摘 要：本文分析了防火墻的訪問控制，并且通過測試防火墻身份驗證的存在的諸多需要改善的地方。對于防火墻身份驗證的設計方案的探討，我在這里提出了一個全新有效的方法，通過結(jié)合防火墻技術(shù)、PKI技術(shù)，實現(xiàn)PKI技術(shù)支持下的身份認證系統(tǒng)的設計方案實現(xiàn)功能。身份認證功能這個模塊，設計的是完全獨立的這樣一個身份認證系統(tǒng)，通過應用程序?qū)臃?，和網(wǎng)絡資源的訪問控制來實現(xiàn)一個安全性比較高的要求。驗證身份服務器、客戶端和應用程序的身份驗證系統(tǒng)這三個部分，這里具有一些好的特點：采用協(xié)議分離技術(shù)和身份驗證系統(tǒng)的結(jié)合，通過不一樣的身份驗證協(xié)議來滿足不同需求，從而較好地達到高靈活性，可擴展性強的一個新的認證技術(shù)。基于明確的身份認證模塊的研究防火墻的設計理念，身份認證模塊基于防火墻的一個具體設計，涉及問題的考慮以及解決問題策略方法。

關(guān)鍵詞：身份認證；防火墻；PKI；安全性

中圖分類號：TP393.08

1 課題研究的主要內(nèi)容

1.1 防火墻模塊設計的方案

該系統(tǒng)是模塊化提取防火墻認證功能這一個部分，設計的是一個相對比較獨立的這樣身份認證系統(tǒng)，主要完成的應用層服務的具體的安全要求，及通過網(wǎng)絡資源的來實現(xiàn)這么一個訪問控制。體系認證的認證服務器，應用代理和包括三個部分客戶端。通過應用程序代理和客戶端以及認證服務器，三部分組成了體系認證的系統(tǒng)。主機在接受到在任何身份認證用戶的過程當中，用戶的認證請求是通過執(zhí)行認證這個協(xié)議來收取到的，根據(jù)數(shù)據(jù)包的數(shù)據(jù)格式被傳達到各個服務器來實現(xiàn)，在這個過程中返回的結(jié)果經(jīng)過了加密后也被傳送到客戶端。用戶一些信息的安全性參數(shù)，認證信息的所有類型的通過認證服務器實現(xiàn)了一個存儲作用，以及對響應的應用，從而達到了獲得他們的認證請求代理實現(xiàn)。應用代理位于服務器上，負責從客戶端處理數(shù)據(jù)，如果該認證請求轉(zhuǎn)發(fā)認；在資源訪問的過程當中，用戶的認證得到了允許訪問的資源的許可后，客戶端認證必定也會接受到相應的通知。

1.2 防火墻模塊的PKI技術(shù)

為了提高系統(tǒng)的靈活性和可擴展性，本系統(tǒng)通過認證協(xié)議和認證設計，實現(xiàn)了一個全新的防火墻認證系統(tǒng)功能，PKI技術(shù)和認證系統(tǒng)控制用戶角色，不同的角色的用戶訪問局域網(wǎng)（LAN）資源有不同的權(quán)限。其中，認證體系指的是認證系統(tǒng)實現(xiàn)，實現(xiàn)其主要的意思是完成身份驗證功能獨立于防火墻的一部分，一個獨立的認證服務器，以及模塊化的認證協(xié)議，防火墻與認證服務器身份驗證信息通過較多小模塊應用程序來更為便捷得實現(xiàn)以及變換。身份驗證服務器集成認證協(xié)議的設計，考慮到防火墻認證系統(tǒng)。

2 身份認證及PKI技術(shù)

2.1 身份認證的原理

身份認證其實就是在接入有效控制認證的一個基礎(chǔ)上，確定用戶是否是合法可通過的，有什么樣的訪問級別。因此，網(wǎng)絡攻擊者通常依賴于偷證明文件，來達到獲取合法用戶的用戶名和登錄的相關(guān)密碼。在我們?nèi)粘５木W(wǎng)絡當中，應用的程序一幫都會對不同的用戶進行一個不識別和驗證，因為在網(wǎng)絡交流的過程當中，都是以一種“虛擬”的方式出現(xiàn)，對方既看不多也摸不著對方的底細，因此也只能說通過網(wǎng)上一個程序后臺認證。而這種驗證其實就是一個對我們的雙方信息以及身份的一個認可驗證。防火墻過濾認證模塊以接入網(wǎng)絡的數(shù)據(jù)的內(nèi)容不只是在協(xié)議上或者是某些IP地址上面，每一個用戶在獲得不同的權(quán)限的過程中，如果能夠成功驗證通過的話，防火墻將建立一個臨時的動態(tài)訪問記錄表，在這個列表之外就會被設置為非法用戶而被隔離開來，相反在這個列表里面的用戶就可以按動態(tài)訪問列表進行訪問。

2.2 PKI技術(shù)功能的實現(xiàn)

PKI技術(shù)能夠很好地服務于各種各樣的業(yè)務應用程序中，從而實現(xiàn)一個在數(shù)據(jù)交換過程當中的完整不遺漏的性能，并且在信息傳輸過程當中實現(xiàn)一個機密不泄露的性能，最重要的是在我們交易雙方身份驗證的一個真實可靠性和不可否認性等等這些安全服務發(fā)送信息。用戶公鑰證書持有者，身份和CA的數(shù)字簽名等信息是由我們的CA認證來實現(xiàn)對用戶的一個數(shù)字證書發(fā)放以及用戶身份的一個認證，同時這個私鑰是由我們用戶自己保密。

2.3 PKI與身份認證技術(shù)的結(jié)合

身份認證是認證方的本質(zhì)的一些信息，除了自己之外的任何第三方認證方，認證方可以認證正確的秘密信息，然后對他的身份進行一個認證。

通過PKI證書身份驗證過程如下：首先第一個人將自己的數(shù)字證書以及簽名等秘密的數(shù)字信息發(fā)送給第二個人，第二個人在收到這些數(shù)字信息后，通過驗證這些信息的真實性和有效性之后，用公鑰對證書進行一個有效解密，如果正確無誤的話，那么就成功得到了法律的一個有效身份；相反如果錯誤的話就會被拒絕。

3 PKI防火墻身份認證的實現(xiàn)

3.1 系統(tǒng)設計目標

通信的安全保障以及訪問控制過程中的安全是防火墻帶給我們網(wǎng)上的安全服務，經(jīng)過防火墻授權(quán)通過后的數(shù)據(jù)具有較高的可靠性、完整性、以及同行交流拒絕訪問的安全保證。身份驗證是通信以及訪問控制過程中的安全首要條件。也就是說身份認證能夠很好地起到禁止未經(jīng)授權(quán)的通信，起到通信安全保障的作用，這也是防火墻安全驗證第一關(guān)。滿足防火墻安全認證，我們必須設計一個有效的身份證認證體系，以實現(xiàn)我們網(wǎng)上的安全保障。作為防火墻保證局域網(wǎng)（LAN）安全的重要手段，本系統(tǒng)是在防火墻身份驗證功能提取出來的一個模塊。

3.2 系統(tǒng)概述

應用程序代理和客戶端以及身份認證服務器組成了我們的身份認證系統(tǒng)。身份驗證服務器通過記錄保存各種類型的用戶身份信息，應用程序的響應得到他們的認證請求代理后，對我們訪問的用戶進行身份驗證。認證的時候在任何客戶端身份驗證用戶主機，接收用戶身份驗證請求后執(zhí)行相應的認證協(xié)議，根據(jù)系統(tǒng)設計建接受到了數(shù)據(jù)發(fā)送給服務器，并且在我們服務器身份驗證結(jié)果再反饋給我們的客戶端。服務器和客戶機包含應用程序，客戶端代理包含在客戶端模塊，主要需要完成的是來自客戶端的這些數(shù)據(jù)。網(wǎng)絡在客戶終端運行一個專門給用戶登錄使用的應用程序，當用戶找到網(wǎng)絡上有需要的的資源數(shù)據(jù)后，客戶端會根據(jù)請求響應提出了相關(guān)的應用程序，身份認證模塊應答于這些提出來的申請。并開始調(diào)用驗證程序，只有正確的用戶名和密碼發(fā)送后，身份驗證模塊才能識別通過。在用戶的身份認證通過之后，防火墻才會將相關(guān)接口和服務鏈接起來，從而成功訪問，并拒接非法的用戶進入。認證體系指的是認證系統(tǒng)實現(xiàn)，實現(xiàn)其主要是完成身份驗證功能獨立于防火墻的一部分，一個獨立的認證服務器，以及模塊化的認證協(xié)議。

4 結(jié)束語

網(wǎng)絡安全建設是一個漫長的系統(tǒng)工程，防火墻的應用解決了網(wǎng)絡的安全性的許多問題，但由于缺乏高效的認證，它帶來了許多安全隱患問題。該系統(tǒng)具有以下特點：本系統(tǒng)采用身份驗證系統(tǒng)分離技術(shù)協(xié)議，根據(jù)需要使用不同的身份驗證協(xié)議，容易集成新的認證技術(shù)，高靈活性，可擴展性強，且與原系統(tǒng)完全兼容。本文主要對身份認證模塊進行了一個分析，主要從“防火墻認證模塊的原理”以及“防火墻認證模塊的設計”進行了問題的探討。有了身份認證后，防火墻的安全保障效果大大提高，為我們的生活提供了很多了便利。

參考文獻：

[1]陳軍，嚴正香.防火墻的安全策略分析及研究[J].天水師范學院學報，2006（02）.

[2]蔣祖國.封包過濾型Windows2000個人防火墻建模及實現(xiàn)[D].武漢理工大學，2004（09）.

[3]蔣建春，馮登國.網(wǎng)絡入侵檢測原理與技術(shù)[M].北京：國防工業(yè)出版社，2001（32）.

[4]李文平.防火墻技術(shù)及其應用淺析[J].科技情報殲發(fā)與經(jīng)濟，2006（20）.

作者簡介：趙德寶（1981.05-），男，安徽濉溪人，講師，本科，碩士，研究方向：網(wǎng)絡工程及網(wǎng)絡安全技術(shù)。

作者單位：武漢信息傳播職業(yè)技術(shù)學院，武漢 430000