军工涉密网络中身份认证的拓宽运用与研讨

导言

    信息技能的展开向来与军事工业的前进休戚相关。1946年世界上第一台核算机ENIAC在美国宾夕法尼亚大学诞生，其意图便是用来核算炮弹弹道。至今停止60多年过去了，信息技能现已与军事工业融为一体，密不可分。

    近年来我国军工单位的信息化水平越来越高，不管是日常作业仍是科研出产，都离不开信息技能的支撑，尤其是对网络技能的依托。经过网络人们能够快速的传递数据，同享信息。可是，在网络技能在给作业带来便利的一起，也给科研出产埋下了危险。例如，不明身份的用户进入到涉密网络中，就或许会发作泄密事情，给国家安全带来巨大的要挟。

    因而，网络安全问题现已成为军工单位关怀的焦点问题。现在，许多军工涉密网络的安全防护办法往往是防得住“外贼”防不住“内鬼”，管得住网络管不住主机。在上述布景下，本文经过剖析常见身份认证办法在军工涉密网络中存在的缺点，进一步提出定点登录的概念，经过多体系联动，构成对用户身份、核算机及交换机端口的层层验证、匹配，为增强军工涉密网络的安全性供给了一种新的思路。

1 身份认证

    1.1 身份认证的必要性

    身份认证是指在核算机网络中承认操作者身份的进程。在核算机网络世界中用户的身份信息是用一组特定的数字来标明的，核算机只能辨认用户的数字身份而无法差异用户的物理身份，即便是对用户的授权也仅仅针对用户数字身份的授权。怎么保证以数字身份进行操作的用户便是这个数字身份合法具有者，也便是说保证用户的物理身份与数字身份相对应，身份认证技能便是为了处理这个问题。作为网络安全防护的第一道关口，身份认证有着无足轻重的效果。

    1.2 身份认证的现状

    现在，首要的身份认证办法大致可分为三类：(1)只需该主体知道的暗码，如用户口令；(2)主体具有的物品，如智能卡或USB Key；(3)只需该主体具有的绝无仅有的特征或才干，如指纹或声响等。为了到达更高的身份认证安全性，某些场景会将上面3种选择两种混合运用，即所谓的双要素认证。

表1 常见身份认证办法比照表

    可是，仅仅依托用户口令来进行身份认证，因为安全性较低，难以满意一些安全性要求较高的运用场合。运用智能卡进行身份认证，尽管安全性高，但需求专用读卡器，运用起来不便利。运用指纹或声响等手法的生物统计学设备因为价格和技能而运用得十分有限。比较之下，运用USB Key进行身份认证长处更为显着。

    根据USB Key的身份认证办法是近几年展开起来的一种便利、安全的身份认证技能。它选用软硬件相结合的强双因子认证形式，很好地处理了安全性与易用性之间的对立。笔者已知许多军工单位都是选用USB Key身份认证办法，本文身份认证办法也以USB Key为例。

    1.3 USB Key在军上涉密网络中存在的问题

    因为军工涉密网络在办理要求和防护办法上与非涉密网络比较存在差异，因而尽管常用的身份认证技能在非涉密网络中能够广泛运用，但运用于军工涉密网络中就显得有些绰绰有余，常见问题如下：

    (1)用户可经过全网恣意核算机登录到军工涉密网络中。以USB Key身份认证办法为例，合法用户用自己的USBKey能够经过其他核算机登录到军工涉密网络中，而并不一定要经过自己的核算机。因为在军工涉密网络中核算机的本地硬盘上存储着许多涉密数据或文档，这些数据或文档尽管没有上传到服务器上进入到涉密信息体系中，但也有必要维护起来，制止密级较低或对错授权人员查阅，避免发作泄密事情。鉴于军工涉密网络的特殊性，要求网络安全防护办法，不光要能够维护涉密信息体系，还要能够维护衔接到军工涉密网络中的恣意一台核算机。现在常用的身份认证技能明显达不到这个要求。

    (2)用户可经过全网恣意交换机端口登录到军工涉密网络中。这样不便于用户办理以及网络资源办理。在军工涉密网络中，关于用户的物理方位有必要有准确的定位，这才干在违规事情发作的第一时刻承认违规核算机，操控或约束其行为。别的，关于闲置不用的交换机端口也应该封闭，避免被歹意运用。

    (3)外来核算机能够经过恣意交换机端口登录到军工涉密网络中．乃至进入涉密运用体系。假如不做约束，外来核算机随意装备一个内网IP就可接入军工涉密网络，一起只需用户的PIN码和USB Key正确，还能拜访涉密运用体系。这样就能够不经批阅处理，直接把病毒或黑客工具带入军工涉密网络，或是将涉密文档资料复制出去。关于军工涉密网络来说，假如发作这种状况，丢失将是不可估量的。

2 定点登录

    2.1 定点登录发作布景

    用户经过简略的身份认证手法能够随时随地运用恣意一台核算机衔接到网络中进行正常的作业，这在非涉密网络中是有利于进步作业效率的，可是假如这种状况出现在军工涉密网络中，就会为科研出产埋下巨大的泄密危险。根据国家对军工涉密网络办理的要求，结合军工涉密网络安全防护办法的实践需求，笔者交融作业实践经历提出“定点登录”这一概念。

    2.2 定点登录的界说

    定点登录仅仅针对军工涉密网络而言，所谓定点登录，便是指特定用户只能运用特定核算机，经过特定的交换机端口登录到军工涉密网络中。

    2.3 定点登录的完结

    2.3.1 完结条件

    仅靠单一的身份认证技能，是无法完结定点登录的，需求与其他的网络安全体系相结合，各体系之间扬长避短，构成联动的防护体系来一起完结，约束用户只能够运用特定的核算机，经过特定的交换机端口登录军工涉密网络。

    2.3.2 多体系联动

    要完结定点登录可根据各单位实践。结合已有的网络安全体系来完结。本文以结合身份认证体系、域控体系及端点准入防护体系为例，论述定点登录的具体完结。身份认证体系用来完结军工涉密网络内用户身份的双要素认证；域控体系完结军工涉密网络内用户登录核算机的统一办理；端点准入防护体系完结用户、核算机及交换机端口绑定功用。

    2.3.3 完结办法

    单位的网络技能部门，首要应该制作密钥，将经过PKI生成的用户私钥存储在USB Key中，其次回收用户的登录暗码及联网暗码，第三由技能人员到每个客户端去，把用户的登录暗码及联网暗码用存储在用户USB Key中的私钥加密存储在硬盘上的特定方位。

    用户每次登录核算机，需求先刺进USB Key并输入pin码，假如二者都正确，PKI体系的客户端将会把硬盘上加密的联网暗码和登录暗码传入USB Key进行解密，然后把解密后的联网暗码传递给端点准入防护体系，假如暗码正确．端点准入防护体系会敞开交换机的相应端口，打通网络的物理链路，一起用户的登录暗码将被传递给域控服务器进行用户信息和核算机信息的匹配，假如正确，那么用户能够正常开机上网，假如其间恣意信息有误，用户将无法开机。关于选用域办理形式的军工涉密网络，在登录验证的一起乃至还能够做用户身份与指定核算机名的匹配(登录流程见图1)。

图1 定点登录完结办法

    2.4 实践运用效果

    上述定点登录办法在军工涉密网络中运用的实践效果如下：

    (1)因为用户的登录界面遭到域控体系的统一办理，用户的登录暗码被用户私钥加密后存储于核算机本地硬盘，所以用户只能登录自己的核算机，而不能登录别人的核算机，然后有用维护了用户核算机硬盘上的数据不被非授权人员查阅。

    (2)因为用户私钥所加密的的联网暗码只存储在用户自己的核算机上，所以该用户只能经过自己的核算机衔接军工涉密网络，这就运用户只能从固定方位接入军工涉密网络，便利承认职责源头，便于网络资源的办理。

    (3)避免了未经单位网络技能部门处理过的外来核算机随意接入到军工涉密网络中，避免数据未经批阅，随意进出军工涉密网络。

    2.5 存在的问题

    定点登录办法需求经过多个体系的验证，尽管安全性大大进步，可是其间恣意一环出问题，部将会影响合法用户的正常作业，这对整网稳定性提出了较高的要求。而且假如客户端出了问题，因为没有进入操作体系，无法进行长途支撑，有必要要单位的网络技能人员现场支撑，添加了网络维护的本钱。

3 总结

    因为军工单位军工涉密网络的安全防护要求安身点与非涉密网络比较有许多不同，所以非涉密网络中常用的身份认证办法难以满意军工涉密网络的防护要求。本文安身军工涉密网络，经过研讨剖析常用的身份认证办法在军工涉密网络中存在的问题，提出结合身份认证、域控办理及端点准入功用的定点登录办法，为身份仔细技能在军工涉密网络中的推广运用拓荒了一条新的路途。

中心重视：拓步ERP体系渠道是覆盖了很多的事务范畴、职业运用，蕴涵了丰厚的ERP办理思维，集成了乐投letou事务办理理念，功用触及供应链、本钱、制作、CRM、HR等很多事务范畴的办理，全面涵盖了企业重视ERP办理体系的中心范畴，是很多中小企业信息化建造首选的ERP办理软件信任品牌。

转载请注明出处：资讯网http://www.fqxinyiyuan.com/

本文标题：军工涉密网络中身份认证的拓宽运用与研讨

本文网址：http://www.fqxinyiyuan.com/html/consultation/1083956471.html