該轉(zhuǎn)授保持的時間，在某個時間段內(nèi)，該轉(zhuǎn)授的權(quán)限有效；禁止限制：該轉(zhuǎn)授在某種情況下不允許進(jìn)行轉(zhuǎn)授。義務(wù)限制：該轉(zhuǎn)授運(yùn)行被轉(zhuǎn)授的前提條件。第二，本域授權(quán)過程，如圖4右邊部分?？缬蚴盏睫D(zhuǎn)授的權(quán)利，包括能夠訪問資源、對資源的行為、對資源的行為時間、是否運(yùn)行再次進(jìn)行委托轉(zhuǎn)授等等；從中選擇需要某些用戶需要訪問的資源，選擇用戶／角色／崗位／組織等；最后選擇授權(quán)的時間限制，完成。

3．2 用戶跨域訪問權(quán)限檢查

跨域訪問是指用戶的跨安全域訪問，即本安全域的用戶訪問其它安全域的資源?？缬蛟L問的關(guān)鍵在于權(quán)限的檢查。當(dāng)異地用戶訪問本安全域的資源時，由于本系統(tǒng)并沒有權(quán)限對異域用戶進(jìn)行授權(quán)，需要根據(jù)用戶所在的安全域?qū)ふ移鋵傩宰C書，并進(jìn)行驗(yàn)證，具體驗(yàn)證過程實(shí)際上就是委托授權(quán)的逆過程。首先找到用戶的安全域，然后找到用戶的授權(quán)憑據(jù)，屬性證書，根據(jù)屬性證書找到權(quán)限的簽名來源，并驗(yàn)證有效性，然后依次類推，最后追溯到本安全域的委托授權(quán)事件；在對事件本身有效性檢查通過以后，則完成權(quán)限檢查過程，最后完成用戶跨域檢查的動作。

4 分布式授權(quán)策略模型

當(dāng)前很多系統(tǒng)都建立以角色為依據(jù)的授權(quán)策略，不可否認(rèn)基于角色的授權(quán)策略的優(yōu)勢，但是這種類型嚴(yán)重混淆了大規(guī)模分布式系統(tǒng)中實(shí)際運(yùn)行中崗位和角色的區(qū)別。崗位是在組織架構(gòu)下的精細(xì)崗位劃分，是業(yè)務(wù)流程控制、業(yè)績考核、預(yù)警體系的基礎(chǔ)，不同的機(jī)構(gòu)、部門下的同一職務(wù)是作為不同的崗位的。它的引入是為了讓系統(tǒng)擁有更好的系統(tǒng)擴(kuò)展，滿足現(xiàn)實(shí)復(fù)雜的組織環(huán)境。角色實(shí)際上有些相當(dāng)于崗位權(quán)限分類的概念，即具有同樣功能權(quán)限的崗位集合在一起，這樣可以減少權(quán)限設(shè)置的工作量。它是系統(tǒng)功能權(quán)限設(shè)置的基礎(chǔ)，是系統(tǒng)權(quán)限功能的初步劃分。但是他給實(shí)際應(yīng)用人員帶來迷惑，無法區(qū)分各自的職責(zé)，有可能系統(tǒng)中兩個崗位擁有的權(quán)限是一樣的，這個很常見。

鑒于上述現(xiàn)象，筆者提出了以崗位和角色為基礎(chǔ)，創(chuàng)建基于崗位和角色訪問控制策略。在崗位和角色間建立多對多的關(guān)聯(lián)，在用戶和崗位間建立多對多關(guān)聯(lián)。同時支持面向崗位、角色、用戶、組織的授權(quán)，為應(yīng)用提供了更加靈活的、符合實(shí)際管理經(jīng)驗(yàn)的方案。

5 結(jié)束語

分布式系統(tǒng)的部署分散性、異構(gòu)性及開放性，使得網(wǎng)格節(jié)點(diǎn)之間的通信，常常給攻擊者提供可乘之機(jī)。因此，節(jié)點(diǎn)之間，域之間的通訊的安全、用戶訪問權(quán)限限制尤為重要。

本系統(tǒng)已經(jīng)在上海16個檔案館及其相關(guān)區(qū)縣進(jìn)行了實(shí)施，在原有系統(tǒng)的基礎(chǔ)之上，對現(xiàn)有系統(tǒng)進(jìn)行了整合，采用了16個安全域，讓每個檔案館進(jìn)行單獨(dú)安全管理，解決了由于系統(tǒng)整合帶來的由于權(quán)限管理混亂導(dǎo)致的涉密信息泄露等問題。

［1］ Alguliev R M，Imamverdiyev Y N．E－Government information security management research challenges［C］∥AICT 2009International Conference on Application of Information and Communication Technologies，Baku：2009：1－5．

［2］ Wanhua Xu，Guoping Zhou．The Development of E－government in China：Challenges and the Future［C］∥WiCOM＇08 4th International Conference on Wireless Communications，Networking and Mobile Computing，Dalian：2008：1－3．

［3］ 國務(wù)院信息化工作辦公室．電子政務(wù)信息安全等級保護(hù)實(shí)施指南（試行）［Z］．2005．

［4］ 沈昌祥．信息安全保障建設(shè)中的幾個焦點(diǎn)問題［R］．北京：國家信息化專家咨詢委員會，2007．

［5］ 郭啟全．國家信息安全等級保護(hù)制度的貫徹與實(shí)施［R］．北京：公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局，2007．

［6］ 張海亮．威脅型安全域劃分指標(biāo)及方法的研究和案例分析［D］．重慶：重慶大學(xué)，2007．

［7］ Seongyoung sohn，Jinoh Kim，JungChan Na．Design of network security policy information model for policy－based network management［C］∥The 7th International Conference on Advanced Communication Technology（ICACT2005），Phoenix Park：2005：701－705．