程永新，唐 晉，楊正東，郭 爽

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息社會的不斷發(fā)展，信息融合正逐步走向深化。業(yè)務系統(tǒng)如何跨越不同安全等級的網(wǎng)絡域進行數(shù)據(jù)傳輸，是整合各類信息資源、降低各系統(tǒng)間信息壁壘、推動信息融合可持續(xù)發(fā)展必須要解決的問題。由于歷史和技術方面的原因，我國的信息化建設與國外主要戰(zhàn)略對手相比，在資源共享、數(shù)據(jù)交換等建設上還存在一定的差距，就如何建立統(tǒng)一標準的跨域數(shù)據(jù)交換系統(tǒng)還沒有定論。

本文將需要交換的數(shù)據(jù)類比為需要出境的人員，在分析了出入境流程和要素的基礎上設計了一種跨域數(shù)據(jù)交換模型，可以安全有效的實現(xiàn)跨域數(shù)據(jù)交換。

1 跨域數(shù)據(jù)交換面臨的問題

當前跨域數(shù)據(jù)交換以網(wǎng)閘、光盤擺渡設備[1]為主，但更多的時候是未能根據(jù)業(yè)務需求建立跨域交換體系，其根本原因主要是不信任來自其他網(wǎng)絡域的數(shù)據(jù)和害怕本域數(shù)據(jù)被非法導出[2-3]。

（1）不信任來自其他網(wǎng)絡域的數(shù)據(jù)：其他網(wǎng)絡域傳入的數(shù)據(jù)，其來源是否合法、數(shù)據(jù)是否被偽造篡改、內(nèi)容是否安全（含病毒）、本網(wǎng)絡域是否需要、是否存在非法隱蔽傳輸通道，這些都是輸入數(shù)據(jù)不被信任的問題。

（2）對本域數(shù)據(jù)非法輸出的擔心：業(yè)務系統(tǒng)或用戶害怕本網(wǎng)絡域特有的敏感數(shù)據(jù)通過跨域交換被非法導出；數(shù)據(jù)輸出的來源是否真實、數(shù)據(jù)是否允許被輸出、數(shù)據(jù)傳輸過程中是否被篡改夾帶、數(shù)據(jù)內(nèi)容是否敏感、是否存在非法隱蔽傳輸通道等，這些都是對數(shù)據(jù)非法輸出的擔心。

因此，如果不能合理有效的解決以上兩方面的問題，跨域數(shù)據(jù)交換系統(tǒng)是不可能被允許建立的。公民出入境也面臨著人員身份真實性、攜帶敏感物品出境、外來人員非法入境等問題，與跨域數(shù)據(jù)交換有一定的相似性，而公民出入境管理已經(jīng)被事實證明是對出入境行為的有效管理辦法，因此根據(jù)公民出入境模型來設計跨域數(shù)據(jù)交換模型是一種行之有效的方法。

2 公民出入境模型

查閱《中華人民共和國出境入境管理法》，公民出境時，首先需要去當?shù)毓矙C關辦理護照，然后去大使館辦理簽證（落地簽可省略）；前往出境海關辦理出境手續(xù)；通過跨境通道到達其他國家；在入境海關接受檢查；最后前往目的地。普通公民出入境辦理流程如圖1 所示。

其中，關鍵的機構包括：公安機關、出境海關、跨境通道、入境海關等。這些機構共同完成了出入境人員的身份審核、行為控制、安全檢查等核心功能。各機構的工作內(nèi)容和必要性如表1 所示。

圖1 普通公民出入境流程

表1 出入境關鍵機構及其工作內(nèi)容

由出入境流程可以看出，其核心是護照，在出入境的各個關鍵點，全部需要對護照和人進行對照檢查，并留下記錄，以便后續(xù)審計查詢。根據(jù)《中華人民共和國護照法》，護照的登記項目包括：護照持有人的姓名、性別、出生日期、出生地，護照的簽發(fā)日期、有效期、簽發(fā)地點和簽發(fā)機；護照的防偽性能參照國際技術標準制定。因此，護照完整的記錄了個人信息，并具有防偽性。

3 跨域數(shù)據(jù)交換模型設計

3.1 跨域數(shù)據(jù)交換模型要點

在分析公民出入境模型的基礎上，結合跨域數(shù)據(jù)交換特點，跨域數(shù)據(jù)交換模型設計應包含以下幾個關鍵點：

（1）統(tǒng)一信任[4]：像護照一樣，不同國家均信任護照記錄的信息是真實可靠的。因此，需要有一種統(tǒng)一信任的機制，使不同網(wǎng)絡域都能夠信任該機制所記錄的內(nèi)容。

（2）傳輸控制[5]：跨域數(shù)據(jù)交換的特點要求多點控制，在不同域、不同點均有驗證和控制的需求，確保非法、不合規(guī)的數(shù)據(jù)不能傳輸。

（3）安全防護：安全防護是數(shù)據(jù)交換的重中之重，防止敏感信息輸出，阻止惡意數(shù)據(jù)進入；此外還應加強自身防護，防止隱蔽通道存在。

（4）審計追蹤：數(shù)據(jù)交換中，必須進行安全審計，記錄交換行為所有信息，并能夠對行為進行回溯，以便進行大數(shù)據(jù)分析和行為追則。

3.2 跨域數(shù)據(jù)交換模型

公民出入境模型中的關鍵點包括：公安機關、護照、出境海關、跨境通道和入境海關。因此，可以將這些關鍵要素與跨域數(shù)據(jù)交換模型要素進行類比，類別關系如表2 所示。

表2 出入境與跨域交換要素類比

考慮到跨域數(shù)據(jù)交換與現(xiàn)實中的出入境畢竟有些差別，如：數(shù)據(jù)到達對方網(wǎng)絡域后，基本沒有返回的需求（如需返回，可以認為是對方網(wǎng)絡域數(shù)據(jù)進入本網(wǎng)絡域）；數(shù)據(jù)到達對方網(wǎng)絡域交給業(yè)務系統(tǒng)后，數(shù)據(jù)護照不再需要保留等?？紤]到數(shù)據(jù)交換完成數(shù)據(jù)發(fā)送和對端接收是一個完整的流程，返回的數(shù)據(jù)可以完全復制這一流程。故設計跨域數(shù)據(jù)單向交換模型（反向同等復制即可），如圖2 所示。

圖2 跨域數(shù)據(jù)交換模型

（1）數(shù)據(jù)護照

跨域數(shù)據(jù)交換模型中，數(shù)據(jù)護照貫穿了數(shù)據(jù)交換的全生命周期，從數(shù)據(jù)發(fā)送開始，數(shù)據(jù)護照與交換數(shù)據(jù)一同經(jīng)過代理程序查驗、跨域發(fā)送服務檢查、跨域傳輸通道、跨域接收服務檢查，最后到達接收業(yè)務系統(tǒng)。數(shù)據(jù)護照起到了來源確認、接收方確認、數(shù)據(jù)真實性完整性保護、安全檢查記錄等核心作用，對于實現(xiàn)跨域數(shù)據(jù)交換的可管可控、真實傳輸起到了決定性的作用。

鑒于數(shù)據(jù)護照在跨域數(shù)據(jù)交換中的核心作用，數(shù)據(jù)護照體系的設計顯得尤為重要。這里可以通過密碼手段設計數(shù)據(jù)標識的方法實現(xiàn)數(shù)據(jù)護照系統(tǒng)，在實現(xiàn)關鍵功能特性基礎上，有效對數(shù)據(jù)護照本身進行保護。

（2）安全檢查

跨域數(shù)據(jù)交換模型中，安全檢查是非常重要的，其檢查的內(nèi)容以至少包括：數(shù)據(jù)來源檢查、交換權限檢查、數(shù)據(jù)格式檢查、數(shù)據(jù)內(nèi)容檢查、病毒木馬查殺、數(shù)據(jù)真實性、數(shù)據(jù)完整性等內(nèi)容，此外可根據(jù)不同網(wǎng)絡域的需求，還可以部署數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、惡意代碼沙箱等擴展功能，確保數(shù)據(jù)交換的安全性。

（3）自身安全性

現(xiàn)實中，公安機關、大使館、出入境海關自身安全性是有保證的；因此，模型中必須考慮關鍵位置的自身安全性問題?？梢詫㈥P鍵功能點集中部署，提供有效的邊界安全防護能力，如：訪問控制、接入認證、地址轉換、攻擊檢測、防DOS 等安全功能，提升跨域數(shù)據(jù)交換系統(tǒng)自身的安全性。

（4）跨域通道

跨域傳輸通道連接了兩個網(wǎng)絡域，應確保不存在隱蔽通道（非法傳輸通道），在數(shù)據(jù)傳輸過程中數(shù)據(jù)不丟失、不泄露、不被篡改，只有合法的數(shù)據(jù)能夠進行傳輸。

（5）名錄服務

公民出入境過程中，目的地是可查的，大使館只負責核實；但跨域數(shù)據(jù)交換時，對端網(wǎng)絡的業(yè)務系統(tǒng)一般不會告知其具體地址和相關信息。因此，需要設定交換名錄服務，記錄業(yè)務系統(tǒng)在本網(wǎng)絡域的地址等信息，其他網(wǎng)絡域業(yè)務系統(tǒng)的別名。當需要交換時，首先查詢其他網(wǎng)絡域目標系統(tǒng)的別名，將其加入數(shù)據(jù)護照；對端網(wǎng)絡解析目標系統(tǒng)別名，查找其地址，對數(shù)據(jù)進行推送。

3.3 跨域數(shù)據(jù)交換流程

數(shù)據(jù)交換具體流程如圖3 所示。

圖3 跨域數(shù)據(jù)交換流程圖

業(yè)務數(shù)據(jù)跨域交換時具體流程如下：

（1）業(yè)務系統(tǒng)首先查詢名錄，填寫發(fā)送者和接收者信息，然后去數(shù)據(jù)護照服務獲取數(shù)據(jù)護照；

（2）將數(shù)據(jù)護照與數(shù)據(jù)一同發(fā)給跨域發(fā)送服務，進行護照檢查和安全檢查，并完善數(shù)據(jù)護照；

（3）數(shù)據(jù)與護照通過跨域傳輸通道傳輸?shù)侥繕司W(wǎng)絡域；

（4）數(shù)據(jù)接收服務對數(shù)據(jù)護照進行檢查，對內(nèi)容進行安全檢查，并完善數(shù)據(jù)護照；

（5）查詢名錄，獲知接收者地址，將數(shù)據(jù)推送到接收系統(tǒng)；

（6）業(yè)務接收數(shù)據(jù)和數(shù)據(jù)護照，并調用數(shù)據(jù)護照服務去除數(shù)據(jù)護照。

4 結 語

本文從跨域數(shù)據(jù)交換需求出發(fā)，參考公民出入境模型，設計了跨域數(shù)據(jù)交換模型。該模型以數(shù)據(jù)護照為核心，實現(xiàn)了跨域數(shù)據(jù)交換過程中的身份檢查、權限檢查、真實性保護、安全檢查等要求，滿足了數(shù)據(jù)交換全生命周期的可管可控、數(shù)據(jù)真實、內(nèi)容安全的核心需求，對跨域數(shù)據(jù)交換系統(tǒng)建設具有重要的參考意義。