跨域数据交换网络信任服务体系总体设计与技术实现

文/李一 冯楠 谭顺成

为全面推进经济、科技、教育、人才等各个领域的融合，在更广范围、更高层次、更深程度上把现代化建设与经济社会发展结合起来，跨域的数据交互是其中的关键需求。为打通跨域数据的壁垒，真正形成跨域数据的深度融合，需要建立跨域数据的交换平台，特别是跨域数据交换网络信任服务体系的设计和实现，是一项涉及面广、集成度高、保密性高、整体性强的系统工程。

1 建设需求

跨域数据交换所需的网络是不同于传统信息网络的大型复杂结构的网络。与现实中的组织架构相一致，大 型复杂网络分层级、分区域，在应用层上有跨层级、跨地域、跨系统、跨部门、跨业务的多系统协同和数据共享的需求，需构建新一代信任服务体系，实现跨域网络三个网络中各局部网络业务应用之间互信、互认、互联、互通、互操作，支撑各领域业务应用系统和用户的跨层级、跨地域、跨系统、跨部门、跨业务的协同和共享服务。

1.1 网络资源统一管理的需求

跨域融合网络中承载着多个网络中各自、各级部门大量的涉及办公、管理、协同、共享等的业务应用系统，很多重要业务应用需要跨部门、跨地区、跨系统、跨安全域进行业务协同。受政务、商业和安全因素的影响，跨域网络彼此互不信任，各自内部的局部信任系统之间也难以跨域建立信任关系。在跨域交换网络中构建统一信任服务体系的基础是建立资源统一管理服务。在跨域交换网络中用户、网络、应用和信息等全网资源中存在大量具有公共属性和共享属性的资源，在实际业务中这些资源被重复建设、分散管理。为方便资源的有效利用，需要对全网资源进行统一管理，形成资源信息的注册、发布、共享和查询等机制，能够满足跨域交换融合网络中资源共享和高效利用的机制，为跨域网络之间的互信、互任、互联、互通打下坚实基础。

1.2 跨域网络统一资源认证服务需求

跨域网络融合的信任服务系统中的身份认证服务系统，不仅要满足对用户身份认证的需求，还应满足跨域网络中其它网络实体对象的身份认证服务的需求，并支持用户在全网范围内的跨网认证。被认证实体和认证服务系统之间建立的网络信任关系和信任内容必须能够面向全网进行传递，实现“一次认证、全网通行”。考虑到跨域网络中各安全区域的电子身份认证结点由多个厂家承建、证书内容、证书存储和证书服务标准尚未完全一致的现状，跨域交换网络身份认证服务系统应该能够兼容不同厂家的电子认证系统的证书格式、证书存储和服务方式，同时也要兼容不同证书硬件载体，包容电子认证系统目前存在的差异性并按需进行实体身份确认和验证的环节，如用户接入控制网关、应用、设备验证等提供可信的身份信任信息服务，确保全网各个环节的各种控制、保护措施的安全可信、可管可控、可信可用。

1.3 跨域网络统一资源授权管理需求

从确保安全可信的互联互通、信息共享出发，跨域网络融合一方面要解决应用系统能够面向全网用户、机构授权，并允许授权用户跨网访问应用系统；另一方面也要对网络资源进行权限管理和访问控制，避免不受控的跨网访问和非法攻击行为。从系统服务安全性和可用性出发，对应用系统的授权服务和权限管理的内容不仅包括应用访问权，还必须包括应用资源的操作、信息和文件阅览权限等，实现授权的安全性和服务的全网性，并能够满足对统一服务管理的资源提供安全可信授权要求，使资源所有者或者应用系统能够根据授权权限信息对资源的访问进行控制，确保只有具有合法身份，并通过资源管理系统进行授权的用户才能成功访问资源，进行相关业务操作，为资源安全提供保障。

1.4 跨域网络信任体系统一责任认定支撑需求

跨域交换网络信任体系实现责任认定的全部过程应通过网络进行，全部过程电子化、无纸化，能方便进行责任认定和管理，真正满足跨域交换网络信息共享、业务协同过程中的责任认定需要。同时，为了保证责任认定体系的公平、公正、公开，并且作为一种全程、全网的服务，需要在跨域交换网络中构建一个独立于所有应用系统之外的责任认定体系，作为一种基础服务，在跨域交换网络中为所有应用系统提供责任认定的服务。并且这样一种基础服务能方便的做到全程、全网的支持，能对每一个环节都进行证据保留和责任认定。

2 系统功能

2.1 统一资源管理服务功能

提供基于策略的资源信息注册、同步、级联、共享、发布功能；支持策略配置和管理功能；提供对系统运行状态、资源信息同步共享状态、资源信息统计等监管功能。

2.2 统一资源认证服务功能

具备可信的身份标识、权限鉴别、追踪审计等体系化跨域信任服务支撑能力，提供信任服务接口标准，支持跨域应用系统及网络实体的信任管理及可信安全认证服务。

2.3 统一资源授权服务功能

支持对用户、网络设备、服务应用等实体访问行为分类标示和分级授权，能够进行动态权限管理与安全策略配置。

2.4 统一资源责任认定功能

支持跨域业务系统双向认证功能，提供实体注册、标识认证、授权审计、跨域映射、单点登录、权限鉴别、访问控制、黑名单控制等能力。

3 总体设计

如图1所示，网络信任体系的总体架构主要包括信任体系安全中间件、网络信任资源管理、网络实体信任服务、信息资源信任服务、信任服务集成环境五个部分。

3.1 信任体系安全中间件

网络信任体系的底层是电子认证系统、数字证书、密码设备等，信任体系安全中间件是基于密码硬件和密码接口两个抽象层，实现对不同密码设备厂家、不同CA认证中心签发证书的统一融合，解决密码设备之间不能互认、不同证书体系之间不能互信互验的问题。网络信任体系的所有系统基于统一安全中间件进行密码处理，避免了密码孤岛的存在。

3.2 网络信任资源管理

网络信任的信任源头是物理世界的信任，所有网络上可信的实体必须具有物理世界信任的现实基础，网络信任资源管理就是连接物理世界信任和网络世界信任的关键，通过对物理实体对象进行统一注册管理,为每个实体对象分配唯一的网络身份标识,实现物理实体在网络世界的身份初始化，作为网络信任体系的实体信任源点。

3.3 网络实体信任服务

网络上的行为、权力，必然需要和物理实体对应。实体信任服务就是为了解决网络上用户其背后的物理实体是谁、具有何种权利，以及基于身份、权利进行资源保护的问题。网络实体信任服务以身份认证为基础，通过对虚拟用户进行真实身份的认证，并确保该虚拟用户可以用唯一网络身份标识从事网络行为，行使其获得或处理信息的权利等。为了对网络行为进行追责，网络信任体系还要提供行为证据保留和责任认定的问题。实体信任服务是实现匿名虚拟网络向实名可信网络转变的基础。实体信任服务主要包括四个部分：身份认证服务、资源授权服务、访问控制服务、责任认定服务。

3.4 信息资源信任服务

信息资源是信息化重要资产，信息资源安全往往依赖信息系统实现。然而在互联互通、信息共享和业务协同过程中，信息资源必须不依赖任何特定信息化环境，成为具有自安全能力的独立对象。信息资源信任服务需要解决的是确保电子文件、业务信息等信息资源在全网环境下内容的互信互认、操作的互信互认。信息资源信任服务包括签名验签服务和可信凭证服务两部分。

3.5 信任服务集成环境

上层应用系统通过信任服务集成环境实现和网络信任体系的对接。网络信任体系将各种实体信任服务、信息资源信任服务统一封装到信任服务集成环境中，无论用户从哪里登录、无论应用资源在哪个安全域，只要通过认证、鉴权，就进入了安全业务处理环境，在业务过程中，随时可以调用网络信任体系的信任服务，实现资源访问、资源安全处理等。信任服务集成环境是网络信任体系的服务展现层。

4 系统架构关系

4.1 网络信任体系与密码管理和证书认证基础设施的关系

一方面依托密码管理和认证服务基础设施作为构建信任体系的密码基础（密码管理规范了密码算法，认证服务提供了数字证书的签发和验证服务）。另一方面，网络信任体系作为密码服务的中间层，通过安全中间件同时支持不同厂家的密码设备、不同认证机构的数字证书，实现跨机构证书互信互认，是密码管理和认证服务基础设施为业务提供服务的枢纽。

4.2 网络信任体系和网络基础设施的关系

网络信任体系必须以全网为服务和保障范围，在网络互联互通的基础上，首先解决全网范围内信任互联互通问题，并为全网范围内的业务互联互通提供支撑和保障。

4.3 网络信任体系和应用的关系

网络信任体系不是密码应用的目标，相反，网络信任体系是为上层应用提供服务。基于网络信任体系开发和部署的上层应用，不仅系统自身安全得到保障，同时行业或区域内的部门和部门之间，乃至跨行业和跨域区应用系统可以基于互信互认的基础上，实现信息共享、业务协同。

5 技术实现途径

5.1 密码应用需向密码使用管理和服务转变

密码应用领域面临以下迫切的转变要求，主要体现在：密码应用的思维要从 “技术支撑”向“业务保障”转变。密码行业技术性强，但不能因此只关注密码技术，而忽视密码应用效果，密码技术的发展最终应服务于业务开展，是为解决业务运行的安全性服务，因此，密码应用应该更贴近业务层面对信息安全的要求，确保业务安全是密码应用的最终目标。密码使用模式应从被动的“密码应用”向主动、便利、安全可靠的“密码服务”的转变。上层应用通过调用密码设备密码接口来应用密码的传统模式，不仅应用难度高，而且效果难以保障：“用了密码却不一定安全”现象比比皆是，更严重的问题是“密码应用”的模式带来了严重的“密码孤岛”、“信任孤岛”现象，因而，不改变密码使用模式，就不可能改变面临的问题，因此，从保障业务安全运行、安全互联互通、安全信息共享、安全业务协同的角度出发，直接面向业务信息安全需求进行密码服务封装，统一通过密码逻辑实现，上层应用系统通过调用统一体系的密码服务,避免密码各自实现问题，从而使得密码更易用、更好用、更安全。

5.2 信任应用向信任服务体系转变

网络信任体系是面向业务信息安全需求的安全统一实现，它向应用屏蔽了底层密码逻辑，面向业务对实体身份可鉴别、可验证，实体行为可信、可追溯的需求，以及文件和业务信息的安全、可信、可鉴别等方面的需求进行统一实现，解决密码逻辑各自实现带来的各种风险和问题。网络信任体系提供业务层服务接口，为应用提供完整的信任服务。网络信任体系为上层应用提供应用层面的接口，极大降低了应用开发和部署的难度，应用系统只需要关注安全逻辑和安全结果，而无需关注密码逻辑实现；其次，由应用层的信任服务，方便扩展，可以迅速满足新的需求；第三，统一服务接口可以确保业务层面的互联互通，为业务延伸、互联互通、业务协同等提供全过程的安全保障。

5.3 尽早进行网络信任体系规划

网络信任体系的建设，从两个层面可以提升对密码应用的管理能力。一是所有信息化系统必须通过和网络信任体系平台进行整合，通过资源注册、授权，才能提供服务，因此，密码管理部门可以非常准确了解到有多少密码应用系统在线上服务；二是所有用户也必须通过资源注册、身份认证才能上网。用户注册时需要注册所关联的数字证书，用户能访问的应用也需要在网络信任体系中进行授权，因此，管理部门可以非常准确了解本区域数字证书的持有和应用情况。