论文部分内容阅读
目前面向企业的虚拟信息技术解决方案大多基于B/S模式,该模式利用一种结构化的、规范化的集成方式将各企业、各信息平台、各种不同应用集成起来,实现虚拟企业中的动态连接。但是这些研究的重点都在于信息、数据和应用的集成,而往往忽略了虚拟企业中的信息安全问题,多数通过系统完成后对系统安全漏洞等进行打补丁的方式添加必要的安全措施。
本文基于虚拟应用网络(Virtual Application Network,VAN)的概念,对VAN基础上的安全集成信息系统进行了分析与研究。
一、VAN技术概述
1.1 特点分析
随着信息技术的发展,虚拟专用网络(VPN)技术被广泛应用在涉及通信的多种领域中。VPN提供了这样一种环境,在该环境中,信息的存储会受到控制,只允许具有共同利益的共同体内部在同层实体进行连接。信息系统在公共网络进行信息传输时,通常采用基于IP层的隧道式VPN平台。但是这种实现方式很容易与其他网络层技术产生兼容性问题,而且在网络质量不好或路由路径较远时,应用速度无法保障,故利用VAN技术对当前的通信方式进行改进。
该VAN技术在TCP/IP应用层进行技术实现,这种实现方式相对而言与网络基础设施独立,可以在应用VAN技术时可以同时应用VPN技术、防火墙技术等,还可以避免与其他网络技术产生冲突。
VAN具有的特点包括以下几方面:该技术可实现用户身份的统一认证;在企业信息系统的应用边界上对用户进行统一的访问控制;对信息资源进行细粒度访问控制,可以保护信息。
1.2 基本原理
参照电路级代理的工作原理,本文的VAN技术实现了应用层的会话数据流代理,该种方式可以隔离客户和应用服务器之间的连接,使得双方的数据通信通过网关实现。但是VAN相较于电路级代理而言,还结合了应用代理对应用协议的代理控制的优点,实现了基于应用协议的细粒度访问控制。客户与VAN网关的会话流数据会被加密封装,这样就能实现应用数据的安全交互,实现用户与应用的路由和访问控制。
二、VAN中的关键技术
2.1 统一的认证与加密平台
由于VAN的用户身份认证机制是基于会话连接的,因此用户发起连接的时候,VAN网关会首先对该会话进行拦截,确实用户身份。具体的安全接口符合通用GSS-API标准,可以实现不同认证方式和加密算法的结合。
VAN网关还可以实现局域网络与公共网络的隔离,用户对网关发送应用请求,网关根据用户需要进行数据路由,建立内部之间、远程访问或者内外部结合的虚拟应用隧道。该隧道的建立由网关自动完成,提升了用户端的使用体验,使得用户可以感觉到应用的运行是在一个统一的网络平台进行的。
VAN可以适应不同的安全通信模式的需求,如:用户端到端、端到网关、甚至是网关到网关的安全通信需求;还可以实现对内网的保护和对外网的通信监控。
2.2 细粒度访问控制
此处的细粒度访问控制主要是基于角色的。细粒度控制部分会利用身份认证模块首先对用户会话进行身份认证,确认正确后为用户角色分配适当的库,激活角色集。然后应用协议探测模块对用户的会话数据流进行探测,根据返回结果确定细粒度控制依据,如应用协议版本、用户相关参数、服务器响应参数等。最后利用用户库的信息和探测信息实现细粒度控制。
2.2.1访问控制与应用协议相对独立
本文所涉及的细粒度访问控制具有3层数据结构,自下而上分别为应用协议相关层、应用协议抽象层和与协议独立的控制层。其中,应用协议相关层利用协议词法库和协议探测模块对用户会话数据流进行数据解析,提取原子信息并将原子信息交给协议语法分析模块进行分析和参数提取,提取的结果会传入应用协议抽象层。应用协议抽象层主要对协议请求和响应进行语义抽象,而协议独立的控制层则根据抽象出来的数据参数对用户合法性进行确认,确认完毕向拥挤控制模块发出指令:用户是否有访问权限,用户访问的目的资源应该采用的安全机制,建立虚拟应用隧道的相关参数等。
通过上述与应用协议相对独立的访问控制体系结构可以实现对应用协议的细粒度控制。
2.2.2访问控制基于用户角色
VAN网关还将细粒度控制与用户角色模型相结合,实现基于角色的细粒度访问控制。
该控制方式首先对用户会话数据流进行拦截分析,获得请求用户的身份信息,根据访问用户的身份认证确定用户的可能角色信息,然后网关向服务器发送用户的访问目的主机和目的端口信息,服务器根据接收信息确认用户访问对象,进而确定用户会话需要激活的角色集。
该系统可以为每一个用户分配一个角色集,用户通过身份验证后,根据会话锁的数据对象,激活用户角色集中的某一个子集为活动角色集,细粒度访问控制依据该活动角色集确定访问依据,完成访问控制。
三、总结
本文所提出的虚拟应用网络可以提供一个统一、安全、透明的网络应用平台,该平台可以绕开访问信息的安全级别和传输数据的保密性等因素实现统一的配置和管理,能够方便的实现多用户和多应用的连接。
本文基于虚拟应用网络(Virtual Application Network,VAN)的概念,对VAN基础上的安全集成信息系统进行了分析与研究。
一、VAN技术概述
1.1 特点分析
随着信息技术的发展,虚拟专用网络(VPN)技术被广泛应用在涉及通信的多种领域中。VPN提供了这样一种环境,在该环境中,信息的存储会受到控制,只允许具有共同利益的共同体内部在同层实体进行连接。信息系统在公共网络进行信息传输时,通常采用基于IP层的隧道式VPN平台。但是这种实现方式很容易与其他网络层技术产生兼容性问题,而且在网络质量不好或路由路径较远时,应用速度无法保障,故利用VAN技术对当前的通信方式进行改进。
该VAN技术在TCP/IP应用层进行技术实现,这种实现方式相对而言与网络基础设施独立,可以在应用VAN技术时可以同时应用VPN技术、防火墙技术等,还可以避免与其他网络技术产生冲突。
VAN具有的特点包括以下几方面:该技术可实现用户身份的统一认证;在企业信息系统的应用边界上对用户进行统一的访问控制;对信息资源进行细粒度访问控制,可以保护信息。
1.2 基本原理
参照电路级代理的工作原理,本文的VAN技术实现了应用层的会话数据流代理,该种方式可以隔离客户和应用服务器之间的连接,使得双方的数据通信通过网关实现。但是VAN相较于电路级代理而言,还结合了应用代理对应用协议的代理控制的优点,实现了基于应用协议的细粒度访问控制。客户与VAN网关的会话流数据会被加密封装,这样就能实现应用数据的安全交互,实现用户与应用的路由和访问控制。
二、VAN中的关键技术
2.1 统一的认证与加密平台
由于VAN的用户身份认证机制是基于会话连接的,因此用户发起连接的时候,VAN网关会首先对该会话进行拦截,确实用户身份。具体的安全接口符合通用GSS-API标准,可以实现不同认证方式和加密算法的结合。
VAN网关还可以实现局域网络与公共网络的隔离,用户对网关发送应用请求,网关根据用户需要进行数据路由,建立内部之间、远程访问或者内外部结合的虚拟应用隧道。该隧道的建立由网关自动完成,提升了用户端的使用体验,使得用户可以感觉到应用的运行是在一个统一的网络平台进行的。
VAN可以适应不同的安全通信模式的需求,如:用户端到端、端到网关、甚至是网关到网关的安全通信需求;还可以实现对内网的保护和对外网的通信监控。
2.2 细粒度访问控制
此处的细粒度访问控制主要是基于角色的。细粒度控制部分会利用身份认证模块首先对用户会话进行身份认证,确认正确后为用户角色分配适当的库,激活角色集。然后应用协议探测模块对用户的会话数据流进行探测,根据返回结果确定细粒度控制依据,如应用协议版本、用户相关参数、服务器响应参数等。最后利用用户库的信息和探测信息实现细粒度控制。
2.2.1访问控制与应用协议相对独立
本文所涉及的细粒度访问控制具有3层数据结构,自下而上分别为应用协议相关层、应用协议抽象层和与协议独立的控制层。其中,应用协议相关层利用协议词法库和协议探测模块对用户会话数据流进行数据解析,提取原子信息并将原子信息交给协议语法分析模块进行分析和参数提取,提取的结果会传入应用协议抽象层。应用协议抽象层主要对协议请求和响应进行语义抽象,而协议独立的控制层则根据抽象出来的数据参数对用户合法性进行确认,确认完毕向拥挤控制模块发出指令:用户是否有访问权限,用户访问的目的资源应该采用的安全机制,建立虚拟应用隧道的相关参数等。
通过上述与应用协议相对独立的访问控制体系结构可以实现对应用协议的细粒度控制。
2.2.2访问控制基于用户角色
VAN网关还将细粒度控制与用户角色模型相结合,实现基于角色的细粒度访问控制。
该控制方式首先对用户会话数据流进行拦截分析,获得请求用户的身份信息,根据访问用户的身份认证确定用户的可能角色信息,然后网关向服务器发送用户的访问目的主机和目的端口信息,服务器根据接收信息确认用户访问对象,进而确定用户会话需要激活的角色集。
该系统可以为每一个用户分配一个角色集,用户通过身份验证后,根据会话锁的数据对象,激活用户角色集中的某一个子集为活动角色集,细粒度访问控制依据该活动角色集确定访问依据,完成访问控制。
三、总结
本文所提出的虚拟应用网络可以提供一个统一、安全、透明的网络应用平台,该平台可以绕开访问信息的安全级别和传输数据的保密性等因素实现统一的配置和管理,能够方便的实现多用户和多应用的连接。