1、数据传输安全解决方案数据传输安全解决方案数据传输安全解决方案 1一总体框架 2二安全需求 32.1应用集成和政务集成中的安全需求 32.2 0A产品的安全需求 51.安全电子邮件 52.电子签章 .53.数字水印 54-防拷屏 65.安全加密文档 623方案中解决的安全问题和需求 6三方案 83.1 TXI 简介 8(1) 提供用户身份合法性验证机制 8(2) 保证敏感数据通过公用网络传输时的保密性 8(3) 保证数据完整性 9(4) 提供不可否认性支持 93.2非对称密钥加密技术简介 933刃Q的组成部分 203-3.1认证和注册审核机构心/7丿 113-3-2密钥管理中心 123-3-3
2、安全中间件 13四.部分 144-1什么是咖J 1542为什么需要妙仃 254-3 TMI发展的几个阶段 264-4咖J的安全体系模型 17二十一世纪是信息化世纪,随着网络技术的发展,特别是Internet的全球化, 信息共乍的程度进一步提高。数字信息越来越深入的影响着社会生活的各个方面,各 种基于互联网技术的网上应用,如电子政务、电子商务等也得到了迅猛发展。网络正 逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性,网上 的所有信息对所有人都是公开的,所以网络上的信息安全问题也日益突出。前政府 部门、金融部门、企事业单位和个人都日益重视这一重要问题。如何保护信息安全和 网络
3、安全,最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及 对企业形象的影响,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。网络的飞速发展推动社会的发展,大批用户借助网络极大地提高了工作效率,创 造了一些全新的工作方式,尤其是因特网的出现更给用户带来了巨大的方便。但另一 方面,网络,特别是因特网存在着极大的安全隐患。近年来,因特网上的安全事故屡 有发生。连入因特网的用户面临诸多的安全风险:拒绝服务、信息泄密、信息篡改、 资源盗用、声誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的 存在阻碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下, 建
4、立安全可為的网络信息系统是一种必然选择。一总体框架构建平台统一、系统安全、投资合理、运行高效的系统平台,提供服务于应用集成、数据集成和表现集成的全线产品,为企事业单位信息化构建动态协同的基础设施。图1一2产品框图办公系统满足企事业单位日常办公的各种业务需要,是政府、企业信息化的基础 应用系统;数据交换平台提供各系统间的业务集成,是企事业单位实施全方位信息化 和数据共事的基础中间件平台;一站式服务平台实现政府跨部门的网上行政、网上办 公和网上审批,是实现阳光行政、高效行政、依法行政的关键平台;统一信息门户提 供丰富的内容表现方式、全方位的访问接入方式和个性化服务,是企事业单位信息化 的统一入口,
5、是领导决策的信息来源,是政府、企业的形象的集中表现。安全中间件作为夕火!的主要组成部分是连接C久与各应用系统的桥梁,使得各应 用系统与C久之间实现松散连接。安全中间件是以公钥基础设施(夕火7)为核心、建 立在一系列相关国际安全标准之上的一个开放式应用开发平台,并对夕火止本功能如 对称加密与解密、非对称加密与解密、信息摘要、单向散列、数字签名、签名验证、 证书从证,以及密钥生成、存储、销毁等进一步扩充,进而形成系统安全服务器接口, 和通信安全服务接口。安全中间件可以跨平台操作,为不同操作系统上的应用软件集 成提供方便,满足用户对系统伸缩性和可扩展性的要求。在频繁变化的企业汁算机环 境中,安全中间
6、件能够将不同的应用程序无缝地融合在一起,使用户业务不会因计算 环境的改变遭受损失。同时,安全中间件屏蔽了安全技术的复杂性,使设计开发人员 无须具备专业的安全知识背景就能够构造高安全性的应用。二安全需求2.1应用集成和政务集成中的安全需求随着网络技术的发展,特别是Internet的全球化,各种基于互联网技术的网上 应用,如电子政务、电子商务等得到了迅猛发展。应用的需求越来越复杂,迫切需要 各种独立的异构分布式应用之间能够进行协同互操作,传统的分布式构件方案如 QCON和CO冗B久 难以满足应用开发的需要,于是由于技术的逐渐成熟, 出现了一种新的分布式、松耦合、自描述的分布式组件服务Service
7、。因为 6 Service具有跨平台、易开发的优良特性,因此在应用系统集成领域和网络服 务领域成为了一个广泛应用的标准。DCI产品框架平台就是这样一个完全基于丿2F 平台和Service的完整的企业应用和电子政务应用的集成平台。但是因为Service的开放性和通用性,为了能够保护信息系统的安全,对Service的安全性提出了很高的要求。Service迫切需要一个完整的安 全服务框架,来为上层应用开发提供全面的安全服务。构建仏0 Service的安全框 架的困难在于:service是非常分布式的,并且关键的安全实现和算法都是由 不同提供商实现的。将各分散的业务部门和它们原先的异构的安全系统和架构
8、统一集 成到ye6 Service安全和业务平台上,并且能够以一种信任关系在各部门应用之间 共享用户信息、描述和权限是一个摆在面前的巨大挑战。为什么需要安全的可信的3Ve6 Services与过去十年中客户/服务器和基于的应用一样,XL Services给 应用开发和信息系统的构建带来了革命性的影响。通过使用标准协议,如XMZ、 SO久夕、和VDDI,应用能够更容易的相互通讯,并且更快、更便宜的进 行应用集成,供应链集成,实现分布式的服务模型。XML Service接口是基于X(ML和松耦合的。Xl和SOT允许任 意系统间进行相互通讯,无论它是一个Office XT桌面还是一个大型主机系统。随
9、着 自动化业务流程集成的越来越普及,越来越多各式各样的系统通过Service加 入到一个广泛的Service集成环境中去,因此出现了以下一些问题:非集中的架构非集中的管理用异构的技术实现多个部门间相互连接多个企业间相互连接天然的对等的架构有可能对Internet开放上面的每一个问题都是对系统安全的严峻挑战。如何跨越多个异构系统在整个环 境中实施一个安全策略?如何为一个不了解安全系统的外部提供商提供安全服务?如 何监视和审计跨越多个异构系统的安全活动事件?要解决上述问题,仅依赖于传统的 防火墙和入侵监测系统是不足够的,即使加上了SS和WPW也只是解决了数据在网 络中安全传输的问题,并没有解决跨系
10、统的认证和访问授权问题,也没能解决面向 Internet的服务安全问题。要解决这些问题,需要提供一个完整的基于恥$ Service的安全和企业应用集成架构。QCI架构以及产品系列提供了对上述问题的 完整解决方案(完整的架构说明请看另文)。2.2 OS产品的安全需求1.安全电子邮件电子邮件已经是现在最常使用的文本通讯手段,是O久 系统中的核心功能之 -o为了保证电子邮件的安全,需要能够使用数字证书对邮件进行数字签名和数字加 密。安全电子邮件是在原有的作邮件规范的基础上,新增了许多强有力的安全 功能。通过基于“S/NIWF 协议来实现,可以与各种支持相同协议的常用邮件程 序(如OutooH系列、N
11、etscape系列)兼容互通。2.电子签章在办公和文档管理中,需要将传统的印章、签名方法同现代的数字签名技术相结 合,用电子数据安全来支持用户的传统使用习惯,使整个系统具有更好的易用性,同 时乂具有完善的安全性。这种结合被称为电子签章。在电子签章系统中需要夕火7提 供的数字证书和数字签名服务,并结合智能卡或其他身份识别技术,实现各种常用应 用文档编写程序的签署插件,并通过O久系统进行公文文档的工作流传递。同时随着“乜力化办公的兴起,迫切需要用户能够安全的通过浏览器来传递数 据,同时能够验明自己的身份,因此需要有能够对网页上用户提交的数据进行数字签 名和加密的能力。3数字水印山于多媒体信息很容易
12、被未授权的用户复制,特别是图片性文档,因此采用传统 密码方法并不能完全解决以上问题,于是人们开始通过永久性数字水印来解决这一难 题。数字水印技术是指用信号处理的方法在数字化的多媒体数据中嵌入隐含的标记。 数字水印(I)igitaCatermaring)r泛应用于数字作品版权保护、隐蔽通讯、电子商务等领域。通过在O久系统中应用数字水印技术,对发给不同用户的需要保密的图片文档 使用该用户的印章进行水印加注,日后一旦图片原本泄漏,可以追查图片的泄漏来源, 进而得到防范和威慑效果。丄朮印播入捷财印捷取岀的爪聊I朮印桎取4判决(屡或否)4防拷屏某些秘密文档需要特定人于特定机器才能进行浏览,为了防止用户用
13、拷屏的手段 复制屏幕上已经解密的秘密信息并泄密,需要提供一些辅助的软件工具来阻止用户进 行拷屏操作。5安全加密文档在办公系统中,某些秘密文档不允许以解密后的明文文档方式存在,要求必须在 存储时,文档必须是加密的。这就需要办公系统中提供一些文档目录的加解密客户端 工具。这些加解密的客户端工具软件能够自动加解密整个文件目录。23方案中解决的安全问题和需求身份认证通常我们在W万应用中使用口令、证书、Xerberos. Q久夕等不 同验证方式来认证服务的请求者,并且在更高的安全级,要需要请求者通过 Smartcard:或生物指纹技术进行验证。同样服务的请求者也需要认证服务的提供 者。授权/访问控制yv
14、eb Service很容易进行访问,因此授权并限制外部对该W力 Service的访问是相当重要的。不仅要能够控制应用艰户能够访问哪些信息,还要 控制应用或用户有权执行哪些操作。此外能够对管理权进行委托,以能够管理大型组 织结构的跨应用的访问授权。特别的对于不同域之间,如嗨 的场景中,系统间需 要能够相互认证并能够交换授权断言。 单点登录QSing仏Sign OQ在皿0Service环境中,单点登录扮演着非常重要的角色。在Service环境中,各式 各样的系统间需要相互通讯,但要求每个系统都维护彼此之间的访问控制列表是不实 际的。用户也需要更好的体验以不需要繁琐的多次登录和身份验证来使用一个业务
15、过 程中涉及到的不同系统。在Service的单点登录环境下,还包含这样一些系统, 它们有着自己的认证和授权实现,因此需要解决用户的信任状在不同系统间进行映射 的问题,并且需要保证一旦一个用户被删除,则该用户将不能访问所有参与的系统。SML是一个将认证和授权信息以尤MZ格式编码的标准。一个Service因 此能够从一个SM兼容的认证和授权服务中请求并收到S%M断言,并据此验 证和授权一个服务请求者。SML可以用来在多个系统间传递信任状,并因此被用 于单点登录的方案中。数据加密标准的安全通信协议,如使用SS来实现端到端的 数据加密。但是在Service的环境的许多情形下,一个消息的不同部分可能会
16、被多Service消息中介进行处理,因此需要ZMZ Encryption加密标准来 允许对一个消息的不同部分进行加密,同时可以不对路由的目的消息头进行加密,以 减少敏感的加密性能损失。 数字签名和防止否认在系统间消息通讯中,特别是对那 些跨越企业或不同行政单位的消息,需要保证消息的完整性、防篡改,还要保证该消 息确定来自于所期望的源。这一切都可以通过数字签名来实现。XM Signature标 准提供了签名尤文档的一部分的方法,它提供了跨越多个系统的端到端的数据完 整性。同时数字签名和时间戳还能防止对已发生交易的否认。 重放攻击为了防止网 络截听者拦截并拷贝有效的消息,特别是身份验证消息,并在随
17、后的时间重放该消息, 以获得非法利益的情况发生,必须实现两次握手的身份验证过程,并保证身份信息数 据是机密传输的。这样的验证过程可以是基于SS的,也可以是自定义的。 恶意和 拒绝服务攻击Service是如此容易进行调用,一般来说Service都是通 过存 和久7ZPS协议进行调用的,而大多数防火墙又开放8。和443端口以作 为标准的消息通道。防火墙一般不会检査在通道上传输的SO久夕消息的合法 性。这就需要Service的基础设施是稳固可靠的,不会因为消息中非法的错误 数据而出现内部错误,从而拒绝服务,也不会因为不合法的超长消息而导致系统资源 耗尽而拒绝服务。入侵检测要整理出所有对庞大的仏0 S
18、ervice方法的误用是一 个非常困难的任务。通过安全策略和访问控制管理可以减少对系统的非法入侵。要防 止系统入侵,需要很好的智能化分析手段,并借助于专家系统来帮助检测恶意的行为。安全系统管理如何对在W0 Services环境中各个异构系统的安全配置进行管理, 并能够监控其安全状态是一个需要解决的问题。这就需要各个系统能够按照统一的系 统管理标准进行远程管理并提供系统的安全状态信息。三方案3TXI简介TXI是TuBdc Xey Infrastructure (公共密钥体系丿的缩写,是一个使用 非对称密钥加密原理和相关技术实现的安全基础设施。TXI为组织机构建立和维护 一个可信赖的安全环境,为应
19、用系统提供对身份认证、数据保密性和完整性、不可 否认等特性的支持,以满足应用系统对安全性的需求。在基于Internet技术的电子政务和电子商务场景下,应用系统对安全性的需 求在技术上最终都归于以下四个方面:(1)提供用户身份合法性验证机制身份认证(utfientication)是分布式部署的信息系统首先面临的安全问题。 举一个简单的例子,当用户E接收到一封来自用户久的重要文件,那么用户2首 先需要确认的是该文件的确是由用户久本人发出的,而不是第三者以用户久的名 义发出的,如果这一点无法保证,那么即使能够确认文件本身的数据完整性和保密 性,也没有任何意义。在分布式部署的企业信息系统中,用户的交互
20、往往是非面对面的,因此提供一 个可靠的身份认证过程将是讨论一切安全措施的前提条件。传统的用户名+密码的身 份认证方式在安全性方面存在各种缺陷,应用系统需要采用其它更为有效的身份验 证机制。(2)保证敏感数据通过公用网络传输时的保密性保密性(Confi(fentiaat)需求是指应用系统需要能够确保敬感数据只被特定 的用户查看。以前面的例子为例,用户久需要保证所发出的文件的内容只有用户亦 才能查看。很多时候,用户久通过公共网络,比如以电子邮件的形式将文件发给用 户这时,保证文件的内容不被第三者查看变得尤为重要。(3)保证数据完整性保证数据完整性(Integrity)是确认我们所接收到的来自某一用
21、户的数据是 完整的和未被篡改的。以上面的例子为例,用户除了需要确认该文件的确是山用 户久发出的以外,还需要确认这封文件在传输过程中没有被有意或无意的篡改,即 用户接收到的文件和用户久发出的文件是完全一致的。(4)提供不可否认性支持安全的信息系统常常要求实现用户在系统中的行为的不可否认性 (on-Reyudiation).以前面的例子为例,当用户久发出该文件之后,用户久将 再不能否认曾经发出该文件这一事实。在需要用户对自己在系统中的行为承担责任 的场合,不可否认性显得非常的重要。TXI为从技术上实现以上需求提供了原理上的保证,我们对此在下一小节中加 以简单的介绍。32非对称密钥加密技术简介TJC
22、I基于非对称密钥加密技术来实现应用系统对身份认证、数据保密性和完整 性、不可否认性的支持。理解非对称密钥加密技术的基本原理是理解夕火7为什么安 全的基本前提,也只有在对夕火7的原理有一定程度的了解之后,才能有效的部署和 实施理在传统的加密算法中,接收密文的一方使用与加密密钥相同的密钥作为解密密 钥,这种加密技术因此被称为对称密钥加密技术。对称密钥加密算法本身是非常安 全的,问题出在如何传递加密所使用的密钥上。为了解决这一问题,提出了非对称 加密技术。非对称加密在加密时和解密时使用不同的密钥,设为密钳护和0。使用密 加密的数据必须使用密钥q才能解密,而使用密钥q加密的数据必须使用密钥 y才能解密
23、。但是从密钞B本身计算出密钥q是不可行的。夕火7使用了非对称加密技术,其中的一个密钥称为私钥,山证书的持有者妥 善保管,必须严格保密,另一个密钥称为公钥,通过C久 公布,无须保密。当用户久需要将数据以加密的方式传递给用户E时,用户久使用用户E的公 钥加密数据,加密后的数据必须使用用户E的私钥才能解密,因此可以保证数据传 输过程的保密性。为了验证数据的真实性,用户久使用自己的私钥对数据的哈希值 加密,用户18使用用户久的公钥对哈希值解密,并与接收到的数据的哈希值进行对 比。由于私钥不在公共网络上传播,所以吨有很高的安全性。33夕火I的组成部分TXI方案的基本结构如图3垃所示。图TXI的基本结构C
24、久和RA相互配合,负责刃CZ系统中的数字证书的申请、审核、签发和管 理。密钥管理中心与疔系统中的用户管理中心协同工作,负责刃U中的密钥对的 生成、备份和恢复。M系统中的应用系统通过安全中间件使用夕伙T系统提供的各 种安全服务。TXI中的加密服务组件负责驱动系统底层的加密软件和硬件。安全中 间件为应用系统隔离了 F火I系统中的复杂技术细节,而加密服务组件实现了刃0 系统与来自第三方的加密软件和硬件集成的能力。TXI系统中可以配置多套加密服 务组件,以驱动不同的加软件和硬件。安全中间件与加密服务组件的组合方式通过 安全策略管理中心配置,而不由应用系统控制,因此保证了方案的可扩展能力和可定制能力。3
25、3丄认证和注册审核机构(CJVQU认证机构口 是理XJ的信任基础,它管理公钥的整个生命周期,其作用包括 签发证书、规定证书的有效期和通过发布证书废除列表(CRQ来确保必要时可以废 除证书。注册审核机构久久提供用户和口 之间的接口,主要完成收集用户信息和确认 用户身份的功能。这里指的用户,是指将要向认证机构(即C久丿申请数字证书的客户, 可以是个人,也可以是集团或团体、某政府机构等。久久 接受用户的注册申请,审 查用户的申请资格,并决定是否同意C久给其签发数字证书。注册机构并不给用户 签发证书,而只是对用户进行资格审查。因此,久久 可以设置在直接面对用户的业 务部门。对于一个规模较小的夕火7应用
26、系统来说,可把注册管理的职能由认证中心M 来完成,而不设立独立运行的久久。但这并不是取消了夕火7的注册功能,而只是将 其作为C久的一项功能而已。TXI方案推荐由一个独立的久久来完成注册管理的 任务,通过保证C久和丁系统其余部分的物理隔绝,可以增强应用系统的安全。 签发的数字证书一般由久久通过服务器发布,供0Q系统中的 用户需要时进行检索和获取。C久/R久服务器使用数据库服务器保存相关的数据。图3-3描述了口、久3、数据库和久夕服务器之间的关系。图3-3证书机构和注册审核机构(CJV农刖332密钥管理中心密钥管理也是夕火7住要指C久丿中的一个核心问题,主要是指密钥对的安全管 理,包括密钥产生、密
27、钥备份和密钥恢复等。密钥对的产生是证书申请过程中重要的一步,其中产生的私钥山用户保留,公 钥和其他信息则通过久久交于口 中心进行签名,供生成数字证书使用。在一个夕火7系统中,维护密钥对的备份至关重要。如果没有这种措施,当密钥 丢失后,将意味着加密数据的完全丢失,对于一些重要数据,这将是灾难性的。使 用夕火7的企业和组织必须能够得到确认:即使密钥丢失,受密钥加密保护的重要信 息也必须能够恢复,并且不能让一个独立的个人完全控制最重要的主密钥,否则将 引起严重后果。在某些情况下用户可能有多对密钥,至少应该有两对密钥:一对用于加密,一 对用于签名。签名密钥不需要备份,因为用于验证签名的公钥(或公钥证书
28、丿广泛发布, 即使签名私钥丢失,任何用于相应公钥的人都可以对已签名的文档进行验证。TXI 系统需要备份用于加密的密钥对,并允许用户进行恢复。因此,企业级的夕火7产品至少应该支持用于加密的安全密钥的存储、备份和 恢复。密钥的备份一般用口令进行保护,而口令丢失则是管理员最常见的安全疏漏 之一。即使口令丢失,使用密钥管理中心提供的密钥恢复功能,也能够让用户在一 定条件下恢复该密钥,并设置新的口令。当用户的私钥被泄漏时,用户应该更新私钥。这时用户可以废除证书,产生新 的密钥对,申请新的证书。密钥管理中心需要与夕伙J系统中的其它加密软件系统和硬件设备协同工作。333安全中间件安全中间件是d方案的一个重要
29、组成部分,是只久J系统与应用系统的桥 梁。各个应用系统通过安全中间件与底层的服务组件相互作用,协同工作, 从而保证整个T系统的安全性。安全中间件实现以下功能:为应用系统提供一致的安全应用程序编程接口 S7V丿通过加密服务组件驱动不同的C久服务器产品、加密软件和硬件安全中间件与相关组件之间的关系如图3-4所示。安全中间件包括以下部分:安全应用程序编程接口安全应用程序编程接口屏蔽了GT系统复朵的技术细节,将夕火7系统与具 体的应用系统有机的集成在一起,从而构成结构良好的企业分布式安全应用环境。 当夕火7系统中具体的口服务器、加密软件和加密硬件发生改变时,基于安全中 间件的应用系统不需要进行修改,只
30、需要使用安全配置和管理组件对安全中间件的 行为重新进行配置即可。安全实体映射组件安全实体映射组件维护T系统中用户与夕火7系统中的安全实体之间的映射 关系。当用户釆用不同的理心 技术方案时,PX7系统中的安全实体与7丁系统中 的用户之间的映射关系可能会发生改变,这种情况在当用户采用专用的加密算法和 非标准的证书系统时尤其明显。由安全中间件集中维护T系统中的用户与只久7系 统中的安全实体之间的映射关系能够有效的简化应用系统的开发和实施。加密服务组件在安全中间件中,加密服务组件负责驱动夕火7中的第三方软件系统和硬件设 备,向安全中间件提供用户身份验证、数据加密和解密的底层实现。用户通过安全 应用程序
31、编程接口发出的数据加密和解密请求实际上山加密服务组件负责具体的实 现。加密服务组件是夕火7方案实现与来自第三方的C久服务器产品、加密软件、 加密硬件的集成的途径。夕火7方案具有集成来自不同厂商的口 服务器产品、加 密软件和加密硬件的能力,这种能力是通过部署不同的加密服务组件来实现的。加 密服务组件向安全中间件提供支持,在加密服务组件之上的安全中间件为应用系统 屏蔽了底层的复杂的夕火7组件。安全配置和管理组件安全应用程序编程接口提供了完成独立于具体的夕火7系统组件的选型的接口, 然后,随着用户对C久服务器及相关软件、加密软件和硬件的选择不同,应用系统 在使用夕火7系统提供的安全服务也会有所不同。
32、这也即是为什么LI前的大多数安全 中间件事实上无法实现底层平台无关性的最主要原因。TXI方案通过提供独立于安 全应用程序编程接口的安全配置和管理组件来解决这一问题。当用户选择不同的U4 服务器及相关软件、加密软件和硬件时,只久7系统仍然需要进行新的配置,这是通 过安全配置和管理组件实现的,应用系统不需要进行配置,安全中间件与安全配置 和管理组件协同工作,真正的实现了PX7方案的可扩展能力、可定制能力、可开发 能力和可集成能力。安全中间件向应用系统提供以下应用程序编程接口:数据加密和解密信息摘要计算数字签名及验证生成高质量随机数其它与安全有关的系统功能的实现4什么是HMJTMI 是Trivilege Management Infrastructures 的英文缩写,意
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 