王亮 張虹霞

摘 ?要： 普通Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)不能隨著并發(fā)用戶數(shù)量的增加而降低平均響應(yīng)時間和平均登錄時間。為了解決此問題，設(shè)計基于大數(shù)據(jù)的Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)。通過Web三級安全網(wǎng)絡(luò)架構(gòu)設(shè)計、大數(shù)據(jù)環(huán)境下系統(tǒng)PKI/CA模塊設(shè)計、網(wǎng)絡(luò)安全隔離模塊設(shè)計，完成系統(tǒng)硬件設(shè)計;通過系統(tǒng)數(shù)據(jù)庫設(shè)計、集中認證/授權(quán)模塊設(shè)計、安全訪問控制服務(wù)器設(shè)計，完成系統(tǒng)軟件設(shè)計。實驗結(jié)果表明，應(yīng)用基于大數(shù)據(jù)的Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)后，用戶平均響應(yīng)時間和平均登錄時間得到有效控制。

關(guān)鍵詞： 大數(shù)據(jù)環(huán)境; Web網(wǎng)絡(luò)安全; PKI/CA模塊; 訪問控制; 安全隔離; 系統(tǒng)設(shè)計

中圖分類號： TN915.08?34; TP319 ? ? ? ? ? ? ? ? 文獻標(biāo)識碼： A ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2018）10?0100?05

Abstract： Since the common Web network security access control system cannot reduce the average response time and the average login time as the number of concurrent users increases， a Web network security access control system based on big data was designed. The hardware design of the system was accomplished by means of the design of three?level security Web network architecture， PKI/CA module in big data environment， and network security isolation module. The software design of the system was accomplished by means of the design of system database， centralized authentication/authorization module， and security access control server. The experimental results show that the Web network security access control system based on big data can effectively control the average response time and the average login time of users.

Keywords： big data environment; Web network security; PKI/CA module; access control; security isolation; system design

0 ?引 ?言

傳統(tǒng)Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)可以對信息系統(tǒng)的安全體系、目錄結(jié)構(gòu)等功能模塊，提供分析與整理服務(wù)，并通過中心控制結(jié)構(gòu)，對所有網(wǎng)絡(luò)服務(wù)進行安全監(jiān)控。訪問控制作為該系統(tǒng)的核心功能，需要以LDAP用戶目錄庫和PKI結(jié)構(gòu)作為系統(tǒng)公鑰及多重安全防護措施的運行基礎(chǔ)[1]。為了保證Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)的正常運行，還需建立專門的綜合防火墻結(jié)構(gòu)，并以代理服務(wù)、綜合防火墻等多項技術(shù)，對其進行統(tǒng)一約束。但普通Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)只能有效處理使用者的單點登錄問題，若并發(fā)用戶數(shù)量持續(xù)增加，系統(tǒng)的平均響應(yīng)時間和平均登錄時間，將會因為巨大的訪問壓力而逐漸降低，進而導(dǎo)致系統(tǒng)整體運行速度變得越來越慢。大數(shù)據(jù)技術(shù)是一項能根據(jù)數(shù)據(jù)大小，決定待考慮數(shù)據(jù)潛在價值和攜帶信息意義的技術(shù)，不僅能夠通過提升數(shù)據(jù)質(zhì)量來提高數(shù)據(jù)的真實性，也能通過擴充數(shù)據(jù)來源渠道的方式降低數(shù)據(jù)復(fù)雜性[2]?？梢哉f，合理地利用大數(shù)據(jù)技術(shù)，將低成本創(chuàng)造高價值的目標(biāo)變成了現(xiàn)實。通過引入大數(shù)據(jù)技術(shù)的方式，對原有系統(tǒng)進行改進，建立基于大數(shù)據(jù)的Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)，充分減輕系統(tǒng)的訪問壓力，大大降低平均響應(yīng)時間和平均登錄時間。

1 ?Web網(wǎng)絡(luò)安全訪問控制硬件系統(tǒng)設(shè)計

大數(shù)據(jù)環(huán)境下，Web網(wǎng)絡(luò)安全訪問控制硬件系統(tǒng)設(shè)計由Web三級安全網(wǎng)絡(luò)架構(gòu)設(shè)計、PKI/CA模塊設(shè)計、網(wǎng)絡(luò)安全隔離模塊設(shè)計三部分組成，具體設(shè)計步驟如下所述。

1.1 ?Web三級安全網(wǎng)絡(luò)架構(gòu)設(shè)計

Web三級安全網(wǎng)絡(luò)架構(gòu)，包括外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)和安全生產(chǎn)網(wǎng)。其中，外部服務(wù)網(wǎng)主要負責(zé)與公共網(wǎng)絡(luò)及外部網(wǎng)絡(luò)相連，其表現(xiàn)形式包括大客戶系統(tǒng)、對外門戶網(wǎng)站等;內(nèi)部服務(wù)網(wǎng)主要負責(zé)連接外部服務(wù)網(wǎng)與安全生產(chǎn)網(wǎng)，對內(nèi)起到保護作用，對外起到連接作用，所有從外網(wǎng)接入的數(shù)據(jù)，都需在內(nèi)部服務(wù)網(wǎng)進行安全訪問檢測[3?4];安全生產(chǎn)網(wǎng)是整個Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)硬件的核心部分，主要負責(zé)對數(shù)據(jù)提供安全保障，以確保待使用數(shù)據(jù)，可在網(wǎng)絡(luò)系統(tǒng)中直接進行安全訪問。具體Web三級安全網(wǎng)絡(luò)架構(gòu)形式如圖1所示。

1.2 ?大數(shù)據(jù)環(huán)境下系統(tǒng)PKI/CA模塊設(shè)計

PKI/CA模塊也可以叫作數(shù)字證書模塊，是進行網(wǎng)絡(luò)安全訪問過程中，身份認證及數(shù)據(jù)加密的重要步驟。在PKI/CA模塊設(shè)計過程中，需要建立包含CA層和RA層的二層結(jié)構(gòu)。其中CA層負責(zé)在大數(shù)據(jù)環(huán)境下，調(diào)取網(wǎng)絡(luò)安全證書庫系統(tǒng)中的證書，并將證書發(fā)布，生成完整的密鑰系統(tǒng)[5]。RA區(qū)也可稱為二級CA區(qū)，主要負責(zé)對CA區(qū)的安全數(shù)據(jù)進行審計，再將完成審計的數(shù)據(jù)傳輸給服務(wù)網(wǎng)，完成證書數(shù)據(jù)的注冊和發(fā)布。具體模塊結(jié)構(gòu)示意圖如圖2所示。

1.3 ?硬件系統(tǒng)網(wǎng)絡(luò)安全隔離模塊設(shè)計

網(wǎng)絡(luò)安全隔離模塊部署在與內(nèi)部網(wǎng)相連的應(yīng)用服務(wù)器上，是統(tǒng)一內(nèi)網(wǎng)與外網(wǎng)應(yīng)用請求的重要結(jié)構(gòu)，不僅可以實現(xiàn)數(shù)據(jù)的采集、轉(zhuǎn)化和整合，也可以實現(xiàn)對網(wǎng)絡(luò)安全數(shù)據(jù)的實時保護[6?7]。若用戶端由外網(wǎng)發(fā)出向內(nèi)網(wǎng)的訪問控制請求時，網(wǎng)絡(luò)安全隔離模塊會自動將控制請求取出，轉(zhuǎn)換成系統(tǒng)默認的數(shù)據(jù)格式后，再將完成轉(zhuǎn)換的數(shù)據(jù)交還給系統(tǒng)，進行下一步傳輸。具體模塊設(shè)計思想如圖3所示。

2 ?Web網(wǎng)絡(luò)安全訪問控制軟件系統(tǒng)設(shè)計

在第1節(jié)已完成大數(shù)據(jù)環(huán)境下Web網(wǎng)絡(luò)安全訪問控制硬件系統(tǒng)的搭建。為了保證系統(tǒng)的正常運行，還需按照如下步驟，完成軟件系統(tǒng)搭建。

2.1 ?軟件系統(tǒng)數(shù)據(jù)庫設(shè)計

大數(shù)據(jù)環(huán)境下，Web網(wǎng)絡(luò)安全訪問控制軟件系統(tǒng)數(shù)據(jù)庫可認為是實現(xiàn)網(wǎng)絡(luò)安全訪問控制和集中授權(quán)認證的權(quán)利機制。其工作流程起始于對PKI/CA模塊頒發(fā)的數(shù)字證書的確認。通過此步驟，可以檢查來訪數(shù)據(jù)所具有的權(quán)限。再根據(jù)每個數(shù)據(jù)格式的不同，確定不同的數(shù)據(jù)內(nèi)涵，對應(yīng)受到使用限制的網(wǎng)絡(luò)安全數(shù)據(jù)，進行檢查與保護措施[8?9]。對外部數(shù)據(jù)庫來說，其主要工作流程包括控制外部訪問模塊、數(shù)據(jù)信息的安全隔離、控制模塊與數(shù)據(jù)信息間的信息交換等步驟。具體數(shù)據(jù)庫邏輯設(shè)計結(jié)構(gòu)如圖4所示。

2.2 ?軟件系統(tǒng)集中認證/授權(quán)模塊設(shè)計

為了保證大數(shù)據(jù)環(huán)境下Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)的數(shù)據(jù)安全性，需要建立集中認證/授權(quán)模塊。集中認證/授權(quán)模塊設(shè)計思想是對系統(tǒng)中一切網(wǎng)絡(luò)安全數(shù)據(jù)進行身份的認證和服務(wù)器的授權(quán)，經(jīng)過認證/授權(quán)處理后的資源，才可以獲得繼續(xù)傳播、瀏覽的資格[10?11]。未完成認證/授權(quán)處理的數(shù)據(jù)權(quán)限，由認證服務(wù)器統(tǒng)一管理。若這些數(shù)據(jù)始終沒有得到調(diào)用機會，則它們的保護密鑰和數(shù)據(jù)私鑰將永遠不會得到系統(tǒng)認證，也就意味著該數(shù)據(jù)永遠沒有得到授權(quán)機會。該模塊設(shè)計思想示意圖如圖5所示。

2.3 ?安全訪問控制服務(wù)器設(shè)計

安全訪問控制服務(wù)器由外網(wǎng)控制服務(wù)器和內(nèi)網(wǎng)控制服務(wù)器兩部分組成。其中，外網(wǎng)控制服務(wù)器具有外網(wǎng)反向代理功能，且直接與不同的應(yīng)用系統(tǒng)相連。內(nèi)網(wǎng)控制服務(wù)器具有內(nèi)網(wǎng)反向代理功能，直接與Internet相連，Internet網(wǎng)絡(luò)與多個客戶端主機間始終保持串聯(lián)關(guān)系[12?13]。內(nèi)、外網(wǎng)控制服務(wù)器間通過物理隔離設(shè)備連接，既保證二者間的順利交流，也阻隔二者間的相互影響。安全訪問控制服務(wù)器結(jié)構(gòu)示意圖如圖6所示。

3 ?實驗結(jié)果與分析

3.1 ?實驗參數(shù)設(shè)置

為了驗證該系統(tǒng)的實用性價值，以2臺配置相同的計算機作為實驗對象，其中1臺搭載大數(shù)據(jù)環(huán)境下Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)，作為實驗組;另1臺搭載普通Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)，作為對照組。實驗開始前，按照表1完成相關(guān)實驗參數(shù)設(shè)置。

表1中，實驗參數(shù)從上到下依次代表網(wǎng)絡(luò)安全參數(shù)、訪問控制總量、預(yù)計響應(yīng)時間、預(yù)計登錄時間、系統(tǒng)連通率、數(shù)據(jù)總量，實驗組預(yù)期平均響應(yīng)時間、預(yù)期平均登錄時間均低于對照組，其他數(shù)據(jù)均與實驗組保持一致。

3.2 ?平均響應(yīng)時間對比

完成實驗參數(shù)設(shè)置后，令實驗組、對照組系統(tǒng)同時開始工作，分別對比當(dāng)并發(fā)用戶數(shù)量為500和1 000時，兩組的平均響應(yīng)時間。系統(tǒng)平均響應(yīng)時間與ESF指標(biāo)呈正比關(guān)系，當(dāng)ESF指標(biāo)較大時，系統(tǒng)平均響應(yīng)時間也較長，反之則較短。具體對比結(jié)果如圖7、圖8所示。

分析圖7可知，當(dāng)并發(fā)用戶數(shù)量為500時，對照組平均響應(yīng)時間最大值達到1.43 s，實驗組平均響應(yīng)時間最大值僅為0.78 s，對照組平均響應(yīng)時間恒大于實驗組。分析圖8可知，當(dāng)并發(fā)用戶數(shù)量為1 000時，對照組平均響應(yīng)時間最大值達到3.41 s，實驗組平均響應(yīng)時間最大值僅為1.47 s，對照組平均響應(yīng)時間恒大于實驗組。所以，可證明應(yīng)用大數(shù)據(jù)環(huán)境下Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)，可隨著并發(fā)用戶數(shù)量的增加，降低平均響應(yīng)時間。

3.3 ?平均登錄時間對比

完成平均響應(yīng)時間對比后，保持兩組系統(tǒng)的工作狀態(tài)，分別對比當(dāng)并發(fā)用戶數(shù)量為500和1 000時，兩組系統(tǒng)的平均登錄時間。系統(tǒng)平均登錄時間與ESF指標(biāo)呈反比關(guān)系，當(dāng)ESF指標(biāo)較大時，系統(tǒng)平均登錄時間較短，反之則較長。具體對比結(jié)果如圖9、圖10所示。

分析圖9可知，當(dāng)并發(fā)用戶數(shù)量為500時，對照組平均登錄時間最大值僅為0.62 s，實驗組平均登錄時間最大值達到1.27 s，對照組平均登錄時間恒小于實驗組。分析圖10可知，當(dāng)并發(fā)用戶數(shù)量為1 000時，對照組平均登錄時間最大值僅為1.62 s，實驗組平均登錄時間最大值達到3.65 s，對照組平均登錄時間恒小于實驗組。所以，可證明應(yīng)用大數(shù)據(jù)環(huán)境下Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)，可隨著并發(fā)用戶數(shù)量的增加，降低平均登錄時間。

4 ?結(jié) ?語

綜上，本文完成大數(shù)據(jù)環(huán)境下Web網(wǎng)絡(luò)安全訪問控制系統(tǒng)設(shè)計，并且通過實驗證明，該系統(tǒng)在降低平均響應(yīng)時間、平均登錄時間方面，確實具備極強的實用可行性。

參考文獻

[1] 謝榕，劉亞文，李翔翔.大數(shù)據(jù)環(huán)境下衛(wèi)星對地觀測數(shù)據(jù)集成系統(tǒng)的關(guān)鍵技術(shù)[J].地球科學(xué)進展，2015，30（8）：855?862.

XIE Rong， LIU Yawen， LI Xiangxiang. Key technologies of earth observation satellite data integration system under big data environment [J]. Advances in earth science， 2015， 30（8）： 855?862.

[2] 徐建閩，王鈺，林培群.大數(shù)據(jù)環(huán)境下的動態(tài)最短路徑算法[J].華南理工大學(xué)學(xué)報（自然科學(xué)版），2015，43（10）：1?7.

XU Jianmin， WANG Yu， LIN Peiqun. A dynamic shortest path algorithm for big data [J]. Journal of South China University of Technology （Natural science edition）， 2015， 43（10）： 1?7.

[3] 王晰巍，張長亮，蔡佳銘，等.大數(shù)據(jù)環(huán)境下中美高校信息素養(yǎng)培養(yǎng)模式比較研究[J].圖書情報工作，2016，60（11）：29?35.

WANG Xiwei， ZHANG Changliang， CAI Jiaming， et al. Comparative study of information literacy training models in Chinese and American universities in big data environment [J]. Library and information service， 2016， 60（11）： 29?35.

[4] 田新，肖鈺麟，廖芬.大數(shù)據(jù)環(huán)境下企業(yè)管理模式創(chuàng)新研究[J].湖北理工學(xué)院學(xué)報（人文社會科學(xué)版），2016，33（3）：43?47.

TIAN Xin， XIAO Yulin， LIAO Fen. Research on the innovation of enterprise management mode with big data [J]. Journal of Hubei Polytechnic University （Humanities and social sciences）， 2016， 33（3）： 43?47.

[5] 虞穎映，馬凌飛，胡天天，等.大數(shù)據(jù)環(huán)境下醫(yī)學(xué)信息服務(wù)平臺研究與實踐[J].醫(yī)學(xué)信息學(xué)雜志，2016，37（12）：72?76.

YU Yingying， MA Lingfei， HU Tiantian， et al. Research and practice of medical information service platform under the big data environment [J]. Journal of medical informatics， 2016， 37（12）： 72?76.

[6] 侯瑞霞，孫偉，曹姍姍，等.大數(shù)據(jù)環(huán)境下林業(yè)資源信息云服務(wù)體系架構(gòu)：設(shè)計與實證[J].中國農(nóng)學(xué)通報，2016，32（2）：170?179.

HOU Ruixia， SUN Wei， CAO Shanshan， et al. Cloud service architecture of forestry resource information in big data environment?design and verification [J]. Chinese agricultural science bulletin， 2016， 32（2）： 170?179.

[7] 潘志宏，萬智萍，謝海明.大數(shù)據(jù)環(huán)境下高校智慧移動學(xué)習(xí)平臺的構(gòu)建研究[J].實驗技術(shù)與管理，2017，34（4）：161?163.

PAN Zhihong， WAN Zhiping， XIE Haiming. Research on construction of smart mobile learning platform in colleges and universities based on big data [J]. Experimental technology and management， 2017， 34（4）： 161?163.

[8] 王紅芳，姜功恒，張凱兵.大數(shù)據(jù)環(huán)境下圖書館學(xué)科服務(wù)的SWOT分析與服務(wù)策略[J].農(nóng)業(yè)圖書情報學(xué)刊，2015，27（10）：180?183.

WANG Hongfang， JIANG Gongheng， ZHANG Kaibing. SWOT analysis and tactics of discipline service in libraries in the big data environment [J]. Journal of library and information sciences in agriculture， 2015， 27（10）： 180?183.

[9] 陳善學(xué)，楊政，朱江，等.一種基于累加PSO?SVM的網(wǎng)絡(luò)安全態(tài)勢預(yù)測模型[J].計算機應(yīng)用研究，2015，32（6）：1778?1781.

CHEN Shanxue， YANG Zheng， ZHU Jiang， et al. Network security situation prediction method based on PSO?SVM [J]. Application research of computers， 2015， 32（6）： 1778?1781.

[10] 李鳳華，殷麗華，吳巍，等.天地一體化信息網(wǎng)絡(luò)安全保障技術(shù)研究進展及發(fā)展趨勢[J].通信學(xué)報，2016，37（11）：156?168.

LI Fenghua， YIN Lihua， WU Wei， et al. Research status and development trends of security assurance for space?ground integration information network [J]. Journal on communications， 2016， 37（11）： 156?168.

[11] CHEN G， GONG Y， XIAO P， et al. Physical layer network security in the full?duplex relay system [J]. IEEE transactions on information forensics & security， 2015， 10（3）： 574?583.

[12] LIYANAGE M， ABRO A B， YLIANTTILA M， et al. Opportunities and challenges of software?defined mobile networks in network security [J]. IEEE security & privacy， 2016， 14（4）： 34?44.

[13] ZHANG Y. Research on the computer network security evaluation based on the DHFHCG operator with dual hesitant fuzzy information [J]. Journal of intelligent & fuzzy systems， 2015， 28（1）： 199?204.