（系统工程专业论文）基于SOA的铁路信息共享平台安全策略研究.pdf

中文摘要 中文摘要 摘要：十几年来，我国铁路信息化进程取得了长足的进步，构建了以t m i s 和客票 系统等为代表的一大批业务信息系统，有力地推动了铁路现代化事业的发展。但 由于各业务信息系统基本上都是独立开发建设、自成体系，造成极大地信息资源 浪费。因而，建设铁路信息共享平台，提高铁路各信息系统的整体能力，是我国 铁路信息化发展中面临的重大课题。 面向服务架构( s e r v i c e o r i e n t e da r c h i t e c t u r e ，s o a ) 思想在异构系统的整合 及应用系统的集成方面具有重要的指导价值。在我们对铁路信息共享平台进行具 体设计和实施时，安全策略是需要首先解决的重大难题。没有良好的安全措施， 会导致敏感信息被窃取、重要通信被篡改、用户身份被假冒等一系列安全事故。 当前，关于这方面的研究与应用尚处于起步阶段，相关研究工作仍然有待于进一 步的系统和深化。因此，借助s o a 安全架构的理论思想，深入探讨铁路信息共享 平台的安全策略，具有重要的理论价值和现实指导意义。 本文结合整体网络安全现状以及铁路信息系统的特点，分析研究了信息共享 平台中各个层次的安全需求，提出本文所要解决的安全问题；进而结合s o a 架构 思想，基于相关的安全理念、措施及协议标准，将安全技术引入铁路信息共享平 台，详细分析设计了适用于平台建设要求的安全策略框架、保护层次及访问控制 策略，并对策略进行了评价，提出了实施建议；最后，根据本文研究的相关成果， 结合模拟系统实施了一个安全访问控制系统，对本文提出的策略方案进行实证研 究。 关键词：铁路信息共享平台；安全策略；s o a ；访问控制 分类号：t p 3 9 3 0 8 a bs t r a c t a b s t r a c t ：a f t e rd e c a d e so f d e v e l o p m e n t ，c h i n a sr a i l w a yi n f o r m a t i o np r o c e s sh a s m a d ec o n s i d e r a b l ep r o g r e s s ，w h i c hb r i n g su sal a r g en u m b e ro fb u s i n e s si n f o r m a t i o n s y s t e m s ，s u c ha st m i sa n dt i c k e t ss y s t e m s ，a n dm e a n w h i l ep r o m o t e dt h ed e v e l o p m e n t o fr a i l w a ym o d e r n i z a t i o ne f f e c t i v e l y h o w e v e r , t h ee x i s t i n gi n f o r m a t i o ns y s t e m sa r e b a s i c a l l yi n d e p e n d e n t l yd e v e l o p e d ，c a u s i n gg r e a tw a s t eo fi n f o r m a t i o nr e s o u r c e s a sa r e s u l t ，i ti sam a j o ri s s u ei nc h i n a sr a i l w a yi n f o r m a t i o np r o c e s s ，t oc o n s t r u c tr a i l w a y p l a t f o r mf o ri n f o r m a t i o ns h a r i n ga n di m p r o v et h ei n f o r m a t i o ns y s t e ma saw h o l e s e r v i c e - o r i e n t e da r c h i t e c t u r e ( s o a ) h a sa ni m p o r t a n tg u i d a n c ev a l u ei nt h e h e t e r o g e n e o u ss y s t e m si n t e g r a t i o na n da p p l i c a t i o ns y s t e m si n t e g r a t i o n b u tb e f o r e s p e c i f i cd e s i g na n di m p l e m e n t a t i o n ，w es h o u l dc o n s i d e rt h es e c u r i t ys t r a t e g ya st h e m a j o rp r o b l e mt ob es o l v e df i r s t w i t h o u tw e l l d e s i g n e ds e c u r i t ys t r a t e g y , t h ep l a t f o r m w i l ls u f f e rf r o mas e r i e so fs e c u r i t ya c c i d e n t s ，s u c ha st h el o s to fs e n s i t i v ei n f o r m a t i o n ， t h et e m p e r i n go fi m p o r t a n tc o m m u n i c a t i o na n dt h ec o u n t e r f e i to fu s e ri d e n t i t y a t p r e s e n t ，r e s e a r c h e sa n da p p l i c a t i o n so ns u c hi s s u e sa r es t i l lo nt h ei n i t i a ls t a g e t h e r e f o r e ，i th a sg r e a ta c a d e m i cv a l u ea n dp r a c t i c a ls i g n i f i c a n c et oh a v ei n d e p t hs t u d y o nt h es e c u r i t ys t r a t e g yo nt h er a i l w a yi n f o r m a t i o n s h a r i n gp l a t f o r mc o n s t r u c t e d 谢t l l s o a s e c u r i t ya r c h i t e c t u r e i nt h i s p a p e r , w i t ha n a l y s i s o fo v e r a l ln e t w o r ks e c u r i t ys i t u a t i o na n dt h e c h a r a c t e r i s t i c so ft h ei n f o r m a t i o ns y s t e m ，t h es e c u r i t yn e e d so fa l ll e v e l so nt h e i n f o r m a t i o n s h a r i n gp l a t f o r mi sp u tf o r w a r d ，a n dt h es e c u r i t yp r o b l e m st ob es o l v e di s p r o p o s e d b a s e do nr e l a t e ds e c u r i t yc o n c e p t s ，p r a c t i c e sa n dp r o t o c o ls t a n d a r d s ，t h i s p a p e rp u t ss e c u r i t yt e c h n o l o g yi n t ot h ei n f o r m a t i o n s h a r i n gp l a t f o i t n ，a n dm a k e s d e t a i l e dr e s e a r c ho nt h ed e s i g no ft h ep l a t f o r ms e c u r i t ys t r a t e g yf r a m e w o r k ，t h el e v e lo f p r o t e c t i o na n da c c e s sc o n t r o ls t r a t e g y m e a n w h i l e ，t h i sp a p e ra l s ob r i n g sf o r w a r dt h e s t r a t e g i e sf o rt h ee v a l u a t i o na n di m p l e m e n t a t i o no fr e c o m m e n d a t i o n s f i n a l l y , as y s t e m s i m u l a t i o ni sg i v e nt os h o wt h ei m p l e m e n t a t i o no fas e c u r i t ya c c e s sc o n t r o ls y s t e m k e y w o r d s ：r a i l w a yi n f o r m a t i o ns h a r i n gp l a t f o r m ；s e c u r i t ys t r a t e g y ；s o a ；a c c e s s c o n t r o l c l a s s n o ：t p 3 9 3 0 8 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 狄翟 导师签名。 签字日期：伽年月牛日 签字同期：乙一扩车占月甲日 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：否k 碜 签字日期： 纠g 年月牛日 致谢 本论文是在我的导师董宝田教授的悉心指导和亲切关怀下完成的。在整个论 文的选题、研究思路与研究方法、模拟验证到最终定稿的过程中，凝结着董老师 的殷切指导与关爱。在我三年的求学过程中，始终深深地感受到董老师的关怀与 爱护。老师严谨的治学态度、孜孜不倦的敬业精神、为人师表的高尚风范不仅时 刻激励着我努力进取、勤于探索，更是我今后工作和生活中的楷模和榜样。在论 文完成之际，我由衷地向董老师表示最诚挚的感谢和最崇高的敬意。 感谢我的同门赵雨顺、刘佑平、燕臣颖等，以及我的同窗好友杜俊华、薛永 庆、李光军，他们在我的论文写作过程中为我提供了强大的精神动力和无私的实 际帮助。 感谢我的家人，他们的理解和支持使我能够在学校专心完成我的学业。 最后，向百忙之中评审本文的各位老师们表示衷心的感谢。 绪论 1 绪论 1 1 选题的背景 时至今日，我国的铁路信息化工作已经走过了近三十年的进程，各地区各部 门纷纷根据自身具体情况，构建了大量的信息系统，为我国铁路事业全面实现与 国际接轨、提供优质高效服务奠定了坚实的基础。然而，我们同时也要看到，既 存的信息系统在进行规划设计建设的时候，由于受到当时i t 技术的约束等多方面 原因，并没有过多的去考虑各个信息系统间的统一整合问题，由此造成了铁路众 多业务系统相互独立、系统间连通性差、信息资源不能共享等诸多问题。解决这 类问题的一个有效途径就是采用面向服务的体系架构( s e r v i c e o r i e n t e d a r c h i t e c t u r e ， s o a ) 建设信息共享平台。以服务为导向的体系架构s o a ，通过业 务服务的概念来提供i t 的各项基本应用功能，这些服务可以自由地排列组合、互 通互连，能够配合未来的、新的需求而进行调整。s o a 为铁路信息系统找到了一 条“整合之道 ，从架构模型和技术上能够实现铁路企业遗留系统的无缝整合，最 终实现铁路的业务灵活性和现有资产的可重用性，构建起铁路信息共享平台。【l 】【2 】 然而，无论是现有信息系统的建设实施，还是对未来信息共享平台的规划研 究，安全作为一项重要的内容，始终需要我们给予高度的重视。现有的铁路信息 系统，尤其以铁路客票系统为代表，长期以来采用的都是物理隔离专用网络结构， 采用物理隔离的方式，简单直接的实现了访问控制，在一定程度上满足了系统对 安全性的要求。但是当我们使用s o a 的思想对铁路信息共享平台进行整合研究的 时候，这种单纯的物理隔离由于限制了系统之间的通信连接，必然成为一个棘手 的障碍出现在我们的面前。一方面，信息共享平台的出现，必然会带来大量的异 构系统间消息传递，对敏感信息的安全保护有了更高的要求；另一方面，不同信 息系统各自有着不同的访问控制策略，如何从全局的角度将众多策略协调统一， 也是一个亟待解决的问题。因此，在我们的实际研究过程中，既要充分考虑现有 系统安全策略的利用，更要全面规划信息共享平台的安全框架实施。 面向服务架构( s o a ) 中的安全性通过确认架构模型中各个领域的风险，提 供相应的解决方法和对策流程。作为s o a 信息共享方案中的重要部分，我们需要 在充分理解企业安全威胁的基础上，探索所需的安全服务，并进而整合一系列既 有的安全策略，来构建基于s o a 的信息系统平台安全框架结构，提供适当的安全 服务、代理等辅助插件，从而实现系统安全的全面保障。 北京交通大学硕士学位论文 1 2 选题的目的和意义 本文选题的目的在于，根据既有铁路信息系统的安全需求，设计一个适用于 铁路信息共享平台的安全策略，同时基于s o a 架构提供一套完整的框架应用实例， 在经济、有效的前提下，保障铁路信息共享平台的安全运行。 铁路信息系统可靠、安全的运行对于铁路运输生产、铁路电子商务的开展以 及铁路信息化建设都具有重要的意义。 首先，铁路信息共享平台的可靠性和安全性对于铁路运输生产的正常进行至 关重要。作为信息系统的整合，共享平台为铁路客货运输提供了必要的和强有力 的信息技术支持，其安全性必须获得充分有效的保障。 其次，提高铁路信息共享平台的可靠性和安全性，可以为全面整合全路信息 系统、数据资源和业务服务奠定基础。作为铁路信息化进程的一个重要内容，信 息共享平台的构建必须要有坚固的安全体系作为支撑。 再次，铁路信息系统安全问题能否顺利解决也直接影响着铁路信息化建设的 进程。在整个铁路信息化建设过程中，既要有适用于既有小型信息系统的安全策 略，也要为全局大型信息系统考虑，制定适合的安全策略框架。p j 1 3 国内外研究综述 面向服务架构s o a 作为种思想，从架构的高度对系统的整合与实施开发进 行指导。目前国内外对于s o a 安全的研究主要集中在规范的制定以及产品的更新 两个方面。 1 3 1s o a 所面临的主要安全问题 当前，s o a 所面临的最主要的安全问题在于： ( 1 ) 服务的验证问题 基于s o a 的信息平台上存在着大量的服务，客户端与服务端进行交互的时候， 双方的安全性都需要得到保障。而非法访问、黑客攻击等，无疑为安全增添了一 道棘手的屏障。既有的安全措施如数字签名、摘要等虽然可以解决类似问题，但 是同时也加重了服务器的负担，必须在性能与安全二者之问寻求一个平衡点。 ( 2 ) 恶意代码问题 s o a 信息平台上的消息主要是基于x m l 标准的，x m l 文档功能强大，不仅 能够结构化的表示数据，其本身有时候就是一个实体。其所包含的大量数据，既 2 绪论 有可能是有用信息，也不排除会暗藏恶意代码，在处理过程中对应用服务器造成 损害。通常的解决方法是增加s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c o l ，简单对象访 问协议) 消息拦截器来审核消息，但这同时也会带来性能和效率的问题。 ( 3 ) 身份和权限认证问题 这是s o a 信息平台最重要的一个问题，它不仅仅局限于技术层面，更重要的 是需要管理层面的配合，要将原本分散的身份认证机制集中起来进行管理。既不 能将服务的访问权限全部放开，又不能完全封闭。通常需要建立一些表结构，来 对身份和权限进行匹配。 ( 4 ) 单点登录问题 实际上单点登录问题可以包括在身份认证问题之内，但是由于其在s o a 信息 系统中特殊的作用，所以单独列出来。在基于s o a 建立的信息共享平台上，不同 的系统之间需要频繁的交互请求消息，为了避免用户频繁的进行身份认证操作， 需要提供一种机制来保障单点登录，即经过一次验证便可在整个平台根据权限访 问相关服务。目前比较成熟的解决方案是基于协议的，如k e r b e r o s 、x 5 0 9 等。吲 1 3 2 s o a 安全的主要协议体系 s o a 安全目前的主要协议体系为w s s e c u r i t y ，它提供了一种可供其它安全技 术挂接的框架。例如，w s s e c u r i t y 并没有定义任何票据机制，而是定义了如何在 s o a p 报头中使用用户名密码、k e r b e r o s 以及x 5 0 9 票据等。与此同时，为了保 障数据安全，w s s e c u r i t y 还定义了x m ls i g n a t u r e 、x m le n c r y p t i o n 的使用方法 等。除了基本内容，w s s e c u r i t y 还包括以下标准： w s s e c u r e c o n v e r s a t i o n - - 定义如何建立安全上下文以及指定如何计算 和传递派生密钥； w s f e d e m t i o n 定义对那些应用于活动请求方的身份、身份验证和授权 信息进行联合的机制； 一w s a u t h o r i z a t i o n 定义w e b 服务如何管理授权数据和策略； w s p 0 1 i c y 一定义了如何表述安全策略； 一 w s t m s 卜定义了如何请求和接收w s s e c u r i t y 令牌； 一 w s p r i v a c y _ 定义了如何维护信息的隐私。【5 】【6 1 1 4 本文的主要研究内容和组织结构 本文的主要研究内容是，全面考察基于s o a 的铁路信息共享平台的安全需求， 3 北京交通人学硕士学位论文 针对铁路系统自身特点，结合既有安全策略和与s o a 相关的协议、技术，设计构 建一个适用于铁路信息共享平台的安全策略。本文的主要研究内容和组织结构如 下： 第一章绪论 介绍本课题的研究背景、目的和意义，简要介绍国内外研究现状，并给出文 章的组织结构及创新点。 第二章铁路信息共享平台安全分析 从网络安全入手，结合铁路系统实际情况，分析了铁路信息共享平台所面临 的主要安全威胁，提出了当前急需解决的平台安全问题。 第三章s o a 安全框架 本章首先介绍了s o a 安全架构中的相关概念，分析了s o a 安全的实现需求， 并结合相关协议标准简要描述了s o a 安全的实施方法。 第四章基于s o a 的铁路信息共享平台安全策略总体设计 结合铁路信息共享平台的实际需求，探讨了如何充分利用既有策略和新技术、 新方法设计安全策略。文章基于国际标准，对既有的方法进行了适当改进，建立 起服务访问控制机制，并给出了框架的总体设计及实施建议。 第五章基于s o a 的铁路信息共享平台安全策略模拟实现 基于前一章的探讨，本章对安全策略框架进行了模拟实现，从多个层面展示 了模拟实现结果，进一步证实了架构的可行性。 第六章结束语 对本文的主要研究内容和成果进行概括，并提出了下一步研究的主要方向。 1 5 本文的主要创新点 本文的主要创新点在于结合实际需求，对应用方法进行适当修改，以设计创 建符合铁路信息共享平台实际需求的安全策略： ( 1 ) 从通信、消息、数据三个层次，综合应用安全协议与方法，保障信息安 全，抵御非法攻击； ( 2 ) 根据各系统既有角色服务匹配规则，建立统一的“全局角色匹配列表， 以此解决多个系统在互连互通过程中的访问控制问题； ( 3 ) 对k c r b c r o s 令牌思想进行适当改进，加入非对称密钥的使用和双向验证 机制，增强其访问控制的有效性； ( 4 ) 以安全服务的形式提供安全策略，并充分考虑服务器负载均衡问题，从 而保障性能与安全的平衡。 4 铁路信息共享平台安全分析 2 铁路信息共享平台安全分析 2 1 信息系统安全现状 2 1 1网络安全现状 作为信息系统，铁路信息共享平台虽然局限于铁路系统内部，但它仍然面临 着与广域网络相同的安全问题，而且随着铁路信息网络逐步实现与外网互联，这 些安全问题所带来的危害必然越来越大。我们在进行具体研究之前，有必要首先 考察一下整个网络的安全现状。 网络安全在不同的角度有着不同的解释。一般意义上，网络安全是指信息安 全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用 性、保密性和可靠性 ；而控制安全则主要指身份认证、不可否认性、授权和访问 控制。 互联网与生俱来的开放性、交互性和分散性特征使人类所憧憬的信息共享、 开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务 创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨 大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题： ( 1 ) 信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权 信息流、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。 ( 2 ) 在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信 息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动， 使国家利益、社会公共利益和各类主体的合法权益受到威胁。 ( 3 ) 网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问 题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真 空，从而使信息安全问题变得广泛而复杂。 ( 4 ) 随着社会重要基础设施的高度信息化，社会的“命脉 和核心控制系统 有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融 系统和政府网站等。 目前，我国网络安全问题同益突出的主要标志是： ( 1 ) 计算机系统遭受病毒、木马等恶意软件感染和破坏的情况相当严重。 ( 2 ) 电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受 5 北京交通大学硕士学位论文 攻击性和开放性，从国内情况来看， 都遭受过境内外黑客的攻击或侵入， 点。 目前我国9 5 与互联网相联的网络管理中心 其中银行、金融和证券机构是黑客攻击的重 ( 3 ) 信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的 网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。【7 】【8 1 9 1 2 1 2信息系统安全威胁 信息系统安全威胁是指实体( 人或自动化程序) 在特定时间、地点采用特定 技术对某一资源进行合法或非法的使用所造成的危险，经常说到的某种形式的攻 击就是安全威胁的具体实现。 安全威胁有时可以被分类成故意的( 如黑客攻击) 和偶然的( 如信息被发往 错误的地方) 。故意的威胁又可以被进一步分类成被动的和主动的。被动威胁包括 仅对信息进行监听，而不对其进行修改；主动威胁包括对信息进行故意的篡改( 如 改动某次支付活动的货币金额) 。总体来说，被动攻击比主动攻击容易解决，可以 使用相对较少的花销构建辅助信息工程来消除此类威胁。 安全威胁可以分为基本安全威胁、主要可实现的威胁以及潜在威胁。 ( 1 ) 基本安全威胁 基本的安全威胁有以下四个方面： _ 信息泄露：指信息被泄露或透露给某个非授权的人或实体。这种威胁来自 诸如窃听、搭线，或其他更加错综复杂的信息探测攻击。 完整性破坏：指数据的一致性通过非授权的增删、修改或破坏而受到损坏。 _ 业务拒绝：指对信息或其他资源的合法访问被无条件的阻止。这可能由以 下攻击所致：攻击者通过对系统进行非法的、根本无法成功的访问尝试而 产生过量的负荷，从而导致系统的资源在合法用户看来是不可使用的。也 可能由于系统在物理上或逻辑上受到破坏而中断业务。 非法使用：指某一资源被某个非授权的人或以某一非授权的方式使用。这 种威胁的例子如：侵入某个计算机系统的攻击者会利用此系统作为盗用电 信业务的基点，或者作为侵入其他系统的出发点。 ( 2 ) 主要可实现的威胁 在安全威胁中，主要可实现的威胁是十分重要的，因为任何这类威胁的某一 种实现，都会直接导致任何基本威胁的某一实现。主要可实现的威胁包括渗入威 胁和植入威胁。 主要的渗入威胁有以下三种： 6 铁路信息共享平台安全分析 假冒：指某个实体( 人或系统) 假装成另外一个不同的实体。这是侵入某 个安全防线最为通用的方法。某个非授权的实体提示某一防线的守卫者， 使其相信他是一个合法的实体，此后便获取了此合法用户的权利和特权。 黑客大多是采用假冒攻击的。 旁路控制：为了获得非授权的权利或特权，某个攻击者会发掘系统的缺陷 或安全性上的脆弱。例如，攻击者通过各种手段发现原本应保密，但是却 又暴露出来的一些系统“特征 ，利用这些“特征 ，攻击者可以绕过防线 守卫者侵入系统内部。 授权侵犯：指某个人在获得以某种目的访问某个系统或资源的权限之后， 却将此权限用于其他非授权的目的。这也称作“内部攻击”。 主要的植入威胁有以下两种： 特洛伊木马：指软件中含有一个察觉不出的或者表面无害的程序段，当它 被执行的时候，会破坏用户的安全性。例如：一个外表上具有合法目的的 软件应用程序，如文本编辑器，它还具有一个暗藏的目的，就是将用户的 文件拷贝到一个隐藏的秘密文件中，这种应用程序称为特洛伊木马。此后 植入特洛伊木马的那个攻击者可以阅读到该用户的文件。 一 陷阱门：指在某个系统或其部件中设置“机关”，使得当提供特定的输入 数据时，允许违反安全策略。例如，一个登录处理子系统允许处理一个特 别的用户身份号，以对通常的口令检测进行旁路。 ( 3 ) 潜在威胁 如果在某个给定环境中对任何一种基本威胁或者主要的可实现威胁进行分 析，我们就能够发现某些特定的潜在威胁，而任意一种潜在的威胁都可能导致一 些更基本的威胁发生。例如，考虑信息泄露这样一种基本威胁，我们有可能找出 以下几种潜在的威胁： 一 窃听； 业务流程分析； 操作人员的不慎所导致的信息泄露； 媒体废弃物导致的信息泄露。 在对计算机误用类型所作的抽样调查汇总显示，下面几种威胁是最重要的威 胁( 安全频率由高至低排列) ： 一授权侵犯； 假冒； _ 旁路控制； 一特洛伊木马或陷阱门。i l o i 1 1 】【1 2 】 7 北京交通大学硕士学位论文 2 2 铁路信息共享平台所面临的安全需求 2 2 1铁路信息系统发展现状 2 2 1 1 铁路信息化基础设施建设 目前，铁路已构筑了初具规模的信息化基础设施，主要表现在： ( 1 ) 覆盖全路的数据通信网 铁路的通信网建设取得很大的发展，为铁路运输系统提供了有力支撑，传输 网、交换网、数据通信网三大基础网基本形成。整个网络由主干网和基层网组成。 从铁道部到铁路局的通信网为主干网，从各铁路局至数千个站、段的通信网为基 层网。铁路通信光缆长度达到七万四千多公罩，接入网两万三千多公里。另外铁 路的7 l 条干线，基础通信网达到了光缆化、数字化，主要的车站具备了n 个两兆 高速接入网络。卫星通讯网一期工程全面实施，二期工程和全路卫星基层数据通 讯网项目开始启动。 ( 2 ) 初具规模的信息处理平台 铁道部主处理中心承担着铁路各应用系统的运行，铁路局处理中心建有中小 型机多机集群，运行数据库和铁路各应用系统。数千个基层站、段建有u n i x 环境 的双机热备的小型机、微机服务器和相关作业岗位p c 客户机，运行着相应的应用 软件。 2 2 1 2 铁路信息化应用系统的建设 经过多年的努力，铁路信息化建设有了较大的发展，信息技术全面渗透铁路 运输的各个领域，先后开发了一大批应用信息系统，推进了铁路运输生产和经营 管理现代化进程。 ( 1 ) 铁路客票发售和预订系统成效显著 铁路客票发售和预订系统由铁道部客票中心、1 8 个地区客票中心和2 0 0 0 多个 车站售票系统构成，售票量占全路客票发售量的9 0 以上，计算机售票收入占全 路客票收入的9 5 以上，该系统提供了车站窗口售票、代售点联网售票、自动售 票机自助式售票、电话订票和直达列车长达1 8 0 天的客票预约等便民功能。客票 发售和预定系统于1 9 9 8 年底投入了广泛的应用。自2 0 0 0 年1 0 月2 1 日正式实施 联网售票起，初步实现了全国范围内的联网发售异地客票的建设目标。解决了长 期存在的买票难问题，提高了铁路客运经营水平和服务质量，取得了良好的社会 和经济效益，获国家科技进步一等奖。 ( 2 ) 运输调度指挥系统( d m i s ) 进展顺利 8 铁路信息共享平台安全分析 铁道部于1 9 9 6 年提出开发运输调度指挥管理信息系统( d m i s ) ，经过铁道部 部署，有关铁路局和d m i s 研制单位的共同努力，目前d m i s 一期工程已完成， 二期工程已顺利展开。 ( 3 ) 铁路运输管理信息系统( t m i s ) 基本完成 铁路运输管理信息系统由多个子系统构成，t m i s 自19 9 2 年设计施工以来取 得了巨大的成绩，并且在1 9 9 8 年部分投入了使用，覆盖了铁路货运生产的全过程， 是一个十分庞大复杂的信息系统。 1 ) 货运营销与生产管理系统。该系统包括货运计划和技术计划两大部分。货 运计划部分在全路1 4 7 8 个货运站全面投产，完成货主提报的货运计划的受理，并 通过网络将受理的货运计划原提实时上报铁路局、铁道部。技术计划部分利用已 批准的货运计划信息，编制车辆运用计划，通过合理安排各区段车辆的运用，提 高车辆运用效率和铁路运输能力，技术计划部分于2 0 0 2 年投入运用。 2 ) 货运制票系统。全路已完成货票软件的更新，并从2 0 0 2 年1 2 月开始了严 格的考核，货票信息上报的及时性、完整性、准确性得到明显提高。 3 ) 集装箱追踪管理信息系统自2 0 0 1 年3 月1 日起，集装箱追踪系统全面投 产使用，2 0 0 2 年，将集装箱清单信息与a t i s 等信息结合，改善了集装箱追踪的效 果，增加了按路局、分局的集装箱保有量统计。集装箱追踪信息上报质量明显提 高。 4 ) 车站综合管理系统。车站综合管理系统是近年t m i s 工程建设的重点。在 1 2 3 0 个大、中、小型编组站、货运站、区段站使用，功能涵盖车站作业生产和管 理的各主要环节，全面提高了车站的作业管理水平，减轻了作业人员的劳动强度， 并提供和上报了运输作业原始信息。 5 ) 综合调度管理信息系统。截止到2 0 0 2 年底，全路2 3 0 个列车调度台、2 2 0 0 多个报点站正式投入运用。 6 ) 确报信息系统。自1 9 9 8 年系统投入应用以来，系统运行稳定，运用效果 良好，产生了巨大的社会和经济效益。 7 ) 铁路车号自动识别系统。车号自动识别系统( a t i s ) 在全路45 万辆部属 货车、1 2 万辆企业自备车和1 5 0 0 0 台机车的底部安装记载有车辆、机车基本信息 的电子标签，全路所有路局分界站和大型车站已安装地面识别标签设备。 8 ) 货车追踪系统。铁道部级货车追踪系统已模拟运行。路局基于机群技术的 三级建库设备安装及己投产应用的迁移基本完成，货车追踪系统软件开发完成。 ( 4 ) 财务、货运清算系统推广应用和模拟运行 1 ) 铁道财务会计信息库系统( r f a m i s ) 初步完成并推广应用；通用会计核算 及管理信息系统完成研制并在全路实施推广：铁道资金管理信息系统完成设计并 9 北京交通大学硕士学位论文 开始实施；点到点成本计算系统基本完成并投入应用。 2 ) 旅客运输清算子系统工程已于2 0 0 1 年1 月开始运行，目前已升级到2 o 版 本。货物运输清算子系统工程于2 0 0 3 年1 月开始模拟运行。 ( 5 ) 电子政务建设初具规模 铁路电子政务建设起步于九十年代铁路办公信息系统建设，已初具规模。办 公信息系统在铁道部机关、所有路局机关和部分站段实现联网运行，电子邮件、 电子公文等功能投入应用，实现了政务、管理、运输生产等信息的网上发布与查 询。铁道部政府专网系统与国务院办公厅办公系统联网运行。面向公众的铁道部 政府网站已正式开通运行。 ( 6 ) 其他业务信息系统加快建设 围绕铁路经营管理的其他业务信息系统包括人事、劳资、计划、统计、车辆、 机务、工务、工程建设等信息系统，也都已经或正在建设。 2 2 2铁路信息系统内部安全需求分析 目前为止，铁路信息化过程中所建设起来的众多应用系统还处在各自独立的 状态。每个系统根据其自身的需要提供不同的功能，并相应的设计安全措施及访 问控制策略等。当这些系统的部分或全部功能被发布到铁路信息共享平台上以后， 各个系统本身原有的功能并不受影响，仅仅是在原有功能的基础上，增加一个服 务层，供其它实体( 系统或服务) 请求相应服务。同时，系统自身的安全措施及 访问控制策略等对于自身应用来讲也都没有任何变化。例如，如果在客票系统内， 一个售票员要开始工作并查询当前某列车次坐席剩余情况，那么他只要像以往一 样，使用自己的l d 进行表单验证，并调用相关查询功能即可。 对于内部的使用来讲，原有系统本身已经具备了比较完善的安全体系，这些 安全措施和策略可以继续发挥作用来保障安全。这一层次存在的主要问题在于， 如何将本系统的登录验证信息和角色服务匹配关系应用予整个信息共享平台，实 现本系统工作人员对其他系统服务的访问和本系统服务的对外开放。在这一过程 中，既要避免身份信息泄漏，又要实现整个平台的单点登录。 2 2 3铁路信息系统外部安全需求分析 铁路信息共享平台项目的最终目标是要建立一个适用于当前铁路信息系统的 交互式服务体系，将现存所有系统提供的功能，封装成服务的形式，在平台上发 布出来，供其他系统或服务调用，从而实现资源、数据、业务的整合共享，促进 l o 铁路信息共享平台安全分析 铁路信息化事业的长足发展。 在平台上最重要的安全问题出现在铁路信息系统之问。主要的问题如下所述： ( 1 ) 当工作人员需要使用本地系统时，他只要通过相应的身份验证机制就可 以了。但是不同系统之间目前尚不存在任何身份验证机制，例如调度系统中根本 不可能存储客票系统工作人员的登录验证信息。但是在共享平台上，我们希望实 现不同系统所提供服务的互相访问机制。很显然我们不能要求每一个路内工作人 员在每一个信息系统都存有一份身份验证信息。那么就存在一个系统外部身份认 证的问题，或者说单点登录的问题； ( 2 ) 在单独的系统中，我们对访问的控制基于特定的角色管理机制，这种角 色管理虽然具有类似的共性，但是在不同系统之间的差异还是很大的，那么就存 在一个如何将不同系统的角色进行匹配的问题。例如，当客票系统的一个工作人 员试图以“客票系统工作人员”的角色访问调度系统的“客运列车位置信息查询” 服务时，需要判断这个工作人员所具有的角色与调度系统中哪一个角色相匹配， 并最终决定其是否有权利访问该服务； ( 3 ) 系统之间进行服务访问的时候，必然存在大量消息的传递过程，基于s o a 的信息共享平台主要是利用s o a p 消息进行通讯。由于很多系统都是基于专网的， 其内部消息传递的安全保障措施比较薄弱，在系统内部运行时，危险性并不明显， 但是当这些消息需要在系统间进行传递的时候，安全隐患就会大大增加。因此， 也就存在一个如何在系统间的消息传递中保障信息安全的问题。 2 2 4路外访问所带来的安全需求分析 铁路信息系统与外网连通、向路外开放是一个必然的趋势，那么铁路信息共 享平台的路外访问就成了摆在我们面前的一个不容忽视的问题。路外访问包括两 种类型： ( 1 ) 路外合作单位 铁路作为我国交通事业中的一个环节，与公路、民航以及众多物流相关单位 有着密切的联系。在频繁的业务交互过程中，必然存在对铁路信息共享平台服务 的大量访问，对这一部分路外访问，如何进行控制、如何进行身份验证，是一个 需要解决的实际问题。 ( 2 ) 路外普通用户 除了固定的合作单位，实际上存在着更多的关心铁路信息的普通用户。例如， 一个旅客可能会申请查询当前某列车次的发车时间及票价信息。这一类用户的需 求往往比较简单，但是处理不好，同样会对铁路信息系统成不良影响。 北京交通人学硕士学位论文 2 3 铁路信息共享平台安全策略需要解决的问题 通过前一节的分析，我们可以看到，铁路信息共享平台在整合的过程中，主 要需要解决的问题包括： ( 1 ) 建立全局统一的角色匹配机制 通过一个全局统一的角色匹配机制，将不同系统原有的角色权限进行匹配， 从而实现对服务的访问控制。 ( 2 ) 建立单点登录系统 建立一套完善的单点登录系统，使不同系统的用户可以实现一次登录，即可 访问权限内所有的服务，将身份验证机制透明化。 ( 3 ) 建立完善的消息安全保障机制 通过一套完善的消息安全保障机制，对消息的传递实现端到端的保护，避免 敏感信息泄露，保证消息的完整性与机密性。 2 4 本章小结 本章从网络信息安全现状入手，介绍了信息系统普遍面临的安全威胁。进而 结合铁路信息系统的发展现状，对构建铁路信息共享平台过程中，各个不同层次 的安全需求进行分析，最后提出了铁路信息共享平台安全策略需要解决的一系列 问题。 1 2 s o a 安全框架 3s o a 安全框架 3 1s o a 安全框架基本概念 s o a 安全问题中所涉及的基本概念包括：完整性、保密性、身份和认证、消 息认证、会话管理、授权、隐私、不可否认性以及加密。这些概念直接影响了s o a 安全性的架构和设计蓝图。 3 1 1完整性 消息的完整性是指，在未经许可的情况下，不能通过任何方式对任何消息进 行修改。通信各方进行消息交流的过程中，必须在一定程度上保证消息的传送不 受干扰。而完整性的保护则指的是，任何对消息的截获和修改操作都会在随后某 种方式的检查中被发现。 3 1 2保密性 消息的保密性是指一条消息的任何未经许可或未知的信息泄露。完整性和保 密性适用于静态的数据和传送中的消息。消息的保密性要求合作方在一定程度上 保证，任何第三方都无法读取消息中的敏感信息。 临时消息的保密性保护意味着在消息传递过程中，该消息的内容对于恶意拦 截器是保密的。持久消息的保密性意味着即使在消息传输完成、消息抵达目的地 之后，消息中的数据( 如财务账目、信用卡号等) 的也仍然是保密的。举例来说， 如果信息被日志记录了下来，持久保密性将确保即使有人通过日志获得了消息， 也无法读取该消息的内容。 保密性和完整性还适用于被保存的信息。例如，持久数据的完整性适用于那 些持久数据或代码，而数字签名技术则可以保证这些信息不会被更改。总的来说， 无论何时，只要需要确保消息的状态在传送过程中或在静态存储时不被更改或读 取，就可以使用相应的完整性和保密性技术来实现这一要求。 1 3 北京交通人学硕士学位论文 3 1 3身份和认证 认证就是验证所声称的身份的过程。认证过程对一条可公开的信息( 例如用 户名) 和一条私有信息( 例如理论上只有该用户知道的密码) 进行检测，依靠系 统所提供的信息来确认它的合法性。这条私有信息往往被称作认证证书。认证证 书有可能基于一些可知的内容( 例如密码) ，也可能基于一些可操作的内容( 例如 保存在u s b 存储设备的硬件令牌中的密钥) ，还可能基于一种永远不会改变的物 体( 例如用户的指纹) 。 在认证之后，系统和应用一般都会建立具有一定特权的认证实体。相应的特 权称为授权证书，用来确定当前实体在系统内被授权进行哪些操作。因此，在一 个经过认证的安全会话场景中，系统会执行实体权限范围内所请求的任何操作， 通常在某些情况下，系统还会同时记录当前用户进行的所有活动，存档备用，以 便未来某个时候对该用户进行审查。 3 1 4消息认证 将保密性和完整性技术应用于消息，就可以提供消息的认证功能。所谓的消 息认证，指的是确保消息来自于已声明的合作方。实现这一认证的主要技术与实 现完整性和保密性的加密技术基本相同。实际上，当我们在消息上应用相关加密 协议的时候，通常也就同时保证了消息的完整性、加密性和消息认证的需求。 3 1 5会话管理 会话是指参与消息长期交换的双方之间所共享的上下文场景。双方并不需要 在每个交换的消息中都证明他们的身份，只要确立一种会话场景即可，仅在确实 有必要的时候才会认证双方的身份。会话管理就是指对这个会话场景的管理，包 括该会话场景的创建和删除。 保证一个会话的安全性需要对参与的各方进行认证，建立适当的令牌，通过 令牌来确保这个实体场景中，以多次请求和响应的方式进行的交流的安全性，然 后终止这种交流并清除这次会话中被缓存的所有相关信息。保持会话的安全状态 指的是将多次请求和响应的消息连接在一起，从而形成一个整体的、多消息的事 务。 无论是从安全的角度来看，还是从系统性能的角度来看，管理会话的状态都 是至关重要的。提供安全性的根本问题之一，就是要保证用户能够利用提供给他 1 4 s o a 安全框架 们的安全性功能。用户的不方便常常会造成一种严重的安全隐患：如果用户必须 为他们的每一次请求都提供认证证书( 例如用户名和密