專利名稱:一種分布式多安全域異構(gòu)信息系統(tǒng)安全互操作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息技術(shù)(IT)領(lǐng)域���,特別涉及多個相關(guān)信息系統(tǒng)(所涉及的多個信息 系統(tǒng)可以是同構(gòu)的或異構(gòu)的��、可以是按照業(yè)務(wù)組織要求跨地域分布部署的���、或跨組織部署 的)之間互操作的安全性管理與保障方法。
背景技術(shù):
隨著信息技術(shù)的飛速發(fā)展����,信息系統(tǒng)已大量應(yīng)用于生產(chǎn)�����、經(jīng)營����、管理等各個業(yè)務(wù)環(huán) 節(jié)����,互操作技術(shù)已開始在業(yè)務(wù)協(xié)同方面發(fā)揮越來越重要的作用���。隨著信息系統(tǒng)在生產(chǎn)和經(jīng) 營管理中的作用變得越來越重要�����,安全問題已成為信息系統(tǒng)建設(shè)的首要問題�����。在大型組織中���,覆蓋生產(chǎn)經(jīng)營業(yè)務(wù)的信息系統(tǒng)通常由許多個獨立系統(tǒng)構(gòu)成����,由于 信息系統(tǒng)所涉及業(yè)務(wù)的性質(zhì)不同�����,以及這些業(yè)務(wù)信息系統(tǒng)一旦發(fā)生故障對生產(chǎn)和經(jīng)營管理 的影響的差異��,其安全防護(hù)要求也不同�,反映在不同業(yè)務(wù)信息系統(tǒng)所采用的安全防護(hù)技術(shù) 及安全性等級要求等方面存在很大差異。由于安全等級不同��、采用技術(shù)不同和管理制度不 同��,盡管不同安全等級的信息系統(tǒng)之間存在大量業(yè)務(wù)協(xié)同需求��,但因沒有合適的解決業(yè)務(wù) 協(xié)同安全問題的途徑�,使相應(yīng)的業(yè)務(wù)協(xié)同需求一直得不到很好滿足。為實現(xiàn)組織內(nèi)或組織間全業(yè)務(wù)協(xié)同��,只能采用相同安全等級的安全防護(hù)系統(tǒng)����,這 種解決方案存在下列問題(1)若采用最高安全等級的安全防護(hù)系統(tǒng),雖然保證了組織內(nèi)信息系統(tǒng)的安全,但 為保證安全的投資將非常龐大�����,也給業(yè)務(wù)的開放型和擴(kuò)展性帶來很大困難�,組織之間的業(yè) 務(wù)協(xié)同則仍然難以實現(xiàn)。(2)若采用適當(dāng)安全等級的安全防護(hù)系統(tǒng)��,則與生產(chǎn)安全等密切相關(guān)的業(yè)務(wù)系統(tǒng) 沒有得到足夠的保護(hù)�����,發(fā)生安全事故的風(fēng)險大大提高���,其安全事故所造成的損失不僅是組 織難以承受的��,而且將帶來惡劣的社會影響����。為解決上述跨安全等級和安全防護(hù)系統(tǒng)的分布式系統(tǒng)業(yè)務(wù)協(xié)同的安全互操作問 題��,本發(fā)明構(gòu)建一種跨安全域的信息系統(tǒng)互操作的安全機(jī)制��,使信息系統(tǒng)在該機(jī)制下的業(yè) 務(wù)協(xié)同得以安全進(jìn)行�����。
發(fā)明內(nèi)容
本發(fā)明公開了一種針對多個分布式信息系統(tǒng)(可以是異構(gòu)的)之間業(yè)務(wù)協(xié)同的安 全互操作機(jī)制��,使在該機(jī)制下��,跨地域分布信息系統(tǒng)的業(yè)務(wù)協(xié)同能夠得到有效的安全保護(hù)����。為實現(xiàn)上述目的,本發(fā)明將采用同一安全防護(hù)系統(tǒng)所覆蓋的信息系統(tǒng)及其信息基 礎(chǔ)設(shè)施統(tǒng)稱為一個安全域�,在該安全域內(nèi),所有用戶和設(shè)備(包括信息系統(tǒng))都需要得到安 全系統(tǒng)認(rèn)證�����,并提供完整的數(shù)字證書生產(chǎn)��、管理����、發(fā)放和使用功能、以及加密����、簽名等服務(wù)��。 每個安全域的管理是自治的��,不受其它信息系統(tǒng)或安全防護(hù)系統(tǒng)的影響和限制�。本發(fā)明中提供安全互操作功能的必須是一個獨立系統(tǒng)�,該系統(tǒng)可以由一個或多個 設(shè)備及相關(guān)軟件構(gòu)成,稱為安全互操作系統(tǒng)�����,該系統(tǒng)與每個需要進(jìn)行業(yè)務(wù)協(xié)同的信息系統(tǒng)有且只有一個接入接口���。安全互操作系統(tǒng)構(gòu)成一個獨立的安全域����,在該安全域中�����,所有連接到安全互操作 系統(tǒng)的用戶和設(shè)備必須得到安全互操作系統(tǒng)的認(rèn)證��,安全互操作系統(tǒng)除提供互操作功能 外���,還提供獨立和完整的數(shù)字證書生產(chǎn)、管理、發(fā)放和使用功能�、以及加密、簽名等服務(wù)����。每 個安全互操作系統(tǒng)構(gòu)成一個獨立的安全域,其管理是自治的����,不受其它安全互操作系統(tǒng)或 安全防護(hù)系統(tǒng)的影響和限制。兩個安全互操作系統(tǒng)通過網(wǎng)絡(luò)直接相連��,稱為相鄰�����,相鄰的兩個安全互操作系統(tǒng) 可以相互直接傳送互操作請求和互操作服務(wù)數(shù)據(jù)�����,但兩個安全互操作系統(tǒng)必須通過相互認(rèn) 證���。兩個安全互操作系統(tǒng)通過另一個或多個相鄰鏈接的安全互操作系統(tǒng)建立的相鄰 序列(稱安全互操作路由)可以相互傳送互操作請求和互操作服務(wù)數(shù)據(jù)��,但需要相鄰序列 上所有相鄰的兩個安全互操作系統(tǒng)之間通過相互認(rèn)證���,稱為相通�。安全互操作系統(tǒng)可以有三種運行模式簡單安全互操作�、對稱安全互操作和分級 安全互操作。簡單安全互操作由單個安全互操作系統(tǒng)構(gòu)成���,安全互操作系統(tǒng)只與用戶信息系統(tǒng) 相連���,用戶信息系統(tǒng)中直接連接到安全互操作系統(tǒng)上的設(shè)備和用戶必須獲得安全互操作系 統(tǒng)發(fā)放的數(shù)字證書,并在互操作時通過安全互操作系統(tǒng)的認(rèn)證��;用戶信息系統(tǒng)的安全防護(hù) 系統(tǒng)必須向安全互操作系統(tǒng)發(fā)放數(shù)字證書�����,并在互操作時對安全互操作系統(tǒng)進(jìn)行認(rèn)證����。簡 單安全互操作適用于業(yè)務(wù)協(xié)同的兩個信息系統(tǒng)處于統(tǒng)一地理位置。簡單安全互操作模式的 互操作過程見圖1�����。對稱安全互操作由兩個或多個定義為對稱安全互操作模式運行的相鄰安全互操 作系統(tǒng)構(gòu)成��,用戶信息系統(tǒng)分別接入一個安全互操作系統(tǒng)�、并給連接的安全互操作發(fā)放數(shù) 字證書,在互操作時對連接的安全互操作系統(tǒng)進(jìn)行認(rèn)證�;相應(yīng)地安全互操作系統(tǒng)也必須向 連接的用戶信息系統(tǒng)發(fā)放數(shù)字證書,并在互操作時對接入的用戶信息系統(tǒng)進(jìn)行認(rèn)證�����;對稱 相鄰的兩個安全互操作系統(tǒng)必須向?qū)Ψ桨l(fā)放數(shù)字證書�,并在互操作時對對稱相鄰的互操作 系統(tǒng)進(jìn)行認(rèn)證。對稱安全互操作適用于業(yè)務(wù)協(xié)同的兩個信息系統(tǒng)處于不同的地理位置�,但 跨地域的信息安全由安全互操作系統(tǒng)提供保證。對稱安全互操作模式的互操作過程見圖2�����。分級安全互操作由兩個或多個定義為多極安全互操作模式運行的相鄰安全互操 作系統(tǒng)構(gòu)成���,用戶信息系統(tǒng)分別接入一個安全互操作系統(tǒng)���、并給連接的安全互操作發(fā)放數(shù) 字證書,在互操作時對連接的安全互操作系統(tǒng)進(jìn)行認(rèn)證�;相應(yīng)地安全互操作系統(tǒng)也必須向 連接的用戶信息系統(tǒng)發(fā)放數(shù)字證書,并在互操作時對接入的用戶信息系統(tǒng)進(jìn)行認(rèn)證�;相鄰 的兩個安全互操作系統(tǒng)必須向?qū)Ψ桨l(fā)放數(shù)字證書�,并在互操作時對相鄰的互操作系統(tǒng)進(jìn)行 認(rèn)證�。分級安全互操作適用于業(yè)務(wù)協(xié)同的兩個信息系統(tǒng)是分布部署的,但跨地域的業(yè)務(wù)協(xié) 同信息安全由安全互操作系統(tǒng)提供保證��。分級安全互操作模式的互操作過程見圖3��。簡單安全互操作����、對稱安全互操作、分級安全互操作可以混合使用�。根據(jù)上述安全互操作系統(tǒng)和用戶信息系統(tǒng)之間的數(shù)字證書發(fā)放和認(rèn)證,因每個安 全域內(nèi)的管理與操作是獨立的����,可以知道(1)若每個安全域是安全的,則整個業(yè)務(wù)協(xié)同也是安全的�;(2)若其中有安全域是不安全的,而相鄰安全域是安全的�����,因該安全域與其它安全域的連接和互操作請求與服務(wù)需要得到相鄰安全域的認(rèn)證���,因此不會破壞相鄰安全域的安 全�,否則相鄰安全域也是不安全的,與假設(shè)矛盾�。因此其它安全域是安全的,即個別安全域 的安全失敗不會導(dǎo)致安全失敗通過相鄰序列傳播��,因而也不會導(dǎo)致整體安全失敗���。本發(fā)明的原理是通過安全域之間相互的獨立的認(rèn)證,可以使業(yè)務(wù)協(xié)同信息在相 互鏈接的安全域之間傳遞��,并保證傳遞信息安全�����。
圖1 簡單安全互操作模式圖2 對稱安全互操作模式圖3 分級安全互操作模式
具體實施例方式本發(fā)明實現(xiàn)跨地域�����、跨安全域(不同安全防護(hù)系統(tǒng)��、不同安全等級)之間業(yè)務(wù)系統(tǒng) 互操作的步驟如下步驟一將獨立安全防護(hù)系統(tǒng)覆蓋的用戶業(yè)務(wù)信息系統(tǒng)���、每個安全互操作系統(tǒng)劃 分成相互獨立的安全域�。步驟二 根據(jù)業(yè)務(wù)協(xié)同和用戶業(yè)務(wù)信息系統(tǒng)分布��,按照各安全域獨立的原則,配置 和部署安全互操作系統(tǒng)�,并明確各安全域之間的鏈接關(guān)系(相鄰序列或互操作路由)。步驟三為每個相鄰安全域配置對方的安全認(rèn)證接口�����,向?qū)Ψ桨l(fā)放安全數(shù)字證書���。步驟四業(yè)務(wù)系統(tǒng)之間進(jìn)行互操作時����,發(fā)起互操作請求的用戶業(yè)務(wù)系統(tǒng)要對接入 的安全互操作系統(tǒng)的身份進(jìn)行認(rèn)證�����,通過認(rèn)證后再發(fā)送業(yè)務(wù)協(xié)同的互操作請求�;若接入的 安全互操作系統(tǒng)未通過認(rèn)證,則終止業(yè)務(wù)協(xié)同的互操作請求����。步驟五安全互操作系統(tǒng)在接收到業(yè)務(wù)協(xié)同的互操作請求時,要對接入的用戶業(yè) 務(wù)系統(tǒng)身份進(jìn)行認(rèn)證�����,通過認(rèn)證后再提供互操作服務(wù),并準(zhǔn)備好業(yè)務(wù)協(xié)同的互操作服務(wù)結(jié) 果�;未通過認(rèn)證,則拒絕業(yè)務(wù)協(xié)同請求����。步驟六若業(yè)務(wù)協(xié)同互操作的兩個系統(tǒng)不是直接接入同一個安全互操作系統(tǒng),則 需要利用相鄰安全互操作系統(tǒng)生成一條到達(dá)互操作目標(biāo)用戶業(yè)務(wù)信息系統(tǒng)的安全互操作 路由���。若不能生成安全互操作路由,業(yè)務(wù)協(xié)同的互操作請求將被丟棄���。步驟七相鄰安全互操作系統(tǒng)相互進(jìn)行認(rèn)證�,與目標(biāo)用戶業(yè)務(wù)信息系統(tǒng)相互進(jìn)行 認(rèn)證�����,所有認(rèn)證通過��,則在業(yè)務(wù)協(xié)同互操作請求的用戶業(yè)務(wù)信息系統(tǒng)與業(yè)務(wù)協(xié)同互操作服 務(wù)的用戶業(yè)務(wù)信息系統(tǒng)之間沿安全互操作路由建立一條業(yè)務(wù)協(xié)同互操作數(shù)據(jù)傳輸通道�;任 何相鄰認(rèn)證失敗,則業(yè)務(wù)協(xié)同互操作請求被終止�����。步驟八提供業(yè)務(wù)協(xié)同互操作服務(wù)的用戶業(yè)務(wù)系統(tǒng)執(zhí)行互操作請求,并將服務(wù)結(jié) 果發(fā)送給相鄰的安全互操作系統(tǒng)��。業(yè)務(wù)協(xié)同互操作服務(wù)結(jié)果發(fā)送的過程和業(yè)務(wù)協(xié)同互操作 請求發(fā)送的過程相同��,但相鄰序列(安全互操作路由)相反(發(fā)送服務(wù)結(jié)果的安全互操作 路由與發(fā)送互操作請求的安全互操作路由可以不是相同的相鄰序列)�,也必須先進(jìn)行認(rèn)證�, 然后再發(fā)送服務(wù)結(jié)果���,實現(xiàn)同步驟五到步驟七�。步驟九若業(yè)務(wù)協(xié)同互操作服務(wù)結(jié)果不能到達(dá)業(yè)務(wù)協(xié)同互操作請求的用戶業(yè)務(wù)信 息系統(tǒng)�,業(yè)務(wù)協(xié)同互操作服務(wù)將被放棄��。
權(quán)利要求
1.一種分布式多安全域異構(gòu)信息系統(tǒng)安全互操作方法,其特征在于��,針對多個分布式 異構(gòu)信息系統(tǒng)(多個信息系統(tǒng)可以是同構(gòu)的或異構(gòu)的���、可以是按照業(yè)務(wù)組織要求跨地域分 布部署的����、或跨組織部署的)之間的業(yè)務(wù)協(xié)同,提出一種安全互操作機(jī)制,使在該機(jī)制下��, 可以實現(xiàn)跨安全等級和安全系統(tǒng)的業(yè)務(wù)協(xié)同互操作的安全��。
2.如權(quán)利要求1所述的一種分布式多安全域異構(gòu)信息系統(tǒng)安全互操作方法�����,其特征在 于�,每個安全域(由同一安全系統(tǒng)覆蓋的信息系統(tǒng)及其信息基礎(chǔ)設(shè)施)的管理是獨立的,不 受其它信息系統(tǒng)或安全系統(tǒng)的影響和限制��,安全域內(nèi)的所有用戶和設(shè)備(包括信息系統(tǒng)) 都必須得到安全系統(tǒng)的認(rèn)證���,每個安全域提供獨立的完整的證書生產(chǎn)���、管理、發(fā)放和應(yīng)用功 能��,以及加解密、簽名等服務(wù)����。
3.如權(quán)利要求1所述的一種分布式多安全域異構(gòu)信息系統(tǒng)安全互操作方法,其特征在 于�����,提供兩個或多個信息系統(tǒng)之間業(yè)務(wù)協(xié)同的互操作功能的必須是一個獨立的系統(tǒng)����,該系 統(tǒng)可以由一個或多個設(shè)備及相關(guān)軟件構(gòu)成�����,并具有安全系統(tǒng)所需要的完整的證書生產(chǎn)���、管 理���、發(fā)放和應(yīng)用功能以及加解密����、簽名等服務(wù)����,構(gòu)成一個獨立的安全域,相應(yīng)地稱為安全互 操作系統(tǒng)。
4.如權(quán)利要求1、權(quán)利要求2和權(quán)利要求3所述的一種分布式多安全域異構(gòu)信息系統(tǒng) 安全互操作方法�,其特征在于,兩個安全域之間只能存在相鄰�、相通和相隔三種關(guān)系之一。相鄰關(guān)系兩個安全域之間存在網(wǎng)絡(luò)連接通道��,且被相互定義為相鄰安全互操作系統(tǒng)���, 則通過該網(wǎng)絡(luò)通道����,兩個安全域之間可以進(jìn)行互操作請求與互操作服務(wù)的數(shù)據(jù)傳輸��,且兩 個安全域之間必須經(jīng)過相互認(rèn)證才能進(jìn)行上述數(shù)據(jù)傳輸��;相鄰安全域需要分別向相鄰的 對方發(fā)放身份證書�,并在需要進(jìn)行互操作請求和互操作服務(wù)的數(shù)據(jù)傳送時進(jìn)行相互身份認(rèn) 證,即設(shè)安全域A與安全域B相鄰��,安全系統(tǒng)A要向安全系統(tǒng)B中接入安全系統(tǒng)A的設(shè)備 及系統(tǒng)發(fā)放身份證書Ka���,安全系統(tǒng)B要向安全系統(tǒng)A中接入安全系統(tǒng)B的設(shè)備及系統(tǒng)發(fā)放 身份證書Kb�,兩個安全域之間需要進(jìn)行互操作請求或互操作服務(wù)數(shù)據(jù)傳輸時��,安全系統(tǒng)A 需要對發(fā)放給安全域B的身份證書Ka進(jìn)行認(rèn)證����,同時安全系統(tǒng)B也需要對發(fā)放給安全域A 的身份證書Kb進(jìn)行認(rèn)證,稱相互身份認(rèn)證����,無論互操作請求和互操作服務(wù)的數(shù)據(jù)傳輸由哪 一方發(fā)起,所述相互身份認(rèn)證都必須進(jìn)行�。相通關(guān)系設(shè)兩個安全域A和安全域B相通,表示通過安全互操作系統(tǒng)中定義的相鄰關(guān) 系���,至少存在一個相鄰序列�����,其中相鄰序列的兩端分別為安全域A和安全域B ���;通過該相鄰 序列的兩兩連接����,可以建立一條從安全域A到安全域B的數(shù)據(jù)傳輸通道���,使安全域A和安全 域B之間可利用該通道傳輸互操作請求與互操作服務(wù)的數(shù)據(jù)�;相鄰序列上除兩端的安全域 A和安全域B外���,其它安全域為安全互操作系統(tǒng)����,提供互操作請求與互操作服務(wù)的數(shù)據(jù)轉(zhuǎn)發(fā) 功能��;相鄰序列中的每個相鄰關(guān)系所關(guān)聯(lián)的兩個安全域都必須向相鄰的對方發(fā)放身份證書 (類似權(quán)利要求6中的描述)���,在需要傳輸或轉(zhuǎn)發(fā)互操作請求與互操作服務(wù)的數(shù)據(jù)時�,相鄰 序列上每個相鄰關(guān)系所關(guān)聯(lián)的兩個安全域必須進(jìn)行相互身份認(rèn)證����。相隔關(guān)系兩個安全域之間不存在相鄰關(guān)系��,也不存在相鄰序列,或沒有向相鄰的對方 發(fā)放身份證書��,所述兩個安全域之間不能進(jìn)行互操作請求與互操作服務(wù)的數(shù)據(jù)傳輸�。
5.如權(quán)利要求3、權(quán)利要求4所述的安全互操作系統(tǒng)的相鄰關(guān)系�、相通關(guān)系和相隔關(guān) 系,其特征在于��,每個安全互操作系統(tǒng)中只定義和描述具有相鄰關(guān)系的安全互操作系統(tǒng)�,通 過相鄰序列的搜索構(gòu)成相通關(guān)系,確定相隔關(guān)系(不相鄰��、不相通)�����。
6.如權(quán)利要求3所述安全互操作系統(tǒng)�����,其特征在于�,每個安全互操作系統(tǒng)根據(jù)業(yè)務(wù)協(xié) 同的需要可有三種運行模式簡單安全互操作、對稱安全互操作和分級安全互操作。簡單安全互操作模式安全互操作系統(tǒng)只與用戶信息系統(tǒng)相連����,且用戶信息系統(tǒng)和安 全互操作系統(tǒng)分別構(gòu)成獨立的安全域,用戶信息系統(tǒng)之間進(jìn)行業(yè)務(wù)協(xié)同必須通過安全互操 作系統(tǒng)進(jìn)行���。對稱安全互操作模式所有服務(wù)的互操作請求必須來自對稱的相鄰安全互操作系統(tǒng) 或相通安全互操作系統(tǒng)��,且相通安全互操作系統(tǒng)的相鄰序列上所有相鄰關(guān)系為對稱相鄰關(guān) 系�����;來自用戶信息系統(tǒng)的互操作請求(或自動發(fā)起的互操作請求)必須由對稱的安全互操 作系統(tǒng)(且相鄰或相通)提供互操作服務(wù)����;來自其它位置的互操作請求將被拒絕��。分級安全互操作模式以分級模式運行的安全互操作系統(tǒng)��,可以根據(jù)信息系統(tǒng)分布部 署和不同層次業(yè)務(wù)協(xié)同的需要����,以互操作系統(tǒng)為骨架實現(xiàn)信息系統(tǒng)的樹狀或網(wǎng)狀部署。
7.如權(quán)利要求3和權(quán)利要求6所述安全互操作系統(tǒng)的對稱安全互操作模式和分級安全 互操作模式��,其特征在于,以對稱安全互操作模式運行的安全互操作系統(tǒng)和以分級安全互 操作模式運行的安全互操作系統(tǒng)除需要設(shè)置其運行模式外�����,只需要設(shè)置其相鄰安全互操作 系統(tǒng)信息��,相通關(guān)系由相鄰序列搜索自動確定�����。
8.如權(quán)利要求1和權(quán)利要求3所述一種分布式多安全域異構(gòu)信息系統(tǒng)安全互操作方法 中的安全互操作系統(tǒng)����,其特征在于����,簡單安全互操作、對稱安全互操作和分級安全互操作在 分布式異構(gòu)信息系統(tǒng)業(yè)務(wù)協(xié)同中可以混用���。
全文摘要
本發(fā)明公開了一種分布式多安全域異構(gòu)信息系統(tǒng)安全互操作方法���。該方法針對多個分布式信息系統(tǒng)(可以是異構(gòu)的)之間業(yè)務(wù)協(xié)同安全的需要提出一種安全互操作機(jī)制,使在該機(jī)制下���,跨地域�����、跨部門分布的信息系統(tǒng)的業(yè)務(wù)協(xié)同能夠得到有效的安全保護(hù)��。本發(fā)明假定每個安全域都能提供完整的證書生產(chǎn)�、管理、發(fā)放和使用功能�,以及加解密、簽名等服務(wù)�,并由獨立的安全互操作系統(tǒng)提供安全互操作功能。該機(jī)制的核心在于安全域之間進(jìn)行互操作請求和服務(wù)數(shù)據(jù)傳送必須通過相鄰互操作域之間順序轉(zhuǎn)發(fā)實現(xiàn)(相鄰序列構(gòu)成安全互操作路由)�,在傳送時,相鄰安全互操作系統(tǒng)之間必須進(jìn)行相互認(rèn)證�。
文檔編號H04L29/06GK102075541SQ20111002863
公開日2011年5月25日 申請日期2011年1月27日 優(yōu)先權(quán)日2011年1月27日
發(fā)明者唐堃, 張遂征, 葛大偉, 袁寶軍, 齊新華 申請人:北京宏德信智源信息技術(shù)有限公司