基于密碼的安全服務(wù)化防護體系構(gòu)想*

付 江 ，張建輝 ，鐘 蔚 ，程永新

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

隨著信息技術(shù)的發(fā)展，信息系統(tǒng)已滲透到國家的政治、經(jīng)濟、軍事等各個領(lǐng)域，信息安全關(guān)乎國家的政權(quán)穩(wěn)定、國防安全、社會穩(wěn)定和經(jīng)濟發(fā)展，信息對抗日趨白熱化。怎樣在激烈的信息對抗中占據(jù)先機，構(gòu)建一個防護能力可持續(xù)演進的安全防護體系架構(gòu)是前提條件。因此，在總結(jié)信息系統(tǒng)和安全防護系統(tǒng)的發(fā)展歷程后，構(gòu)想了一個基于密碼的安全服務(wù)化防護體系。

1 信息系統(tǒng)發(fā)展歷程

信息系統(tǒng)的發(fā)展是隨著信息技術(shù)的發(fā)展而發(fā)展的。信息技術(shù)是人類在了解、把握和改善自身生成環(huán)境過程中實現(xiàn)獲取信息、處理信息、存儲信息、傳遞信息、控制信息等過程中采用的相關(guān)技術(shù)。其作用是代替、擴展和延伸人的信息功能。信息技術(shù)的發(fā)展不斷提高了人類認識和改造自然的能力，推動了社會的進步。

信息技術(shù)經(jīng)歷了五次革命：語言的產(chǎn)生、文字的發(fā)明、造紙和印刷術(shù)的發(fā)明、電報電話/廣播電視的發(fā)明和普及應(yīng)用、電子計算機的普及使用以及與通信網(wǎng)絡(luò)的結(jié)合[1]。

在人類最開始的時期，人類語言的產(chǎn)生就是信息產(chǎn)生的開始時期。人類可以通過語言來進行信息的交流，來促進情感的表達，語言信息促進人類的思維能力不斷提高。

隨著人類自身思維能力的提高和對生活不斷地創(chuàng)造，出現(xiàn)了象形文字和造紙印刷術(shù)，人類文明可以通過文字信息進行記載和傳承，加快了人類文明的進步。

隨著人類文明的進步，電報機、電話、無線電等信息技術(shù)的發(fā)明和利用，讓信息的交流更加的快捷方便。

電子計算機的發(fā)明使信息技術(shù)趨向多樣化和綜合化方向發(fā)展，人類生活徹底向信息化社會發(fā)展。

六十年代末期美國采用電腦結(jié)合網(wǎng)絡(luò)技術(shù)開發(fā)了第一個軍事目的的計算機網(wǎng)絡(luò)系統(tǒng)ARPA（Advanced Research Project Agency）網(wǎng)絡(luò)，在此基礎(chǔ)上發(fā)展出了互聯(lián)網(wǎng)、物聯(lián)網(wǎng)，信息網(wǎng)絡(luò)技術(shù)拓展了人類活動的空間，改變了人類的生活方式。

從信息技術(shù)的五次革命過程，可歸納出信息系統(tǒng)發(fā)展經(jīng)歷有三個階段：物基信息系統(tǒng)，機基信息系統(tǒng)和網(wǎng)基信息系統(tǒng)。

物基信息系統(tǒng)：在沒有計算機的時代，利用口頭語言和紙質(zhì)文件等工具傳遞信息，構(gòu)成早期的信息系統(tǒng)。最經(jīng)典的早期信息系統(tǒng)就是中國的烽火臺信息系統(tǒng)，使用時間最長的是皇家驛站信息傳遞系統(tǒng)。在這些信息系統(tǒng)中，傳遞信息的工具是烽火臺、千里馬等物體，因此是基于物體的信息系統(tǒng)。

機基信息系統(tǒng)：電子計算機出現(xiàn)以后，1985年由管理信息系統(tǒng)的創(chuàng)始人高登戴維斯對信息系統(tǒng)進行了定義，是一個利用計算機軟件和硬件進行作業(yè)、分析、計劃、控制和決策的功能組合體。這個信息系統(tǒng)采用計算機輔助，所以稱為基于計算機的信息系統(tǒng)。

網(wǎng)基信息系統(tǒng)：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，互聯(lián)網(wǎng)+傳統(tǒng)行業(yè)的生態(tài)圈逐步形成，互聯(lián)網(wǎng)金融、互聯(lián)網(wǎng)通信、互聯(lián)網(wǎng)工業(yè)、互聯(lián)網(wǎng)政務(wù)等各型信息系統(tǒng)孕育而生，這些信息系統(tǒng)都是基于互聯(lián)網(wǎng)平臺，因此稱為網(wǎng)基信息系統(tǒng)。

隨著新型資源和應(yīng)用的層出不窮，信息資源共享成為網(wǎng)基信息系統(tǒng)的基本需求，原有的模塊化、層次化、組件化的體系架構(gòu)已經(jīng)不能滿足信息系統(tǒng)的發(fā)展需求。為了更好地共享信息資源，滿足不斷變化的個性化用戶需求，一種全新的信息體系提了出來，即面向服務(wù)體系結(jié)構(gòu)（SOA，Service-oriented Architecture）[2]。SOA強調(diào)一切皆資源，將網(wǎng)絡(luò)、計算、存儲、軟件等網(wǎng)基信息系統(tǒng)的基礎(chǔ)設(shè)施看做資源，通過采用標準化、松耦合的機制將各類資源組織成集群服務(wù)模式，每個集群服務(wù)提供相應(yīng)功能，每個服務(wù)能夠利用其他服務(wù)，根據(jù)用戶的需求組成各類應(yīng)用場景下的信息系統(tǒng)。其體系架構(gòu)如圖1所示，包括資源層、服務(wù)層和應(yīng)用層。資源層提供通信網(wǎng)絡(luò)、計算存儲、情報數(shù)據(jù)、功能軟件等基礎(chǔ)資源，為上層提供信息傳輸、處理、存儲、應(yīng)用等基礎(chǔ)支撐。服務(wù)層對資源層進行池化管理，形成以服務(wù)總線方式的運行管理調(diào)度平臺，提供通信服務(wù)、計算服務(wù)、集成開發(fā)服務(wù)等，為應(yīng)用層提供各類信息和服務(wù)支撐。應(yīng)用層基于資源層和服務(wù)層，通過對服務(wù)功能的靈活編配組合，構(gòu)建滿足政府、金融、電信、制造等各種應(yīng)用場景的信息系統(tǒng)。

圖1 面向服務(wù)的信息系統(tǒng)體系架構(gòu)

2 安全防護系統(tǒng)發(fā)展歷程

安全防護體系是伴隨信息系統(tǒng)的發(fā)展而發(fā)展，對應(yīng)信息系統(tǒng)的發(fā)展階段，安全防護體系有四個階段[3]。

第一階段：古典密碼時代，對應(yīng)物基信息系統(tǒng)，安全防護體系采用古典密碼機制，利用手工作業(yè)方式對傳遞的信息進行加密，實現(xiàn)信息傳遞過程中的防竊聽功能，如烽火臺的狼煙密語、驛站的陰符陰書等。

第二階段：通信保密時代，19世紀70年代，對應(yīng)電報電話的發(fā)明，安全防護系統(tǒng)通過現(xiàn)代密碼技術(shù)解決通信保密問題，主要安全威脅是搭線竊聽和密碼分析，采用電子加密技術(shù)，確保信息的機密性和完整性。其時代標志是1949年Shannon發(fā)表的《保密通信和信息理論》和1977年美國國家標準局公布的數(shù)據(jù)加密標準DES（Data Encryption Standard）。

第三階段，信息安全時代，20世紀70-90年代，對應(yīng)機基信息系統(tǒng)，重點是確保計算機的硬件、軟件和傳輸、存儲和處理的信息的安全。主要安全威脅是非法訪問、惡意代碼、網(wǎng)絡(luò)入侵、病毒破壞等。主要信息安全技術(shù)包括對稱密碼、公私鑰密碼、VPN、安全操作系統(tǒng)、防火墻、防病毒軟件、漏洞掃描、入侵檢測和安全管理等。其時代標志是1985美國國防部公布的可信計算機系統(tǒng)評價準則（TCSEC，Trusted Computer System Evaluation Criteria）和ISO的安全評估準則CC（ISO 15408）。

第四階段：信息安全保障時代，20世紀90年代后期至今，對應(yīng)網(wǎng)基信息系統(tǒng)，包括了對信息的保護、檢測、反應(yīng)和恢復(fù)能力。信息保障強調(diào)信息系統(tǒng)整個生命周期的防御和恢復(fù)，同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。典型標志是美國國家安全局制定的《信息保障技術(shù)框架》（IATF，Information Assurance Technology Framework）。

3 基于密碼的安全服務(wù)化防護體系

3.1 防護體系構(gòu)想

從安全防護系統(tǒng)的發(fā)展歷程來看，密碼是基石，無論是古典密碼時代、通信保密時代，還是信息安全、信息保障時代，都采用了密碼技術(shù)實現(xiàn)信息的保密性、完整性、真實性、抗抵賴性等[4]。利用密碼在安全認證、加密保護、信任傳遞等方面的重要作用，能夠有效消除或控制潛在的“安全危機”，實現(xiàn)被動防御向積極防御的戰(zhàn)略轉(zhuǎn)變。同時，利用密碼技術(shù)實現(xiàn)的安全防護系統(tǒng)的防護強度，是可以通過數(shù)學(xué)模型進行理論證明和定量描述的。因此，在當前的信息安全防護體系中，密碼一定是不可或缺的基礎(chǔ)支撐。

隨著信息系統(tǒng)服務(wù)化的發(fā)展趨勢，信息安全系統(tǒng)也朝服務(wù)化方向發(fā)展。這種發(fā)展趨勢，有三個方面的原因，一是應(yīng)對不斷變化的安全威脅，需要及時調(diào)整安全功能；二是適應(yīng)功能不斷變化的信息系統(tǒng)，需要隨之增減安全功能；三是適應(yīng)安全產(chǎn)業(yè)的發(fā)展趨勢，在前端產(chǎn)品利潤降低的情況下需要提升后端服務(wù)的價值。

基于密碼的安全服務(wù)化防護體系構(gòu)想如圖2所示，分為后端服務(wù)和前端應(yīng)用。后端服務(wù)根據(jù)前端應(yīng)用需求，提供個性化的基于密碼的機密性服務(wù)、完整性服務(wù)、可認證服務(wù)、可審計服務(wù)等，前端應(yīng)用在密碼設(shè)施和安全容器的支撐下，通過調(diào)用后端服務(wù)，形成政府業(yè)務(wù)信息系統(tǒng)、金融服務(wù)信息系統(tǒng)、通信業(yè)務(wù)信息系統(tǒng)、工業(yè)制造信息系統(tǒng)等各類信息系統(tǒng)的安全保障能力。后端服務(wù)包括資源層和服務(wù)層。資源層包括各類密碼算法、安全接入?yún)f(xié)議、安全路由協(xié)議、身份認證協(xié)議、安全漏洞庫等安全基礎(chǔ)資源，形成資源池，供上層調(diào)用；服務(wù)層通過調(diào)用安全基礎(chǔ)資源，編排成信源加密、信道加密、身份鑒別、數(shù)字簽名、訪問控制、漏洞掃描等原子服務(wù)，同時根據(jù)前端應(yīng)用需求形成個性化的機密性、完整性、可認證、可審計、安全運維等服務(wù)。前端應(yīng)用包括支撐層和應(yīng)用層。支撐層提供密碼芯片、密碼模塊、密碼中間件、網(wǎng)絡(luò)安全容器、終端安全容器、云安全容器等設(shè)施設(shè)備，為實現(xiàn)安全應(yīng)用提供支撐平臺；應(yīng)用層利用支撐層的設(shè)施設(shè)備，通過獲取后端服務(wù)功能，實現(xiàn)各類信息系統(tǒng)的安全保障。

密碼是安全服務(wù)化防護體系的核心技術(shù)和基石，通過資源層的分組密碼、序列密碼、公鑰密碼、HASH密碼等密碼算法資源，為服務(wù)層的加密、消息鑒別、完整性校驗、安全管理等服務(wù)機制提供技術(shù)支撐；同時，基于密碼芯片、密碼模塊、密碼中間件的軟硬件設(shè)施為實現(xiàn)各類應(yīng)用信息系統(tǒng)的高保障能力提供平臺。

基于密碼的安全服務(wù)化防護體系采用“密碼泛在化、前端容器化、服務(wù)層次化、體系完整化”的指導(dǎo)思想進行設(shè)計，適用于各類簡單、復(fù)雜的信息系統(tǒng)的高安全信息保障，通過后端層次化、多樣化、可擴展的安全服務(wù)能力的調(diào)用，在博弈化的信息市場中占據(jù)主動。

3.2 安全服務(wù)化技術(shù)

實現(xiàn)基于密碼的安全服務(wù)化防護系統(tǒng)的主要支撐技術(shù)就是安全服務(wù)化技術(shù)，具體就是怎樣將安全功能進行服務(wù)化。目前得到廣泛應(yīng)用的安全服務(wù)化技術(shù)是采用虛擬化技術(shù)將傳統(tǒng)的信息加密、防火墻、攻擊檢測、防病毒等安全防護手段的物理資源和邏輯資源進行虛擬化，構(gòu)建安全防護資源池，采用標準化服務(wù)總線的方式提供靈活高效的安全防護服務(wù)。

圖2 基于密碼的安全服務(wù)化防護體系

安全服務(wù)化技術(shù)以打造安全防護服務(wù)“能力池”為目標，通過標準化服務(wù)中間件、安全服務(wù)分發(fā)、安全服務(wù)負載動態(tài)遷移、智能響應(yīng)調(diào)度等技術(shù)和措施提供可分解、可組合、可編排的安全防護服務(wù)功能，如圖3所示。

圖3 安全服務(wù)化技術(shù)構(gòu)成圖

（1）標準化服務(wù)中間件

安全功能包括信息加密、防火墻、入侵檢測、反病毒等，這些不同的防護功能在配置管理方面存在多種不同的接口和復(fù)雜協(xié)議。安全功能服務(wù)化在實現(xiàn)上可以采用基于虛擬機、Docker等多種不同方式，他們的調(diào)度和管理接口也存在多種接口和協(xié)議。為了提升系統(tǒng)易用性和可擴展能力，通過引入標準化服務(wù)中間件對上向安全服務(wù)編排組件提供一致性的安全服務(wù)資源調(diào)度接口，對下適配不同的安全服務(wù)功能和多種實現(xiàn)方式交互接口。中間件基于插件化設(shè)計思路，允許組件在線熱拔插，支持對接口組件在線維護，實現(xiàn)對新組件不宕機在線升級維護。

圖4給出了標準化服務(wù)中間件的原理框圖，該組件主要由虛擬機調(diào)度接口、Docker調(diào)度接口、安全服務(wù)配置抽象等部分構(gòu)成。

圖4 標準化服務(wù)中間件原理框圖

虛擬機調(diào)度接口：負責(zé)調(diào)度基于虛擬機的安全服務(wù)，屏蔽OpenStack、VMWare、KVM等多種不同形式的虛擬機平臺實現(xiàn)細節(jié)，包括虛擬機中的鏡像管理、元參數(shù)配置、虛擬機調(diào)度等命令，由該接口負責(zé)解析下發(fā)給不同的虛擬機平臺，實現(xiàn)虛擬機調(diào)度。

Docker調(diào)度接口：負責(zé)調(diào)度基于Docker的安全服務(wù)。其中對Docker的分發(fā)、配置參數(shù)、Docker鏡像調(diào)度管理，以及Docker元數(shù)據(jù)配置等。此外，Docker鏡像的上傳、下載、刪除等操作也由該接口實現(xiàn)。

安全服務(wù)配置抽象：安全服務(wù)配置抽象提供安全服務(wù)編排調(diào)度接口，屏蔽了虛擬機、Docker等大部分接口細節(jié)，僅提供一些服務(wù)類型、實現(xiàn)方式、安全服務(wù)配置參數(shù)等抽象數(shù)據(jù)模型。

（2）安全服務(wù)分發(fā)技術(shù)

安全功能服務(wù)化對外提供安全服務(wù)調(diào)度接口，外部調(diào)度只需要將服務(wù)能力、類型、性能、網(wǎng)絡(luò)等參數(shù)進行等配置，由安全服務(wù)分發(fā)模塊具體解析安全服務(wù)需要用到的組件，并將對應(yīng)的虛擬化資源分發(fā)到前端的安全容器里面。安全服務(wù)分發(fā)主要包括安全服務(wù)配置解析、安全服務(wù)功能調(diào)度、虛擬機調(diào)度分發(fā)、Docker調(diào)度分發(fā)等，如圖5所示。

圖5 安全服務(wù)分發(fā)技術(shù)原理框圖

安全服務(wù)配置解析：接收對安全功能服務(wù)調(diào)度的配置參數(shù)，將服務(wù)能力、類型、性能等參數(shù)進行解析，分解為具體需要調(diào)用的防火墻、入侵檢測等安全服務(wù)類型，以及相應(yīng)的配置參數(shù)和性能指標等信息。

安全服務(wù)功能調(diào)度：負責(zé)虛擬機、Docker的具體調(diào)度。根據(jù)安全服務(wù)配置解析結(jié)果，結(jié)合網(wǎng)絡(luò)配置信息，根據(jù)可用虛擬機、Docker等資源信息分別計算出具體防火墻、入侵檢測等安全服務(wù)功能分別由多少個虛擬機、Docker承載，網(wǎng)絡(luò)位置以及相應(yīng)的配置參數(shù)信息，并下發(fā)到對應(yīng)的調(diào)度模塊。

虛擬機調(diào)度分發(fā)：根據(jù)虛擬調(diào)度參數(shù)，向虛擬化資源池申請包含防火墻、入侵檢測等安全服務(wù)功能的虛擬機資源，并將各個虛擬機網(wǎng)絡(luò)配置信息以及防火墻、入侵檢測等安全策略配置信息封裝成元數(shù)據(jù)下發(fā)到虛擬化資源層。

Docker調(diào)度分發(fā)：根據(jù)虛擬調(diào)度參數(shù)，向Docker資源池申請包含防火墻、入侵檢測等安全服務(wù)功能的資源，并將安全服務(wù)功能具體安全策略配置信息封裝成元數(shù)據(jù)下發(fā)到虛擬化資源層。

（3）安全服務(wù)負載動態(tài)遷移技術(shù)

安全服務(wù)負載動態(tài)遷移技術(shù)用于解決在安全服務(wù)提供過程中針對服務(wù)對象變化、底層硬件資源變化等產(chǎn)生的負載遷移需求，是實現(xiàn)安全服務(wù)高可用、高動態(tài)的技術(shù)保障。安全服務(wù)負載動態(tài)遷移技術(shù)原理如圖6所示，其主要包括安全服務(wù)遷移解析和安全服務(wù)資源調(diào)度兩部分，并通過安全服務(wù)分發(fā)實現(xiàn)服務(wù)遷移。

圖6 安全服務(wù)負載動態(tài)遷移技術(shù)原理框圖

安全服務(wù)遷移解析：安全服務(wù)遷移解析對安全服務(wù)遷移請求進行解析，計算安全服務(wù)轉(zhuǎn)移資源和實現(xiàn)方式。安全服務(wù)資源轉(zhuǎn)移涉及到轉(zhuǎn)入安全服務(wù)資源調(diào)度管理技術(shù)，在資源實現(xiàn)方面，主要根據(jù)請求約束，確定服務(wù)轉(zhuǎn)入承載主體，比如是通過虛擬機遷移技術(shù)實現(xiàn)，還是由虛擬機遷入到Docker等。

安全服務(wù)資源調(diào)度：安全服務(wù)資源調(diào)度實現(xiàn)安全服務(wù)遷移的具體過程，包括目標服務(wù)遷移的發(fā)起，即向遷入的（虛擬機、Docker）對象發(fā)起遷移請求，確認遷移完成，以及遷出安全服務(wù)資源清除等過程。

（4）智能響應(yīng)調(diào)度技術(shù)

安全防護設(shè)備的數(shù)量和規(guī)則復(fù)雜度與系統(tǒng)性能之間往往互相牽制，因此通過動態(tài)調(diào)整安全服務(wù)策略可以達成更好的平衡。智能響應(yīng)調(diào)度技術(shù)為安全服務(wù)化提供了動態(tài)策略調(diào)度和學(xué)習(xí)能力，通過動態(tài)調(diào)度可以根據(jù)用戶的安全需求不斷調(diào)整安全策略，達成安全防護目標；通過學(xué)習(xí)可以不斷優(yōu)化安全策略，自適應(yīng)安全環(huán)境變化。智能響應(yīng)調(diào)度技術(shù)主要由安全態(tài)勢感知、安全策略學(xué)習(xí)和安全服務(wù)動態(tài)分發(fā)三部分完成動態(tài)策略調(diào)整，并由安全服務(wù)負載動態(tài)遷移和安全服務(wù)分發(fā)具體實現(xiàn)，如圖7所示。

圖7 智能響應(yīng)調(diào)度技術(shù)原理框圖

安全態(tài)勢感知：通過采集安全服務(wù)信息，對當前網(wǎng)絡(luò)安全威脅態(tài)勢進行評估，并將評估結(jié)果反饋給安全服務(wù)動態(tài)分發(fā)組件。安全威脅評估主要根據(jù)防火墻、入侵檢測等當前安全服務(wù)組件中的告警、流量、攻擊事件等警告信息進行綜合評估。信息采集范圍面向整個安全服務(wù)系統(tǒng)，并根據(jù)用戶所在的安全域，給出相應(yīng)的評估結(jié)果。

安全服務(wù)動態(tài)分發(fā)：根據(jù)安全防護目標，基于安全態(tài)勢評估結(jié)果調(diào)整安全服務(wù)策略，包括安全防護功能、安全防護性能、實施安全服務(wù)遷移等。當安全態(tài)勢感知到高危險時，會增加相應(yīng)的安全防護服務(wù)，提升安全檢測水平。當危險降低時，對網(wǎng)絡(luò)安全防護服務(wù)進行調(diào)減。

4 結(jié) 語

信息系統(tǒng)在持續(xù)演進變化中，安全防護必須與信息系統(tǒng)同規(guī)劃、同建設(shè)、同部署，這樣才能更好地發(fā)揮防護效能。我們根據(jù)現(xiàn)有的信息系統(tǒng)框架，提出了基于密碼的安全服務(wù)化防護架構(gòu)設(shè)想，后續(xù)還需根據(jù)具體應(yīng)用場景進行研究完善。