基于出入境模型的跨域數據交換模型設計*

程永新，唐 晉，楊正東，郭 爽

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息社會的不斷發展，信息融合正逐步走向深化。業務系統如何跨越不同安全等級的網絡域進行數據傳輸，是整合各類信息資源、降低各系統間信息壁壘、推動信息融合可持續發展必須要解決的問題。由于歷史和技術方面的原因，我國的信息化建設與國外主要戰略對手相比，在資源共享、數據交換等建設上還存在一定的差距，就如何建立統一標準的跨域數據交換系統還沒有定論。

本文將需要交換的數據類比為需要出境的人員，在分析了出入境流程和要素的基礎上設計了一種跨域數據交換模型，可以安全有效的實現跨域數據交換。

1 跨域數據交換面臨的問題

當前跨域數據交換以網閘、光盤擺渡設備[1]為主，但更多的時候是未能根據業務需求建立跨域交換體系，其根本原因主要是不信任來自其他網絡域的數據和害怕本域數據被非法導出[2-3]。

（1）不信任來自其他網絡域的數據：其他網絡域傳入的數據，其來源是否合法、數據是否被偽造篡改、內容是否安全（含病毒）、本網絡域是否需要、是否存在非法隱蔽傳輸通道，這些都是輸入數據不被信任的問題。

（2）對本域數據非法輸出的擔心：業務系統或用戶害怕本網絡域特有的敏感數據通過跨域交換被非法導出；數據輸出的來源是否真實、數據是否允許被輸出、數據傳輸過程中是否被篡改夾帶、數據內容是否敏感、是否存在非法隱蔽傳輸通道等，這些都是對數據非法輸出的擔心。

因此，如果不能合理有效的解決以上兩方面的問題，跨域數據交換系統是不可能被允許建立的。公民出入境也面臨著人員身份真實性、攜帶敏感物品出境、外來人員非法入境等問題，與跨域數據交換有一定的相似性，而公民出入境管理已經被事實證明是對出入境行為的有效管理辦法，因此根據公民出入境模型來設計跨域數據交換模型是一種行之有效的方法。

2 公民出入境模型

查閱《中華人民共和國出境入境管理法》，公民出境時，首先需要去當地公安機關辦理護照，然后去大使館辦理簽證（落地簽可省略）；前往出境海關辦理出境手續；通過跨境通道到達其他國家；在入境海關接受檢查；最后前往目的地。普通公民出入境辦理流程如圖1 所示。

其中，關鍵的機構包括：公安機關、出境海關、跨境通道、入境海關等。這些機構共同完成了出入境人員的身份審核、行為控制、安全檢查等核心功能。各機構的工作內容和必要性如表1 所示。

圖1 普通公民出入境流程

表1 出入境關鍵機構及其工作內容

由出入境流程可以看出，其核心是護照，在出入境的各個關鍵點，全部需要對護照和人進行對照檢查，并留下記錄，以便后續審計查詢。根據《中華人民共和國護照法》，護照的登記項目包括：護照持有人的姓名、性別、出生日期、出生地，護照的簽發日期、有效期、簽發地點和簽發機；護照的防偽性能參照國際技術標準制定。因此，護照完整的記錄了個人信息，并具有防偽性。

3 跨域數據交換模型設計

3.1 跨域數據交換模型要點

在分析公民出入境模型的基礎上，結合跨域數據交換特點，跨域數據交換模型設計應包含以下幾個關鍵點：

（1）統一信任[4]：像護照一樣，不同國家均信任護照記錄的信息是真實可靠的。因此，需要有一種統一信任的機制，使不同網絡域都能夠信任該機制所記錄的內容。

（2）傳輸控制[5]：跨域數據交換的特點要求多點控制，在不同域、不同點均有驗證和控制的需求，確保非法、不合規的數據不能傳輸。

（3）安全防護：安全防護是數據交換的重中之重，防止敏感信息輸出，阻止惡意數據進入；此外還應加強自身防護，防止隱蔽通道存在。

（4）審計追蹤：數據交換中，必須進行安全審計，記錄交換行為所有信息，并能夠對行為進行回溯，以便進行大數據分析和行為追則。

3.2 跨域數據交換模型

公民出入境模型中的關鍵點包括：公安機關、護照、出境海關、跨境通道和入境海關。因此，可以將這些關鍵要素與跨域數據交換模型要素進行類比，類別關系如表2 所示。

表2 出入境與跨域交換要素類比

考慮到跨域數據交換與現實中的出入境畢竟有些差別，如：數據到達對方網絡域后，基本沒有返回的需求（如需返回，可以認為是對方網絡域數據進入本網絡域）；數據到達對方網絡域交給業務系統后，數據護照不再需要保留等。考慮到數據交換完成數據發送和對端接收是一個完整的流程，返回的數據可以完全復制這一流程。故設計跨域數據單向交換模型（反向同等復制即可），如圖2 所示。

圖2 跨域數據交換模型

（1）數據護照

跨域數據交換模型中，數據護照貫穿了數據交換的全生命周期，從數據發送開始，數據護照與交換數據一同經過代理程序查驗、跨域發送服務檢查、跨域傳輸通道、跨域接收服務檢查，最后到達接收業務系統。數據護照起到了來源確認、接收方確認、數據真實性完整性保護、安全檢查記錄等核心作用，對于實現跨域數據交換的可管可控、真實傳輸起到了決定性的作用。

鑒于數據護照在跨域數據交換中的核心作用，數據護照體系的設計顯得尤為重要。這里可以通過密碼手段設計數據標識的方法實現數據護照系統，在實現關鍵功能特性基礎上，有效對數據護照本身進行保護。

（2）安全檢查

跨域數據交換模型中，安全檢查是非常重要的，其檢查的內容以至少包括：數據來源檢查、交換權限檢查、數據格式檢查、數據內容檢查、病毒木馬查殺、數據真實性、數據完整性等內容，此外可根據不同網絡域的需求，還可以部署數據脫敏、數據防泄漏、惡意代碼沙箱等擴展功能，確保數據交換的安全性。

（3）自身安全性

現實中，公安機關、大使館、出入境海關自身安全性是有保證的；因此，模型中必須考慮關鍵位置的自身安全性問題。可以將關鍵功能點集中部署，提供有效的邊界安全防護能力，如：訪問控制、接入認證、地址轉換、攻擊檢測、防DOS 等安全功能，提升跨域數據交換系統自身的安全性。

（4）跨域通道

跨域傳輸通道連接了兩個網絡域，應確保不存在隱蔽通道（非法傳輸通道），在數據傳輸過程中數據不丟失、不泄露、不被篡改，只有合法的數據能夠進行傳輸。

（5）名錄服務

公民出入境過程中，目的地是可查的，大使館只負責核實；但跨域數據交換時，對端網絡的業務系統一般不會告知其具體地址和相關信息。因此，需要設定交換名錄服務，記錄業務系統在本網絡域的地址等信息，其他網絡域業務系統的別名。當需要交換時，首先查詢其他網絡域目標系統的別名，將其加入數據護照；對端網絡解析目標系統別名，查找其地址，對數據進行推送。

3.3 跨域數據交換流程

數據交換具體流程如圖3 所示。

圖3 跨域數據交換流程圖

業務數據跨域交換時具體流程如下：

（1）業務系統首先查詢名錄，填寫發送者和接收者信息，然后去數據護照服務獲取數據護照；

（2）將數據護照與數據一同發給跨域發送服務，進行護照檢查和安全檢查，并完善數據護照；

（3）數據與護照通過跨域傳輸通道傳輸到目標網絡域；

（4）數據接收服務對數據護照進行檢查，對內容進行安全檢查，并完善數據護照；

（5）查詢名錄，獲知接收者地址，將數據推送到接收系統；

（6）業務接收數據和數據護照，并調用數據護照服務去除數據護照。

4 結 語

本文從跨域數據交換需求出發，參考公民出入境模型，設計了跨域數據交換模型。該模型以數據護照為核心，實現了跨域數據交換過程中的身份檢查、權限檢查、真實性保護、安全檢查等要求，滿足了數據交換全生命周期的可管可控、數據真實、內容安全的核心需求，對跨域數據交換系統建設具有重要的參考意義。