论文部分内容阅读
[摘要]针对医院的信息管理工作,对比各类安全认证机制,有针对的性的选择和研究安全管理平台中的身份认证机制以及平台搭建和认证的传递方式。
[关键词]信息安全身份认证认证传递管理平台
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210120-01
一、信息安全探讨
信息系统安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。我国的信息安全产品和技术已经从加密、防病毒、防火墙、防电磁辐射,过渡到包括平台系统、电子身份认证、漏洞扫描、入侵检测、识别鉴别、实体安全保护等十大系列的防护体系,信息安全产业从单纯的产品和技术开发过度到产品和技术开发、安全系统集成与信息安全服务。对于医院的特殊环境下的信息安全要求,应该创建相适应的安全管理平台。
在安全管理平台中有一种重要机制就是身份认证。在安全管理平台机制下,安全管理平台的身份验证以Kerberos VS(与密码或智能卡一起使用的用于交互式登录的协议)它也是适用于服务的默认的网络身份验证方法。以验证协议为基础,将个人私钥存放在智能IC卡上,通过IC卡的卡PIN实现智能IC卡对医务人员的认证以及对IC卡内私钥的访问[1]。在卡内实现ECC加/解密以保证私钥存储的安全性,通过DCE(分布计算环境)登录机制在DCE客户机和多协议服务器之间实现的。
二、认证的安全管理平台
当医务人员登录到DCE后,就取得了相应的唯一身份标识符以及由DEC安全服务所分配的特权属性标识。
图1安全管理平台的身份认证流程
安全管理平台的安全服务器按医院信息安全边界划分安全域,要管理的医务人员、角色和资源加入到安全域中,同时维护着一个数据库,该数据库包含有系统中每个医务人员的账户信息,包括医务人员的登录帐号、公钥证书以及角色信息。所有安全代理服务器在安全数据库中也有帐号。当一个医务人员登录到安全管理平台并且请求访服务器时,安全服务器根据医务人员的公钥进行认证,使用服务器对验证信息进行加密。这个验证信息包含下次与服务器进行会话的新的加密密钥。密钥还具有阶段性,阶段性密钥只在一段很短的时间内有效。验证信息中同时也包含基于服务器的密码产生的阶段性加密密钥,医务人员使用这个验证信息来向服务器证实自己的身份。
为了访问安全域中所有服务器,医务人员必须在安全服务中进行登记。一旦医务人员进行了登记,安全服务器可以为医务人员向整个医院系统中的任何服务器提供身份验证服务。医务人员只需要登记一次就可以安全地访问网络中所有安全信息。这种登录的过程提供了在医务人员和服务器之间相互身份证服务,双方都能确认对方的身份。
安全本地代理服务器是用来进行身份认证和建立安全通信通道。安全本地代理服务器对应用的客户端软件不作任何改变,采用陷阱方式,由安全本地代理服务器设置IP陷阱、截取IP数据包,由安全本地代理服务器进行处理,当医务人员请求访问被安全域保护的服务或资源时,安全本地代理服务器将其截获,使用安全通道送往安全域中的安全服务器进行认证、授权处理。
三、认证身份的传递
对被安全管理平台认证了的医务人员身份,当与安全代理服务器进行通讯时,安全代理服务器从安全服务器获得医务人员ID,传递给后台的应用服务器。
通过认证身份的传递,安全管理平台为应用程序提供了身份认证服务,是安全管理平台作为安全平台的重要特性之一。
图2认证身份的传递
安全代理服务器用于收集并处理安全域内所有的安全设备产生的信息。安全代理服务器依据安全策略服务器中其管理的安全域相匹配的安全策略对收集到的安全报告进行筛选,把不符合或者不感兴趣的警报都删除掉。但是,并不阻止安全设备产生那些不符合或不感兴趣的报告。最后,安全代理服务器将整理好的安全警报集上传给中心服务器。
为了使信息安全设备产生的安全信息得到动态、有效地控制,安全代理服务器具有以下特征:
1.每一个安全代理服务器都明确知道自己的任务,而且能够执行它。
2.当安全代理服务器对自己的功能有疑问或没有足够的信息处理问题时,它可以向中心分析器汇报。
3.安全代理服务器产生的安全警报集用固定的形式语言描述。
目前将人工智能应用于入侵防御领域大大提高入侵防御系统的性能。引入计算机免疫技术,通过正常行为的学习来识别不符合常态的行为,使系统能够自动学习新的入侵活动,提高检全率和检准率;研究更好的神经网络架构,克服目前基于神经网络的异常检测技术的缺陷。应用遗传算法来识别正常行为与异常行为,提高系统分析能力。
参考文献:
[1]Krajewski,M.,Concept for a Smart Card Kerberos,Proc.15th Nafl Computer Security Conf.,B altimore,Oct.1992,76-83.
[2]文铁华、古士文,信息系统安全的若干关键问题研究[J].中南大学:控制理论与控制工程(专业)博士论文,2003.
作者简介:
蒋觐阳,女,汉族,就职于兰州军区兰州总医院;范红喜,男,汉族,就职于兰州军区兰州总医院。
[关键词]信息安全身份认证认证传递管理平台
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210120-01
一、信息安全探讨
信息系统安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。我国的信息安全产品和技术已经从加密、防病毒、防火墙、防电磁辐射,过渡到包括平台系统、电子身份认证、漏洞扫描、入侵检测、识别鉴别、实体安全保护等十大系列的防护体系,信息安全产业从单纯的产品和技术开发过度到产品和技术开发、安全系统集成与信息安全服务。对于医院的特殊环境下的信息安全要求,应该创建相适应的安全管理平台。
在安全管理平台中有一种重要机制就是身份认证。在安全管理平台机制下,安全管理平台的身份验证以Kerberos VS(与密码或智能卡一起使用的用于交互式登录的协议)它也是适用于服务的默认的网络身份验证方法。以验证协议为基础,将个人私钥存放在智能IC卡上,通过IC卡的卡PIN实现智能IC卡对医务人员的认证以及对IC卡内私钥的访问[1]。在卡内实现ECC加/解密以保证私钥存储的安全性,通过DCE(分布计算环境)登录机制在DCE客户机和多协议服务器之间实现的。
二、认证的安全管理平台
当医务人员登录到DCE后,就取得了相应的唯一身份标识符以及由DEC安全服务所分配的特权属性标识。
图1安全管理平台的身份认证流程
安全管理平台的安全服务器按医院信息安全边界划分安全域,要管理的医务人员、角色和资源加入到安全域中,同时维护着一个数据库,该数据库包含有系统中每个医务人员的账户信息,包括医务人员的登录帐号、公钥证书以及角色信息。所有安全代理服务器在安全数据库中也有帐号。当一个医务人员登录到安全管理平台并且请求访服务器时,安全服务器根据医务人员的公钥进行认证,使用服务器对验证信息进行加密。这个验证信息包含下次与服务器进行会话的新的加密密钥。密钥还具有阶段性,阶段性密钥只在一段很短的时间内有效。验证信息中同时也包含基于服务器的密码产生的阶段性加密密钥,医务人员使用这个验证信息来向服务器证实自己的身份。
为了访问安全域中所有服务器,医务人员必须在安全服务中进行登记。一旦医务人员进行了登记,安全服务器可以为医务人员向整个医院系统中的任何服务器提供身份验证服务。医务人员只需要登记一次就可以安全地访问网络中所有安全信息。这种登录的过程提供了在医务人员和服务器之间相互身份证服务,双方都能确认对方的身份。
安全本地代理服务器是用来进行身份认证和建立安全通信通道。安全本地代理服务器对应用的客户端软件不作任何改变,采用陷阱方式,由安全本地代理服务器设置IP陷阱、截取IP数据包,由安全本地代理服务器进行处理,当医务人员请求访问被安全域保护的服务或资源时,安全本地代理服务器将其截获,使用安全通道送往安全域中的安全服务器进行认证、授权处理。
三、认证身份的传递
对被安全管理平台认证了的医务人员身份,当与安全代理服务器进行通讯时,安全代理服务器从安全服务器获得医务人员ID,传递给后台的应用服务器。
通过认证身份的传递,安全管理平台为应用程序提供了身份认证服务,是安全管理平台作为安全平台的重要特性之一。
图2认证身份的传递
安全代理服务器用于收集并处理安全域内所有的安全设备产生的信息。安全代理服务器依据安全策略服务器中其管理的安全域相匹配的安全策略对收集到的安全报告进行筛选,把不符合或者不感兴趣的警报都删除掉。但是,并不阻止安全设备产生那些不符合或不感兴趣的报告。最后,安全代理服务器将整理好的安全警报集上传给中心服务器。
为了使信息安全设备产生的安全信息得到动态、有效地控制,安全代理服务器具有以下特征:
1.每一个安全代理服务器都明确知道自己的任务,而且能够执行它。
2.当安全代理服务器对自己的功能有疑问或没有足够的信息处理问题时,它可以向中心分析器汇报。
3.安全代理服务器产生的安全警报集用固定的形式语言描述。
目前将人工智能应用于入侵防御领域大大提高入侵防御系统的性能。引入计算机免疫技术,通过正常行为的学习来识别不符合常态的行为,使系统能够自动学习新的入侵活动,提高检全率和检准率;研究更好的神经网络架构,克服目前基于神经网络的异常检测技术的缺陷。应用遗传算法来识别正常行为与异常行为,提高系统分析能力。
参考文献:
[1]Krajewski,M.,Concept for a Smart Card Kerberos,Proc.15th Nafl Computer Security Conf.,B altimore,Oct.1992,76-83.
[2]文铁华、古士文,信息系统安全的若干关键问题研究[J].中南大学:控制理论与控制工程(专业)博士论文,2003.
作者简介:
蒋觐阳,女,汉族,就职于兰州军区兰州总医院;范红喜,男,汉族,就职于兰州军区兰州总医院。