面向多级安全的跨域交换技术研究*

肖柳林

(海军指挥自动化工作站，北京100089)

0 引言

随着信息化技术的迅猛发展，网络凭借其高效、便捷的优势，已作为一种数据交换方式被广泛应用到社会生活的各个方面，成为信息业务开展不可或缺的重要途径。互联互通的网络信息系统正引发信息安全领域一场重大的变革，分布式、动态的安全需求对集中、静态的传统安全模式提出了挑战，大规模的用户认证和敏感资源的共享等安全问题成为人们关注的焦点。当前，网络信息系统通常将自身划分为多个自治管理域(也称为安全域)，通过多域间的安全隔离来实现对用户的访问控制以及信息资源的安全管理。

跨域的信息交换为网络资源和服务的最大化共享创造了条件，提高了网络信息系统的效能和资源利用率。然而，在享受通信便利的同时，由于跨域系统开放了域内多个端口，它将面临各种来自系统内部、外部的权限隐蔽提升、匿名访问等安全问题，从而导致信任危机。具体来说，跨域信息系统在安全方面主要面临几个方面的挑战［1－2］:①跨域交换的用户量大，使得对不同安全域、不同安全等级的用户管理复杂化，给用户授权认证以及信任评价带来了困难;②安全域以及安全等级的数量不断增加，用户角色的映射已经从一对一安全域跨越到了一对多安全域的角色传递;③由于应用层协议复杂多样，越来越多的黑客利用应用层的漏洞对系统发起攻击，各类攻击隐藏于应用层数据包中，难以在网络层被检测出来。因此，无论是从用户授权认证管理、信任评价机制，还是从跨域角色映射、跨域数据安全交换，都需要新的策略来保证跨域信息交换系统的安全性。

多级安全保护机制则可为跨域系统的信息交互提供安全支撑，它强调网络信息系统中信息是否按级访问，通常会给系统中的主体和客体分配不同安全等级标签，并通过安全标签的对比，实现主体对客体的安全访问［3］。多级安全保护机制根据系统的重要程度以及受攻击后的危害性，对信息系统实施不同等级的安全保障。以此同时，多级安全保护还将对系统划分不同的敏感级别，控制用户对资源的访问权限。

因此，针对现有跨域信息系统在数据交换方面的安全需求，本文从多级安全的角度研究了跨域信息交换技术，设计了多级安全跨域数据交换框架，实现了多域信息系统的安全互联与资源共享。

1 问题与分析

跨域交换技术是实现网络信息系统间互联互通的重要途径，在安全方面，该技术不仅要对用户的访问进行有效的权限控制，而且须确保交互数据的安全性。但是，在网络信息系统最初的设计中，安全方面的考虑并不完善，传统的跨域交换中缺乏对多级安全属性及相关操作的支持，且在数据交换过程中无法有效地过滤掉应用层的安全威胁，因此，现有的技术架构难以满足功能日益丰富的跨域交换系统的安全需求，具体来说，本文认为主要存在以下几个关键问题:

(1)缺乏面向多级安全的跨域交换技术框架

面向多级安全的跨域数据交换系统，既要实现域间数据快速、安全交换，又要控制域间不同用户、不同权限的访问映射关系，这里将涉及到两个层面:网络层和应用层，其中，网络层负责数据的安全封装与交换，应用层负责权限控制与安全策略管理，两层互相联动，共同保证信息的安全交互。但现有多级安全模型，在实际跨域信息系统中应用存在着适应性差、安全性不足等问题，无法完全保证域间数据交换的安全;而现有的跨域数据交换模型又不能完全适用于多级安全网络，因此，迫切需要建立面向多级安全的跨域交换模型，为多级安全网络信息系统间的安全互联互通提供理论与技术支撑。

(2)缺乏有效的安全标签绑定技术

安全标签是多级安全系统实施安全控制的基础，但安全标签并不是现有数据信息的固有属性，因此，缺乏有效的安全标签绑定技术，使得安全标签的管理陷入混乱，造成安全标签绑定不一致、假冒、替代等问题，严重阻碍了多级安全的发展［4］。因此，研究安全标签与信息载体有效的绑定，是实现细粒度资源访问控制、数据安全交换的关键。

(3)缺乏全面的数据内容过滤机制

面对不同安全等级、不同业务类型、不同管理区域网络的数据交换需求，如何在保证信息安全互通的同时，防止敏感信息泄露，阻止恶意数据对系统的影响，是当前跨域交换系统安全的重要保证。因此，需要建立全面的、有效的内容过滤机制，防止高安全等级内容传送到低安全等级的网络或用户而导致的信息泄露等问题。

2 面向多级安全的跨域交换系统框架

面向多级安全的跨域交换系统技术架构如图1所示，主要由多级安全代理模块和多级安全交换模块组成，通过对系统进行实时、准确的监测与调控，确保数据交换的安全性。

图1 多级安全跨域交换系统框架Fig.1 Framework diagram of cross－ domain exchange system with multilevel security

多级安全代理设备以串接方式成对部署两网互联的边界处，由前置代理模块、后置代理模块、日志审计和配置管理模块等组成，如图1所示。前置代理模块由接入控制、业务应用代理、安全性检查和数据封装等模块组成;后置代理服务模块则由解封装、协议转换、安全性检查和业务应用代理等模块组成。

多级安全交换设备负责跨域间的数据安全传输，采用“2+1”硬件架构，由相互独立的A网处理单元、多级安全隔离交换单元和B网处理单元组成，如图2所示。网络处理单元基于自主可信平台硬件设计，运行专用安全加固操作系统，保证所有处理过程都在可信执行环境进行。多级安全交换系统软件分布在两个独立的网络处理单元，对多级安全代理设备提交的专用格式静态数据进行合规性和安全性检查，按照隔离交换规则通过唯一的数据交换通道——隔离交换单元，交换到对端。

图2 多级安全交换设备构成Fig.2 Structure diagram of multilevel security exchange equipment

跨域数据交换通过多级安全级数据交换设备实现，它是不同安全等级网络之间唯一的数据交换通道，采用专用的硬件设计保证了在任意时刻网络间的物理链路层断开，从硬件层面保证了不同安全等级网络间的网络隔离。专用隔离交换处理单元采用专有的硬件交换电路板实现，通过硬件逻辑控制内外网单元对隔离交换数据缓存区的互斥访问，从而实现不同安全等级网络间专用的、高速的网络隔离交换。

3 关键技术

3.1 安全标签绑定技术

安全标签绑定是实现网络信息系统中多级安全数据交换的前提与基础，如何进行安全标签与信息客体的绑定一直是多级安全有效实施的关键。目前，现有的大多安全标签绑定技术都主要针对网络层的数据包，导致安全标签与数据绑定实现的粒度相对较粗，对应用层的信息资源无法有效的结合，因而存在应用层数据安全标签与网络层数据安全标签的映射问题，导致安全标签的通用性较差，在多级安全保护体系下，其实现难度较大。同时，受到编码格式和数据包长度的限制，无法更进一步对网络层的安全标签进行扩充。

针对以上提及的不足，结合多级安全保护机制的需求，本小节提出一种基于XML的应用层数据课题与安全标签绑定技术［5］，具有适应性好、安全标签不受限、实施容易等优势，能够对信息数据进行细粒度的访问控制与保护功能。它包含以下两部分:数据多级分割和XML安全标签绑定。

(1)数据多级分割

数据多级分割是指根据数据的重要程度，将数据转化为具有良好定义的、层次化的多级树形XML文档，为后续不同级别的安全标签绑定提供安全分级依据。

数据多级分割的步骤如下:

a)根据数据信息的重要程度对其进行首次多段处理。

b)确定每一个数据段的起始位置和结束位置，并对每个数据段进行边界标识。

c)为每一个数据分段根据其重要程度以及系统的安全策略分配对应的安全标签，这里，安全标签包含数据段的密级、知悉范围、安全约束条件以及对应的处理方法。

d)以上a)～c)步骤完成了数据的一级安全标签的划分，根据实际系统的需求以及数据段的敏感等级，可继续对每个数据段进行分割操作，即重复步骤a)～c)，得到下一级的数据安全分割。

e)重复步骤a)～d)的操作，直至数据被完全分割并转化为符合需求的多级数据，分割过程结束。最后，将分割后得到的多级数据通过 XML安全标记绑定方式形成多级XML安全标记文档。

(2)XML安全标签绑定

通常，采用XML文档来实现数据与安全标签的绑定有以下两种方式:①数据与安全标签融合，该方式采用相关编码算法，将信息数据转换为基于XML文档的字符集，然后将安全标签与数据进行绑定，并将其存储于XML文档中;②数据与安全标签分离，该方式不对数据进行相关的解析编码，采用引用的方式实现安全标签与数据的绑定，即在XML安全标记文件中通过URL的方式引用数据。

对比以上两种方式，我们可以看出:前一种方式将数据与安全标签置于同一个XML文档中，这样有利于数据的传输与管理;但由于XML集数据与安全标签于一体，造成文件的占用空间过大，这样降低了文件的可读性，且降低了XML文档的更新效率，存在存储空间受限、数据识别度低等不足。后一种方式采用了URL的方式对数据进行外部引用，不需要进行数据的编码转化，提高了安全标签的处理效率，并且数据能够被多个安全标签文档引用，降低了资源冗余度;其不足在于当数据位置发生变化时，安全标签的应用也必须做出相应的更新。

在跨域交换系统中，我们可以采用以上任一一种方式对数据和安全标签进行绑定，并以安全数据段(XML安全标记文档)的方式进行传输。同时，为了确保数据与安全标签绑定后在网络传输中的完整性，采用签名算法对安全数据段进行签名，并附在安全数据段尾部，如图3所示。

图3 数据与安全标签绑定Fig.3 Binding of data and security label

3.2 内容过滤技术

网络内部用户的误用和恶意使用可以绕过接入控制、基于网络等级的控制、安全标签技术等防护措施，因此需要进一步提供基于内容的信息安全等级保护。基于内容的信息安全等级保护，通过对内容的检查、识别和分类，确定内容的安全等级，根据其等级与安全策略对内容进行过滤。

目前主要的内容过滤技术有:关键词过滤技术、基于特征的过滤技术、基于语义的过滤技术。

(1)关键词过滤技术

关键词过滤技术通过构建一些独立或组合的与特定的安全等级相关联的词语来对信息进行识别和分级，信息数据按照关键词出现的频率由高到低对其进行定级。关键词过滤技术是一种较为简单的内容过滤技术，它的本质是创建一个庞大的过滤词汇表。该技术的过滤能力完全依赖于词汇表的构建与数量，在实际使用中，该技术灵活度相对较弱，适用一些较为粗粒度的内容过滤。

(2)基于特征的过滤技术

基于特征的过滤技术采用模式识别、人工智能等相关理论和方法对数据进行过滤，其模型主要有向量空间模型、神经网络模型、基于规则的模型等。

(a)向量空间模型

向量空间模型［6］将数据文档简化为以特征项的权重为分量的一个高维向量表示，将数据信息过滤映射为空间向量的运算，从而大大降低了问题的复杂度。该模型的最大特点在于能够方便地计算出数据与预设不良信息库的相似度，并通过相似度来定量的过滤掉不良数据。

具体的内容过滤步骤如下:

步骤1:数据加工。将数据转换成一个由m个特征项和权值表示的向量D;

步骤2:向量比较。将向量D同预设不良数据向量P进行相似度计算，即sim(D，P);

步骤3:数据过滤。设定过滤阈值ψ，若sim(D，P)＞ψ，则将D作为不良数据过滤掉。

该方法将数据以特征的方式转化到向量空间统一表示，具有计算简单有效、操作性高等优势，从而使得数据内容过滤更易于实现。不足之处在于，数据内容的特征项较为独立，无法有效地区分出同一内容在不同位置的语义差异，无法识别内容的结构信息，不能充分地体现数据内容的总体情况。更重要的是，难以准确的定义特征项的权重值，影响内容过滤的相关度计算，降低过滤效率。

(b)贝叶斯决策模型

贝叶斯决策模型的基本思想是根据以往的判断经验估计出某一数据属于相关集合的概率。通常情况下，该模型将训练实例S分解成特征向量X(X1，X2，X3，…，Xn)和决策变量 C，并假定 X 的各分量间相对于C是相对独立的。在计算过程中，数据属于类别的概率等同于数据中每个特征项属于类别的概率综合，最后，根据各类别的概率结果选择概率最大的作为该数据的类别。模型将数据源的内容分别分成正常内容和不良内容两类(C1，C2)，并根据特征词分段，按式(1)计算该数据X属于正常内容和不良内容的概率［7］:

该模型的优势在于算法逻辑简单、易于实现，且过滤时空开销小、算法稳定。但它并未考虑特征项出现的频率，且算法建立在独立性假设的前提下，对于复杂内容的过滤，判断误差较大。

(c)基于规则的模型

基于规则的内容过滤模型一般通过包含各种约束条件的规则集做出决策进行内容过滤，其中，每一条规则都能表示用户的数据过滤需求，根据这些规则对需要过滤的数据进行匹配，同时考虑数据的上下文关系，判定数据是否被过滤掉，其优势在于实现简单，数据匹配的时间消耗较少，相关理论和技术相对成熟，能够解决有些统计方法无法解决的问题。但它的不足之处体现在:对于新的非结构化的数据，必须采用信息分析构件对其进行必要的推导，而此类推导过程是相当困难的;同时，随着时间的增长，过滤器中所包含的规则将逐步过时，在应付不确定性事件时，变现得心有余而力不足。

(3)基于语义的过滤技术

基于语义的过滤技术具有更准备的判断能力，通过对数据信息语义的分析，得到接近人工处理的程度。但由于目前对自然语言的处理与理解技术有限，该类技术还不能应用于工程实践中。

通过以上的研究与分析，结合跨域信息系统的特征，我们可以将关键词过滤技术及基于特征的过滤技术相集合，通过合理的组合实现数据内容最大化的安全过滤。

4 结语

跨域交换技术是实现网络信息系统间互联互通的重要途径，在安全方面，该技术不仅要对用户的访问进行有效的权限控制，而且须确保交互数据的安全性。针对现有跨域信息系统在数据交换方面的安全需求，文中从多级安全的角度研究了跨域信息交换技术，分析了当前跨域信息交换存在的安全问题，针对现有系统的不足，设计了面向多级安全的跨域交换系统架构，实现了多域信息系统的安全互联与资源共享，研究了多级安全跨域系统中的安全标签绑定、内容过滤等关键技术。

结合现有的研究，后期还将对以下问题做进一步研究:

(1)设计多级安全跨域数据交换协议

安全跨域数据交换协议设计是确保多域信息安全通信的关键，其适用性和安全性将直接决定着网络信息系统的发展。目前，在跨域交换技术的研究与工程实践领域中，大多都在网络层采用IPSec协议，缺乏对多级安全技术的有效支持，无法对交互的数据进行安全检查与控制。因此，多级安全跨域交换系统不能完全利用现有的安全网络协议，需要根据自身特点，设计出满足自身需求的安全通信协议。

(2)研究虚拟隔离运行技术

网络信息系统中不同安全等级的访问需要在不同的终端上进行，如果在同一台终端上访问和使用不同安全等级的网络，就必须要拥有良好的隔离措施，还要明确定义隔离的属性及其约束条件。因此，在跨域交换系统中，需要根据虚拟机的相关特性，建立虚拟平台内各类资源安全控制机制，构建出安全可信的隔离运行环境。

［1］丁烽祥，张怡，王勇军.多网安全隔离交换系统的设计与实现［J］.厦门大学学报:自然科学版，2007，11(S2):92－97.DING Feng － xiang，ZHANG Yi，WANG Yong － jun.The Design and Implementation of Multi－network Security Isolation－Exchange System［J］.Journal of Xiamen University:Natural Science，2007，11(S2):92 －97.

［2］曹利峰.面向多级安全的网络安全通信模型及其关键技术研究［D］.郑州:解放军信息工程大学，2013.CAO Li－feng.Research on Multilevel Security Oriented Network Secure Communication Model and Its Key Technologies［D］.Zhengzhou:PLA Information Engineering University，2013.

［3］程静，石勇.一种基于虚拟化技术的多级安全机制研究［J］.通信技术，2013，46(01):35－39.CHENG Jing，SHI Yong.Study on Multilevel Security Mechanism based on Virtualization［J］.Communications Technology，2013，46(01):35 －39.

［4］史萌，丁阿丹.物理隔离的网间“摆渡”技术应用研究［J］.通信技术，2013，46(06):114－116.SHI Meng，DING A －dan.Application of“Ferry”Technology between Physically Isolation Networks［J］.Communications Technology，2013，46(06):114 －116.

［5］李洪敏，万平国，葛杨.跨域引用监视器及其以数据为中心的多级安全模型［J］.计算机应用，2013(03):717－719.LI Hong－min，WAN Ping－guo，GE Yang.Cross Domain Reference Monitor and Its Data－Centered Multilevel Security Model［J］.Journal of Computer Applications，2013(03):717－719.

［6］欧海文，曾淑娟.基于数据标识的跨域增量数据交换模型［J］.北京电子科技学院学报，2012(04):53－56.OU Hai－wen，ZENG Shu－juan.Cross－domain Increasing Data Exchanging by Distinguished Name［J］.Journal of Beijing Electronic Science and Technology Institute，2012(04):53－56.

［7］穆原子.浅析网络安全中的内容过滤计算研究［J］.网络安全技术与应用，2013(06):33－34.MU Yuan － zi.Survey on Content Filtering Technique［J］.Network Security Technology ＆ Application，2013(06):33 －34.