跨域數(shù)據(jù)交換網(wǎng)絡(luò)信任服務(wù)體系總體設(shè)計與技術(shù)實現(xiàn)

文/李一 馮楠 譚順成

為全面推進經(jīng)濟、科技、教育、人才等各個領(lǐng)域的融合，在更廣范圍、更高層次、更深程度上把現(xiàn)代化建設(shè)與經(jīng)濟社會發(fā)展結(jié)合起來，跨域的數(shù)據(jù)交互是其中的關(guān)鍵需求。為打通跨域數(shù)據(jù)的壁壘，真正形成跨域數(shù)據(jù)的深度融合，需要建立跨域數(shù)據(jù)的交換平臺，特別是跨域數(shù)據(jù)交換網(wǎng)絡(luò)信任服務(wù)體系的設(shè)計和實現(xiàn)，是一項涉及面廣、集成度高、保密性高、整體性強的系統(tǒng)工程。

1 建設(shè)需求

跨域數(shù)據(jù)交換所需的網(wǎng)絡(luò)是不同于傳統(tǒng)信息網(wǎng)絡(luò)的大型復(fù)雜結(jié)構(gòu)的網(wǎng)絡(luò)。與現(xiàn)實中的組織架構(gòu)相一致，大 型復(fù)雜網(wǎng)絡(luò)分層級、分區(qū)域，在應(yīng)用層上有跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的多系統(tǒng)協(xié)同和數(shù)據(jù)共享的需求，需構(gòu)建新一代信任服務(wù)體系，實現(xiàn)跨域網(wǎng)絡(luò)三個網(wǎng)絡(luò)中各局部網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用之間互信、互認、互聯(lián)、互通、互操作，支撐各領(lǐng)域業(yè)務(wù)應(yīng)用系統(tǒng)和用戶的跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的協(xié)同和共享服務(wù)。

1.1 網(wǎng)絡(luò)資源統(tǒng)一管理的需求

跨域融合網(wǎng)絡(luò)中承載著多個網(wǎng)絡(luò)中各自、各級部門大量的涉及辦公、管理、協(xié)同、共享等的業(yè)務(wù)應(yīng)用系統(tǒng)，很多重要業(yè)務(wù)應(yīng)用需要跨部門、跨地區(qū)、跨系統(tǒng)、跨安全域進行業(yè)務(wù)協(xié)同。受政務(wù)、商業(yè)和安全因素的影響，跨域網(wǎng)絡(luò)彼此互不信任，各自內(nèi)部的局部信任系統(tǒng)之間也難以跨域建立信任關(guān)系。在跨域交換網(wǎng)絡(luò)中構(gòu)建統(tǒng)一信任服務(wù)體系的基礎(chǔ)是建立資源統(tǒng)一管理服務(wù)。在跨域交換網(wǎng)絡(luò)中用戶、網(wǎng)絡(luò)、應(yīng)用和信息等全網(wǎng)資源中存在大量具有公共屬性和共享屬性的資源，在實際業(yè)務(wù)中這些資源被重復(fù)建設(shè)、分散管理。為方便資源的有效利用，需要對全網(wǎng)資源進行統(tǒng)一管理，形成資源信息的注冊、發(fā)布、共享和查詢等機制，能夠滿足跨域交換融合網(wǎng)絡(luò)中資源共享和高效利用的機制，為跨域網(wǎng)絡(luò)之間的互信、互任、互聯(lián)、互通打下堅實基礎(chǔ)。

1.2 跨域網(wǎng)絡(luò)統(tǒng)一資源認證服務(wù)需求

跨域網(wǎng)絡(luò)融合的信任服務(wù)系統(tǒng)中的身份認證服務(wù)系統(tǒng)，不僅要滿足對用戶身份認證的需求，還應(yīng)滿足跨域網(wǎng)絡(luò)中其它網(wǎng)絡(luò)實體對象的身份認證服務(wù)的需求，并支持用戶在全網(wǎng)范圍內(nèi)的跨網(wǎng)認證。被認證實體和認證服務(wù)系統(tǒng)之間建立的網(wǎng)絡(luò)信任關(guān)系和信任內(nèi)容必須能夠面向全網(wǎng)進行傳遞，實現(xiàn)“一次認證、全網(wǎng)通行”?？紤]到跨域網(wǎng)絡(luò)中各安全區(qū)域的電子身份認證結(jié)點由多個廠家承建、證書內(nèi)容、證書存儲和證書服務(wù)標準尚未完全一致的現(xiàn)狀，跨域交換網(wǎng)絡(luò)身份認證服務(wù)系統(tǒng)應(yīng)該能夠兼容不同廠家的電子認證系統(tǒng)的證書格式、證書存儲和服務(wù)方式，同時也要兼容不同證書硬件載體，包容電子認證系統(tǒng)目前存在的差異性并按需進行實體身份確認和驗證的環(huán)節(jié)，如用戶接入控制網(wǎng)關(guān)、應(yīng)用、設(shè)備驗證等提供可信的身份信任信息服務(wù)，確保全網(wǎng)各個環(huán)節(jié)的各種控制、保護措施的安全可信、可管可控、可信可用。

1.3 跨域網(wǎng)絡(luò)統(tǒng)一資源授權(quán)管理需求

從確保安全可信的互聯(lián)互通、信息共享出發(fā)，跨域網(wǎng)絡(luò)融合一方面要解決應(yīng)用系統(tǒng)能夠面向全網(wǎng)用戶、機構(gòu)授權(quán)，并允許授權(quán)用戶跨網(wǎng)訪問應(yīng)用系統(tǒng)；另一方面也要對網(wǎng)絡(luò)資源進行權(quán)限管理和訪問控制，避免不受控的跨網(wǎng)訪問和非法攻擊行為。從系統(tǒng)服務(wù)安全性和可用性出發(fā)，對應(yīng)用系統(tǒng)的授權(quán)服務(wù)和權(quán)限管理的內(nèi)容不僅包括應(yīng)用訪問權(quán)，還必須包括應(yīng)用資源的操作、信息和文件閱覽權(quán)限等，實現(xiàn)授權(quán)的安全性和服務(wù)的全網(wǎng)性，并能夠滿足對統(tǒng)一服務(wù)管理的資源提供安全可信授權(quán)要求，使資源所有者或者應(yīng)用系統(tǒng)能夠根據(jù)授權(quán)權(quán)限信息對資源的訪問進行控制，確保只有具有合法身份，并通過資源管理系統(tǒng)進行授權(quán)的用戶才能成功訪問資源，進行相關(guān)業(yè)務(wù)操作，為資源安全提供保障。

1.4 跨域網(wǎng)絡(luò)信任體系統(tǒng)一責(zé)任認定支撐需求

跨域交換網(wǎng)絡(luò)信任體系實現(xiàn)責(zé)任認定的全部過程應(yīng)通過網(wǎng)絡(luò)進行，全部過程電子化、無紙化，能方便進行責(zé)任認定和管理，真正滿足跨域交換網(wǎng)絡(luò)信息共享、業(yè)務(wù)協(xié)同過程中的責(zé)任認定需要。同時，為了保證責(zé)任認定體系的公平、公正、公開，并且作為一種全程、全網(wǎng)的服務(wù)，需要在跨域交換網(wǎng)絡(luò)中構(gòu)建一個獨立于所有應(yīng)用系統(tǒng)之外的責(zé)任認定體系，作為一種基礎(chǔ)服務(wù)，在跨域交換網(wǎng)絡(luò)中為所有應(yīng)用系統(tǒng)提供責(zé)任認定的服務(wù)。并且這樣一種基礎(chǔ)服務(wù)能方便的做到全程、全網(wǎng)的支持，能對每一個環(huán)節(jié)都進行證據(jù)保留和責(zé)任認定。

2 系統(tǒng)功能

2.1 統(tǒng)一資源管理服務(wù)功能

提供基于策略的資源信息注冊、同步、級聯(lián)、共享、發(fā)布功能；支持策略配置和管理功能；提供對系統(tǒng)運行狀態(tài)、資源信息同步共享狀態(tài)、資源信息統(tǒng)計等監(jiān)管功能。

2.2 統(tǒng)一資源認證服務(wù)功能

具備可信的身份標識、權(quán)限鑒別、追蹤審計等體系化跨域信任服務(wù)支撐能力，提供信任服務(wù)接口標準，支持跨域應(yīng)用系統(tǒng)及網(wǎng)絡(luò)實體的信任管理及可信安全認證服務(wù)。

2.3 統(tǒng)一資源授權(quán)服務(wù)功能

支持對用戶、網(wǎng)絡(luò)設(shè)備、服務(wù)應(yīng)用等實體訪問行為分類標示和分級授權(quán)，能夠進行動態(tài)權(quán)限管理與安全策略配置。

2.4 統(tǒng)一資源責(zé)任認定功能

支持跨域業(yè)務(wù)系統(tǒng)雙向認證功能，提供實體注冊、標識認證、授權(quán)審計、跨域映射、單點登錄、權(quán)限鑒別、訪問控制、黑名單控制等能力。

3 總體設(shè)計

如圖1所示，網(wǎng)絡(luò)信任體系的總體架構(gòu)主要包括信任體系安全中間件、網(wǎng)絡(luò)信任資源管理、網(wǎng)絡(luò)實體信任服務(wù)、信息資源信任服務(wù)、信任服務(wù)集成環(huán)境五個部分。

3.1 信任體系安全中間件

網(wǎng)絡(luò)信任體系的底層是電子認證系統(tǒng)、數(shù)字證書、密碼設(shè)備等，信任體系安全中間件是基于密碼硬件和密碼接口兩個抽象層，實現(xiàn)對不同密碼設(shè)備廠家、不同CA認證中心簽發(fā)證書的統(tǒng)一融合，解決密碼設(shè)備之間不能互認、不同證書體系之間不能互信互驗的問題。網(wǎng)絡(luò)信任體系的所有系統(tǒng)基于統(tǒng)一安全中間件進行密碼處理，避免了密碼孤島的存在。

3.2 網(wǎng)絡(luò)信任資源管理

網(wǎng)絡(luò)信任的信任源頭是物理世界的信任，所有網(wǎng)絡(luò)上可信的實體必須具有物理世界信任的現(xiàn)實基礎(chǔ)，網(wǎng)絡(luò)信任資源管理就是連接物理世界信任和網(wǎng)絡(luò)世界信任的關(guān)鍵，通過對物理實體對象進行統(tǒng)一注冊管理,為每個實體對象分配唯一的網(wǎng)絡(luò)身份標識,實現(xiàn)物理實體在網(wǎng)絡(luò)世界的身份初始化，作為網(wǎng)絡(luò)信任體系的實體信任源點。

3.3 網(wǎng)絡(luò)實體信任服務(wù)

網(wǎng)絡(luò)上的行為、權(quán)力，必然需要和物理實體對應(yīng)。實體信任服務(wù)就是為了解決網(wǎng)絡(luò)上用戶其背后的物理實體是誰、具有何種權(quán)利，以及基于身份、權(quán)利進行資源保護的問題。網(wǎng)絡(luò)實體信任服務(wù)以身份認證為基礎(chǔ)，通過對虛擬用戶進行真實身份的認證，并確保該虛擬用戶可以用唯一網(wǎng)絡(luò)身份標識從事網(wǎng)絡(luò)行為，行使其獲得或處理信息的權(quán)利等。為了對網(wǎng)絡(luò)行為進行追責(zé)，網(wǎng)絡(luò)信任體系還要提供行為證據(jù)保留和責(zé)任認定的問題。實體信任服務(wù)是實現(xiàn)匿名虛擬網(wǎng)絡(luò)向?qū)嵜尚啪W(wǎng)絡(luò)轉(zhuǎn)變的基礎(chǔ)。實體信任服務(wù)主要包括四個部分：身份認證服務(wù)、資源授權(quán)服務(wù)、訪問控制服務(wù)、責(zé)任認定服務(wù)。

3.4 信息資源信任服務(wù)

信息資源是信息化重要資產(chǎn)，信息資源安全往往依賴信息系統(tǒng)實現(xiàn)。然而在互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同過程中，信息資源必須不依賴任何特定信息化環(huán)境，成為具有自安全能力的獨立對象。信息資源信任服務(wù)需要解決的是確保電子文件、業(yè)務(wù)信息等信息資源在全網(wǎng)環(huán)境下內(nèi)容的互信互認、操作的互信互認。信息資源信任服務(wù)包括簽名驗簽服務(wù)和可信憑證服務(wù)兩部分。

3.5 信任服務(wù)集成環(huán)境

上層應(yīng)用系統(tǒng)通過信任服務(wù)集成環(huán)境實現(xiàn)和網(wǎng)絡(luò)信任體系的對接。網(wǎng)絡(luò)信任體系將各種實體信任服務(wù)、信息資源信任服務(wù)統(tǒng)一封裝到信任服務(wù)集成環(huán)境中，無論用戶從哪里登錄、無論應(yīng)用資源在哪個安全域，只要通過認證、鑒權(quán)，就進入了安全業(yè)務(wù)處理環(huán)境，在業(yè)務(wù)過程中，隨時可以調(diào)用網(wǎng)絡(luò)信任體系的信任服務(wù)，實現(xiàn)資源訪問、資源安全處理等。信任服務(wù)集成環(huán)境是網(wǎng)絡(luò)信任體系的服務(wù)展現(xiàn)層。

4 系統(tǒng)架構(gòu)關(guān)系

4.1 網(wǎng)絡(luò)信任體系與密碼管理和證書認證基礎(chǔ)設(shè)施的關(guān)系

一方面依托密碼管理和認證服務(wù)基礎(chǔ)設(shè)施作為構(gòu)建信任體系的密碼基礎(chǔ)（密碼管理規(guī)范了密碼算法，認證服務(wù)提供了數(shù)字證書的簽發(fā)和驗證服務(wù)）。另一方面，網(wǎng)絡(luò)信任體系作為密碼服務(wù)的中間層，通過安全中間件同時支持不同廠家的密碼設(shè)備、不同認證機構(gòu)的數(shù)字證書，實現(xiàn)跨機構(gòu)證書互信互認，是密碼管理和認證服務(wù)基礎(chǔ)設(shè)施為業(yè)務(wù)提供服務(wù)的樞紐。

4.2 網(wǎng)絡(luò)信任體系和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)系

網(wǎng)絡(luò)信任體系必須以全網(wǎng)為服務(wù)和保障范圍，在網(wǎng)絡(luò)互聯(lián)互通的基礎(chǔ)上，首先解決全網(wǎng)范圍內(nèi)信任互聯(lián)互通問題，并為全網(wǎng)范圍內(nèi)的業(yè)務(wù)互聯(lián)互通提供支撐和保障。

4.3 網(wǎng)絡(luò)信任體系和應(yīng)用的關(guān)系

網(wǎng)絡(luò)信任體系不是密碼應(yīng)用的目標，相反，網(wǎng)絡(luò)信任體系是為上層應(yīng)用提供服務(wù)?；诰W(wǎng)絡(luò)信任體系開發(fā)和部署的上層應(yīng)用，不僅系統(tǒng)自身安全得到保障，同時行業(yè)或區(qū)域內(nèi)的部門和部門之間，乃至跨行業(yè)和跨域區(qū)應(yīng)用系統(tǒng)可以基于互信互認的基礎(chǔ)上，實現(xiàn)信息共享、業(yè)務(wù)協(xié)同。

5 技術(shù)實現(xiàn)途徑

5.1 密碼應(yīng)用需向密碼使用管理和服務(wù)轉(zhuǎn)變

密碼應(yīng)用領(lǐng)域面臨以下迫切的轉(zhuǎn)變要求，主要體現(xiàn)在：密碼應(yīng)用的思維要從 “技術(shù)支撐”向“業(yè)務(wù)保障”轉(zhuǎn)變。密碼行業(yè)技術(shù)性強，但不能因此只關(guān)注密碼技術(shù)，而忽視密碼應(yīng)用效果，密碼技術(shù)的發(fā)展最終應(yīng)服務(wù)于業(yè)務(wù)開展，是為解決業(yè)務(wù)運行的安全性服務(wù)，因此，密碼應(yīng)用應(yīng)該更貼近業(yè)務(wù)層面對信息安全的要求，確保業(yè)務(wù)安全是密碼應(yīng)用的最終目標。密碼使用模式應(yīng)從被動的“密碼應(yīng)用”向主動、便利、安全可靠的“密碼服務(wù)”的轉(zhuǎn)變。上層應(yīng)用通過調(diào)用密碼設(shè)備密碼接口來應(yīng)用密碼的傳統(tǒng)模式，不僅應(yīng)用難度高，而且效果難以保障：“用了密碼卻不一定安全”現(xiàn)象比比皆是，更嚴重的問題是“密碼應(yīng)用”的模式帶來了嚴重的“密碼孤島”、“信任孤島”現(xiàn)象，因而，不改變密碼使用模式，就不可能改變面臨的問題，因此，從保障業(yè)務(wù)安全運行、安全互聯(lián)互通、安全信息共享、安全業(yè)務(wù)協(xié)同的角度出發(fā)，直接面向業(yè)務(wù)信息安全需求進行密碼服務(wù)封裝，統(tǒng)一通過密碼邏輯實現(xiàn)，上層應(yīng)用系統(tǒng)通過調(diào)用統(tǒng)一體系的密碼服務(wù),避免密碼各自實現(xiàn)問題，從而使得密碼更易用、更好用、更安全。

5.2 信任應(yīng)用向信任服務(wù)體系轉(zhuǎn)變

網(wǎng)絡(luò)信任體系是面向業(yè)務(wù)信息安全需求的安全統(tǒng)一實現(xiàn)，它向應(yīng)用屏蔽了底層密碼邏輯，面向業(yè)務(wù)對實體身份可鑒別、可驗證，實體行為可信、可追溯的需求，以及文件和業(yè)務(wù)信息的安全、可信、可鑒別等方面的需求進行統(tǒng)一實現(xiàn)，解決密碼邏輯各自實現(xiàn)帶來的各種風(fēng)險和問題。網(wǎng)絡(luò)信任體系提供業(yè)務(wù)層服務(wù)接口，為應(yīng)用提供完整的信任服務(wù)。網(wǎng)絡(luò)信任體系為上層應(yīng)用提供應(yīng)用層面的接口，極大降低了應(yīng)用開發(fā)和部署的難度，應(yīng)用系統(tǒng)只需要關(guān)注安全邏輯和安全結(jié)果，而無需關(guān)注密碼邏輯實現(xiàn)；其次，由應(yīng)用層的信任服務(wù)，方便擴展，可以迅速滿足新的需求；第三，統(tǒng)一服務(wù)接口可以確保業(yè)務(wù)層面的互聯(lián)互通，為業(yè)務(wù)延伸、互聯(lián)互通、業(yè)務(wù)協(xié)同等提供全過程的安全保障。

5.3 盡早進行網(wǎng)絡(luò)信任體系規(guī)劃

網(wǎng)絡(luò)信任體系的建設(shè)，從兩個層面可以提升對密碼應(yīng)用的管理能力。一是所有信息化系統(tǒng)必須通過和網(wǎng)絡(luò)信任體系平臺進行整合，通過資源注冊、授權(quán)，才能提供服務(wù)，因此，密碼管理部門可以非常準確了解到有多少密碼應(yīng)用系統(tǒng)在線上服務(wù)；二是所有用戶也必須通過資源注冊、身份認證才能上網(wǎng)。用戶注冊時需要注冊所關(guān)聯(lián)的數(shù)字證書，用戶能訪問的應(yīng)用也需要在網(wǎng)絡(luò)信任體系中進行授權(quán)，因此，管理部門可以非常準確了解本區(qū)域數(shù)字證書的持有和應(yīng)用情況。