面向全网服务的网络信任体系实现

摘 要 随着信息化发展，网络和信息安全造成的威胁也越来越大，通过密码技术应用建设网络信任体系，是当前各行各业信息安全领域的重要内容。然而在网络信任体系的建设过程中，如何正确理解网络信任体系，把握网络信任体系的建设核心一直在困扰着信息化的组织者和参与者，本文将对网络信任体系的基本概念进行讨论，旨在澄清网络信任体系的具体内容和建设模式，以便真正发挥网络信任体系对信息安全的保障作用。

【关键词】网络信任体系 全网服务

1 对网络信任体系概念的理解

1.1 构建在网络层的信任体系

网络信任体系的概念包括 “身份认证、授权管理、责任认定”三部分。然而对网络信任体系的准确理解，“网络”两个字是关键：网络层的信任体系和传统的以应用、部门、区域为范围的的信任不在同一个层面上。

以应用内部信任实现为例，它和网络信任体系的区别体现在：

（1）应用身份认证和网络身份认证不同；

（2）应用授权管理和网络授权管理不同；

（3）应用责任认定和网络责任认定不同。网络信任体系的核心概念是信任必须面向全程全网。

1.2 网络信任体系之前的信任实现

基于ICP/IP协议的IP分组网络由于其开放性、灵活性、组网便利性等特征，已经成为全球互联网Internet的网络承载平台，各种行业信息化的网络承载平台也同样采用了IP承载网络。然而由于IP网络产生的背景是自由交互式的信息交流和沟通，因而，IP承载网络技术从其诞生起就具有一个非常重要的特征：它是为自由世界而生，崇尚平等和无差别服务。因此，如果从网络安全角度来评价IP承载网，就是“两无三不”，即无中心、无管理、不可信、不可控和不安全。这五大特征使得我们的各行业信息化建设普遍立足于沙丘之上，安全问题成为信息化与生俱来的致命威胁。

为解决IP承载网的安全威胁，大量的密码技术被应用于保障网络和应用系统的安全。如通过VPN构建安全传输环境，通过加解密技术来进行信息的保护等。而为了解决大范围的信息安全问题，以非对称算法为核心的PKI技术应运而生，关于PKI体系的实现框架也迅速被标准化，并在全球范围内成为解决信息安全问题的主要手段。

而在具体实现中，我国大量的PKI体系为应用提供的仅仅是数字证书服务，而数字证书仅仅是建立信任关系的源点，而信息安全的具体实现（通常包括：身份认证、机密性、完整性、有效授权和不可否认性五大功能）需要依赖各个应用系统自行进行密码逻辑实现，导致的结果是：即使是采用同一个PKI体系的数字证书，开发出来的两个应用系统之间并不能在信息安全方面实现无缝交互；即使采用同一个密码算法，从一个应用系统加密出来的东西并不能在另一个应用系统中被正确解读，形成了新的“信任孤岛”。考虑到大量的来自不同PKI体系签发的数字证书，不同厂家的密码设备，更加加剧了这种密码分割的程度，这对形成“互联互通、信息共享和业务协同”的信息化发展环境极为不利。

1.3 信息安全呼唤网络信任体系

因此，信息安全需要密码技术和PKI体系，但是信息安全也不能以制约信息化开展为代价。要解决信息安全和信息化发展的矛盾，网络信任体系的需求应运而生了。

正是基于上述情况，网络和信息化的主管部门应该从网络层开始全面考虑信息安全问题，而要解决网络或者是全网的信息安全问题，网络信任体系的建设正是有效的解决之道，网络信任体系的目标是在IP网络层之上、应用层之下，依托密码基础设施、密码技术等，重新构建一个完整的信任支撑服务平台，这样上层应用可以不直接和密码设备打交道，而基于网络信任体系封装后的信任服务，实现自身信息安全。

网络信任体系使得整个IP网络从“两无三不”的网络变成“两有三可”的网络（有中心、有安全、可管理、可控制、可信任”），改变了安全业务的部署和运行环境，是信息安全的重要公共服务设施。

2 网络信任体系的内容和实现机制

2.1 网络实体资源管理是网络信任体系的管理基础

网络世界的信任关系必须具有物理世界的现实信任基础。因此，网络信任体系的信任源头必然是对网络实体的可信管理，实现对网络实体资源的统一管理，包括机构实体、用户实体、应用系统、安全设备等网络实体。通过注册、审核环节，对物理世界实体一一分配唯一网络身份标识，建立起有序、实名、可管的虚拟网络世界。

网络实体的网络身份，通过证书认证机构签发的数字证书来作为凭据。因此，数字证书必须将实体的唯一网络身份标识作为证书项来签发，为基于数字证书的身份认证提供可信证明。

因此，网络实体资源管理必须统一管理机制，才可以确保物理世界的实体在网络世界中具有唯一的对应对象，无论实体在哪个区域、哪个部门，他（它）都必须在资源管理的管理范围。

有了网络身份认证，网络信任体系在身份认证方面要提供以下服务能力：

（1）为用户的网络访问进行身份认证服务（基于该身份认证来实现分级、分域的等级保护，确定谁能够访问哪一级，哪个域等等，实现信任隔离，而不仅仅是安全隔离）；

（2）为网络上的资源共享进行身份认证服务（以便基于该身份认证实现资源共享的授权管理）；

（3）为具体的应用系统进行身份认证服务：为用户对应用系统的访问进行身份认证服务，并且基于该身份认证，各应用系统可以非常正确的知道是谁要来访问应用系统，网络信任体系传递给应用系统的正是该用户全网唯一的身份标识。

2.2 网络身份认证是网络信任体系的信任基础

身份认证是解决当前在网络上活动的虚拟实体的真实物理身份问题。网络信任体系的网络身份认证的关键是要确保身份认证结果在全网可信。

因此，网络身份认证不能依赖各个应用系统实现，必须在用户试图接入网络环境（而不是仅当用户接入应用系统）时就进行身份认证，只有纳入统一管理、具有合法可信身份的用户才可以通过认证，并获得其全网有效的网络身份，而非法用户将会在网络接入的最初时刻被拒之门外，从而实现网络层的身份认证。

通过网络接入身份认证的用户具有在网络信任体系保障范围内的统一的身份标识。因此，无论用户从哪个部门、哪个区域进行身份认证，网络身份认证必须确保身份认证结果可以跨部门、跨区域传递，这就意味着网络身份认证也必须统一认证机制。

2.3 网络授权管理是网络信任体系的核心服务

身份认证的目的是服务于有差别服务，这种服务的差别化的实现实际上就是授权管理的需求来源。一个完整的授权管理应该包括：授权设置服务和鉴权操作服务两个方面。授权设置服务是指权限的指定、赋予和分配过程，而鉴权操作服务是根据权限的设定和分配，决定某一个具体的访问行为是否得到允许的过程。完整的网络信任体系提供的授权服务是授权+鉴权机制的有机结合。

网络信任体系的授权和鉴权主要包括为网络互联边界控制服务的网络接入控制授权和为重点信息系统、信息资源保护的资源访问控制授权。前者允许对跨网络边界的用户进行授权，并通过网络边界的网关设备进行访问控制；后者允许对哪些用户可以访问哪个应用系统进行授权，并通过应用系统所在安全区边界的网关设备进行访问控制。

网络授权的原则必须遵循现实规则：“谁的资源谁管理，谁的资源谁授权”，因此，授权和资源管理是紧密相关的，而鉴权和身份认证也是密不可分。

在开放互联的环境下，资源授权必须具备跨区域进行委托授权的能力，允许其他区域的资源在本域进行授权，也允许本域资源通过共享在其他域进行授权。而授权结果必须作为资源的权限信息纳入对资源的管理。

由此可见，网络信任体系的授权管理也必须按照统一体系，才能确保权限的授予、管理、鉴别和访问控制的有效联动，确保系统安全。

2.4 网络责任认定是真正的全网责任认定

责任认定是对网络行为的责任追溯。在网络信任体系尚未建成的情况下，用户行为只能在各个应用系统中产生；而网络环境下，要追溯责任，必须能够获取某个用户在网络上所有发生的行为数据，这对责任认定提出了挑战。

因此，网络信任体系的责任认定范围必须覆盖从一个用户认证上网，到该用户退出网络环境的所有操作行为、状态，这就要求网络信任体系本身的各个环节都必须能够记录某个用户的主动行为，例如：用户主动发起认证、主动发起跨网访问、通过点击应用进入某应用系统、调用了各种信任服务等，都必须具有记录，为事后的责任追踪提供支持。

网络责任认定必须依赖身份认证、授权管理、访问控制等相关系统实现，同时也必须是全网同一机制。

2.5 面向信息资源服务的网络信任体服务能力

身份认证、授权管理、责任认定是网络信任体系的面向实体的信任服务。而在应用系统开展过程中，必然涉及信息资源共享、利用过程中，需要确保信息资源的安全性、私密性、可鉴别性等，而如果这些信息资源需要在网络范围内流转，网络信任体系必须承担起为信息资源（包括电子文件和业务信息）的安全性负责的要求。

网络信任体系的信息资源信任服务的目标是实现电子文件和业务信息在全网范围内的互信互认互验，信息资源信任服务是以文件封装务平台，在对文件封装过程中，调用包括电子印章服务、时间戳服务、安全标识生成等信任服务，完成封装后的信息资源可以作为独立的安全文件，在全网进行流转和处理。

3 网络信任体系的部署和应用

3.1 网络信任体系的分级分布式建设和服务

网络信任体系的建设需要统一的网络用户管理、统一的身份认证、统一的授权管理、统一的责任认定以及统一的密码策略支持，在这五个统一的背后还需要统一的元数据标准的支持，因此，在IP承载网上构建网络信任体系实际上首先是要构建IP网络的统一信任中心、管理中心和控制中心。

例如：在国家专网层面建设网络信任体系的中心，可以实现以国家为中心，向各部门、各省市的信任服务覆盖，而各部门、各省市同样可以通过建设网络信任体系中心，实现向本省、本部门专网的网络信任服务覆盖，而从国家到省市、部门的网络信任体系采用统一的技术标准和业务标准，可以在分步实施、分布部署模式下，实现全网一致的统一网络信任体系，从而实现大网的网络信任，以支持真正的全程全网的重大应用系统的全面信任。

3.2 网络信任体系的接入

全网统一的网络信任体系提供的是网络基础设施服务，因为它提供的身份认证、授权管理和责任认定服务对网络上的用户、应用、资源和服务等具有普适性，解决的是网络的共性安全保障问题。

网络信任体系中心平台的建设仅仅是网络信任服务的源点，而要使得信任服务真正延伸到各个部门，还需要各部门进行网络信任体系的接入。

国家的网络信任体系中心是全国专网网络的网络信任体系的核心节点（或者枢纽），正如电力工业是国民经济的重要基础设施，那么网络信任体系中心就是是网络信任体系的发电厂，这个发电厂发出来的不是电，而是信任服务，包括身份认证、授权管理和责任认定三大功能，而这三大作用是通过这个发电厂建设的各种功能来提供的：统一用户管理功能、统一身份认证功能、统一元数据管理功能、统一授权管理功能、统一责任认定功能和统一密码策略支持。同时，正如发电厂需要通过输电、配电和供电网络和设备将电传递给千家万户，在千家万户通过适配（变压器）为各种用电设备提供电能一样，网络信任体系中心也需要有传输网络和各个部门的接入设备才能使得这种信任服务传输到各个部门，而信任接入设备正是连接部门用户、资源、应用系统和网络信任体系中心的桥梁。

4 结束语

网络信任体系是当前信息安全领域建设的重要内容，而由于对网络信任体系理解上的不一致，导致大量网络信任体系建设存在方案和实现上的不足，导致网络信任体系不能发挥其应有的作用。电子政务领域某大型内部网络上，经过10多年的探索和不断完善，跨多层级、多区域、多部门的，以全网为服务范围的统一网络信任体系框架已经形成，有效支撑了上千个政府部门、实现和数千应用对接、为数万用户的业务开展，对各行各业的网络信任体系建设具有借鉴意义。

作者单位

上海维豪信息安全技术有限公司 上海市 201203