信息化聯(lián)合協(xié)同系統(tǒng)下的的密碼服務系統(tǒng)

申請免費試用、咨詢電話：400-8352-114

       長期以來，信息系統(tǒng)建設大都遵循按行政管理體制、部門或業(yè)務功能的劃分獨立發(fā)展的模式，導致了“煙囪式”系統(tǒng)架構的產(chǎn)生;相應的密碼系統(tǒng)建設也繼承了這種架構，不同信息系統(tǒng)的密碼裝備技術體制也不一致。這一現(xiàn)狀與信息化聯(lián)合協(xié)同對密碼系統(tǒng)的需求之間存在著一定的差距，帶來了一系列問題。

　　1.1難以實現(xiàn)跨網(wǎng)的保密信息共享與互通

　　信息化聯(lián)合協(xié)同要求密碼系統(tǒng)不僅要提供同構網(wǎng)絡的、域內的密碼防護，還要具有異構網(wǎng)絡的、跨域的密碼防護能力。“煙囪式”的密碼系統(tǒng)架構與不統(tǒng)一的技術體制難以有效應對面向服務的信息共享模式及柵格化信息網(wǎng)絡的安全保障需求，有待進一步規(guī)范統(tǒng)一，擴展完善。

　　1.2跨管理部門的應用集成和協(xié)作程度低

　　由于各種密碼系統(tǒng)建設上的獨立性與設計標準的缺乏，目前的密碼系統(tǒng)在功能上很難實現(xiàn)系統(tǒng)之間的互操作。這樣，在業(yè)務上需要協(xié)作的部門或單位難以實現(xiàn)系統(tǒng)功能與資源上的互補，導致部門之間信息交流與共享不能得到充分的保證，給工作帶來很大的影響。因此，如何在保護密碼系統(tǒng)已有投資的前提下，使新的密碼系統(tǒng)突破地域、部門的限制，實現(xiàn)密碼系統(tǒng)的無縫集成，進而實現(xiàn)密碼系統(tǒng)的互操作與資源共享，已成為亟待解決的關鍵問題.

　　1.3缺乏功能擴展與柔性重組能力

　　傳統(tǒng)通信網(wǎng)絡與信息系統(tǒng)往往承載較為單一的業(yè)務，相應的密碼系統(tǒng)的功能較單一，只為特定業(yè)務和用戶服務，在建設時較少考慮密碼系統(tǒng)的擴展性與可重構等因素，導致系統(tǒng)架構不夠靈活，密碼算法、協(xié)議與應用綁定，系統(tǒng)功能難以擴展或重構。因此，需要將密碼系統(tǒng)的架構與應用系統(tǒng)進行同步改造，使密碼系統(tǒng)具有良好的擴展性。

　　1.4配置管理復雜。缺乏即插即用能力

　　受各密碼系統(tǒng)建立時的技術水平限制，密碼裝備的配置自動化程度較低，開通、管理及維護工作大量依靠人工參與，使得密碼系統(tǒng)在維護管理、密鑰管理和算法更新等方面存在使用上的不便。這也是制約密碼系統(tǒng)進一步提升其實際效能的一個關鍵問題。

　　2 基于SOA的密碼服務系統(tǒng)解決方案

　　2.1基本需求

　　密碼服務系統(tǒng)是針對數(shù)據(jù)信息提供包括加密/解密、簽名/簽名驗證、數(shù)字摘要和數(shù)字信封等密碼功能的計算機軟硬件系統(tǒng)，用以支持和實現(xiàn)信息的真實性、機密性、完整性以及不可抵賴性。作為保障信息系統(tǒng)的密碼服務系統(tǒng)，從應用的角度來看，它有以下幾個方面的需求：

　?、賹崟r性。需對各種實時信息在要求的時間內，做出及時正確的密碼保護。

　?、谶m應性。能適應變化的外部環(huán)境，當需求發(fā)生變化時，具有快速組合能力。

　?、刍ゲ僮餍浴Ｐ畔⑾到y(tǒng)是一種分布式系統(tǒng)，每個子系統(tǒng)既具有一定的獨立性，又協(xié)作完成共同的任務。因此，各密碼系統(tǒng)相互之間存在著互操作性問題。

　　以上需求，要求密碼服務系統(tǒng)具有很強的分布性和靈活性，而且還必須能夠經(jīng)常更新，以適應外部環(huán)境的變化。同時具有較高的可集成性、可維護性和可擴展性。傳統(tǒng)的密碼服務系統(tǒng)集成體系結構已不能滿足要求，而SOA和WebServices技術為實現(xiàn)上述需求提供了技術途徑。對于SOA，比較統(tǒng)一的理解為它是一種軟件體系架構，它的目標是松散耦合系統(tǒng)與業(yè)務敏捷性。松散耦合保證系統(tǒng)之間互操作的健壯性，業(yè)務敏捷性保證可以快速應對業(yè)務需求的快速變更。

　　2.2解決思路

　　利用SOA的思想，將各種密碼服務系統(tǒng)實現(xiàn)系統(tǒng)集成。在多個密碼服務系統(tǒng)之間Web服務(Web Services)實現(xiàn)多個密碼服務系統(tǒng)集成。密碼服務面對的情況和需求非常復雜，既有層次嚴格、邊界清晰的管理體系，又有一體化聯(lián)合協(xié)同的需求。SOA能夠映射這種復雜的管理體制，把業(yè)務功能封裝為服務組件，使用平臺獨立的標準接口實現(xiàn)業(yè)務交互。這些組件既可以映射成為網(wǎng)絡化的管理方式，為跨部門的信息化聯(lián)合協(xié)同提供支持，又可以組合成為層次化的管理形式，以滿足現(xiàn)行體制的要求。

　　3 基于SOA的密碼服務系統(tǒng)實現(xiàn)框架

　　3.1設計要求

　　結合信息系統(tǒng)發(fā)展趨勢，在設計基于SOA的密碼服務系統(tǒng)時應滿足以下幾方面的基本要求：

　　①基于SOA的密碼系統(tǒng)應是原有密碼系統(tǒng)邏輯的延伸和擴展，是在原有密碼系統(tǒng)上的應用集成，不應該推倒原有的密碼應用系統(tǒng)。

　?、诨赟OA的密碼系統(tǒng)集成應該是動態(tài)的，能夠根據(jù)需要進行動態(tài)調整，低成本地重構密碼系統(tǒng)之間的關系。

　?、劭缑艽a系統(tǒng)的應用集成應該支持業(yè)務邏輯延伸所必要的信息交互，重在應用，不僅僅是網(wǎng)絡互聯(lián)和簡單信息的交流。

　　3.2基于SOA的密碼服務系統(tǒng)框架的實現(xiàn)

　　基于SOA的密碼服務系統(tǒng)框架如圖1所示。主要包括SOA架構應用系統(tǒng)、SOA架構密碼系統(tǒng)基礎設施、SOA安全支撐后臺以及實現(xiàn)和傳統(tǒng)架構密碼系統(tǒng)互通的密碼適配器等部分。SOA架構應用系統(tǒng)主要是利用SOA架構提供的各種密碼服務構建密碼應用系統(tǒng)。而SOA架構密碼系統(tǒng)基礎設施主要包括密碼構件庫、密碼服務、服務注冊中心及業(yè)務流程管理器等部件，最終以統(tǒng)一的方式為密碼應用系統(tǒng)提供各種密碼服務功能。

　　3.2.1基于SOA密碼服務的應用實現(xiàn)

　　基于SOA密碼服務的應用實現(xiàn)是通過構建SOA架構基礎套件平臺，平臺包括SOA基礎構件和硬件平臺，具有身份認證和標識功能，可快速接入SOA密碼系統(tǒng)，從密碼基礎設施中獲取應用所需的算法、策略及密鑰等相關密碼參數(shù)。綜合現(xiàn)有的接口技術，并充分考慮傳統(tǒng)密碼裝備具有的接口類型，密碼基礎套件與應用平臺的接口初步分為高速類接口(如PCI、PCI—E和以太網(wǎng)接口)與低速類接口(如USB接口)進行研究分析，使得密碼服務與應用松耦合，便于密碼基礎套件與應用的靈活組裝。這里提出密碼基礎套件與應用互連的接口與協(xié)議規(guī)范，應用通過約定的標準接口及協(xié)議與密碼基礎套件通信獲取所需的密碼服務。

　　下面以密碼基礎平臺與符合約定接口及協(xié)議的通信平臺通過以太網(wǎng)接口組合形成網(wǎng)絡密碼機的工作流程，來說明通過密碼基礎套件快速形成密碼裝備的能力。

　　初始階段，密碼基礎套件通過證書向密碼機基礎設施注冊，可根據(jù)證書授予的權限查詢服務，通過SOA密碼服務基礎設施獲取服務，包括密碼算法、密碼參數(shù)及密碼策略下載等。

　　應用階段，通信平臺接收到業(yè)務數(shù)據(jù)后，直接通過約定的接口將業(yè)務數(shù)據(jù)送密碼基礎套件進行處理，包括密碼策略的判定和加解密處理等操作。密碼基礎套件處理完成后，交通信平臺，由通信平臺將加密后的業(yè)務數(shù)據(jù)送出去。對端密碼機的通信平臺接收到加密后的業(yè)務數(shù)據(jù)，送密碼基礎套件進行解密，策略判定，然后送通信平臺，由通信平臺將解密后的業(yè)務數(shù)據(jù)送密碼保護網(wǎng)絡。

　　3.2.2SOA架構服務與傳統(tǒng)架構應用的加密互通實現(xiàn)

　　SOA架構服務與傳統(tǒng)架構應用的加密互通主要面臨密碼協(xié)議、算法與算法參數(shù)等內容在兩個系統(tǒng)中不一致的問題。傳統(tǒng)架構密碼系統(tǒng)的加密互通，一般是通過密網(wǎng)關進行適配來實現(xiàn)的。如果有N個系統(tǒng)需要進行加密互通的話，則需要建立(N-1)2個密網(wǎng)關適配器，需要花費大量的資源進行此項工作，并且，各個密網(wǎng)關適配器不能兼容，這樣密網(wǎng)關的功能和部署就會很臃腫，造成系統(tǒng)性能低下，業(yè)務擴展性和重用性都很差。結合SOA架構的開放性、敏捷性、可擴展性及可組合性等特點，通過在傳統(tǒng)架構系統(tǒng)上設置密碼適配器，通過密碼適配器將傳統(tǒng)架構應用的各種功能也服務化，這些服務是自治的、松散耦合的、可互操作的、可發(fā)現(xiàn)的和潛在可復用的。

　　同時，通過應用集成體系結構，能夠解決SOA架構與傳統(tǒng)架構應用的加密互通、基于SOA架構密碼服務系統(tǒng)之間互通，以及集成到SOA架構后的傳統(tǒng)架構應用之間的加密互通。

　　4 結語

　　目前關于SOA的思想理論和方法研究受到廣泛關注。SOA架構在信息系統(tǒng)集成技術方面在國內外已有一些參考。然而SOA架構運用于密碼服務系統(tǒng)還比較少見，應加大這方面的研究力度，以適應信息化建設快速發(fā)展對密碼服務系統(tǒng)提出的新要求。