WebST 应用安全平台
目录 信息安全体系结构 网络安全服务层次模型 WebST安全平台 WebST 技术特点 WebST应用实例 2018/11/13
一、信息安全体系结构 ISO 7498-2提供了以下五种安全服务: (1) 认证(authentication); ISO 7498-2从体系结构的观点描述了ISO基本参考模型之间安全通信必须提供的安全服务及安全机制,并说明了安全服务及其相应机制在安全体系结构中的关系,从而建立了开放系统互联安全体系结构框架 朱卫国: qw 一、信息安全体系结构 ISO 7498-2提供了以下五种安全服务: (1) 认证(authentication); (2) 访问控制 ( access control ); (3) 数据保密 ( data confidentiality ); (4) 数据完整性 ( data integrity ); (5) 防止否认 ( non-reputation ); 2018/11/13
身份认证 身份认证是授权控制的基础; 身份认证必须准确无误将对方认证出来,且应是双向的; 目前身份认证的主要机制为: (1)用户id 及口令; (2)一次性口令; (3)数字证书 ( PKI ); (4)IC卡; (5 )生物识别; (6)kerberos; 2018/11/13
授权控制 (1)一致性,即对信息资源的控制没有二义性,各种 定义只间不冲突; (2)同一性,对所有资源进行 集中管理,安全政策 统一贯彻; 授权控制是控制不同用户对信息资源的访问权限,对授权控制的要求是: (1)一致性,即对信息资源的控制没有二义性,各种 定义只间不冲突; (2)同一性,对所有资源进行 集中管理,安全政策 统一贯彻; (3)具有审记功能,对所有授权记录可以核查; (4)提供细粒度的访问控制; 2018/11/13
数据保密 数据加密是保证安全通信的手段,目前加密技术主要分为两大类: (1)对称密钥加密算法; (2)非对称密钥加密算法; Des Triple - DES Idea (2)非对称密钥加密算法; Diffie - hellman密钥交换 Rsa 2018/11/13
数据完整性 数据完整性是指防止网上传输的数据被 (1)修改; (2)删除; (3)插入替换; (4)重发; 2018/11/13
防止否认 (1)接受方要对方保证不能否认收到的信息是发送方发出的信息而不是被他人冒名、篡改过的信息; (2)发送方也会要求对方不能否认以收妥的信息; 2018/11/13
三维信息系统体系结构 2018/11/13
二、网络安全服务层次模型 应用层 身份认证 访问控制 数据保密 数据完整 表示层 会话层 传输层 端到端的加密 网络层 防火墙, IP加密信道 链路层 点到点链路加密 物理层 物理介质 安全物理信道 2018/11/13
网络安全服务层次模型 (1) 物理层 数据链路层 网络层 保证线路可靠,不易被窃听,在internet 、intranet 环境中难以保证。 硬件设备被用来在单独连接的主机 / 路由器之间进 行加密,在internet 、intranet环境中不完全适用。 网络层 (1)传统的防火墙技术,控制信息在内外网络之间的流动(2)使用IP sec 技术,建立透明安全加密道, 不能防止网络内部的不安全因素,是粗粒度的访问控 制。 2018/11/13
网络安全服务层次模型 (2) 传输层 应用层 针对专门的应用,在应用层实施安全机制,对特 定应用有效,如PEM。由于针对特定,缺乏通用 使用SSL技术实现两通信结点间安全TCP连接。 该技术使用PKI体系完成身份认证及加密传输, 但对应用层不透明,需要证书授权中心(ca), 本身不提供访问控制。 应用层 针对专门的应用,在应用层实施安全机制,对特 定应用有效,如PEM。由于针对特定,缺乏通用 性,且需修改应用程序。 2018/11/13
网络安全服务层次模型 (3) Webst 是一种基于安全中间件的产品,它克服 了针对专门应用实施安全服务的缺陷,是一种通 用应用安全平台 安全中间件 (DCE) 操作系统 (Unix/NT) 2018/11/13
网络安全服务层次模型 (4) 安全中间件 DCE: 防止非法入侵 防止进网用户进行授权之外的操作 支持跨平台异种系统互联 提供分布环境下统一身份认证、授权、数据保密等等服务 2018/11/13
三、WebST安全平台 WebST基本特性: (1) 分布环境提供统一安全管理; (2)作为网络授权和访问控制的中心,实施用户到应用 的安全管理; (3)采用集中式用户登记进行用户身份认证,对认证的 用户,根据访问权限对应用服务进行访问控制; (4)访问数据库采用统一策略管理; (5)所有通信在安全通道上进行(RPC、GSS); 2018/11/13
WebST 工作模型 认证 双向身份认证 安全管理 访问凭证 访问控制 访问请求访问凭证 安全通道 访问资源 安全审计 2018/11/13
WebST基本功能(1) (1)身份认证——提供了对客户和服务方的双向身份认证,采用著名的Kerberos身份认证协议和机制、基于对称密钥和公开密钥的加密方法、并可将其它密码算法嵌入系统; (2)访问控制——控制不同用户对信息资源的访问权限,根据安全策略,对信息,资源进行集中管理,对资源的控制粒度兼有粗粒度和细粒度两种。可控制到文件、Web的HTML页面、图形、CGI、Java应用等。 (3)数据保密和数据完整性——防止通过网上传输的数据被修改、删除、插入、替换或重发、以保证合法用户接收和使用该数据的真实性。可选用多种密码算法。 2018/11/13
WebST基本功能(2) (4)审计和日志——在提供强的访问控制功能同时,还为每个Web服务器及Netseal服务器提供详细的日志和审计信息。 (5)安全管理控制台——基于Java技术开发的WebST控制台提供了对分散在网上的众多的Web的集中管理,对Web对象的访问控制和URL管理配置十分方便。 2018/11/13
Java 管理控制台 2018/11/13
WebST组成 (1)客户端软件NetSEAT (2)Web 代理服务器WebSEAL (3)传统TCP/IP应用代理服务器NetSEAL (4)JAVA管理控制台 2018/11/13
客户端软件NetSEAT NetSEAT安全客户端软件是运行在客户端的瘦型的DCE客户端软件,用来进行身份认证和建立安全通讯通道。 NetSEAT对应用的客户端软件不作任何改变,采用陷阱方式,由NetSEAT设置IP陷阱、截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。 客户端应用 NetSEAT DLL (RPC通道、认证、DCE) NetSEAT陷阱 标准TCP/IP 协议栈 2018/11/13
代理服务器WebSEAL(1) (1) WebSEAL为已有的应用服务器提供安全性保护,将已有的商用Web服务器与WebST安全技术集成在一起。WebSEAl服务器通过使用灵巧连接提供HTTP代理服务,将现有的商用Web。 (2) 服务器与WebST安全技术结合在一起,可以将多个Web服务器创建成一个统—的Web空间。 (3)将WebST的安全件扩展到一般的Web服务器的每个页面及CGI程序等。可以连接Intranet外的服务器以及不在用户直接控制下的服务器。 2018/11/13
代理服务器WebSEAL(2) (4) WebSEAL务器对所有到来的Web请求进行监听和记录,管理NetSEAT客户软件和商用Web服务器之间的访问控制和数据安全性。访问Web对象的用户请求首先由WebSEAL服务器处理,WebSEAL服务器根据被访问对象的访问控制策略检查用户的访问权限,如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给商用服务器,由它来处理这个请求,并将结果返回WebSEAL服务器,WebSEAI服务器将结果用安全RPC方式返回给NetSEAT用户、或用 HTTP方式返回给非NetSEAT用户。 2018/11/13
WebSEAL代理服务器(3) 2018/11/13
NetSEAL代理服务器(1) (1)将任何网络应用服务器集成到WebST安全性之内。 (2)针对用户身份而不是IP地址进行访问控制。它显 然不提供细粒度红的访问控制功能,但能提供 WebSEAL相同级别的数据安全性和完整性。 2018/11/13
NetSEAL代理服务器(2) 认证 现有的 客户端应用 NetSEAT陷阱 NetSEAT DLL 客户端系统 Plug in 服务器系统 安全 服务器 管理 控制台 认证 设置 访问策略 细粒度 粗粒度 安全通道 基于WebST的 现有服务器 基于WebST的应用服务器 2018/11/13
WebST安全系列产品 安全服务器 验证/授权服务器 Pkms公钥管理系统 Web应用安全服务器 网络应用安全服务器 Corba安全服务器 可选加密模块接口 授权API服务器 安全客户端 安全应用开发工具(SDK) 安全策略管理系统 安全审计模块 安全策略生成工具 2018/11/13
与国外同类产品比较表 2018/11/13
四、 WebST 技术特点 2018/11/13
1.采用逻辑Web名空间简化信息管理 灵巧连接 Smart Junction —— 统一Web空间 www.webst.abc.com http://www.s1.abc.com http://www.webst.abc.com/s1 http://www.s2.abc.com http://www.webst.abc.com/s2 灵巧连接 http://www.s3.abc.com http://www.webst.abc.com/s3 www.webst.abc.com 安全通道 2018/11/13
2.动态页面访问控制 Web浏览器 Web服务器 database SQL Server C SQL 访问控制点C —— 动态URL映射 Request database SQL Server C http://abc.asp a=xxx SQL 访问控制点C —— 动态URL映射 假设 a = { 100, 200, 300, …… } 当 a = 100 时: 当 a = 200 时: 当 a = 300 时: …... a=100 abc.asp 动态Web页面 a=200 a=300 2018/11/13
3.稀疏矩阵访问控制(1) 二维矩阵访问控制 C2 C4 lr-x lr-x P1 P2 P3 P4 C1 -r-x -r-x lr-x …... lr-x …... -rwx -rwx -r-x …... -rwx C3 C5 lr-x -rwx lrwx -r-x …... l=list r=read w=write - =disable x=execute …... lr- - -rwx lr-x -rwx lrwx -r-x - - - - lr- - P1 P2 P3 P4 C1 C2 C3 C4 C5 C6 C6 lrwx lrwx …... lr- - …... 2018/11/13
3.稀疏矩阵访问控制(2) C2 C4 稀疏矩阵访问控制 lr-x lr-x P1 P2 P3 P4 C1 -r-x -r-x lr-x …... lr-x …... -rwx -rwx -r-x …... -rwx C3 C5 lr-x -rwx ACL 继承关系 lrwx -r-x …... l=list r=read w=write - =disable x=execute …... lr- - -rwx lr-x -rwx lrwx -r-x - - - - lr- - P1 P2 P3 P4 C1 C2 C3 C4 C5 C6 C6 lrwx lrwx …... ACL规则 lr- - …... 2018/11/13
4.符合ISO标准的授权API 授权定义: Perform Authorization Check Security Application (1)决定给定客体执行某一特定的服务或访问某一特定信息的动作 (2)授权服务是应用安全的重要部分 (3)安全策略的执行者 Security Policy Perform Authorization Check Yes / No Application 2018/11/13
ISO/IEC 10181-3 2018/11/13
授权API 部件 2018/11/13
采用授权API优点: (1)不必开发应用程序的访问控制及权限管理部分; (2)紧密结合原有授权及新系统到一个应用程序中; (3)解决了分别管理不同应用资源的困难; Custom Application Applications Packaged Database 2018/11/13
五、应用实例:网上招生系统 2000年网上招生“三过半” 参加省市:11 考生:111.7万 高校:845所 “安全系统可靠便捷。经过论证,我们使用清华得实公司的安全系统,在今年的工作中,进展比较顺利,发挥了重要作用” (中华人民共和国教育部教学司[2000]106号) 2018/11/13
总结 网络安全技术涉及层次多,必须通过安全体系框架来分析 不同企业的具体安全需求不同,要采用的网络安全技术也不一样 安全管理比安全技术更重要 30%技术 + 70%管理 2018/11/13