信息系統(tǒng)認證體系結構及相關技術研究.pdf

1、隨著信息系統(tǒng)應用的不斷普及和深化，信息安全問題越來越受到重視。為實現(xiàn)信息系統(tǒng)的安全目標，需要系統(tǒng)能夠提供相關的安全服務：身份標識與認證服務、授權與訪問控制服務、非否認服務、機密性服務、完整性服務。其中，認證服務是其他安全服務的基礎。 世界各國信息安全領域的研究，已經(jīng)從早期的通信保密到信息安全發(fā)展到目前的信息保障階段。為保障信息系統(tǒng)的安全，美國國家安全局推出了<<信息保障技術框架(IATF)3．0>>，國內信息安全專家沈昌祥院士也

2、提出了“三縱三橫兩個中心”的信息安全三重保障體系結構。信息安全保障體系結構對構建安全的信息系統(tǒng)具有重大的指導意義和實用價值。 依據(jù)信息安全保障體系不難得出：只有立足于終端，從源頭抓起，在信息系統(tǒng)各個應用區(qū)域邊界對其保護的資源采用不同的安全保護措施，才能構筑起全面高效的安全防護系統(tǒng)。正是在這種背景下，人們逐漸認識到終端安全的重要意義，終端安全的思想也逐漸被重視。1999年成立的可信計算平臺聯(lián)盟提出了“可信計算”概念，其思路就是從終

3、端安全入手，針對目前通用計算平臺由于硬件體系結構的簡化和操作系統(tǒng)內在的脆弱性而引起的諸多安全問題，引入可信平臺模塊TPM以及相關的軟件作為系統(tǒng)的可信根，通過信任的傳遞過程，確保計算平臺和應用程序的可信賴性，提高終端平臺的安全性。但是，要想獲得TCG定義的各種安全特性，就必須替換平臺主板。而且，TCG定義的可信計算忽略了對終端用戶的可信認證。 應用區(qū)域邊界作為信息系統(tǒng)安全保護的一個控制點，常采用防火墻技術對應用環(huán)境進行保護，保證合

4、法的訪問請求才能進入邊界，并對離開區(qū)域邊界的信息進行控制。目前網(wǎng)絡層的防火墻、VPN設備，實現(xiàn)的訪問控制策略主要基于主機地址、協(xié)議類型、端口號等信息，不能實現(xiàn)基于實際用戶身份、應用協(xié)議、甚至命令的細粒度控制；防火墻和VPN可以和其他用戶認證技術結合，但認證方法是與IP通信相獨立的，即不能在后續(xù)的通信中維持認證結果。 另一方面，應用環(huán)境中的各應用服務由于其安全要求不同，要求使用不同的認證方法對發(fā)起訪問請求的主體的身份進行認證。不同

5、的應用采用不同的認證方法，其結果是用戶的身份管理與配置也越來越復雜。造成這種結果的主要原因在于將各種應用服務的用戶認證孤立起來考慮，而沒有從體系結構的角度出發(fā)考慮建立整個信息系統(tǒng)的認證體系。論文在“三縱三橫兩個中心”的信息安全保障技術框架的指導下，圍繞上述認證所存在的問題展開研究和實踐，最終目的是保證信息系統(tǒng)中每一個用戶都是經(jīng)過認證的，并以此為基礎，保障整個信息系統(tǒng)的安全。論文取得了以下主要成果： (1)在分析信息系統(tǒng)的組成以及

6、為達到信息系統(tǒng)安全目標所需的保障措施基礎上，在<<信息保障技術框架(IATF)3．0>>及“三縱三橫兩個中心”的信息安全保障技術框架指導下，給出了信息系統(tǒng)認證體系結構。該體系結構由三個層次組成：終端操作平臺用戶的可信認證、用戶訪問本地應用域中被保護應用服務時的認證以及用戶訪問遠程應用域中被保護資源時的認證。通過這三個層次相對獨立又相互關聯(lián)的認證，為信息系統(tǒng)提供全面、完整的認證體系結構。 (2)解決平臺不可信的一種辦法是對計算平臺

7、實施完整性校驗。TCG將可信的概念引入到通用計算平臺中，試圖從系統(tǒng)完整性角度來解決平臺可信問題。但是，TCG所定義的可信計算平臺的實施，需要在平臺上增加稱為TPM的硬件模塊。對于目前通用平臺而言，要想獲得TCG定義的各種安全特性，就必須替換平臺主板，對信息系統(tǒng)原有的投資造成很大的浪費，其通用性不好。而且，TCG所定義的基于TPM的可信引導沒有對用戶的可信進行驗證。論文針對這兩個問題，研究了將具有可信平臺模塊功能的設備通過通用USB接口連

8、到平臺的辦法，通過設計相關軟件，解決了通用計算平臺可信機制的提供以及用戶的可信驗證問題，其中包括引導階段用戶的可信認證以及操作系統(tǒng)運行階段用戶的可信認證。 (3)為保護本地應用域的服務資源免受非授權用戶的訪問，需在信息系統(tǒng)的邊界設置應用邊界安全設備。為提供單一域內資源訪問的單點登錄功能，在服務端，應用邊界代理應用服務對訪問共享資源的用戶進行認證和相關的訪問控制和審計。在客戶端，應用邊界代理用戶終端發(fā)起對資源的訪問請求。用戶終端和

9、應用邊界間存在代理關系，需要考慮用戶終端與應用邊界間的互認證以及身份傳遞問題。針對這個問題，考慮到使用Kerberos進行實體互認證時存在的口令易被攻擊的安全隱患，設計了基于U-Key的雙因子認證以及會話密鑰的協(xié)商方法，實現(xiàn)了用戶身份和信息資源的安全傳輸。針對應用區(qū)域邊界環(huán)境下客戶和應用邊界之間的代理關系，為防止應用邊界代理客戶行使職權時存在的不可辨認性和可否認性等問題，采用基于身份的公鑰體制設計了代理簽名以及指定驗證者代理簽名方案。

10、 (4)域間資源訪問時的用戶認證涉及應用邊界間的互認證以及會話密鑰的協(xié)商。用戶的身份和權限信息經(jīng)由本地應用邊界傳遞給遠程的應用邊界，代理用戶實現(xiàn)對具體應用資源的訪問請求。各應用服務由于其安全性需求不同，要求應用邊界相應地能提供不同的對用戶的認證方法。針對普通用戶名/口令的認證方法存在的安全問題，論文設計了增強的用戶名/口令的認證；針對應用邊界環(huán)境下直接應用Kerberos協(xié)議進行域間互認證所存在的連接限制問題，對Kerberos

11、域間認證協(xié)議進行了修改，設計了應用邊界環(huán)境下的域間互認證及信息的安全傳輸協(xié)議；針對應用邊界環(huán)境下域間使用改進的Kerberos協(xié)議進行信息傳輸時信息在客戶端和應用邊界之間存在信息泄露的問題，對ElGamal代理加密進行改進，并將改進的ElGamal代理加密機制應用到域間信息安全傳輸中，保證了客戶端到應用之間全程信息的安全傳輸。 (5)針對終端平臺引導階段對用戶的可信認證需求，設計并實現(xiàn)了實模式下的U-Key驅動。該驅動具有與具體

12、操作系統(tǒng)無關的特性。針對U-Key存儲容量小的缺點，設計并實現(xiàn)了既具有大容量，又具有防篡改(Tamper Resistant)特性的USB安全存儲設備。借鑒cookie技術，使用USB安全存儲設備，從而克服了Socksv5協(xié)議中身份認證過程存在的冗余缺點，實現(xiàn)了應用邊界的認證原型系統(tǒng)。 綜上所述，本文探討了信息系統(tǒng)認證體系結構以及相關的技術，建立了實用模型的原型系統(tǒng)，其研究成果為建立具有自主知識產權的基于U-Key和安全U盤的認