徐　穎

對網(wǎng)絡(luò)信任體系的理解

在網(wǎng)絡(luò)信任體系的概念中，信任體系的服務(wù)內(nèi)容是“身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定”三部分。要區(qū)分網(wǎng)絡(luò)信任體系與應(yīng)用信任體系，關(guān)鍵是在：

1.應(yīng)用身份認(rèn)證和網(wǎng)絡(luò)身份認(rèn)證的不同；

2.應(yīng)用授權(quán)管理和網(wǎng)絡(luò)授權(quán)管理的不同；

3.應(yīng)用責(zé)任認(rèn)定和網(wǎng)絡(luò)責(zé)任認(rèn)定的不同；

其核心問題其實是：

1.信任體系是面向全程全網(wǎng)，還是面向處室應(yīng)用、部門應(yīng)用？

2.信任體系是面向互聯(lián)互通，還是面向信息孤島、信任孤島？

傳統(tǒng)的應(yīng)用層信任體系對于身份認(rèn)證是由應(yīng)用系統(tǒng)各自來做的，通過由應(yīng)用系統(tǒng)調(diào)用接口，在應(yīng)用系統(tǒng)前面放置網(wǎng)關(guān)，或者交由Portal來統(tǒng)一完成，按照這種模式構(gòu)建的應(yīng)用層信任體系雖然對應(yīng)用系統(tǒng)提供了強認(rèn)證保護，但卻各自為政，形成了一個個“孤島”。

應(yīng)用層信任體系的授權(quán)管理也是由應(yīng)用系統(tǒng)各自完成的，各個應(yīng)用系統(tǒng)對用戶的標(biāo)識方式，角色定義和授權(quán)方式都不相同，且只能對所屬部門或單位的用戶進行授權(quán)，一旦資源需要向其他部門的用戶共享則會遇到不少困難。

而應(yīng)用層的責(zé)任認(rèn)定往往是以應(yīng)用系統(tǒng)及其數(shù)據(jù)庫的日志文件為基礎(chǔ)，當(dāng)用戶進了應(yīng)用系統(tǒng)之后可以通過這些日志信息來對行為進行追溯，可是一旦用戶退出應(yīng)用系統(tǒng)，其在網(wǎng)絡(luò)上的行蹤就不再能夠被記錄。

傳統(tǒng)的應(yīng)用層信任體系的信息安全解決方案是面向一個個應(yīng)用系統(tǒng)、堡壘式的局部解決方案，形象地說是“各人自掃門前雪，休管他人瓦上霜”，只有在我的應(yīng)用系統(tǒng)的服務(wù)范圍內(nèi)，我的信息安全保障才起作用，這嚴(yán)重阻礙了大規(guī)?；ヂ?lián)互通和信息共享的真正實現(xiàn)。網(wǎng)絡(luò)信任體系的建設(shè)正是有效的解決之道，它立足安全、支撐網(wǎng)絡(luò)和應(yīng)用，突破孤島，建設(shè)面向業(yè)務(wù)服務(wù)、具有業(yè)務(wù)特征的業(yè)務(wù)網(wǎng)。

網(wǎng)絡(luò)信任體系的模型

IP網(wǎng)是目前政務(wù)網(wǎng)絡(luò)的承載網(wǎng)，網(wǎng)絡(luò)信任體系就是要在IP網(wǎng)絡(luò)的基礎(chǔ)上構(gòu)建一個統(tǒng)一的業(yè)務(wù)網(wǎng)絡(luò)信任層，在該信任層上具備業(yè)務(wù)屬性，能夠與政務(wù)業(yè)務(wù)無縫結(jié)合，并支持政府業(yè)務(wù)在這個業(yè)務(wù)網(wǎng)絡(luò)信任層上開展跨域和全局業(yè)務(wù)。

(一)內(nèi)涵

業(yè)務(wù)網(wǎng)絡(luò)層的模型如下圖所示。

（1）使網(wǎng)絡(luò)具有信任屬性

接入網(wǎng)絡(luò)的用戶和應(yīng)用資源要納入統(tǒng)一的注冊管理，成為可信的用戶和可信的資源；用戶在網(wǎng)絡(luò)中有網(wǎng)絡(luò)準(zhǔn)入權(quán)和資源訪問權(quán)，其權(quán)限的鑒權(quán)與訪問控制完全基于用戶身份；用戶從進入網(wǎng)絡(luò)、到訪問應(yīng)用全程行為都被記錄，從而在網(wǎng)絡(luò)層面實現(xiàn)了“身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定”，使信任成為網(wǎng)絡(luò)的一個屬性。

（2）使網(wǎng)絡(luò)具有業(yè)務(wù)屬性

網(wǎng)絡(luò)不再僅僅對IP、端口、DNS、流量、QOS等進行管理，更要對接入的用戶和資源進行管理，從全網(wǎng)的角度為“互聯(lián)互通、信息共享、業(yè)務(wù)協(xié)同”提供服務(wù)，使網(wǎng)絡(luò)具備業(yè)務(wù)屬性。

（3）使網(wǎng)絡(luò)具備基本服務(wù)能力

使網(wǎng)絡(luò)具備基于身份的認(rèn)證、授權(quán)、鑒權(quán)、訪問控制和責(zé)任認(rèn)定等基本服務(wù)能力，供全網(wǎng)的接入用戶和應(yīng)用資源使用，同時也支持對其他服務(wù)的擴展。

（4）使網(wǎng)絡(luò)具備支撐全局業(yè)務(wù)的能力

網(wǎng)絡(luò)信任體系構(gòu)建在網(wǎng)絡(luò)層面，通過集中式管理、分布式部署可以為全網(wǎng)的真正連通提供保障，突破了“信任孤島”，在此基礎(chǔ)之上整合、提供數(shù)據(jù)交換、信息共享和業(yè)務(wù)協(xié)同等服務(wù)，解決異構(gòu)、異源應(yīng)用系統(tǒng)之間的信息交換與共享問題，突破了“信息孤島”，使業(yè)務(wù)網(wǎng)信任層成為了能夠支撐全程全網(wǎng)全業(yè)務(wù)的可信業(yè)務(wù)網(wǎng)絡(luò)。

(二)外延

網(wǎng)絡(luò)信任體系的建設(shè)需要統(tǒng)一的網(wǎng)絡(luò)用戶管理、統(tǒng)一的身份認(rèn)證、統(tǒng)一的授權(quán)管理、統(tǒng)一的責(zé)任認(rèn)定以及統(tǒng)一的密碼策略支持，在這五個統(tǒng)一的背后還需要統(tǒng)一的元數(shù)據(jù)標(biāo)準(zhǔn)的支持。

網(wǎng)絡(luò)信任體系中心平臺的建設(shè)僅僅是網(wǎng)絡(luò)信任服務(wù)的源點，而要使得信任服務(wù)真正延伸到各個部門，還需要各部門進行網(wǎng)絡(luò)信任體系的接入。正如電力工業(yè)是國民經(jīng)濟的重要基礎(chǔ)設(shè)施，那么網(wǎng)絡(luò)信任體系中心就是是網(wǎng)絡(luò)信任體系的發(fā)電廠，這個發(fā)電廠發(fā)出來的不是電，而是信任服務(wù)，包括身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定三大功能，而這三大作用是通過這個發(fā)電廠建設(shè)的各種功能來提供的：統(tǒng)一用戶管理功能、統(tǒng)一身份認(rèn)證功能、統(tǒng)一元數(shù)據(jù)管理功能、統(tǒng)一授權(quán)管理功能、統(tǒng)一責(zé)任認(rèn)定功能和統(tǒng)一密碼策略支持。同時，正如發(fā)電廠需要通過輸電、配電和供電網(wǎng)絡(luò)和設(shè)備將電傳遞給千家萬戶，在千家萬戶通過適配（變壓器）為各種用電設(shè)備提供電能一樣，網(wǎng)絡(luò)信任體系中心也需要有傳輸網(wǎng)絡(luò)和各個部門的接入設(shè)備才能使得這種信任服務(wù)傳輸?shù)礁鱾€部門，而信任接入設(shè)備正是連接部門用戶、資源、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)信任體系中心的橋梁。這些信任接入設(shè)備就包括了網(wǎng)關(guān)、訪問控制服務(wù)、注冊與授權(quán)等。

依托網(wǎng)絡(luò)信任體系開發(fā)應(yīng)用

(一)基于統(tǒng)一認(rèn)證服務(wù)開發(fā)應(yīng)用

網(wǎng)絡(luò)信任體系的統(tǒng)一用戶管理和統(tǒng)一認(rèn)證服務(wù)為用戶訪問應(yīng)用系統(tǒng)提供了基于強身份認(rèn)證的訪問接入控制。應(yīng)用系統(tǒng)可以弱化自己的用戶管理和認(rèn)證部分，也可以保留自己的用戶管理模塊，但用戶身份認(rèn)證則由業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)信任體系統(tǒng)一進行，確保系統(tǒng)的安全性。

這樣，從電子政務(wù)業(yè)務(wù)網(wǎng)上發(fā)起的對應(yīng)用系統(tǒng)的訪問，首先經(jīng)過業(yè)務(wù)網(wǎng)的嚴(yán)格身份認(rèn)證，通過認(rèn)證，并且具有合法訪問權(quán)的可信用戶才能夠進入到應(yīng)用系統(tǒng)，獲取相關(guān)的資源訪問權(quán)限，或者進行相關(guān)的操作?？尚庞脩舻恼鎸嵣矸?，由業(yè)務(wù)網(wǎng)負(fù)責(zé)向應(yīng)用系統(tǒng)通知。

(二)基于統(tǒng)一授權(quán)管理開發(fā)應(yīng)用

基于網(wǎng)絡(luò)信任體系的統(tǒng)一授權(quán)管理開發(fā)應(yīng)用系統(tǒng)時，應(yīng)用系統(tǒng)只需完成各個功能模塊的邏輯實現(xiàn)即可，授權(quán)則通過業(yè)務(wù)網(wǎng)絡(luò)實現(xiàn)。對應(yīng)用系統(tǒng)的授權(quán)分為接入級授權(quán)和模塊級授權(quán)。

第一、接入級授權(quán)。將應(yīng)用系統(tǒng)注冊到業(yè)務(wù)網(wǎng)絡(luò)上，此時是將應(yīng)用系統(tǒng)作為一個整體，對部門、組（職務(wù)）、人員分別進行授權(quán)（這些部門、組、人員都已經(jīng)在業(yè)務(wù)網(wǎng)上進行了統(tǒng)一的管理）。

第二、模塊級授權(quán)。將應(yīng)用系統(tǒng)的相關(guān)模塊注冊到業(yè)務(wù)網(wǎng)絡(luò)上，此時是以每一個注冊模塊為引，對部門、組（職務(wù)）和人員分別進行授權(quán)。

用戶訪問應(yīng)用系統(tǒng)時，網(wǎng)關(guān)先獲取接入級授權(quán)，并進行鑒權(quán)，鑒權(quán)通過后，將用戶的訪問請求接入到應(yīng)用系統(tǒng)；再獲取該用戶的模塊級授權(quán)，對用戶操作功能模塊的行為，進行鑒權(quán)。

(三)基于統(tǒng)一的責(zé)任認(rèn)定進行跨域應(yīng)用行為審計

只有在網(wǎng)絡(luò)層建立責(zé)任認(rèn)定服務(wù)，才能全方位地的進行責(zé)任認(rèn)定。用戶上網(wǎng)、跨過了網(wǎng)絡(luò)信任域、進出某應(yīng)用系統(tǒng)、訪問網(wǎng)絡(luò)共享資源、進行信息交換和業(yè)務(wù)協(xié)同、對密碼的調(diào)用等的全部可能網(wǎng)絡(luò)行為都有記錄，并基于網(wǎng)絡(luò)的責(zé)任認(rèn)定策略進行事后的責(zé)任追蹤。這是可以全程追溯的認(rèn)定模式，改變了應(yīng)用系統(tǒng)把用戶連貫的網(wǎng)絡(luò)訪問行為分成一個個片段，分別以不同格式、不同方式記錄在不同應(yīng)用系統(tǒng)中的模式。

(四)實現(xiàn)面向應(yīng)用的可信共享資源管理

各部門的對外共享資源由各部門的管理員制作、組織、發(fā)布、授權(quán)并進行維護，并保存在本網(wǎng)內(nèi)的網(wǎng)絡(luò)注冊與授權(quán)系統(tǒng)中，納入業(yè)務(wù)網(wǎng)的統(tǒng)一授權(quán)管理，在統(tǒng)一資源管理下實現(xiàn)資源的可信發(fā)布和可信授權(quán)共享。

部門進行共享資源制作發(fā)布的流程示意如下圖：

（作者單位：浙江省行政首腦機關(guān)信息中心）