目前面向企業(yè)的虛擬信息技術(shù)解決方案大多基于B/S模式，該模式利用一種結(jié)構(gòu)化的、規(guī)范化的集成方式將各企業(yè)、各信息平臺(tái)、各種不同應(yīng)用集成起來，實(shí)現(xiàn)虛擬企業(yè)中的動(dòng)態(tài)連接。但是這些研究的重點(diǎn)都在于信息、數(shù)據(jù)和應(yīng)用的集成，而往往忽略了虛擬企業(yè)中的信息安全問題，多數(shù)通過系統(tǒng)完成后對(duì)系統(tǒng)安全漏洞等進(jìn)行打補(bǔ)丁的方式添加必要的安全措施。

本文基于虛擬應(yīng)用網(wǎng)絡(luò)（Virtual Application Network，VAN）的概念，對(duì)VAN基礎(chǔ)上的安全集成信息系統(tǒng)進(jìn)行了分析與研究。

一、VAN技術(shù)概述

1.1 特點(diǎn)分析

隨著信息技術(shù)的發(fā)展，虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)被廣泛應(yīng)用在涉及通信的多種領(lǐng)域中。VPN提供了這樣一種環(huán)境，在該環(huán)境中，信息的存儲(chǔ)會(huì)受到控制，只允許具有共同利益的共同體內(nèi)部在同層實(shí)體進(jìn)行連接。信息系統(tǒng)在公共網(wǎng)絡(luò)進(jìn)行信息傳輸時(shí)，通常采用基于IP層的隧道式VPN平臺(tái)。但是這種實(shí)現(xiàn)方式很容易與其他網(wǎng)絡(luò)層技術(shù)產(chǎn)生兼容性問題，而且在網(wǎng)絡(luò)質(zhì)量不好或路由路徑較遠(yuǎn)時(shí)，應(yīng)用速度無法保障，故利用VAN技術(shù)對(duì)當(dāng)前的通信方式進(jìn)行改進(jìn)。

該VAN技術(shù)在TCP/IP應(yīng)用層進(jìn)行技術(shù)實(shí)現(xiàn)，這種實(shí)現(xiàn)方式相對(duì)而言與網(wǎng)絡(luò)基礎(chǔ)設(shè)施獨(dú)立，可以在應(yīng)用VAN技術(shù)時(shí)可以同時(shí)應(yīng)用VPN技術(shù)、防火墻技術(shù)等，還可以避免與其他網(wǎng)絡(luò)技術(shù)產(chǎn)生沖突。

VAN具有的特點(diǎn)包括以下幾方面：該技術(shù)可實(shí)現(xiàn)用戶身份的統(tǒng)一認(rèn)證；在企業(yè)信息系統(tǒng)的應(yīng)用邊界上對(duì)用戶進(jìn)行統(tǒng)一的訪問控制；對(duì)信息資源進(jìn)行細(xì)粒度訪問控制，可以保護(hù)信息。

1.2 基本原理

參照電路級(jí)代理的工作原理，本文的VAN技術(shù)實(shí)現(xiàn)了應(yīng)用層的會(huì)話數(shù)據(jù)流代理，該種方式可以隔離客戶和應(yīng)用服務(wù)器之間的連接，使得雙方的數(shù)據(jù)通信通過網(wǎng)關(guān)實(shí)現(xiàn)。但是VAN相較于電路級(jí)代理而言，還結(jié)合了應(yīng)用代理對(duì)應(yīng)用協(xié)議的代理控制的優(yōu)點(diǎn)，實(shí)現(xiàn)了基于應(yīng)用協(xié)議的細(xì)粒度訪問控制。客戶與VAN網(wǎng)關(guān)的會(huì)話流數(shù)據(jù)會(huì)被加密封裝，這樣就能實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的安全交互，實(shí)現(xiàn)用戶與應(yīng)用的路由和訪問控制。

二、VAN中的關(guān)鍵技術(shù)

2.1 統(tǒng)一的認(rèn)證與加密平臺(tái)

由于VAN的用戶身份認(rèn)證機(jī)制是基于會(huì)話連接的，因此用戶發(fā)起連接的時(shí)候，VAN網(wǎng)關(guān)會(huì)首先對(duì)該會(huì)話進(jìn)行攔截，確實(shí)用戶身份。具體的安全接口符合通用GSS-API標(biāo)準(zhǔn)，可以實(shí)現(xiàn)不同認(rèn)證方式和加密算法的結(jié)合。

VAN網(wǎng)關(guān)還可以實(shí)現(xiàn)局域網(wǎng)絡(luò)與公共網(wǎng)絡(luò)的隔離，用戶對(duì)網(wǎng)關(guān)發(fā)送應(yīng)用請(qǐng)求，網(wǎng)關(guān)根據(jù)用戶需要進(jìn)行數(shù)據(jù)路由，建立內(nèi)部之間、遠(yuǎn)程訪問或者內(nèi)外部結(jié)合的虛擬應(yīng)用隧道。該隧道的建立由網(wǎng)關(guān)自動(dòng)完成，提升了用戶端的使用體驗(yàn)，使得用戶可以感覺到應(yīng)用的運(yùn)行是在一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)進(jìn)行的。

VAN可以適應(yīng)不同的安全通信模式的需求，如：用戶端到端、端到網(wǎng)關(guān)、甚至是網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信需求；還可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的保護(hù)和對(duì)外網(wǎng)的通信監(jiān)控。

2.2 細(xì)粒度訪問控制

此處的細(xì)粒度訪問控制主要是基于角色的。細(xì)粒度控制部分會(huì)利用身份認(rèn)證模塊首先對(duì)用戶會(huì)話進(jìn)行身份認(rèn)證，確認(rèn)正確后為用戶角色分配適當(dāng)?shù)膸?，激活角色集。然后?yīng)用協(xié)議探測(cè)模塊對(duì)用戶的會(huì)話數(shù)據(jù)流進(jìn)行探測(cè)，根據(jù)返回結(jié)果確定細(xì)粒度控制依據(jù)，如應(yīng)用協(xié)議版本、用戶相關(guān)參數(shù)、服務(wù)器響應(yīng)參數(shù)等。最后利用用戶庫的信息和探測(cè)信息實(shí)現(xiàn)細(xì)粒度控制。

2.2.1訪問控制與應(yīng)用協(xié)議相對(duì)獨(dú)立

本文所涉及的細(xì)粒度訪問控制具有3層數(shù)據(jù)結(jié)構(gòu)，自下而上分別為應(yīng)用協(xié)議相關(guān)層、應(yīng)用協(xié)議抽象層和與協(xié)議獨(dú)立的控制層。其中，應(yīng)用協(xié)議相關(guān)層利用協(xié)議詞法庫和協(xié)議探測(cè)模塊對(duì)用戶會(huì)話數(shù)據(jù)流進(jìn)行數(shù)據(jù)解析，提取原子信息并將原子信息交給協(xié)議語法分析模塊進(jìn)行分析和參數(shù)提取，提取的結(jié)果會(huì)傳入應(yīng)用協(xié)議抽象層。應(yīng)用協(xié)議抽象層主要對(duì)協(xié)議請(qǐng)求和響應(yīng)進(jìn)行語義抽象，而協(xié)議獨(dú)立的控制層則根據(jù)抽象出來的數(shù)據(jù)參數(shù)對(duì)用戶合法性進(jìn)行確認(rèn)，確認(rèn)完畢向擁擠控制模塊發(fā)出指令：用戶是否有訪問權(quán)限，用戶訪問的目的資源應(yīng)該采用的安全機(jī)制，建立虛擬應(yīng)用隧道的相關(guān)參數(shù)等。

通過上述與應(yīng)用協(xié)議相對(duì)獨(dú)立的訪問控制體系結(jié)構(gòu)可以實(shí)現(xiàn)對(duì)應(yīng)用協(xié)議的細(xì)粒度控制。

2.2.2訪問控制基于用戶角色

VAN網(wǎng)關(guān)還將細(xì)粒度控制與用戶角色模型相結(jié)合，實(shí)現(xiàn)基于角色的細(xì)粒度訪問控制。

該控制方式首先對(duì)用戶會(huì)話數(shù)據(jù)流進(jìn)行攔截分析，獲得請(qǐng)求用戶的身份信息，根據(jù)訪問用戶的身份認(rèn)證確定用戶的可能角色信息，然后網(wǎng)關(guān)向服務(wù)器發(fā)送用戶的訪問目的主機(jī)和目的端口信息，服務(wù)器根據(jù)接收信息確認(rèn)用戶訪問對(duì)象，進(jìn)而確定用戶會(huì)話需要激活的角色集。

該系統(tǒng)可以為每一個(gè)用戶分配一個(gè)角色集，用戶通過身份驗(yàn)證后，根據(jù)會(huì)話鎖的數(shù)據(jù)對(duì)象，激活用戶角色集中的某一個(gè)子集為活動(dòng)角色集，細(xì)粒度訪問控制依據(jù)該活動(dòng)角色集確定訪問依據(jù)，完成訪問控制。

三、總結(jié)

本文所提出的虛擬應(yīng)用網(wǎng)絡(luò)可以提供一個(gè)統(tǒng)一、安全、透明的網(wǎng)絡(luò)應(yīng)用平臺(tái)，該平臺(tái)可以繞開訪問信息的安全級(jí)別和傳輸數(shù)據(jù)的保密性等因素實(shí)現(xiàn)統(tǒng)一的配置和管理，能夠方便的實(shí)現(xiàn)多用戶和多應(yīng)用的連接。