在网络系统中,信道、数据包、网络连接与操作系统中的访问控制不同,这些数据有时不仅是访问控制的主体,同时还是访问的客体,这时,在传统的网络访问控制模型,就很难适应于现代化的网络安全访问控制体系中。在认证和访问控制的过程中,对于数据存储的与传输的完整性是保证数据安全的重要内容,例如,在对认证协议进行设计时,需要考虑和分析认证信息在网络传输的过程中不会被窃取或篡改,就需要采取相对应的网络安全管理认证机制和访问控制策略。同时,认证和访问控制在不同的层面采用的算法与策略也不相同,是实现网络数据传输完整性与保密性常用的有效手段。
4、协议层实体模型
TCP/IP 协议体系由于没有一个完整安全参考模型,它的安全机构体系结构对网络的低层服务支持不够,形成网络安全服务基本上都是由网络应用层完成的,因此,在网络安全服务架构模型的 IP 层采用安全协议 IPsec,采用两种安全密码保护机制,分别对网络的信息安全进行保护,为数据实体认证和数据的保密性和完整性服务提高安全保护,改变了传统的数据传输的安全访问控制机制[3]。认证头标 AH(Au-thentication Header) 主要采用报文摘要技术,实现是网络实体的数据认证和管理,同时也能够对 IP 层的数据源发认证与数据的完整性进行验证分析。封装安全净荷 ESP(Encapsulating Security Payload) 主要采用加密技术对安全访问进行控制[4]。实现对用户的身份进行端对端的密码认证,对用户的信息进行安全加密,实现对数据保密与控制,同时还能保住数据的完整性和连接访问控制的安全管理和控制服务,保证数据传输的正确性,例如网络安全套接字层协议 SSL(Secure Socket Layer) 的访问控制就是采用端对端的数据传输方式进行安全控制服务的。但是,SSL 是在 IPV4 的基础上应用的,不能有效的对 IPsec 安全服务进行有效的利用,只是提供了与 IPsec 功能大致一样的功能服务和安全保障策略,为网络数据的保护提供了多样管理措施,网络数据的安全还存在多样化的管理方式,同时 SSL 也没有为安全管理提供安全服务管理接口,对网络授权和访问控制服务也没有相应的管理规定。根据系统服务的要求,我们构建如下图 3 的多层网络协议服务模型。
图 3 N 层安全服务体系框架模型
在 N 层安全服务管理框架体系的服务模型中,协议安全的实体主要由网络安全管理实现机制、安全管理与安全管理信息库 (SMIB) 以及相关的接口系统构成。其中上一层的安全服务实体对整个系统的服务也是多样的,它可以全部利用下层实体提供的访问控制和安全服务管理,实现安全访问控制的多层次管理,同时还能够向上一层管理结构提供服务管理接口,实现网络安全措施联动。使得网络数据的一种安全服务可以采用多种访问控制的方法,安全服务接口采用数据过滤和安全分析技术对数据进行加密保护,使得安全机制的实现对网络传输中的外部对等数据实体 (peer entity) 和上层协议实体透明化,实现了网络数据主体、客体安全访问控制,这样就不会因为某一层安全结构机制与访问机制的改变,影响了网络整体的安全体系结构。N 层安全管理部件(安全管理信息库 SMIB)在网络安全中起着关键作用,所有的网络控制策略存储在 SMIB 中,它负责网络安全的激活、关闭 N 层安全服务的功能,对网络中的各个层次还提供相应的指导,同时对数据的分发、安全认证的策略与参数等进行控制。
例如 IPSec 安全管理控制机制,认证头标 AH和封装安全净荷 ESP 对应于图 3 中的安全机制控制模块,SMIB 代表 IPsec 的安全相关和密钥库,形成了安全管理数据库,同时在该 SMIB中还包含着 IPsec 的访问控制链表 ACL。
5、三维网络架构体系在网络工程中的应用
随着现代网络环境的复杂多样化发展,在网络系统设计时需要充分的考虑网络安全体系的架构,这样就需要将它们作为一个整体进行考虑,才能有效的对网络安全进行架构。因此,在网络工程安全方案设计中,需要结合各个网络层次之间的结构与网络安全技术的关系,有机的将各种网络安全体系和设备整合在一起,形成一个完整的网络安全保障体系,结合上述分析和实际的大型网络工程方案,我们提出各种安全技术或系统在安全体系结构中的位置,具体的架构如下图 4 所示。
图 4 各层次单元安全技术在三维网络安全体系结构中的位置
5.1、端系统 (End-System) 安全
它是网络环境下,网络端系统对自身网络安全而进行保护的安全机制,在 UNIX 操作系统,所采用的安全机制和访问控制技术就是端系统安全管理体系。该安全机制和访问控制主要包括用户认证、审计和主机入侵检测技术等,在网络数据传输的过程中,同样也能够保证网络数据传输的完整性和保密性。
5.2、网络通信安全
它是保证网络自身安全和网络基础设施通信重要内容,依据一定的访问控制和安全算法,对网络数据的可用性进行保护,不仅包括网络的通信安全,还包括网络通信设备以及与网络相关的外围设备的安全等。网络通信安全的架构需要从网络的内部分析或者网络的应用上层进行分析,设计网络安全访问和控制策略。例如在网关处实现 IPSec 技术,就是一个典型的网络通信安全技术,需要对网络通信的数据粗粒度认证、数据保密和完整性等服务进行整体的架构设计。
5.3、应用系统安全
由于分布式网络系统、多重网络系统的应用,在网络应用系统的安全设计,就需要考虑多层网络的问题。由于传统的网络设计没有将安全服务作为整体进行架构分析,或者网络安全架构存在一定的安全漏洞,影响着网络信息安全。采用三维安全架构的网络信息安全管理与控制,就可以在应用代理层或者应用网关系统增加网络安全管理服务,形成一套完全有效的安全服务体系,提高网络的安全性,在现代分布式网络系统中广泛应用。在网络安全管理在安全体系结构中,通过设计各个协议层次、各种物理实体中安全机制和访问控制的方式,对网络的安全数据进行监控,同时也能够为网络的安全通信提供控制与管理服务,能够实现网络的安全机制的创建、控制以及密钥管理与分析等相关的安全管理机制进行统一发布、更新等相关的事件管理与公告,这在大规模的、异构网络环境中对网络信息的安全保护具有十分重要的作用,为网络提供认证、数据的保密与完整性服务。在电子商务与网络开放性不断增强的情况下,采用公开密钥体系、第三方数字签名等方面具有十分重要的作用。
6、结束语
在大规模的网络环境下,网络信息安全的体系建构是一个复杂的、多变的过程,不仅涉及到系统的软件问题,还包括系统的硬件设备的问题,只有建立一个合理的安全体系架构的框架,才能有效的将各种安全控制技术应用到网络信息安全的保护中,为网络提供一个统一的、安全的、多层次的网络安全管理环境。
参考文献:
[1] 石新宇 . 初探计算机网络安全系统的构建 [J]. 网络安全技术与应用 ,2014(1):111-112.
[2] 焦开荣 . 计算机网络安全体系结构分析 [J]. 科技风,2015(3):272.
[3] 汪街萌,张硕,江兆银.计算机网络安全体系研究[J].信息安全与技术,2012(2):38-40.
[4] 任利明 . 计算机网络安全体系结构研究 [J]. 计算机光盘软件与应用,2012(24):82-83.
[5] 黄彪,康志辉 . 采用内嵌式技术防止网页被篡改系统设计 [J]. 福建师大福清分校学报 ,2015(5):49-53.
