基于Web的MES系统安全架构设计及分析
3.2.2基于角色的访问控制
在对MES系统业务功能、业务流程及其干系人分析整理的基础上,能够抽象出系统的各种用户角色,每种角色通过一组系统功能完成一定的业务处理,需要将这一组系统功能赋予该角色,使其具有完成这一业务的能力,也就形成了允许访问控制表,包括菜单的允许访问列表和功能的允许操作列表。
为了构成系统的完全访问边界,需要明确禁止某类操作。因此设计了禁止访问控制表,包括:菜单的禁止访问列表和功能的禁止操作列表。
3.2.3用户及权限管理
构建了角色的访问控制,将角色赋予用户,用户即具备了相应的访问权限。在企业的MES应用中,每个企业用户都具有一个系统访问账号,这个账号是用户身份的唯一标识。为保证系统账号的合法性,所有用户的账号只能由系统的账号管理员进行分配和管理。同时,每个用户在企业承担着某个岗位的职责,对应于MES系统来说,这个用户就具备着一个或者多个系统角色,通过角色权限的控制形成用户的权限控制。本着最小权限的原则,应当合理分配和控制角色权限,并通过禁止访问控制表限制用户的`访问范围,构成系统的安全访问边界。
3.3 安全运行管理
多数MES系统都采用单一管理员(甚至是超级用户)对系统进行管理。虽然简单易行,但却存在巨大安全隐患。一旦管理员账号信息泄露,其他安全措施将形同虚设。因此必须进行系统权限的分割,使其相互制约,避免权限过分集中。本架构的划分策略:首先是用户管理员,只负责企业用户账号的分配、锁定和吊销,用户岗位角色的分配,以及用户密码的复位操作其次是安全管理员,负责菜单与功能矩阵的维护,以及角色访问控制列表的制定。
用户管理员和安全管理员相互制约,只有协调一致才能够完成用户的权限分配。同时又可以分级管理,按照分厂、车间等组织架构,或者依据业务范围,划分出不同层级、不同范围的用户管理员和安全管理员,他们只能在自己的权限范围内行使权力。由此形成了可集中管理也可分化管理的技术模型,企业可以依据自身规模和管理模式灵活组织设计。
3.4 系统安全审计
本架构设计了完备的行为捕获和记录系统,对系统关键执行动作留有记录,对用户的操作和行踪留有日志,同时记录了非法用户的入侵尝试,且满足不可抵赖性,形成可靠证据。尤其是用户和安全管理员的所有操作,是系统监控的重点。企业安全审计人员可以随时调取这些记录,进行审计,一旦发现有违反安全策略的行为,即可对行为后果进行调查,采取相应处理措施。
3.5 会话安全策略
HTTP是一个无状态的协议,此协议无法维护两个事务之间的联系,而MES系统的大量应用需要与用户进行交互操作,并且记录这些交互,这就需要保持会话状态。会话状态通常需要在客户端cookie中记录用户信息,或者是在服务器端session中记录,但也需要在用户请求与服务器应用程序间传递一个会话ID,这些信息都会成为攻击的对象,一旦被窃取,会话就可能被冒用,成为会话劫持,造成超越权限的访问和数据操作。为防范此类攻击,一方面对用户信息、会话ID等薄弱环节采取加密措施,增加截获难度。另一方面制定安全策略监视会话状态,进行会话锁定和异常保护及报警。
会话锁定:提供交互式会话的锁定和解锁能力及终止会话能力。在会话进入非活动周期后对终端进行锁定或结束会话。在用户的静止期超过规定的值时,通过以下方式锁定该用户的交互式会话:(1)在显示设备上清除或涂抹,使当前的内容不可读(2)取消会话解锁之外的所有用户数据的存取/显示的任何活动(3)在会话解锁之前再次进行身份鉴别。
异常保护及报警:在会话期间通过用户请求进行监视分析用户操作行为,对异常行为采取操作保护动作,并产生记录和报警,如频繁、重复的数据操作,或者同一用户在不同地点创建多个会话的请求等等。
3.6 Web安全防护策略
基于Web的MES系统遭受的典型网络攻击事件包括SQL注入、cookie破坏、会话劫持、目录遍历以及缓冲区溢出等,只有建立涵盖事前、事中、事后的综合防控体系,事前及时识别隐患和漏洞并采取修补措施,事中实时监测,积极防御,早发现,早处置,才能将风险和损失降到最小。
本架构针对Web设计了安全防护策略,实现自动化的Web漏洞检测,以及对网页被挂马、网页被篡改、网页出现敏感信息、系统被拒绝服务等攻击事件的一体化监测预警。从而帮助企业构建自动化的系统安全监测系统,第一时间掌握MES应用的安全状况,降低系统安全风险,增强安全防护等级。
4 MES系统运行安全的防护措施
MES系统的运行安全不能仅仅依靠MES自身的安全设计,需要根据企业对MES的技术经济要求,综合考虑信息安全技术和安全管理与防护措施。
在物理安全层面,建立MES系统安全运行相适应的安全环境,包括机房安全防护、设备安全可用、存储介质安全等。
数据库系统的安全至关重要,需要对数据依据其敏感性进行分类进行不同强度的加密,防止敏感信息泄露。同时数据库要制定有备份和容灾措施,数据库管理人员定时对系统进行备份,防止系统数据损坏和丢失。一旦在系统崩溃或瘫痪的情况下,可利用备份数据迅速将系统恢复起来。
在运行安全方面,通过安全风险分析与评估,制定系统安全运行策略,建立安全检测与监控机制,加强安全审计和系统边界安全防护,采用防火墙、安全认证、入侵检测等措施来阻止攻击,综合运用数据加密和VPN等技术,对包括计算机病毒在内的恶意代码进行必要的安全防护,确保网络传输的安全要求。运用入侵检测技术,主动保护MES系统免受攻击,为MES系统提供了实时保护,是防火墙之后的第二道安全闸门。
依据国家计算机应急响应中心发布的数据,信息系统安全问题中的95%是可以通过科学的信息安全管理措施来避免。因此,加强信息安全意识,制定有效的安全运维策略是保障信息安全的重要基础,已经成为企业管理的一个重要组成部分。
一、 需求与安全信息——信息是资源,信息是财富。信息化的程度已经成为衡量一个国家,一个单位综合技术水平,综合能力的主要标志。从全球范围来看,发展信息技术和发展信息产业也是当今竞争的一个制高点。
计算机信息技术的焦点集中在网络技术,开放系统,小型化,多媒体这四大技术上。
安全——internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。但同时,internet在全世界迅速发展也引起了一系列问题。由于internet强调它的开放性和共享性,其采用的tcp/ip、snmp等技术的安全性很弱,本身并不为用户提供高度的安全保护,internet自身是一个开放系统,因此是一个不设防的网络空间。随着internet网上用户的日益增加,网上的犯罪行为也越来越引起人们的重视。
对信息安全的威胁主要包括:
内部泄密
内部工作人员将内部保密信息通过e-mail发送出去或用ftp的方式送出去。
“黑客”入侵
“黑客”入侵是指黑客通过非法连接、非授权访问、非法得到服务、病毒等方式直接攻入内部网,对其进行侵扰。这可直接破坏重要系统、文件、数据,造成系统崩溃、瘫痪,重要文件与数据被窃取或丢失等严重后果。
电子谍报
外部人员通过业务流分析、窃取,获得内部重要情报。这种攻击方式主要是通过一些日常社会交往获取有用信息,从而利用这些有用信息进行攻击。如通过窃听别人的谈话,通过看被攻击对象的公报等获取一些完整或不完整的有用信息,再进行攻击。
途中侵扰
外部人员在外部线路上进行信息篡改、销毁、欺骗、假冒。
差错、误操作与疏漏及自然灾害等。
信息战——信息系统面临的威胁大部分来源于上述原因。对于某些组织,其威胁可能有所变化。全球范围 内的竞争兴起,将我们带入了信息战时代。
现代文明越来越依赖于信息系统,但也更易遭受信息战。信息战是对以下方面数据的蓄意攻击:
�机密性和占有性
�完整性和真实性
�可用性与占用性
信息战将危及个体、团体;政府部门和机构;国家和国家联盟组织。信息战是延伸进和经过cyberspace进行的战争新形式。
如果有必要的话,也要考虑到信息战对网络安全的威胁。一些外国政府和有组织的恐怖分子、间谍可能利用“信息战”技术来破坏指挥和控制系统、公用交换网和其它国防部依靠的系统和网络以达到破坏军事行动的目的。造成灾难性损失的可能性极大。从防御角度出发,不仅要考虑把安全策略制定好,而且也要考虑到信息基础设施应有必要的保护和恢复机制。
经费——是否投资和投资力度
信息系统是指社会赖以对信息进行管理、控制及应用的计算机与网络。其信息受损或丢失的后果将影响到社会各个方面。
在管理中常常视安全为一种保障措施,它是必要的,但又令人讨厌。保障措施被认为是一种开支而非一种投资。相反地,基于这样一个前提,即系统安全可以防止灾难。因此它应是一种投资,而不仅仅是为恢复所付出的代价。
二、 风险评估
建网定位的原则:国家利益,企业利益,个人利益。
信息安全的级别:
1.最高级为安全不用
2.秘密级:绝密,机密,秘密
3.内部
4.公开
建网的安全策略,应以建网定位的原则和信息安全级别选择的基础上制定。
网络安全策略是网络安全计划的说明,是设计和构造网络的安全性,以防御来自内部和外部入侵者的行动 计划及阻止网上泄密的行动计划。
保险是对费用和风险的一种均衡。首先,要清楚了解你的系统对你的价值有多大,信息值须从两方面考虑:它有多关键,它有多敏感。其次,你还须测定或者经常的猜测面临威胁的概率,才有可能合理地制定安全策略和进程。
风险分析法可分为两类:定量风险分析和定性风险分析。定量风险分析是建立在事件的测量和统计的基础上,形成概率模型。定量风险分析最难的部分是评估概率。我们不知道事件何时发生,我们不知道这些攻击的代价有多大或存在多少攻击;我们不知道外部人员造成的人为威胁的比重为多少。最近,利用适当的概率分布,应用monte carlo(蒙特卡罗)仿真技术进行模块风险分析。但实用性不强,较多的使用定性风险。
风险分析关心的是信息受到威胁、信息对外的暴露程度、信息的重要性及敏感度等因素,根据这些因素进行综合评价。
一般可将风险分析列成一个矩阵:
将以上权重组合,即:
得分 = ( 威胁 × 透明 ) + ( 重要性 × 敏感度 )
= ( 3 × 3 ) + ( 5 × 3) = 24
根据风险分析矩阵可得出风险等级为中风险。
网络安全策略开发必须从详尽分析敏感性和关键性上开始。风险分析,在信息战时代,人为因素也使风险分析变得更难了。
三、体系结构
应用系统工程的观点、方法来分析网络的安全,根据制定的安全策略,确定合理的网络安全体系结构。
网络划分:
1、公用网
2、专用网:
(1)保密网
(2)内部网
建网的原则:
从原则上考虑:例如选取国家利益。
从安全级别上:1,最高级为安全不用,无论如何都是不可取的。2,3,4 全部要考虑。
因此按保密网、内部网和公用网或按专用网和公用网来建设,采用在物理上绝对分开,各自独立的体系结构。
四、公用网
举例说明(仅供参考),建网初期的原则:
1、任何内部及涉密信息不准上网。
2、以外用为主,获取最新相关的科技资料,跟踪前沿科技。
3、只开发e-mail,ftp,www功能,而telnet,bbs不开发,telnet特殊需要的经批准给予临时支持。说明一下,建网时,www功能还没有正常使用。
4、拨号上网严格控制,除领导,院士,专家外,一般不批准。原因是,拨号上网的随意性和方便性使得网络安全较难控制。
5、网络用户严格经领导、保密办及网络部三个部门审批上网。
6、单位上网机器与办公机器截然分开,定期检查。
7、签定上网保证书,确定是否非政治,非保密,非黄毒信息的上网,是否侵犯知识产权,是否严格守法。
8、对上网信息的内容进行审查、审批手续。
为了使更多的科技人员及其他需要的人员上网,采用逐步分阶段实施,在安全设施配齐后,再全面开放。
五、公用网络安全设施的考虑
1. 信息稽查:从国家利益考虑,对信息内容进行审查、审批手续。
信息截获,稽查后,再传输是最好的办法。由于机器速度慢,决定了不可能实时地进行信息交流,因而难于实时稽查。
信息复制再分析是可行的办法。把信件及文件复制下来,再按涉密等关键词组检索进行检查,防止无意识泄密时有据可查。起到威慑作用和取证作用。
2. 防火墙:常规的安全设施。
3. 网络安全漏洞检查:各种设备、操作系统、应用软件都存在安全漏洞,起到堵和防的两种作用。
4. 信息代理:
(1)主要从保密上考虑。如果一站点的某一重要信息,被某一单位多人次的访问,按概率分析,是有必然的联系,因此是否暴露自己所从事的事业。
(2)可以提高信息的交换速度。
(3)可以解决ip地址不足的问题。
5. 入侵网络的安全检查设施,应该有。但是,由于事件和手法的多样性、随机性,难度很大,目前还不具备,只能使用常规办法,加上人员的分析。
六、 专用网络及单机安全设施的考虑,重点是保密网
1,专用屏蔽机房;
2,低信息辐射泄露网络;
3,低信息辐射泄露单机。
七、安全设备的选择原则
不能让外国人给我们守大门
1、按先进国家的经验,考虑不安全因素,网络接口设备选用本国的,不使用外国货。
2、网络安全设施使用国产品。
3、自行开发。
网络的拓扑结构:重要的是确定信息安全边界
1、一般结构:外部区、公共服务区、内部区。
2、考虑国家利益的结构:外部区、公共服务区、内部区及稽查系统和代理服务器定位。
3、重点考虑拨号上网的安全问题:远程访问服务器,放置在什么位置上,能满足安全的需求。
八、 技术和管理同时并举
为了从技术上保证网络的安全性,除对自身面临的威胁进行风险评估外,还应决定所需要的安全服务种类,并选择相应的安全机制,集成先进的安全技术。
归纳起来,考虑网络安全策略时,大致有以下步骤:
� 明确安全问题:明确目前和近期、远期的网络应用和需求;
� 进行风险分析,形成风险评估报告,决定投资力度;
� 制定网络安全策略;
� 主管安全部门审核;
� 制定网络安全方案,选择适当的网络安全设备,确定网络安全体系结构;
� 按实际使用情况,检查和完善网络安全方案。
一、设置企业安全管理制度体系的层级架构的背景
随着信息技术的发展和快速通信的需求,现代企业的运营越来越依赖于企业IT基础架构的建设水平,特别是一些分支机构分布全国或者跨国范围的大型企业。与此同时,如何保证这些企业的IT基础架构的安全性和稳定性成为一项迫切的需求,特别是在美国的萨班斯法案生效后,给企业在如何保证数据的准确性和安全性方面提出了更高的要求。
二、实现体系所需的网络安全知识
1、网络安全基础
随着工nternet的发展,信息安全也迎来了第二次变革,分布式系统、终端用户与计算机之间以及计算机与计算机之间传送数据的网络和通信设施的广泛应用,使得在信息传输时,需要有网络安全措施来保护数据传输。这就是“网络安全”的产生。
网络安全包含两个方面的内容:
a)所有与网络相关,特别是互联网相关的安全问题,包括各种系统的安全漏洞、协议的弱点和各式各样的攻击行为
b)解决这些问题的技术或手段,包括密码技术、防火墙、虚拟专用网技术、入侵检测技术等应用技术,也包括相关的协议规范和管理策略。
2)网络与信息安全的目标
人们对信息的使用主要是通过计算机网络来实现的,在计算机和网络上信息的处理是数据的形式进行,在这种情况下,信息就是数据,因而从这个角度来说,网络与信息安全可以分为数据安全和系统安全。即信息安全可以从两个层次来看:
从消息的层次来看,包括信息的:
a)完整性(Integrity):即保证消息的来源、去向、内容真实无误
b)保密性(Coflfidefltiality):即保证消息不会被非法泄露扩散
e)不可否认性(Non一repudiation)一也称为不可抵赖性:即保证消息的发送和接受者无法否认自己所做过的操作行为。
4)网络安全技术体系
一般的,可以从两个方面来设计网络安全的体系结构:
a)网络安全技术服务的不同对象
b)网络安全技术提供安全功能的特点
网络安全的服务对象有系统(包括一般主机和服务器)、局域网和网络的通信。根据服务对象的不同,分别有不同特性的网络安全技术。例如对于保护系统安全的技术有:数据备份、数据恢复和反病毒等技术对于局域网安全的技术有:
防火墙、网络监控等技术对于通信安全的技术则有:PKI、VPN等技术提供服务。
从网络安全技术自身特点来分析,网络安全技术可以分为:基础的网络支撑技术、主流的网络安全技术、专业的网络安全技术和具体的网络安全应用系统等。
密码技术和访问控制技术属于基础的网络安全支撑技术,提供所有其它网络安全技术所需要的基本安全服务防火墙、VPN和PKI技术则属于目前流行的主流网络安全技术,己有较多的成熟产品面向用户。网络标准和法规则可以看成属于管理层面的网络安全技术。
从网络层次来看,包括:
a)可用性:即保证网络和信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少并尽早恢复正常
b)可控性(Controllability):是对网络信息的传播及内容具有控制能力的特性。
3)网络的安全威胁
网络的安全威胁来自于以下几个方面:
a)网络协议的弱点
TCP/IP协议是如今最流行的网络协议,它的设计本身并没有较多地考虑安全方面的需求,因而TCP/IP协议存在一些弱点,这些弱点带来许多直接的安全威胁。
b)网络操作系统的漏洞
操作系统是网络协议和服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。一般情况,操作系统规模都很大,其中的网络协议实现尤其复杂,这点己经决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。网络操作系统的漏洞成为网络所面临的重要的安全威胁之一。
c)应用系统设计的漏洞
与操作系统情况类似,应用程序的设计过程中也会带来很多由于人的局限性所导致的缺陷或漏洞。软件和硬件设计都存在这种问题,而其中软件的问题为我们所直接面对。
由于硬件设计方面的缺陷,特别是芯片的技术缺陷,使得硬件的后门与漏洞是我们网络所面临的最为深刻的威胁之一。
d)恶意攻击
恶意攻击是人们最易理解,而又最难防范的网络安全威胁。恶意的黑客攻击、网络病毒等都属于这类。
e)来自合法用户的攻击
来自合法用户的攻击是最容易被管理者忽视的安全威胁之一,事实上,80%的网络安全事件与内部人员的参与相关。网络管理的漏洞往往是导致这种威胁的直接原因。
2、PKI技术原理
pKI(PublieKeyInfrastrueture),即公开密钥体系。它是利用公钥理论和技术建立的提供信息安全服务的基础设施,是国际公认的现代网络安全认证机制。它利用现代密码学中的公钥密码技术在开放的网络环境中提供数据加密以及数字签名服务的统一的技术框架。
公钥是目前应用最广泛的一种加密体制,在此体系中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。
PKI是一种遵循标准并利用公钥技术,为开放性网络应用的开展提供一套安全基础平台的技术与规范,它能够透明地提供基于公开密钥的加密和数字签名等安全服务。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境中能够确认彼此的身份和所交换的信息。为实现以上目的,典型实用的PK工系统应由以下部分组成:PKI客户端、注册机构(RA)、认证机构(以)和证书库。
1)PKI客户端
PK工客户端的主要功能是使各种网络应用能够以透明、安全、一致、可信的方式与PKI交互,从而使用户能够方便地使用加密、数字签名等安全服务。
2)注册机构(RA)
RA则是用户与认证中心的接口,其主要功能是核实证书申请者的身份,它所获证书的申请者身份的准确性是以颁发证书的基础。
3)认证机构(以)
作为PKI核心的认证中心是证书颁发机构,由以签发的证书是网上用户的电子身份标识。
4)证书库
证书库用来存放经以签发的证书和证书注销列表(CRL),为用户和网络应用提供证书及验证证书状态。
3、kerberos技术原理
KerberoS身份认证协议提供了一种客户和服务器之间,或者是服务器彼此之间,在打开网络连接之前进行相互身份认证的机制。该协议假设客户和服务器之间最初的事务处理是发生在一个开放的网络当中,在这个网络中,绝大多数的计算机不是完全可靠的,而且包在线路上的传输可以被监听,并且可以被任意修改。换句话说,这种假设的环境和今天的Internet非常相似,一个攻击者可以轻松地假装成一个客户或者服务器,可以轻易地窃听或者篡改合法的客户同服务器之间的通信。
1)基本概念
KerberoS协议完全依赖于一个涉及共享秘密的身份认证技术。基本的概念是:如果一个秘密只有两个人知道,那么两个人中的任何一个都可以通过证实另一个人也知道该秘密,从而确认他的身份。
我们可以假设这么一个例子,爱丽丝经常发消息给鲍勃,而且鲍勃需要先确认消息的确来自爱丽丝,然后才能对消息的内容进行处理。他们决定通过选择一个口令来解决他们的这个问题,而且他们约定不把这个秘密告诉别的任何人。如果爱丽丝的消息能够以某种方式证明发送者确实知道这个口令,那么鲍勃就能够确认发送消息的一定是爱丽丝。
爱丽丝和鲍勃需要解决的问题就剩下一个,那就是爱丽丝如何才`能显示她知道这个口令呢?她可以简单地将这个口令包含在她消息中的某处,也许在最后的签名部分一八ice,Our$ecret。这种方法简单而且高效,而且如果爱丽丝和鲍勃能够确认没有别的人也在读他们的信的话,这种方法是完全有效的。然而不幸的是,这种条件无法达到。他们的消息是在一个卡萝尔这样的人也在使用的网络上传输,卡萝尔有一个网络分析器,而且她有这样一个爱好,她喜欢扫描网络通信量,并且希望能有一天认出一个口令。因此,爱丽丝光靠说出口令已经不可能证明他知道这个秘密了。为了保证口令的保密性,她必须在不暴露口令的情况下显示她知道口令。
KerberoS协议使用秘密密钥加密来解决这个问题。通信的双方不是共享口令,而是共享一个加密密钥,而且双方使用有关这个密钥的知识来确认对方的身份。要让这个技术起作用,这个共享的密钥必须是对称的—单独一个密钥必须既可以加密也可以解密。一方通过加密一段信息来显示对该密钥的了解,而另一方通过解密这段信息来显示对该密钥的了解。
2)密钥分配
KerberoS协议的名称就暗示了它解决密钥分配问题的方法。KerberoS(或者CerberuS)是古典希腊神话当中的一个动物,它是一种凶猛的,有三个头的狗,守卫在冥府的入口。像守卫的Kerberos一样,KerberoS协议有三个头:一个客户,一个服务器,一个可信赖的第三方作在他们之间进行调解。协议当中的这个可信任的中介被称作密钥分配中心(KDC)。
KDC是运行在一个真正安全的服务器上的一个服务。它维护着一个存储所有处于它领域范围内的安全委托人的账户信息的数据库。除了关于每个安全委托人的其他信息以外,KDC还存储了一个只有安全委托人和KDC知道的加密密钥。这个密钥是用来在安全委托人和KDC之间交换信息的,被称作长期密钥。在该协议的绝大部分实现当中,这个密钥从一个用户的登录口令派生出来的。
3)会话票证(sessionTieket)
如图2一1所示,作为对客户请求同服务器通话的回答,K民将会话密钥的两个拷贝都发送给客户。会话密钥的客户拷贝是用KDC同客户共享的密钥加密的。会话密钥的服务器拷贝同关于客户的信息一起包含在一个叫做会话票证的数据结构当中。然后整个结构用KDC同服务器共享的密钥进行加密。在客户联系服务器之前,保管好这个安全地保存会话密钥服务器拷贝的票证就成为客户的责任。
KDC只是简单地提供了一个票证授权服务。它并不对它的消息进行跟踪以保证这些消息都到达了目标地址。如果KDC的消息发错了人,不会有什么危害。只有知道客户秘密密钥的人才能够对会话密钥的客户拷贝进行解密。只有知道服务器秘密密钥的人才能够读出票证里面的内容。
当客户收到KDC的回答时,它抽取出票证和会话密钥的客户拷贝,将两者都保存在一个安全的缓冲区里面(这个缓冲区位于易失性的内存里面,而不是磁盘上)。当客户想得到服务器的进入许可时,它向服务器发送一个包含了那个票证和一个鉴别码的消息(如图2一2所示),票证仍然是用服务器的秘密密钥加密了的,鉴别码是用会话密钥加密的。票证加上鉴别码就是客户提供给服务器的信任证。
当服务器收到来自某个客户的信任证时,它用自己的秘密密钥对会话票证进行解密,从中抽取出会话密钥,然后用这个会话密钥对客户的鉴别码进行解密。如果一切都通过了,那么服务器就知道客户的信任证是一个可信赖的权威机构一一KDC发放的。如果客户请求了相互身份认证的话,服务器就用它的会话密钥拷贝对来自客户鉴别码的时间标志进行加密,将结果返回给客户,作为服务器方的鉴别码。
4)票证授权证
用户的长期密钥是从一个口令派生出来的。例如,当爱丽丝登录时,她的工作站上的KerberoS客户将接收她的口令,然后通过将这个口令的文本传入一个单向杂凑函数来把口令转化为一个加密了的密钥。(Kerber0S版本5的所有实现都必须支持DES一CBC一MDS。除此之外,也可以支持别的算法)。这个结果就是爱丽丝的长期密钥。
KDC从爱丽丝在它的账户数据库中的记录当中得到爱丽丝的长期密钥的拷贝。当它收到来自爱丽丝的工作站上的KerberoS客户的请求时,KDC将在它的数据库当中查找爱丽丝,取出她的账户记录,从记录当中的一个字段中取出她的长期密钥。
这个从口令计算出密钥的一个拷贝,从数据库取出密钥的另一个拷贝的过程实际上只发生一次,就是当一个用户第二次登录到网络的时候。在接收了用户的口令,派生出用户的长期密钥之后,该工作站上的KerberoS客户就立即申请一个会话票证和会话密钥,以便在可以在登录会话中随后与KDC的交流时使用。
作为对客户请求的回答,KDC返回一个自己的会话票证。这个特殊的会话票证叫做票证授权证(TicketGrantingTicket,简称TGT)。像普通的会话票证一样,TGT包含了一个服务(在此情况下就是指KDC)用来同客户通信的会话密钥的一个拷贝。将TGT返回给客户的消息当中也包含了客户可以在同KDC的通信当中使用的会话密钥的一个拷贝。TGT是用KDC的长期密钥加密的。会话密钥的客户拷贝是用用户的长期密钥加密的。
当客户收到KDC对它最初请求的回答时,它使用它缓存的用户长期密钥的拷贝解密出会话密钥的拷贝。接着它就可以丢弃派生自用户口令的长期密钥,因为这个密钥己经不再需要了。像其他任何会话密钥一样,这个会话密钥是临时的,在TGT过期或用户注销后就无效了。因为这个原因,这个会话密钥就叫做登录会话密钥。
从客户的角度看,一个TGT不过是另一个票证罢了。在尝试连接任何服务之前,客户首先在它的信任证缓冲区中寻找一个到该服务的会话票证。如果客户找不到这样的会话票证,它就在信任证缓冲区里面寻找TGT。如果找到了一个TGT,该客户就从缓冲区里面取出相应的登录会话密钥,用这个密钥来准备鉴别码,并将这个鉴别码和TGT都发送给KDC,同时申请一个访问该服务的会话票证。换句话来说,获取访问KDC的许可同获取访问该域中任何其他服务的许可没有什么不同,也需要一个会话密钥,一个鉴别码,和一个票证(在这种情况下,这个票证就是TGT)。
从KDC的角度看,TGT使得它可以在周转时间当中挤出几纳秒来处理票证申请。KDC仅在颁发最初的TGT时查找一个客户的长期密钥一次。在同该客户的所有其他交换时,KDC可以用它自己的长期密钥解密该TGT,从中抽取出登录会话密钥,用它来验证客户的鉴别码。
4、LDAP技术原理
1)LDAP是什么
LDAP是轻量目录访问协议,英文全称是LightweightDirectoryAcceSSProtocol,一般都简称为LDAP。它基于X.500标准,却相对比较简单,并且可以根据需要定制。与X.500不同,LDAP支持TCP/工P,这对访问工nternet是必须的。简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。LDAP是一个用来发布目录信息到许多不同资源的协议。
LDAP其实是一地址簿,类似于我们所使用诸如NIS(NetworkInformationServiee)、DNS(DomainNameServiee)等网络目录。LoAP和关系数据库是两种不同层次的概念,后者是存贮方式(同一层次如网格数据库,对象数据库),前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念,与关系数据库的查询语言SQL属同一级别。LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多。
从另一个意义上LDAP是实现了指定的数据结构的存贮,它是一种特殊的数据库。LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多。
就象Sybase、Oraele、Informix或Mierosoft的数据库管理系统(DBMS)是用于处理查询和更新关系型数据库那样,LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库,但不是关系型数据库。要特别注意的是,LDAP通常作为一个hierarchal数据库使用,而不是一个关系数据库。因此,它的结构用树来表示比用表格好。
2)LDAP的复制技术
LDAP服务器可以用”推“或”拉“的方法复制部分或全部数据,例如:可以把数据“推“到远程的办公室,以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。
3)LDAP存储的数据
LDAP对于存储这样的信息最为有用:也就是数据需要从不同的地点读取,但是不需要经常更新。例如,
a)公司员工的电话号码簿和组织结构图
b)客户的联系信息
c)计算机管理需要的信息,包括NIS映射、email假名等等
d)软件包的配置信息
e)公用证书和安全密钥
大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此,当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化,大多数的LDAP目录服务器并不适合存储需要经常改变的数据。
4)LDAP的信息模型
在LDAP中信息以树状方式组织,在树状信息中的基本数据单元是条目,而每个条目由属性构成,属性中存储有属性值LDAP中的信息模式,类似于面向对象的概念,在LDAP中每个条目必须属于某个或多个对象类(objeCtclass),每个ObjectClaSS由多个属性类型组成,每个属性类型有所对应的语法和匹配规则对象类和属性类型的定义均可以使用继承的概念。每个条目创建时,必须定义所属的对象类,必须提供对象类中的必选属性类型的属性值,在LDAP中一个属性类型可以对应多个值。
在LDAP中把对象类、属性类型、语法和匹配规则统称为Schema,在LDAP中有许多系统对象类、属性类型、语法和匹配规则,这些系统Schema在LDAP标准中进行了规定,同时不同的应用领域也定义了自己的Schema,同时用户在应用时,也可以根据需要自定义Schema。这有些类似于XML,除了XML标准中的xML定义外,每个行业都有自己标准的DTD或DOM定义,用户也可以自扩展也如同XML,在LDAP中也鼓励用户尽量使用标准的Schema,以增强信息的互联互通。
三、系统架构设计
1、体系架构
根据中国网通现有的行政管理结构,有两种系统架构可供选择:全集团统一或者分省独立。这两种结构都各自有自己的优缺点,如果集团统一部署那么将为统一管理和应用系统的统一支持提供方便如果采用分省独立部署,那么将为各省提供更大的自主性,当各省建立自己的管理手段和应用支持时将更加灵活。
在统筹考虑企业的统一性和各省分公司的管理自主性,经过讨论和筛选,最终形成的系统建设思路为:全企业共享一套身份认证系统架构(Schema)定义,每省分公司独立拥有本省的管理边界。各系统建设完成后,物理上将在全国形成如图4一1所示的系统架构:
2、技术选型和论证
目前在世界上有很多家大型企业都有自己的基于LDAP协议的统一身份认证管理产品。有微软公司的AetiveDireetory,Novell公司的NDS,IBM公司的TivoliDireetoryServer,SUN公司的iPlanetDireetoryServer,Apple公司的opendirectory。其中在国内使用较多的产品为微软公司的ActiveDireetory,Novell公司的NDS,IBM公司的TivoliDireetoryServer。
各家公司设计的身份认证管理产品都符合LDAP的统一标准,主要的差异在于对于信息的存储机制、信息的更新机制、部署结构等具体的实施措施上。其中从大类上可以分为两类:一类是以ActiveDirectory为代表的多主复制结构,另一类为以NDS为代表的单主复制结构。由于IBM公司的DireCtoryServer更多的被用在应用Directory场合,很少使用于企业IT管理内,所以主要的产品对t匕将在ACtiveDireetory与NDS之间进行。
3、设备选型
在确定技术路线和产品后,从节省费用考虑,确定选择IBM的主流底端PC服务器作为系统承载平台。最终选择IBMX336型服务器,主要配置为ZCPU/ZGRAM/73*ZHI)。
4、总结
设计企业安全管理系统的层级结构面临着诸多考验,必须结合实际管理模式出发才能够完成。本回答中的架构依照中国网通集团作为参考,具体到公司内需要区别对待。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)