论文部分内容阅读
摘要:随着互联网的广泛发展,网络安全问题逐渐成为阻碍网络发展的重要因素。互联网深入到我们的生活、工作的各个领域,互联网的开放性和匿名性使得我们面临着非常严峻的网络安全威胁。本文主要从设备端网络安全角度出发,探讨设备端网络安全的设计。
关键词:设备端;网络安全;设计
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 22-0000-02
网络安全问题的解决很大程度上需要依靠管理,严格管理是避免用户降低网络安全威胁的重要措施,据统计,网络安全問题有百分之七十来自内部,内部问题归根结底又是安全问题,因此从终端维护的角度加强网络安全管理是保证用网安全的重要途径。本文基于身份认证的角度出发,基于DSF框架设计认证手段,采用双因子认证方式,通过两种认证方式来加强终端用户的认证,通过强化认证来保障设备端用户的网络安全。
1 DSF框架结构
1.1 DSF概述
DSF是设备端安全架构的简称,是指为开发有安全需要的应用程序提供开发类库和安全架构。通过DSF与能够实现与特定应用程序的绑定,从而使其职能在一台特定设备上绑定,绑定后的应用程序便只能在该程序上运行,未授权的拷贝是无法正常运行应用程序的。被绑定的应用程序具有设备敏感性,设备敏感的应用程序具有两个基本特征:一是设备敏感的应用程序数据不能被同一台机器上的其他应用程序访问;二是设备敏感的程序数据不能被其他及其上的应用程序访问。
1.2 DSF技术体系
设备安全架构是一个系统的综合架构,其内部包含了多个组件的组合:安全设备(可以通过USB设备、PCI插卡、PHONEIEX生产的Strong BIOS来实现)、设备安全客户端、设备认证服务器、设备安全服务器。在DSF框架中需要设置设备唯一标识ADID来生成DMK,需要将生成的DMK保存在外部硬件设备当中,从而使得DMK只有一个版本,无法进行复制,从而实现不同设备的应用程序启动限制,提高设备的安全性那个。SD则是用于保存DMK的硬件设备。操作系统的内核是设备驱动程序或动态链接库,在现有的安全设备背景下,从SD中读取DMK。设备认证服务器通过和DSS合作,通过登记终端客户设备或者注册设备敏感的应用程序。设备认证服务器可以置于独立的服务器,主要放在企业内部或外部安全中心,通过设置设备认证服务器可以当出现DSS被攻击的情况后,依然能够通过DAS设备的认证,同时可以防止任何用户私自修改DAS数据,实现授权管理的统一性。设备安全服务器主要运行于企业内部,针对企业客户提供安全服务。
1.3 DSF的运作
DSF架构的运行需要几个组件相互配合,实现如下功能:一是设备的登记,包括了客户端机器和DAS的登记。主要通过在客户端和DAS之间传送密钥,并且加密保存在两边;二是要实现DSS登记,包括了DSS和DAS,企业要正常使用DSS,需要通过获得DAS许可才能进行等级,DAS向DSS发送签名文件,该签名文件中包含了DSS的使用许可和许可期限;三是实现客户端向DSS注册应用程序;四是DSS想DAS注册应用程序。各个组件之间的通信模式如下图所示:
2 DSF在设备端网络安全中应用
DSF是一个网络安全的结构框架,在应用上,笔者在此主要介绍其在网络安全维护的身份认证和访问控制上的应用。基于DSF的身份认证和访问控制,主要是应用于基于B/S结构的电子商务和电子政务平台。具体操作方式是利用DSF的硬件信息作为数字认证身份。关于身份认证的主要流程包括了如下几步:首先以用户名和密码组合的方式向系统提出申请,管理员接到来自用户的申请后进行审批,判断用户是否能够通过审核,使用该系统,其次审批通过后由系统向用户发布许可证,许可证由20位的密码文件组成,用户再次登录,输入用户名和密码,下载许可证,提交设备登记,登记时由管理员验证客户端的许可证,最后进行设备应用程序的注册,注册成功后,用户为系统的授权用户,从而能够登录系统,在设备上正常使用应用程序。访问控制主要是对应用系统的内部资源进行后台控制,访问控制是对用户使用应用程序的内部资源范围的控制和合理协调。在本设计中对访问的控制,主要是针对系统内部各个功能模块而言,按照用户的身份进行控制,其实现的方式主要采用的是JSP+JAVABEAN,应用的数据库系统是ORCLE8I。
基于客户端的用户管理主要包括了以下几个组成部分:用户权限管理、用户角色管理、权限组管理以及部门管理。用户管理主要是指用户申请用户名和密码,后台能够根据用户的具体情况,对用户进行删除、修改和用户维护的工作;用户组管理则主要是将分散的用户归于一个用户组,将用户分成不同的组,将用户分类、分等级,不同的用户等级组享有不同的权限,系统后台能够对用户组进行添加、删除和修改等后台维护工作。权限组管理则主要是指将用户的权限模块分配给每一个用户组,一个用户组只能使用相关的权限组内的功能模块,系统主要对这些用户组权限模块进行调整、修改和添加删除等操作。用户权限管理是针对客户端用户进行权限管理,是对组内权限的细化和分化,是对用户组内权限功能以外的权限的设置;部门管理则是对部门进行分类添加和修改,部门是用户和用户组的归属,系统通过统一维护和合理分配,能够实现权限的最优管理。
上述应用实例主要是针对身份认证和权限管理,通过DSF框架系统能够提高对用户认证和权限的优化管理,通过提高设备端的用户认证安全性,调整和维护用户端的权限,从而保护设备端应用程序不受攻击,提高设备端应用程序的安全性。DSF应用最适合的领域是针对电子出版物、流媒体以及应用程序的版权维护,通过DSF能够对购买电子出版物、流媒体、应用程序的使用权限进行保护,购买者购买使用权,从而将版权和购买用户的额计算机硬件设备进行绑定,实现此类应用程序的排他性。
3 结语
综上所述,二十一世纪是一个互联网开放的时代,网络正在改变着我们的生活方式和工作方式,从商业机构到个人都应用网络参与电子商务、炒股、办公等,网络在带给我们极大的便利的同时也不可避免地让我们面临着网络安全的威胁。本文提出的基于DSF的框架,在用户授权和权限管理上具有重要意义,设计框架的安全维护过程是一个通过生成数字身份,通过第三方进行认证的过程。虽然DSF框架在设备端网络安全的维护上还存在较多漏洞的,但是作为一个低成本的架构在市场上仍然具有较大的竞争力。因为互联网自身 的特殊性,网络系统没有绝对的安全性,身份认证也并不是完全就能规避设备端的网络安全风险,但是关键在于通过加强技术和管理来提升设备端的网络安全,解决网络安全问题。
参考文献:
[1]杨海军,力立.寻求防患于未然之计一构建补丁管理的架构[J].数据通信,2005,02.
[2]刘宏伟,卫国斌.可信计算在VPN中的应用[J].计算机应用,2006,26,12.
[3]陈捷.可信安全网络分析与设想[J].信息战论坛,2007.
[4]李军.渐成热门的网络端点安全技术计算机安全,2005,01:47.
[5]万涛.网络中身份认证技术的研究[D].西安电子科技大学,2003-01.
[6]赵亮,茅兵,谢立.访问控制研究综述[J].计算机工程,2004,Vo13o伽0.2),l-2-99.
关键词:设备端;网络安全;设计
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 22-0000-02
网络安全问题的解决很大程度上需要依靠管理,严格管理是避免用户降低网络安全威胁的重要措施,据统计,网络安全問题有百分之七十来自内部,内部问题归根结底又是安全问题,因此从终端维护的角度加强网络安全管理是保证用网安全的重要途径。本文基于身份认证的角度出发,基于DSF框架设计认证手段,采用双因子认证方式,通过两种认证方式来加强终端用户的认证,通过强化认证来保障设备端用户的网络安全。
1 DSF框架结构
1.1 DSF概述
DSF是设备端安全架构的简称,是指为开发有安全需要的应用程序提供开发类库和安全架构。通过DSF与能够实现与特定应用程序的绑定,从而使其职能在一台特定设备上绑定,绑定后的应用程序便只能在该程序上运行,未授权的拷贝是无法正常运行应用程序的。被绑定的应用程序具有设备敏感性,设备敏感的应用程序具有两个基本特征:一是设备敏感的应用程序数据不能被同一台机器上的其他应用程序访问;二是设备敏感的程序数据不能被其他及其上的应用程序访问。
1.2 DSF技术体系
设备安全架构是一个系统的综合架构,其内部包含了多个组件的组合:安全设备(可以通过USB设备、PCI插卡、PHONEIEX生产的Strong BIOS来实现)、设备安全客户端、设备认证服务器、设备安全服务器。在DSF框架中需要设置设备唯一标识ADID来生成DMK,需要将生成的DMK保存在外部硬件设备当中,从而使得DMK只有一个版本,无法进行复制,从而实现不同设备的应用程序启动限制,提高设备的安全性那个。SD则是用于保存DMK的硬件设备。操作系统的内核是设备驱动程序或动态链接库,在现有的安全设备背景下,从SD中读取DMK。设备认证服务器通过和DSS合作,通过登记终端客户设备或者注册设备敏感的应用程序。设备认证服务器可以置于独立的服务器,主要放在企业内部或外部安全中心,通过设置设备认证服务器可以当出现DSS被攻击的情况后,依然能够通过DAS设备的认证,同时可以防止任何用户私自修改DAS数据,实现授权管理的统一性。设备安全服务器主要运行于企业内部,针对企业客户提供安全服务。
1.3 DSF的运作
DSF架构的运行需要几个组件相互配合,实现如下功能:一是设备的登记,包括了客户端机器和DAS的登记。主要通过在客户端和DAS之间传送密钥,并且加密保存在两边;二是要实现DSS登记,包括了DSS和DAS,企业要正常使用DSS,需要通过获得DAS许可才能进行等级,DAS向DSS发送签名文件,该签名文件中包含了DSS的使用许可和许可期限;三是实现客户端向DSS注册应用程序;四是DSS想DAS注册应用程序。各个组件之间的通信模式如下图所示:
2 DSF在设备端网络安全中应用
DSF是一个网络安全的结构框架,在应用上,笔者在此主要介绍其在网络安全维护的身份认证和访问控制上的应用。基于DSF的身份认证和访问控制,主要是应用于基于B/S结构的电子商务和电子政务平台。具体操作方式是利用DSF的硬件信息作为数字认证身份。关于身份认证的主要流程包括了如下几步:首先以用户名和密码组合的方式向系统提出申请,管理员接到来自用户的申请后进行审批,判断用户是否能够通过审核,使用该系统,其次审批通过后由系统向用户发布许可证,许可证由20位的密码文件组成,用户再次登录,输入用户名和密码,下载许可证,提交设备登记,登记时由管理员验证客户端的许可证,最后进行设备应用程序的注册,注册成功后,用户为系统的授权用户,从而能够登录系统,在设备上正常使用应用程序。访问控制主要是对应用系统的内部资源进行后台控制,访问控制是对用户使用应用程序的内部资源范围的控制和合理协调。在本设计中对访问的控制,主要是针对系统内部各个功能模块而言,按照用户的身份进行控制,其实现的方式主要采用的是JSP+JAVABEAN,应用的数据库系统是ORCLE8I。
基于客户端的用户管理主要包括了以下几个组成部分:用户权限管理、用户角色管理、权限组管理以及部门管理。用户管理主要是指用户申请用户名和密码,后台能够根据用户的具体情况,对用户进行删除、修改和用户维护的工作;用户组管理则主要是将分散的用户归于一个用户组,将用户分成不同的组,将用户分类、分等级,不同的用户等级组享有不同的权限,系统后台能够对用户组进行添加、删除和修改等后台维护工作。权限组管理则主要是指将用户的权限模块分配给每一个用户组,一个用户组只能使用相关的权限组内的功能模块,系统主要对这些用户组权限模块进行调整、修改和添加删除等操作。用户权限管理是针对客户端用户进行权限管理,是对组内权限的细化和分化,是对用户组内权限功能以外的权限的设置;部门管理则是对部门进行分类添加和修改,部门是用户和用户组的归属,系统通过统一维护和合理分配,能够实现权限的最优管理。
上述应用实例主要是针对身份认证和权限管理,通过DSF框架系统能够提高对用户认证和权限的优化管理,通过提高设备端的用户认证安全性,调整和维护用户端的权限,从而保护设备端应用程序不受攻击,提高设备端应用程序的安全性。DSF应用最适合的领域是针对电子出版物、流媒体以及应用程序的版权维护,通过DSF能够对购买电子出版物、流媒体、应用程序的使用权限进行保护,购买者购买使用权,从而将版权和购买用户的额计算机硬件设备进行绑定,实现此类应用程序的排他性。
3 结语
综上所述,二十一世纪是一个互联网开放的时代,网络正在改变着我们的生活方式和工作方式,从商业机构到个人都应用网络参与电子商务、炒股、办公等,网络在带给我们极大的便利的同时也不可避免地让我们面临着网络安全的威胁。本文提出的基于DSF的框架,在用户授权和权限管理上具有重要意义,设计框架的安全维护过程是一个通过生成数字身份,通过第三方进行认证的过程。虽然DSF框架在设备端网络安全的维护上还存在较多漏洞的,但是作为一个低成本的架构在市场上仍然具有较大的竞争力。因为互联网自身 的特殊性,网络系统没有绝对的安全性,身份认证也并不是完全就能规避设备端的网络安全风险,但是关键在于通过加强技术和管理来提升设备端的网络安全,解决网络安全问题。
参考文献:
[1]杨海军,力立.寻求防患于未然之计一构建补丁管理的架构[J].数据通信,2005,02.
[2]刘宏伟,卫国斌.可信计算在VPN中的应用[J].计算机应用,2006,26,12.
[3]陈捷.可信安全网络分析与设想[J].信息战论坛,2007.
[4]李军.渐成热门的网络端点安全技术计算机安全,2005,01:47.
[5]万涛.网络中身份认证技术的研究[D].西安电子科技大学,2003-01.
[6]赵亮,茅兵,谢立.访问控制研究综述[J].计算机工程,2004,Vo13o伽0.2),l-2-99.