（计算机应用技术专业论文）一种基于分布式系统的传输安全方案设计与实现.pdf

韭塞窆通太堂亟堂位i 盆塞生塞垴垂 中文摘要 分布式系统的安全性是系统建设中的关键环节，而传输是分布式系统安全中 的一个薄弱环节。随着分布式系统的业务发展日趋复杂，分布式系统的传输安全 面临着新的挑战。很多分布式系统是以i n t e m e t 为传输媒介，而i n t e m e t 是一个开 放的、松散的和不安全的网络，因此基于分布式系统的传输安全方案的研究越来 越为人们所重视。基于分布式系统的传输安全方案不仅仅要考虑对双方的身份认 证，对传输数据的保密性、完整性、真实性和不可抵赖性等信息安全问题，还要 考虑数据传输的效率以及方案在不同的网络环境下的实用性等问题。 本文以全国信息化应用能力考试系统为背景，设计并实现了一种基于分布式 系统的传输安全方案。首先，在论文中详细的分 厅了分布式系统在数据传输方面 的需求，明确设计一个安全传输方案要达到怎样的目的；其次，简单介绍了常用 的一些安全加密方法，分析各种方法的优缺点，以便在设计安全方案中进行恰当 的选择使用；然后，参考s s l 协议，借鉴其安全方面的优点，去除该方案中不利 于分布式系统的数据传输的一些不足，同时结合身份认证和数字签名技术，设计 出一种分布式系统的安全传输方案。 最后，以全国信息化应用能力考试系统为实例，详细描述了该传输安全方案 的实现过程，并以实践来检验方案的可行性。 关键词：分布式系统、传输安全、加密算法、数字签名，身份认证 分类号： 韭塞窑道太堂亟堂垃捡塞旦sib ! a b s t r a c t 1 1 l ed i s 仃i b u t e ds y s t e ms e c w i t yi sa 1 1e s s e n t i a l l i n ki nt h e 罩y s t e mc o n s t r u c t i o n ，b u t 仃a n s m i s s i o ni saw e a k1 i n ki nd i s 啊b u t e ds y s t e ms e c u r i t y b y h ed e v e j o p m e n ld ft h e d i s 啊b u t e ds y s t e ms e r v i c em o r ea z l dm o r cc o m p l e x ，t h et 啪s m i s s i o ns a 如t yo ft h e d i s 砸b u t e ds y s t e l ni sf a c i n gt h en e wc h a l l e n g e m a n yd i s 嫡b m e ds y s t e m st a l 【ei m c m e t a st l l et r a i l s m i s s i o nm e d i a ，b u ti n t e m e ti sa f lo p e n ，l o o s ea n du n s a f en e t 、o r l 0m e r c f o r e r n o r ea n dm o r e p e o p l e a t t a c h i m p o n a r l c e t om er e s e a r c hf o r 血ed i s 砸b m e d s y s t e m - b a s e dt r m l s m i s s i o ns a f e t ye n t i r ep l a l l t h eb a s e do nm ed i s t r i b u t e ds y s t e m 廿a n s m i s s i o ns e c u r 主t ye n t i r e a nn o tm e r c l yn e e d st oc o n s i d e rr i g h t l yb i l a t e r a ls t a t l l s a u 出e 娟c a i o 玛t h et f a 璐m i s s j o nd a t as e c r e c y t h ei n t e g r i t y t h ea u t h e n t i c 姆a n dc a n n o t d e n yi n f o 锄a t i o ns e c u r i t ya n ds oo nn a m r ea s k e dt o p i c ，a l s om u s tc o n s i d e rt 1 1 eu s a b i l i t y o ft h cd a t a 仃铷1 s m i s s i o nt h ee m c i e n c ya sw e l ia st h cp l a i li nd 骶r e n tn e t 、v o r ku i l d e r e n v i 埘埘e n tq u e s t i o na i l ds oo n n i s 捌c l et a l ( e st h en a t i o n a li i 怕r i i l a t i o na p p l i c a t i o na b i l 时t e s ts y s t e ma sa b a c k g r o u n d ，h a sd e s i g n e da l l di m p l e m e n t e da 仃a n s m i s s i o ns e c l 】r i t yp i a nb a s e do n d i s 伍b u t e ds y s t e m f i r s t ，i np a p e rw ea i l a l y z et h en e e do fd i s t r i b u t e ds y s t e mi nd a t a m e s s a g et r a n s m i s s i o na s p e c ti nd e t a i l ，a n dh a sm a d ec l e a ra b o u tt h eg o a lw 场c ht h e d e s i g ns a f e 仃a 1 1 s m i s s i o np l a nt oh a v et oa c h i e v e ；s e c o n d l y ，h a si n t r o d u c e ds o m e c o m m o nl l s e ds a f cc a n a d ad e n s em e t h o ds i m p l y ，a n a l y z c dt l i eg o o da i l db a dp o i m so f e a c hm e t l l o d ，i no r d e rt oc h o o s et h es u i t a b l em e m o di nt h ed e s i g ns e c 谢t yp l a n ；t h e l l r e f 色r r e dt om es s la 鲈e e m e m ，p r o f l t e df 如mt i l em e r i ti nm es e c u r i t ya s p e c t ，r e m o v e d s o m ed i s a d v a n t a g e st oi n s u m c i e n c i e shd i s m b u t e ds y s t e md a l at r a n s m i s s i o nht h i s p l a i l ，s i m i l l t a i i e o u s l yu n i f i e d t h es t a t u sa u t h e n t i c a t i o na n dt h ed i 百t a l s i g i la _ m r e t e c h n o l o g y ，d e s i g n e do n ck i n do f s a f e 仃a i l s m i s s i o np l a i li nd i s 砸b u t e ds y s t e m f i n a l l y ，t o o kt h en a t i o n a li n f 0 咖a t i o na p p l i c a t i o na b i l i 锣t e s ts y s t e m 硒m ee x 锄p l e ， d e s c r i b e dr e a l i z a o nr e g u l a t i o no f t l l i st r a i l s m i s s i o ns e c l l r i t yp l a i lmd e 诅i l ，a l l dp m c t i c e d t h ef e a s i b i l i 移o f t h ep l a n k e y w o r d s ；d i g t r i b u t e ds y s t e m ，t r a i l s m i s s i o ns e c l l r i t y ，e n c r y p t i o na l g o r i t l l i i l ， d i g i t a ls i 印a ：c i l r e 。i d e m i t ya u t h e m i c a t i o n c l a s s n o ： 致谢 本论文的工作是在我的导师朱卫东的悉心指导下完成的，朱卫东老师严谨的 治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三年来朱卫 东老师对我的关心和指导。 朱卫东老师悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向朱卫东老师表示衷心的谢意。 朱卫东导师对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢 在实验室工作及撰写论文期间，段珊珊、刘字等同学对我论文中的安全传输 方案的研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢父亲黄新平、母亲周超雄，他们的理解和支持使我能够在学校专 心完成我的学业。 1 1 研究的背景 1 引言 分布式系统是由若干个节点集合而成，它们在通讯网络中联接在一起，每个 节点都是一个独立的系统，它们都拥有各自的中央处理机、终端以及各自的局部 数据管理系统，通过相互之间的通信来协调彼此的工作，实现一个系统的整体功 能。因此分布式系统可以看作是一系列协同工作的分系统的联合。它们在逻辑上 属于同一系统，但在物理结构上是分布式的。 分布式系统已经成为信息处理学科的重要领域，正在迅速发展之中，原因基 于以下几点u j ： 1 、它可以解决组织机构分散而数据需要相互联系的问题。比如银行系统，总 行与各分行处于不同的城市或城市中的各个地区，在业务上它们需要处理各自的 数据，也需要彼此之间的交换和处理，这就需要分布式的系统。 2 、如果一个组织机构需要增加新的相对自主的组织单位来扩充机构，则分布 式系统可以在对当前机构影响最小的情况下进行扩充。 3 、均衡负载的需要。数据的分解采用使局部应用达到最大，这使得各处理机 之间的相互干扰降到最低。负载在各处理机之间分担，可以避免临界瓶颈。 4 、相等规模的分布式系统在出现故障的几率上不会比一般系统低，但由于其 故障的影响仅限于局部应用，因此就整个系统来讲它的可靠性是比较高的。 分布式系统的类型，大致可以归为三类： l 、分布式数据，但只有一个总数据库，没有局部数据库。 2 、分层式处理，每一层都有自己的数据库。 3 、充分分散的分布式网络，没有中央控制部分，各节点之间的联接方式又可 以有多种，如松散的联接，紧密的联接，动态的联接，广播通知式联接等。 在当今的互联世界中，越来越多的企业应用程序跨多个服务器分布和运行、 连接到远程数据源和w 曲s e f v i c e ，并可通过i n t 踟c t 访问。分布式系统功能强大， 但也面临着严峻的挑战。众所周知，i n t 啪e t 是一个开放的、松散的和不安全的网 络，分布式系统通过在i n t 哪e t 上相互之间的通信来协调彼此的工作，这意味着系 统中每个节点都与i n t 啪e t 相连接，容易受到来自i n t e m e t 上的攻击。在b t 锄c t 上传输数据很容易为攻击者所截获、破坏和修改，而分布式系统相互之间的通信 内容中包括很多敏感的业务信息，一旦为攻击者所截获很容易造成机密信息的泄 漏攻击者通过破坏、伪造分布式系统之间的通信信息，可能使分布式系统不能 正常工作，甚至让系统执行一些非法的操作 因此，为分布式系统设计一套切实可行的传输安全方案迫在眉睫。 本文以全国信息化应用能力考试系统的传输安全方案设计为例，详细分析了 传输安全方案设计方面的问题、技术和方案，设计了一种基于分布式系统的传输 安全方案。 1 2 论文工作研究内容的目的和意义 伴随计算机与网络技术的普及应用，信息安全越来越为人们所关注，发展出 很多经典的安全策略与模式，现在仍被人们广泛的使用这些策略与模式是面向 一般的广泛的应用，功能十分完善与强大。我们在安全设计的时候可以使用这些 策略与模式，但在这些模式中会有很多对于实际应用来说完全用不上的功能，这 样会影响程序执行的效率。在程序设计中，有一条有用的经验法则，9 0 1 0 法则指 出，一个程序9 0 9 6 的执行时问花费在1 0 9 6 的代码中，该法则的一个特例就是称作“瓶 颈”的闯题。因此，如果在程序的安全设计中出现套用这些策略和模式而导致的 “瓶颈”时，我们不妨参考这些安全策略和模式的思想，去除一些用不上的功能， 改变其执行的时问点，设计出自己的安全策略以提高整个分布式系统的效率。 在分布式系统中，各个节点之问的信息传输是安全策略设计中关键的一环， 由于是在i n t e r n e t 上进行信息的传输，传输的信息要避免为攻击者窃取、破坏、 修改和伪造，同对，一些特殊的应用还要求传输的信息具有抗抵赖性。提高安全 性能的主要方法是对传输的信息进行加密，其代价则是要耗费系统更多的资源， 降低系统执行的效率。由于数据的安全性与系统执行效率之间的矛盾，传输阶段 很容易成为系统的“瓶颈”。 本论文研究了一种基于分布式系统的安全传输方案，并在实际项目全国信息 化应用能力考试系统中应用了这种安全传输方案，解决了项目在传输过程中的安 全问题。 1 3 论文的组织结构 本论文是基于分布式系统的安全传输方案研究的论文，在完成论文的过程中， 我参考了许多文献，并以实际应用系统的开发为背景，共分为六章。 第一章提出了论文的研究背景和研究目的并介绍了论文的组织结构。 2 第二章介绍了分布式系统的体系结构及几种典型的分布式系统 第三章对分布式系统作安全需求分析，着重分析了分布式系统在网络传输 阶段所面临的风险，并对实际项目全国信息化应用能力考试系统做了详细的安全 分析 第四章介绍说明安全传输方案中涉及到的关键技术：加密技术，摘要函数、 数字签名技术、访问控制策略和s s l 传输协议。 第五章提出自己设计的一种安全传输方案，并在项目全国信息化应用能力 考试系统中对提出的安全传输方案进行具体实现。在实现过程中，着重从数据加 密、身份认证、文件签名与发送回执的方法，实现了传输数据的保密性、完整性、 真实性和不可抵赖性。同时让开销昂贵的加密与解密操作避开了系统的“瓶颈”， 提高系统的效率 第六章总结论文中所做的研究工作，指出有待改进的地方，并展望后续工 作。 2 分布式系统体系结构 2 1 分布式系统发展概述 计算机刚刚发明的时候，没有人想到它会有如此广泛的应用。无法否认的是 企业级的应用在某种程度上推动了计算机的发展早在上世纪6 0 年代，大型计算 机就成为大多数美国商业机构、企业的重要组成部分。个人计算机的出现加速了 社会的信息化进程，企业级应用开发的思想也日趋成熟。 所谓企业级应用是指那些为商业组织、大型企业而创建的解决方案及应用程 序这些大型的企业级应用具有用户数多、数据量大、事务密集等特点，而且还 要能够满足未来业务需求的变化，易于升级和维护。一个好的企业级应用系统架 构通常来自于优秀的解决方案，同时在应用程序设计的开始就要考虑其体系结构 的合理性、灵活性、健壮性，从而既可满足企业级应用的复杂需求也能为今后系 统的调整和升级留有余地。这样处理实际上是延长整个应用系统的生命周期，增 强了用户在多变的商业社会中的适应性，减少了系统维护的开销和难度，从而给 用户带来最大的利益。 早期的企业级应用开发依赖于单一的大型机，这意味着对系统资源的不充分 使用。执行不相关任务的用户被迫共享相同的系统资源，而且一旦出现故障可能 导致所有任务的终止。在达到大型机处理能力极限的时候，通常不得不升级到成 本更高和更大型的机器，所以规模可变能力也是一个问题。 早期的分布式系统模式是客户机服务器( c ，s ) 模式，许多应用系统便使用这 种模式来设计( 图2 1 客户机服务器结构) 。 服务器 域阿 客户端客户端 客户端 图2 - 1 客户机，服务器结构 4 阜甲 客户机服务器结构的主要优点是它的分布式特性，以及对系统资源的充分利 用和相对旧的大型机较便宜的配置成本通过将处理要求分解到几个小型服务器 上运行，就有可能在整体上更好地使用资源和系统的处理能力在客户机服务器 结构中通常是由客户端的机器执行客户端程序，然后连接到远程的数据库服务器 中存取应用系统所需要的数据和资料。只要应用系统的客户端数目在2 0 0 个用户 之内并且是在同一个区域中，那么客户机服务器结构作为m i s 应用系统的基础架 构是比较合适的。不过，这种系统架构本身却存在着很大的缺陷，使之不能够适 应大规模的企业级应用 客户机，服务器架构之所以不能够适应大规模的企业级应用，是因为在这种系 统架构中通常是把应用系统的企业逻辑都编写在客户端的应用程序之中( 也就是 俗称的“胖客户机”) ，因此一旦应用环境发生变化需要改变应用系统的企业逻辑 时，所有在客户端的应用程序都必须改交，这对于应用系统的维护来说成本实在 太高了对于把大量代码化的企业业务逻辑驻留在客户端，也会给系统的安全性 带来极大的考验虽然有一些系统使用存储过程把企业逻辑写在数据库之中，但 是这样却会带来更大的问题。因为如此一来不但应用系统都绑死在特定的数据库 上，而且还会由于在数据库中执行了许多应用逻辑的程序代码严重拖累数据库的 执行效率。此外，由于数据库服务器只能服务一定数量的客户端，一旦客户端数 目超过了一定的闭值，系统性能会呈几何级数下降，以致影响到系统的可靠性。 加上近年来i n t e m e t 的流行对于企业运作的方式产生了巨大的影响，绝大部 份的企业级应用系统都必须集成i n t e m e t 的能力，以便让现有的以及潜在的客户 能够通过网络来访问应用系统，进而开拓新的商机。i n t e m e t 的软件技术也随着 应用面愈来愈广而有了结构上的改变，从早期使用h t h l 提供用户使用浏览器测 览或是查询静态数据开始，发展到现在进行电子商务的工作或者在浏览器中执行 h i s ，e r p ( e n t e r p r i s er e s o u r c ep i a n n i n g ) ，c r m ( c u s t o m e rr e l a t i o n s h i p 卜1 a n a g e m e n t ) 等大型复杂的应用系统。 为了让应用系统提供i n t e m e t 的能力，开发人员可能会在企业内部架设一台 w 曲服务器，然后使用】s p 等的技术再把相应的系统应用逻辑重新编写一次，并 且分发到w e b 服务器让所有的客户能够使用浏览器访问企业信息( 图2 2 集成 i n t e m e t 分布式系统结构) 。可是使用这种结构也有许多问题，那就是：当原先任 何的m i s 应用系统需要提供i n t e r n e 的存取形式时，旧的应用系统都必须以新的 软件技术编写一次。这种重复开发的成本非常的昂贵，而且当企业的运作流程改 变时也必须同时修改两个系统，又增加了系统运作和维护的成本。 5 图2 - 2 集成i n t e m e t 分布式系统结构 为了解决这些在开发应用系统时由于系统架构自身缺陷所带来的一系列问 题，增强应用系统的重复使用性、伸缩性、扩展性和灵活性，发挥面向对象分析 和面向对象设计的功能，我们引入所谓的应用程序服务器，使应用系统架构演进 为分布式多层结构。 2 2 分布式多层系统结构分析 作为人类历史上文明进步的一个重要标志，社会化大分工使得社会中的每个 个体在有限的资源条件下可以只专注于自己的特定工作。同时又可以与他人交换 工作成果，这极大地提高了整个社会的劳动效率分工的内容越来越完备，抽象 的层次越来越高，建模的粒度越来越大，和现实世界的距离也越来越近。 在软件系统架构设计上，也存在着这种分工的思想，那就是层次结构。层次 结构的特点是；上层使用下层提供的服务，且仅通过层次问的特定接口获取下层 6 服务，下层通过特定接口为上层提供特定服务，且不依赖于上层，也不知道上层 的存在下层与相邻上层之间为一对多的关系，即同一个下层可能为不同的上层 提供服务。当然，这里的层指逻辑意义上的层，软件组件问的逻辑关系才是构成 层次结构的主要要素。 客户机服务器结构属于两层分布式结构，在我们引入所谓的应用程序服务器 后，就形成了分布式多层结构( 图2 - 3 典型分布式多层应用系统的结构) 。 圈2 3 典型分布式多层应用系统的结构 应用程序服务器简单的说就是个包含企业逻辑的应用程序，软件开发人员 以种特定的组件技术( 分布式对象技术) ，例如s u n 的臼b ( e n t e r p r i s e 】a v a b e a n ) 、m i c r o s o f t 的c o h d c o m c o m + 技术等，封装企业的逻辑程序代码。 这种经过封装能够执行特定企业逻辑功能的组件对象便称为企业对象，企业对象 开发完毕后就可以把它们部署到应用程序服务器中，当应用程序服务器包含了许 多的企业对象之后，软件开发人员就可以在开发企业应用程序时使用这些在应用 7 程序服务器之中的企业对象提供的服务例如，如果在应用程序服务器中己经有 了能够提供产品信息的企业对象，那么当开发人员需要编写一个更新产品信息的 m i s 应用程序时，就可以直接使用在应用程序服务器之中的产品企业对象。此外 如果还需要让i n t e r n e t 上潜在客户能够查询产品信息时、也可以使用c g i 或是 i s a p i 等技术存取在应用程序服务器之中的产品企业对象的服务来满足客户的查 询。而当企业决定改变产品处理的流程时，只需要修改应用程序服务器之中的产 品企业对象，那么h i s 应用程序以及使用浏览器的客户都可以立刻的使用到最新 的企业处理流程。 采用这种包含应用程序服务器的分布式多层结构有许多的好处，除了可以增 加企业对象的重复使用性之外，整个系统的开发和维护成本都立刻的降低下来了， 而且还能提高系统的伸缩性、扩展性和灵活性。 分布式多层结构通常具有3 个基本层：外观表示层、业务逻辑层以及数据服 务层外观表示层用于和用户交互，它提供用户界面及操作导航服务i 业务逻辑 层用于对企业业务逻辑处理，执行业务规则，提供商业逻辑等各种约束，上面所 说的应用程序服务器就属于业务逻辑层的范畴；数据服务层用于数据的集成存储， 完成数据的定义、维护、访问与更新，这些数据既可以是文件，也可以是关系型 数据库管理系统管理的数据。当然除了这3 个基本层外，系统还可以引入其它的 层来实现某些特殊功能，例如可以引入一个过滤层来阻止非法用户的访问。 下面我们对外观表示层、业务逻辑层以及数据服务层进行简单的讨论。 1 。外观表示层 外观表示层是应用系统与人进行交互的层次。它可以有不同的表现形式，例 如专用的客户端应用程序、w e b 浏览器等。这些不同形式的客户端能够以可视形 式提供丰富、灵活的用户交互界面，用来表示信息和收集数据，并利用业务逻辑 层提供的功能服务完成用户请求，并且还可能会执行一些简单的业务逻辑，比如 对用户输入的数据进行简单的检查。由于在分布式多层结构中应用系统的企业逻 辑，并不是像传统的客户机服务器结构那样编写在客户端的应用程序之中，而是 存在属于业务逻辑层的应用程序服务器中，此时外观表示层的客户端应用程序就 能很“瘦”，俗称瘦客户机。当企业逻辑发生改变时，只要业务逻辑层提供服务的 接口没有改变，外观表示层可以不受影响，由此也可以看出整个系统更容易维护。 2 业务逻辑层 业务逻辑层也叫中间层，即我们上面所提到的应用程序服务器，是分布式多 层应用系统的关键所在。它负责处理所有来自外观表示层的用户请求，当它通过 数据服务层提供的接口处理完请求之后，还要把处理结果返回给外观表示层。这 一层主要用于响应来自外观表示层的用户请求、为具体应用提供事务处理和安全 控制、执行企业逻辑与业务流程，以及为满足不同数量客户端的请求而进行性能 调整等。由此可以看出业务逻辑层是很复杂的。 在设计与开发分布式多层应用系统的业务逻辑层时，可以使用面向对象分析 面向对象设计方法把复杂业务关系细分为多项功能单一的服务，每项服务都执行 一项特殊任务。这些服务可以用相对独立的服务组件对象来实现其功能。通过分 布这些组件对象，可以平衡数据处理负载、协调业务逻辑关系、调整业务规模和 业务规则。这一切都可以通过使用流行的组件技术( 分布式对象技术) 来实现。 3 数据服务层 数据服务层实际上就是资源管理层，主要完成数据的定义、维护、访问与更 新，以及管理并响应业务逻辑层的数据请求。通常数据服务层使用大型的关系型 数据库管理系统( r d b m s ) 来管理，如o r a c i e ，s q ls e r v e r 等。使用大型关系 型数据库来管理数据的好处是可以协助数据的处理，提高数据的使用效率。大型 关系型数据库处理数据除了完成数据库本身的插入新数据、修改数据、执行系统 函数等s q l 操作外，还可以通过存储过程和触发器来自动地在数据库上存储应用 程序的商务逻辑和函数模块，这样在数据层上就可以对数据做出相关的功能强大 的处理，而不是仅仅把请求结果返回给客户机。不过在数据服务层是否应该有太 多的数据处理，一直存在着分歧主要有以下两种对立的观点： 第一种观点认为，在数据层利用大型关系型数据库处理数据的功能越多越好。 他们相信存储过程和触发器应能在数据库的插入与更新中提供一切，以保持数据 的时效性赞成者的观点是，如果业务规则变化，所有要做的仅仅是在数据库服 务器上更改存储过程，而不必在中问层或客户机上进行修改，即将业务逻辑层向 数据服务层靠拢。不过这种解决方案等于把所有的应用程序的业务逻辑放进数据 库，会使数据库本身的速度减慢。另一个主要问题是，当所有的应用程序逻辑都 存储在数据库本身时，很难把数据库从一个平台移植到另一个。 第二种观点认为，所有由实际应用程序来处理的功能都应放在数据服务层之 外，并在业务逻辑层或外观表示层进行处理。放入数据层的东西仅仅是数据本身 以及它们的更新、插入和删除等基本操作。任何业务逻辑，比如数据有效性的校 验，都应放在业务逻辑层或放在实际应用程序的外观表示层。赞成这种解决方案 的是那些对速度要求高，而且其数据库仅仅是为了存储数据的人。不过如果所有 的业务逻辑都存储在业务逻辑层或外观表示层的应用程序中，任何业务逻辑的变 化都将导致程序的重写、重编译以及重新分发。 9 2 3 分布式多层系统结构的优点 分布式多层结构层次清楚功能明确，属于外观表示层的客户端程序主要负责 和用户的交互，属于业务逻辑层的应用服务器运行企业逻辑，属于数据服务层的 数据库服务器提供数据由于整个应用系统的执行是分成数个不同的部分并且可 以执行在不同的机器之中，整个系统的延展性、可伸缩性和灵活性大为提升l z j 同时，由于业务逻辑层使用了分布式对象技术来构造，当业务逻辑发生变化时只 需更新相应的企业对象逻辑组件，所有用户就可使用新的业务处理逻辑，避免了 客户端应用程序版本控制和更新的困难，这样也使得整个系统的开发和维护成本 大为降低。另外，客户端应用程序不再直接访闯数据库服务器，也提高了系统的 数据安全性。 由于分布式应用系统强调系统的稳定性延展性以及执行效率，所以现在有 许多的分布式应用系统还提供了容错能力以及负载平衡的能力。在具备容错能力 和负载平衡的能力昀分布式应用系统中，主要是在业务逻辑层部分提供多台不同 的应用程序服务器当客户端应用程序或是溉b 服务器需要使用企业对象的服务 时，可以依据目前每一台应用程序服务器的负荷以及是否可以提供服务的情形来 动态决定连结到哪一台应用程序服务器之中 1 0 3 分布式系统传输安全需求分析 安全就像一条长链，其强度由最弱的一环决定口j 构建并实现端到端安全这 个概念囊括了系统的全部基础设施，如主机、应用、用户、网络设备，客户端应 用和通信等。从安全的角度说，系统基础设施中的每项资源都可能受到入侵和破 坏系统全部的基础安全设施的安全构架主要依赖于以下三个基本的基础设施部 分：网络服务、主机操作系统和目标应用。这三个部分中任何安全漏洞或缺陷都 可能被利用来发起攻击，在最坏的情况下，黑客甚至能危及系统基础设施的安全。 在为i t 系统的基础设旋提供端到端的保护的长链上，这三个部分是最薄弱的环节。 网络是通过通信信道相连的一组计算机或信息设备及其外围设备，连接它们 的通信信道能够在计算机、应用和用户以及其他网络之间共享信息和资源。典型 的网络使用路由器、交换机和防火墙，网络安全措施由网络防火墙、入侵检测系 统、路由器访问控制列表、虚拟专用网和s s l 加密加速设备提供这些设备通过 检查和过滤在网络之间传入和传出的数据流来实施访闯控制。网络级安全措施只 能保护网络资源免受基于i p 连接的攻击，或对非授权端口、协议和服务进行分组 和过滤。为了支持正常的服务，如使用h t l p 协议的w e b 服务器和使用s m t p 协议的邮件服务器等，必须打开一些通信通道，因此网络中的资源仍然是可以公 开访问的。攻击者可以通过这些通信信道向其发起攻击，例如：在w e b 服务通信 中，x m l 数据流可以穿越防火墙的h t t p 和h t t p s s l 端口，从而使攻击者能够 通过恶意代码注入、病毒邮件、缓冲区溢出和基于内容的拒绝服务等来攻击系统。 操作系统由大量的功能和服务组成，如为系统管理、应用部署和最终用户提 供工具和使用程序，在硬件和软件的运行、管理和控制已经同其他主机和支持网 络的应用交互方面都有着举足轻重的作用。默认配置下操作系统提供的安全策略 是不够安全的，这种安全配置使得操作系统对于攻击者的入侵几乎是毫无抵抗能 力的，信息窃取、特洛伊木马、病毒、软件缓冲区溢出、密码破解的安全威胁都 回应邀而至。通过应用操作系统强化和最小化技术能够降低这些风险，例如：建 立操作系统安全策略，删除非必要的实用程序和工具，禁用不使用的服务和端口， 使用安全特定的补订包和升级包对系统环境进行升级。实施操作系统强化和最小 化，可以将其防护能力提高到能防止所有已知威胁的层次，否则，在面对安全威 胁时联网主机将是脆弱的。 应用服务是由一个或多个组件组成的软件程序，以可执行的业务功能、业务 过程或用户界面等方式运行在网络中的一台或多台主机上。如果没有对其进行保 护使其免受所有已知的功能、部署和运营的威胁，应用服务将很容易受到安全攻 击。攻击者可能利用存在于底层区域的风险或缺陷，包括代码、数据、输入，输出 验证、异常处理、用户登录、访问控制、库链接，配置管理、会话处理、连接、 通信和程序执行。 3 1 分布式系统传输安全需求分析的目标 安全是个相对的概念，没有什么技术手段能做到绝对的安全嗍。无目的地对 整个系统的每个部分进行安全的巩固，会使得工作量十分庞大，花费极其高昂的 代价，而且会导致系统效率十分低下 所以，对一个分布式系统的传输安全方案迸行设计，首先要对整个系统进行 了解和分析，找出系统安全方面的弱点，确定需要实现的安全目标，然后针对性 的给出安全的设计 确立安全目标之后，应该根据现实的需求选择合适的安全策略。毕竟安全的 程度与程序执行的效率是一个矛盾的统一。一般来说，算法策略实现的安全程度 越高，其执行效率就越低。因此，选择的安全策略应该兼顾安全的需求和执行的 效率，令其完美的结合在一起。 在进行安全方案的设计时，应该遵循两点原则： ( 1 ) 技术策略和管理策略相结合的原则；在安全方案的设计上，不仅要考虑 安全在技术上的实现，还应该考虑让技术手段与管理手段结合在一起来达到系统 安全的目标。 ( 2 ) 系统安全足够原则；信息系统达到为其安全性所花的代价与系统可能遭 受到的风险所造成的损失是相当的，则安全水平就足够了。 下面还是以全国信息化应用能力考试系统的安全方案的设计和实现为例，详 细讨论分布式系统的传输安全方案 3 2 全国信息化应用能力考试系统传输安全需求分析 全国信息化应用能力考试系统安全方案从总体结构上可以分为三层：中心安 全层、考点安全层和传输安全层，这三个层次的安全方案就构成了系统的整体安 全性( 图3 1 全国信息化应用能力考试系统安全方案总体结构图) 。 1 2 图3 1 全国信息化应用能力考试系统安全方案总体结构图 3 2 1考试中心安全层 考试中心服务器的主要功能包括：建立科目、章节、知识点以便分门别类的 存储各种试题组成考点中心的题库；建立考试类别和考试模板来订制各类考试的 抽题规则；保存各个考点服务器的考试人员的注册信息和考试信息；根据考试信 息以相应的模板抽题，得到每个人的考卷；将所有的考卷按考点打成试卷包，供 各个考点下载；接受各个考点上传的考试成绩，保存每位考生每场考试的结果。 考试中心部分包括考试系统的中心数据库服务器，w 曲服务器和考试中心服 务器，系统运行的程序以及考试系统存在的物理环境。它是全国信息化应用能力 考试系统的核心部分，中心的安全性直接关系到整个考试系统的安全性，影响到 考试系统是否可以正常运行。 在整个系统正常运行的过程中，考试中心在其中担任了重要的角色。它承接 了注册考点、注册考生、注册考试、抽取考试试卷、保存考试成绩等十分重要的 流程，一旦考试中心服务器不能正常工作，将导致所有的考点都无法正常运行。 同时，考试中心数据库中包含着大量的机密数据，包括注册的考生、注册的 考点、考试的题库、考试的模版，考试的试卷、考试的成绩等。如果中心数据库 被攻击者入侵，机密的数据可能被删除或者泄漏，对整个系统将造成严重的损害。 由于考试中心服务器要与考点服务器通过通信来协调各自的工作，还要接受 诸如考生注册、考点注册等来自h t 锄e t 上的信息，考试中心服务器必须要与 h l t 锄e t 相连接，因此，考试中心安全层需要防范h l t c l l l e t 上众多攻击者的攻击。 同时，由于考试中心包含着大量敏感机密的数据，而且考试中心系统内部也 有众多的管理人员。在防范外部攻击的同时，也要防止内部工作人员查看非授权 的机密数据，以免数据泄密 3 2 2考点安全层 全国信息化应用能力考试系统主要业务就是通过考试来考核一个人的知识基 础水平。考试的试卷和考试的成绩都保存在考点服务器，考试的进行也是考生通 过考点服务器来完成的。因此，考点服务器的安全也是十分重要的 考点服务器的主要功能包括：下载考试试卷包，并将其导入数据库，以提供 考生考试的环境；提供登陆界面，供各个考点的考生登陆进来考试；对考生考试 过程中进行监控，防止作弊的发生；对考试结果进行判卷，得到各个考生的考试 分数；将每场考试的结果进行打包，包内的数据包括考生的答案、得分等数据； 将考试结果包传输到考试中心，让中心得到各个考生的考试结果；清空本场考试 的数据库，以迎接下一次的考试的到来。 在考点服务器中，首先应该保证考试之前考点服务器中考试试卷的安全，一 旦考前考试的试卷被泄露的话，那么本次考试就没有公平性了，考试成绩也失去 了意义。如果多次发生了考试试卷泄密，会对本系统的名誉有极大的损害，导致 本系统的认证考试失去应有的含金量。 其次，在考试过程中，应该保证考试的公正性、严密性与时效性。考生在考 试的时候不能查看资料，不能相互抄袭，不能拖延考试时间。因此，考生考试时 应该在一个局域网之内，以避免考生连接上m t e m c t 查看资料或者寻求帮助。考点 要对考生的登陆情况进行备份，阻止考生在考点的多台机器上进行考试，如果确 实是因为机器故障需要更换考试机器，应该上报考点管理员并得到批准，方能更 换机器进行考试。考点除了监考人员，还应该有一系列的监视措施，防止冒名顶 替等考生的作弊手段。在考试时间耗完之后，系统应该强制考生交卷，自动结束 考试。 1 4 最后，考点服务器根据考生的答案给出考试成绩，并将答案和成绩上传给考 试中心服务器。有考试中心服务器统一收集考生考试成绩，并为考试合格的考生 颁发证书。为了保证考试成绩的真实性，在考试完成之后，应该防止内部或者外 部的人员替某些考生修改考试答案和成绩，以免破坏考试的公正性。 由于考点服务器大部分功能都是在局域网内部完成的，只有与考试中心服务 器通信时使用了i n t e r i l e t 连接因此，i n t 锄c t 上的攻击者对考点服务器的威胁并 不像考试中心服务器那么大。同时，由于考点服务器分布在全国各地，在考点服 务器内部也有大量的工作人员，其信任程度得不到保证因此，考点服务器中除 了要防范n e n l e t 上的攻击者，更要对内部的工作人员进行防范。 经过上述分析，考点面临的主要威胁有： l 、来自m t 啪e t 上的攻击e t 上的攻击者直接攻击考点服务器，窃取考 试信息，破坏考试系统，使得考点服务器无法正常运行。 2 、考卷的泄密。考试内部人员通过查看考点服务器的数据库，提前将考试试 卷的内容泄露出去 3 、考生作弊。考生在考试过程中通过冒名顶替，查看资料，拖延考试时间等 不正当的手段通过考试。 4 、考试成绩的真实性。考试结束之后，要防止某些考点服务器的内部工作人 员篡改考生考试的成绩和答案，上传给考试中心虚假的考试信息。 由于考点服务器只是与考试中心服务器进行通信的过程中使用了i n t 锄c t 网 络，只要精心设计传输安全层方案，巩固好操作系统，就可以极大地避免来自 i n t c r i l e t 上攻击者的攻击；考生作弊的问题，可以通过设置监视系统来解决；内部 人员泄密与篡改考试数据，可以对数据库中的数据进行加密，使其得不到正常的 数据，因此也就无法泄露与篡改数据 3 2 3传输安全层 全国信息化应用能力考试系统是一个分布式的考试系统，考试中心服务器与 考点服务器分别安装在各个不同的地方，通过i n t e n l c t 来进行数据交互以协同工作。 考试中心服务器和考点服务器之问传输数据主要有：考试开始之前，考点服务器 从中心服务器上下载最新的考试信息，包括考试人员，考试试卷等机密信息；考 点服务器将考生的成绩，答案等考试信息上传到中心服务器备份。这些数据都是 通过i n t e n l e t 来进行传输的 在传输模块中，我们应该关注如下几点【5 j ： l ，防止i n t 锄e t 上的攻击者非法连接传输全国信息化应用能力考试系统的 1 5 中心部分是面向h l t e m c t 的，任何一个连接在i i l b 咖c t 的客户端都可以访问中心服 务器，如果非法，恶意用户连接访问中心服务器，可能造成考试信息被下载泄露， 使得考试中心服务器不能正常运行。可以通过身份验证证实双方身份来解决这个 问题。 2 、防止合法登陆用户对系统的越权访问。对于系统的合法用户，每个用户应 该有各自的访闯权限，如每个考点只能下载属于自己的考试试卷包。为了防止合 法用户的越权访问，可以采用访问控制策略来阻止用户对未授权数据包的访问。 3 、防止i n t 锄c t 上的攻击者攻击。攻击者可能通过放置木马、病毒等手段对 服务器进行攻击，破坏服务器程序与数据，造成w 曲服务器不能够提供正常的服 务以及考试中心数据信息的丢失，给整个系统带来重大的损失。 4 、防止攻击者假冒伪造身份攻击者可能会对合法用户与中心服务器之间的 通信进行监听，以窃取合法用户的用户名和密码，从而伪装冒充合法用户来访问 系统，窃取、篡改和删除考试包的信息 在i n t 锄c t 上传输数据的过程中，这些数据可能会受到以下几种类型的攻击【6 】： 1 、截获，在中心服务器和考点服务器之间交换的数据，是以h l t 锄c t 作为传 输媒介的，在i n t e r l l e t 传输的数据，很容易在传输的过程中，被恶意的非法偷听传 输双方的内容，提前获知考试内容。使考试系统的考试失去公正性。 2 、中断，在中心服务器和考点服务器传输的过程中，被非法用户恶意中断两 者的数据传输，造成传输故障。 3 、篡改，是指在考试系统的传输过程中，恶意篡改了考试系统的传输数据。 造成数据的完整性被破坏。 4 、伪造，在考试系统中，未授权的用户假冒考点的身份向中心申请试卷或者 是假冒中心的身份向考点索取考试结果，造成考试信息外泄。 5 、抵赖，在考试系统中，考试中心服务器否认给考点生成过某个数据包或者 考点服务器否认从中心下载过某个包，造成系统的信任度降低。 同时，对于考试系统来说，这些数据信息是极其敏感的，一旦数据泄露或篡 改，考试的结果将失效。因此，传输模块对于整个分布式考试系统是一个薄弱的 安全环节，需要采取一些措施来保护数据信息的安全。 1 6 4 传输安全方案涉及的相关技术和策略 4 1 加密技术 随着计算机联网的逐步实现，计算机信息的保密问题显得越来越重要。数据 保密变换，是对计算机信息进行保护的最实用和最可靠的方法【7 】。密码是实现保密 通讯的主要手段，是隐蔽语言、文字、图像的特殊符号在计算机通讯中，采用 密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即 使被窃取或载获，窃取者也不能了解信息的内容，从而保证信息传输的安全主 流的加密技术分为对称加密与非对称加密两种 4 1 1对称加密算法 当发送方和接受方使用同一密钥对文件进行加密与解密，则可称此算法为对 称加密、单一密钥或传统加密澍8 1 。此算法处理明文的方式有两种：即“区块加密 ( b l o c kc i p h 神”或“数据流加密( s t r e 锄c i p h 啪”。区块加密一次处理一个单位区 块( 基本上，一个区块的大小为6 4 位元) ，根据输入的区块来产生输出的