虛擬實驗平臺信息安全架構設計

周培源，彭凱鋒

（華中科技大學 信息與系統技術研究所，湖北 武漢 430074）

虛擬實驗平臺信息安全架構設計

周培源，彭凱鋒

（華中科技大學 信息與系統技術研究所，湖北 武漢 430074）

依托“十一五”國家科技支撐計劃重點項目《虛擬實驗教學環境關鍵技術研究與應用示范》，構建一個開放、共享、高安全性的虛擬實驗共享平臺，使用戶對實驗的使用從傳統的分散小群體模式提升到按需使用跨區域第三方運營的共享模式。本文提出了基于USB Key的CA認證體系，設計了虛擬實驗網絡的安全結構和試驗平臺的身份認證系統。用戶通過USB Key認證登錄后，即可使用本域內或遠程的并行計算環境，按照系統提供的標準服務規范，與實驗系統遠程交互。

虛擬實驗平臺；USB Key；CA認證體系；身份認證系統

傳統的實驗教學模式下，不同教育機構的師資力量和硬件資源參差不齊，并且缺乏必要的教學交流和信息流通，使得好的教學方案和硬件設施不能普及，同時也浪費了大量的人力和物力資源。因此，優化與重整科技基礎資源，構建一個開放、共享的教育平臺已成為我國科技工作的當務之急。隨著計算機網絡技術的迅猛發展，傳統的分散小規模的教育方式急需向跨區域、跨平臺遠程交互方向轉變。正是在這種形勢發展的推動下，作為傳統實驗教學的革新產品，虛擬實驗應運而生。

由于實驗平臺的使用者是互聯網用戶，面對的是身份不同的用戶需求，涉及到網絡安全和信息的安全傳輸，因而在試驗平臺的組網、管理和運營等方面均要考慮到安全性的要求。

本文依托“十一五”國家科技支撐計劃重點項目《虛擬實驗教學環境關鍵技術研究與應用示范》，設計了虛擬實驗網絡安全架構和基于USB Key的虛擬實驗平臺的身份認證系統。集成虛擬實驗教學、管理、運營平臺，形成虛擬實驗教學第三方公共服務模式及運營機制的虛擬實驗系統。

1 虛擬試驗平臺安全需求分析

虛擬實驗平臺集群規模大，用戶數以百萬，身份多樣，包括學校、政府、企業、教師、學生等等，因此，用戶身份驗證、檔案管理復雜，必須建立第三方開放的虛擬實驗公共服務模式和運營機制，同時要求實驗過程中數據的產生和課程成績的管理必須具備高可信度。目前，構建虛擬實驗平臺主要面臨的問題有：（1）教育實驗資源的集成、整合和共享；（2）虛擬實驗運營管理平臺中應用模塊的可互操作性；（3）形成虛擬實驗可伸縮、可定制、可擴展的運營管理平臺。因而實驗平臺的構建復雜，安全性要求高，所以本文選擇建立技術成熟的CA認證體系[1]，采用USB Key攜帶數字證書的認證方案[2-3]。

虛擬實驗平臺的運營過程主要與三種角色交互，即上實驗課的用戶（學生），實驗輔導、考評學生實驗的老師及教務管理老師，系統配置、維護、運行等各種管理人員。其中用戶分為學歷教育用戶和非學歷教育用戶。

學歷教育用戶，一般為在校學生，便于集中管理、統一設置教學計劃。由于學生的流動性大，所以學生的信息由配備有USB Key的學校管理員上報到后臺服務器，后臺服務器系統根據學生的相關信息建立信息數據庫，學生再憑借學號和密碼的方式登錄實驗平臺進行試驗。

非學歷教育用戶最大的特點是其社會性和分散性。學員的學歷結構差異大，專業結構以及年齡分布分散。這部分用戶可以向運營方申請成為會員，運營方為會員建立會員檔案，并發放存儲數字證書的USB Key。會員根據需求到相應的虛擬實驗室選擇實驗桌確定實驗內容，運營方提供即時虛擬實驗服務。

如果該試驗平臺某些模塊需要收費和成績評定，為了防止用戶的抵賴和篡改，需要使用數字簽名技術對實驗結果、成績等重要信息進行簽名。

2 虛擬實驗平臺網絡安全架構

虛擬實驗平臺的組網引入“三縱三橫兩個中心”[4]的信息安全保障技術。如圖1所示，根據處理信息安全等級的不同，應用環境可劃分為核心應用區域、專用應用區域和公共應用區域，每個應用區域都有統一的安全策略和安全防護機制。系統設置安全管理中心和密碼管理中心。其中，安全管理中心負責提供認證策略、授權策略、實時訪問控制策略、審計策略等管理配置服務；密碼管理中心負責提供互聯互通密碼配置、公鑰證書和傳統的對稱密鑰的管理，為信息系統認證和對信息的機密性與完整性保護提供密碼服務。

核心區域和應用區域通過局域網相互連接，采用統一的安全策略。安全策略獨立于所處理的信息的類型和級別，單一物理設備可以位于不同的應用區域之內。本地和遠程用戶訪問某個區域內的資源時，必須滿足該區域的安全策略。同一區域內的不同應用不僅要遵循自己的安全策略，而且要遵循區域統一的安全策略。

這樣可以容易在不同層次以及不同區域之間部署物理/邏輯安全防范措施，形成水平和垂直兩個方向的多層次的保護，使得高風險節點的信息安全風險被局限在相應的區域內或層次上，而不至于到處蔓延。

圖1 虛擬實驗平臺的組網結構

3 虛擬實驗平臺中的身份認證系統設計

3.1 CA系統的設計

CA是整個虛擬實驗平臺安全保障的核心。CA系統將建設一個CA中心（certification authority）和一個RA中心（registration authority），CA系統的所有模塊可以安裝在同一臺服務器上，也可以在多臺服務器上安裝。為了保證系統的安全，CA根服務器必須位于核心區域，子CA位于專用區域。根CA與外界物理隔離，專用區域CA采用邊界控制技術與外界邏輯隔離，管理員通過帶有數字證書的USB Key 認證后訪問CA服務器，進行證書申請、管理等權限內的操作。

CA系統采用模塊化結構設計，由最終用戶、RA管理員、CA管理員、注冊中心（RA）、認證中心（CA）等構成，其中注冊中心（RA）和認證中心（CA）又包含相應的模塊，系統架構如圖2所示。

圖2 CA系統構架

CA系統提供包括證書簽發、證書生命周期管理、證書吊銷列表（CRL）查詢服務、目錄查詢服務、CA管理、密鑰管理和日志審計等功能。在本系統中，CA發放的證書存放在USB KEY中，具備高安全性和可靠性，同時兼具高擴張性，整個C A系統支持多級CA和RA。

圖3 CA層次結構

認證體系采用3層結構：第一層根CA，處于離線狀態，具有權威性和品牌特性；第二層是由根CA簽發的子CA（如域間CA），處于在線狀態，它是簽發系統用戶證書的CA，這一層CA由管理員發布到CA證書發布中心，供域間認證和用戶查詢；第三層為用戶證書，由子CA簽發。如圖3所示。

3.2 認證系統設計

用戶是通過Internet中的Web服務器集群鏈接到可以提供服務的不同域內的Intranet網，因此用戶的操作是基于所有開放的服務，無需關心底層的功能實現。在身份認證上除了權限差異外，都遵循統一的認證規范。

圖4 認證系統框架圖

認證框架圖如圖4所示，認證系統主要包括USB Key 、Web服務器、CA服務器、管理中心（域服務器）、邊界控制器（入口節點）、應用服務器和數據庫。其中：

Web服務器：注冊、發布每個域提供的服務、資源列表，每個域信任的認證中心，每個域的入口節點的信息。

管理中心：管理員通過管理中心對CA服務器和后臺數據庫進行權限內的管理。同時提供對用戶申請資源和提交作業的應答。

CA服務器：認證中心。

邊界控制器：信息進入離開區域或機構的網絡節點。常采用的信息保障技術包括:防火墻、邊界護衛、病毒/惡意代碼防御、入侵檢測、互聯控制等。

數據庫：建立用戶信息數據庫和控制信息數據庫，以及實驗應用數據庫。

應用服務器：計算節點集群，實時提供用戶的應用要求。

USB Key：存放數字證書。

認證流程主要包括如下環節：

（1）用戶在客戶端通過虛擬實驗的Web服務器集群查詢到服務信息；

（2）Web服務器發出回應，并出示服務器證書，顯示Web服務器的真實身份。同時，要求用戶提交用戶證書；

（3）客戶端自動驗證服務器證書，并采用安全連接方式（HTTPs方式）訪問信息系統（安全管理中心），進行系統登錄；

（4）驗證登錄的信息系統的真實性。如果驗證為真，用戶選擇保存在USB KEY上的用戶證書，進行提交；

（5）信息系統驗證用戶提交的用戶證書，判斷用戶的真實身份；

（6）用戶身份驗證通過后，認證中心解析用戶證書，獲得用戶信息，根據用戶信息，查詢信息系統的訪問控制列表（ACL），獲取用戶的訪問授權；

（7）獲得用戶的訪問權限后，在用戶瀏覽器和信息系統服務器之間建立SSL連接，用戶可以訪問到請求的資源；

（8）身份認證和訪問控制流程結束，用戶成功登錄信息系統。

以上認證的過程主要針對遠程登錄的教務員或非學歷教育的用戶，以學歷教育用戶為例。其流程如下：

（1）學生信息庫建立。教務員通過USB Key登錄到響應資源的管理中心，將需要做實驗的學生名單（學號、姓名等身份信息）上報到后臺服務器，后臺服務器系統根據學生的相關信息建立信息數據庫（賬號）；

（2）學生實驗帳號激活。學生上實驗課時需要教師或實驗室管理員通過USB key登陸系統，激活學生賬號，設置實驗內容及實驗時間，學生才能登陸系統進行實驗；

（3）學生登陸。學生登陸界面輸入學號、密碼等相關信息，后臺服務器根據將接受到的信息與數據庫存儲信息比對，如果正確則允許學生用戶使用該試驗平臺。

考慮到時效性和安全性，CA中心、應用服務器以及后臺數據庫的管理員既可直接通過管理中心認證登錄進行管理，也可以通過Web服務器進行認證登錄。但是根CA服務器和一些重要信息備份必須與其他資源物理隔離，所以對于這部分資源的管理一般采取現場認證管理。

4 結語

虛擬實驗平臺集群規模大，要形成可伸縮、可定制、可擴展的虛擬實驗運營管理平臺，其搭建過程復雜，安全性要求高。本文設計的虛擬實驗網絡安全結構可以很好的解決遠程并行計算環境的安全交互和運營管理。由于實驗平臺面對的用戶身份多樣，分為學歷用戶和非學歷用戶，且用戶對實驗平臺的使用和需求各異，針對運營方面臨的運營困難和安全性的要求，本為提出了基于USB Key（CA認證體系）的試驗平臺身份認證系統。很好的解決了運營過程中各級管理權限混淆，層次不清的難題，以及根據用戶需求不同制定不同實驗方案的途徑。

對于CA認證而言，其認證效率受證書鏈長度的影響。顯然，證書鏈越短，認證的效率越高。本文提出的三級證書結構很好的解決了效率的問題。這種布局避免了二級結構帶來的證書臃腫的弊端，不利于管理，一旦受損，經濟損失慘重。各個域的CA由根CA發放，域內用戶的數字證書由域CA簽發，這樣便于證書的管理，也有利于整個實驗平臺的安全組網，很好地滿足了實驗平臺的擴展性要求。從總體而言，該認證框架具有結構簡單、認證效率高、成本低、高安全、高可擴張性和兼容性的特點。

[1] 荊繼武, 林璟鏘, 馮登國. PKI技術[M]. 北京: 科學出版社, 2008.

[2] 張志紅.智能卡安全技術及在PKI中的應用[J].網絡安全技術與應用,2005(6):9-12.

[3] Steffen Frischat. The next generation of USB security tokens[J]. Card Technology Today, 2008, 20(6): 10-11.

[4] 沈昌祥. 基于可信平臺構筑積極防御的信息安全保障框架[J]. 信息安全與通信保密, 2004(9):17-18.

[5] Tosic V, Ma W, Pagurek B. Web service offerings infrastructure-a management Infrastructure for XML web services[J].IEEE/IFIP Network Operations and Management SymPosium, 2004.

[6] Thompson M, Essiari A, Mudumbai S. Certificate-based authorization policy in a PKI environment [J]. ACM Transactions on Information and System Security. 2003,6(4):566-588.

[7]Zhao Y, Liu JQ. An operating system trusted security model for important sensitive information system[C]. In the proceedings of IsDPE 2007, 465-468.

[8] Li MeiHong, Liu JiQiang. USB key-based approach for software Protection[J]. IEEE,Digital Object Identifier:10. 1109/ICIMA. 2009. 5156582. 2009: 151-153.

[9] Polk W T, Hastings N E, MalPani A Public key infrastructures that satisfy security goals Internet Computing[J]. IEEE, 2003, 7(4): 60-67.

[10] Young-SukShin. Virtual experiment environment’s design for science education[J]. IEEE, 2004, 2(3): 62-67.

[11] Dawei Zhang. Network Security Middlewate Based on USB Key[J]. IEEE Digital Object Identifier:10.1109/sec.2008, 8: 77-81.

[12] 楊義先, 鈕心忻. 網絡安全理論與技術[M]. 北京: 人民郵電出版社, 2003.

[13] 楊帆. USBKEY體系研究與技術實現[D]. 武漢: 武漢大學, 2004.

[14] 鐘元生. 電子商務信任管理模型研究[M]. 合肥: 中國科學技術大學出版社, 2005.

[15] 周敏清. 基于USB智能卡的文件加密方法[J]. 科技廣場，2006(7):30-32.

[16] 馬曉陽. 基于網絡的虛擬電子實驗室的構建與應用[J].電子科技,2008,(11).

Design of Information Security Architecture for Virtual Experiment Platform

ZHOU Pei-yuan, PENG Kai-feng

(Institute of Information & System Technology, Huazhong University of Scievice and Technology, Wuhan Hubei 430074, China)

Relying on key projects of the “Eleventh Five-Year” National Science and Technology Supportive Key Project Key Technology Research and Practice Demonstration of the Virtual Experiment and Teaching Environment, the paper aims to construct an open, mutual sharing and highly-secure virtual experiment sharing platform, which enable users to promote the traditional separate small group mode to cross-regional sharing mode of third-party operating in accordance with demand. This paper proposes the CA certification system based on USB key by designing a security architecture of virtual experiment network and an identity authentication system of trial platform. Therefore, the users are able to take advantage of regional or remote parallel computing environment after logging in USB Key certification and accomplish remote interaction with the experimental system in accordance with standard services provided by the system specifications.

virtual experiment platform；USB Key；CA certification system；identity authentication system

TP309

A

1009－5160(2010)03－0045－04

周培源(1965-)，男，副教授，研究方向：嵌入式系統與信息安全.

國家科技支撐計劃“虛擬實驗教學環境關鍵技術研究與應用示范”(2008BAH29B00).