摘要：隨著互聯(lián)網(wǎng)的廣泛發(fā)展，網(wǎng)絡(luò)安全問題逐漸成為阻礙網(wǎng)絡(luò)發(fā)展的重要因素。互聯(lián)網(wǎng)深入到我們的生活、工作的各個(gè)領(lǐng)域，互聯(lián)網(wǎng)的開放性和匿名性使得我們面臨著非常嚴(yán)峻的網(wǎng)絡(luò)安全威脅。本文主要從設(shè)備端網(wǎng)絡(luò)安全角度出發(fā)，探討設(shè)備端網(wǎng)絡(luò)安全的設(shè)計(jì)。

關(guān)鍵詞：設(shè)備端；網(wǎng)絡(luò)安全；設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 22-0000-02

網(wǎng)絡(luò)安全問題的解決很大程度上需要依靠管理，嚴(yán)格管理是避免用戶降低網(wǎng)絡(luò)安全威脅的重要措施，據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)安全問題有百分之七十來自內(nèi)部，內(nèi)部問題歸根結(jié)底又是安全問題，因此從終端維護(hù)的角度加強(qiáng)網(wǎng)絡(luò)安全管理是保證用網(wǎng)安全的重要途徑。本文基于身份認(rèn)證的角度出發(fā)，基于DSF框架設(shè)計(jì)認(rèn)證手段，采用雙因子認(rèn)證方式，通過兩種認(rèn)證方式來加強(qiáng)終端用戶的認(rèn)證，通過強(qiáng)化認(rèn)證來保障設(shè)備端用戶的網(wǎng)絡(luò)安全。

1 DSF框架結(jié)構(gòu)

1.1 DSF概述

DSF是設(shè)備端安全架構(gòu)的簡(jiǎn)稱，是指為開發(fā)有安全需要的應(yīng)用程序提供開發(fā)類庫(kù)和安全架構(gòu)。通過DSF與能夠?qū)崿F(xiàn)與特定應(yīng)用程序的綁定，從而使其職能在一臺(tái)特定設(shè)備上綁定，綁定后的應(yīng)用程序便只能在該程序上運(yùn)行，未授權(quán)的拷貝是無法正常運(yùn)行應(yīng)用程序的。被綁定的應(yīng)用程序具有設(shè)備敏感性，設(shè)備敏感的應(yīng)用程序具有兩個(gè)基本特征：一是設(shè)備敏感的應(yīng)用程序數(shù)據(jù)不能被同一臺(tái)機(jī)器上的其他應(yīng)用程序訪問；二是設(shè)備敏感的程序數(shù)據(jù)不能被其他及其上的應(yīng)用程序訪問。

1.2 DSF技術(shù)體系

設(shè)備安全架構(gòu)是一個(gè)系統(tǒng)的綜合架構(gòu)，其內(nèi)部包含了多個(gè)組件的組合：安全設(shè)備（可以通過USB設(shè)備、PCI插卡、PHONEIEX生產(chǎn)的Strong BIOS來實(shí)現(xiàn)）、設(shè)備安全客戶端、設(shè)備認(rèn)證服務(wù)器、設(shè)備安全服務(wù)器。在DSF框架中需要設(shè)置設(shè)備唯一標(biāo)識(shí)ADID來生成DMK，需要將生成的DMK保存在外部硬件設(shè)備當(dāng)中，從而使得DMK只有一個(gè)版本，無法進(jìn)行復(fù)制，從而實(shí)現(xiàn)不同設(shè)備的應(yīng)用程序啟動(dòng)限制，提高設(shè)備的安全性那個(gè)。SD則是用于保存DMK的硬件設(shè)備。操作系統(tǒng)的內(nèi)核是設(shè)備驅(qū)動(dòng)程序或動(dòng)態(tài)鏈接庫(kù)，在現(xiàn)有的安全設(shè)備背景下，從SD中讀取DMK。設(shè)備認(rèn)證服務(wù)器通過和DSS合作，通過登記終端客戶設(shè)備或者注冊(cè)設(shè)備敏感的應(yīng)用程序。設(shè)備認(rèn)證服務(wù)器可以置于獨(dú)立的服務(wù)器，主要放在企業(yè)內(nèi)部或外部安全中心，通過設(shè)置設(shè)備認(rèn)證服務(wù)器可以當(dāng)出現(xiàn)DSS被攻擊的情況后，依然能夠通過DAS設(shè)備的認(rèn)證，同時(shí)可以防止任何用戶私自修改DAS數(shù)據(jù)，實(shí)現(xiàn)授權(quán)管理的統(tǒng)一性。設(shè)備安全服務(wù)器主要運(yùn)行于企業(yè)內(nèi)部，針對(duì)企業(yè)客戶提供安全服務(wù)。

1.3 DSF的運(yùn)作

DSF架構(gòu)的運(yùn)行需要幾個(gè)組件相互配合，實(shí)現(xiàn)如下功能：一是設(shè)備的登記，包括了客戶端機(jī)器和DAS的登記。主要通過在客戶端和DAS之間傳送密鑰，并且加密保存在兩邊；二是要實(shí)現(xiàn)DSS登記，包括了DSS和DAS，企業(yè)要正常使用DSS，需要通過獲得DAS許可才能進(jìn)行等級(jí)，DAS向DSS發(fā)送簽名文件，該簽名文件中包含了DSS的使用許可和許可期限；三是實(shí)現(xiàn)客戶端向DSS注冊(cè)應(yīng)用程序；四是DSS想DAS注冊(cè)應(yīng)用程序。各個(gè)組件之間的通信模式如下圖所示：

2 DSF在設(shè)備端網(wǎng)絡(luò)安全中應(yīng)用

DSF是一個(gè)網(wǎng)絡(luò)安全的結(jié)構(gòu)框架，在應(yīng)用上，筆者在此主要介紹其在網(wǎng)絡(luò)安全維護(hù)的身份認(rèn)證和訪問控制上的應(yīng)用?；贒SF的身份認(rèn)證和訪問控制，主要是應(yīng)用于基于B/S結(jié)構(gòu)的電子商務(wù)和電子政務(wù)平臺(tái)。具體操作方式是利用DSF的硬件信息作為數(shù)字認(rèn)證身份。關(guān)于身份認(rèn)證的主要流程包括了如下幾步：首先以用戶名和密碼組合的方式向系統(tǒng)提出申請(qǐng)，管理員接到來自用戶的申請(qǐng)后進(jìn)行審批，判斷用戶是否能夠通過審核，使用該系統(tǒng)，其次審批通過后由系統(tǒng)向用戶發(fā)布許可證，許可證由20位的密碼文件組成，用戶再次登錄，輸入用戶名和密碼，下載許可證，提交設(shè)備登記，登記時(shí)由管理員驗(yàn)證客戶端的許可證，最后進(jìn)行設(shè)備應(yīng)用程序的注冊(cè)，注冊(cè)成功后，用戶為系統(tǒng)的授權(quán)用戶，從而能夠登錄系統(tǒng)，在設(shè)備上正常使用應(yīng)用程序。訪問控制主要是對(duì)應(yīng)用系統(tǒng)的內(nèi)部資源進(jìn)行后臺(tái)控制，訪問控制是對(duì)用戶使用應(yīng)用程序的內(nèi)部資源范圍的控制和合理協(xié)調(diào)。在本設(shè)計(jì)中對(duì)訪問的控制，主要是針對(duì)系統(tǒng)內(nèi)部各個(gè)功能模塊而言，按照用戶的身份進(jìn)行控制，其實(shí)現(xiàn)的方式主要采用的是JSP+JAVABEAN，應(yīng)用的數(shù)據(jù)庫(kù)系統(tǒng)是ORCLE8I。

基于客戶端的用戶管理主要包括了以下幾個(gè)組成部分：用戶權(quán)限管理、用戶角色管理、權(quán)限組管理以及部門管理。用戶管理主要是指用戶申請(qǐng)用戶名和密碼，后臺(tái)能夠根據(jù)用戶的具體情況，對(duì)用戶進(jìn)行刪除、修改和用戶維護(hù)的工作；用戶組管理則主要是將分散的用戶歸于一個(gè)用戶組，將用戶分成不同的組，將用戶分類、分等級(jí)，不同的用戶等級(jí)組享有不同的權(quán)限，系統(tǒng)后臺(tái)能夠?qū)τ脩艚M進(jìn)行添加、刪除和修改等后臺(tái)維護(hù)工作。權(quán)限組管理則主要是指將用戶的權(quán)限模塊分配給每一個(gè)用戶組，一個(gè)用戶組只能使用相關(guān)的權(quán)限組內(nèi)的功能模塊，系統(tǒng)主要對(duì)這些用戶組權(quán)限模塊進(jìn)行調(diào)整、修改和添加刪除等操作。用戶權(quán)限管理是針對(duì)客戶端用戶進(jìn)行權(quán)限管理，是對(duì)組內(nèi)權(quán)限的細(xì)化和分化，是對(duì)用戶組內(nèi)權(quán)限功能以外的權(quán)限的設(shè)置；部門管理則是對(duì)部門進(jìn)行分類添加和修改，部門是用戶和用戶組的歸屬，系統(tǒng)通過統(tǒng)一維護(hù)和合理分配，能夠?qū)崿F(xiàn)權(quán)限的最優(yōu)管理。

上述應(yīng)用實(shí)例主要是針對(duì)身份認(rèn)證和權(quán)限管理，通過DSF框架系統(tǒng)能夠提高對(duì)用戶認(rèn)證和權(quán)限的優(yōu)化管理，通過提高設(shè)備端的用戶認(rèn)證安全性，調(diào)整和維護(hù)用戶端的權(quán)限，從而保護(hù)設(shè)備端應(yīng)用程序不受攻擊，提高設(shè)備端應(yīng)用程序的安全性。DSF應(yīng)用最適合的領(lǐng)域是針對(duì)電子出版物、流媒體以及應(yīng)用程序的版權(quán)維護(hù)，通過DSF能夠?qū)?gòu)買電子出版物、流媒體、應(yīng)用程序的使用權(quán)限進(jìn)行保護(hù)，購(gòu)買者購(gòu)買使用權(quán)，從而將版權(quán)和購(gòu)買用戶的額計(jì)算機(jī)硬件設(shè)備進(jìn)行綁定，實(shí)現(xiàn)此類應(yīng)用程序的排他性。

3 結(jié)語

綜上所述，二十一世紀(jì)是一個(gè)互聯(lián)網(wǎng)開放的時(shí)代，網(wǎng)絡(luò)正在改變著我們的生活方式和工作方式，從商業(yè)機(jī)構(gòu)到個(gè)人都應(yīng)用網(wǎng)絡(luò)參與電子商務(wù)、炒股、辦公等，網(wǎng)絡(luò)在帶給我們極大的便利的同時(shí)也不可避免地讓我們面臨著網(wǎng)絡(luò)安全的威脅。本文提出的基于DSF的框架，在用戶授權(quán)和權(quán)限管理上具有重要意義，設(shè)計(jì)框架的安全維護(hù)過程是一個(gè)通過生成數(shù)字身份，通過第三方進(jìn)行認(rèn)證的過程。雖然DSF框架在設(shè)備端網(wǎng)絡(luò)安全的維護(hù)上還存在較多漏洞的，但是作為一個(gè)低成本的架構(gòu)在市場(chǎng)上仍然具有較大的競(jìng)爭(zhēng)力。因?yàn)榛ヂ?lián)網(wǎng)自身 的特殊性，網(wǎng)絡(luò)系統(tǒng)沒有絕對(duì)的安全性，身份認(rèn)證也并不是完全就能規(guī)避設(shè)備端的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是關(guān)鍵在于通過加強(qiáng)技術(shù)和管理來提升設(shè)備端的網(wǎng)絡(luò)安全，解決網(wǎng)絡(luò)安全問題。

參考文獻(xiàn)：

[1]楊海軍，力立.尋求防患于未然之計(jì)一構(gòu)建補(bǔ)丁管理的架構(gòu)[J].數(shù)據(jù)通信，2005，02.

[2]劉宏偉，衛(wèi)國(guó)斌.可信計(jì)算在VPN中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用，2006，26，12.

[3]陳捷.可信安全網(wǎng)絡(luò)分析與設(shè)想[J].信息戰(zhàn)論壇，2007.

[4]李軍.漸成熱門的網(wǎng)絡(luò)端點(diǎn)安全技術(shù)計(jì)算機(jī)安全，2005，01：47.

[5]萬濤.網(wǎng)絡(luò)中身份認(rèn)證技術(shù)的研究[D].西安電子科技大學(xué)，2003-01.

[6]趙亮，茅兵，謝立.訪問控制研究綜述[J].計(jì)算機(jī)工程，2004，Vo13o伽0.2），l-2-99.