张 忠

（中核核电运行管理有限公司，海盐 314300）

1 引言

本文主要探讨在新的安全形势下，在商业广域网如何结合新的安全技术进行信息数据的完整性保护，分析在非可信网络环境下，基于PKI的数字签名技术如何在安全性和可用性间进行平衡，并总结可行的解决方案。

2 技术背景

2.1 PKI签名技术

数字签名过程：

1）数据明文C1（业务数据、文档、操作日志、文本等）通过摘要算法，生成摘要数据M1。

2）使用用户私钥对摘要数据进行签名，生成签名结果S1。

3）将C1、S1保存到安全区域。

签名验证过程：

1）获取明文数据C1和签名数据S1。

2）通过相同的摘要算法计算出摘要数据M2。

3）使用用户公钥对签名数据S1进行解密，得摘要数据M3。

4）比较M2和M3是否一样，确认签名数据是否有效。

2.2 安全态势感知技术

网络安全态势感知是一个比较新的概念，是指在大规模网络环境中，通过采集、清洗、归一化、综合分析网络的多维数据，能够对网络安全整体情况进行理解、分析、预测的综合技术。随着多网融合的技术趋势发展，网络环境正朝复杂化方向发展。采用安全态势感知技术，可以对网络空间的安全情况进行整体分析，而非单点技术的防护。

3 现状分析

数据签名可适用于许多场合，比如业务操作防篡改、电子文档完整性验证、跨域间文件传输完整性保护、审批信息的防抵赖等。数据签名的安全保障源于非对称密码体系的私钥的专有性，通常私钥存储于有硬件电路保护的安全设备，如USBKEY，仅有持有人本身才有权限进行私钥操作，访问控制则一般是PIN码保护。

4 解决方案

数字签名采用私钥保护PIN码缓存技术提升了用户使用体验，也带来了一定的安全风险。此安全风险在物理隔离网络尚且可控，但在类似商业广域网环境下，由于和外网环境为逻辑隔离并提供VPN远程拔入，网络环境相对复杂，终端安全状况和隔离内网有明显区别。本文结合商业广域网的安全需求，提出一种结合态势感知技术的数字签名保护方案，旨在解决数字签名技术在非可信网络环境中安全性和可用性的矛盾。基本思路如下：

1）在商业广域网部署安全态势感知系统，实现给终端环境的动态分析、评估和预警。

2）在商业广域网部署签名安全策略中心，与应用系统及安全态势感知系统对接，对终端环境进行安全评估并应用对应的安全策略。

3）在应用系统部署签名安全控制程序，根据签名安全策略中心的策略，执行相应的签名鉴权方式。

系统逻辑流程图示例如下：

结合安全态势感知系统后的客户端签名鉴权过程：

1）客户端向应用系统发起签名请求。

2）应用系统向签名安全策略中心获取签名控制策略。

3）签名安全策略中心向态势感知系统获取终端环境安全态势评估结果。

4）签名安全策略中心根据终端环境安全态势评估结果应用不同级别的签名控制策略。

5）应用系统将签名安全控制程序设置控制策略。

6）签名安全控制程序根据控制策略，决定是否要求用户进行再次鉴权。

从上述流程可以看出，签名私钥的鉴权不再是固定方式，而是通过对终端环境进行综合态势分析后，依据终端所处于安全风险状态，采用相应的鉴权方式。具体而言，在内部网络的可信客户端，用户可能仅需要输入一次保护PIN码，而对于VPN远程接入的客户端，用户可能每次签名操作都需要输入PIN码，或由于安全风险过高，直接拒绝用户进行签名业务。

5 结束语

数字签名作为一种普适性需求，在许多情况下都有需要，通过对业务关键信息的签名保护，可以很好解决安全管理存在的一些业务及管理问题。但对于数字签名在开放网络中的使用，由于传统的PIN码缓存技术，存在较大的安全风险，需要结合新的安全技术手段来规避风险。本文针对商业广域网的应用环境，初步探索了采用态势感知技术和数字签名技术的融合方案，通过对终端安全态势的分析，实现PIN码鉴权的动态控制，达到应用系统安全性和可用性的平衡，最终实现应用系统的便捷使用、安全使用的良好效果。

[1] 周春楠.综合审计与责任分析系统关键技术与设计原理[J].电信科学，2013（11）.

[2] 赵艳，许榕生.信息安全审计系统的研究综述[J].见第十三届全国核电子学与核探测技术学术年会论文集，2006.

[3] 李晓军.浅谈军工企业信息系统的安全防范[J].信息通讯，2014（06）.

[4] 罗清元，王晓晓.数字签名技术的研究及应用[J].计算机安全，2008（04）.