内网安全访问控制机制.docxVIP

PAGE 1 PAGE 1 内网安全访问控制机制  随着计算机和网络技术的不断发展，内网安全问题渐渐引起了学术界和业界的广泛关注，如何针对目前内网安全方面的问题提出切实可行的安全防护措施，从而确保对内网信息的可信和可控成为摆在我们面前亟待解决的问题。本文正是基于此，针对内网安全访问掌握机制的相关问题进行了分析和研究。文章首先分析了内网安全访问对于可信性需求，然后提出了可信性访问掌握体系的结构，并针对该结构的特点进行了分析与阐述。期望本文的研究能够为内网安全问题供应相关解决思路，同时对于其他领域的理论研究也能起带来帮助。  要实现对于内网信息的安全访问，我们首先要明确的一个问题就是什么是可信的计算。这需要我们从用户访问掌握的角度来分析问题，只有确保访问和储存数据的可信才能实现对于内网安全访问的全面掌握。  一、内网安全访问对可信性需求  (一)可信性是相对的  对于同一个内网访问过程来说，针对不同的访问对象我们在分析其可信性的时候可能会得到不同的结论。比如：对于一个没有经过授权的用户进行内网访问的时候，他的攻击程序对于他来说是具有可信性的；而此时对于内网防护软件来说，该程序是不可信的。  (二)可信性所针对的是一个特定的问题  所谓特定问题的含义就是，对于不同的内网访问进程来说，我们会得到不同的可信性推断结果。比如：人力资源经理查询相关的人力资源计划及人事信息的行为是可信的；但是人力资源经理将相关的人力资源计划及人事信息静静发送到其他存储介质或设备的行为则是不可信的。  (三)安全访问发生的时间和地点会对可信性的推断产生影响  对于通过一个安全访问过程来说，已经获得授权的用户在内网进行访问的可信性明显高于，相对合法用户在外网进行访问的可信性。  二、可信性访问掌握体系结构  本文在结合内网安全访问对可信性需求，将可信性访问掌握归纳为如下的体系结构。该体系结构主要由以下几个方面构成：  (一)身份认证管理  身份认证主要是对于用户身份的管理：一种是对于用户证书的管理；一种是对于向用户所颁发的USBKey的管理，此外还包含了对于二者之间的匹配管理。  (二)终端登录认证  终端登录认证主要是由以下两个部分组成：  1.系统登录认证。系统登录认证就是对于用户身份的推断，安全合法的用户凭借可信身份认证信息可以拥有登陆计算机操作的权限。  2．网络连接认证。用户登陆系统以后，只有通过可信身份的认证，才能建立相关的网络连接。  (三)应用服务登录认证  应用服务登录认证是对于内网系统中相关的各类应用服务使用权限的安全设置，可以确保相关的应用服务只能被特定的用户所使用。一般来说依据应用服务的种类，应用服务登录认证主要有以下几种：(1)办公系统的登陆认证(OA系统)；(2)进程登录认证；(3)加解密登录认证。  三、体系结构的特点分析  以内网安全访问的可信性需求为基础所建立的可信性访问掌握体系结构具有以下两个特点：  (一)实现了更加安全牢靠的用户管理  1．本体系结构中运用USBKey的方式对用户的信息进行认证和验证，相比较传统方式而言更加的安全牢靠，使得内网安全访问掌握机制更加可信。  2．以往传统应用程序的登录认证，所依靠的是密码设置。但是由于相关应用程序较多，这就会需要让用户记忆许多密码。这必定会导致用户对于密码管理的成本和风险的增加。本文所设计的体系结构通过USBKey实现不同应用程序的登录，在USBKey出厂之前绑定了初始化的PIN码，便利了用户的使用。  (二)便于集中管理  该体系结构中，USBKey内存在唯一的序列号，该序列号能够将系统的审计信息记录下来，弥补了传统的访问掌握方式中仅仅依靠用户账号、密码以及IP和MAC地址绑定来进行身份认证的不足。