零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應(yīng)用*

余雙波，李春燕，周 吉，薛艷珠，周 佳

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

網(wǎng)絡(luò)信任是網(wǎng)絡(luò)信息安全的重要內(nèi)容和核心支撐，能夠?yàn)榫W(wǎng)絡(luò)空間中各類實(shí)體活動提供有效保障。通過建立網(wǎng)絡(luò)信任體系，形成覆蓋黨政、軍隊(duì)以及互聯(lián)網(wǎng)等不同應(yīng)用場景的網(wǎng)絡(luò)信任服務(wù)能力，有效支撐針對各類網(wǎng)絡(luò)實(shí)體的身份鑒別、授權(quán)服務(wù)、行為分析等服務(wù)能力，從而建立網(wǎng)絡(luò)實(shí)體間的互信互認(rèn)機(jī)制。隨著網(wǎng)絡(luò)實(shí)體類型的全網(wǎng)化擴(kuò)展和信任保障需求的多樣化增強(qiáng)，傳統(tǒng)靜態(tài)保障、服務(wù)分割的信任保障模式已不能滿足網(wǎng)絡(luò)信任體系發(fā)展要求。同時，隨著網(wǎng)絡(luò)信息系統(tǒng)安全服務(wù)需求的不同提升，以及網(wǎng)絡(luò)安全和網(wǎng)絡(luò)信任領(lǐng)域技術(shù)體制、架構(gòu)理念的飛速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)信任體系需要借鑒和應(yīng)用更多先進(jìn)的理念技術(shù)，在繼承發(fā)展、體系兼容的基礎(chǔ)上為網(wǎng)絡(luò)信息系統(tǒng)提供更靈活、更高效和更可靠的網(wǎng)絡(luò)信任服務(wù)能力。

近年來，零信任架構(gòu)作為一種不斷發(fā)展成熟的全新安全架構(gòu)理念，已經(jīng)被各國網(wǎng)絡(luò)安全企業(yè)和政府軍隊(duì)高度關(guān)注，正在為關(guān)鍵信息系統(tǒng)提供穩(wěn)定可靠的身份和訪問安全保障。隨著零信任架構(gòu)的持續(xù)演進(jìn)，“以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估和動態(tài)訪問控制”的關(guān)鍵能力[1]將為傳統(tǒng)網(wǎng)絡(luò)信任體系的動態(tài)發(fā)展提供全新思路和有效支撐。

1 網(wǎng)絡(luò)信任體系

網(wǎng)絡(luò)信任體系作為網(wǎng)絡(luò)信息系統(tǒng)的重要組成部分，主要是在網(wǎng)絡(luò)空間建立不同網(wǎng)絡(luò)實(shí)體間的信任關(guān)系，確保將人員、設(shè)備、應(yīng)用、數(shù)據(jù)等所有網(wǎng)絡(luò)實(shí)體通過信任關(guān)系進(jìn)行連接，采集實(shí)體行為日志、維護(hù)實(shí)體信任關(guān)系，最終形成面向不同應(yīng)用場景的網(wǎng)絡(luò)實(shí)體信任聯(lián)盟域和可信鏈。

網(wǎng)絡(luò)信任體系需要重點(diǎn)解決兩個問題。一個是不同網(wǎng)絡(luò)實(shí)體間可靠信任關(guān)系的安全建立。網(wǎng)絡(luò)信息交互過程應(yīng)該具備保密性，信息訪問主體、客體之間能夠基于身份認(rèn)證過程確保雙方身份合法、權(quán)限適度。另一個是要為網(wǎng)絡(luò)實(shí)體提供行為分析手段，為信息交互提供判責(zé)追責(zé)機(jī)制。因此，網(wǎng)絡(luò)信任體系的構(gòu)建，需要基于傳統(tǒng)密碼技術(shù)，從身份認(rèn)證、授權(quán)管理、行為分析等多角度建立網(wǎng)絡(luò)實(shí)體信任協(xié)同模型，解決網(wǎng)絡(luò)空間中實(shí)體身份鑒別、授權(quán)訪問、責(zé)任認(rèn)定等信任保障問題。

圖1 網(wǎng)絡(luò)信任體系服務(wù)定位

如圖1 所示，由各類身份認(rèn)證基礎(chǔ)設(shè)施和網(wǎng)絡(luò)信任服務(wù)系統(tǒng)構(gòu)建形成網(wǎng)絡(luò)信任體系，面向黨政軍、企業(yè)、個人用戶提供信任服務(wù)支撐，滿足網(wǎng)絡(luò)空間業(yè)務(wù)處理、信息交互等過程的安全可信需求。各類身份認(rèn)證基礎(chǔ)設(shè)施是基礎(chǔ)，能夠基于密碼技術(shù)、以PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）認(rèn)證體制為支撐，為網(wǎng)絡(luò)空間人員、設(shè)備、應(yīng)用等實(shí)體提供身份管理和憑證支撐。網(wǎng)絡(luò)信任服務(wù)系統(tǒng)以數(shù)字證書為核心，建立身份管理、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定和可信時間等信任服務(wù)能力，構(gòu)建信任聯(lián)盟，實(shí)現(xiàn)各人員、設(shè)備及應(yīng)用全網(wǎng)全程信任服務(wù)。

信任聯(lián)盟作為網(wǎng)絡(luò)信任服務(wù)體系信任關(guān)系的一種直觀映射，能夠在人員、設(shè)備、應(yīng)用等實(shí)體之間以信任評估為基礎(chǔ)，建立網(wǎng)絡(luò)信任聯(lián)盟域。假設(shè)設(shè)備B 信任人員A，能夠允許人員A 在設(shè)備B 上進(jìn)行操作系統(tǒng)登錄；應(yīng)用C 信任設(shè)備B，能夠允許設(shè)備B 訪問應(yīng)用C；此時，基于線性信任傳遞機(jī)制，應(yīng)用C 可以直接信任人員A；人員A、設(shè)備B、應(yīng)用C 之間構(gòu)建形成信任聯(lián)盟。但是在實(shí)際網(wǎng)絡(luò)信任服務(wù)過程中，從“A →B、B →C”并不能簡單地得出“A →C”；這種信任傳遞過程還需要結(jié)合信任評估、傳遞環(huán)境等因素，對傳遞可信度進(jìn)行調(diào)整，最終構(gòu)建形成動態(tài)信任聯(lián)盟機(jī)制。

2 零信任架構(gòu)

零信任架構(gòu)是由Forrester 在2010 年提出的安全模型，是一種網(wǎng)絡(luò)/數(shù)據(jù)安全的實(shí)體到實(shí)體方法，是一種區(qū)別于傳統(tǒng)安全方案只關(guān)注邊界防護(hù)，而更關(guān)注數(shù)據(jù)保護(hù)的架構(gòu)方法[2]。

區(qū)別于傳統(tǒng)邊界安全架構(gòu)，零信任架構(gòu)提出了一種新的安全架構(gòu)模式，對傳統(tǒng)邊界安全架構(gòu)思路重新進(jìn)行了評估與審視，默認(rèn)情況下不信任網(wǎng)絡(luò)空間中的任何人員、設(shè)備、軟件和數(shù)據(jù)等訪問實(shí)體，需要基于持續(xù)性的實(shí)體信任評估對認(rèn)證和授權(quán)的信任基礎(chǔ)進(jìn)行動態(tài)重構(gòu)[3]。零信任架構(gòu)模型核心組件如圖2 所示。

零信任架構(gòu)模型核心組件由數(shù)據(jù)平面、控制平面和身份保障基礎(chǔ)設(shè)施組成，其中控制平面是零信任架構(gòu)的支撐部分，數(shù)據(jù)平面是交互部分，身份保障基礎(chǔ)設(shè)施是保障部分，控制平面實(shí)現(xiàn)對數(shù)據(jù)平面的指揮和配置[4]。

數(shù)據(jù)平面主要包括信任代理組件。作為各類訪問主體開展業(yè)務(wù)安全訪問過程的交互入口，是實(shí)現(xiàn)資源動態(tài)訪問控制的關(guān)鍵執(zhí)行點(diǎn)。信任代理將資源訪問請求轉(zhuǎn)發(fā)至控制平面動態(tài)訪問控制引擎進(jìn)行處理，通過身份認(rèn)證、權(quán)限判定等過程實(shí)現(xiàn)訪問主體合法性驗(yàn)證，驗(yàn)證通過后放行業(yè)務(wù)請求。同時，信任代理支持對資源訪問信息進(jìn)行按需加密，提升業(yè)務(wù)訪問過程的安全性。

圖2 零信任架構(gòu)模型核心組件

控制平面主要包括動態(tài)訪問控制引擎和信任評估引擎組件。動態(tài)訪問控制引擎作為零信任架構(gòu)控制平面的核心判定點(diǎn)，能夠基于身份認(rèn)證、授權(quán)服務(wù)、訪問控制等基礎(chǔ)設(shè)施實(shí)現(xiàn)與信任代理協(xié)同聯(lián)動，確保所有訪問請求強(qiáng)制認(rèn)證和動態(tài)信任。其中，身份認(rèn)證過程由傳統(tǒng)單因子、靜態(tài)認(rèn)證方式，演進(jìn)為支持身份認(rèn)證策略動態(tài)調(diào)整的強(qiáng)制認(rèn)證模式。授權(quán)服務(wù)過程由傳統(tǒng)基于靜態(tài)規(guī)則的權(quán)限判定，演進(jìn)為基于信任等級、安全策略和評估結(jié)果的動態(tài)權(quán)限調(diào)整服務(wù)。信任評估引擎作為控制平面的中樞神經(jīng)，是信任評估過程的能力實(shí)現(xiàn)點(diǎn)，支持與訪問控制引擎動態(tài)聯(lián)動，為各類實(shí)體提供基于信任評估結(jié)果的權(quán)限策略判定支撐。信任評估引擎通過采集網(wǎng)絡(luò)空間中各類實(shí)體行為日志信息和外部分析平臺結(jié)果，綜合運(yùn)用安全大數(shù)據(jù)分析和智能推理技術(shù)，實(shí)現(xiàn)實(shí)體身份持續(xù)融合構(gòu)建、行為日志持續(xù)審計(jì)分析、信任程度持續(xù)度量評估，支撐動態(tài)訪問控制過程。

身份保障基礎(chǔ)設(shè)施能夠?yàn)楦黝愒L問主體提供身份管理和權(quán)限服務(wù)功能，有效支撐零信任架構(gòu)模型以身份為基石的能力構(gòu)建。其中，身份管理過程從全生命周期角度實(shí)現(xiàn)對各類網(wǎng)絡(luò)實(shí)體的身份管理，權(quán)限服務(wù)過程能夠?qū)崿F(xiàn)不同粒度的資源訪問授權(quán)服務(wù)，服務(wù)模式由傳統(tǒng)靜態(tài)、封閉的固定保障模式逐步演進(jìn)為動態(tài)、靈活的協(xié)同服務(wù)模式。

3 零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應(yīng)用

基于零信任架構(gòu)模型以身份為中心的動態(tài)可信訪問控制體系基礎(chǔ)，網(wǎng)絡(luò)信任體系能夠面向身份認(rèn)證、授權(quán)管理、信任評估等多個層面，實(shí)現(xiàn)信任服務(wù)能力增強(qiáng)和提升。在日常辦公、移動業(yè)務(wù)和軍事信息等網(wǎng)絡(luò)應(yīng)用場景下，基于零信任架構(gòu)的網(wǎng)絡(luò)信任體系正在得到逐步應(yīng)用，為用戶和設(shè)備訪問應(yīng)用、應(yīng)用和服務(wù)接口調(diào)用等各場景提供橫向協(xié)同、縱向聯(lián)動的動態(tài)可信訪問控制保障。

3.1 傳統(tǒng)辦公網(wǎng)絡(luò)零信任架構(gòu)應(yīng)用

基于零信任架構(gòu)的傳統(tǒng)網(wǎng)絡(luò)信任體系與零信任架構(gòu)模型本身相似，針對傳統(tǒng)辦公網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用所涉及的各因素，對零信任控制平面進(jìn)行能力細(xì)化和服務(wù)擴(kuò)展，從而滿足不同業(yè)務(wù)應(yīng)用高安全、強(qiáng)認(rèn)證、多模式、重審計(jì)等安全保障需求，如圖3 所示。

針對控制平面，基于信任基礎(chǔ)設(shè)施的保障支撐，形成涵蓋身份認(rèn)證、授權(quán)管理、行為采集、責(zé)任認(rèn)定、信任評估和數(shù)據(jù)存儲等不同網(wǎng)絡(luò)信任服務(wù)能力，有效保障人員、設(shè)備和應(yīng)用等網(wǎng)絡(luò)實(shí)體對應(yīng)用服務(wù)、數(shù)據(jù)資源和云平臺服務(wù)等業(yè)務(wù)資源的可信訪問。

其中，身份認(rèn)證服務(wù)為各類網(wǎng)絡(luò)實(shí)體提供基于密碼技術(shù)的強(qiáng)制身份認(rèn)證能力，確保實(shí)體身份合法、來源可信；授權(quán)管理服務(wù)支持為人員、設(shè)備實(shí)現(xiàn)業(yè)務(wù)資源訪問權(quán)限策略的動態(tài)適配，提供基于權(quán)限判決的訪問控制協(xié)同；行為采集服務(wù)為信任環(huán)境感知和實(shí)體行為收集提供手段，是責(zé)任認(rèn)定和信任評估的數(shù)據(jù)基礎(chǔ)；責(zé)任認(rèn)定服務(wù)能夠及時發(fā)現(xiàn)和預(yù)判網(wǎng)絡(luò)實(shí)體異常行為，有效實(shí)施判責(zé)追責(zé)操作；信任評估服務(wù)基于量化評估體系實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體信任等級綜合評估，有效支撐動態(tài)認(rèn)證授權(quán)和訪問控制過程。

在實(shí)際部署應(yīng)用過程中，針對不同網(wǎng)絡(luò)實(shí)體、不同應(yīng)用場景需要選擇具體信任基礎(chǔ)設(shè)施作為支撐。不同信任等級要求下，身份認(rèn)證體制、綜合認(rèn)證方式，業(yè)務(wù)訪問權(quán)限、網(wǎng)絡(luò)接入策略，分析判責(zé)規(guī)則、信任評估體系，都將進(jìn)行適配性調(diào)整和選擇。

圖3 基于零信任架構(gòu)的傳統(tǒng)網(wǎng)絡(luò)信任體系應(yīng)用

3.2 移動辦公網(wǎng)絡(luò)零信任架構(gòu)應(yīng)用

在移動辦公網(wǎng)絡(luò)環(huán)境，由移動環(huán)境的移動終端（筆記本電腦、智能終端等）、內(nèi)網(wǎng)環(huán)境的信任訪問控制設(shè)施和移動業(yè)務(wù)數(shù)據(jù)中心共同組成基于零信任架構(gòu)的移動網(wǎng)絡(luò)信任體系[4][5]。確保合法的人員，使用合法的移動終端，基于可信的行為，針對合法的應(yīng)用，進(jìn)行合法的訪問。如圖4 所示。

圖4 基于零信任架構(gòu)的移動網(wǎng)絡(luò)信任體系應(yīng)用

移動終端采用基于密碼技術(shù)的身份標(biāo)識機(jī)制，實(shí)現(xiàn)終端人員用戶身份、移動終端設(shè)備身份的多樣化標(biāo)識，部署終端安全防護(hù)組件，實(shí)現(xiàn)移動終端業(yè)務(wù)安全加固增強(qiáng)。針對終端人員用戶和移動終端設(shè)備，提供基于生物特征、數(shù)字證書、PIN 碼、動態(tài)短信等多種認(rèn)證方式的多因子認(rèn)證支撐，有效保障移動環(huán)境實(shí)體行為感知過程，確保合法用戶使用合法移動設(shè)備。

信任訪問控制設(shè)施采用典型零信任架構(gòu)模型，基于信任訪問代理、實(shí)體身份認(rèn)證系統(tǒng)、移動環(huán)境感知系統(tǒng)、授權(quán)管理服務(wù)系統(tǒng)、實(shí)體管控分析系統(tǒng)等網(wǎng)絡(luò)信任組件，提供移動環(huán)境下網(wǎng)絡(luò)實(shí)體多因子認(rèn)證、動態(tài)授權(quán)訪問、持續(xù)信任評估的信任服務(wù)能力，有效保障對移動業(yè)務(wù)資源的安全可信訪問。

移動業(yè)務(wù)數(shù)據(jù)中心基于私有云模式，一方面為各類政企用戶提供高效可靠、安全隱私的業(yè)務(wù)資源保護(hù)能力，另一方面為各類移動終端用戶提供基于零信任架構(gòu)動態(tài)訪問控制機(jī)制的移動業(yè)務(wù)資源可信應(yīng)用能力。

可見，移動辦公網(wǎng)絡(luò)零信任架構(gòu)應(yīng)用方案在移動終端、信任訪問控制基礎(chǔ)設(shè)施、移動業(yè)務(wù)數(shù)據(jù)中心之間建立了移動網(wǎng)絡(luò)信任體系，能夠有效解決移動終端用戶、移動終端設(shè)備和移動業(yè)務(wù)應(yīng)用的信任協(xié)同服務(wù)需求。在實(shí)際應(yīng)用過程中，還需要結(jié)合不同移動辦公環(huán)境網(wǎng)絡(luò)特點(diǎn)，深入分析無線帶寬、處理時延、隨遇接入、個性化業(yè)務(wù)應(yīng)用等實(shí)際環(huán)境情況，有效整合各要素信任服務(wù)能力，實(shí)現(xiàn)移動終端環(huán)境輕量化、信任訪問控制設(shè)施高效化和移動業(yè)務(wù)數(shù)據(jù)隱私化。

3.3 軍事網(wǎng)絡(luò)空間零信任架構(gòu)應(yīng)用

零信任架構(gòu)在軍事網(wǎng)絡(luò)信任體系中的應(yīng)用以美軍聯(lián)合信息環(huán)境（Joint Information Environment，JIE）為代表。美軍JIE 的目標(biāo)是實(shí)現(xiàn)作戰(zhàn)人員能夠在任意時間、在任意地方、使用任意合法設(shè)備獲取經(jīng)授權(quán)的所需信息，以滿足美軍全球全域作戰(zhàn)任務(wù)需求。這與零信任架構(gòu)下的可信訪問控制愿景高度重合，美國國防部默認(rèn)按照零信任架構(gòu)進(jìn)行設(shè)計(jì)和推進(jìn)JIE 框架演進(jìn)，基于零信任架構(gòu)思想，解決網(wǎng)絡(luò)信息獲取過程的身份與訪問安全問題，其中涉及網(wǎng)絡(luò)邊界安全、最小權(quán)限訪問、角色屬性訪問控制、多因子綜合認(rèn)證和設(shè)備安全管理等關(guān)鍵要素。其中，以身份和訪問管理（Identity and Access Management，IdAM）、多因子綜合認(rèn)證、移動認(rèn)證保障為代表的零信任架構(gòu)，是美國國防部安全建設(shè)的重中之重[6]。

IdAM（Identity and Access Management，身份與訪問管理）是美國國防部的信任基礎(chǔ)設(shè)施，是實(shí)現(xiàn)JIE 目標(biāo)的核心基礎(chǔ)。IdAM 的理想狀態(tài)是實(shí)現(xiàn)動態(tài)訪問控制，基于策略的授權(quán)服務(wù)、身份與憑證管理、權(quán)限策略管理、實(shí)體資源管理是其主體功能，基于屬性的訪問控制（Attribute-Based Access Control，ABAC）和授權(quán)服務(wù)是其關(guān)鍵核心。

可見，在美軍JIE 建設(shè)過程中，零信任架構(gòu)已經(jīng)成為基礎(chǔ)支撐，美軍完備的PKI 體系和軍事人員、終端設(shè)備身份管理機(jī)制，也為基于零信任框架構(gòu)建美軍JIE 網(wǎng)絡(luò)信任體系（核心為IdAM）提供了可行性，這也決定了其應(yīng)用模式不能直接擴(kuò)展至其他應(yīng)用場景。我軍網(wǎng)絡(luò)體系和網(wǎng)絡(luò)安全成熟度與美軍JIE 還存在一定差距，軍事網(wǎng)絡(luò)環(huán)境也與美軍的全球全域聯(lián)合作戰(zhàn)存在區(qū)別。因此，可以在借鑒美軍基于零信任架構(gòu)的網(wǎng)絡(luò)信任體系建設(shè)經(jīng)驗(yàn)基礎(chǔ)上，充分適應(yīng)我軍網(wǎng)絡(luò)信息系統(tǒng)特點(diǎn)和網(wǎng)絡(luò)信任服務(wù)需求，形成安全可靠、高效可用的網(wǎng)絡(luò)信任體系。

3 結(jié)語

零信任架構(gòu)是一種全新的網(wǎng)絡(luò)安全服務(wù)架構(gòu)，網(wǎng)絡(luò)信任體系是網(wǎng)絡(luò)信息系統(tǒng)發(fā)展的基石。本文通過分析零信任架構(gòu)在典型網(wǎng)絡(luò)信任體系中的實(shí)際應(yīng)用方案，一方面介紹了零信任架構(gòu)的應(yīng)用特點(diǎn)和服務(wù)優(yōu)勢，另一方面列舉了零信任架構(gòu)在實(shí)際建設(shè)落地過程中還要面臨的問題和挑戰(zhàn)。因此，零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應(yīng)用，并不是簡單的體系直接應(yīng)用，而是需要結(jié)合我國黨政、軍隊(duì)、互聯(lián)網(wǎng)需求特點(diǎn)，在充分借鑒國內(nèi)外零信任框架應(yīng)用成果的基礎(chǔ)上進(jìn)行適應(yīng)性改造和適配性完善。