◆丁欣宇

基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

◆丁欣宇

（遼寧財(cái)貿(mào)學(xué)院 遼寧 125105）

本文針對基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行分析探討，主要內(nèi)容包括網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)需求分析、系統(tǒng)介紹以及安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，其中網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)中包含系統(tǒng)功能設(shè)計(jì)、CA數(shù)字證書系統(tǒng)、LDAP目錄服務(wù)系統(tǒng)、應(yīng)用資源授權(quán)管理系統(tǒng)等內(nèi)容，并且闡述了系統(tǒng)應(yīng)用測試和系統(tǒng)應(yīng)用效益分析，供相關(guān)讀者參考。

電子商務(wù)；信息安全；信息技術(shù)

在當(dāng)前的時(shí)代背景下，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍逐步擴(kuò)展，使社會(huì)各個(gè)領(lǐng)域的發(fā)展模式都出現(xiàn)了不同程度的變化。隨著網(wǎng)絡(luò)技術(shù)的應(yīng)用發(fā)展，網(wǎng)絡(luò)安全問題也日益顯現(xiàn)出來。為了保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，需要優(yōu)化設(shè)計(jì)完善的網(wǎng)絡(luò)信息安全系統(tǒng)，有效防范網(wǎng)絡(luò)信息安全隱患。為此，本文針對基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)制定系統(tǒng)設(shè)計(jì)方案，確保網(wǎng)絡(luò)信息安全系統(tǒng)能滿足使用需求。

1 網(wǎng)絡(luò)信息安全系統(tǒng)介紹

1.1 系統(tǒng)組成

網(wǎng)絡(luò)信息安全系統(tǒng)主要由CA數(shù)字證書系統(tǒng)、目錄服務(wù)系統(tǒng)、應(yīng)用資源管理系統(tǒng)幾個(gè)模塊組成。在這個(gè)系統(tǒng)當(dāng)中，CA數(shù)字證書管理系統(tǒng)是基礎(chǔ)模塊，目錄服務(wù)則是基于支撐作用。在運(yùn)行過程中，目錄服務(wù)可以實(shí)現(xiàn)信息資源、用戶、應(yīng)用程序的統(tǒng)一管理，并且根據(jù)使用需求制定針對性的管理方式。將特定接口包與方位控制服務(wù)中間設(shè)備進(jìn)行管理，進(jìn)而與其他設(shè)備進(jìn)行管理。實(shí)現(xiàn)與Web應(yīng)用、數(shù)據(jù)庫應(yīng)用以及電子郵件等設(shè)備的應(yīng)用管理的良好融合，呈現(xiàn)出完善的網(wǎng)絡(luò)應(yīng)用安全基礎(chǔ)平臺(tái)體系[1]。

1.2 系統(tǒng)設(shè)計(jì)目標(biāo)

在設(shè)計(jì)基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)的過程中，需要對網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)需求進(jìn)行分析，明確系統(tǒng)的設(shè)計(jì)目標(biāo)。

第一，網(wǎng)絡(luò)信息安全體系是為了保證企業(yè)各類信息體系的安全性，因此，系統(tǒng)的設(shè)計(jì)應(yīng)當(dāng)滿足用戶對網(wǎng)絡(luò)資源進(jìn)行存取的需求，為各項(xiàng)信息資源的安全性給予保障，降低信息資源泄露的可能性[2]。

第二，構(gòu)建統(tǒng)一信任域，通過構(gòu)建信任域來辨析用戶身份，以免因用戶身份多樣性造成使用受阻。在企業(yè)范圍內(nèi)制定特定的身份認(rèn)證，進(jìn)而更好的辨析用戶身份。

第三，完善有效信息在應(yīng)用、存儲(chǔ)、傳輸?shù)冗^程的保護(hù)措施，提升信息資源利用的可靠性、安全性以及抗否認(rèn)性。

第四，解決應(yīng)用系統(tǒng)授權(quán)機(jī)制混亂的狀況。在制定解決方案的過程中，需要加強(qiáng)相關(guān)目錄設(shè)計(jì)水平。根據(jù)使用需求構(gòu)建應(yīng)用系統(tǒng)用戶授權(quán)機(jī)制，這樣能夠?yàn)閼?yīng)用系統(tǒng)提供接口規(guī)范。

第五，解決各類信息數(shù)據(jù)分布散亂的情況，例如人員信息、硬件資源信息、軟件資源信息等，制定統(tǒng)一管理方式，運(yùn)用分析管理的方式整合靜態(tài)信息資源。

2 安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 系統(tǒng)的總體設(shè)計(jì)結(jié)構(gòu)

在此次系統(tǒng)設(shè)計(jì)過程中，基于CA技術(shù)來展開，借助C/S模式聯(lián)合B/S模式來推進(jìn)。與此同時(shí)，運(yùn)用CA技術(shù)、802.1X接入認(rèn)證技術(shù)以及winpcap驅(qū)動(dòng)軟件等重要技術(shù)，促進(jìn)可信身份認(rèn)證、可信設(shè)備接入認(rèn)證、控制訪問權(quán)限等終端設(shè)備功能的實(shí)現(xiàn)。在這個(gè)系統(tǒng)架構(gòu)當(dāng)中，CA技術(shù)在數(shù)字證書管理系統(tǒng)內(nèi)發(fā)揮著關(guān)鍵性作用，能夠根據(jù)目錄服務(wù)實(shí)現(xiàn)信息資源、用戶以及程序的統(tǒng)一管理。并且能夠根據(jù)系統(tǒng)運(yùn)行需求，針對以上幾個(gè)方面制定相應(yīng)的管理體系，進(jìn)而促進(jìn)網(wǎng)絡(luò)應(yīng)用安全基礎(chǔ)平臺(tái)體系的完善，令網(wǎng)絡(luò)信息安全系統(tǒng)的技術(shù)作用得到提升[3]。

2.2 系統(tǒng)功能設(shè)計(jì)

（1）身份認(rèn)證功能

采用密碼式的身份認(rèn)證功能安全性不夠高，難以滿足大型企業(yè)以及政務(wù)內(nèi)網(wǎng)的終端監(jiān)管需求。為此，需要對身份認(rèn)證功能進(jìn)行優(yōu)化設(shè)計(jì)，制定出終端節(jié)點(diǎn)、終端用戶身份認(rèn)證得到融合的身份認(rèn)證方式，提升身份認(rèn)證的安全性。

（2）終端節(jié)點(diǎn)接入發(fā)現(xiàn)功能

終端節(jié)點(diǎn)接入發(fā)現(xiàn)功能會(huì)制定出系統(tǒng)終端的拓?fù)浣Y(jié)構(gòu)，這樣能夠?qū)Ω鱾€(gè)節(jié)點(diǎn)信息展開全面準(zhǔn)備的收集工作，并且能夠?qū)尤雰?nèi)網(wǎng)的終端設(shè)備進(jìn)行身份驗(yàn)證與分析，避免非法終端的接入，保證內(nèi)部網(wǎng)絡(luò)的安全性。

（3）終端節(jié)點(diǎn)的安全性檢查控制功能

在基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)當(dāng)中，為了保證安全運(yùn)行，需要確定終端是否存在NAT服務(wù)器或者代理服務(wù)器搭建情況，辨別有無外網(wǎng)接入的威脅。如果判定系統(tǒng)處于不安全的狀態(tài)，需要及時(shí)發(fā)出警報(bào)，以免系統(tǒng)受到外網(wǎng)攻擊和影響。

圖2 系統(tǒng)重點(diǎn)控制流程

（4）終端節(jié)點(diǎn)行為監(jiān)控功能

在當(dāng)前的網(wǎng)絡(luò)信息安全系統(tǒng)當(dāng)中，利用權(quán)限分配功能來監(jiān)控終端主機(jī)的各個(gè)端口，掌握端口的實(shí)際使用情況，及時(shí)了解和監(jiān)測終端主機(jī)的遠(yuǎn)程運(yùn)行情況。當(dāng)發(fā)現(xiàn)違規(guī)操作行為或者異常情況的時(shí)候，能夠及時(shí)發(fā)出警報(bào)[4]。

2.3 CA數(shù)字證書系統(tǒng)

在CA數(shù)字證書系統(tǒng)方面，應(yīng)當(dāng)根據(jù)需求配備相應(yīng)的根、子CA、RA服務(wù)器，完善相應(yīng)的證書頒發(fā)機(jī)構(gòu)和證書管理網(wǎng)站，確保CA數(shù)字證書擁有統(tǒng)一的證書認(rèn)證標(biāo)書。這項(xiàng)身份認(rèn)證標(biāo)識(shí)可以被用于用戶統(tǒng)一身份鑒別與認(rèn)證，確保身份認(rèn)證功能得到提升，以此來滿足企業(yè)范圍CA技術(shù)實(shí)際使用需求。在CA數(shù)字證書系統(tǒng)方面也可以根據(jù)企業(yè)特點(diǎn)與應(yīng)用需求進(jìn)行適當(dāng)調(diào)整[5]。

在證書類型方面主要?jiǎng)澐謨煞N，分別是用戶證書、服務(wù)器證書。其中用戶證書通常是面向個(gè)人用戶，對用戶進(jìn)行統(tǒng)一的身份驗(yàn)證和加密措施。服務(wù)器證書則是用于網(wǎng)絡(luò)設(shè)備與服務(wù)器軟件當(dāng)中。在申請CA數(shù)字證書的過程中，可以通過兩種方式，分別為面對面申請和網(wǎng)絡(luò)申請。面對面申請具有一定的標(biāo)準(zhǔn)要求，通常會(huì)只針對高級(jí)用戶的證書申請，而網(wǎng)絡(luò)申請則能夠面向所有的用戶。在進(jìn)行CA數(shù)字證書面對面申請的過程中，需要由申請人向RA操作人員發(fā)出證書申請，并且根據(jù)規(guī)定提供相應(yīng)的信息。RA管理人員在接收到這些信息之后，會(huì)將其錄入到RA工作站當(dāng)中。申請過程中會(huì)先由二級(jí)審核員進(jìn)行審核，審核通過之后轉(zhuǎn)交給以及審核員進(jìn)行再一次的審核。在兩項(xiàng)審核均滿足相關(guān)標(biāo)準(zhǔn)的情況下，中心簽發(fā)員便會(huì)將CA證書頒發(fā)，將證書會(huì)送至目錄服務(wù)處，在此自后，RA操作員會(huì)將數(shù)字證書錄入到Skey，在將Skey交給申請人之后便完成了整個(gè)操作。在進(jìn)行CA數(shù)字證書網(wǎng)絡(luò)申請的過程中，與面對面申請流程的主要區(qū)別在于RA操作員是否介入。在面對面申請過程中，用戶需要通過瀏覽器向CA Web服務(wù)器發(fā)出證書申請，Web在接收到申請信息之后會(huì)將其轉(zhuǎn)交于CA服務(wù)器。整個(gè)信息審核過程與面對面申請基本相同，在完成信息審核之后，子CA服務(wù)器會(huì)根據(jù)Web服務(wù)器發(fā)出的請求返回申請人證書。最后，Web服務(wù)器會(huì)根據(jù)申請人的請求將CA數(shù)字證書安裝到本地硬盤或者制定Key當(dāng)中。

2.4 LDAP目錄服務(wù)系統(tǒng)

構(gòu)建目錄服務(wù)信息樹，對信息資源和用戶進(jìn)行統(tǒng)一授權(quán)與管理。根據(jù)使用需求設(shè)計(jì)目錄樹結(jié)構(gòu)，對其布置輔目錄和服務(wù)器，這樣能夠確保主服務(wù)器與輔服務(wù)器之間的負(fù)載數(shù)據(jù)信息保持均衡和同步。通過對各類數(shù)據(jù)信息進(jìn)行統(tǒng)一整合，制定出針對組織結(jié)構(gòu)、人員信息表以及用戶方面的管理機(jī)制。

（1）目錄服務(wù)域后綴設(shè)計(jì)

根后綴與子后綴關(guān)系密切，其中根后綴為父項(xiàng)，也是目錄服務(wù)器的根節(jié)點(diǎn)。根后綴與子后綴的相關(guān)信息會(huì)存放在數(shù)據(jù)庫，其中目錄樹根后綴表現(xiàn)形式為o=company，根節(jié)點(diǎn)域后綴則為o=sdcompany，o=company。

（2）目錄部署設(shè)計(jì)

針對網(wǎng)絡(luò)配置當(dāng)中兩個(gè)LDAP服務(wù)器進(jìn)行設(shè)計(jì)，使這兩個(gè)服務(wù)器能夠分別設(shè)置在信息中心機(jī)房和網(wǎng)絡(luò)通常的遠(yuǎn)地。在信息中心機(jī)房的目錄服務(wù)器是Master LDAP Server，而另一個(gè)目錄服務(wù)器則是Slave LDAP Sever，在運(yùn)行過程中，同步復(fù)制機(jī)制會(huì)讓系統(tǒng)對整個(gè)用戶數(shù)據(jù)進(jìn)行同步復(fù)制，保證信息負(fù)載的均衡，同時(shí)配置DNS來進(jìn)一步輔助提升系統(tǒng)相應(yīng)能力，在信息中心主目錄服務(wù)器當(dāng)中來實(shí)現(xiàn)數(shù)據(jù)庫信息修改操作。

（3）目錄分級(jí)管理機(jī)制設(shè)計(jì)

在這項(xiàng)系統(tǒng)機(jī)制設(shè)計(jì)工作中，應(yīng)當(dāng)根據(jù)目錄分級(jí)管理機(jī)制的使用需求和功能需求來展開。在信息中心和二級(jí)單位分別設(shè)置超級(jí)管理員和二級(jí)管理員。超級(jí)管理員會(huì)依據(jù)根節(jié)點(diǎn)來梳理子樹，二級(jí)管理員則會(huì)進(jìn)行二級(jí)單位目錄子樹的管理。在實(shí)際運(yùn)行過程中，二級(jí)單位也可以制定三級(jí)單位階段并配備三級(jí)管理員。

（4）數(shù)據(jù)安全控制設(shè)計(jì)

在此過程中需要使用用戶提供的身份驗(yàn)證信息以及服務(wù)器定義訪問控制指令來實(shí)現(xiàn)目錄信息的訪問控制。依據(jù)用戶的身份驗(yàn)證信息，制定允許/拒絕讀、寫、搜索以及比較等四種權(quán)限。運(yùn)用訪問控制功能來掌控整個(gè)目錄、目錄子樹、特定條目以及特定條目屬性集的訪問權(quán)，并且設(shè)定用戶組和用戶角色的方式來控制用戶訪問權(quán)限。

2.5 應(yīng)用資源授權(quán)管理系統(tǒng)

應(yīng)用資源授權(quán)管理系統(tǒng)設(shè)計(jì)需要根據(jù)企業(yè)應(yīng)用需求，拓展目錄服務(wù)軟件的策略授權(quán)管理，針對系統(tǒng)授權(quán)情況制定分級(jí)授權(quán)方式，分級(jí)授權(quán)管理員能夠?qū)Y源系統(tǒng)進(jìn)行用戶級(jí)的用戶授權(quán)和策略授權(quán)。為此，需要正確掌握應(yīng)用系統(tǒng)的功能結(jié)構(gòu)和資源結(jié)構(gòu)。同時(shí)分析應(yīng)用系統(tǒng)的訪問授權(quán)，了解不同模塊和資源的訪問類型。在此之后，在目錄服務(wù)當(dāng)中對設(shè)計(jì)好的應(yīng)用結(jié)構(gòu)和訪問授權(quán)進(jìn)行定義，完成管理權(quán)限的分配。如果企業(yè)自行開發(fā)Java接口包，將會(huì)為B/S和C/S結(jié)構(gòu)的開發(fā)提供便利。

3 系統(tǒng)應(yīng)用測試與結(jié)果分析

在系統(tǒng)應(yīng)用測試過程中，需要細(xì)心觀察和測試系統(tǒng)運(yùn)行的穩(wěn)定性，分析系統(tǒng)中各項(xiàng)功能模塊是否滿足系統(tǒng)設(shè)計(jì)目標(biāo)。系統(tǒng)設(shè)計(jì)測試終端監(jiān)測組件部分會(huì)將應(yīng)用程序和驅(qū)動(dòng)程序轉(zhuǎn)變成.exe文件格式，雙擊.exe文件自動(dòng)安裝。測試過程中，觀察系統(tǒng)在終端接入控制、設(shè)備端口關(guān)閉開啟等狀態(tài)，能夠確定工作狀態(tài)的良好，并且報(bào)警信息精準(zhǔn)可靠。由此可以判斷身份認(rèn)證、接入認(rèn)證以及訪問權(quán)限控制等功能運(yùn)行較為穩(wěn)定，有效保障網(wǎng)絡(luò)終端安全監(jiān)管，達(dá)到了網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)目的。

4 結(jié)語

在構(gòu)建基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)的過程中，需要明確系統(tǒng)的設(shè)計(jì)目標(biāo)，制定合理的系統(tǒng)結(jié)構(gòu)與功能模塊，保證系統(tǒng)各項(xiàng)功能的穩(wěn)定運(yùn)行。提升網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)效益，將系統(tǒng)設(shè)計(jì)價(jià)值充分展現(xiàn)出來。

[1]段友祥，相鵬，李緒亮. 基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)實(shí)踐[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2006，27（6）：4.

[2]林睿，李豐，陸國生，等. 基于CA技術(shù)的網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 電子設(shè)計(jì)工程，2017，25（011）：157-159，163.

[3]張珊. 基于CA認(rèn)證的網(wǎng)絡(luò)終端安全監(jiān)管技術(shù)研究[D]. 長安大學(xué).

[4]丁穎，黃繼海，馬文越. 基于CA技術(shù)的無線傳感網(wǎng)絡(luò)安全自動(dòng)鑒別系統(tǒng)設(shè)計(jì)[J]. 現(xiàn)代電子技術(shù)，2019，v.42；No.529（02）：54-56+61.

[5]潘獻(xiàn)威. 網(wǎng)絡(luò)信息安全系統(tǒng)規(guī)劃與設(shè)計(jì)研究[J]. 大科技，2019（3）.