張建輝，付 江，廖竣鍇，程永新

（1衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，四川 成都 610041；2中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

隨著信息社會(huì)的不斷發(fā)展，信息融合正逐步走向深化。用戶如何跨越不同等級(jí)安全域進(jìn)行數(shù)據(jù)傳輸，應(yīng)用系統(tǒng)如何跨越不同安全等級(jí)的網(wǎng)絡(luò)域進(jìn)行信息共享，如何整合不同網(wǎng)絡(luò)域的各類信息資源，降低各應(yīng)用系統(tǒng)間的信息壁壘，是推動(dòng)信息融合可持續(xù)發(fā)展必須要解決的問(wèn)題。

當(dāng)前，隨著攻擊手段的不斷進(jìn)步，以網(wǎng)閘產(chǎn)品為主的信息交換手段越來(lái)越無(wú)法應(yīng)對(duì)跨域傳輸帶來(lái)的安全威脅。因此，必須從網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等多個(gè)層面，綜合運(yùn)用多種安全防護(hù)手段，系統(tǒng)性的設(shè)計(jì)跨域跨域交換體系，才能確保信息的安全交換。在未來(lái)的跨域跨域交換體系中，如何對(duì)跨域傳輸過(guò)程進(jìn)行全面、有效的檢查控制，并支持安全功能的擴(kuò)展能力，是必須要解決的問(wèn)題。本文設(shè)計(jì)了一種基于數(shù)據(jù)護(hù)照的跨域傳輸控制方法，該系統(tǒng)采用多級(jí)安全標(biāo)識(shí)方法，在跨域傳輸?shù)臄?shù)據(jù)引接、檢查、傳輸、接收和推送等全部關(guān)鍵環(huán)節(jié)實(shí)現(xiàn)統(tǒng)一的傳輸控制能力，并能夠支持安全能力的不斷擴(kuò)展，可以滿足未來(lái)跨域交換系統(tǒng)可控安全傳輸?shù)男枨蟆?/p>

1 現(xiàn)有跨域傳輸控制方法

當(dāng)前，內(nèi)部安全域和外部安全域主要通過(guò)網(wǎng)閘類產(chǎn)品實(shí)現(xiàn)信息跨域交換。網(wǎng)閘類產(chǎn)品采取了一定的控制措施，如接入控制、權(quán)限檢查、病毒查殺等控制和安全手段，但網(wǎng)閘產(chǎn)品在整體控制能力和安全檢查能力擴(kuò)展方面還存在不少的問(wèn)題。

（1）傳輸控制能力弱：僅在應(yīng)用系統(tǒng)接入時(shí)進(jìn)行身份驗(yàn)證，不能基于內(nèi)容進(jìn)行控制；

（2）傳輸控制不連貫：信息交換的中間過(guò)程無(wú)控制檢查能力，網(wǎng)閘兩邊的認(rèn)證也沒(méi)有統(tǒng)一起來(lái)；

（3）安全檢查效率低、擴(kuò)展性差：多種安全手段串行處理，安全檢查效率不高；網(wǎng)閘產(chǎn)品架構(gòu)固定，很難擴(kuò)展更多的安全手段。

因此，為保證跨域傳輸?shù)暮戏ㄐ?，安全性，提高交換效率，需要成體系的設(shè)計(jì)跨域交換系統(tǒng)，在數(shù)據(jù)交換的全生命周期提供安全檢查和控制能力，并能有更好的擴(kuò)展能力。

2 跨域傳輸模型

跨域傳輸模型實(shí)現(xiàn)在兩個(gè)網(wǎng)絡(luò)域之間進(jìn)行數(shù)據(jù)信息的安全受控交換。其主要架構(gòu)包括：業(yè)務(wù)系統(tǒng)、交換服務(wù)、隔離交換設(shè)備、名錄服務(wù)和安全服務(wù)等?？缬騻鬏斈Ｐ腿鐖D1。其中，在數(shù)據(jù)跨域傳輸過(guò)程中，全程采用數(shù)據(jù)護(hù)照技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的來(lái)源認(rèn)證、傳輸控制、數(shù)據(jù)檢驗(yàn)等功能?？缬騻鬏斈Ｐ腿鐖D1所示。

圖1 跨域傳輸模型入境流程

3 數(shù)據(jù)護(hù)照設(shè)計(jì)

數(shù)據(jù)護(hù)照包含特征標(biāo)識(shí)、跨域標(biāo)識(shí)和安全標(biāo)識(shí)。結(jié)構(gòu)和內(nèi)容如圖2所示。

屬性標(biāo)識(shí)：標(biāo)識(shí)記錄的交換數(shù)據(jù)本身的屬性信息，包括：數(shù)據(jù)分類（應(yīng)用）、數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)密級(jí)和數(shù)據(jù)簽名等。其中數(shù)據(jù)簽名用于對(duì)交換數(shù)據(jù)本身進(jìn)行簽名計(jì)算，保證交換數(shù)據(jù)本身的完整性和真實(shí)性。

交換標(biāo)識(shí)：標(biāo)識(shí)用于對(duì)交換數(shù)據(jù)的交換信息進(jìn)行記錄，包括：發(fā)送人、發(fā)送單位、審批人、發(fā)送時(shí)間、接收人、接受單位、緊急程度和交換簽名等。其中交換簽名用于對(duì)屬性標(biāo)識(shí)和交換標(biāo)識(shí)進(jìn)行簽名計(jì)算，確保屬性標(biāo)識(shí)標(biāo)識(shí)和交換標(biāo)識(shí)標(biāo)識(shí)在傳輸過(guò)程中不被篡改。

安全標(biāo)識(shí)：用于標(biāo)記各種安全檢查手段的檢查結(jié)果，是多組安全檢查記錄的集合。其中安全簽名用于對(duì)安全標(biāo)識(shí)本身進(jìn)行簽名計(jì)算，保證安全標(biāo)識(shí)的完整性和真實(shí)性。

簽名標(biāo)識(shí)：用于對(duì)屬性標(biāo)識(shí)、交換標(biāo)識(shí)和安全標(biāo)識(shí)進(jìn)行整體簽名計(jì)算，以保證標(biāo)識(shí)本身不會(huì)被篡改。

圖2 數(shù)據(jù)護(hù)照結(jié)構(gòu)和內(nèi)容

3.1 屬性標(biāo)識(shí)

屬性標(biāo)識(shí)是對(duì)交換數(shù)據(jù)本身屬性的標(biāo)記，主要包括：數(shù)據(jù)的分類（應(yīng)用）、數(shù)據(jù)類型、數(shù)據(jù)大小、數(shù)據(jù)密級(jí)和數(shù)據(jù)簽名等數(shù)據(jù)屬性。該標(biāo)識(shí)長(zhǎng)度固定。屬性標(biāo)識(shí)詳細(xì)說(shuō)明如下表1所示。

表1 屬性標(biāo)識(shí)內(nèi)容說(shuō)明

3.2 交換標(biāo)識(shí)

數(shù)據(jù)交換標(biāo)識(shí)標(biāo)識(shí)是對(duì)交換信息的標(biāo)注，主要包括：發(fā)送人、發(fā)送單位、審批人、發(fā)送時(shí)間、接收人、接受單位、緊急程度和交換簽名等信息，該標(biāo)識(shí)長(zhǎng)度固定。交換標(biāo)識(shí)詳細(xì)說(shuō)明如下表2所示。

3.3 安全標(biāo)識(shí)

數(shù)據(jù)安全標(biāo)識(shí)標(biāo)識(shí)是對(duì)數(shù)據(jù)采取的安全檢查措施。檢查結(jié)果和標(biāo)識(shí)本身的簽名，主要包括如，病毒檢查結(jié)果、格式檢查結(jié)果、內(nèi)容檢查結(jié)果及多種安全檢查結(jié)果和標(biāo)識(shí)簽名。該標(biāo)識(shí)視安全檢查數(shù)量的多少而定，長(zhǎng)度不定，安全標(biāo)識(shí)詳細(xì)說(shuō)明如下表3所示。

表2 交換標(biāo)識(shí)內(nèi)容說(shuō)明

表3 安全標(biāo)識(shí)內(nèi)容說(shuō)明

說(shuō)明：安全類型根據(jù)部署的安全自定義的列表，其長(zhǎng)度固定，例如：01代表惡意代碼查殺、02代表數(shù)據(jù)格式檢查、03代表數(shù)據(jù)泄漏檢查……等。

3.4 護(hù)照簽名

標(biāo)識(shí)護(hù)照簽名調(diào)用密碼雜湊算法，對(duì)屬性標(biāo)識(shí)、交換標(biāo)識(shí)和安全標(biāo)識(shí)進(jìn)行整體簽名計(jì)算，以保證標(biāo)識(shí)本身不會(huì)被篡改。

密碼雜湊算法需要輸入數(shù)據(jù)、數(shù)據(jù)長(zhǎng)度、密鑰等輸入，最終輸出為簽名數(shù)值。

標(biāo)識(shí)簽名算法接口函數(shù)：

4 數(shù)據(jù)護(hù)照設(shè)計(jì)

典型的數(shù)據(jù)交換流程應(yīng)從跨域應(yīng)用業(yè)務(wù)開(kāi)始，通過(guò)交換服務(wù)和交換網(wǎng)絡(luò)將數(shù)據(jù)交換到接收端的交換服務(wù)，經(jīng)檢查后發(fā)送到接收端跨域應(yīng)用。完整流程如下圖3所示。

具體流程：

（1）發(fā)送端跨域交換應(yīng)用服務(wù)器整理需要發(fā)送的數(shù)據(jù)，查詢名錄服務(wù)，找到接收者名錄；

（2）發(fā)送端跨域交換應(yīng)用服務(wù)器調(diào)用密碼模塊對(duì)數(shù)據(jù)進(jìn)行打標(biāo)識(shí)（屬性標(biāo)識(shí)、交換標(biāo)識(shí)和安全標(biāo)識(shí)），將數(shù)據(jù)與標(biāo)識(shí)一同發(fā)送到跨域數(shù)據(jù)交換服務(wù)；

（3）跨域數(shù)據(jù)交換服務(wù)收到數(shù)據(jù)與標(biāo)識(shí)后，調(diào)用密碼模塊解開(kāi)標(biāo)識(shí)，并查詢名錄服務(wù)，驗(yàn)證發(fā)送者、接收者、權(quán)限和數(shù)據(jù)完整性；

（4）跨域數(shù)據(jù)交換服務(wù)調(diào)用多種安全服務(wù)進(jìn)行并行安全檢查；

（5）所有檢查結(jié)束將結(jié)果反饋到跨域數(shù)據(jù)交換服務(wù)器后，添加安全標(biāo)識(shí)、將標(biāo)識(shí)與數(shù)據(jù)同時(shí)發(fā)送到交換網(wǎng)絡(luò)；

（6）交換網(wǎng)絡(luò)將數(shù)據(jù)與標(biāo)識(shí)同時(shí)傳到接收端跨域數(shù)據(jù)交換服務(wù)；

（7）接收端跨域數(shù)據(jù)交換服務(wù)檢查標(biāo)識(shí)后，進(jìn)行安全檢查；

（8）接收端跨域數(shù)據(jù)交換服務(wù)檢查結(jié)束后，調(diào)用名錄服務(wù)，查找接收跨域交換應(yīng)用服務(wù)器；

（9）接收端跨域數(shù)據(jù)交換服務(wù)將數(shù)據(jù)推送到相關(guān)的應(yīng)用服務(wù)器；

（10）數(shù)據(jù)在服務(wù)器上脫掉所有標(biāo)識(shí)，交給應(yīng)用程序。

4 結(jié)語(yǔ)

本文從跨域傳輸系統(tǒng)可控安全傳輸需求出發(fā)，設(shè)計(jì)了基于護(hù)照的跨域傳輸控制方法，能有效滿足跨域傳輸?shù)陌踩煽匦枨?。完整?shí)現(xiàn)了數(shù)據(jù)跨域傳輸全生命周期的數(shù)據(jù)保護(hù)和傳輸控制?？缬驍?shù)據(jù)護(hù)照體系不僅可以支撐跨域傳輸系統(tǒng)對(duì)安全、可控能力要求，也可在其他信息系統(tǒng)中提供完整的安全控制能力。

因數(shù)據(jù)護(hù)照標(biāo)識(shí)體系貫穿整個(gè)傳輸生命周期，可以在實(shí)現(xiàn)跨域交換系統(tǒng)內(nèi)部的多點(diǎn)安全和完整性的同時(shí)，能更好地支持安全能力的擴(kuò)展。