面向多級安全的跨域交換技術研究*

肖柳林

(海軍指揮自動化工作站，北京100089)

0 引言

隨著信息化技術的迅猛發(fā)展，網(wǎng)絡憑借其高效、便捷的優(yōu)勢，已作為一種數(shù)據(jù)交換方式被廣泛應用到社會生活的各個方面，成為信息業(yè)務開展不可或缺的重要途徑?；ヂ?lián)互通的網(wǎng)絡信息系統(tǒng)正引發(fā)信息安全領域一場重大的變革，分布式、動態(tài)的安全需求對集中、靜態(tài)的傳統(tǒng)安全模式提出了挑戰(zhàn)，大規(guī)模的用戶認證和敏感資源的共享等安全問題成為人們關注的焦點。當前，網(wǎng)絡信息系統(tǒng)通常將自身劃分為多個自治管理域(也稱為安全域)，通過多域間的安全隔離來實現(xiàn)對用戶的訪問控制以及信息資源的安全管理。

跨域的信息交換為網(wǎng)絡資源和服務的最大化共享創(chuàng)造了條件，提高了網(wǎng)絡信息系統(tǒng)的效能和資源利用率。然而，在享受通信便利的同時，由于跨域系統(tǒng)開放了域內(nèi)多個端口，它將面臨各種來自系統(tǒng)內(nèi)部、外部的權限隱蔽提升、匿名訪問等安全問題，從而導致信任危機。具體來說，跨域信息系統(tǒng)在安全方面主要面臨幾個方面的挑戰(zhàn)［1－2］:①跨域交換的用戶量大，使得對不同安全域、不同安全等級的用戶管理復雜化，給用戶授權認證以及信任評價帶來了困難;②安全域以及安全等級的數(shù)量不斷增加，用戶角色的映射已經(jīng)從一對一安全域跨越到了一對多安全域的角色傳遞;③由于應用層協(xié)議復雜多樣，越來越多的黑客利用應用層的漏洞對系統(tǒng)發(fā)起攻擊，各類攻擊隱藏于應用層數(shù)據(jù)包中，難以在網(wǎng)絡層被檢測出來。因此，無論是從用戶授權認證管理、信任評價機制，還是從跨域角色映射、跨域數(shù)據(jù)安全交換，都需要新的策略來保證跨域信息交換系統(tǒng)的安全性。

多級安全保護機制則可為跨域系統(tǒng)的信息交互提供安全支撐，它強調(diào)網(wǎng)絡信息系統(tǒng)中信息是否按級訪問，通常會給系統(tǒng)中的主體和客體分配不同安全等級標簽，并通過安全標簽的對比，實現(xiàn)主體對客體的安全訪問［3］。多級安全保護機制根據(jù)系統(tǒng)的重要程度以及受攻擊后的危害性，對信息系統(tǒng)實施不同等級的安全保障。以此同時，多級安全保護還將對系統(tǒng)劃分不同的敏感級別，控制用戶對資源的訪問權限。

因此，針對現(xiàn)有跨域信息系統(tǒng)在數(shù)據(jù)交換方面的安全需求，本文從多級安全的角度研究了跨域信息交換技術，設計了多級安全跨域數(shù)據(jù)交換框架，實現(xiàn)了多域信息系統(tǒng)的安全互聯(lián)與資源共享。

1 問題與分析

跨域交換技術是實現(xiàn)網(wǎng)絡信息系統(tǒng)間互聯(lián)互通的重要途徑，在安全方面，該技術不僅要對用戶的訪問進行有效的權限控制，而且須確保交互數(shù)據(jù)的安全性。但是，在網(wǎng)絡信息系統(tǒng)最初的設計中，安全方面的考慮并不完善，傳統(tǒng)的跨域交換中缺乏對多級安全屬性及相關操作的支持，且在數(shù)據(jù)交換過程中無法有效地過濾掉應用層的安全威脅，因此，現(xiàn)有的技術架構難以滿足功能日益豐富的跨域交換系統(tǒng)的安全需求，具體來說，本文認為主要存在以下幾個關鍵問題:

(1)缺乏面向多級安全的跨域交換技術框架

面向多級安全的跨域數(shù)據(jù)交換系統(tǒng)，既要實現(xiàn)域間數(shù)據(jù)快速、安全交換，又要控制域間不同用戶、不同權限的訪問映射關系，這里將涉及到兩個層面:網(wǎng)絡層和應用層，其中，網(wǎng)絡層負責數(shù)據(jù)的安全封裝與交換，應用層負責權限控制與安全策略管理，兩層互相聯(lián)動，共同保證信息的安全交互。但現(xiàn)有多級安全模型，在實際跨域信息系統(tǒng)中應用存在著適應性差、安全性不足等問題，無法完全保證域間數(shù)據(jù)交換的安全;而現(xiàn)有的跨域數(shù)據(jù)交換模型又不能完全適用于多級安全網(wǎng)絡，因此，迫切需要建立面向多級安全的跨域交換模型，為多級安全網(wǎng)絡信息系統(tǒng)間的安全互聯(lián)互通提供理論與技術支撐。

(2)缺乏有效的安全標簽綁定技術

安全標簽是多級安全系統(tǒng)實施安全控制的基礎，但安全標簽并不是現(xiàn)有數(shù)據(jù)信息的固有屬性，因此，缺乏有效的安全標簽綁定技術，使得安全標簽的管理陷入混亂，造成安全標簽綁定不一致、假冒、替代等問題，嚴重阻礙了多級安全的發(fā)展［4］。因此，研究安全標簽與信息載體有效的綁定，是實現(xiàn)細粒度資源訪問控制、數(shù)據(jù)安全交換的關鍵。

(3)缺乏全面的數(shù)據(jù)內(nèi)容過濾機制

面對不同安全等級、不同業(yè)務類型、不同管理區(qū)域網(wǎng)絡的數(shù)據(jù)交換需求，如何在保證信息安全互通的同時，防止敏感信息泄露，阻止惡意數(shù)據(jù)對系統(tǒng)的影響，是當前跨域交換系統(tǒng)安全的重要保證。因此，需要建立全面的、有效的內(nèi)容過濾機制，防止高安全等級內(nèi)容傳送到低安全等級的網(wǎng)絡或用戶而導致的信息泄露等問題。

2 面向多級安全的跨域交換系統(tǒng)框架

面向多級安全的跨域交換系統(tǒng)技術架構如圖1所示，主要由多級安全代理模塊和多級安全交換模塊組成，通過對系統(tǒng)進行實時、準確的監(jiān)測與調(diào)控，確保數(shù)據(jù)交換的安全性。

圖1 多級安全跨域交換系統(tǒng)框架Fig.1 Framework diagram of cross－ domain exchange system with multilevel security

多級安全代理設備以串接方式成對部署兩網(wǎng)互聯(lián)的邊界處，由前置代理模塊、后置代理模塊、日志審計和配置管理模塊等組成，如圖1所示。前置代理模塊由接入控制、業(yè)務應用代理、安全性檢查和數(shù)據(jù)封裝等模塊組成;后置代理服務模塊則由解封裝、協(xié)議轉(zhuǎn)換、安全性檢查和業(yè)務應用代理等模塊組成。

多級安全交換設備負責跨域間的數(shù)據(jù)安全傳輸，采用“2+1”硬件架構，由相互獨立的A網(wǎng)處理單元、多級安全隔離交換單元和B網(wǎng)處理單元組成，如圖2所示。網(wǎng)絡處理單元基于自主可信平臺硬件設計，運行專用安全加固操作系統(tǒng)，保證所有處理過程都在可信執(zhí)行環(huán)境進行。多級安全交換系統(tǒng)軟件分布在兩個獨立的網(wǎng)絡處理單元，對多級安全代理設備提交的專用格式靜態(tài)數(shù)據(jù)進行合規(guī)性和安全性檢查，按照隔離交換規(guī)則通過唯一的數(shù)據(jù)交換通道——隔離交換單元，交換到對端。

圖2 多級安全交換設備構成Fig.2 Structure diagram of multilevel security exchange equipment

跨域數(shù)據(jù)交換通過多級安全級數(shù)據(jù)交換設備實現(xiàn)，它是不同安全等級網(wǎng)絡之間唯一的數(shù)據(jù)交換通道，采用專用的硬件設計保證了在任意時刻網(wǎng)絡間的物理鏈路層斷開，從硬件層面保證了不同安全等級網(wǎng)絡間的網(wǎng)絡隔離。專用隔離交換處理單元采用專有的硬件交換電路板實現(xiàn)，通過硬件邏輯控制內(nèi)外網(wǎng)單元對隔離交換數(shù)據(jù)緩存區(qū)的互斥訪問，從而實現(xiàn)不同安全等級網(wǎng)絡間專用的、高速的網(wǎng)絡隔離交換。

3 關鍵技術

3.1 安全標簽綁定技術

安全標簽綁定是實現(xiàn)網(wǎng)絡信息系統(tǒng)中多級安全數(shù)據(jù)交換的前提與基礎，如何進行安全標簽與信息客體的綁定一直是多級安全有效實施的關鍵。目前，現(xiàn)有的大多安全標簽綁定技術都主要針對網(wǎng)絡層的數(shù)據(jù)包，導致安全標簽與數(shù)據(jù)綁定實現(xiàn)的粒度相對較粗，對應用層的信息資源無法有效的結合，因而存在應用層數(shù)據(jù)安全標簽與網(wǎng)絡層數(shù)據(jù)安全標簽的映射問題，導致安全標簽的通用性較差，在多級安全保護體系下，其實現(xiàn)難度較大。同時，受到編碼格式和數(shù)據(jù)包長度的限制，無法更進一步對網(wǎng)絡層的安全標簽進行擴充。

針對以上提及的不足，結合多級安全保護機制的需求，本小節(jié)提出一種基于XML的應用層數(shù)據(jù)課題與安全標簽綁定技術［5］，具有適應性好、安全標簽不受限、實施容易等優(yōu)勢，能夠?qū)π畔?shù)據(jù)進行細粒度的訪問控制與保護功能。它包含以下兩部分:數(shù)據(jù)多級分割和XML安全標簽綁定。

(1)數(shù)據(jù)多級分割

數(shù)據(jù)多級分割是指根據(jù)數(shù)據(jù)的重要程度，將數(shù)據(jù)轉(zhuǎn)化為具有良好定義的、層次化的多級樹形XML文檔，為后續(xù)不同級別的安全標簽綁定提供安全分級依據(jù)。

數(shù)據(jù)多級分割的步驟如下:

a)根據(jù)數(shù)據(jù)信息的重要程度對其進行首次多段處理。

b)確定每一個數(shù)據(jù)段的起始位置和結束位置，并對每個數(shù)據(jù)段進行邊界標識。

c)為每一個數(shù)據(jù)分段根據(jù)其重要程度以及系統(tǒng)的安全策略分配對應的安全標簽，這里，安全標簽包含數(shù)據(jù)段的密級、知悉范圍、安全約束條件以及對應的處理方法。

d)以上a)～c)步驟完成了數(shù)據(jù)的一級安全標簽的劃分，根據(jù)實際系統(tǒng)的需求以及數(shù)據(jù)段的敏感等級，可繼續(xù)對每個數(shù)據(jù)段進行分割操作，即重復步驟a)～c)，得到下一級的數(shù)據(jù)安全分割。

e)重復步驟a)～d)的操作，直至數(shù)據(jù)被完全分割并轉(zhuǎn)化為符合需求的多級數(shù)據(jù)，分割過程結束。最后，將分割后得到的多級數(shù)據(jù)通過 XML安全標記綁定方式形成多級XML安全標記文檔。

(2)XML安全標簽綁定

通常，采用XML文檔來實現(xiàn)數(shù)據(jù)與安全標簽的綁定有以下兩種方式:①數(shù)據(jù)與安全標簽融合，該方式采用相關編碼算法，將信息數(shù)據(jù)轉(zhuǎn)換為基于XML文檔的字符集，然后將安全標簽與數(shù)據(jù)進行綁定，并將其存儲于XML文檔中;②數(shù)據(jù)與安全標簽分離，該方式不對數(shù)據(jù)進行相關的解析編碼，采用引用的方式實現(xiàn)安全標簽與數(shù)據(jù)的綁定，即在XML安全標記文件中通過URL的方式引用數(shù)據(jù)。

對比以上兩種方式，我們可以看出:前一種方式將數(shù)據(jù)與安全標簽置于同一個XML文檔中，這樣有利于數(shù)據(jù)的傳輸與管理;但由于XML集數(shù)據(jù)與安全標簽于一體，造成文件的占用空間過大，這樣降低了文件的可讀性，且降低了XML文檔的更新效率，存在存儲空間受限、數(shù)據(jù)識別度低等不足。后一種方式采用了URL的方式對數(shù)據(jù)進行外部引用，不需要進行數(shù)據(jù)的編碼轉(zhuǎn)化，提高了安全標簽的處理效率，并且數(shù)據(jù)能夠被多個安全標簽文檔引用，降低了資源冗余度;其不足在于當數(shù)據(jù)位置發(fā)生變化時，安全標簽的應用也必須做出相應的更新。

在跨域交換系統(tǒng)中，我們可以采用以上任一一種方式對數(shù)據(jù)和安全標簽進行綁定，并以安全數(shù)據(jù)段(XML安全標記文檔)的方式進行傳輸。同時，為了確保數(shù)據(jù)與安全標簽綁定后在網(wǎng)絡傳輸中的完整性，采用簽名算法對安全數(shù)據(jù)段進行簽名，并附在安全數(shù)據(jù)段尾部，如圖3所示。

圖3 數(shù)據(jù)與安全標簽綁定Fig.3 Binding of data and security label

3.2 內(nèi)容過濾技術

網(wǎng)絡內(nèi)部用戶的誤用和惡意使用可以繞過接入控制、基于網(wǎng)絡等級的控制、安全標簽技術等防護措施，因此需要進一步提供基于內(nèi)容的信息安全等級保護。基于內(nèi)容的信息安全等級保護，通過對內(nèi)容的檢查、識別和分類，確定內(nèi)容的安全等級，根據(jù)其等級與安全策略對內(nèi)容進行過濾。

目前主要的內(nèi)容過濾技術有:關鍵詞過濾技術、基于特征的過濾技術、基于語義的過濾技術。

(1)關鍵詞過濾技術

關鍵詞過濾技術通過構建一些獨立或組合的與特定的安全等級相關聯(lián)的詞語來對信息進行識別和分級，信息數(shù)據(jù)按照關鍵詞出現(xiàn)的頻率由高到低對其進行定級。關鍵詞過濾技術是一種較為簡單的內(nèi)容過濾技術，它的本質(zhì)是創(chuàng)建一個龐大的過濾詞匯表。該技術的過濾能力完全依賴于詞匯表的構建與數(shù)量，在實際使用中，該技術靈活度相對較弱，適用一些較為粗粒度的內(nèi)容過濾。

(2)基于特征的過濾技術

基于特征的過濾技術采用模式識別、人工智能等相關理論和方法對數(shù)據(jù)進行過濾，其模型主要有向量空間模型、神經(jīng)網(wǎng)絡模型、基于規(guī)則的模型等。

(a)向量空間模型

向量空間模型［6］將數(shù)據(jù)文檔簡化為以特征項的權重為分量的一個高維向量表示，將數(shù)據(jù)信息過濾映射為空間向量的運算，從而大大降低了問題的復雜度。該模型的最大特點在于能夠方便地計算出數(shù)據(jù)與預設不良信息庫的相似度，并通過相似度來定量的過濾掉不良數(shù)據(jù)。

具體的內(nèi)容過濾步驟如下:

步驟1:數(shù)據(jù)加工。將數(shù)據(jù)轉(zhuǎn)換成一個由m個特征項和權值表示的向量D;

步驟2:向量比較。將向量D同預設不良數(shù)據(jù)向量P進行相似度計算，即sim(D，P);

步驟3:數(shù)據(jù)過濾。設定過濾閾值ψ，若sim(D，P)＞ψ，則將D作為不良數(shù)據(jù)過濾掉。

該方法將數(shù)據(jù)以特征的方式轉(zhuǎn)化到向量空間統(tǒng)一表示，具有計算簡單有效、操作性高等優(yōu)勢，從而使得數(shù)據(jù)內(nèi)容過濾更易于實現(xiàn)。不足之處在于，數(shù)據(jù)內(nèi)容的特征項較為獨立，無法有效地區(qū)分出同一內(nèi)容在不同位置的語義差異，無法識別內(nèi)容的結構信息，不能充分地體現(xiàn)數(shù)據(jù)內(nèi)容的總體情況。更重要的是，難以準確的定義特征項的權重值，影響內(nèi)容過濾的相關度計算，降低過濾效率。

(b)貝葉斯決策模型

貝葉斯決策模型的基本思想是根據(jù)以往的判斷經(jīng)驗估計出某一數(shù)據(jù)屬于相關集合的概率。通常情況下，該模型將訓練實例S分解成特征向量X(X1，X2，X3，…，Xn)和決策變量 C，并假定 X 的各分量間相對于C是相對獨立的。在計算過程中，數(shù)據(jù)屬于類別的概率等同于數(shù)據(jù)中每個特征項屬于類別的概率綜合，最后，根據(jù)各類別的概率結果選擇概率最大的作為該數(shù)據(jù)的類別。模型將數(shù)據(jù)源的內(nèi)容分別分成正常內(nèi)容和不良內(nèi)容兩類(C1，C2)，并根據(jù)特征詞分段，按式(1)計算該數(shù)據(jù)X屬于正常內(nèi)容和不良內(nèi)容的概率［7］:

該模型的優(yōu)勢在于算法邏輯簡單、易于實現(xiàn)，且過濾時空開銷小、算法穩(wěn)定。但它并未考慮特征項出現(xiàn)的頻率，且算法建立在獨立性假設的前提下，對于復雜內(nèi)容的過濾，判斷誤差較大。

(c)基于規(guī)則的模型

基于規(guī)則的內(nèi)容過濾模型一般通過包含各種約束條件的規(guī)則集做出決策進行內(nèi)容過濾，其中，每一條規(guī)則都能表示用戶的數(shù)據(jù)過濾需求，根據(jù)這些規(guī)則對需要過濾的數(shù)據(jù)進行匹配，同時考慮數(shù)據(jù)的上下文關系，判定數(shù)據(jù)是否被過濾掉，其優(yōu)勢在于實現(xiàn)簡單，數(shù)據(jù)匹配的時間消耗較少，相關理論和技術相對成熟，能夠解決有些統(tǒng)計方法無法解決的問題。但它的不足之處體現(xiàn)在:對于新的非結構化的數(shù)據(jù)，必須采用信息分析構件對其進行必要的推導，而此類推導過程是相當困難的;同時，隨著時間的增長，過濾器中所包含的規(guī)則將逐步過時，在應付不確定性事件時，變現(xiàn)得心有余而力不足。

(3)基于語義的過濾技術

基于語義的過濾技術具有更準備的判斷能力，通過對數(shù)據(jù)信息語義的分析，得到接近人工處理的程度。但由于目前對自然語言的處理與理解技術有限，該類技術還不能應用于工程實踐中。

通過以上的研究與分析，結合跨域信息系統(tǒng)的特征，我們可以將關鍵詞過濾技術及基于特征的過濾技術相集合，通過合理的組合實現(xiàn)數(shù)據(jù)內(nèi)容最大化的安全過濾。

4 結語

跨域交換技術是實現(xiàn)網(wǎng)絡信息系統(tǒng)間互聯(lián)互通的重要途徑，在安全方面，該技術不僅要對用戶的訪問進行有效的權限控制，而且須確保交互數(shù)據(jù)的安全性。針對現(xiàn)有跨域信息系統(tǒng)在數(shù)據(jù)交換方面的安全需求，文中從多級安全的角度研究了跨域信息交換技術，分析了當前跨域信息交換存在的安全問題，針對現(xiàn)有系統(tǒng)的不足，設計了面向多級安全的跨域交換系統(tǒng)架構，實現(xiàn)了多域信息系統(tǒng)的安全互聯(lián)與資源共享，研究了多級安全跨域系統(tǒng)中的安全標簽綁定、內(nèi)容過濾等關鍵技術。

結合現(xiàn)有的研究，后期還將對以下問題做進一步研究:

(1)設計多級安全跨域數(shù)據(jù)交換協(xié)議

安全跨域數(shù)據(jù)交換協(xié)議設計是確保多域信息安全通信的關鍵，其適用性和安全性將直接決定著網(wǎng)絡信息系統(tǒng)的發(fā)展。目前，在跨域交換技術的研究與工程實踐領域中，大多都在網(wǎng)絡層采用IPSec協(xié)議，缺乏對多級安全技術的有效支持，無法對交互的數(shù)據(jù)進行安全檢查與控制。因此，多級安全跨域交換系統(tǒng)不能完全利用現(xiàn)有的安全網(wǎng)絡協(xié)議，需要根據(jù)自身特點，設計出滿足自身需求的安全通信協(xié)議。

(2)研究虛擬隔離運行技術

網(wǎng)絡信息系統(tǒng)中不同安全等級的訪問需要在不同的終端上進行，如果在同一臺終端上訪問和使用不同安全等級的網(wǎng)絡，就必須要擁有良好的隔離措施，還要明確定義隔離的屬性及其約束條件。因此，在跨域交換系統(tǒng)中，需要根據(jù)虛擬機的相關特性，建立虛擬平臺內(nèi)各類資源安全控制機制，構建出安全可信的隔離運行環(huán)境。

［1］丁烽祥，張怡，王勇軍.多網(wǎng)安全隔離交換系統(tǒng)的設計與實現(xiàn)［J］.廈門大學學報:自然科學版，2007，11(S2):92－97.DING Feng － xiang，ZHANG Yi，WANG Yong － jun.The Design and Implementation of Multi－network Security Isolation－Exchange System［J］.Journal of Xiamen University:Natural Science，2007，11(S2):92 －97.

［2］曹利峰.面向多級安全的網(wǎng)絡安全通信模型及其關鍵技術研究［D］.鄭州:解放軍信息工程大學，2013.CAO Li－feng.Research on Multilevel Security Oriented Network Secure Communication Model and Its Key Technologies［D］.Zhengzhou:PLA Information Engineering University，2013.

［3］程靜，石勇.一種基于虛擬化技術的多級安全機制研究［J］.通信技術，2013，46(01):35－39.CHENG Jing，SHI Yong.Study on Multilevel Security Mechanism based on Virtualization［J］.Communications Technology，2013，46(01):35 －39.

［4］史萌，丁阿丹.物理隔離的網(wǎng)間“擺渡”技術應用研究［J］.通信技術，2013，46(06):114－116.SHI Meng，DING A －dan.Application of“Ferry”Technology between Physically Isolation Networks［J］.Communications Technology，2013，46(06):114 －116.

［5］李洪敏，萬平國，葛楊.跨域引用監(jiān)視器及其以數(shù)據(jù)為中心的多級安全模型［J］.計算機應用，2013(03):717－719.LI Hong－min，WAN Ping－guo，GE Yang.Cross Domain Reference Monitor and Its Data－Centered Multilevel Security Model［J］.Journal of Computer Applications，2013(03):717－719.

［6］歐海文，曾淑娟.基于數(shù)據(jù)標識的跨域增量數(shù)據(jù)交換模型［J］.北京電子科技學院學報，2012(04):53－56.OU Hai－wen，ZENG Shu－juan.Cross－domain Increasing Data Exchanging by Distinguished Name［J］.Journal of Beijing Electronic Science and Technology Institute，2012(04):53－56.

［7］穆原子.淺析網(wǎng)絡安全中的內(nèi)容過濾計算研究［J］.網(wǎng)絡安全技術與應用，2013(06):33－34.MU Yuan － zi.Survey on Content Filtering Technique［J］.Network Security Technology ＆ Application，2013(06):33 －34.