基于互联网的民航城市值机系统信息安全性研究

2011-11-27薛志兵

中国民航大学学报 2011年3期

薛志兵，蔺荻

（中国民航信息网络股份有限公司研发中心，北京 100029）

随着自助值机系统的不断发展，目前绝大部分机场内均设有隶属于不同航空公司或机场的自助值机设备，在减轻值机柜台工作压力的同时，大大简化了旅客出行手续，也提高了航空公司和机场的服务水平和旅客满意度。

为了进一步扩大自助值机系统的应用场景，可把自助值机系统的应用范围扩大至旅客所居住的酒店、饭店、大型写字楼等地，这样能够更加快捷、方便地完成原本只能在机场才能完成的值机操作。由于机场自助值机设备所连接的网络均为民航专用网络，而将民航的专用网络部署于安全性相对较差的酒店等非传统民航业务区域，系统成本开销和安全性都得不到有效的保证。正是基于上述的考虑，我们提出了基于互联网安全的民航城市值机系统。

目前，其它行业相类似的产品，如遍布于城区各处的银行自助设备，其与银行主机之间的通信通常采用的是以下两种方式：

1）金融系统内部已经建成全国省、市、县各级金融通信专网的骨干网、接入网[1]。

2）针对数量众多、分散的小营业网点、银行POS机、ATM机等，采用了基于互联网的虚拟专网技术（VPN，Virtual Private Network），处在同一个封闭VPN专网中[2]。

与传统的广域网相比，虚拟专用网能够减少运营成本以及降低远程用户的连接成本，其固定的通讯成本有助于企业更好地了解自己的运营开支。但是，基于互联网的VPN可靠性和性能并不受企业直接控制，必须依靠提供虚拟专用网的互联网服务提供商来保证服务的启动和运行。不同厂商的虚拟专用网产品和解决方案并不是总是相互兼容，许多厂商不愿意或没有能力遵守虚拟专用网技术标准，因此，设备的混合搭配可能引起技术难题[3]。

基于上述考虑，通过分析系统的安全性要求，提出了直接接入互联网的城市值机系统，尤其是系统在安全性方面的设计考虑。

1 系统安全性考虑

在计算机技术迅速发展的今天，城市值机系统安全性主要侧重于以下两个方面：①如何有效的抵御外界对于网络的攻击和入侵，避免系统资源被无效占用甚至导致系统瘫痪，如何保证7×24对客户提供高质量的服务；②如何保证敏感信息不被非授权访问、篡改或破坏，保证核心数据的安全性和机密性[4]。特别是在民航系统中，这两点显得更加重要。

为了能够得到互联网所带给我们的便捷和成本的降低，同时达到民航网络的安全要求，在基于互联网的民航城市值机系统中，一方面加强了互联网接入民航专网的安全性限制，同时进行了如下几个方面的安全性研究和实现：①基于角色身份验证的访问控制；②数据通信的加密；③安全审计。

2 基于角色身份验证的访问控制

访问是使信息在主体和对象间流动的一种交互方式[5]。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权（如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计。

访问控制策略一般有以下几种方式：

1）自主型访问控制（Discretionary Access Control，DAC）：用户/对象来决定访问权限。信息的所有者来设定谁有权限来访问信息以及操作类型，是一种基于身份的访问控制，如UNIX权限管理。

2）强制性访问控制（Mandatory Access Control，MAC）：系统来决定访问权限。安全属性是强制型的规定，它由安全管理员或操作系统根据限定的规则确定的，是一种规则的访问控制。

3）基于角色的访问控制：角色决定访问权限。用组织角色来同意或拒绝访问。比MAC、DAC更灵活，适合作为大多数公司的安全策略，但对一些机密性高的政府系统部适用。

4）规则驱动的基于角色的访问控制：提供了一种基于约束的访问控制，用一种灵活的规则描述语言和一种信任规则执行机制来实现。

5）基于属性证书的访问控制：访问权限信息存放在用户属性证书的权限属性中，每个权限属性描述了一个或多个用户的访问权限。但用户对某一资源提出访问请求时，系统根据用户的属性证书中的权限来判断是否允许访问。

基于角色的访问控制是资讯安全领域中，一种较新且广为使用的访问控制机制，其不同于强制访问控制以及自由选定访问控制直接赋予使用者权限，而是将权限赋予角色。1996年，莱威·桑度（Ravi Sandhu）等人在前人的理论基础上，提出基于角色的访问控制模型，故该模型又被称为RBAC96。之后，美国国家标准局重新定义了基于角色的访问控制模型，并将之纳为一种标准，称之为NIST RBAC[6]。

基于角色的访问控制模型是一套较强制访问控制以及自由选定访问控制更为中性且更具灵活性的访问控制技术，是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：①减小授权管理的复杂性，降低管理开销；②灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中，角色是为了完成各种工作而创造，用户则依据其责任和资格来被指派相应的角色，用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来以囊括更广泛的客观情况。

RBAC支持三个著名的安全原则：最小权限原则，责任分离原则和数据抽象原则。最小权限原则之所以被RBAC所支持，是因为RBAC可将其角色配置成其完成任务所需要的最小的权限集。责任分离原则可通过调用相互独立互斥的角色来共同完成敏感的任务而体现。数据抽象可通过权限的抽象来体现，然而这些原则必须通过RBAC各部件的详细配置才能得以体现。

RBAC认为权限授权实际上是 Who、What、How的问题[7]。在 RBAC 模型中，who、what、how 构成了访问权限三元组，也就是“Who对What（Which）进行How的操作”。①Who：权限的拥用者或主体（如Principal、User、Group、Role、Actor等）；②What：权限针对的对象或资源（Resource、Class）；③How：具体的权限（Privilege，正向授权与负向授权）；④Operator：操作。表明对What的How操作。也就是Privilege+Resource；⑤Role：角色，一定数量的权限的集合。权限分配的单位与载体，目的是隔离User与Privilege的逻辑关系；⑥Group：用户组，权限分配的单位与载体。权限不考虑分配给特定的用户而给组。组可以包括组（以实现权限的继承），也可以包含用户，组内用户继承组的权限。User与Group是多对多的关系。Group可以层次化，以满足不同层级权限控制的要求。

而身份验证是指证实主体的真实身份与其所声明的身份是否相符的过程。这一过程是通过特定的协议和算法来实现的，实现机制如下：

服务器在提供用户申请的服务之前，先要认证用户是否是这项服务的合法用户，而服务器不需向用户证明自己的身份。这样一方面确保了服务侧的安全性，另一方面也降低了安全控制所带来的系统开销。同时，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限。用户在访问系统前，经过角色认证而充当相应的角色，用户获得特定的角色后，系统可以通过对于该角色的控制来达到访问控制的目的。

部署于非传统民航业务区域的城市值机系统客户端，在每次访问部署于互联网的值机应用前，需与值机应用服务端的身份验证模块进行身份校验，校验的过程是由客户端将本地授权信息与本台客户端的硬件信息通过加密后传送至身份验证模块，在服务端通过校验后，将加密后的授权信息传送回客户端，完成身份验证，客户端同时获得相应的角色信息，用以访问后续服务。系统的验证及登录过程如图1所示。

图1 验证及登录过程Fig.1 Process of verification and login

3 系统数据通信加密

基于互联网的传输方式对于民航系统的实时数据通信网络的安全和信息安全有着巨大的挑战，为此，提出采用非对称加密算法来最大限度的提高安全性。

对称加密算法[6]是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。而与公开密钥加密算法比起来，对称加密算法能够提供加密和认证却缺乏了签名功能，使得使用范围有所缩小。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES[5]。

对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。假设两个用户需要使用对称加密方法加密然后交换数据，则用户最少需要2个密钥并交换使用，如果企业内用户有n个，则整个企业共需要n（n-1）个密钥，密钥的生成和分发将成为企业信息部门的恶梦。对称加密算法的安全性取决于加密密钥的保存情况，但要求企业中每一个持有密钥的人都保守秘密是不可能的，他们通常会有意无意的把密钥泄漏出去——如果一个用户使用的密钥被入侵者所获得，入侵者便可以读取该用户密钥加密的所有文档，如果整个企业共用一个加密密钥，那整个企业文档的保密性便无从谈起。

而非对称加密算法（asymmetric cryptographic algorithm）需要一对密钥：公开密钥（public key）和私有密钥（private key）[5]。如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。这种方式密钥管理方便，可实现防止假冒和抵赖，更适合网络通信中的保密通信要求。非对称加密的代表算法是RSA算法。

而数字签名技术[8]是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数[9]对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”[9]，在技术和法律上有保证。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

非对称加密和数字签名传统应用流程和场景为：

1）甲方构建密钥对，将公钥公布给乙方，将私钥保留，如图2所示。

2）甲方使用私钥加密数据，然后用私钥对加密后的数据签名，发送给乙方签名以及加密后的数据；乙方使用公钥、签名来验证待解密数据是否有效，如果有效使用公钥对数据解密，如图3所示。

3）乙方使用公钥加密数据，向甲方发送经过加密后的数据；甲方获得加密数据，通过私钥解密，如图4所示。

图2 构建、公布、保留密钥标过程Fig.2 Build，Bublish，keep key pair process

图3 加密、解密、数字签名过程（甲方向乙方）Fig.3 Process of encryption，decryption and digital signature（fromleft to right）

图4 加密、解密、数字签名过程（乙方向甲方）Fig.4 Process of encryption，decryption and digital signature（from right toleft）

在本系统中，采用RSA加密算法，与传统应用场景不同的是，通讯双方各自拥有自己的一对私钥和公钥，发送方使用对方的公钥加密要发送的数据，接收方使用自己的私钥解密数据。通信机制如下：①客户端的私钥在初次投产安装时动态生成。根据此私钥生成该客户端唯一公钥，并把公钥发送至服务器端保存；②服务器端有自己的私钥，并向所有客户端公布自己的公钥，客户端向服务器端传送的关键数据，使用服务器的公钥加密。同样，服务器向客户端下发的关键数据也必须使用该客户端的公钥加密。图5为客户端和服务器端数据通信的加密和解密过程。

图5 加密及解密过程Fig.5 Process of encryption and decryption

4 系统安全审计

计算机安全审计[10]是通过一定的策略，利用记录和分析历史操作事件发现系统的漏洞并改进系统的性能和安全[11]。审计是通过对所关心的事件进行记录和分析来实现的，将信息系统中的各种事件发生时的关键要素进行抽取并形成可记录的素材，并存储于指定的位置，形成日志。通过特定的审计策略和规则对已经形成的日志文件进行有效分析，得出某种时间发生的事实和规律，形成审计分析报告。

城市值机系统详细记录了用户的调用时间和行为。为了便于管理，通常将一定时段的日志存为一个文件，并在固定的时间点进行日志文件的切换。通过审计分析程序可分析得到系统中潜在的侵害、攻击等威胁事件，同时也可以快速定位系统的故障，便于系统维护。图6中为审计分析中的访问量图。