基于數(shù)據(jù)護照的跨域傳輸控制方法設(shè)計*

張建輝，付 江，廖竣鍇，程永新

（1衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，四川 成都 610041；2中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著信息社會的不斷發(fā)展，信息融合正逐步走向深化。用戶如何跨越不同等級安全域進行數(shù)據(jù)傳輸，應(yīng)用系統(tǒng)如何跨越不同安全等級的網(wǎng)絡(luò)域進行信息共享，如何整合不同網(wǎng)絡(luò)域的各類信息資源，降低各應(yīng)用系統(tǒng)間的信息壁壘，是推動信息融合可持續(xù)發(fā)展必須要解決的問題。

當前，隨著攻擊手段的不斷進步，以網(wǎng)閘產(chǎn)品為主的信息交換手段越來越無法應(yīng)對跨域傳輸帶來的安全威脅。因此，必須從網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等多個層面，綜合運用多種安全防護手段，系統(tǒng)性的設(shè)計跨域跨域交換體系，才能確保信息的安全交換。在未來的跨域跨域交換體系中，如何對跨域傳輸過程進行全面、有效的檢查控制，并支持安全功能的擴展能力，是必須要解決的問題。本文設(shè)計了一種基于數(shù)據(jù)護照的跨域傳輸控制方法，該系統(tǒng)采用多級安全標識方法，在跨域傳輸?shù)臄?shù)據(jù)引接、檢查、傳輸、接收和推送等全部關(guān)鍵環(huán)節(jié)實現(xiàn)統(tǒng)一的傳輸控制能力，并能夠支持安全能力的不斷擴展，可以滿足未來跨域交換系統(tǒng)可控安全傳輸?shù)男枨蟆?/p>

1 現(xiàn)有跨域傳輸控制方法

當前，內(nèi)部安全域和外部安全域主要通過網(wǎng)閘類產(chǎn)品實現(xiàn)信息跨域交換。網(wǎng)閘類產(chǎn)品采取了一定的控制措施，如接入控制、權(quán)限檢查、病毒查殺等控制和安全手段，但網(wǎng)閘產(chǎn)品在整體控制能力和安全檢查能力擴展方面還存在不少的問題。

（1）傳輸控制能力弱：僅在應(yīng)用系統(tǒng)接入時進行身份驗證，不能基于內(nèi)容進行控制；

（2）傳輸控制不連貫：信息交換的中間過程無控制檢查能力，網(wǎng)閘兩邊的認證也沒有統(tǒng)一起來；

（3）安全檢查效率低、擴展性差：多種安全手段串行處理，安全檢查效率不高；網(wǎng)閘產(chǎn)品架構(gòu)固定，很難擴展更多的安全手段。

因此，為保證跨域傳輸?shù)暮戏ㄐ裕踩?，提高交換效率，需要成體系的設(shè)計跨域交換系統(tǒng)，在數(shù)據(jù)交換的全生命周期提供安全檢查和控制能力，并能有更好的擴展能力。

2 跨域傳輸模型

跨域傳輸模型實現(xiàn)在兩個網(wǎng)絡(luò)域之間進行數(shù)據(jù)信息的安全受控交換。其主要架構(gòu)包括：業(yè)務(wù)系統(tǒng)、交換服務(wù)、隔離交換設(shè)備、名錄服務(wù)和安全服務(wù)等?？缬騻鬏斈Ｐ腿鐖D1。其中，在數(shù)據(jù)跨域傳輸過程中，全程采用數(shù)據(jù)護照技術(shù)，實現(xiàn)對數(shù)據(jù)的來源認證、傳輸控制、數(shù)據(jù)檢驗等功能。跨域傳輸模型如圖1所示。

圖1 跨域傳輸模型入境流程

3 數(shù)據(jù)護照設(shè)計

數(shù)據(jù)護照包含特征標識、跨域標識和安全標識。結(jié)構(gòu)和內(nèi)容如圖2所示。

屬性標識：標識記錄的交換數(shù)據(jù)本身的屬性信息，包括：數(shù)據(jù)分類（應(yīng)用）、數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)密級和數(shù)據(jù)簽名等。其中數(shù)據(jù)簽名用于對交換數(shù)據(jù)本身進行簽名計算，保證交換數(shù)據(jù)本身的完整性和真實性。

交換標識：標識用于對交換數(shù)據(jù)的交換信息進行記錄，包括：發(fā)送人、發(fā)送單位、審批人、發(fā)送時間、接收人、接受單位、緊急程度和交換簽名等。其中交換簽名用于對屬性標識和交換標識進行簽名計算，確保屬性標識標識和交換標識標識在傳輸過程中不被篡改。

安全標識：用于標記各種安全檢查手段的檢查結(jié)果，是多組安全檢查記錄的集合。其中安全簽名用于對安全標識本身進行簽名計算，保證安全標識的完整性和真實性。

簽名標識：用于對屬性標識、交換標識和安全標識進行整體簽名計算，以保證標識本身不會被篡改。

圖2 數(shù)據(jù)護照結(jié)構(gòu)和內(nèi)容

3.1 屬性標識

屬性標識是對交換數(shù)據(jù)本身屬性的標記，主要包括：數(shù)據(jù)的分類（應(yīng)用）、數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)密級和數(shù)據(jù)簽名等數(shù)據(jù)屬性。該標識長度固定。屬性標識詳細說明如下表1所示。

表1 屬性標識內(nèi)容說明

3.2 交換標識

數(shù)據(jù)交換標識標識是對交換信息的標注，主要包括：發(fā)送人、發(fā)送單位、審批人、發(fā)送時間、接收人、接受單位、緊急程度和交換簽名等信息，該標識長度固定。交換標識詳細說明如下表2所示。

3.3 安全標識

數(shù)據(jù)安全標識標識是對數(shù)據(jù)采取的安全檢查措施。檢查結(jié)果和標識本身的簽名，主要包括如，病毒檢查結(jié)果、格式檢查結(jié)果、內(nèi)容檢查結(jié)果及多種安全檢查結(jié)果和標識簽名。該標識視安全檢查數(shù)量的多少而定，長度不定，安全標識詳細說明如下表3所示。

表2 交換標識內(nèi)容說明

表3 安全標識內(nèi)容說明

說明：安全類型根據(jù)部署的安全自定義的列表，其長度固定，例如：01代表惡意代碼查殺、02代表數(shù)據(jù)格式檢查、03代表數(shù)據(jù)泄漏檢查……等。

3.4 護照簽名

標識護照簽名調(diào)用密碼雜湊算法，對屬性標識、交換標識和安全標識進行整體簽名計算，以保證標識本身不會被篡改。

密碼雜湊算法需要輸入數(shù)據(jù)、數(shù)據(jù)長度、密鑰等輸入，最終輸出為簽名數(shù)值。

標識簽名算法接口函數(shù)：

4 數(shù)據(jù)護照設(shè)計

典型的數(shù)據(jù)交換流程應(yīng)從跨域應(yīng)用業(yè)務(wù)開始，通過交換服務(wù)和交換網(wǎng)絡(luò)將數(shù)據(jù)交換到接收端的交換服務(wù)，經(jīng)檢查后發(fā)送到接收端跨域應(yīng)用。完整流程如下圖3所示。

具體流程：

（1）發(fā)送端跨域交換應(yīng)用服務(wù)器整理需要發(fā)送的數(shù)據(jù)，查詢名錄服務(wù)，找到接收者名錄；

（2）發(fā)送端跨域交換應(yīng)用服務(wù)器調(diào)用密碼模塊對數(shù)據(jù)進行打標識（屬性標識、交換標識和安全標識），將數(shù)據(jù)與標識一同發(fā)送到跨域數(shù)據(jù)交換服務(wù)；

（3）跨域數(shù)據(jù)交換服務(wù)收到數(shù)據(jù)與標識后，調(diào)用密碼模塊解開標識，并查詢名錄服務(wù)，驗證發(fā)送者、接收者、權(quán)限和數(shù)據(jù)完整性；

（4）跨域數(shù)據(jù)交換服務(wù)調(diào)用多種安全服務(wù)進行并行安全檢查；

（5）所有檢查結(jié)束將結(jié)果反饋到跨域數(shù)據(jù)交換服務(wù)器后，添加安全標識、將標識與數(shù)據(jù)同時發(fā)送到交換網(wǎng)絡(luò)；

（6）交換網(wǎng)絡(luò)將數(shù)據(jù)與標識同時傳到接收端跨域數(shù)據(jù)交換服務(wù)；

（7）接收端跨域數(shù)據(jù)交換服務(wù)檢查標識后，進行安全檢查；

（8）接收端跨域數(shù)據(jù)交換服務(wù)檢查結(jié)束后，調(diào)用名錄服務(wù)，查找接收跨域交換應(yīng)用服務(wù)器；

（9）接收端跨域數(shù)據(jù)交換服務(wù)將數(shù)據(jù)推送到相關(guān)的應(yīng)用服務(wù)器；

（10）數(shù)據(jù)在服務(wù)器上脫掉所有標識，交給應(yīng)用程序。

4 結(jié)語

本文從跨域傳輸系統(tǒng)可控安全傳輸需求出發(fā)，設(shè)計了基于護照的跨域傳輸控制方法，能有效滿足跨域傳輸?shù)陌踩煽匦枨?。完整實現(xiàn)了數(shù)據(jù)跨域傳輸全生命周期的數(shù)據(jù)保護和傳輸控制?？缬驍?shù)據(jù)護照體系不僅可以支撐跨域傳輸系統(tǒng)對安全、可控能力要求，也可在其他信息系統(tǒng)中提供完整的安全控制能力。

因數(shù)據(jù)護照標識體系貫穿整個傳輸生命周期，可以在實現(xiàn)跨域交換系統(tǒng)內(nèi)部的多點安全和完整性的同時，能更好地支持安全能力的擴展。