基于密码的安全服务化防护体系构想*

付 江 ，张建辉 ，钟 蔚 ，程永新

（1.中国电子科技集团公司第三十研究所，四川 成都 610041；2.中国电子科技网络信息安全有限公司，四川 成都 610041）

0 引 言

随着信息技术的发展，信息系统已渗透到国家的政治、经济、军事等各个领域，信息安全关乎国家的政权稳定、国防安全、社会稳定和经济发展，信息对抗日趋白热化。怎样在激烈的信息对抗中占据先机，构建一个防护能力可持续演进的安全防护体系架构是前提条件。因此，在总结信息系统和安全防护系统的发展历程后，构想了一个基于密码的安全服务化防护体系。

1 信息系统发展历程

信息系统的发展是随着信息技术的发展而发展的。信息技术是人类在了解、把握和改善自身生成环境过程中实现获取信息、处理信息、存储信息、传递信息、控制信息等过程中采用的相关技术。其作用是代替、扩展和延伸人的信息功能。信息技术的发展不断提高了人类认识和改造自然的能力，推动了社会的进步。

信息技术经历了五次革命：语言的产生、文字的发明、造纸和印刷术的发明、电报电话/广播电视的发明和普及应用、电子计算机的普及使用以及与通信网络的结合[1]。

在人类最开始的时期，人类语言的产生就是信息产生的开始时期。人类可以通过语言来进行信息的交流，来促进情感的表达，语言信息促进人类的思维能力不断提高。

随着人类自身思维能力的提高和对生活不断地创造，出现了象形文字和造纸印刷术，人类文明可以通过文字信息进行记载和传承，加快了人类文明的进步。

随着人类文明的进步，电报机、电话、无线电等信息技术的发明和利用，让信息的交流更加的快捷方便。

电子计算机的发明使信息技术趋向多样化和综合化方向发展，人类生活彻底向信息化社会发展。

六十年代末期美国采用电脑结合网络技术开发了第一个军事目的的计算机网络系统ARPA（Advanced Research Project Agency）网络，在此基础上发展出了互联网、物联网，信息网络技术拓展了人类活动的空间，改变了人类的生活方式。

从信息技术的五次革命过程，可归纳出信息系统发展经历有三个阶段：物基信息系统，机基信息系统和网基信息系统。

物基信息系统：在没有计算机的时代，利用口头语言和纸质文件等工具传递信息，构成早期的信息系统。最经典的早期信息系统就是中国的烽火台信息系统，使用时间最长的是皇家驿站信息传递系统。在这些信息系统中，传递信息的工具是烽火台、千里马等物体，因此是基于物体的信息系统。

机基信息系统：电子计算机出现以后，1985年由管理信息系统的创始人高登戴维斯对信息系统进行了定义，是一个利用计算机软件和硬件进行作业、分析、计划、控制和决策的功能组合体。这个信息系统采用计算机辅助，所以称为基于计算机的信息系统。

网基信息系统：随着互联网技术的发展，互联网+传统行业的生态圈逐步形成，互联网金融、互联网通信、互联网工业、互联网政务等各型信息系统孕育而生，这些信息系统都是基于互联网平台，因此称为网基信息系统。

随着新型资源和应用的层出不穷，信息资源共享成为网基信息系统的基本需求，原有的模块化、层次化、组件化的体系架构已经不能满足信息系统的发展需求。为了更好地共享信息资源，满足不断变化的个性化用户需求，一种全新的信息体系提了出来，即面向服务体系结构（SOA，Service-oriented Architecture）[2]。SOA强调一切皆资源，将网络、计算、存储、软件等网基信息系统的基础设施看做资源，通过采用标准化、松耦合的机制将各类资源组织成集群服务模式，每个集群服务提供相应功能，每个服务能够利用其他服务，根据用户的需求组成各类应用场景下的信息系统。其体系架构如图1所示，包括资源层、服务层和应用层。资源层提供通信网络、计算存储、情报数据、功能软件等基础资源，为上层提供信息传输、处理、存储、应用等基础支撑。服务层对资源层进行池化管理，形成以服务总线方式的运行管理调度平台，提供通信服务、计算服务、集成开发服务等，为应用层提供各类信息和服务支撑。应用层基于资源层和服务层，通过对服务功能的灵活编配组合，构建满足政府、金融、电信、制造等各种应用场景的信息系统。

图1 面向服务的信息系统体系架构

2 安全防护系统发展历程

安全防护体系是伴随信息系统的发展而发展，对应信息系统的发展阶段，安全防护体系有四个阶段[3]。

第一阶段：古典密码时代，对应物基信息系统，安全防护体系采用古典密码机制，利用手工作业方式对传递的信息进行加密，实现信息传递过程中的防窃听功能，如烽火台的狼烟密语、驿站的阴符阴书等。

第二阶段：通信保密时代，19世纪70年代，对应电报电话的发明，安全防护系统通过现代密码技术解决通信保密问题，主要安全威胁是搭线窃听和密码分析，采用电子加密技术，确保信息的机密性和完整性。其时代标志是1949年Shannon发表的《保密通信和信息理论》和1977年美国国家标准局公布的数据加密标准DES（Data Encryption Standard）。

第三阶段，信息安全时代，20世纪70-90年代，对应机基信息系统，重点是确保计算机的硬件、软件和传输、存储和处理的信息的安全。主要安全威胁是非法访问、恶意代码、网络入侵、病毒破坏等。主要信息安全技术包括对称密码、公私钥密码、VPN、安全操作系统、防火墙、防病毒软件、漏洞扫描、入侵检测和安全管理等。其时代标志是1985美国国防部公布的可信计算机系统评价准则（TCSEC，Trusted Computer System Evaluation Criteria）和ISO的安全评估准则CC（ISO 15408）。

第四阶段：信息安全保障时代，20世纪90年代后期至今，对应网基信息系统，包括了对信息的保护、检测、反应和恢复能力。信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。典型标志是美国国家安全局制定的《信息保障技术框架》（IATF，Information Assurance Technology Framework）。

3 基于密码的安全服务化防护体系

3.1 防护体系构想

从安全防护系统的发展历程来看，密码是基石，无论是古典密码时代、通信保密时代，还是信息安全、信息保障时代，都采用了密码技术实现信息的保密性、完整性、真实性、抗抵赖性等[4]。利用密码在安全认证、加密保护、信任传递等方面的重要作用，能够有效消除或控制潜在的“安全危机”，实现被动防御向积极防御的战略转变。同时，利用密码技术实现的安全防护系统的防护强度，是可以通过数学模型进行理论证明和定量描述的。因此，在当前的信息安全防护体系中，密码一定是不可或缺的基础支撑。

随着信息系统服务化的发展趋势，信息安全系统也朝服务化方向发展。这种发展趋势，有三个方面的原因，一是应对不断变化的安全威胁，需要及时调整安全功能；二是适应功能不断变化的信息系统，需要随之增减安全功能；三是适应安全产业的发展趋势，在前端产品利润降低的情况下需要提升后端服务的价值。

基于密码的安全服务化防护体系构想如图2所示，分为后端服务和前端应用。后端服务根据前端应用需求，提供个性化的基于密码的机密性服务、完整性服务、可认证服务、可审计服务等，前端应用在密码设施和安全容器的支撑下，通过调用后端服务，形成政府业务信息系统、金融服务信息系统、通信业务信息系统、工业制造信息系统等各类信息系统的安全保障能力。后端服务包括资源层和服务层。资源层包括各类密码算法、安全接入协议、安全路由协议、身份认证协议、安全漏洞库等安全基础资源，形成资源池，供上层调用；服务层通过调用安全基础资源，编排成信源加密、信道加密、身份鉴别、数字签名、访问控制、漏洞扫描等原子服务，同时根据前端应用需求形成个性化的机密性、完整性、可认证、可审计、安全运维等服务。前端应用包括支撑层和应用层。支撑层提供密码芯片、密码模块、密码中间件、网络安全容器、终端安全容器、云安全容器等设施设备，为实现安全应用提供支撑平台；应用层利用支撑层的设施设备，通过获取后端服务功能，实现各类信息系统的安全保障。

密码是安全服务化防护体系的核心技术和基石，通过资源层的分组密码、序列密码、公钥密码、HASH密码等密码算法资源，为服务层的加密、消息鉴别、完整性校验、安全管理等服务机制提供技术支撑；同时，基于密码芯片、密码模块、密码中间件的软硬件设施为实现各类应用信息系统的高保障能力提供平台。

基于密码的安全服务化防护体系采用“密码泛在化、前端容器化、服务层次化、体系完整化”的指导思想进行设计，适用于各类简单、复杂的信息系统的高安全信息保障，通过后端层次化、多样化、可扩展的安全服务能力的调用，在博弈化的信息市场中占据主动。

3.2 安全服务化技术

实现基于密码的安全服务化防护系统的主要支撑技术就是安全服务化技术，具体就是怎样将安全功能进行服务化。目前得到广泛应用的安全服务化技术是采用虚拟化技术将传统的信息加密、防火墙、攻击检测、防病毒等安全防护手段的物理资源和逻辑资源进行虚拟化，构建安全防护资源池，采用标准化服务总线的方式提供灵活高效的安全防护服务。

图2 基于密码的安全服务化防护体系

安全服务化技术以打造安全防护服务“能力池”为目标，通过标准化服务中间件、安全服务分发、安全服务负载动态迁移、智能响应调度等技术和措施提供可分解、可组合、可编排的安全防护服务功能，如图3所示。

图3 安全服务化技术构成图

（1）标准化服务中间件

安全功能包括信息加密、防火墙、入侵检测、反病毒等，这些不同的防护功能在配置管理方面存在多种不同的接口和复杂协议。安全功能服务化在实现上可以采用基于虚拟机、Docker等多种不同方式，他们的调度和管理接口也存在多种接口和协议。为了提升系统易用性和可扩展能力，通过引入标准化服务中间件对上向安全服务编排组件提供一致性的安全服务资源调度接口，对下适配不同的安全服务功能和多种实现方式交互接口。中间件基于插件化设计思路，允许组件在线热拔插，支持对接口组件在线维护，实现对新组件不宕机在线升级维护。

图4给出了标准化服务中间件的原理框图，该组件主要由虚拟机调度接口、Docker调度接口、安全服务配置抽象等部分构成。

图4 标准化服务中间件原理框图

虚拟机调度接口：负责调度基于虚拟机的安全服务，屏蔽OpenStack、VMWare、KVM等多种不同形式的虚拟机平台实现细节，包括虚拟机中的镜像管理、元参数配置、虚拟机调度等命令，由该接口负责解析下发给不同的虚拟机平台，实现虚拟机调度。

Docker调度接口：负责调度基于Docker的安全服务。其中对Docker的分发、配置参数、Docker镜像调度管理，以及Docker元数据配置等。此外，Docker镜像的上传、下载、删除等操作也由该接口实现。

安全服务配置抽象：安全服务配置抽象提供安全服务编排调度接口，屏蔽了虚拟机、Docker等大部分接口细节，仅提供一些服务类型、实现方式、安全服务配置参数等抽象数据模型。

（2）安全服务分发技术

安全功能服务化对外提供安全服务调度接口，外部调度只需要将服务能力、类型、性能、网络等参数进行等配置，由安全服务分发模块具体解析安全服务需要用到的组件，并将对应的虚拟化资源分发到前端的安全容器里面。安全服务分发主要包括安全服务配置解析、安全服务功能调度、虚拟机调度分发、Docker调度分发等，如图5所示。

图5 安全服务分发技术原理框图

安全服务配置解析：接收对安全功能服务调度的配置参数，将服务能力、类型、性能等参数进行解析，分解为具体需要调用的防火墙、入侵检测等安全服务类型，以及相应的配置参数和性能指标等信息。

安全服务功能调度：负责虚拟机、Docker的具体调度。根据安全服务配置解析结果，结合网络配置信息，根据可用虚拟机、Docker等资源信息分别计算出具体防火墙、入侵检测等安全服务功能分别由多少个虚拟机、Docker承载，网络位置以及相应的配置参数信息，并下发到对应的调度模块。

虚拟机调度分发：根据虚拟调度参数，向虚拟化资源池申请包含防火墙、入侵检测等安全服务功能的虚拟机资源，并将各个虚拟机网络配置信息以及防火墙、入侵检测等安全策略配置信息封装成元数据下发到虚拟化资源层。

Docker调度分发：根据虚拟调度参数，向Docker资源池申请包含防火墙、入侵检测等安全服务功能的资源，并将安全服务功能具体安全策略配置信息封装成元数据下发到虚拟化资源层。

（3）安全服务负载动态迁移技术

安全服务负载动态迁移技术用于解决在安全服务提供过程中针对服务对象变化、底层硬件资源变化等产生的负载迁移需求，是实现安全服务高可用、高动态的技术保障。安全服务负载动态迁移技术原理如图6所示，其主要包括安全服务迁移解析和安全服务资源调度两部分，并通过安全服务分发实现服务迁移。

图6 安全服务负载动态迁移技术原理框图

安全服务迁移解析：安全服务迁移解析对安全服务迁移请求进行解析，计算安全服务转移资源和实现方式。安全服务资源转移涉及到转入安全服务资源调度管理技术，在资源实现方面，主要根据请求约束，确定服务转入承载主体，比如是通过虚拟机迁移技术实现，还是由虚拟机迁入到Docker等。

安全服务资源调度：安全服务资源调度实现安全服务迁移的具体过程，包括目标服务迁移的发起，即向迁入的（虚拟机、Docker）对象发起迁移请求，确认迁移完成，以及迁出安全服务资源清除等过程。

（4）智能响应调度技术

安全防护设备的数量和规则复杂度与系统性能之间往往互相牵制，因此通过动态调整安全服务策略可以达成更好的平衡。智能响应调度技术为安全服务化提供了动态策略调度和学习能力，通过动态调度可以根据用户的安全需求不断调整安全策略，达成安全防护目标；通过学习可以不断优化安全策略，自适应安全环境变化。智能响应调度技术主要由安全态势感知、安全策略学习和安全服务动态分发三部分完成动态策略调整，并由安全服务负载动态迁移和安全服务分发具体实现，如图7所示。

图7 智能响应调度技术原理框图

安全态势感知：通过采集安全服务信息，对当前网络安全威胁态势进行评估，并将评估结果反馈给安全服务动态分发组件。安全威胁评估主要根据防火墙、入侵检测等当前安全服务组件中的告警、流量、攻击事件等警告信息进行综合评估。信息采集范围面向整个安全服务系统，并根据用户所在的安全域，给出相应的评估结果。

安全服务动态分发：根据安全防护目标，基于安全态势评估结果调整安全服务策略，包括安全防护功能、安全防护性能、实施安全服务迁移等。当安全态势感知到高危险时，会增加相应的安全防护服务，提升安全检测水平。当危险降低时，对网络安全防护服务进行调减。

4 结 语

信息系统在持续演进变化中，安全防护必须与信息系统同规划、同建设、同部署，这样才能更好地发挥防护效能。我们根据现有的信息系统框架，提出了基于密码的安全服务化防护架构设想，后续还需根据具体应用场景进行研究完善。