张建辉，付 江，廖竣锴，程永新

（1卫士通信息产业股份有限公司，四川 成都 610041；2中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

随着信息社会的不断发展，信息融合正逐步走向深化。用户如何跨越不同等级安全域进行数据传输，应用系统如何跨越不同安全等级的网络域进行信息共享，如何整合不同网络域的各类信息资源，降低各应用系统间的信息壁垒，是推动信息融合可持续发展必须要解决的问题。

当前，随着攻击手段的不断进步，以网闸产品为主的信息交换手段越来越无法应对跨域传输带来的安全威胁。因此，必须从网络、应用、数据等多个层面，综合运用多种安全防护手段，系统性的设计跨域跨域交换体系，才能确保信息的安全交换。在未来的跨域跨域交换体系中，如何对跨域传输过程进行全面、有效的检查控制，并支持安全功能的扩展能力，是必须要解决的问题。本文设计了一种基于数据护照的跨域传输控制方法，该系统采用多级安全标识方法，在跨域传输的数据引接、检查、传输、接收和推送等全部关键环节实现统一的传输控制能力，并能够支持安全能力的不断扩展，可以满足未来跨域交换系统可控安全传输的需求。

1 现有跨域传输控制方法

当前，内部安全域和外部安全域主要通过网闸类产品实现信息跨域交换。网闸类产品采取了一定的控制措施，如接入控制、权限检查、病毒查杀等控制和安全手段，但网闸产品在整体控制能力和安全检查能力扩展方面还存在不少的问题。

（1）传输控制能力弱：仅在应用系统接入时进行身份验证，不能基于内容进行控制；

（2）传输控制不连贯：信息交换的中间过程无控制检查能力，网闸两边的认证也没有统一起来；

（3）安全检查效率低、扩展性差：多种安全手段串行处理，安全检查效率不高；网闸产品架构固定，很难扩展更多的安全手段。

因此，为保证跨域传输的合法性，安全性，提高交换效率，需要成体系的设计跨域交换系统，在数据交换的全生命周期提供安全检查和控制能力，并能有更好的扩展能力。

2 跨域传输模型

跨域传输模型实现在两个网络域之间进行数据信息的安全受控交换。其主要架构包括：业务系统、交换服务、隔离交换设备、名录服务和安全服务等。跨域传输模型如图1。其中，在数据跨域传输过程中，全程采用数据护照技术，实现对数据的来源认证、传输控制、数据检验等功能。跨域传输模型如图1所示。

图1 跨域传输模型入境流程

3 数据护照设计

数据护照包含特征标识、跨域标识和安全标识。结构和内容如图2所示。

属性标识：标识记录的交换数据本身的属性信息，包括：数据分类（应用）、数据类型、数据大小、数据密级和数据签名等。其中数据签名用于对交换数据本身进行签名计算，保证交换数据本身的完整性和真实性。

交换标识：标识用于对交换数据的交换信息进行记录，包括：发送人、发送单位、审批人、发送时间、接收人、接受单位、紧急程度和交换签名等。其中交换签名用于对属性标识和交换标识进行签名计算，确保属性标识标识和交换标识标识在传输过程中不被篡改。

安全标识：用于标记各种安全检查手段的检查结果，是多组安全检查记录的集合。其中安全签名用于对安全标识本身进行签名计算，保证安全标识的完整性和真实性。

签名标识：用于对属性标识、交换标识和安全标识进行整体签名计算，以保证标识本身不会被篡改。

图2 数据护照结构和内容

3.1 属性标识

属性标识是对交换数据本身属性的标记，主要包括：数据的分类（应用）、数据类型、数据大小、数据密级和数据签名等数据属性。该标识长度固定。属性标识详细说明如下表1所示。

表1 属性标识内容说明

3.2 交换标识

数据交换标识标识是对交换信息的标注，主要包括：发送人、发送单位、审批人、发送时间、接收人、接受单位、紧急程度和交换签名等信息，该标识长度固定。交换标识详细说明如下表2所示。

3.3 安全标识

数据安全标识标识是对数据采取的安全检查措施。检查结果和标识本身的签名，主要包括如，病毒检查结果、格式检查结果、内容检查结果及多种安全检查结果和标识签名。该标识视安全检查数量的多少而定，长度不定，安全标识详细说明如下表3所示。

表2 交换标识内容说明

表3 安全标识内容说明

说明：安全类型根据部署的安全自定义的列表，其长度固定，例如：01代表恶意代码查杀、02代表数据格式检查、03代表数据泄漏检查……等。

3.4 护照签名

标识护照签名调用密码杂凑算法，对属性标识、交换标识和安全标识进行整体签名计算，以保证标识本身不会被篡改。

密码杂凑算法需要输入数据、数据长度、密钥等输入，最终输出为签名数值。

标识签名算法接口函数：

4 数据护照设计

典型的数据交换流程应从跨域应用业务开始，通过交换服务和交换网络将数据交换到接收端的交换服务，经检查后发送到接收端跨域应用。完整流程如下图3所示。

具体流程：

（1）发送端跨域交换应用服务器整理需要发送的数据，查询名录服务，找到接收者名录；

（2）发送端跨域交换应用服务器调用密码模块对数据进行打标识（属性标识、交换标识和安全标识），将数据与标识一同发送到跨域数据交换服务；

（3）跨域数据交换服务收到数据与标识后，调用密码模块解开标识，并查询名录服务，验证发送者、接收者、权限和数据完整性；

（4）跨域数据交换服务调用多种安全服务进行并行安全检查；

（5）所有检查结束将结果反馈到跨域数据交换服务器后，添加安全标识、将标识与数据同时发送到交换网络；

（6）交换网络将数据与标识同时传到接收端跨域数据交换服务；

（7）接收端跨域数据交换服务检查标识后，进行安全检查；

（8）接收端跨域数据交换服务检查结束后，调用名录服务，查找接收跨域交换应用服务器；

（9）接收端跨域数据交换服务将数据推送到相关的应用服务器；

（10）数据在服务器上脱掉所有标识，交给应用程序。

4 结语

本文从跨域传输系统可控安全传输需求出发，设计了基于护照的跨域传输控制方法，能有效满足跨域传输的安全可控需求。完整实现了数据跨域传输全生命周期的数据保护和传输控制。跨域数据护照体系不仅可以支撑跨域传输系统对安全、可控能力要求，也可在其他信息系统中提供完整的安全控制能力。

因数据护照标识体系贯穿整个传输生命周期，可以在实现跨域交换系统内部的多点安全和完整性的同时，能更好地支持安全能力的扩展。