信息化聯(lián)合協(xié)同系統(tǒng)下的的密碼服務(wù)系統(tǒng)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

       長(zhǎng)期以來(lái)，信息系統(tǒng)建設(shè)大都遵循按行政管理體制、部門或業(yè)務(wù)功能的劃分獨(dú)立發(fā)展的模式，導(dǎo)致了“煙囪式”系統(tǒng)架構(gòu)的產(chǎn)生;相應(yīng)的密碼系統(tǒng)建設(shè)也繼承了這種架構(gòu)，不同信息系統(tǒng)的密碼裝備技術(shù)體制也不一致。這一現(xiàn)狀與信息化聯(lián)合協(xié)同對(duì)密碼系統(tǒng)的需求之間存在著一定的差距，帶來(lái)了一系列問(wèn)題。

　　1.1難以實(shí)現(xiàn)跨網(wǎng)的保密信息共享與互通

　　信息化聯(lián)合協(xié)同要求密碼系統(tǒng)不僅要提供同構(gòu)網(wǎng)絡(luò)的、域內(nèi)的密碼防護(hù)，還要具有異構(gòu)網(wǎng)絡(luò)的、跨域的密碼防護(hù)能力。“煙囪式”的密碼系統(tǒng)架構(gòu)與不統(tǒng)一的技術(shù)體制難以有效應(yīng)對(duì)面向服務(wù)的信息共享模式及柵格化信息網(wǎng)絡(luò)的安全保障需求，有待進(jìn)一步規(guī)范統(tǒng)一，擴(kuò)展完善。

　　1.2跨管理部門的應(yīng)用集成和協(xié)作程度低

　　由于各種密碼系統(tǒng)建設(shè)上的獨(dú)立性與設(shè)計(jì)標(biāo)準(zhǔn)的缺乏，目前的密碼系統(tǒng)在功能上很難實(shí)現(xiàn)系統(tǒng)之間的互操作。這樣，在業(yè)務(wù)上需要協(xié)作的部門或單位難以實(shí)現(xiàn)系統(tǒng)功能與資源上的互補(bǔ)，導(dǎo)致部門之間信息交流與共享不能得到充分的保證，給工作帶來(lái)很大的影響。因此，如何在保護(hù)密碼系統(tǒng)已有投資的前提下，使新的密碼系統(tǒng)突破地域、部門的限制，實(shí)現(xiàn)密碼系統(tǒng)的無(wú)縫集成，進(jìn)而實(shí)現(xiàn)密碼系統(tǒng)的互操作與資源共享，已成為亟待解決的關(guān)鍵問(wèn)題.

　　1.3缺乏功能擴(kuò)展與柔性重組能力

　　傳統(tǒng)通信網(wǎng)絡(luò)與信息系統(tǒng)往往承載較為單一的業(yè)務(wù)，相應(yīng)的密碼系統(tǒng)的功能較單一，只為特定業(yè)務(wù)和用戶服務(wù)，在建設(shè)時(shí)較少考慮密碼系統(tǒng)的擴(kuò)展性與可重構(gòu)等因素，導(dǎo)致系統(tǒng)架構(gòu)不夠靈活，密碼算法、協(xié)議與應(yīng)用綁定，系統(tǒng)功能難以擴(kuò)展或重構(gòu)。因此，需要將密碼系統(tǒng)的架構(gòu)與應(yīng)用系統(tǒng)進(jìn)行同步改造，使密碼系統(tǒng)具有良好的擴(kuò)展性。

　　1.4配置管理復(fù)雜。缺乏即插即用能力

　　受各密碼系統(tǒng)建立時(shí)的技術(shù)水平限制，密碼裝備的配置自動(dòng)化程度較低，開(kāi)通、管理及維護(hù)工作大量依靠人工參與，使得密碼系統(tǒng)在維護(hù)管理、密鑰管理和算法更新等方面存在使用上的不便。這也是制約密碼系統(tǒng)進(jìn)一步提升其實(shí)際效能的一個(gè)關(guān)鍵問(wèn)題。

　　2 基于SOA的密碼服務(wù)系統(tǒng)解決方案

　　2.1基本需求

　　密碼服務(wù)系統(tǒng)是針對(duì)數(shù)據(jù)信息提供包括加密/解密、簽名/簽名驗(yàn)證、數(shù)字摘要和數(shù)字信封等密碼功能的計(jì)算機(jī)軟硬件系統(tǒng)，用以支持和實(shí)現(xiàn)信息的真實(shí)性、機(jī)密性、完整性以及不可抵賴性。作為保障信息系統(tǒng)的密碼服務(wù)系統(tǒng)，從應(yīng)用的角度來(lái)看，它有以下幾個(gè)方面的需求：

　?、賹?shí)時(shí)性。需對(duì)各種實(shí)時(shí)信息在要求的時(shí)間內(nèi)，做出及時(shí)正確的密碼保護(hù)。

　　②適應(yīng)性。能適應(yīng)變化的外部環(huán)境，當(dāng)需求發(fā)生變化時(shí)，具有快速組合能力。

　　③互操作性。信息系統(tǒng)是一種分布式系統(tǒng)，每個(gè)子系統(tǒng)既具有一定的獨(dú)立性，又協(xié)作完成共同的任務(wù)。因此，各密碼系統(tǒng)相互之間存在著互操作性問(wèn)題。

　　以上需求，要求密碼服務(wù)系統(tǒng)具有很強(qiáng)的分布性和靈活性，而且還必須能夠經(jīng)常更新，以適應(yīng)外部環(huán)境的變化。同時(shí)具有較高的可集成性、可維護(hù)性和可擴(kuò)展性。傳統(tǒng)的密碼服務(wù)系統(tǒng)集成體系結(jié)構(gòu)已不能滿足要求，而SOA和WebServices技術(shù)為實(shí)現(xiàn)上述需求提供了技術(shù)途徑。對(duì)于SOA，比較統(tǒng)一的理解為它是一種軟件體系架構(gòu)，它的目標(biāo)是松散耦合系統(tǒng)與業(yè)務(wù)敏捷性。松散耦合保證系統(tǒng)之間互操作的健壯性，業(yè)務(wù)敏捷性保證可以快速應(yīng)對(duì)業(yè)務(wù)需求的快速變更。

　　2.2解決思路

　　利用SOA的思想，將各種密碼服務(wù)系統(tǒng)實(shí)現(xiàn)系統(tǒng)集成。在多個(gè)密碼服務(wù)系統(tǒng)之間Web服務(wù)(Web Services)實(shí)現(xiàn)多個(gè)密碼服務(wù)系統(tǒng)集成。密碼服務(wù)面對(duì)的情況和需求非常復(fù)雜，既有層次嚴(yán)格、邊界清晰的管理體系，又有一體化聯(lián)合協(xié)同的需求。SOA能夠映射這種復(fù)雜的管理體制，把業(yè)務(wù)功能封裝為服務(wù)組件，使用平臺(tái)獨(dú)立的標(biāo)準(zhǔn)接口實(shí)現(xiàn)業(yè)務(wù)交互。這些組件既可以映射成為網(wǎng)絡(luò)化的管理方式，為跨部門的信息化聯(lián)合協(xié)同提供支持，又可以組合成為層次化的管理形式，以滿足現(xiàn)行體制的要求。

　　3 基于SOA的密碼服務(wù)系統(tǒng)實(shí)現(xiàn)框架

　　3.1設(shè)計(jì)要求

　　結(jié)合信息系統(tǒng)發(fā)展趨勢(shì)，在設(shè)計(jì)基于SOA的密碼服務(wù)系統(tǒng)時(shí)應(yīng)滿足以下幾方面的基本要求：

　?、倩赟OA的密碼系統(tǒng)應(yīng)是原有密碼系統(tǒng)邏輯的延伸和擴(kuò)展，是在原有密碼系統(tǒng)上的應(yīng)用集成，不應(yīng)該推倒原有的密碼應(yīng)用系統(tǒng)。

　?、诨赟OA的密碼系統(tǒng)集成應(yīng)該是動(dòng)態(tài)的，能夠根據(jù)需要進(jìn)行動(dòng)態(tài)調(diào)整，低成本地重構(gòu)密碼系統(tǒng)之間的關(guān)系。

　?、劭缑艽a系統(tǒng)的應(yīng)用集成應(yīng)該支持業(yè)務(wù)邏輯延伸所必要的信息交互，重在應(yīng)用，不僅僅是網(wǎng)絡(luò)互聯(lián)和簡(jiǎn)單信息的交流。

　　3.2基于SOA的密碼服務(wù)系統(tǒng)框架的實(shí)現(xiàn)

　　基于SOA的密碼服務(wù)系統(tǒng)框架如圖1所示。主要包括SOA架構(gòu)應(yīng)用系統(tǒng)、SOA架構(gòu)密碼系統(tǒng)基礎(chǔ)設(shè)施、SOA安全支撐后臺(tái)以及實(shí)現(xiàn)和傳統(tǒng)架構(gòu)密碼系統(tǒng)互通的密碼適配器等部分。SOA架構(gòu)應(yīng)用系統(tǒng)主要是利用SOA架構(gòu)提供的各種密碼服務(wù)構(gòu)建密碼應(yīng)用系統(tǒng)。而SOA架構(gòu)密碼系統(tǒng)基礎(chǔ)設(shè)施主要包括密碼構(gòu)件庫(kù)、密碼服務(wù)、服務(wù)注冊(cè)中心及業(yè)務(wù)流程管理器等部件，最終以統(tǒng)一的方式為密碼應(yīng)用系統(tǒng)提供各種密碼服務(wù)功能。

　　3.2.1基于SOA密碼服務(wù)的應(yīng)用實(shí)現(xiàn)

　　基于SOA密碼服務(wù)的應(yīng)用實(shí)現(xiàn)是通過(guò)構(gòu)建SOA架構(gòu)基礎(chǔ)套件平臺(tái)，平臺(tái)包括SOA基礎(chǔ)構(gòu)件和硬件平臺(tái)，具有身份認(rèn)證和標(biāo)識(shí)功能，可快速接入SOA密碼系統(tǒng)，從密碼基礎(chǔ)設(shè)施中獲取應(yīng)用所需的算法、策略及密鑰等相關(guān)密碼參數(shù)。綜合現(xiàn)有的接口技術(shù)，并充分考慮傳統(tǒng)密碼裝備具有的接口類型，密碼基礎(chǔ)套件與應(yīng)用平臺(tái)的接口初步分為高速類接口(如PCI、PCI—E和以太網(wǎng)接口)與低速類接口(如USB接口)進(jìn)行研究分析，使得密碼服務(wù)與應(yīng)用松耦合，便于密碼基礎(chǔ)套件與應(yīng)用的靈活組裝。這里提出密碼基礎(chǔ)套件與應(yīng)用互連的接口與協(xié)議規(guī)范，應(yīng)用通過(guò)約定的標(biāo)準(zhǔn)接口及協(xié)議與密碼基礎(chǔ)套件通信獲取所需的密碼服務(wù)。

　　下面以密碼基礎(chǔ)平臺(tái)與符合約定接口及協(xié)議的通信平臺(tái)通過(guò)以太網(wǎng)接口組合形成網(wǎng)絡(luò)密碼機(jī)的工作流程，來(lái)說(shuō)明通過(guò)密碼基礎(chǔ)套件快速形成密碼裝備的能力。

　　初始階段，密碼基礎(chǔ)套件通過(guò)證書向密碼機(jī)基礎(chǔ)設(shè)施注冊(cè)，可根據(jù)證書授予的權(quán)限查詢服務(wù)，通過(guò)SOA密碼服務(wù)基礎(chǔ)設(shè)施獲取服務(wù)，包括密碼算法、密碼參數(shù)及密碼策略下載等。

　　應(yīng)用階段，通信平臺(tái)接收到業(yè)務(wù)數(shù)據(jù)后，直接通過(guò)約定的接口將業(yè)務(wù)數(shù)據(jù)送密碼基礎(chǔ)套件進(jìn)行處理，包括密碼策略的判定和加解密處理等操作。密碼基礎(chǔ)套件處理完成后，交通信平臺(tái)，由通信平臺(tái)將加密后的業(yè)務(wù)數(shù)據(jù)送出去。對(duì)端密碼機(jī)的通信平臺(tái)接收到加密后的業(yè)務(wù)數(shù)據(jù)，送密碼基礎(chǔ)套件進(jìn)行解密，策略判定，然后送通信平臺(tái)，由通信平臺(tái)將解密后的業(yè)務(wù)數(shù)據(jù)送密碼保護(hù)網(wǎng)絡(luò)。

　　3.2.2SOA架構(gòu)服務(wù)與傳統(tǒng)架構(gòu)應(yīng)用的加密互通實(shí)現(xiàn)

　　SOA架構(gòu)服務(wù)與傳統(tǒng)架構(gòu)應(yīng)用的加密互通主要面臨密碼協(xié)議、算法與算法參數(shù)等內(nèi)容在兩個(gè)系統(tǒng)中不一致的問(wèn)題。傳統(tǒng)架構(gòu)密碼系統(tǒng)的加密互通，一般是通過(guò)密網(wǎng)關(guān)進(jìn)行適配來(lái)實(shí)現(xiàn)的。如果有N個(gè)系統(tǒng)需要進(jìn)行加密互通的話，則需要建立(N-1)2個(gè)密網(wǎng)關(guān)適配器，需要花費(fèi)大量的資源進(jìn)行此項(xiàng)工作，并且，各個(gè)密網(wǎng)關(guān)適配器不能兼容，這樣密網(wǎng)關(guān)的功能和部署就會(huì)很臃腫，造成系統(tǒng)性能低下，業(yè)務(wù)擴(kuò)展性和重用性都很差。結(jié)合SOA架構(gòu)的開(kāi)放性、敏捷性、可擴(kuò)展性及可組合性等特點(diǎn)，通過(guò)在傳統(tǒng)架構(gòu)系統(tǒng)上設(shè)置密碼適配器，通過(guò)密碼適配器將傳統(tǒng)架構(gòu)應(yīng)用的各種功能也服務(wù)化，這些服務(wù)是自治的、松散耦合的、可互操作的、可發(fā)現(xiàn)的和潛在可復(fù)用的。

　　同時(shí)，通過(guò)應(yīng)用集成體系結(jié)構(gòu)，能夠解決SOA架構(gòu)與傳統(tǒng)架構(gòu)應(yīng)用的加密互通、基于SOA架構(gòu)密碼服務(wù)系統(tǒng)之間互通，以及集成到SOA架構(gòu)后的傳統(tǒng)架構(gòu)應(yīng)用之間的加密互通。

　　4 結(jié)語(yǔ)

　　目前關(guān)于SOA的思想理論和方法研究受到廣泛關(guān)注。SOA架構(gòu)在信息系統(tǒng)集成技術(shù)方面在國(guó)內(nèi)外已有一些參考。然而SOA架構(gòu)運(yùn)用于密碼服務(wù)系統(tǒng)還比較少見(jiàn)，應(yīng)加大這方面的研究力度，以適應(yīng)信息化建設(shè)快速發(fā)展對(duì)密碼服務(wù)系統(tǒng)提出的新要求。