基于出入境模型的跨域數(shù)據(jù)交換模型設(shè)計*

程永新，唐 晉，楊正東，郭 爽

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息社會的不斷發(fā)展，信息融合正逐步走向深化。業(yè)務(wù)系統(tǒng)如何跨越不同安全等級的網(wǎng)絡(luò)域進(jìn)行數(shù)據(jù)傳輸，是整合各類信息資源、降低各系統(tǒng)間信息壁壘、推動信息融合可持續(xù)發(fā)展必須要解決的問題。由于歷史和技術(shù)方面的原因，我國的信息化建設(shè)與國外主要戰(zhàn)略對手相比，在資源共享、數(shù)據(jù)交換等建設(shè)上還存在一定的差距，就如何建立統(tǒng)一標(biāo)準(zhǔn)的跨域數(shù)據(jù)交換系統(tǒng)還沒有定論。

本文將需要交換的數(shù)據(jù)類比為需要出境的人員，在分析了出入境流程和要素的基礎(chǔ)上設(shè)計了一種跨域數(shù)據(jù)交換模型，可以安全有效的實現(xiàn)跨域數(shù)據(jù)交換。

1 跨域數(shù)據(jù)交換面臨的問題

當(dāng)前跨域數(shù)據(jù)交換以網(wǎng)閘、光盤擺渡設(shè)備[1]為主，但更多的時候是未能根據(jù)業(yè)務(wù)需求建立跨域交換體系，其根本原因主要是不信任來自其他網(wǎng)絡(luò)域的數(shù)據(jù)和害怕本域數(shù)據(jù)被非法導(dǎo)出[2-3]。

（1）不信任來自其他網(wǎng)絡(luò)域的數(shù)據(jù)：其他網(wǎng)絡(luò)域傳入的數(shù)據(jù)，其來源是否合法、數(shù)據(jù)是否被偽造篡改、內(nèi)容是否安全（含病毒）、本網(wǎng)絡(luò)域是否需要、是否存在非法隱蔽傳輸通道，這些都是輸入數(shù)據(jù)不被信任的問題。

（2）對本域數(shù)據(jù)非法輸出的擔(dān)心：業(yè)務(wù)系統(tǒng)或用戶害怕本網(wǎng)絡(luò)域特有的敏感數(shù)據(jù)通過跨域交換被非法導(dǎo)出；數(shù)據(jù)輸出的來源是否真實、數(shù)據(jù)是否允許被輸出、數(shù)據(jù)傳輸過程中是否被篡改夾帶、數(shù)據(jù)內(nèi)容是否敏感、是否存在非法隱蔽傳輸通道等，這些都是對數(shù)據(jù)非法輸出的擔(dān)心。

因此，如果不能合理有效的解決以上兩方面的問題，跨域數(shù)據(jù)交換系統(tǒng)是不可能被允許建立的。公民出入境也面臨著人員身份真實性、攜帶敏感物品出境、外來人員非法入境等問題，與跨域數(shù)據(jù)交換有一定的相似性，而公民出入境管理已經(jīng)被事實證明是對出入境行為的有效管理辦法，因此根據(jù)公民出入境模型來設(shè)計跨域數(shù)據(jù)交換模型是一種行之有效的方法。

2 公民出入境模型

查閱《中華人民共和國出境入境管理法》，公民出境時，首先需要去當(dāng)?shù)毓矙C(jī)關(guān)辦理護(hù)照，然后去大使館辦理簽證（落地簽可省略）；前往出境海關(guān)辦理出境手續(xù)；通過跨境通道到達(dá)其他國家；在入境海關(guān)接受檢查；最后前往目的地。普通公民出入境辦理流程如圖1 所示。

其中，關(guān)鍵的機(jī)構(gòu)包括：公安機(jī)關(guān)、出境海關(guān)、跨境通道、入境海關(guān)等。這些機(jī)構(gòu)共同完成了出入境人員的身份審核、行為控制、安全檢查等核心功能。各機(jī)構(gòu)的工作內(nèi)容和必要性如表1 所示。

圖1 普通公民出入境流程

表1 出入境關(guān)鍵機(jī)構(gòu)及其工作內(nèi)容

由出入境流程可以看出，其核心是護(hù)照，在出入境的各個關(guān)鍵點，全部需要對護(hù)照和人進(jìn)行對照檢查，并留下記錄，以便后續(xù)審計查詢。根據(jù)《中華人民共和國護(hù)照法》，護(hù)照的登記項目包括：護(hù)照持有人的姓名、性別、出生日期、出生地，護(hù)照的簽發(fā)日期、有效期、簽發(fā)地點和簽發(fā)機(jī)；護(hù)照的防偽性能參照國際技術(shù)標(biāo)準(zhǔn)制定。因此，護(hù)照完整的記錄了個人信息，并具有防偽性。

3 跨域數(shù)據(jù)交換模型設(shè)計

3.1 跨域數(shù)據(jù)交換模型要點

在分析公民出入境模型的基礎(chǔ)上，結(jié)合跨域數(shù)據(jù)交換特點，跨域數(shù)據(jù)交換模型設(shè)計應(yīng)包含以下幾個關(guān)鍵點：

（1）統(tǒng)一信任[4]：像護(hù)照一樣，不同國家均信任護(hù)照記錄的信息是真實可靠的。因此，需要有一種統(tǒng)一信任的機(jī)制，使不同網(wǎng)絡(luò)域都能夠信任該機(jī)制所記錄的內(nèi)容。

（2）傳輸控制[5]：跨域數(shù)據(jù)交換的特點要求多點控制，在不同域、不同點均有驗證和控制的需求，確保非法、不合規(guī)的數(shù)據(jù)不能傳輸。

（3）安全防護(hù)：安全防護(hù)是數(shù)據(jù)交換的重中之重，防止敏感信息輸出，阻止惡意數(shù)據(jù)進(jìn)入；此外還應(yīng)加強(qiáng)自身防護(hù)，防止隱蔽通道存在。

（4）審計追蹤：數(shù)據(jù)交換中，必須進(jìn)行安全審計，記錄交換行為所有信息，并能夠?qū)π袨檫M(jìn)行回溯，以便進(jìn)行大數(shù)據(jù)分析和行為追則。

3.2 跨域數(shù)據(jù)交換模型

公民出入境模型中的關(guān)鍵點包括：公安機(jī)關(guān)、護(hù)照、出境海關(guān)、跨境通道和入境海關(guān)。因此，可以將這些關(guān)鍵要素與跨域數(shù)據(jù)交換模型要素進(jìn)行類比，類別關(guān)系如表2 所示。

表2 出入境與跨域交換要素類比

考慮到跨域數(shù)據(jù)交換與現(xiàn)實中的出入境畢竟有些差別，如：數(shù)據(jù)到達(dá)對方網(wǎng)絡(luò)域后，基本沒有返回的需求（如需返回，可以認(rèn)為是對方網(wǎng)絡(luò)域數(shù)據(jù)進(jìn)入本網(wǎng)絡(luò)域）；數(shù)據(jù)到達(dá)對方網(wǎng)絡(luò)域交給業(yè)務(wù)系統(tǒng)后，數(shù)據(jù)護(hù)照不再需要保留等。考慮到數(shù)據(jù)交換完成數(shù)據(jù)發(fā)送和對端接收是一個完整的流程，返回的數(shù)據(jù)可以完全復(fù)制這一流程。故設(shè)計跨域數(shù)據(jù)單向交換模型（反向同等復(fù)制即可），如圖2 所示。

圖2 跨域數(shù)據(jù)交換模型

（1）數(shù)據(jù)護(hù)照

跨域數(shù)據(jù)交換模型中，數(shù)據(jù)護(hù)照貫穿了數(shù)據(jù)交換的全生命周期，從數(shù)據(jù)發(fā)送開始，數(shù)據(jù)護(hù)照與交換數(shù)據(jù)一同經(jīng)過代理程序查驗、跨域發(fā)送服務(wù)檢查、跨域傳輸通道、跨域接收服務(wù)檢查，最后到達(dá)接收業(yè)務(wù)系統(tǒng)。數(shù)據(jù)護(hù)照起到了來源確認(rèn)、接收方確認(rèn)、數(shù)據(jù)真實性完整性保護(hù)、安全檢查記錄等核心作用，對于實現(xiàn)跨域數(shù)據(jù)交換的可管可控、真實傳輸起到了決定性的作用。

鑒于數(shù)據(jù)護(hù)照在跨域數(shù)據(jù)交換中的核心作用，數(shù)據(jù)護(hù)照體系的設(shè)計顯得尤為重要。這里可以通過密碼手段設(shè)計數(shù)據(jù)標(biāo)識的方法實現(xiàn)數(shù)據(jù)護(hù)照系統(tǒng)，在實現(xiàn)關(guān)鍵功能特性基礎(chǔ)上，有效對數(shù)據(jù)護(hù)照本身進(jìn)行保護(hù)。

（2）安全檢查

跨域數(shù)據(jù)交換模型中，安全檢查是非常重要的，其檢查的內(nèi)容以至少包括：數(shù)據(jù)來源檢查、交換權(quán)限檢查、數(shù)據(jù)格式檢查、數(shù)據(jù)內(nèi)容檢查、病毒木馬查殺、數(shù)據(jù)真實性、數(shù)據(jù)完整性等內(nèi)容，此外可根據(jù)不同網(wǎng)絡(luò)域的需求，還可以部署數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、惡意代碼沙箱等擴(kuò)展功能，確保數(shù)據(jù)交換的安全性。

（3）自身安全性

現(xiàn)實中，公安機(jī)關(guān)、大使館、出入境海關(guān)自身安全性是有保證的；因此，模型中必須考慮關(guān)鍵位置的自身安全性問題。可以將關(guān)鍵功能點集中部署，提供有效的邊界安全防護(hù)能力，如：訪問控制、接入認(rèn)證、地址轉(zhuǎn)換、攻擊檢測、防DOS 等安全功能，提升跨域數(shù)據(jù)交換系統(tǒng)自身的安全性。

（4）跨域通道

跨域傳輸通道連接了兩個網(wǎng)絡(luò)域，應(yīng)確保不存在隱蔽通道（非法傳輸通道），在數(shù)據(jù)傳輸過程中數(shù)據(jù)不丟失、不泄露、不被篡改，只有合法的數(shù)據(jù)能夠進(jìn)行傳輸。

（5）名錄服務(wù)

公民出入境過程中，目的地是可查的，大使館只負(fù)責(zé)核實；但跨域數(shù)據(jù)交換時，對端網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)一般不會告知其具體地址和相關(guān)信息。因此，需要設(shè)定交換名錄服務(wù)，記錄業(yè)務(wù)系統(tǒng)在本網(wǎng)絡(luò)域的地址等信息，其他網(wǎng)絡(luò)域業(yè)務(wù)系統(tǒng)的別名。當(dāng)需要交換時，首先查詢其他網(wǎng)絡(luò)域目標(biāo)系統(tǒng)的別名，將其加入數(shù)據(jù)護(hù)照；對端網(wǎng)絡(luò)解析目標(biāo)系統(tǒng)別名，查找其地址，對數(shù)據(jù)進(jìn)行推送。

3.3 跨域數(shù)據(jù)交換流程

數(shù)據(jù)交換具體流程如圖3 所示。

圖3 跨域數(shù)據(jù)交換流程圖

業(yè)務(wù)數(shù)據(jù)跨域交換時具體流程如下：

（1）業(yè)務(wù)系統(tǒng)首先查詢名錄，填寫發(fā)送者和接收者信息，然后去數(shù)據(jù)護(hù)照服務(wù)獲取數(shù)據(jù)護(hù)照；

（2）將數(shù)據(jù)護(hù)照與數(shù)據(jù)一同發(fā)給跨域發(fā)送服務(wù)，進(jìn)行護(hù)照檢查和安全檢查，并完善數(shù)據(jù)護(hù)照；

（3）數(shù)據(jù)與護(hù)照通過跨域傳輸通道傳輸?shù)侥繕?biāo)網(wǎng)絡(luò)域；

（4）數(shù)據(jù)接收服務(wù)對數(shù)據(jù)護(hù)照進(jìn)行檢查，對內(nèi)容進(jìn)行安全檢查，并完善數(shù)據(jù)護(hù)照；

（5）查詢名錄，獲知接收者地址，將數(shù)據(jù)推送到接收系統(tǒng)；

（6）業(yè)務(wù)接收數(shù)據(jù)和數(shù)據(jù)護(hù)照，并調(diào)用數(shù)據(jù)護(hù)照服務(wù)去除數(shù)據(jù)護(hù)照。

4 結(jié) 語

本文從跨域數(shù)據(jù)交換需求出發(fā)，參考公民出入境模型，設(shè)計了跨域數(shù)據(jù)交換模型。該模型以數(shù)據(jù)護(hù)照為核心，實現(xiàn)了跨域數(shù)據(jù)交換過程中的身份檢查、權(quán)限檢查、真實性保護(hù)、安全檢查等要求，滿足了數(shù)據(jù)交換全生命周期的可管可控、數(shù)據(jù)真實、內(nèi)容安全的核心需求，對跨域數(shù)據(jù)交換系統(tǒng)建設(shè)具有重要的參考意義。