柵格化網絡信任傳遞技術研究

楊 勇,趙 越

(1.海軍駐嘉興地區通信軍事代表室,浙江嘉興314033;2.中國電子科技集團公司第三十研究所,四川成都610041)

柵格化網絡信任傳遞技術研究

楊 勇1,趙 越2

(1.海軍駐嘉興地區通信軍事代表室,浙江嘉興314033;2.中國電子科技集團公司第三十研究所,四川成都610041)

柵格化網絡對信息安全的要求愈加迫切,有必要對其信任傳遞技術進行研究和驗證。構建面向服務的端到端業務訪問的安全體系結構,提出柵格環境下跨域業務訪問的安全防護等關鍵技術,形成基于業務屬性為驅動的動態安全策略防護機制,實現不同類型業務的安全服務能力,有效地保證系統的可靠運轉,為柵格化網絡的建設保障提供有力支撐,并對后期的研究工作進行了展望。

柵格化網絡 面向服務 端到端 信任傳遞 防護質量

0 引 言

柵格化網絡是基于專用通信網絡構建的信息基礎設施,支持在動態變化的網絡環境下資源共享和協同解決問題[1]。通過在分布、異構、自治的網絡資源環境上構造動態的虛擬組織,實現跨自治域的資源共享與資源協作,有效地滿足復雜應用對大規模計算能力和海量數據處理的需求,使網絡上的所有資源便于協同工作,實現資源在跨單位(不同應用)之間應用的共享與集成。柵格化網絡在信息獲取、傳輸、處理、存儲、分發、應用和管理上發揮了重大作用,主要特征是“網系互連、信息服務”。當前,基于柵格技術的通信網絡的研究側重于網絡架構,較少考慮柵格結構下的安全保障技術。而以數據為核心、以服務為基礎的柵格化網絡對信息安全的要求愈加迫切,有必要對其安全性進行研究和驗證。

目前,網絡空間的攻擊能力和攻擊技術發生重大變化,由干擾向誘騙轉變,由竊密向癱網、控網轉變,非法用戶通過實施精確干擾、植入惡意代碼,實現非法和越權訪問,進而控制地面網絡和關鍵系統[2]。扁平化、柵格狀的網絡結構既加強信息的橫向流動與共享,也為信息保障系統帶來了新的安全需求。柵格化網絡對安全保障的需求包括實現向網絡信息服務的靈活動態安全控制模式轉變,為不同的用戶和業務提供不同等級的安全保證,形成多個服務之間的信任傳遞關系是柵格化網絡對安全保障的主要需求之一[3]。

針對上述需求,文中采用面向服務的新概念,對柵格化網絡傳輸的信任傳遞進行研究,有針對性地提出端到端業務的安全防護技術和動態安全策略防護機制,驗證柵格化網絡信息交互和業務訪問等行為的安全認證、可信交互、完整性保護等安全功能。

1 柵格化網絡安全體系結構

本節研究柵格環境下,系統面臨的安全挑戰和安全需求,建立柵格環境下的信息安全框架和規范,建立安全體系架構。

面向服務體系架構(SOA,Service-oriented Architecture)下,實現端到端業務安全訪問的安全體系結構設計思路如圖1所示。參考DISA的安全體系結構和OSIAS的規范[4],服務請求者和服務提供者通過基于開放安全標準(如WS-Security和SAML)的交互平臺交換安全相關信息(如數字證書),在面向服務的端到端訪問過程中,逐段建立應用安全網關設備間的信任關系,以信任擔保機制逐級傳遞終端身份,實現端到端的可信訪問。底層安全基礎設施提供安全服務,如證書服務、屬性服務、策略判決服務、策略管理服務、策略獲取服務、域聯盟服務等安全功能被封裝為安全服務。安全服務不考慮從頭開始實現所有安全基礎設施組件,而是通過集成背板(Integration Backplane)利用現有的企業安全基礎設施。

圖1 端到端業務安全訪問的安全體系結構Fig.1 Service-oriented security architecture of end-to-end traffic access

安全服務以安全服務總線的形式將所有的安全服務集中向應用系統展示和索引。安全服務由安全基礎設施或者其它安全服務提供設備提供支撐,安全基礎設施和其它安全服務提供設備抽象出的安全功能匯聚到安全服務提供接入點,安全服務提供接入點對安全服務進行描述和注冊,注冊成功后用戶就具有使用安全服務的權限。

安全服務管理主要提供對各種安全服務的發布、部署、配置、升級等過程的綜合管理能力,能夠將其它安全設備提供的安全服務在安全服務中心注冊,建立安全服務中心與服務提供的安全設備之間的映射,應用系統使用安全服務時只需要通過安全服務中心就能獲取所有的安全服務,而不用關心該服務是由哪個安全設備提供。為保證安全服務能正常、正確提供其安全功能,通過安全服務審計監控模塊監控服務狀態與執行情況,及時發現異常情況,決定當前服務是否可用[5]。為了防止惡意的服務提供者提供虛假惡意的服務,安全服務應該對服務提供者的身份進行認證并滿足安全需求。

2 面向服務的端到端業務安全性

本節通過研究柵格化信息網中業務系統應用模式、安全需求,提出柵格環境下端到端用戶信任傳遞模型,為柵格網環境下跨域信息共享提供信息安全保障支撐。

服務請求者在請求一個服務時,中間可能會經過多個服務請求轉發者,最終才能在服務提供者處得到服務響應,服務請求者到最終服務提供者之間的訪問稱為一種端到端的業務訪問。隨著業務訪問請求到達服務訪問過程中的每一個服務提供者,每一個服務提供者都可以實施針對初始服務請求者的安全防護和控制。對業務訪問行為和業務數據實施相應的安全防護技術,能夠在訪問過程中進行端到端的身份鑒別、端到端的信息保護、端到端的訪問控制等。一個滿足實際應用的授權框架的目標是足夠靈活適應不同的用戶、資源、操作和策略,以至于能夠擴展到大范圍的應用環境,與更復雜的業務需求相對應,授權機制應能夠移植,并向更靈活的基于屬性的方式發展。

完整的業務流程可能由基于異構平臺的多種服務組合而成,在信任鏈建立或者信任傳遞過程中,每個服務都具有各自獨立的安全域。安全域是統一的認證屬性和授權策略進行維護和管理的一組用戶或相關資源。不同的安全域可能由不同組織的不同部門負責管理和維護,這要求必須在SOA范圍內建立統一的信任體系[6],使得請求者(操作員或程序)能夠在服務間自由流動,系統能夠自動地將請求者身份隨著邊界的不同而轉換。

域聯盟服務為不同安全域的用戶訪問提供信息共享的信任傳遞,包括安全域的注冊與撤銷服務、安全域關系查詢服務。通過域聯盟服務建立一種跨異構網格域的信任認證機制。如圖2(a)所示,在同一個安全域中,服務提供者在安全基礎服務的支撐下,根據請求報文中初始服務請求者的相關信息進行身份鑒別和訪問控制。業務訪問過程的每個服務提供者在代替服務請求者向其他服務提供者申請服務時,在服務請求消息中包含之前所有請求者的身份斷言,并對這部分數據簽名,每一個服務提供者都可以實施對原始服務請求者進行鑒權和控制。進行跨域訪問如圖2(b)所示,端到端業務訪問在域聯盟服務的支撐下,能夠實現用戶跨域訪問的端到端安全防護。服務提供者依托域聯盟服務,通過驗證服務請求中的身份斷言、屬性斷言和策略斷言,能夠驗證來自非本域的服務請求者的身份和權限。

圖2 端到端業務安全防護Fig.2 Security protection of end-to-end service

由于安全體系是基于標準的,使得跨安全域的安全協作與信息共享成為可能,只要所有的安全域都遵從相同的安全服務規范集,它們就能交換身份屬性和訪問控制策略。域聯盟服務為不同安全域的用戶訪問提供信息共享的信任傳遞,包括安全域的注冊與撤銷服務、安全域關系查詢服務。通過域聯盟服務建立跨安全域的信任認證機制。這種級別的跨域互操作性對網絡為中心的環境是至關重要的。

3 業務安全策略動態調整技術

本節借鑒安全防護質量(QoP,Quality of Protection)思路[7],提出基于業務屬性為驅動的動態安全策略防護機制,根據端到端業務的不同屬性動態調整安全防護策略,實現不同等級的安全質量保證。

基于業務屬性的安全策略具有幾個明顯的優點:首先,基于業務屬性有別于身份和角色的方法,靈活的訪問控制策略不能被鎖定到基于用戶單一參數(如身份標識和角色)的評估。如為了提供正確的訪問密級信息的控制,需要考慮不同用戶的其他屬性(如等級、訪問批準或用戶權限)。其次,基于業務屬性綜合考慮各類屬性,這些屬性與那些與用戶關聯的授權策略不同,如資源或環境屬性。

基于業務屬性為驅動的動態安全策略防護機制是指根據業務的不同屬性以及所需要的QoP,動態調整業務防護的安全策略。QoP定義為不同用戶和業務提供分級的安全服務質量保證,滿足日益復雜網絡環境下的安全需求。柵格化網絡提供分組安全傳輸保護的質量,QoP應確保端到端的安全,即確保端到端數據的認證性、機密性、完整性、可控性、脆弱性等。

認證性視為QoP評價的首個重要指標,認證是一種識別用戶身份或權限的特性,用于保證消息的接受者或潛在的交互方是它們所聲稱的那一方,它通常與完整性和機密性一起使用,是訪問控制實施的前提。

機密性指信息不會泄漏給非授權的用戶的特性。在應用層中保證端對端的安全要求,如果在傳輸中的傳輸的消息是不經過加密的明文,極易受到黑客的攻擊。但假如在應用程序中進行安全加密的處理,需要用戶對加密算法有詳細的了解,有許多不同的加密算法適合不同的安全要求,這對于用戶來說是額外的負擔。因此,標準的,安全的,獨立的,透明的運輸層是必要的。

完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。為防止攻擊者篡改報文,實施數字簽名和哈希摘要等安全技術進行完整性保護。機密性和完整性也是QoP評價的重要指標。機密性和完整性不僅依賴于特定的環境,而且與采用的加密算法緊密相關。另外機密性和完整性的QoP還與密鑰的管理緊密相關。

可控性指可被授權實體訪問并按需求使用的特性。它包括排它性和時效性兩個特性。排它性指只有授權實體才能訪問數據和資源,確保非授權用戶不能破壞、劫持或阻止授權用戶訪問和使用資源,因此對授權用戶提供訪問機制,對非授權用戶提供拒絕訪問機制。

時效性指在規定時段內訪問的特性,要求具有合理的請求或響應時間。網絡環境下拒絕服務和重放攻擊都屬于對可控性的攻擊方式。為了防止重放,實施設計時間戳、有效期等安全技術。脆弱性是QoP評價的另一個重要指標,脆弱性指對安全漏洞的評估和病毒檢查,它可以通過系統的主動檢測、打補丁、不斷升級來消除系統的隱患。

安全策略服務提供應用業務的屬性注冊、屬性查詢、屬性維護管理等功能。根據服務請求者和服務提供者的屬性進行安全策略的調整,在安全策略服務支撐下,服務提供者根據安全策略對服務請求者實施不同安全保障質量的端到端安全防護。業務屬性利用屬性證書標示不同的角色信息。柵格化網絡的系統安全服務端承當屬性證書發放、查詢、更新、撤銷的職能,建立業務屬性和安全策略對應關系模型。屬性證書存放在證書庫中,撤銷的證書存放在證書撤銷列表中。

基于業務屬性為驅動的動態安全策略防護機制如圖3所示,根據任務領域中輸入不同安全屬性的業務,系統先依據屬性證書獲取主體屬性、業務屬性、環境屬性和任務屬性等信息,系統服務端進行動態評估并制設置各種安全策略,并輸出不同安全質量等級的安全策略至各客戶端。其中,主體屬性是指用戶基本信息、安全等級和在各應用系統中的角色信息,安全服務提供主體屬性證書查詢與獲取功能,為策略判決服務提供支持;業務屬性是指應用業務為視頻、語音、圖像或數據等,業務屬性與應用對象相關聯,安全服務提供業務標識符和關鍵字等;環境屬性指操作時間、地理位置和空間環境等[8];任務屬性指業務的重要程度和安全級別,包括核心、重要、一般等。

圖3 基于業務屬性為驅動的動態安全策略防護機制Fig.3 Dynamic security policy protection mechanisms based on service property

柵格化網絡信息安全性的研究依托實驗室演示試驗環境,通過網絡攻擊模擬系統演示非法接入、篡改報文、智能重放、蠕蟲病毒等四種攻擊行為[9-10],驗證系統端到端指揮業務的安全性,系統支持多層次、多手段的動態安全策略調整能力,實現跨安全域信息共享與資源訪問的動態認證技術、多種安全防護技術融合,滿足SOA架構下跨技術體制、全網用戶身份安全標識,以及基于身份認證的動態授權與策略判決需求。

4 結 語

文中研究柵格化網絡的信任傳遞技術,構建面向服務的端到端業務訪問安全體系結構,提出柵格環境下跨域業務訪問的安全防護等關鍵技術,形成基于業務屬性為驅動的動態安全策略防護機制,有效地保證系統的可靠運轉,為柵格化網絡的建設保障提供有力支撐。

后期的工作還存在一些亟待解決的問題:

1)建立QoP評估指標與安全保障模型。在實際應用中根據業務面臨的安全風險和防護質量需求,對認證性、機密性、完整性、可控性、脆弱性等指標進行綜合量化分析,形成完備的、一致的動態自適應網絡防護質量的評估體系,并基于評估結果,形成業務的安全保障策略。

2)分析業務的性能指標與安全指標的關系,評估安全策略的配置對系統性能的影響,實現性能指標與安全指標的權衡與折衷,對安全性等級、防護質量評估、策略機制算法評價模型進行綜合分析,滿足解決網絡安全和服務質量(Qos,Quality of Service)聯合問題的需要,設計新的系統架構來滿足分層分級的服務質量和安全需求針對不同業務應用形成相應的最優安全防護策略。

[1] 郭智恩,戴一奇.柵格化網絡跨域通信資源聯合調度方法[J].解放軍理工大學學報:自然科學版,2013, 14(02):124-128.

GUO Zhi-en,DAI Yi-qi,On Cross-Domain Communication Resource Scheduling Method for Grid-Enabled Networks [J],Journal of PLA University of Science and Technology: Natural Science Edition,2013,14(02):124-128.

[2] 周楝淞,楊潔,譚平嶂,等.基于身份的密碼系統及其實現[J].通信技術,2010,43(06):68-70.

ZHOU Lian-song,YANG Jie,TAN Ping-zhang,et al. Implementation of Identity-based Cryptosystem[J], Communications Technology,2010,43(06):68-70.

[3] 鐘華,陶妍丹,桂勇勝.基于柵格化信息網的高速網絡安全防護技術[J].現代計算機:專業版,2012, 24(08):19-22.

ZHONG Hua,TAO Yan-dan,GUI Yong-sheng.High-Speed Network Secure Protection based on Information Networks of the Grid[J].Modern Computer,2012, 24(08):19-22.

[4] 馬鵬飛,常書杰.軍網安全防護問題研究[J].兵工自動化,2011,30(03):48-50.

MA Peng-fei,CHANG Shu-jie.Research of Military Network Security Protection Problem[J].Ordnance Industry Automation,2011,30(03):48-50.

[5] 張慧文,鮑廣宇,張義.柵格化網絡態勢感知能力評估模型[J].指揮控制與仿真,2013,35(02):9-13.

ZHANG Hui-wen,BAO Guang-yu,ZHANG Yi.Evaluation Model of Situational Awareness Ability for Grid Network[J],Command Control&Simulation,2013, 35(02):9-13.

[6] 羅云鋒,伏海斌,徐昆,等.面向SOA的密碼服務安全框架研究[J].計算機與數字工程,2012,40(11):115-166.

LUO Yun-feng,FU Hai-bin,XU kun,et al.Research on Security Framework for SOA-Oriented Cryptograph Service[J],Computer&Digital Engineering,2012, 40(11):115-166.

[7] 林闖,肖巖平,王元卓,等.網絡保護質量研究[J].計算機學報,2008,31(10):1667-1678.

LIN Chuang,XIAO Yan-ping,WANG Yuan-zhuo,et al.Research on Quality of Protection in Networks[J], Chinese Journal of Computers,2008,31(10):1667-1678.

[8] 施慧杰,顧浩,杜陽華.海戰場態勢感知能力的度量方法研究[J].指揮控制與仿真,2010,32(03):28-35.

SHI Hui-jie,GUO hao,DU Yang-hua.Research on Measurement of Sea Battlefield Situation Awareness[J], Command Control&Simulation,2010,32(03):28-35.

[9] 梁競敏.無線網安全技術的研究[J].計算機與數字工程,2008,36(06):133-135.

LIANG Jing-min.Research of Wireless Network Security Technology[J],Computer&Digital Engineering,2008, 36(06):133-135.

[10] 易平,吳越,鄒福泰,等.基于免疫機制的無線Mesh網絡安全模型[J],上海交通大學學報,2010, 44(02):264-270.

YI ping,WU Yue,ZOU Fu-tai,et al.Immunity-based Security Model for Wireless Mesh Networks[J],Journal of Shanghai Jiaotong University,2010,44(02):264-270.

YANG Yong(1978-),male,bachelor,engineer,majoring in information transfer and communication network security technology.

趙 越(1983—),男,博士,工程師,主要研究方向為移動通信及無線網絡。

ZHAO Yue(1983-),male,Ph.D.,engineer,mainly engaged in mobile communications and wireless networks.

Trust Transitivity Technique in Grid-Enabled Networks

YANG Yong1,ZHAO Yue2
(1.Military Representative Office of Navy Communication in Jiaxing District,Jiaxing Zhejiang 314033,China; 2.No.30 Institute of CETC,Chengdu Sichuan 610041,China)

The demand for information security in grid-enabled network becomes extremely urgent,so it is necessary to study and verify the trust transitivity technique.This paper describes the service-oriented security architecture of end-to-end traffic access,proposes some key technologies,such as safety protections of cross-domain traffic access in the grid environment,then analyzes the dynamic security policy protection mechanisms based on the service property.As a result,different types of the security service capability could be achieved,and the system reliability be effectively ensured,thus to provide strong support for the construction of grid-enabled networks.Finally the future research work is forecasted.

grid-enabled network;service-oriented;end-to-end;trust transitivity;QoP

10.3969/j.issn.1002-0802.2014.02.016

楊 勇(1978—),男,學士,工程師,主要研究方向為通信網信息傳輸與安全防護技術;

TP393

A

1002-0802(2014)02-0200-05