周培源，彭凯锋

（华中科技大学 信息与系统技术研究所，湖北 武汉 430074）

虚拟实验平台信息安全架构设计

周培源，彭凯锋

（华中科技大学 信息与系统技术研究所，湖北 武汉 430074）

依托“十一五”国家科技支撑计划重点项目《虚拟实验教学环境关键技术研究与应用示范》，构建一个开放、共享、高安全性的虚拟实验共享平台，使用户对实验的使用从传统的分散小群体模式提升到按需使用跨区域第三方运营的共享模式。本文提出了基于USB Key的CA认证体系，设计了虚拟实验网络的安全结构和试验平台的身份认证系统。用户通过USB Key认证登录后，即可使用本域内或远程的并行计算环境，按照系统提供的标准服务规范，与实验系统远程交互。

虚拟实验平台；USB Key；CA认证体系；身份认证系统

传统的实验教学模式下，不同教育机构的师资力量和硬件资源参差不齐，并且缺乏必要的教学交流和信息流通，使得好的教学方案和硬件设施不能普及，同时也浪费了大量的人力和物力资源。因此，优化与重整科技基础资源，构建一个开放、共享的教育平台已成为我国科技工作的当务之急。随着计算机网络技术的迅猛发展，传统的分散小规模的教育方式急需向跨区域、跨平台远程交互方向转变。正是在这种形势发展的推动下，作为传统实验教学的革新产品，虚拟实验应运而生。

由于实验平台的使用者是互联网用户，面对的是身份不同的用户需求，涉及到网络安全和信息的安全传输，因而在试验平台的组网、管理和运营等方面均要考虑到安全性的要求。

本文依托“十一五”国家科技支撑计划重点项目《虚拟实验教学环境关键技术研究与应用示范》，设计了虚拟实验网络安全架构和基于USB Key的虚拟实验平台的身份认证系统。集成虚拟实验教学、管理、运营平台，形成虚拟实验教学第三方公共服务模式及运营机制的虚拟实验系统。

1 虚拟试验平台安全需求分析

虚拟实验平台集群规模大，用户数以百万，身份多样，包括学校、政府、企业、教师、学生等等，因此，用户身份验证、档案管理复杂，必须建立第三方开放的虚拟实验公共服务模式和运营机制，同时要求实验过程中数据的产生和课程成绩的管理必须具备高可信度。目前，构建虚拟实验平台主要面临的问题有：（1）教育实验资源的集成、整合和共享；（2）虚拟实验运营管理平台中应用模块的可互操作性；（3）形成虚拟实验可伸缩、可定制、可扩展的运营管理平台。因而实验平台的构建复杂，安全性要求高，所以本文选择建立技术成熟的CA认证体系[1]，采用USB Key携带数字证书的认证方案[2-3]。

虚拟实验平台的运营过程主要与三种角色交互，即上实验课的用户（学生），实验辅导、考评学生实验的老师及教务管理老师，系统配置、维护、运行等各种管理人员。其中用户分为学历教育用户和非学历教育用户。

学历教育用户，一般为在校学生，便于集中管理、统一设置教学计划。由于学生的流动性大，所以学生的信息由配备有USB Key的学校管理员上报到后台服务器，后台服务器系统根据学生的相关信息建立信息数据库，学生再凭借学号和密码的方式登录实验平台进行试验。

非学历教育用户最大的特点是其社会性和分散性。学员的学历结构差异大，专业结构以及年龄分布分散。这部分用户可以向运营方申请成为会员，运营方为会员建立会员档案，并发放存储数字证书的USB Key。会员根据需求到相应的虚拟实验室选择实验桌确定实验内容，运营方提供即时虚拟实验服务。

如果该试验平台某些模块需要收费和成绩评定，为了防止用户的抵赖和篡改，需要使用数字签名技术对实验结果、成绩等重要信息进行签名。

2 虚拟实验平台网络安全架构

虚拟实验平台的组网引入“三纵三横两个中心”[4]的信息安全保障技术。如图1所示，根据处理信息安全等级的不同，应用环境可划分为核心应用区域、专用应用区域和公共应用区域，每个应用区域都有统一的安全策略和安全防护机制。系统设置安全管理中心和密码管理中心。其中，安全管理中心负责提供认证策略、授权策略、实时访问控制策略、审计策略等管理配置服务；密码管理中心负责提供互联互通密码配置、公钥证书和传统的对称密钥的管理，为信息系统认证和对信息的机密性与完整性保护提供密码服务。

核心区域和应用区域通过局域网相互连接，采用统一的安全策略。安全策略独立于所处理的信息的类型和级别，单一物理设备可以位于不同的应用区域之内。本地和远程用户访问某个区域内的资源时，必须满足该区域的安全策略。同一区域内的不同应用不仅要遵循自己的安全策略，而且要遵循区域统一的安全策略。

这样可以容易在不同层次以及不同区域之间部署物理/逻辑安全防范措施，形成水平和垂直两个方向的多层次的保护，使得高风险节点的信息安全风险被局限在相应的区域内或层次上，而不至于到处蔓延。

图1 虚拟实验平台的组网结构

3 虚拟实验平台中的身份认证系统设计

3.1 CA系统的设计

CA是整个虚拟实验平台安全保障的核心。CA系统将建设一个CA中心（certification authority）和一个RA中心（registration authority），CA系统的所有模块可以安装在同一台服务器上，也可以在多台服务器上安装。为了保证系统的安全，CA根服务器必须位于核心区域，子CA位于专用区域。根CA与外界物理隔离，专用区域CA采用边界控制技术与外界逻辑隔离，管理员通过带有数字证书的USB Key 认证后访问CA服务器，进行证书申请、管理等权限内的操作。

CA系统采用模块化结构设计，由最终用户、RA管理员、CA管理员、注册中心（RA）、认证中心（CA）等构成，其中注册中心（RA）和认证中心（CA）又包含相应的模块，系统架构如图2所示。

图2 CA系统构架

CA系统提供包括证书签发、证书生命周期管理、证书吊销列表（CRL）查询服务、目录查询服务、CA管理、密钥管理和日志审计等功能。在本系统中，CA发放的证书存放在USB KEY中，具备高安全性和可靠性，同时兼具高扩张性，整个C A系统支持多级CA和RA。

图3 CA层次结构

认证体系采用3层结构：第一层根CA，处于离线状态，具有权威性和品牌特性；第二层是由根CA签发的子CA（如域间CA），处于在线状态，它是签发系统用户证书的CA，这一层CA由管理员发布到CA证书发布中心，供域间认证和用户查询；第三层为用户证书，由子CA签发。如图3所示。

3.2 认证系统设计

用户是通过Internet中的Web服务器集群链接到可以提供服务的不同域内的Intranet网，因此用户的操作是基于所有开放的服务，无需关心底层的功能实现。在身份认证上除了权限差异外，都遵循统一的认证规范。

图4 认证系统框架图

认证框架图如图4所示，认证系统主要包括USB Key 、Web服务器、CA服务器、管理中心（域服务器）、边界控制器（入口节点）、应用服务器和数据库。其中：

Web服务器：注册、发布每个域提供的服务、资源列表，每个域信任的认证中心，每个域的入口节点的信息。

管理中心：管理员通过管理中心对CA服务器和后台数据库进行权限内的管理。同时提供对用户申请资源和提交作业的应答。

CA服务器：认证中心。

边界控制器：信息进入离开区域或机构的网络节点。常采用的信息保障技术包括:防火墙、边界护卫、病毒/恶意代码防御、入侵检测、互联控制等。

数据库：建立用户信息数据库和控制信息数据库，以及实验应用数据库。

应用服务器：计算节点集群，实时提供用户的应用要求。

USB Key：存放数字证书。

认证流程主要包括如下环节：

（1）用户在客户端通过虚拟实验的Web服务器集群查询到服务信息；

（2）Web服务器发出回应，并出示服务器证书，显示Web服务器的真实身份。同时，要求用户提交用户证书；

（3）客户端自动验证服务器证书，并采用安全连接方式（HTTPs方式）访问信息系统（安全管理中心），进行系统登录；

（4）验证登录的信息系统的真实性。如果验证为真，用户选择保存在USB KEY上的用户证书，进行提交；

（5）信息系统验证用户提交的用户证书，判断用户的真实身份；

（6）用户身份验证通过后，认证中心解析用户证书，获得用户信息，根据用户信息，查询信息系统的访问控制列表（ACL），获取用户的访问授权；

（7）获得用户的访问权限后，在用户浏览器和信息系统服务器之间建立SSL连接，用户可以访问到请求的资源；

（8）身份认证和访问控制流程结束，用户成功登录信息系统。

以上认证的过程主要针对远程登录的教务员或非学历教育的用户，以学历教育用户为例。其流程如下：

（1）学生信息库建立。教务员通过USB Key登录到响应资源的管理中心，将需要做实验的学生名单（学号、姓名等身份信息）上报到后台服务器，后台服务器系统根据学生的相关信息建立信息数据库（账号）；

（2）学生实验帐号激活。学生上实验课时需要教师或实验室管理员通过USB key登陆系统，激活学生账号，设置实验内容及实验时间，学生才能登陆系统进行实验；

（3）学生登陆。学生登陆界面输入学号、密码等相关信息，后台服务器根据将接受到的信息与数据库存储信息比对，如果正确则允许学生用户使用该试验平台。

考虑到时效性和安全性，CA中心、应用服务器以及后台数据库的管理员既可直接通过管理中心认证登录进行管理，也可以通过Web服务器进行认证登录。但是根CA服务器和一些重要信息备份必须与其他资源物理隔离，所以对于这部分资源的管理一般采取现场认证管理。

4 结语

虚拟实验平台集群规模大，要形成可伸缩、可定制、可扩展的虚拟实验运营管理平台，其搭建过程复杂，安全性要求高。本文设计的虚拟实验网络安全结构可以很好的解决远程并行计算环境的安全交互和运营管理。由于实验平台面对的用户身份多样，分为学历用户和非学历用户，且用户对实验平台的使用和需求各异，针对运营方面临的运营困难和安全性的要求，本为提出了基于USB Key（CA认证体系）的试验平台身份认证系统。很好的解决了运营过程中各级管理权限混淆，层次不清的难题，以及根据用户需求不同制定不同实验方案的途径。

对于CA认证而言，其认证效率受证书链长度的影响。显然，证书链越短，认证的效率越高。本文提出的三级证书结构很好的解决了效率的问题。这种布局避免了二级结构带来的证书臃肿的弊端，不利于管理，一旦受损，经济损失惨重。各个域的CA由根CA发放，域内用户的数字证书由域CA签发，这样便于证书的管理，也有利于整个实验平台的安全组网，很好地满足了实验平台的扩展性要求。从总体而言，该认证框架具有结构简单、认证效率高、成本低、高安全、高可扩张性和兼容性的特点。

[1] 荆继武, 林璟锵, 冯登国. PKI技术[M]. 北京: 科学出版社, 2008.

[2] 张志红.智能卡安全技术及在PKI中的应用[J].网络安全技术与应用,2005(6):9-12.

[3] Steffen Frischat. The next generation of USB security tokens[J]. Card Technology Today, 2008, 20(6): 10-11.

[4] 沈昌祥. 基于可信平台构筑积极防御的信息安全保障框架[J]. 信息安全与通信保密, 2004(9):17-18.

[5] Tosic V, Ma W, Pagurek B. Web service offerings infrastructure-a management Infrastructure for XML web services[J].IEEE/IFIP Network Operations and Management SymPosium, 2004.

[6] Thompson M, Essiari A, Mudumbai S. Certificate-based authorization policy in a PKI environment [J]. ACM Transactions on Information and System Security. 2003,6(4):566-588.

[7]Zhao Y, Liu JQ. An operating system trusted security model for important sensitive information system[C]. In the proceedings of IsDPE 2007, 465-468.

[8] Li MeiHong, Liu JiQiang. USB key-based approach for software Protection[J]. IEEE,Digital Object Identifier:10. 1109/ICIMA. 2009. 5156582. 2009: 151-153.

[9] Polk W T, Hastings N E, MalPani A Public key infrastructures that satisfy security goals Internet Computing[J]. IEEE, 2003, 7(4): 60-67.

[10] Young-SukShin. Virtual experiment environment’s design for science education[J]. IEEE, 2004, 2(3): 62-67.

[11] Dawei Zhang. Network Security Middlewate Based on USB Key[J]. IEEE Digital Object Identifier:10.1109/sec.2008, 8: 77-81.

[12] 杨义先, 钮心忻. 网络安全理论与技术[M]. 北京: 人民邮电出版社, 2003.

[13] 杨帆. USBKEY体系研究与技术实现[D]. 武汉: 武汉大学, 2004.

[14] 钟元生. 电子商务信任管理模型研究[M]. 合肥: 中国科学技术大学出版社, 2005.

[15] 周敏清. 基于USB智能卡的文件加密方法[J]. 科技广场，2006(7):30-32.

[16] 马晓阳. 基于网络的虚拟电子实验室的构建与应用[J].电子科技,2008,(11).

Design of Information Security Architecture for Virtual Experiment Platform

ZHOU Pei-yuan, PENG Kai-feng

(Institute of Information & System Technology, Huazhong University of Scievice and Technology, Wuhan Hubei 430074, China)

Relying on key projects of the “Eleventh Five-Year” National Science and Technology Supportive Key Project Key Technology Research and Practice Demonstration of the Virtual Experiment and Teaching Environment, the paper aims to construct an open, mutual sharing and highly-secure virtual experiment sharing platform, which enable users to promote the traditional separate small group mode to cross-regional sharing mode of third-party operating in accordance with demand. This paper proposes the CA certification system based on USB key by designing a security architecture of virtual experiment network and an identity authentication system of trial platform. Therefore, the users are able to take advantage of regional or remote parallel computing environment after logging in USB Key certification and accomplish remote interaction with the experimental system in accordance with standard services provided by the system specifications.

virtual experiment platform；USB Key；CA certification system；identity authentication system

TP309

A

1009－5160(2010)03－0045－04

周培源(1965-)，男，副教授，研究方向：嵌入式系统与信息安全.

国家科技支撑计划“虚拟实验教学环境关键技术研究与应用示范”(2008BAH29B00).