网络安全访问控制系统设计分析

王亮 张虹霞

摘  要： 普通Web网络安全访问控制系统不能随着并发用户数量的增加而降低平均响应时间和平均登录时间。为了解决此问题，设计基于大数据的Web网络安全访问控制系统。通过Web三级安全网络架构设计、大数据环境下系统PKI/CA模块设计、网络安全隔离模块设计，完成系统硬件设计;通过系统数据库设计、集中认证/授权模块设计、安全访问控制服务器设计，完成系统软件设计。实验结果表明，应用基于大数据的Web网络安全访问控制系统后，用户平均响应时间和平均登录时间得到有效控制。

关键词： 大数据环境; Web网络安全; PKI/CA模块; 访问控制; 安全隔离; 系统设计

中图分类号： TN915.08?34; TP319                 文献标识码： A                 文章编号： 1004?373X（2018）10?0100?05

Abstract： Since the common Web network security access control system cannot reduce the average response time and the average login time as the number of concurrent users increases， a Web network security access control system based on big data was designed. The hardware design of the system was accomplished by means of the design of three?level security Web network architecture， PKI/CA module in big data environment， and network security isolation module. The software design of the system was accomplished by means of the design of system database， centralized authentication/authorization module， and security access control server. The experimental results show that the Web network security access control system based on big data can effectively control the average response time and the average login time of users.

Keywords： big data environment; Web network security; PKI/CA module; access control; security isolation; system design

0  引  言

傳统Web网络安全访问控制系统可以对信息系统的安全体系、目录结构等功能模块，提供分析与整理服务，并通过中心控制结构，对所有网络服务进行安全监控。访问控制作为该系统的核心功能，需要以LDAP用户目录库和PKI结构作为系统公钥及多重安全防护措施的运行基础[1]。为了保证Web网络安全访问控制系统的正常运行，还需建立专门的综合防火墙结构，并以代理服务、综合防火墙等多项技术，对其进行统一约束。但普通Web网络安全访问控制系统只能有效处理使用者的单点登录问题，若并发用户数量持续增加，系统的平均响应时间和平均登录时间，将会因为巨大的访问压力而逐渐降低，进而导致系统整体运行速度变得越来越慢。大数据技术是一项能根据数据大小，决定待考虑数据潜在价值和携带信息意义的技术，不仅能够通过提升数据质量来提高数据的真实性，也能通过扩充数据来源渠道的方式降低数据复杂性[2]。可以说，合理地利用大数据技术，将低成本创造高价值的目标变成了现实。通过引入大数据技术的方式，对原有系统进行改进，建立基于大数据的Web网络安全访问控制系统，充分减轻系统的访问压力，大大降低平均响应时间和平均登录时间。

1  Web网络安全访问控制硬件系统设计

大数据环境下，Web网络安全访问控制硬件系统设计由Web三级安全网络架构设计、PKI/CA模块设计、网络安全隔离模块设计三部分组成，具体设计步骤如下所述。

1.1  Web三级安全网络架构设计

Web三级安全网络架构，包括外部服务网、内部服务网和安全生产网。其中，外部服务网主要负责与公共网络及外部网络相连，其表现形式包括大客户系统、对外门户网站等;内部服务网主要负责连接外部服务网与安全生产网，对内起到保护作用，对外起到连接作用，所有从外网接入的数据，都需在内部服务网进行安全访问检测[3?4];安全生产网是整个Web网络安全访问控制系统硬件的核心部分，主要负责对数据提供安全保障，以确保待使用数据，可在网络系统中直接进行安全访问。具体Web三级安全网络架构形式如图1所示。

1.2  大数据环境下系统PKI/CA模块设计

PKI/CA模块也可以叫作数字证书模块，是进行网络安全访问过程中，身份认证及数据加密的重要步骤。在PKI/CA模块设计过程中，需要建立包含CA层和RA层的二层结构。其中CA层负责在大数据环境下，调取网络安全证书库系统中的证书，并将证书发布，生成完整的密钥系统[5]。RA区也可称为二级CA区，主要负责对CA区的安全数据进行审计，再将完成审计的数据传输给服务网，完成证书数据的注册和发布。具体模块结构示意图如图2所示。

1.3  硬件系统网络安全隔离模块设计

网络安全隔离模块部署在与内部网相连的应用服务器上，是统一内网与外网应用请求的重要结构，不仅可以实现数据的采集、转化和整合，也可以实现对网络安全数据的实时保护[6?7]。若用户端由外网发出向内网的访问控制请求时，网络安全隔离模块会自动将控制请求取出，转换成系统默认的数据格式后，再将完成转换的数据交还给系统，进行下一步传输。具体模块设计思想如图3所示。

2  Web网络安全访问控制软件系统设计

在第1节已完成大数据环境下Web网络安全访问控制硬件系统的搭建。为了保证系统的正常运行，还需按照如下步骤，完成软件系统搭建。

2.1  软件系统数据库设计

大数据环境下，Web网络安全访问控制软件系统数据库可认为是实现网络安全访问控制和集中授权认证的权利机制。其工作流程起始于对PKI/CA模块颁发的数字证书的确认。通过此步骤，可以检查来访数据所具有的权限。再根据每个数据格式的不同，确定不同的数据内涵，对应受到使用限制的网络安全数据，进行检查与保护措施[8?9]。对外部数据库来说，其主要工作流程包括控制外部访问模块、数据信息的安全隔离、控制模块与数据信息间的信息交换等步骤。具体数据库逻辑设计结构如图4所示。

2.2  軟件系统集中认证/授权模块设计

为了保证大数据环境下Web网络安全访问控制系统的数据安全性，需要建立集中认证/授权模块。集中认证/授权模块设计思想是对系统中一切网络安全数据进行身份的认证和服务器的授权，经过认证/授权处理后的资源，才可以获得继续传播、浏览的资格[10?11]。未完成认证/授权处理的数据权限，由认证服务器统一管理。若这些数据始终没有得到调用机会，则它们的保护密钥和数据私钥将永远不会得到系统认证，也就意味着该数据永远没有得到授权机会。该模块设计思想示意图如图5所示。

2.3  安全访问控制服务器设计

安全访问控制服务器由外网控制服务器和内网控制服务器两部分组成。其中，外网控制服务器具有外网反向代理功能，且直接与不同的应用系统相连。内网控制服务器具有内网反向代理功能，直接与Internet相连，Internet网络与多个客户端主机间始终保持串联关系[12?13]。内、外网控制服务器间通过物理隔离设备连接，既保证二者间的顺利交流，也阻隔二者间的相互影响。安全访问控制服务器结构示意图如图6所示。

3  实验结果与分析

3.1  实验参数设置

为了验证该系统的实用性价值，以2台配置相同的计算机作为实验对象，其中1台搭载大数据环境下Web网络安全访问控制系统，作为实验组;另1台搭载普通Web网络安全访问控制系统，作为对照组。实验开始前，按照表1完成相关实验参数设置。

表1中，实验参数从上到下依次代表网络安全参数、访问控制总量、预计响应时间、预计登录时间、系统连通率、数据总量，实验组预期平均响应时间、预期平均登录时间均低于对照组，其他数据均与实验组保持一致。

3.2  平均响应时间对比

完成实验参数设置后，令实验组、对照组系统同时开始工作，分别对比当并发用户数量为500和1 000时，两组的平均响应时间。系统平均响应时间与ESF指标呈正比关系，当ESF指标较大时，系统平均响应时间也较长，反之则较短。具体对比结果如图7、图8所示。

分析图7可知，当并发用户数量为500时，对照组平均响应时间最大值达到1.43 s，实验组平均响应时间最大值仅为0.78 s，对照组平均响应时间恒大于实验组。分析图8可知，当并发用户数量为1 000时，对照组平均响应时间最大值达到3.41 s，实验组平均响应时间最大值仅为1.47 s，对照组平均响应时间恒大于实验组。所以，可证明应用大数据环境下Web网络安全访问控制系统，可随着并发用户数量的增加，降低平均响应时间。

3.3  平均登录时间对比

完成平均响应时间对比后，保持两组系统的工作状态，分别对比当并发用户数量为500和1 000时，两组系统的平均登录时间。系统平均登录时间与ESF指标呈反比关系，当ESF指标较大时，系统平均登录时间较短，反之则较长。具体对比结果如图9、图10所示。

分析图9可知，当并发用户数量为500时，对照组平均登录时间最大值仅为0.62 s，实验组平均登录时间最大值达到1.27 s，对照组平均登录时间恒小于实验组。分析图10可知，当并发用户数量为1 000时，对照组平均登录时间最大值仅为1.62 s，实验组平均登录时间最大值达到3.65 s，对照组平均登录时间恒小于实验组。所以，可证明应用大数据环境下Web网络安全访问控制系统，可随着并发用户数量的增加，降低平均登录时间。

4  结  语

综上，本文完成大数据环境下Web网络安全访问控制系统设计，并且通过实验证明，该系统在降低平均响应时间、平均登录时间方面，确实具备极强的实用可行性。

参考文献

[1] 谢榕，刘亚文，李翔翔.大数据环境下卫星对地观测数据集成系统的关键技术[J].地球科学进展，2015，30（8）：855?862.

XIE Rong， LIU Yawen， LI Xiangxiang. Key technologies of earth observation satellite data integration system under big data environment [J]. Advances in earth science， 2015， 30（8）： 855?862.

[2] 徐建闽，王钰，林培群.大数据环境下的动态最短路径算法[J].华南理工大学学报（自然科学版），2015，43（10）：1?7.

XU Jianmin， WANG Yu， LIN Peiqun. A dynamic shortest path algorithm for big data [J]. Journal of South China University of Technology （Natural science edition）， 2015， 43（10）： 1?7.

[3] 王晰巍，张长亮，蔡佳铭，等.大数据环境下中美高校信息素养培养模式比较研究[J].图书情报工作，2016，60（11）：29?35.

WANG Xiwei， ZHANG Changliang， CAI Jiaming， et al. Comparative study of information literacy training models in Chinese and American universities in big data environment [J]. Library and information service， 2016， 60（11）： 29?35.

[4] 田新，肖钰麟，廖芬.大数据环境下企业管理模式创新研究[J].湖北理工学院学报（人文社会科学版），2016，33（3）：43?47.

TIAN Xin， XIAO Yulin， LIAO Fen. Research on the innovation of enterprise management mode with big data [J]. Journal of Hubei Polytechnic University （Humanities and social sciences）， 2016， 33（3）： 43?47.

[5] 虞颖映，马凌飞，胡天天，等.大数据环境下医学信息服务平台研究与实践[J].医学信息学杂志，2016，37（12）：72?76.

YU Yingying， MA Lingfei， HU Tiantian， et al. Research and practice of medical information service platform under the big data environment [J]. Journal of medical informatics， 2016， 37（12）： 72?76.

[6] 侯瑞霞，孙伟，曹姗姗，等.大数据环境下林业资源信息云服务体系架构：设计与实证[J].中国农学通报，2016，32（2）：170?179.

HOU Ruixia， SUN Wei， CAO Shanshan， et al. Cloud service architecture of forestry resource information in big data environment?design and verification [J]. Chinese agricultural science bulletin， 2016， 32（2）： 170?179.

[7] 潘志宏，万智萍，谢海明.大数据环境下高校智慧移动学习平台的构建研究[J].实验技术与管理，2017，34（4）：161?163.

PAN Zhihong， WAN Zhiping， XIE Haiming. Research on construction of smart mobile learning platform in colleges and universities based on big data [J]. Experimental technology and management， 2017， 34（4）： 161?163.

[8] 王红芳，姜功恒，张凯兵.大数据环境下图书馆学科服务的SWOT分析与服务策略[J].农业图书情报学刊，2015，27（10）：180?183.

WANG Hongfang， JIANG Gongheng， ZHANG Kaibing. SWOT analysis and tactics of discipline service in libraries in the big data environment [J]. Journal of library and information sciences in agriculture， 2015， 27（10）： 180?183.

[9] 陈善学，杨政，朱江，等.一种基于累加PSO?SVM的网络安全态势预测模型[J].计算机应用研究，2015，32（6）：1778?1781.

CHEN Shanxue， YANG Zheng， ZHU Jiang， et al. Network security situation prediction method based on PSO?SVM [J]. Application research of computers， 2015， 32（6）： 1778?1781.

[10] 李凤华，殷丽华，吴巍，等.天地一体化信息网络安全保障技术研究进展及发展趋势[J].通信学报，2016，37（11）：156?168.

LI Fenghua， YIN Lihua， WU Wei， et al. Research status and development trends of security assurance for space?ground integration information network [J]. Journal on communications， 2016， 37（11）： 156?168.

[11] CHEN G， GONG Y， XIAO P， et al. Physical layer network security in the full?duplex relay system [J]. IEEE transactions on information forensics & security， 2015， 10（3）： 574?583.

[12] LIYANAGE M， ABRO A B， YLIANTTILA M， et al. Opportunities and challenges of software?defined mobile networks in network security [J]. IEEE security & privacy， 2016， 14（4）： 34?44.

[13] ZHANG Y. Research on the computer network security evaluation based on the DHFHCG operator with dual hesitant fuzzy information [J]. Journal of intelligent & fuzzy systems， 2015， 28（1）： 199?204.