李以斌;牟大伟
【摘 要】iea
教育云基础平台建设和运营均需要符合信息绿安全管理的要求,从物理、网络、系统、数据及应用各个层面,建立完善可靠绿安全保障体系,确保教育云虚拟化平台及管理系统的安全.在安全保障的每个层次都需要对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理.基于数字证书的可信实名身份认证和授权技术是保证数据安全和行为安全的有效技术手段,论文对该技术进行探讨,并研究其在教育云平台中的实现. 【期刊名称】《信息安全与技术》
【年(卷),期】2016(007)009
【总页数】药物分析杂志5页(P40-44)牟玉昌
【关键词】身份认证;授权管理;数字证书;PKI;教育云
【作 者】李以斌;牟大伟
【作者单位】太极计算机股份有限公司 北京100083;北京数字认证股份有限公司 北京100080
【正文语种】截潜流工程中 文
云计算在教育领域中的迁移称之为“教育云”,是未来教育信息化的基础架构,包括了教育信息化所必须的一切软硬件计算资源。这些资源经虚拟化之后,向教育机构、教育从业人员和学员提供一个良好的平台,该平台的作用就是为教育领域提供云服务。教育云通过一个统一的、多样化的平台,让教育部门、学校、老师、学生、家长及其他与教育相关的人士都能进入该平台,扮演不同的角,在这个平台上融入教学、管理、学习、娱乐、交流等各类应用工具,让“教育真正地实现信息化”。扩展了教育深度、扩大了教育范围,促进了学习方式转变和提高学校信息化管理能力。
在此背景下,教育云平台的安全问题就显得尤为重要。当前互联网蓬勃发展,各种先进的互联网技术为人们提供了方便快捷的平台,但随着计算机技术的发展,安全问题也越来越成为了网络系统建设者重视的问题。教育云基础平台建设和运营均需要符合信息绿安全管理的要求,从物理、网络、系统、数据及应用各个层面,建立完善可靠绿安全保障体
系,同时保障教育云虚拟化平台及管理系统的安全,对非法入侵和非法攻击等各方面安全威胁需要具有很强的防范能力。
教育云服务平台需要在内容安全、数据安全与行为安全三个层次上提供绿安全保障。第一个层次是实现教育云内容安全,即确保教育云中用户产生内容(UGC)的合法性与健康性,为教育云中的内容管理提供强有力的技术支撑;第二个层次是实现教育云数据安全,即对教育云中存储的大量用户个人信息进行有效保护;第三个层次是实现教育云行为安全,即将个体和体对象作为关注重点,对恶意使用教育云资源,破坏共享规则,攻击或阻碍其它用户正常使用教育云服务的行为进行有效侦测和管控。
基于数字证书的可信实名身份认证和授权技术是解决上述数据安全和行为安全的有效技术手段。本文将对该技术进行探讨,并研究其在教育云平台中的实现。
2.1 风险及安全隐患
快乐女生练歌房教育云服务框架内包括内外网及资源的跨网络调用,不同级别人员对应不同的操作权限,类型相对复杂,存在多种应用隐患。
(1)用户访问无有效控制,任何人拥有有效的IP地址,就可以随便访问教育云资源。
(2)教育云资源网络虽然从安全角度划分了多个区域,但各区域间缺少安全边界,访问没有进行细分控制。
(3)教育云资源平台涉及很多敏感信息(如学生及老师的身份信息等),如果不采用相关控制手段,任何人都能通过网络获取这些信息。
(4)同样的,管理用户在进入教育云平台的时候如果没有强身份认证,那么将给平台的管理带来极大的混乱的安全风险。
2.2 应用需求分析
身份鉴别和访问管理要贯穿物理安全、网络安全、主机安全、虚拟化安全直到应用安全,在每个层次都需要对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理,在网络层、主机层、应用层甚至多个应用之间可以实现统一认证。
(1)采用基于国密算法的强身份认证:基于PKI技术的数字证书认证方式,持密码口令、硬件信息的认证方式。
(2)SSL隧道加密:认证阶段和数据传输阶段均支持国密算法的加解密,高强度传输链路加密,具有较高的安全性。
(3)权限策略控制:面向用户的动态授权机制,管理人员、操作人员、访问用户各有其职权,根据用户的不同身份来确定其网络接入权限,支持白名单。
(4)统一行为审计:面向用户的行为、管理员的行为和业务系统进行行为审计,结合审计设备提供接入用户行为的全方位监控、追踪审计和流量统计的解决方案。
3.1 公钥基础设施(PKI)
公钥基础设施是利用非对称技术来实现对实体身份提供身份凭证的安全基础设施。PKI最核心的内容是数字证书,包括电子认证服务机构、证书持有者,以及提供安全支撑服务的电子认证服务机构、证书发布和存储、提供证书状态查询服务器、数字签名验证服务器、时间戳服务器和证书管理服务器及其依赖的运行系统。
PKI基础设施是通过签发与管理公钥证书的方式为企业用户、经办机构提供有效身份凭证,为各类实体提供真实身份认证、信息数据加密、数据完整性和申报数据抗抵赖服务的
系统。
3.2 电子认证服务机构
电子认证服务机构是作为PKI基础实施系统对外开展电子认证服务并受工信部、国家密码管理局监管、指导的第三方认证机构,按照《电子认证服务管理办法》开展电子认证业务。
3.3 SSL安全协议
SSL(Secure Socket Layer)是一种在两台机器之间提供安全通道的协议,具有保护传输数据以及识别通信机器的功能。实名认证网关也是利用这一协议来保证外网用户访问内网资源时的安全性。SSL协议实现的安全机制包括三方面:数据传输的机密性、身份验证机制和消息完整性验证。
SSL采用在通信双方之间建立加密通道的方法保证数据传输的机密性,加密通道上的数据加解密使用对称密钥算法,同时利用非对称密钥算法保证密钥本身的安全。
SSL基于数字证书采用数字签名的方法来验证网络中交易双方的身份,使用非对称密钥算法实现数字签名。
同时,为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。
3.4 数字签名验证技术
通过数字签名验证技术,实现基于数字证书的身份认证,对文件提供数字签名和数字签名验证功能。数字签名验证服务主要包括签名验证核心服务模块和安全管理模块。签名验证核心服务通过应用端部署的API,接收应用端发送的签名服务请求,并返回签名或验证服务结果。安全管理以B/S方式提供,管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。数字签名验证服务器的产品架构如图1所示。
3.5 网络实名接入技术
当用户访问受控资源域中的信息时,通过网络实名接入技术进行判断是否需要进行认证,如果用户没有经过实名认证,系统会弹出登录认证的portal页面,用户使用证书进行实名接
入,并经过网络实名接入控制系统进行认证,当认证通过后安全接入网关打开网络连接,允许用户访问受控资源。当用户没有经过实名认证,用户从网络链路上是无法访问到受控资源的。非实名认证用户试图接入受控网络时,网络实名接入系统将阻断其接入受控网络,并阻止其访问受控网络中的受控资源。
网络实名接入网关基于B/S架构认证,教育云的用户可直接通过Web浏览器(如IE、firefox)进行网络实名接入,用户登录时可以使用用户名口令、数字证书等认证方式。网络实名接入网关与网络实名接入控制系统之间采用TCP短连接通信协议进行身份认证与访问控制。
系统框架如图2所示。
身份认证和授权管理系统依托第三方机构的接入认证体系,为教育云服务平台管理用户提供统一的身份标识和认证功能。从每一个用户连接到网络的时刻起,进行网络实名与用户之间的一对一映射,依据授权属性和访问控制策略对用户访问请求进行判定和控制,实现对管理用户接入和使用的监控及审计,保证合法用户正确、安全、便捷地享受教育云平台提供的服务。
4.1 系统构架
在教育云服务平台的前端部署网络实名接入网关和网络实名接入控制系统,实现从网络层的接入控制到应用层的用户身份管理等统一身份认证和授权管理的功能,主要包括集中认证管理,提供高强度的数字证书、动态口令到低安全性的静态口令等多种认证方式。集中用户管理,提供用户的全生命周期管理、用户分组管理、角管理和身份源管理;集中证书管理,利用证书注册服务和电子密钥管理技术,结合集中用户管理,实现用户证书申请、审批、核发、更新、吊销等全生命周期的管理;集中审计管理,提供用户管理、认证和上/下线的审计信息,以及应用系统、网络设备的审计管理。另外,与应用系统内部的授权管理系统相结合,实现用户的集中授权管理,配置合理的策略规则,基于角进行访问控制,在平台内实现对用户集中、灵活授权和访问控制管理,提高系统管理效率。
>玉龙铜矿
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议