王亮 張虹霞

摘 ?要： 普通Web網(wǎng)絡安全訪問控制系統(tǒng)不能隨著并發(fā)用戶數(shù)量的增加而降低平均響應時間和平均登錄時間。為了解決此問題，設計基于大數(shù)據(jù)的Web網(wǎng)絡安全訪問控制系統(tǒng)。通過Web三級安全網(wǎng)絡架構設計、大數(shù)據(jù)環(huán)境下系統(tǒng)PKI/CA模塊設計、網(wǎng)絡安全隔離模塊設計，完成系統(tǒng)硬件設計;通過系統(tǒng)數(shù)據(jù)庫設計、集中認證/授權模塊設計、安全訪問控制服務器設計，完成系統(tǒng)軟件設計。實驗結果表明，應用基于大數(shù)據(jù)的Web網(wǎng)絡安全訪問控制系統(tǒng)后，用戶平均響應時間和平均登錄時間得到有效控制。

關鍵詞： 大數(shù)據(jù)環(huán)境; Web網(wǎng)絡安全; PKI/CA模塊; 訪問控制; 安全隔離; 系統(tǒng)設計

中圖分類號： TN915.08?34; TP319 ? ? ? ? ? ? ? ? 文獻標識碼： A ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2018）10?0100?05

Abstract： Since the common Web network security access control system cannot reduce the average response time and the average login time as the number of concurrent users increases， a Web network security access control system based on big data was designed. The hardware design of the system was accomplished by means of the design of three?level security Web network architecture， PKI/CA module in big data environment， and network security isolation module. The software design of the system was accomplished by means of the design of system database， centralized authentication/authorization module， and security access control server. The experimental results show that the Web network security access control system based on big data can effectively control the average response time and the average login time of users.

Keywords： big data environment; Web network security; PKI/CA module; access control; security isolation; system design

0 ?引 ?言

傳統(tǒng)Web網(wǎng)絡安全訪問控制系統(tǒng)可以對信息系統(tǒng)的安全體系、目錄結構等功能模塊，提供分析與整理服務，并通過中心控制結構，對所有網(wǎng)絡服務進行安全監(jiān)控。訪問控制作為該系統(tǒng)的核心功能，需要以LDAP用戶目錄庫和PKI結構作為系統(tǒng)公鑰及多重安全防護措施的運行基礎[1]。為了保證Web網(wǎng)絡安全訪問控制系統(tǒng)的正常運行，還需建立專門的綜合防火墻結構，并以代理服務、綜合防火墻等多項技術，對其進行統(tǒng)一約束。但普通Web網(wǎng)絡安全訪問控制系統(tǒng)只能有效處理使用者的單點登錄問題，若并發(fā)用戶數(shù)量持續(xù)增加，系統(tǒng)的平均響應時間和平均登錄時間，將會因為巨大的訪問壓力而逐漸降低，進而導致系統(tǒng)整體運行速度變得越來越慢。大數(shù)據(jù)技術是一項能根據(jù)數(shù)據(jù)大小，決定待考慮數(shù)據(jù)潛在價值和攜帶信息意義的技術，不僅能夠通過提升數(shù)據(jù)質量來提高數(shù)據(jù)的真實性，也能通過擴充數(shù)據(jù)來源渠道的方式降低數(shù)據(jù)復雜性[2]?？梢哉f，合理地利用大數(shù)據(jù)技術，將低成本創(chuàng)造高價值的目標變成了現(xiàn)實。通過引入大數(shù)據(jù)技術的方式，對原有系統(tǒng)進行改進，建立基于大數(shù)據(jù)的Web網(wǎng)絡安全訪問控制系統(tǒng)，充分減輕系統(tǒng)的訪問壓力，大大降低平均響應時間和平均登錄時間。

1 ?Web網(wǎng)絡安全訪問控制硬件系統(tǒng)設計

大數(shù)據(jù)環(huán)境下，Web網(wǎng)絡安全訪問控制硬件系統(tǒng)設計由Web三級安全網(wǎng)絡架構設計、PKI/CA模塊設計、網(wǎng)絡安全隔離模塊設計三部分組成，具體設計步驟如下所述。

1.1 ?Web三級安全網(wǎng)絡架構設計

Web三級安全網(wǎng)絡架構，包括外部服務網(wǎng)、內部服務網(wǎng)和安全生產網(wǎng)。其中，外部服務網(wǎng)主要負責與公共網(wǎng)絡及外部網(wǎng)絡相連，其表現(xiàn)形式包括大客戶系統(tǒng)、對外門戶網(wǎng)站等;內部服務網(wǎng)主要負責連接外部服務網(wǎng)與安全生產網(wǎng)，對內起到保護作用，對外起到連接作用，所有從外網(wǎng)接入的數(shù)據(jù)，都需在內部服務網(wǎng)進行安全訪問檢測[3?4];安全生產網(wǎng)是整個Web網(wǎng)絡安全訪問控制系統(tǒng)硬件的核心部分，主要負責對數(shù)據(jù)提供安全保障，以確保待使用數(shù)據(jù)，可在網(wǎng)絡系統(tǒng)中直接進行安全訪問。具體Web三級安全網(wǎng)絡架構形式如圖1所示。

1.2 ?大數(shù)據(jù)環(huán)境下系統(tǒng)PKI/CA模塊設計

PKI/CA模塊也可以叫作數(shù)字證書模塊，是進行網(wǎng)絡安全訪問過程中，身份認證及數(shù)據(jù)加密的重要步驟。在PKI/CA模塊設計過程中，需要建立包含CA層和RA層的二層結構。其中CA層負責在大數(shù)據(jù)環(huán)境下，調取網(wǎng)絡安全證書庫系統(tǒng)中的證書，并將證書發(fā)布，生成完整的密鑰系統(tǒng)[5]。RA區(qū)也可稱為二級CA區(qū)，主要負責對CA區(qū)的安全數(shù)據(jù)進行審計，再將完成審計的數(shù)據(jù)傳輸給服務網(wǎng)，完成證書數(shù)據(jù)的注冊和發(fā)布。具體模塊結構示意圖如圖2所示。

1.3 ?硬件系統(tǒng)網(wǎng)絡安全隔離模塊設計

網(wǎng)絡安全隔離模塊部署在與內部網(wǎng)相連的應用服務器上，是統(tǒng)一內網(wǎng)與外網(wǎng)應用請求的重要結構，不僅可以實現(xiàn)數(shù)據(jù)的采集、轉化和整合，也可以實現(xiàn)對網(wǎng)絡安全數(shù)據(jù)的實時保護[6?7]。若用戶端由外網(wǎng)發(fā)出向內網(wǎng)的訪問控制請求時，網(wǎng)絡安全隔離模塊會自動將控制請求取出，轉換成系統(tǒng)默認的數(shù)據(jù)格式后，再將完成轉換的數(shù)據(jù)交還給系統(tǒng)，進行下一步傳輸。具體模塊設計思想如圖3所示。

2 ?Web網(wǎng)絡安全訪問控制軟件系統(tǒng)設計

在第1節(jié)已完成大數(shù)據(jù)環(huán)境下Web網(wǎng)絡安全訪問控制硬件系統(tǒng)的搭建。為了保證系統(tǒng)的正常運行，還需按照如下步驟，完成軟件系統(tǒng)搭建。

2.1 ?軟件系統(tǒng)數(shù)據(jù)庫設計

大數(shù)據(jù)環(huán)境下，Web網(wǎng)絡安全訪問控制軟件系統(tǒng)數(shù)據(jù)庫可認為是實現(xiàn)網(wǎng)絡安全訪問控制和集中授權認證的權利機制。其工作流程起始于對PKI/CA模塊頒發(fā)的數(shù)字證書的確認。通過此步驟，可以檢查來訪數(shù)據(jù)所具有的權限。再根據(jù)每個數(shù)據(jù)格式的不同，確定不同的數(shù)據(jù)內涵，對應受到使用限制的網(wǎng)絡安全數(shù)據(jù)，進行檢查與保護措施[8?9]。對外部數(shù)據(jù)庫來說，其主要工作流程包括控制外部訪問模塊、數(shù)據(jù)信息的安全隔離、控制模塊與數(shù)據(jù)信息間的信息交換等步驟。具體數(shù)據(jù)庫邏輯設計結構如圖4所示。

2.2 ?軟件系統(tǒng)集中認證/授權模塊設計

為了保證大數(shù)據(jù)環(huán)境下Web網(wǎng)絡安全訪問控制系統(tǒng)的數(shù)據(jù)安全性，需要建立集中認證/授權模塊。集中認證/授權模塊設計思想是對系統(tǒng)中一切網(wǎng)絡安全數(shù)據(jù)進行身份的認證和服務器的授權，經過認證/授權處理后的資源，才可以獲得繼續(xù)傳播、瀏覽的資格[10?11]。未完成認證/授權處理的數(shù)據(jù)權限，由認證服務器統(tǒng)一管理。若這些數(shù)據(jù)始終沒有得到調用機會，則它們的保護密鑰和數(shù)據(jù)私鑰將永遠不會得到系統(tǒng)認證，也就意味著該數(shù)據(jù)永遠沒有得到授權機會。該模塊設計思想示意圖如圖5所示。

2.3 ?安全訪問控制服務器設計

安全訪問控制服務器由外網(wǎng)控制服務器和內網(wǎng)控制服務器兩部分組成。其中，外網(wǎng)控制服務器具有外網(wǎng)反向代理功能，且直接與不同的應用系統(tǒng)相連。內網(wǎng)控制服務器具有內網(wǎng)反向代理功能，直接與Internet相連，Internet網(wǎng)絡與多個客戶端主機間始終保持串聯(lián)關系[12?13]。內、外網(wǎng)控制服務器間通過物理隔離設備連接，既保證二者間的順利交流，也阻隔二者間的相互影響。安全訪問控制服務器結構示意圖如圖6所示。

3 ?實驗結果與分析

3.1 ?實驗參數(shù)設置

為了驗證該系統(tǒng)的實用性價值，以2臺配置相同的計算機作為實驗對象，其中1臺搭載大數(shù)據(jù)環(huán)境下Web網(wǎng)絡安全訪問控制系統(tǒng)，作為實驗組;另1臺搭載普通Web網(wǎng)絡安全訪問控制系統(tǒng)，作為對照組。實驗開始前，按照表1完成相關實驗參數(shù)設置。

表1中，實驗參數(shù)從上到下依次代表網(wǎng)絡安全參數(shù)、訪問控制總量、預計響應時間、預計登錄時間、系統(tǒng)連通率、數(shù)據(jù)總量，實驗組預期平均響應時間、預期平均登錄時間均低于對照組，其他數(shù)據(jù)均與實驗組保持一致。

3.2 ?平均響應時間對比

完成實驗參數(shù)設置后，令實驗組、對照組系統(tǒng)同時開始工作，分別對比當并發(fā)用戶數(shù)量為500和1 000時，兩組的平均響應時間。系統(tǒng)平均響應時間與ESF指標呈正比關系，當ESF指標較大時，系統(tǒng)平均響應時間也較長，反之則較短。具體對比結果如圖7、圖8所示。

分析圖7可知，當并發(fā)用戶數(shù)量為500時，對照組平均響應時間最大值達到1.43 s，實驗組平均響應時間最大值僅為0.78 s，對照組平均響應時間恒大于實驗組。分析圖8可知，當并發(fā)用戶數(shù)量為1 000時，對照組平均響應時間最大值達到3.41 s，實驗組平均響應時間最大值僅為1.47 s，對照組平均響應時間恒大于實驗組。所以，可證明應用大數(shù)據(jù)環(huán)境下Web網(wǎng)絡安全訪問控制系統(tǒng)，可隨著并發(fā)用戶數(shù)量的增加，降低平均響應時間。

3.3 ?平均登錄時間對比

完成平均響應時間對比后，保持兩組系統(tǒng)的工作狀態(tài)，分別對比當并發(fā)用戶數(shù)量為500和1 000時，兩組系統(tǒng)的平均登錄時間。系統(tǒng)平均登錄時間與ESF指標呈反比關系，當ESF指標較大時，系統(tǒng)平均登錄時間較短，反之則較長。具體對比結果如圖9、圖10所示。

分析圖9可知，當并發(fā)用戶數(shù)量為500時，對照組平均登錄時間最大值僅為0.62 s，實驗組平均登錄時間最大值達到1.27 s，對照組平均登錄時間恒小于實驗組。分析圖10可知，當并發(fā)用戶數(shù)量為1 000時，對照組平均登錄時間最大值僅為1.62 s，實驗組平均登錄時間最大值達到3.65 s，對照組平均登錄時間恒小于實驗組。所以，可證明應用大數(shù)據(jù)環(huán)境下Web網(wǎng)絡安全訪問控制系統(tǒng)，可隨著并發(fā)用戶數(shù)量的增加，降低平均登錄時間。

4 ?結 ?語

綜上，本文完成大數(shù)據(jù)環(huán)境下Web網(wǎng)絡安全訪問控制系統(tǒng)設計，并且通過實驗證明，該系統(tǒng)在降低平均響應時間、平均登錄時間方面，確實具備極強的實用可行性。

參考文獻

[1] 謝榕，劉亞文，李翔翔.大數(shù)據(jù)環(huán)境下衛(wèi)星對地觀測數(shù)據(jù)集成系統(tǒng)的關鍵技術[J].地球科學進展，2015，30（8）：855?862.

XIE Rong， LIU Yawen， LI Xiangxiang. Key technologies of earth observation satellite data integration system under big data environment [J]. Advances in earth science， 2015， 30（8）： 855?862.

[2] 徐建閩，王鈺，林培群.大數(shù)據(jù)環(huán)境下的動態(tài)最短路徑算法[J].華南理工大學學報（自然科學版），2015，43（10）：1?7.

XU Jianmin， WANG Yu， LIN Peiqun. A dynamic shortest path algorithm for big data [J]. Journal of South China University of Technology （Natural science edition）， 2015， 43（10）： 1?7.

[3] 王晰巍，張長亮，蔡佳銘，等.大數(shù)據(jù)環(huán)境下中美高校信息素養(yǎng)培養(yǎng)模式比較研究[J].圖書情報工作，2016，60（11）：29?35.

WANG Xiwei， ZHANG Changliang， CAI Jiaming， et al. Comparative study of information literacy training models in Chinese and American universities in big data environment [J]. Library and information service， 2016， 60（11）： 29?35.

[4] 田新，肖鈺麟，廖芬.大數(shù)據(jù)環(huán)境下企業(yè)管理模式創(chuàng)新研究[J].湖北理工學院學報（人文社會科學版），2016，33（3）：43?47.

TIAN Xin， XIAO Yulin， LIAO Fen. Research on the innovation of enterprise management mode with big data [J]. Journal of Hubei Polytechnic University （Humanities and social sciences）， 2016， 33（3）： 43?47.

[5] 虞穎映，馬凌飛，胡天天，等.大數(shù)據(jù)環(huán)境下醫(yī)學信息服務平臺研究與實踐[J].醫(yī)學信息學雜志，2016，37（12）：72?76.

YU Yingying， MA Lingfei， HU Tiantian， et al. Research and practice of medical information service platform under the big data environment [J]. Journal of medical informatics， 2016， 37（12）： 72?76.

[6] 侯瑞霞，孫偉，曹姍姍，等.大數(shù)據(jù)環(huán)境下林業(yè)資源信息云服務體系架構：設計與實證[J].中國農學通報，2016，32（2）：170?179.

HOU Ruixia， SUN Wei， CAO Shanshan， et al. Cloud service architecture of forestry resource information in big data environment?design and verification [J]. Chinese agricultural science bulletin， 2016， 32（2）： 170?179.

[7] 潘志宏，萬智萍，謝海明.大數(shù)據(jù)環(huán)境下高校智慧移動學習平臺的構建研究[J].實驗技術與管理，2017，34（4）：161?163.

PAN Zhihong， WAN Zhiping， XIE Haiming. Research on construction of smart mobile learning platform in colleges and universities based on big data [J]. Experimental technology and management， 2017， 34（4）： 161?163.

[8] 王紅芳，姜功恒，張凱兵.大數(shù)據(jù)環(huán)境下圖書館學科服務的SWOT分析與服務策略[J].農業(yè)圖書情報學刊，2015，27（10）：180?183.

WANG Hongfang， JIANG Gongheng， ZHANG Kaibing. SWOT analysis and tactics of discipline service in libraries in the big data environment [J]. Journal of library and information sciences in agriculture， 2015， 27（10）： 180?183.

[9] 陳善學，楊政，朱江，等.一種基于累加PSO?SVM的網(wǎng)絡安全態(tài)勢預測模型[J].計算機應用研究，2015，32（6）：1778?1781.

CHEN Shanxue， YANG Zheng， ZHU Jiang， et al. Network security situation prediction method based on PSO?SVM [J]. Application research of computers， 2015， 32（6）： 1778?1781.

[10] 李鳳華，殷麗華，吳巍，等.天地一體化信息網(wǎng)絡安全保障技術研究進展及發(fā)展趨勢[J].通信學報，2016，37（11）：156?168.

LI Fenghua， YIN Lihua， WU Wei， et al. Research status and development trends of security assurance for space?ground integration information network [J]. Journal on communications， 2016， 37（11）： 156?168.

[11] CHEN G， GONG Y， XIAO P， et al. Physical layer network security in the full?duplex relay system [J]. IEEE transactions on information forensics & security， 2015， 10（3）： 574?583.

[12] LIYANAGE M， ABRO A B， YLIANTTILA M， et al. Opportunities and challenges of software?defined mobile networks in network security [J]. IEEE security & privacy， 2016， 14（4）： 34?44.

[13] ZHANG Y. Research on the computer network security evaluation based on the DHFHCG operator with dual hesitant fuzzy information [J]. Journal of intelligent & fuzzy systems， 2015， 28（1）： 199?204.