EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的安全管理①

李 芻, 肖炳甲,, 袁旗平, 張睿瑞

1(中國科學(xué)技術(shù)大學(xué), 合肥 230022)

2(中國科學(xué)院 合肥物質(zhì)科學(xué)研究院, 合肥 230031)

隨著磁約束核聚變科學(xué)研究的蓬勃發(fā)展, 聚變裝置托卡馬克在規(guī)模、復(fù)雜性以及運(yùn)行費(fèi)用上不斷增長.為了提高合作的便捷性, 利用先進(jìn)計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)構(gòu)建遠(yuǎn)程合作研究平臺, 可以避免傳統(tǒng)合作方式帶來的地理位置的局限性和人員精力財(cái)力的浪費(fèi), 從而推進(jìn)聚變研究的發(fā)展. 隨著32 s的H模和400 s長脈沖等離子體運(yùn)行的實(shí)現(xiàn)和一系列物理成果的獲得,EAST已經(jīng)發(fā)展成為國際上重要的合作實(shí)驗(yàn)平臺, 因此發(fā)展EAST上的支持遠(yuǎn)程參與的先進(jìn)等離子體控制系統(tǒng), 針對EAST等離子體遠(yuǎn)程控制的需要, 開發(fā)基于Web的遠(yuǎn)程等離子控制系統(tǒng)有著重要的意義. 基于Web的遠(yuǎn)程等離子體控制系統(tǒng)基本功能框圖如圖1所示, 主要由操作請求門戶系統(tǒng)、即時(shí)控制服務(wù)系統(tǒng)、放電策略管理系統(tǒng)和等離子體控制(Plasma Control System, PCS)構(gòu)成, 門戶系統(tǒng)設(shè)計(jì)主要負(fù)責(zé)身份驗(yàn)證與授權(quán)、請求格式檢查和技術(shù)數(shù)據(jù)檢查. 當(dāng)遠(yuǎn)程實(shí)驗(yàn)人員通過Web界面提交操作請求后, 將經(jīng)過門戶系統(tǒng)進(jìn)行嚴(yán)格的安全和有效性檢查, 有效的操作請求通過接口與PCS服務(wù)進(jìn)程或者放電方案管理服務(wù)通訊, 實(shí)現(xiàn)等離子體放電參數(shù)的遠(yuǎn)程設(shè)置. 同時(shí)PCS運(yùn)行的狀態(tài)和本地設(shè)置參數(shù)可實(shí)時(shí)回饋給遠(yuǎn)程實(shí)驗(yàn)人員并在界面上顯示.

如今網(wǎng)絡(luò)的技術(shù)日益成熟, 黑客對服務(wù)器攻擊逐步轉(zhuǎn)移到針對應(yīng)用系統(tǒng), 例如Web站點(diǎn)等, 根據(jù)Gartner Group 的調(diào)查, 信息安全攻擊有 75% 都發(fā)生在Web應(yīng)用層面上. EAST遠(yuǎn)程等離子體控制系統(tǒng)連接國家大型熱核聚變實(shí)驗(yàn)裝置, 因此其門戶系統(tǒng)是遠(yuǎn)程等離子體控制系統(tǒng)安全的重要因素.

圖1 遠(yuǎn)程等離子體控制系統(tǒng)基本功能框圖

1 門戶系統(tǒng)總體原則和技術(shù)選擇

1.1 設(shè)計(jì)總體原則

完善的縱深防御體系是Web站點(diǎn)安全的重要保證. 總體上縱深防御體系分為技術(shù)層面和管理層面兩部分. 本文主要從技術(shù)層面進(jìn)行對系統(tǒng)進(jìn)行分析. EAST遠(yuǎn)程等離子體控制系統(tǒng)涉及重大裝置實(shí)驗(yàn), 要求系統(tǒng)比較高的安全性能, 根據(jù)縱深防御體系原則, 設(shè)定門戶系統(tǒng)安全性能要求[1–5]如下:

1) 用戶需要登錄認(rèn)證;

2) 所有用戶訪問有記錄;

3) 用戶提交的數(shù)據(jù)必須有相應(yīng)權(quán)限;

4) 提交數(shù)據(jù)必須符合相應(yīng)的規(guī)則限制;

5) 所有提交數(shù)據(jù)有記錄(特別是有危險(xiǎn)性的數(shù)據(jù)繞過前端和后端提交到EAST等離子體控制系統(tǒng)要及時(shí)通知管理員).

1.2 系統(tǒng)的技術(shù)選擇

C/S(Client/Server)結(jié)構(gòu)和B/S(Browser/Server)結(jié)構(gòu)是常用的應(yīng)用系統(tǒng)軟件結(jié)構(gòu), B/S結(jié)構(gòu)在客戶端采用瀏覽器, 不用針對不同的操作系統(tǒng)開發(fā)專門的客戶端軟件, 具有跨平臺屬性, 具有開發(fā)速度快, 成本小特點(diǎn).特別是Web2.0時(shí)代, B/S結(jié)構(gòu)被廣泛應(yīng)用. B/S結(jié)構(gòu)采用AJAX在客戶端進(jìn)行局部處理, 增強(qiáng)了交互性, 實(shí)現(xiàn)實(shí)時(shí)刷新. 因此EAST遠(yuǎn)程等離子體控制系統(tǒng)其門戶系統(tǒng)采用B/S結(jié)構(gòu)進(jìn)行設(shè)計(jì)開發(fā).

VPN是基于公共網(wǎng)絡(luò)或其他網(wǎng)絡(luò)的一種特殊通道, 其本質(zhì)是一個(gè)邏輯的點(diǎn)到點(diǎn)鏈接, 這個(gè)鏈接為隧道的兩個(gè)端點(diǎn)提供了認(rèn)證、加密和訪問控制, 可以提高服務(wù)器安全性. EAST遠(yuǎn)程等離子體控制系統(tǒng)設(shè)定為中國科學(xué)院等離子體物理研究所的內(nèi)網(wǎng), 世界各地合作單位在實(shí)驗(yàn)期間開通VPN服務(wù)連接到中國科學(xué)院等離子體物理研究所所網(wǎng)后訪問EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)服務(wù)器. VPN在一定程度上加強(qiáng)了EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的安全性, 提高了系統(tǒng)的服務(wù)質(zhì)量.

HTTPS雙向認(rèn)證在HTTP的基礎(chǔ)上加入了SSL協(xié)議, SSL協(xié)議依靠數(shù)字證書來驗(yàn)證服務(wù)器和客戶端的身份, SSL協(xié)議為瀏覽器和服務(wù)器之間的通信加密. 相比于HTTPS單向認(rèn)證, 雙向認(rèn)證增強(qiáng)了服務(wù)器對客戶端的認(rèn)證, 有效降低非法用戶訪問門戶系統(tǒng).EAST用戶必須安裝服務(wù)器數(shù)字證書中心頒發(fā)的數(shù)字證書, 同時(shí)用戶必須接受EAST服務(wù)器數(shù)字證書, 雙方完成數(shù)字證書認(rèn)證之后才進(jìn)行正常通信. HTTPS雙向認(rèn)證保證只有合法的客戶端才可以訪問EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)服務(wù)器. 數(shù)字證書一般放置在專門USB或者安裝在瀏覽器中, 數(shù)字證書安裝在瀏覽器中比放置專門的U盤中使用方便, 不需要針對不同操作系統(tǒng)開發(fā)不同USB插件, 降低了開發(fā)成本.

驗(yàn)證碼的功能主要是防止黑客使用程序惡意注冊、暴力破解或批量發(fā)帖. 用戶肉眼識別其中的驗(yàn)證碼信息, 輸入表單提交網(wǎng)站驗(yàn)證, 驗(yàn)證成功后才能提交數(shù)據(jù). 隨機(jī)驗(yàn)證碼一定程度提高了系統(tǒng)的安全性. 郵箱驗(yàn)證和手機(jī)驗(yàn)證一般作為認(rèn)證用戶資料的一種方式,同時(shí)發(fā)送驗(yàn)證碼作為確認(rèn)用戶信息的驗(yàn)證. 郵箱和手機(jī)私密性比較高, 被竊取的可能性小. 郵箱屬于虛擬物品, 手機(jī)是實(shí)物, 在安全性上手機(jī)驗(yàn)證碼安全性高于郵箱驗(yàn)證碼. EAST遠(yuǎn)程等離子體控制系統(tǒng)屬于內(nèi)網(wǎng), 無法利用外部短信平臺發(fā)送短信, 而且存在手機(jī)號泄露風(fēng)險(xiǎn), 建立EAST門戶系統(tǒng)的專用短信平臺, 不僅用戶方便登錄, 而且增強(qiáng)門戶系統(tǒng)的安全性. EAST用戶在世界各個(gè)地方登錄EAST遠(yuǎn)程等離子體控制系統(tǒng), 國外用戶可以通過郵箱驗(yàn)證碼登錄系統(tǒng), 國內(nèi)用戶可以采用手機(jī)驗(yàn)證碼或郵箱驗(yàn)證碼登錄系統(tǒng).

2 系統(tǒng)實(shí)現(xiàn)

2.1 系統(tǒng)網(wǎng)絡(luò)拓?fù)浼軜?gòu)

系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖2所示, EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)屬于等離子所內(nèi)網(wǎng), 外部研究所單位和辦公地點(diǎn)需要通過VPN通道進(jìn)入所網(wǎng)訪問EAST遠(yuǎn)程參與服務(wù)器. EAST遠(yuǎn)程參與服務(wù)器通過內(nèi)部網(wǎng)絡(luò)訪問EAST服務(wù)器群獲取所需數(shù)據(jù)[4,6], 提供給用戶. 短信平臺和和郵箱系統(tǒng)屬于門戶系統(tǒng)的附屬系統(tǒng), 其功能是給用戶發(fā)送郵箱驗(yàn)證碼和手機(jī)驗(yàn)證碼.

EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)采用基于MVC設(shè)計(jì)模式的國產(chǎn)優(yōu)秀ThinkPHP開源框架穩(wěn)定版本. ThinkPHP框架是一款性能卓越功能豐富的輕量級PHP開發(fā)框架, 支持ORM實(shí)現(xiàn)、擴(kuò)展機(jī)制、分組模塊、數(shù)據(jù)庫特性和視圖模型等眾多優(yōu)點(diǎn). 優(yōu)秀的開源框架通過專業(yè)人士不斷迭代, 完善框架安全, 經(jīng)過更多人的測試, 比自己單獨(dú)開發(fā)更加安全, 設(shè)計(jì)更加完善.采用ThinkPHP框架可以加快開發(fā)和迭代速度, 更好更快的完善系統(tǒng), 降低系統(tǒng)開發(fā)成本.

圖2 系統(tǒng)拓?fù)鋱D

2.2 數(shù)字證書系統(tǒng)

EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)數(shù)字證書系統(tǒng)搭建基于OpenSSL開源軟件包. OpenSSL軟件由于其開源性使它經(jīng)過眾多開發(fā)和應(yīng)用者的改進(jìn)和完善的,可以直接下載編譯使用, 安全性可以保證, 開發(fā)容易,是小范圍系統(tǒng)使用自建數(shù)字證書系統(tǒng)的主要選擇.OpenSSL軟件主要包含三大體系: 密碼算法庫體系、SSL協(xié)議庫體系和應(yīng)用程序體系, 使用該軟件包可以直接生產(chǎn)符合X.509標(biāo)準(zhǔn)的數(shù)字證書, 其中的CA應(yīng)用程序是一個(gè)證書管理中心(如圖2中CA數(shù)字證書中心), 可以實(shí)現(xiàn)整數(shù)簽發(fā)管理的整個(gè)流程, 修改OpenSSL配置, 實(shí)現(xiàn)HTTPS雙向認(rèn)證, 從而實(shí)現(xiàn)系統(tǒng)的身份認(rèn)證功能[7–10].

2.3 門戶系統(tǒng)短信平臺

手機(jī)短信平臺的構(gòu)建是基于工業(yè)級WAVE短信貓、JAVA和Mysql數(shù)據(jù)庫技術(shù). WAVE短信貓是成熟的工業(yè)產(chǎn)品, 常用于公司內(nèi)部短信平臺的構(gòu)建. 短信平臺放置在EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的下,設(shè)定為只允許EAST遠(yuǎn)程系統(tǒng)訪問, 拒絕其他用戶隨意使用, 降低短信平臺被攻擊的可能性. 短信平臺采用單例模式開發(fā), 數(shù)據(jù)庫設(shè)定為三張表: 用戶表、待發(fā)送表和發(fā)送結(jié)果表. 用戶表限制發(fā)送請求人的范圍, 每人都有每天數(shù)量限制, 以提高平臺穩(wěn)定性. 門戶系統(tǒng)把發(fā)送短信內(nèi)容和手機(jī)號寫入短信發(fā)送數(shù)據(jù)庫待發(fā)送表,短信平臺主機(jī)不停地掃描短信發(fā)送數(shù)據(jù)庫并發(fā)送短信,成功后寫入發(fā)送結(jié)果表, 門戶系統(tǒng)查詢發(fā)送結(jié)果表.

2.4 身份驗(yàn)證與授權(quán)

身份驗(yàn)證與授權(quán)分為數(shù)字證書認(rèn)證和登錄認(rèn)證兩部分. 數(shù)字證書認(rèn)證部分用戶需要向管理員申請數(shù)字證書, 管理員向EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的CA中心申請數(shù)字證書發(fā)給用戶, 用戶在客戶端(瀏覽器)安裝數(shù)字證書后[4,6], 訪問的EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的登錄頁面登錄, EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的數(shù)字證書申請和驗(yàn)證流程. 在HTTPS雙向認(rèn)證的基礎(chǔ)之上, EAST門戶系統(tǒng)設(shè)計(jì)為用戶每次采用用戶名+密碼+隨機(jī)驗(yàn)證碼+郵箱驗(yàn)證碼/手機(jī)短信驗(yàn)證碼進(jìn)行登錄(如圖3). 例如用戶輸入用戶名密碼后點(diǎn)擊選擇手機(jī)驗(yàn)證碼后, 門戶系統(tǒng)驗(yàn)證用戶名密碼, 然后通過用戶數(shù)據(jù)和LDAP用戶數(shù)據(jù)庫進(jìn)行驗(yàn)證, 當(dāng)驗(yàn)證通過時(shí), 查詢用戶手機(jī)號, 同時(shí)生成六位隨機(jī)驗(yàn)證, 并向短信平臺短信數(shù)據(jù)庫寫入發(fā)送內(nèi)容和手機(jī)號, 用戶填入手機(jī)驗(yàn)證和隨機(jī)驗(yàn)證碼后, 門戶系統(tǒng)進(jìn)行綜合驗(yàn)證.用戶成功登錄后獲得相應(yīng)的授權(quán), 同時(shí)在登錄界面設(shè)置本次操作的類型, 即時(shí)控制或方案設(shè)置. 用戶信息及權(quán)限在用戶管理數(shù)據(jù)庫中記錄, 登錄界面從后臺數(shù)據(jù)庫中讀取信息進(jìn)行驗(yàn)證. 這種遠(yuǎn)程操作人員身份的雙重驗(yàn)證, 可有效保證系統(tǒng)的安全. 用戶可以在用戶后臺看到自己權(quán)限和個(gè)人資料, 可以完善手機(jī)號等信息, 可以查看自己擁有的權(quán)限并可以向管理申請?zhí)岣邫?quán)限.管理員后臺可以查看和修改所有人擁有的權(quán)限, 查看所有人登錄記錄和提交數(shù)據(jù)記錄.

圖3 用戶登錄界面

2.5 請求格式檢查和技術(shù)數(shù)據(jù)檢查

根據(jù)遠(yuǎn)程用戶操作類型的選擇, 獲得界面數(shù)據(jù), 反饋到用戶操作界面. 若選擇了即時(shí)控制服務(wù), 則獲得當(dāng)前本地控制系統(tǒng)所有預(yù)設(shè)信息; 而方案預(yù)設(shè)服務(wù)則可選從歷史炮、已有方案中調(diào)用, 界面上的所有數(shù)據(jù)從調(diào)用文件中獲得, 或者是選擇默認(rèn)界面. 當(dāng)完成界面參數(shù)的設(shè)置并提交后, 產(chǎn)生一個(gè)遠(yuǎn)程請求給操作請求門戶系統(tǒng), 首先對請求格式按照預(yù)先的定義進(jìn)行檢查, 若格式不符合規(guī)范, 則可能是網(wǎng)絡(luò)傳輸中造成了錯(cuò)誤, 結(jié)果反饋給用戶界面. 若格式正確則進(jìn)行更為嚴(yán)格的技術(shù)數(shù)據(jù)檢查, 如圖4所示, 檢查規(guī)則由一系列的邏輯模塊構(gòu)成, 如EAST極向場電源的最大電壓限定值, 線圈電流最大值, 等離子體密度設(shè)置范圍等. 采用邏輯模塊的方式, 便于各系統(tǒng)定義檢查規(guī)則并納入門戶系統(tǒng)中.請求格式檢查和技術(shù)數(shù)據(jù)檢查是對用戶提交實(shí)驗(yàn)數(shù)據(jù)設(shè)定的存儲和數(shù)據(jù)效驗(yàn)規(guī)則. 為減輕EAST服務(wù)器的壓力, EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)設(shè)計(jì)在前端用js編寫請求格式檢查驗(yàn)證, 在服務(wù)器端用php再次編寫請求格式檢查和技術(shù)數(shù)據(jù)檢查模塊對提交數(shù)據(jù)再次驗(yàn)證, 防止黑客繞過前端直接提交同時(shí)對數(shù)據(jù)進(jìn)行保存, 在EAST服務(wù)器請求格式檢查和技術(shù)數(shù)據(jù)檢查模塊做最后驗(yàn)證, 最大限度過濾非法數(shù)據(jù)提交. 用戶后臺可以查看自己數(shù)據(jù)提交記錄和自己的權(quán)限, 可以溝通管理員提高權(quán)限. 管理員后臺可以修改所有用戶的權(quán)限和查看用戶提交所有數(shù)據(jù)記錄.

圖4 技術(shù)數(shù)據(jù)檢查功能模塊

3 測試應(yīng)用

EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)部署環(huán)境:centos6.7 穩(wěn)定版, Apache2.2.15, mysql 14.14 穩(wěn)定版. 短信平臺部署環(huán)境: windowserver2008R2 版本, mysql 14.14穩(wěn)定版. EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的CA證書中心部署環(huán)境: centos6.7穩(wěn)定版. 按照企業(yè)測試流程編寫測試計(jì)劃、流程和測試用例, 分別進(jìn)行UI測試、鏈接測試、表單測試、輸入域測試、分頁測試、交互性測試、功能測試和安全測試.

首先測試系統(tǒng)是否實(shí)現(xiàn)HTTPS雙向認(rèn)證: 用戶必須有經(jīng)過管理員頒發(fā)數(shù)字證書才可訪問EAST遠(yuǎn)程等離子體控制門戶系統(tǒng), 否則會提示服務(wù)器要求客戶端提供合法數(shù)字證書. 其次進(jìn)行登錄功能驗(yàn)證測試、后臺管理功能測試和用戶后臺測試, 經(jīng)過大量測試實(shí)現(xiàn)預(yù)定目標(biāo). 針對手機(jī)驗(yàn)證和郵箱驗(yàn)證碼功能測試, 對于郵箱驗(yàn)證功能測試主要在門戶系統(tǒng)服務(wù)器端, 經(jīng)過大量測試, 門戶系統(tǒng)可以正常發(fā)送郵箱驗(yàn)證碼. 針對短信驗(yàn)證功能測試包括服務(wù)器端功能測試和短信平臺測試兩部分, 需要編寫專門的測試計(jì)劃, 先測試程序無BUG, 再進(jìn)行連接WAVE短信貓進(jìn)行發(fā)送短信測試以節(jié)約測試成本, 通過不同方案測試測試短信平臺是否可以穩(wěn)定運(yùn)行, 經(jīng)過專業(yè)測試證實(shí)短信平臺可以正常工作. 測試權(quán)限驗(yàn)證是否有效, 用戶首次登錄時(shí)用戶名密碼來源于LDAP賬戶, 用戶只有讀的權(quán)限操作, 用戶可以在后臺完善個(gè)人信息(手機(jī)號等)、向管理員申請?zhí)岣邫?quán)限. 權(quán)限測試如圖5所示, 用戶在一部分的category上具有寫的權(quán)限, 其他部分只有讀的權(quán)限, 當(dāng)只有讀的權(quán)限時(shí), 用戶無法提交當(dāng)前category方案的數(shù)據(jù). 測試技術(shù)數(shù)據(jù)檢查模塊是有效, 例如PS1放電方案約束電流值為[–350, 350], 當(dāng)用戶提交數(shù)據(jù)超過約束電流值范圍時(shí), 系統(tǒng)提示用戶設(shè)定數(shù)據(jù)不符合規(guī)范, 請進(jìn)行修改(如圖6所示). 經(jīng)過大量測試, 格式檢查和技術(shù)數(shù)據(jù)檢查模塊完全實(shí)現(xiàn)預(yù)期設(shè)定目標(biāo), 同時(shí)保證了系統(tǒng)的可擴(kuò)展性.

圖5 權(quán)限檢查

圖6 數(shù)據(jù)有效性檢查

4 總結(jié)

EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)采用VPN、數(shù)字證書認(rèn)證系統(tǒng)和ThinkPHP框架等技術(shù)構(gòu)建了完善的縱深防御體系, 保證了系統(tǒng)的安全性, 實(shí)現(xiàn)了EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的身份驗(yàn)證與授權(quán)、請求格式檢查和技術(shù)數(shù)據(jù)檢查功能, 系統(tǒng)采用成熟的java和WAVE短信貓構(gòu)建了EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)的短信平臺, 同時(shí)利用現(xiàn)有的郵箱系統(tǒng)實(shí)現(xiàn)郵箱驗(yàn)證碼發(fā)送, 建立功能完善的郵箱驗(yàn)證碼和短信驗(yàn)證碼發(fā)送功能. 采用獨(dú)立的技術(shù)數(shù)據(jù)檢查模塊對各個(gè)放電方案分別進(jìn)行檢查, 保障了系統(tǒng)可擴(kuò)展性. EAST遠(yuǎn)程等離子體控制門戶系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)三大設(shè)定功能目標(biāo), 保證了遠(yuǎn)程等離子體控制系統(tǒng)的安全性、可擴(kuò)展性和易維護(hù)性, 后續(xù)工作主要是根據(jù)科研工作需要進(jìn)行擴(kuò)展和升級門戶系統(tǒng)功能.