跨域數據交換網絡信任服務體系總體設計與技術實現

文/李一 馮楠 譚順成

為全面推進經濟、科技、教育、人才等各個領域的融合，在更廣范圍、更高層次、更深程度上把現代化建設與經濟社會發展結合起來，跨域的數據交互是其中的關鍵需求。為打通跨域數據的壁壘，真正形成跨域數據的深度融合，需要建立跨域數據的交換平臺，特別是跨域數據交換網絡信任服務體系的設計和實現，是一項涉及面廣、集成度高、保密性高、整體性強的系統工程。

1 建設需求

跨域數據交換所需的網絡是不同于傳統信息網絡的大型復雜結構的網絡。與現實中的組織架構相一致，大 型復雜網絡分層級、分區域，在應用層上有跨層級、跨地域、跨系統、跨部門、跨業務的多系統協同和數據共享的需求，需構建新一代信任服務體系，實現跨域網絡三個網絡中各局部網絡業務應用之間互信、互認、互聯、互通、互操作，支撐各領域業務應用系統和用戶的跨層級、跨地域、跨系統、跨部門、跨業務的協同和共享服務。

1.1 網絡資源統一管理的需求

跨域融合網絡中承載著多個網絡中各自、各級部門大量的涉及辦公、管理、協同、共享等的業務應用系統，很多重要業務應用需要跨部門、跨地區、跨系統、跨安全域進行業務協同。受政務、商業和安全因素的影響，跨域網絡彼此互不信任，各自內部的局部信任系統之間也難以跨域建立信任關系。在跨域交換網絡中構建統一信任服務體系的基礎是建立資源統一管理服務。在跨域交換網絡中用戶、網絡、應用和信息等全網資源中存在大量具有公共屬性和共享屬性的資源，在實際業務中這些資源被重復建設、分散管理。為方便資源的有效利用，需要對全網資源進行統一管理，形成資源信息的注冊、發布、共享和查詢等機制，能夠滿足跨域交換融合網絡中資源共享和高效利用的機制，為跨域網絡之間的互信、互任、互聯、互通打下堅實基礎。

1.2 跨域網絡統一資源認證服務需求

跨域網絡融合的信任服務系統中的身份認證服務系統，不僅要滿足對用戶身份認證的需求，還應滿足跨域網絡中其它網絡實體對象的身份認證服務的需求，并支持用戶在全網范圍內的跨網認證。被認證實體和認證服務系統之間建立的網絡信任關系和信任內容必須能夠面向全網進行傳遞，實現“一次認證、全網通行”。考慮到跨域網絡中各安全區域的電子身份認證結點由多個廠家承建、證書內容、證書存儲和證書服務標準尚未完全一致的現狀，跨域交換網絡身份認證服務系統應該能夠兼容不同廠家的電子認證系統的證書格式、證書存儲和服務方式，同時也要兼容不同證書硬件載體，包容電子認證系統目前存在的差異性并按需進行實體身份確認和驗證的環節，如用戶接入控制網關、應用、設備驗證等提供可信的身份信任信息服務，確保全網各個環節的各種控制、保護措施的安全可信、可管可控、可信可用。

1.3 跨域網絡統一資源授權管理需求

從確保安全可信的互聯互通、信息共享出發，跨域網絡融合一方面要解決應用系統能夠面向全網用戶、機構授權，并允許授權用戶跨網訪問應用系統；另一方面也要對網絡資源進行權限管理和訪問控制，避免不受控的跨網訪問和非法攻擊行為。從系統服務安全性和可用性出發，對應用系統的授權服務和權限管理的內容不僅包括應用訪問權，還必須包括應用資源的操作、信息和文件閱覽權限等，實現授權的安全性和服務的全網性，并能夠滿足對統一服務管理的資源提供安全可信授權要求，使資源所有者或者應用系統能夠根據授權權限信息對資源的訪問進行控制，確保只有具有合法身份，并通過資源管理系統進行授權的用戶才能成功訪問資源，進行相關業務操作，為資源安全提供保障。

1.4 跨域網絡信任體系統一責任認定支撐需求

跨域交換網絡信任體系實現責任認定的全部過程應通過網絡進行，全部過程電子化、無紙化，能方便進行責任認定和管理，真正滿足跨域交換網絡信息共享、業務協同過程中的責任認定需要。同時，為了保證責任認定體系的公平、公正、公開，并且作為一種全程、全網的服務，需要在跨域交換網絡中構建一個獨立于所有應用系統之外的責任認定體系，作為一種基礎服務，在跨域交換網絡中為所有應用系統提供責任認定的服務。并且這樣一種基礎服務能方便的做到全程、全網的支持，能對每一個環節都進行證據保留和責任認定。

2 系統功能

2.1 統一資源管理服務功能

提供基于策略的資源信息注冊、同步、級聯、共享、發布功能；支持策略配置和管理功能；提供對系統運行狀態、資源信息同步共享狀態、資源信息統計等監管功能。

2.2 統一資源認證服務功能

具備可信的身份標識、權限鑒別、追蹤審計等體系化跨域信任服務支撐能力，提供信任服務接口標準，支持跨域應用系統及網絡實體的信任管理及可信安全認證服務。

2.3 統一資源授權服務功能

支持對用戶、網絡設備、服務應用等實體訪問行為分類標示和分級授權，能夠進行動態權限管理與安全策略配置。

2.4 統一資源責任認定功能

支持跨域業務系統雙向認證功能，提供實體注冊、標識認證、授權審計、跨域映射、單點登錄、權限鑒別、訪問控制、黑名單控制等能力。

3 總體設計

如圖1所示，網絡信任體系的總體架構主要包括信任體系安全中間件、網絡信任資源管理、網絡實體信任服務、信息資源信任服務、信任服務集成環境五個部分。

3.1 信任體系安全中間件

網絡信任體系的底層是電子認證系統、數字證書、密碼設備等，信任體系安全中間件是基于密碼硬件和密碼接口兩個抽象層，實現對不同密碼設備廠家、不同CA認證中心簽發證書的統一融合，解決密碼設備之間不能互認、不同證書體系之間不能互信互驗的問題。網絡信任體系的所有系統基于統一安全中間件進行密碼處理，避免了密碼孤島的存在。

3.2 網絡信任資源管理

網絡信任的信任源頭是物理世界的信任，所有網絡上可信的實體必須具有物理世界信任的現實基礎，網絡信任資源管理就是連接物理世界信任和網絡世界信任的關鍵，通過對物理實體對象進行統一注冊管理,為每個實體對象分配唯一的網絡身份標識,實現物理實體在網絡世界的身份初始化，作為網絡信任體系的實體信任源點。

3.3 網絡實體信任服務

網絡上的行為、權力，必然需要和物理實體對應。實體信任服務就是為了解決網絡上用戶其背后的物理實體是誰、具有何種權利，以及基于身份、權利進行資源保護的問題。網絡實體信任服務以身份認證為基礎，通過對虛擬用戶進行真實身份的認證，并確保該虛擬用戶可以用唯一網絡身份標識從事網絡行為，行使其獲得或處理信息的權利等。為了對網絡行為進行追責，網絡信任體系還要提供行為證據保留和責任認定的問題。實體信任服務是實現匿名虛擬網絡向實名可信網絡轉變的基礎。實體信任服務主要包括四個部分：身份認證服務、資源授權服務、訪問控制服務、責任認定服務。

3.4 信息資源信任服務

信息資源是信息化重要資產，信息資源安全往往依賴信息系統實現。然而在互聯互通、信息共享和業務協同過程中，信息資源必須不依賴任何特定信息化環境，成為具有自安全能力的獨立對象。信息資源信任服務需要解決的是確保電子文件、業務信息等信息資源在全網環境下內容的互信互認、操作的互信互認。信息資源信任服務包括簽名驗簽服務和可信憑證服務兩部分。

3.5 信任服務集成環境

上層應用系統通過信任服務集成環境實現和網絡信任體系的對接。網絡信任體系將各種實體信任服務、信息資源信任服務統一封裝到信任服務集成環境中，無論用戶從哪里登錄、無論應用資源在哪個安全域，只要通過認證、鑒權，就進入了安全業務處理環境，在業務過程中，隨時可以調用網絡信任體系的信任服務，實現資源訪問、資源安全處理等。信任服務集成環境是網絡信任體系的服務展現層。

4 系統架構關系

4.1 網絡信任體系與密碼管理和證書認證基礎設施的關系

一方面依托密碼管理和認證服務基礎設施作為構建信任體系的密碼基礎（密碼管理規范了密碼算法，認證服務提供了數字證書的簽發和驗證服務）。另一方面，網絡信任體系作為密碼服務的中間層，通過安全中間件同時支持不同廠家的密碼設備、不同認證機構的數字證書，實現跨機構證書互信互認，是密碼管理和認證服務基礎設施為業務提供服務的樞紐。

4.2 網絡信任體系和網絡基礎設施的關系

網絡信任體系必須以全網為服務和保障范圍，在網絡互聯互通的基礎上，首先解決全網范圍內信任互聯互通問題，并為全網范圍內的業務互聯互通提供支撐和保障。

4.3 網絡信任體系和應用的關系

網絡信任體系不是密碼應用的目標，相反，網絡信任體系是為上層應用提供服務。基于網絡信任體系開發和部署的上層應用，不僅系統自身安全得到保障，同時行業或區域內的部門和部門之間，乃至跨行業和跨域區應用系統可以基于互信互認的基礎上，實現信息共享、業務協同。

5 技術實現途徑

5.1 密碼應用需向密碼使用管理和服務轉變

密碼應用領域面臨以下迫切的轉變要求，主要體現在：密碼應用的思維要從 “技術支撐”向“業務保障”轉變。密碼行業技術性強，但不能因此只關注密碼技術，而忽視密碼應用效果，密碼技術的發展最終應服務于業務開展，是為解決業務運行的安全性服務，因此，密碼應用應該更貼近業務層面對信息安全的要求，確保業務安全是密碼應用的最終目標。密碼使用模式應從被動的“密碼應用”向主動、便利、安全可靠的“密碼服務”的轉變。上層應用通過調用密碼設備密碼接口來應用密碼的傳統模式，不僅應用難度高，而且效果難以保障：“用了密碼卻不一定安全”現象比比皆是，更嚴重的問題是“密碼應用”的模式帶來了嚴重的“密碼孤島”、“信任孤島”現象，因而，不改變密碼使用模式，就不可能改變面臨的問題，因此，從保障業務安全運行、安全互聯互通、安全信息共享、安全業務協同的角度出發，直接面向業務信息安全需求進行密碼服務封裝，統一通過密碼邏輯實現，上層應用系統通過調用統一體系的密碼服務,避免密碼各自實現問題，從而使得密碼更易用、更好用、更安全。

5.2 信任應用向信任服務體系轉變

網絡信任體系是面向業務信息安全需求的安全統一實現，它向應用屏蔽了底層密碼邏輯，面向業務對實體身份可鑒別、可驗證，實體行為可信、可追溯的需求，以及文件和業務信息的安全、可信、可鑒別等方面的需求進行統一實現，解決密碼邏輯各自實現帶來的各種風險和問題。網絡信任體系提供業務層服務接口，為應用提供完整的信任服務。網絡信任體系為上層應用提供應用層面的接口，極大降低了應用開發和部署的難度，應用系統只需要關注安全邏輯和安全結果，而無需關注密碼邏輯實現；其次，由應用層的信任服務，方便擴展，可以迅速滿足新的需求；第三，統一服務接口可以確保業務層面的互聯互通，為業務延伸、互聯互通、業務協同等提供全過程的安全保障。

5.3 盡早進行網絡信任體系規劃

網絡信任體系的建設，從兩個層面可以提升對密碼應用的管理能力。一是所有信息化系統必須通過和網絡信任體系平臺進行整合，通過資源注冊、授權，才能提供服務，因此，密碼管理部門可以非常準確了解到有多少密碼應用系統在線上服務；二是所有用戶也必須通過資源注冊、身份認證才能上網。用戶注冊時需要注冊所關聯的數字證書，用戶能訪問的應用也需要在網絡信任體系中進行授權，因此，管理部門可以非常準確了解本區域數字證書的持有和應用情況。