周培源，彭凱鋒

（華中科技大學(xué) 信息與系統(tǒng)技術(shù)研究所，湖北 武漢 430074）

虛擬實(shí)驗(yàn)平臺信息安全架構(gòu)設(shè)計(jì)

周培源，彭凱鋒

（華中科技大學(xué) 信息與系統(tǒng)技術(shù)研究所，湖北 武漢 430074）

依托“十一五”國家科技支撐計(jì)劃重點(diǎn)項(xiàng)目《虛擬實(shí)驗(yàn)教學(xué)環(huán)境關(guān)鍵技術(shù)研究與應(yīng)用示范》，構(gòu)建一個開放、共享、高安全性的虛擬實(shí)驗(yàn)共享平臺，使用戶對實(shí)驗(yàn)的使用從傳統(tǒng)的分散小群體模式提升到按需使用跨區(qū)域第三方運(yùn)營的共享模式。本文提出了基于USB Key的CA認(rèn)證體系，設(shè)計(jì)了虛擬實(shí)驗(yàn)網(wǎng)絡(luò)的安全結(jié)構(gòu)和試驗(yàn)平臺的身份認(rèn)證系統(tǒng)。用戶通過USB Key認(rèn)證登錄后，即可使用本域內(nèi)或遠(yuǎn)程的并行計(jì)算環(huán)境，按照系統(tǒng)提供的標(biāo)準(zhǔn)服務(wù)規(guī)范，與實(shí)驗(yàn)系統(tǒng)遠(yuǎn)程交互。

虛擬實(shí)驗(yàn)平臺；USB Key；CA認(rèn)證體系；身份認(rèn)證系統(tǒng)

傳統(tǒng)的實(shí)驗(yàn)教學(xué)模式下，不同教育機(jī)構(gòu)的師資力量和硬件資源參差不齊，并且缺乏必要的教學(xué)交流和信息流通，使得好的教學(xué)方案和硬件設(shè)施不能普及，同時也浪費(fèi)了大量的人力和物力資源。因此，優(yōu)化與重整科技基礎(chǔ)資源，構(gòu)建一個開放、共享的教育平臺已成為我國科技工作的當(dāng)務(wù)之急。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，傳統(tǒng)的分散小規(guī)模的教育方式急需向跨區(qū)域、跨平臺遠(yuǎn)程交互方向轉(zhuǎn)變。正是在這種形勢發(fā)展的推動下，作為傳統(tǒng)實(shí)驗(yàn)教學(xué)的革新產(chǎn)品，虛擬實(shí)驗(yàn)應(yīng)運(yùn)而生。

由于實(shí)驗(yàn)平臺的使用者是互聯(lián)網(wǎng)用戶，面對的是身份不同的用戶需求，涉及到網(wǎng)絡(luò)安全和信息的安全傳輸，因而在試驗(yàn)平臺的組網(wǎng)、管理和運(yùn)營等方面均要考慮到安全性的要求。

本文依托“十一五”國家科技支撐計(jì)劃重點(diǎn)項(xiàng)目《虛擬實(shí)驗(yàn)教學(xué)環(huán)境關(guān)鍵技術(shù)研究與應(yīng)用示范》，設(shè)計(jì)了虛擬實(shí)驗(yàn)網(wǎng)絡(luò)安全架構(gòu)和基于USB Key的虛擬實(shí)驗(yàn)平臺的身份認(rèn)證系統(tǒng)。集成虛擬實(shí)驗(yàn)教學(xué)、管理、運(yùn)營平臺，形成虛擬實(shí)驗(yàn)教學(xué)第三方公共服務(wù)模式及運(yùn)營機(jī)制的虛擬實(shí)驗(yàn)系統(tǒng)。

1 虛擬試驗(yàn)平臺安全需求分析

虛擬實(shí)驗(yàn)平臺集群規(guī)模大，用戶數(shù)以百萬，身份多樣，包括學(xué)校、政府、企業(yè)、教師、學(xué)生等等，因此，用戶身份驗(yàn)證、檔案管理復(fù)雜，必須建立第三方開放的虛擬實(shí)驗(yàn)公共服務(wù)模式和運(yùn)營機(jī)制，同時要求實(shí)驗(yàn)過程中數(shù)據(jù)的產(chǎn)生和課程成績的管理必須具備高可信度。目前，構(gòu)建虛擬實(shí)驗(yàn)平臺主要面臨的問題有：（1）教育實(shí)驗(yàn)資源的集成、整合和共享；（2）虛擬實(shí)驗(yàn)運(yùn)營管理平臺中應(yīng)用模塊的可互操作性；（3）形成虛擬實(shí)驗(yàn)可伸縮、可定制、可擴(kuò)展的運(yùn)營管理平臺。因而實(shí)驗(yàn)平臺的構(gòu)建復(fù)雜，安全性要求高，所以本文選擇建立技術(shù)成熟的CA認(rèn)證體系[1]，采用USB Key攜帶數(shù)字證書的認(rèn)證方案[2-3]。

虛擬實(shí)驗(yàn)平臺的運(yùn)營過程主要與三種角色交互，即上實(shí)驗(yàn)課的用戶（學(xué)生），實(shí)驗(yàn)輔導(dǎo)、考評學(xué)生實(shí)驗(yàn)的老師及教務(wù)管理老師，系統(tǒng)配置、維護(hù)、運(yùn)行等各種管理人員。其中用戶分為學(xué)歷教育用戶和非學(xué)歷教育用戶。

學(xué)歷教育用戶，一般為在校學(xué)生，便于集中管理、統(tǒng)一設(shè)置教學(xué)計(jì)劃。由于學(xué)生的流動性大，所以學(xué)生的信息由配備有USB Key的學(xué)校管理員上報到后臺服務(wù)器，后臺服務(wù)器系統(tǒng)根據(jù)學(xué)生的相關(guān)信息建立信息數(shù)據(jù)庫，學(xué)生再憑借學(xué)號和密碼的方式登錄實(shí)驗(yàn)平臺進(jìn)行試驗(yàn)。

非學(xué)歷教育用戶最大的特點(diǎn)是其社會性和分散性。學(xué)員的學(xué)歷結(jié)構(gòu)差異大，專業(yè)結(jié)構(gòu)以及年齡分布分散。這部分用戶可以向運(yùn)營方申請成為會員，運(yùn)營方為會員建立會員檔案，并發(fā)放存儲數(shù)字證書的USB Key。會員根據(jù)需求到相應(yīng)的虛擬實(shí)驗(yàn)室選擇實(shí)驗(yàn)桌確定實(shí)驗(yàn)內(nèi)容，運(yùn)營方提供即時虛擬實(shí)驗(yàn)服務(wù)。

如果該試驗(yàn)平臺某些模塊需要收費(fèi)和成績評定，為了防止用戶的抵賴和篡改，需要使用數(shù)字簽名技術(shù)對實(shí)驗(yàn)結(jié)果、成績等重要信息進(jìn)行簽名。

2 虛擬實(shí)驗(yàn)平臺網(wǎng)絡(luò)安全架構(gòu)

虛擬實(shí)驗(yàn)平臺的組網(wǎng)引入“三縱三橫兩個中心”[4]的信息安全保障技術(shù)。如圖1所示，根據(jù)處理信息安全等級的不同，應(yīng)用環(huán)境可劃分為核心應(yīng)用區(qū)域、專用應(yīng)用區(qū)域和公共應(yīng)用區(qū)域，每個應(yīng)用區(qū)域都有統(tǒng)一的安全策略和安全防護(hù)機(jī)制。系統(tǒng)設(shè)置安全管理中心和密碼管理中心。其中，安全管理中心負(fù)責(zé)提供認(rèn)證策略、授權(quán)策略、實(shí)時訪問控制策略、審計(jì)策略等管理配置服務(wù)；密碼管理中心負(fù)責(zé)提供互聯(lián)互通密碼配置、公鑰證書和傳統(tǒng)的對稱密鑰的管理，為信息系統(tǒng)認(rèn)證和對信息的機(jī)密性與完整性保護(hù)提供密碼服務(wù)。

核心區(qū)域和應(yīng)用區(qū)域通過局域網(wǎng)相互連接，采用統(tǒng)一的安全策略。安全策略獨(dú)立于所處理的信息的類型和級別，單一物理設(shè)備可以位于不同的應(yīng)用區(qū)域之內(nèi)。本地和遠(yuǎn)程用戶訪問某個區(qū)域內(nèi)的資源時，必須滿足該區(qū)域的安全策略。同一區(qū)域內(nèi)的不同應(yīng)用不僅要遵循自己的安全策略，而且要遵循區(qū)域統(tǒng)一的安全策略。

這樣可以容易在不同層次以及不同區(qū)域之間部署物理/邏輯安全防范措施，形成水平和垂直兩個方向的多層次的保護(hù)，使得高風(fēng)險節(jié)點(diǎn)的信息安全風(fēng)險被局限在相應(yīng)的區(qū)域內(nèi)或?qū)哟紊?，而不至于到處蔓延?/p>

圖1 虛擬實(shí)驗(yàn)平臺的組網(wǎng)結(jié)構(gòu)

3 虛擬實(shí)驗(yàn)平臺中的身份認(rèn)證系統(tǒng)設(shè)計(jì)

3.1 CA系統(tǒng)的設(shè)計(jì)

CA是整個虛擬實(shí)驗(yàn)平臺安全保障的核心。CA系統(tǒng)將建設(shè)一個CA中心（certification authority）和一個RA中心（registration authority），CA系統(tǒng)的所有模塊可以安裝在同一臺服務(wù)器上，也可以在多臺服務(wù)器上安裝。為了保證系統(tǒng)的安全，CA根服務(wù)器必須位于核心區(qū)域，子CA位于專用區(qū)域。根CA與外界物理隔離，專用區(qū)域CA采用邊界控制技術(shù)與外界邏輯隔離，管理員通過帶有數(shù)字證書的USB Key 認(rèn)證后訪問CA服務(wù)器，進(jìn)行證書申請、管理等權(quán)限內(nèi)的操作。

CA系統(tǒng)采用模塊化結(jié)構(gòu)設(shè)計(jì)，由最終用戶、RA管理員、CA管理員、注冊中心（RA）、認(rèn)證中心（CA）等構(gòu)成，其中注冊中心（RA）和認(rèn)證中心（CA）又包含相應(yīng)的模塊，系統(tǒng)架構(gòu)如圖2所示。

圖2 CA系統(tǒng)構(gòu)架

CA系統(tǒng)提供包括證書簽發(fā)、證書生命周期管理、證書吊銷列表（CRL）查詢服務(wù)、目錄查詢服務(wù)、CA管理、密鑰管理和日志審計(jì)等功能。在本系統(tǒng)中，CA發(fā)放的證書存放在USB KEY中，具備高安全性和可靠性，同時兼具高擴(kuò)張性，整個C A系統(tǒng)支持多級CA和RA。

圖3 CA層次結(jié)構(gòu)

認(rèn)證體系采用3層結(jié)構(gòu)：第一層根CA，處于離線狀態(tài)，具有權(quán)威性和品牌特性；第二層是由根CA簽發(fā)的子CA（如域間CA），處于在線狀態(tài)，它是簽發(fā)系統(tǒng)用戶證書的CA，這一層CA由管理員發(fā)布到CA證書發(fā)布中心，供域間認(rèn)證和用戶查詢；第三層為用戶證書，由子CA簽發(fā)。如圖3所示。

3.2 認(rèn)證系統(tǒng)設(shè)計(jì)

用戶是通過Internet中的Web服務(wù)器集群鏈接到可以提供服務(wù)的不同域內(nèi)的Intranet網(wǎng)，因此用戶的操作是基于所有開放的服務(wù)，無需關(guān)心底層的功能實(shí)現(xiàn)。在身份認(rèn)證上除了權(quán)限差異外，都遵循統(tǒng)一的認(rèn)證規(guī)范。

圖4 認(rèn)證系統(tǒng)框架圖

認(rèn)證框架圖如圖4所示，認(rèn)證系統(tǒng)主要包括USB Key 、Web服務(wù)器、CA服務(wù)器、管理中心（域服務(wù)器）、邊界控制器（入口節(jié)點(diǎn)）、應(yīng)用服務(wù)器和數(shù)據(jù)庫。其中：

Web服務(wù)器：注冊、發(fā)布每個域提供的服務(wù)、資源列表，每個域信任的認(rèn)證中心，每個域的入口節(jié)點(diǎn)的信息。

管理中心：管理員通過管理中心對CA服務(wù)器和后臺數(shù)據(jù)庫進(jìn)行權(quán)限內(nèi)的管理。同時提供對用戶申請資源和提交作業(yè)的應(yīng)答。

CA服務(wù)器：認(rèn)證中心。

邊界控制器：信息進(jìn)入離開區(qū)域或機(jī)構(gòu)的網(wǎng)絡(luò)節(jié)點(diǎn)。常采用的信息保障技術(shù)包括:防火墻、邊界護(hù)衛(wèi)、病毒/惡意代碼防御、入侵檢測、互聯(lián)控制等。

數(shù)據(jù)庫：建立用戶信息數(shù)據(jù)庫和控制信息數(shù)據(jù)庫，以及實(shí)驗(yàn)應(yīng)用數(shù)據(jù)庫。

應(yīng)用服務(wù)器：計(jì)算節(jié)點(diǎn)集群，實(shí)時提供用戶的應(yīng)用要求。

USB Key：存放數(shù)字證書。

認(rèn)證流程主要包括如下環(huán)節(jié)：

（1）用戶在客戶端通過虛擬實(shí)驗(yàn)的Web服務(wù)器集群查詢到服務(wù)信息；

（2）Web服務(wù)器發(fā)出回應(yīng)，并出示服務(wù)器證書，顯示W(wǎng)eb服務(wù)器的真實(shí)身份。同時，要求用戶提交用戶證書；

（3）客戶端自動驗(yàn)證服務(wù)器證書，并采用安全連接方式（HTTPs方式）訪問信息系統(tǒng)（安全管理中心），進(jìn)行系統(tǒng)登錄；

（4）驗(yàn)證登錄的信息系統(tǒng)的真實(shí)性。如果驗(yàn)證為真，用戶選擇保存在USB KEY上的用戶證書，進(jìn)行提交；

（5）信息系統(tǒng)驗(yàn)證用戶提交的用戶證書，判斷用戶的真實(shí)身份；

（6）用戶身份驗(yàn)證通過后，認(rèn)證中心解析用戶證書，獲得用戶信息，根據(jù)用戶信息，查詢信息系統(tǒng)的訪問控制列表（ACL），獲取用戶的訪問授權(quán)；

（7）獲得用戶的訪問權(quán)限后，在用戶瀏覽器和信息系統(tǒng)服務(wù)器之間建立SSL連接，用戶可以訪問到請求的資源；

（8）身份認(rèn)證和訪問控制流程結(jié)束，用戶成功登錄信息系統(tǒng)。

以上認(rèn)證的過程主要針對遠(yuǎn)程登錄的教務(wù)員或非學(xué)歷教育的用戶，以學(xué)歷教育用戶為例。其流程如下：

（1）學(xué)生信息庫建立。教務(wù)員通過USB Key登錄到響應(yīng)資源的管理中心，將需要做實(shí)驗(yàn)的學(xué)生名單（學(xué)號、姓名等身份信息）上報到后臺服務(wù)器，后臺服務(wù)器系統(tǒng)根據(jù)學(xué)生的相關(guān)信息建立信息數(shù)據(jù)庫（賬號）；

（2）學(xué)生實(shí)驗(yàn)帳號激活。學(xué)生上實(shí)驗(yàn)課時需要教師或?qū)嶒?yàn)室管理員通過USB key登陸系統(tǒng)，激活學(xué)生賬號，設(shè)置實(shí)驗(yàn)內(nèi)容及實(shí)驗(yàn)時間，學(xué)生才能登陸系統(tǒng)進(jìn)行實(shí)驗(yàn)；

（3）學(xué)生登陸。學(xué)生登陸界面輸入學(xué)號、密碼等相關(guān)信息，后臺服務(wù)器根據(jù)將接受到的信息與數(shù)據(jù)庫存儲信息比對，如果正確則允許學(xué)生用戶使用該試驗(yàn)平臺。

考慮到時效性和安全性，CA中心、應(yīng)用服務(wù)器以及后臺數(shù)據(jù)庫的管理員既可直接通過管理中心認(rèn)證登錄進(jìn)行管理，也可以通過Web服務(wù)器進(jìn)行認(rèn)證登錄。但是根CA服務(wù)器和一些重要信息備份必須與其他資源物理隔離，所以對于這部分資源的管理一般采取現(xiàn)場認(rèn)證管理。

4 結(jié)語

虛擬實(shí)驗(yàn)平臺集群規(guī)模大，要形成可伸縮、可定制、可擴(kuò)展的虛擬實(shí)驗(yàn)運(yùn)營管理平臺，其搭建過程復(fù)雜，安全性要求高。本文設(shè)計(jì)的虛擬實(shí)驗(yàn)網(wǎng)絡(luò)安全結(jié)構(gòu)可以很好的解決遠(yuǎn)程并行計(jì)算環(huán)境的安全交互和運(yùn)營管理。由于實(shí)驗(yàn)平臺面對的用戶身份多樣，分為學(xué)歷用戶和非學(xué)歷用戶，且用戶對實(shí)驗(yàn)平臺的使用和需求各異，針對運(yùn)營方面臨的運(yùn)營困難和安全性的要求，本為提出了基于USB Key（CA認(rèn)證體系）的試驗(yàn)平臺身份認(rèn)證系統(tǒng)。很好的解決了運(yùn)營過程中各級管理權(quán)限混淆，層次不清的難題，以及根據(jù)用戶需求不同制定不同實(shí)驗(yàn)方案的途徑。

對于CA認(rèn)證而言，其認(rèn)證效率受證書鏈長度的影響。顯然，證書鏈越短，認(rèn)證的效率越高。本文提出的三級證書結(jié)構(gòu)很好的解決了效率的問題。這種布局避免了二級結(jié)構(gòu)帶來的證書臃腫的弊端，不利于管理，一旦受損，經(jīng)濟(jì)損失慘重。各個域的CA由根CA發(fā)放，域內(nèi)用戶的數(shù)字證書由域CA簽發(fā)，這樣便于證書的管理，也有利于整個實(shí)驗(yàn)平臺的安全組網(wǎng)，很好地滿足了實(shí)驗(yàn)平臺的擴(kuò)展性要求。從總體而言，該認(rèn)證框架具有結(jié)構(gòu)簡單、認(rèn)證效率高、成本低、高安全、高可擴(kuò)張性和兼容性的特點(diǎn)。

[1] 荊繼武, 林璟鏘, 馮登國. PKI技術(shù)[M]. 北京: 科學(xué)出版社, 2008.

[2] 張志紅.智能卡安全技術(shù)及在PKI中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(6):9-12.

[3] Steffen Frischat. The next generation of USB security tokens[J]. Card Technology Today, 2008, 20(6): 10-11.

[4] 沈昌祥. 基于可信平臺構(gòu)筑積極防御的信息安全保障框架[J]. 信息安全與通信保密, 2004(9):17-18.

[5] Tosic V, Ma W, Pagurek B. Web service offerings infrastructure-a management Infrastructure for XML web services[J].IEEE/IFIP Network Operations and Management SymPosium, 2004.

[6] Thompson M, Essiari A, Mudumbai S. Certificate-based authorization policy in a PKI environment [J]. ACM Transactions on Information and System Security. 2003,6(4):566-588.

[7]Zhao Y, Liu JQ. An operating system trusted security model for important sensitive information system[C]. In the proceedings of IsDPE 2007, 465-468.

[8] Li MeiHong, Liu JiQiang. USB key-based approach for software Protection[J]. IEEE,Digital Object Identifier:10. 1109/ICIMA. 2009. 5156582. 2009: 151-153.

[9] Polk W T, Hastings N E, MalPani A Public key infrastructures that satisfy security goals Internet Computing[J]. IEEE, 2003, 7(4): 60-67.

[10] Young-SukShin. Virtual experiment environment’s design for science education[J]. IEEE, 2004, 2(3): 62-67.

[11] Dawei Zhang. Network Security Middlewate Based on USB Key[J]. IEEE Digital Object Identifier:10.1109/sec.2008, 8: 77-81.

[12] 楊義先, 鈕心忻. 網(wǎng)絡(luò)安全理論與技術(shù)[M]. 北京: 人民郵電出版社, 2003.

[13] 楊帆. USBKEY體系研究與技術(shù)實(shí)現(xiàn)[D]. 武漢: 武漢大學(xué), 2004.

[14] 鐘元生. 電子商務(wù)信任管理模型研究[M]. 合肥: 中國科學(xué)技術(shù)大學(xué)出版社, 2005.

[15] 周敏清. 基于USB智能卡的文件加密方法[J]. 科技廣場，2006(7):30-32.

[16] 馬曉陽. 基于網(wǎng)絡(luò)的虛擬電子實(shí)驗(yàn)室的構(gòu)建與應(yīng)用[J].電子科技,2008,(11).

Design of Information Security Architecture for Virtual Experiment Platform

ZHOU Pei-yuan, PENG Kai-feng

(Institute of Information & System Technology, Huazhong University of Scievice and Technology, Wuhan Hubei 430074, China)

Relying on key projects of the “Eleventh Five-Year” National Science and Technology Supportive Key Project Key Technology Research and Practice Demonstration of the Virtual Experiment and Teaching Environment, the paper aims to construct an open, mutual sharing and highly-secure virtual experiment sharing platform, which enable users to promote the traditional separate small group mode to cross-regional sharing mode of third-party operating in accordance with demand. This paper proposes the CA certification system based on USB key by designing a security architecture of virtual experiment network and an identity authentication system of trial platform. Therefore, the users are able to take advantage of regional or remote parallel computing environment after logging in USB Key certification and accomplish remote interaction with the experimental system in accordance with standard services provided by the system specifications.

virtual experiment platform；USB Key；CA certification system；identity authentication system

TP309

A

1009－5160(2010)03－0045－04

周培源(1965-)，男，副教授，研究方向：嵌入式系統(tǒng)與信息安全.

國家科技支撐計(jì)劃“虛擬實(shí)驗(yàn)教學(xué)環(huán)境關(guān)鍵技術(shù)研究與應(yīng)用示范”(2008BAH29B00).