引言

    信息技術的發展歷來與軍事工業的進步息息相關。1946年世界上第一臺計算機ENIAC在美國賓夕法尼亞大學誕生，其目的就是用來計算炮彈彈道。至今為止60多年過去了，信息技術已經與軍事工業融為一體，密不可分。

    近年來我國軍工單位的信息化水平越來越高，無論是日常辦公還是科研生產，都離不開信息技術的支持，尤其是對網絡技術的依賴。通過網絡人們能夠快速的傳遞數據，共享信息。但是，在網絡技術在給工作帶來方便的同時，也給科研生產埋下了隱患。例如，不明身份的用戶進入到涉密網絡中，就可能會發生泄密事件，給國家安全帶來巨大的威脅。

    因此，網絡安全問題已經成為軍工單位關心的焦點問題。目前，很多軍工涉密網絡的安全防御措施往往是防得住“外賊”防不住“內鬼”，管得住網絡管不住主機。在上述背景下，本文通過分析常見身份認證方式在軍工涉密網絡中存在的缺陷，進一步提出定點登錄的概念，通過多系統聯動，形成對用戶身份、計算機及交換機端口的層層驗證、匹配，為增強軍工涉密網絡的安全性提供了一種新的思路。

1 身份認證

    1.1 身份認證的必要性

    身份認證是指在計算機網絡中確認操作者身份的過程。在計算機網絡世界中用戶的身份信息是用一組特定的數字來表示的，計算機只能識別用戶的數字身份而無法區別用戶的物理身份，即便是對用戶的授權也只是針對用戶數字身份的授權。如何保證以數字身份進行操作的用戶就是這個數字身份合法擁有者，也就是說保證用戶的物理身份與數字身份相對應，身份認證技術就是為了解決這個問題。作為網絡安全防護的第一道關口，身份認證有著舉足輕重的作用。

    1.2 身份認證的現狀

    目前，主要的身份認證方式大致可分為三類：(1)只有該主體知道的密碼，如用戶口令；(2)主體擁有的物品，如智能卡或USB Key；(3)只有該主體具有的獨一無二的特征或能力，如指紋或聲音等。為了達到更高的身份認證安全性，某些場景會將上面3種挑選兩種混合使用，即所謂的雙因素認證。

表1 常見身份認證方式對比表

    但是，僅僅依靠用戶口令來進行身份認證，由于安全性較低，難以滿足一些安全性要求較高的應用場合。使用智能卡進行身份認證，雖然安全性高，但需要專用讀卡器，使用起來不方便。利用指紋或聲音等手段的生物統計學設備由于價格和技術而使用得非常有限。相比之下，使用USB Key進行身份認證優點更為明顯。

    基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。筆者已知很多軍工單位都是采用USB Key身份認證方式，本文身份認證方式也以USB Key為例。

    1.3 USB Key在軍上涉密網絡中存在的問題

    由于軍工涉密網絡在管理要求和防護措施上與非涉密網絡相比存在差異，因此盡管常用的身份認證技術在非涉密網絡中能夠廣泛使用，但應用于軍工涉密網絡中就顯得有些捉襟見肘，常見問題如下：

    (1)用戶可通過全網任意計算機登錄到軍工涉密網絡中。以USB Key身份認證方式為例，合法用戶用自己的USBKey可以通過其他計算機登錄到軍工涉密網絡中，而并不一定要通過自己的計算機。由于在軍工涉密網絡中計算機的本地硬盤上存儲著大量涉密數據或文檔，這些數據或文檔雖然沒有上傳到服務器上進入到涉密信息系統中，但也必須保護起來，禁止密級較低或是非授權人員查閱，避免產生泄密事件。鑒于軍工涉密網絡的特殊性，要求網絡安全防護措施，不但要能夠保護涉密信息系統，還要能夠保護連接到軍工涉密網絡中的任意一臺計算機�，F在常用的身份認證技術顯然達不到這個要求。

    (2)用戶可通過全網任意交換機端口登錄到軍工涉密網絡中。這樣不便于用戶管理以及網絡資源管理。在軍工涉密網絡中，對于用戶的物理位置必須有精確的定位，這才能在違規事件發生的第一時間鎖定違規計算機，控制或限制其行為。另外，對于閑置不用的交換機端口也應該關閉，防止被惡意利用。

    (3)外來計算機可以通過任意交換機端口登錄到軍工涉密網絡中．甚至進入涉密應用系統。如果不做限制，外來計算機隨便配置一個內網IP就可接入軍工涉密網絡，同時只要用戶的PIN碼和USB Key正確，還能訪問涉密應用系統。這樣就可以不經審批處理，直接把病毒或黑客工具帶入軍工涉密網絡，或是將涉密文檔資料拷貝出去。對于軍工涉密網絡來說，如果發生這種情況，損失將是不可估量的。

2 定點登錄

    2.1 定點登錄產生背景

    用戶通過簡單的身份認證手段可以隨時隨地使用任意一臺計算機連接到網絡中進行正常的工作，這在非涉密網絡中是有利于提高工作效率的，但是如果這種情況出現在軍工涉密網絡中，就會為科研生產埋下巨大的泄密隱患。根據國家對軍工涉密網絡管理的要求，結合軍工涉密網絡安全防護措施的實際需要，筆者融合工作實踐經驗提出“定點登錄”這一概念。

    2.2 定點登錄的定義

    定點登錄只是針對軍工涉密網絡而言，所謂定點登錄，就是指特定用戶只能使用特定計算機，通過特定的交換機端口登錄到軍工涉密網絡中。

    2.3 定點登錄的實現

    2.3.1 實現前提

    僅靠單一的身份認證技術，是無法實現定點登錄的，需要與其他的網絡安全系統相結合，各系統之間取長補短，形成聯動的防御體系來共同實現，限制用戶只能夠使用特定的計算機，通過特定的交換機端口登錄軍工涉密網絡。

    2.3.2 多系統聯動

    要實現定點登錄可根據各單位實際。結合已有的網絡安全系統來完成。本文以結合身份認證系統、域控系統及端點準入防御系統為例，闡述定點登錄的具體實現。身份認證系統用來完成軍工涉密網絡內用戶身份的雙因素認證；域控系統完成軍工涉密網絡內用戶登錄計算機的統一管理；端點準入防御系統實現用戶、計算機及交換機端口綁定功能。

    2.3.3 實現方式

    單位的網絡技術部門，首先應該制作密鑰，將通過PKI生成的用戶私鑰存儲在USB Key中，其次收回用戶的登錄密碼及聯網密碼，第三由技術人員到每個客戶端去，把用戶的登錄密碼及聯網密碼用存儲在用戶USB Key中的私鑰加密存儲在硬盤上的特定位置。

    用戶每次登錄計算機，需要先插入USB Key并輸入pin碼，如果二者都正確，PKI系統的客戶端將會把硬盤上加密的聯網密碼和登錄密碼傳入USB Key進行解密，然后把解密后的聯網密碼傳遞給端點準入防御系統，如果密碼正確．端點準入防御系統會開啟交換機的相應端口，打通網絡的物理鏈路，同時用戶的登錄密碼將被傳遞給域控服務器進行用戶信息和計算機信息的匹配，如果正確，那么用戶可以正常開機上網，如果其中任意信息有誤，用戶將無法開機。對于采用域管理模式的軍工涉密網絡，在登錄驗證的同時甚至還可以做用戶身份與指定計算機名的匹配(登錄流程見圖1)。

圖1 定點登錄實現方式

    2.4 實際應用效果

    上述定點登錄方式在軍工涉密網絡中應用的實際效果如下：

    (1)由于用戶的登錄界面受到域控系統的統一管理，用戶的登錄密碼被用戶私鑰加密后存儲于計算機本地硬盤，所以用戶只能登錄自己的計算機，而不能登錄他人的計算機，從而有效保護了用戶計算機硬盤上的數據不被非授權人員查閱。

    (2)由于用戶私鑰所加密的的聯網密碼只存儲在用戶本人的計算機上，所以該用戶只能通過本人的計算機連接軍工涉密網絡，這就使用戶只能從固定位置接入軍工涉密網絡，方便確定責任源頭，便于網絡資源的管理。

    (3)避免了未經單位網絡技術部門處理過的外來計算機隨意接入到軍工涉密網絡中，防止數據未經審批，隨意進出軍工涉密網絡。

    2.5 存在的問題

    定點登錄方式需要通過多個系統的驗證，雖然安全性大大提高，但是其中任意一環出問題，部將會影響合法用戶的正常工作，這對整網穩定性提出了較高的要求。而且如果客戶端出了問題，由于尚未進入操作系統，無法進行遠程支持，必須要單位的網絡技術人員現場支持，增加了網絡維護的成本。

3 總結

    由于軍工單位軍工涉密網絡的安全防護要求立足點與非涉密網絡相比有很多不同，所以非涉密網絡中常用的身份認證方式難以滿足軍工涉密網絡的防護要求。本文立足軍工涉密網絡，通過研究分析常用的身份認證方式在軍工涉密網絡中存在的問題，提出結合身份認證、域控管理及端點準入功能的定點登錄方式，為身份認真技術在軍工涉密網絡中的推廣應用開辟了一條新的道路。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：軍工涉密網絡中身份認證的拓展應用與研究

本文網址：http://www.guhuozai8.cn/html/consultation/1083956471.html