薛志兵，藺 荻

（中國民航信息網(wǎng)絡(luò)股份有限公司研發(fā)中心，北京 100029）

隨著自助值機(jī)系統(tǒng)的不斷發(fā)展，目前絕大部分機(jī)場內(nèi)均設(shè)有隸屬于不同航空公司或機(jī)場的自助值機(jī)設(shè)備，在減輕值機(jī)柜臺工作壓力的同時，大大簡化了旅客出行手續(xù)，也提高了航空公司和機(jī)場的服務(wù)水平和旅客滿意度。

為了進(jìn)一步擴(kuò)大自助值機(jī)系統(tǒng)的應(yīng)用場景，可把自助值機(jī)系統(tǒng)的應(yīng)用范圍擴(kuò)大至旅客所居住的酒店、飯店、大型寫字樓等地，這樣能夠更加快捷、方便地完成原本只能在機(jī)場才能完成的值機(jī)操作。由于機(jī)場自助值機(jī)設(shè)備所連接的網(wǎng)絡(luò)均為民航專用網(wǎng)絡(luò)，而將民航的專用網(wǎng)絡(luò)部署于安全性相對較差的酒店等非傳統(tǒng)民航業(yè)務(wù)區(qū)域，系統(tǒng)成本開銷和安全性都得不到有效的保證。正是基于上述的考慮，我們提出了基于互聯(lián)網(wǎng)安全的民航城市值機(jī)系統(tǒng)。

目前，其它行業(yè)相類似的產(chǎn)品，如遍布于城區(qū)各處的銀行自助設(shè)備，其與銀行主機(jī)之間的通信通常采用的是以下兩種方式：

1）金融系統(tǒng)內(nèi)部已經(jīng)建成全國省、市、縣各級金融通信專網(wǎng)的骨干網(wǎng)、接入網(wǎng)[1]。

2）針對數(shù)量眾多、分散的小營業(yè)網(wǎng)點、銀行POS機(jī)、ATM機(jī)等，采用了基于互聯(lián)網(wǎng)的虛擬專網(wǎng)技術(shù)（VPN，Virtual Private Network），處在同一個封閉VPN專網(wǎng)中[2]。

與傳統(tǒng)的廣域網(wǎng)相比，虛擬專用網(wǎng)能夠減少運(yùn)營成本以及降低遠(yuǎn)程用戶的連接成本，其固定的通訊成本有助于企業(yè)更好地了解自己的運(yùn)營開支。但是，基于互聯(lián)網(wǎng)的VPN可靠性和性能并不受企業(yè)直接控制，必須依靠提供虛擬專用網(wǎng)的互聯(lián)網(wǎng)服務(wù)提供商來保證服務(wù)的啟動和運(yùn)行。不同廠商的虛擬專用網(wǎng)產(chǎn)品和解決方案并不是總是相互兼容，許多廠商不愿意或沒有能力遵守虛擬專用網(wǎng)技術(shù)標(biāo)準(zhǔn)，因此，設(shè)備的混合搭配可能引起技術(shù)難題[3]。

基于上述考慮，通過分析系統(tǒng)的安全性要求，提出了直接接入互聯(lián)網(wǎng)的城市值機(jī)系統(tǒng)，尤其是系統(tǒng)在安全性方面的設(shè)計考慮。

1 系統(tǒng)安全性考慮

在計算機(jī)技術(shù)迅速發(fā)展的今天，城市值機(jī)系統(tǒng)安全性主要側(cè)重于以下兩個方面：①如何有效的抵御外界對于網(wǎng)絡(luò)的攻擊和入侵，避免系統(tǒng)資源被無效占用甚至導(dǎo)致系統(tǒng)癱瘓，如何保證7×24對客戶提供高質(zhì)量的服務(wù)；②如何保證敏感信息不被非授權(quán)訪問、篡改或破壞，保證核心數(shù)據(jù)的安全性和機(jī)密性[4]。特別是在民航系統(tǒng)中，這兩點顯得更加重要。

為了能夠得到互聯(lián)網(wǎng)所帶給我們的便捷和成本的降低，同時達(dá)到民航網(wǎng)絡(luò)的安全要求，在基于互聯(lián)網(wǎng)的民航城市值機(jī)系統(tǒng)中，一方面加強(qiáng)了互聯(lián)網(wǎng)接入民航專網(wǎng)的安全性限制，同時進(jìn)行了如下幾個方面的安全性研究和實現(xiàn)：①基于角色身份驗證的訪問控制；②數(shù)據(jù)通信的加密；③安全審計。

2 基于角色身份驗證的訪問控制

訪問是使信息在主體和對象間流動的一種交互方式[5]。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(quán)（如用戶配置文件、資源配置文件和控制列表）、授權(quán)核查、日志和審計。

訪問控制策略一般有以下幾種方式：

1）自主型訪問控制（Discretionary Access Control，DAC）：用戶/對象來決定訪問權(quán)限。信息的所有者來設(shè)定誰有權(quán)限來訪問信息以及操作類型，是一種基于身份的訪問控制，如UNIX權(quán)限管理。

2）強(qiáng)制性訪問控制（Mandatory Access Control，MAC）：系統(tǒng)來決定訪問權(quán)限。安全屬性是強(qiáng)制型的規(guī)定，它由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則確定的，是一種規(guī)則的訪問控制。

3）基于角色的訪問控制：角色決定訪問權(quán)限。用組織角色來同意或拒絕訪問。比MAC、DAC更靈活，適合作為大多數(shù)公司的安全策略，但對一些機(jī)密性高的政府系統(tǒng)部適用。

4）規(guī)則驅(qū)動的基于角色的訪問控制：提供了一種基于約束的訪問控制，用一種靈活的規(guī)則描述語言和一種信任規(guī)則執(zhí)行機(jī)制來實現(xiàn)。

5）基于屬性證書的訪問控制：訪問權(quán)限信息存放在用戶屬性證書的權(quán)限屬性中，每個權(quán)限屬性描述了一個或多個用戶的訪問權(quán)限。但用戶對某一資源提出訪問請求時，系統(tǒng)根據(jù)用戶的屬性證書中的權(quán)限來判斷是否允許訪問。

基于角色的訪問控制是資訊安全領(lǐng)域中，一種較新且廣為使用的訪問控制機(jī)制，其不同于強(qiáng)制訪問控制以及自由選定訪問控制直接賦予使用者權(quán)限，而是將權(quán)限賦予角色。1996年，萊威·桑度（Ravi Sandhu）等人在前人的理論基礎(chǔ)上，提出基于角色的訪問控制模型，故該模型又被稱為RBAC96。之后，美國國家標(biāo)準(zhǔn)局重新定義了基于角色的訪問控制模型，并將之納為一種標(biāo)準(zhǔn)，稱之為NIST RBAC[6]。

基于角色的訪問控制模型是一套較強(qiáng)制訪問控制以及自由選定訪問控制更為中性且更具靈活性的訪問控制技術(shù)，是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問控制的有效方法。其顯著的兩大特征是：①減小授權(quán)管理的復(fù)雜性，降低管理開銷；②靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限。這就極大地簡化了權(quán)限的管理。在一個組織中，角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)其責(zé)任和資格來被指派相應(yīng)的角色，用戶可以很容易地從一個角色被指派到另一個角色。角色可依新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要而從某角色中回收。角色與角色的關(guān)系可以建立起來以囊括更廣泛的客觀情況。

RBAC支持三個著名的安全原則：最小權(quán)限原則，責(zé)任分離原則和數(shù)據(jù)抽象原則。最小權(quán)限原則之所以被RBAC所支持，是因為RBAC可將其角色配置成其完成任務(wù)所需要的最小的權(quán)限集。責(zé)任分離原則可通過調(diào)用相互獨立互斥的角色來共同完成敏感的任務(wù)而體現(xiàn)。數(shù)據(jù)抽象可通過權(quán)限的抽象來體現(xiàn)，然而這些原則必須通過RBAC各部件的詳細(xì)配置才能得以體現(xiàn)。

RBAC認(rèn)為權(quán)限授權(quán)實際上是 Who、What、How的問題[7]。在 RBAC 模型中，who、what、how 構(gòu)成了訪問權(quán)限三元組，也就是“Who對What（Which）進(jìn)行How的操作”。①Who：權(quán)限的擁用者或主體（如Principal、User、Group、Role、Actor等）；②What：權(quán)限針對的對象或資源（Resource、Class）；③How：具體的權(quán)限（Privilege，正向授權(quán)與負(fù)向授權(quán)）；④Operator：操作。表明對What的How操作。也就是Privilege+Resource；⑤Role：角色，一定數(shù)量的權(quán)限的集合。權(quán)限分配的單位與載體，目的是隔離User與Privilege的邏輯關(guān)系；⑥Group：用戶組，權(quán)限分配的單位與載體。權(quán)限不考慮分配給特定的用戶而給組。組可以包括組（以實現(xiàn)權(quán)限的繼承），也可以包含用戶，組內(nèi)用戶繼承組的權(quán)限。User與Group是多對多的關(guān)系。Group可以層次化，以滿足不同層級權(quán)限控制的要求。

而身份驗證是指證實主體的真實身份與其所聲明的身份是否相符的過程。這一過程是通過特定的協(xié)議和算法來實現(xiàn)的，實現(xiàn)機(jī)制如下：

服務(wù)器在提供用戶申請的服務(wù)之前，先要認(rèn)證用戶是否是這項服務(wù)的合法用戶，而服務(wù)器不需向用戶證明自己的身份。這樣一方面確保了服務(wù)側(cè)的安全性，另一方面也降低了安全控制所帶來的系統(tǒng)開銷。同時，用戶不是自始至終以同樣的注冊身份和權(quán)限訪問系統(tǒng)，而是以一定的角色訪問，不同的角色被賦予不同的訪問權(quán)限。用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色，用戶獲得特定的角色后，系統(tǒng)可以通過對于該角色的控制來達(dá)到訪問控制的目的。

部署于非傳統(tǒng)民航業(yè)務(wù)區(qū)域的城市值機(jī)系統(tǒng)客戶端，在每次訪問部署于互聯(lián)網(wǎng)的值機(jī)應(yīng)用前，需與值機(jī)應(yīng)用服務(wù)端的身份驗證模塊進(jìn)行身份校驗，校驗的過程是由客戶端將本地授權(quán)信息與本臺客戶端的硬件信息通過加密后傳送至身份驗證模塊，在服務(wù)端通過校驗后，將加密后的授權(quán)信息傳送回客戶端，完成身份驗證，客戶端同時獲得相應(yīng)的角色信息，用以訪問后續(xù)服務(wù)。系統(tǒng)的驗證及登錄過程如圖1所示。

圖1 驗證及登錄過程Fig.1 Process of verification and login

3 系統(tǒng)數(shù)據(jù)通信加密

基于互聯(lián)網(wǎng)的傳輸方式對于民航系統(tǒng)的實時數(shù)據(jù)通信網(wǎng)絡(luò)的安全和信息安全有著巨大的挑戰(zhàn)，為此，提出采用非對稱加密算法來最大限度的提高安全性。

對稱加密算法[6]是應(yīng)用較早的加密算法，技術(shù)成熟。在對稱加密算法中，數(shù)據(jù)發(fā)信方將明文（原始數(shù)據(jù)）和加密密鑰一起經(jīng)過特殊加密算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進(jìn)行解密，才能使其恢復(fù)成可讀明文。在對稱加密算法中，使用的密鑰只有一個，發(fā)收信雙方都使用這個密鑰對數(shù)據(jù)進(jìn)行加密和解密，這就要求解密方事先必須知道加密密鑰。

對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發(fā)收信雙方所擁有的鑰匙數(shù)量成幾何級數(shù)增長，密鑰管理成為用戶的負(fù)擔(dān)。對稱加密算法在分布式網(wǎng)絡(luò)系統(tǒng)上使用較為困難，主要是因為密鑰管理困難，使用成本較高。而與公開密鑰加密算法比起來，對稱加密算法能夠提供加密和認(rèn)證卻缺乏了簽名功能，使得使用范圍有所縮小。在計算機(jī)專網(wǎng)系統(tǒng)中廣泛使用的對稱加密算法有DES和IDEA等。美國國家標(biāo)準(zhǔn)局倡導(dǎo)的AES即將作為新標(biāo)準(zhǔn)取代DES[5]。

對稱加密算法的優(yōu)點在于加解密的高速度和使用長密鑰時的難破解性。假設(shè)兩個用戶需要使用對稱加密方法加密然后交換數(shù)據(jù)，則用戶最少需要2個密鑰并交換使用，如果企業(yè)內(nèi)用戶有n個，則整個企業(yè)共需要n（n-1）個密鑰，密鑰的生成和分發(fā)將成為企業(yè)信息部門的惡夢。對稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的，他們通常會有意無意的把密鑰泄漏出去——如果一個用戶使用的密鑰被入侵者所獲得，入侵者便可以讀取該用戶密鑰加密的所有文檔，如果整個企業(yè)共用一個加密密鑰，那整個企業(yè)文檔的保密性便無從談起。

而非對稱加密算法（asymmetric cryptographic algorithm）需要一對密鑰：公開密鑰（public key）和私有密鑰（private key）[5]。如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公開密鑰才能解密。這種方式密鑰管理方便，可實現(xiàn)防止假冒和抵賴，更適合網(wǎng)絡(luò)通信中的保密通信要求。非對稱加密的代表算法是RSA算法。

而數(shù)字簽名技術(shù)[8]是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)[9]對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。

數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù)，完全可以代替現(xiàn)實過程中的“親筆簽字”[9]，在技術(shù)和法律上有保證。在數(shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴(yán)格保密。

非對稱加密和數(shù)字簽名傳統(tǒng)應(yīng)用流程和場景為：

1）甲方構(gòu)建密鑰對，將公鑰公布給乙方，將私鑰保留，如圖2所示。

2）甲方使用私鑰加密數(shù)據(jù)，然后用私鑰對加密后的數(shù)據(jù)簽名，發(fā)送給乙方簽名以及加密后的數(shù)據(jù)；乙方使用公鑰、簽名來驗證待解密數(shù)據(jù)是否有效，如果有效使用公鑰對數(shù)據(jù)解密，如圖3所示。

3）乙方使用公鑰加密數(shù)據(jù)，向甲方發(fā)送經(jīng)過加密后的數(shù)據(jù)；甲方獲得加密數(shù)據(jù)，通過私鑰解密，如圖4所示。

圖2 構(gòu)建、公布、保留密鑰標(biāo)過程Fig.2 Build，Bublish，keep key pair process

圖3 加密、解密、數(shù)字簽名過程（甲方向乙方）Fig.3 Process of encryption，decryption and digital signature（fromleft to right）

圖4 加密、解密、數(shù)字簽名過程（乙方向甲方）Fig.4 Process of encryption，decryption and digital signature（from right toleft）

在本系統(tǒng)中，采用RSA加密算法，與傳統(tǒng)應(yīng)用場景不同的是，通訊雙方各自擁有自己的一對私鑰和公鑰，發(fā)送方使用對方的公鑰加密要發(fā)送的數(shù)據(jù)，接收方使用自己的私鑰解密數(shù)據(jù)。通信機(jī)制如下：①客戶端的私鑰在初次投產(chǎn)安裝時動態(tài)生成。根據(jù)此私鑰生成該客戶端唯一公鑰，并把公鑰發(fā)送至服務(wù)器端保存；②服務(wù)器端有自己的私鑰，并向所有客戶端公布自己的公鑰，客戶端向服務(wù)器端傳送的關(guān)鍵數(shù)據(jù)，使用服務(wù)器的公鑰加密。同樣，服務(wù)器向客戶端下發(fā)的關(guān)鍵數(shù)據(jù)也必須使用該客戶端的公鑰加密。圖5為客戶端和服務(wù)器端數(shù)據(jù)通信的加密和解密過程。

圖5 加密及解密過程Fig.5 Process of encryption and decryption

4 系統(tǒng)安全審計

計算機(jī)安全審計[10]是通過一定的策略，利用記錄和分析歷史操作事件發(fā)現(xiàn)系統(tǒng)的漏洞并改進(jìn)系統(tǒng)的性能和安全[11]。審計是通過對所關(guān)心的事件進(jìn)行記錄和分析來實現(xiàn)的，將信息系統(tǒng)中的各種事件發(fā)生時的關(guān)鍵要素進(jìn)行抽取并形成可記錄的素材，并存儲于指定的位置，形成日志。通過特定的審計策略和規(guī)則對已經(jīng)形成的日志文件進(jìn)行有效分析，得出某種時間發(fā)生的事實和規(guī)律，形成審計分析報告。

城市值機(jī)系統(tǒng)詳細(xì)記錄了用戶的調(diào)用時間和行為。為了便于管理，通常將一定時段的日志存為一個文件，并在固定的時間點進(jìn)行日志文件的切換。通過審計分析程序可分析得到系統(tǒng)中潛在的侵害、攻擊等威脅事件，同時也可以快速定位系統(tǒng)的故障，便于系統(tǒng)維護(hù)。圖6中為審計分析中的訪問量圖。

5 結(jié)語

上述通過設(shè)計與實現(xiàn)基于互聯(lián)網(wǎng)的民航城市值機(jī)系統(tǒng)，特別是通過對比其它行業(yè)相關(guān)應(yīng)用，重點分析了在非傳統(tǒng)民航網(wǎng)絡(luò)條件下如何保證城市值機(jī)系統(tǒng)安全性問題，通過訪問控制、數(shù)據(jù)加密、安全審計等方面的研究與設(shè)計實現(xiàn)，確保城市值機(jī)系統(tǒng)在互聯(lián)網(wǎng)應(yīng)用環(huán)境中的安全可用。

[1]王欣榮.金融網(wǎng)絡(luò)安全體系的設(shè)計與實現(xiàn)[J].情報雜志，2005，24（11）：53-54.

[2]肖 政.銀行ATM的安全探秘[J].金卡工程.2004，8（7）：53-56.

[3]鄧星要.鐵路信息化管理中信息安全的探究[J].理論學(xué)習(xí)與探討.2006（03）：82-83.

[4]蘇金樹.互聯(lián)網(wǎng)新型安全和管理體系結(jié)構(gòu)研究展望[J].計算機(jī)應(yīng)用研究，2009，26（10）：3610-3614.

[5]段云所.信息安全概論[M].北京：高等教育出版社，2003.

[6]KAEO M.Designing Network Secttrity[M].NewYork：Macmillan Technical Publicshing，1999：205-208.

[7]王育民.通信網(wǎng)的安全—理論與技術(shù)[M].西安：西安電子科技大學(xué)出版社，2000.

[8]MENG XIANG PING，GAO YAN.Electric Systems Analysis[M].Beijing：Higher Education Press，2004：3-21.

[9]李 煜，劉景森.直接匿名證言方案的實現(xiàn)機(jī)制與改進(jìn)思路[J].河南大學(xué)學(xué)報，2007，37（2）：195-197.

[10]王 麒，黃建軍.民航網(wǎng)絡(luò)與信息安全監(jiān)管工作淺談[J].中國民用航空，2009（07）：62-63.

[11]劉 鈞.互聯(lián)網(wǎng)時代的數(shù)據(jù)安全[J].重慶科技學(xué)院學(xué)報（社會科學(xué)版）.2009（3）：117-118.