基于出入境模型的跨域数据交换模型设计*

2020-06-08程永新杨正东

通信技术 2020年5期

程永新，唐晋，杨正东，郭爽

（中国电子科技集团公司第三十研究所，四川成都 610041）

0 引言

随着信息社会的不断发展，信息融合正逐步走向深化。业务系统如何跨越不同安全等级的网络域进行数据传输，是整合各类信息资源、降低各系统间信息壁垒、推动信息融合可持续发展必须要解决的问题。由于历史和技术方面的原因，我国的信息化建设与国外主要战略对手相比，在资源共享、数据交换等建设上还存在一定的差距，就如何建立统一标准的跨域数据交换系统还没有定论。

本文将需要交换的数据类比为需要出境的人员，在分析了出入境流程和要素的基础上设计了一种跨域数据交换模型，可以安全有效的实现跨域数据交换。

1 跨域数据交换面临的问题

当前跨域数据交换以网闸、光盘摆渡设备[1]为主，但更多的时候是未能根据业务需求建立跨域交换体系，其根本原因主要是不信任来自其他网络域的数据和害怕本域数据被非法导出[2-3]。

（1）不信任来自其他网络域的数据：其他网络域传入的数据，其来源是否合法、数据是否被伪造篡改、内容是否安全（含病毒）、本网络域是否需要、是否存在非法隐蔽传输通道，这些都是输入数据不被信任的问题。

（2）对本域数据非法输出的担心：业务系统或用户害怕本网络域特有的敏感数据通过跨域交换被非法导出；数据输出的来源是否真实、数据是否允许被输出、数据传输过程中是否被篡改夹带、数据内容是否敏感、是否存在非法隐蔽传输通道等，这些都是对数据非法输出的担心。

因此，如果不能合理有效的解决以上两方面的问题，跨域数据交换系统是不可能被允许建立的。公民出入境也面临着人员身份真实性、携带敏感物品出境、外来人员非法入境等问题，与跨域数据交换有一定的相似性，而公民出入境管理已经被事实证明是对出入境行为的有效管理办法，因此根据公民出入境模型来设计跨域数据交换模型是一种行之有效的方法。

2 公民出入境模型

查阅《中华人民共和国出境入境管理法》，公民出境时，首先需要去当地公安机关办理护照，然后去大使馆办理签证（落地签可省略）；前往出境海关办理出境手续；通过跨境通道到达其他国家；在入境海关接受检查；最后前往目的地。普通公民出入境办理流程如图1 所示。

其中，关键的机构包括：公安机关、出境海关、跨境通道、入境海关等。这些机构共同完成了出入境人员的身份审核、行为控制、安全检查等核心功能。各机构的工作内容和必要性如表1 所示。

图1 普通公民出入境流程

表1 出入境关键机构及其工作内容

由出入境流程可以看出，其核心是护照，在出入境的各个关键点，全部需要对护照和人进行对照检查，并留下记录，以便后续审计查询。根据《中华人民共和国护照法》，护照的登记项目包括：护照持有人的姓名、性别、出生日期、出生地，护照的签发日期、有效期、签发地点和签发机；护照的防伪性能参照国际技术标准制定。因此，护照完整的记录了个人信息，并具有防伪性。

3 跨域数据交换模型设计

3.1 跨域数据交换模型要点

在分析公民出入境模型的基础上，结合跨域数据交换特点，跨域数据交换模型设计应包含以下几个关键点：

（1）统一信任[4]：像护照一样，不同国家均信任护照记录的信息是真实可靠的。因此，需要有一种统一信任的机制，使不同网络域都能够信任该机制所记录的内容。

（2）传输控制[5]：跨域数据交换的特点要求多点控制，在不同域、不同点均有验证和控制的需求，确保非法、不合规的数据不能传输。

（3）安全防护：安全防护是数据交换的重中之重，防止敏感信息输出，阻止恶意数据进入；此外还应加强自身防护，防止隐蔽通道存在。

（4）审计追踪：数据交换中，必须进行安全审计，记录交换行为所有信息，并能够对行为进行回溯，以便进行大数据分析和行为追则。

3.2 跨域数据交换模型

公民出入境模型中的关键点包括：公安机关、护照、出境海关、跨境通道和入境海关。因此，可以将这些关键要素与跨域数据交换模型要素进行类比，类别关系如表2 所示。

表2 出入境与跨域交换要素类比

考虑到跨域数据交换与现实中的出入境毕竟有些差别，如：数据到达对方网络域后，基本没有返回的需求（如需返回，可以认为是对方网络域数据进入本网络域）；数据到达对方网络域交给业务系统后，数据护照不再需要保留等。考虑到数据交换完成数据发送和对端接收是一个完整的流程，返回的数据可以完全复制这一流程。故设计跨域数据单向交换模型（反向同等复制即可），如图2 所示。

图2 跨域数据交换模型

（1）数据护照

跨域数据交换模型中，数据护照贯穿了数据交换的全生命周期，从数据发送开始，数据护照与交换数据一同经过代理程序查验、跨域发送服务检查、跨域传输通道、跨域接收服务检查，最后到达接收业务系统。数据护照起到了来源确认、接收方确认、数据真实性完整性保护、安全检查记录等核心作用，对于实现跨域数据交换的可管可控、真实传输起到了决定性的作用。

鉴于数据护照在跨域数据交换中的核心作用，数据护照体系的设计显得尤为重要。这里可以通过密码手段设计数据标识的方法实现数据护照系统，在实现关键功能特性基础上，有效对数据护照本身进行保护。

（2）安全检查

跨域数据交换模型中，安全检查是非常重要的，其检查的内容以至少包括：数据来源检查、交换权限检查、数据格式检查、数据内容检查、病毒木马查杀、数据真实性、数据完整性等内容，此外可根据不同网络域的需求，还可以部署数据脱敏、数据防泄漏、恶意代码沙箱等扩展功能，确保数据交换的安全性。

（3）自身安全性

现实中，公安机关、大使馆、出入境海关自身安全性是有保证的；因此，模型中必须考虑关键位置的自身安全性问题。可以将关键功能点集中部署，提供有效的边界安全防护能力，如：访问控制、接入认证、地址转换、攻击检测、防DOS 等安全功能，提升跨域数据交换系统自身的安全性。

（4）跨域通道

跨域传输通道连接了两个网络域，应确保不存在隐蔽通道（非法传输通道），在数据传输过程中数据不丢失、不泄露、不被篡改，只有合法的数据能够进行传输。

（5）名录服务

公民出入境过程中，目的地是可查的，大使馆只负责核实；但跨域数据交换时，对端网络的业务系统一般不会告知其具体地址和相关信息。因此，需要设定交换名录服务，记录业务系统在本网络域的地址等信息，其他网络域业务系统的别名。当需要交换时，首先查询其他网络域目标系统的别名，将其加入数据护照；对端网络解析目标系统别名，查找其地址，对数据进行推送。