零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應(yīng)用

0引言網(wǎng)絡(luò)信任是網(wǎng)絡(luò)信息安全的重要內(nèi)容和核心支撐，能夠?yàn)榫W(wǎng)絡(luò)空間中各類實(shí)體活動(dòng)提供有效保障。通過(guò)建立網(wǎng)絡(luò)信任體系，形成覆蓋黨政、軍隊(duì)以及互聯(lián)網(wǎng)等不同應(yīng)用場(chǎng)景的網(wǎng)絡(luò)信任服務(wù)能力，有效支撐針對(duì)各類網(wǎng)絡(luò)實(shí)體的身份鑒別、授權(quán)服務(wù)、行為分析等服務(wù)能力，從而建立網(wǎng)絡(luò)實(shí)體間的互信互認(rèn)機(jī)制。隨著網(wǎng)絡(luò)實(shí)體類型的全網(wǎng)化擴(kuò)展和信任保障需求的多樣化增強(qiáng)，傳統(tǒng)靜態(tài)保障、服務(wù)分割的信任保障模式已不能滿足網(wǎng)絡(luò)信任體系發(fā)展要求。同時(shí)，隨著網(wǎng)絡(luò)信息系統(tǒng)安全服務(wù)需求的不同提升，以及網(wǎng)絡(luò)安全和網(wǎng)絡(luò)信任領(lǐng)域技術(shù)體制、架構(gòu)理念的飛速發(fā)展，傳統(tǒng)網(wǎng)絡(luò)信任體系需要借鑒和應(yīng)用更多先進(jìn)的理念技術(shù)，在繼承發(fā)展、體系兼容的基礎(chǔ)上為網(wǎng)絡(luò)信息系統(tǒng)提供更靈活、更高效和更可靠的網(wǎng)絡(luò)信任服務(wù)能力。

近年來(lái)，零信任架構(gòu)作為一種不斷發(fā)展成熟的全新安全架構(gòu)理念，已經(jīng)被各國(guó)網(wǎng)絡(luò)安全企業(yè)和政府軍隊(duì)高度關(guān)注，正在為關(guān)鍵信息系統(tǒng)提供穩(wěn)定可靠的身份和訪問(wèn)安全保障。隨著零信任架構(gòu)的持續(xù)演進(jìn)，“以身份為基石、業(yè)務(wù)安全訪問(wèn)、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制”的關(guān)鍵能力將為傳統(tǒng)網(wǎng)絡(luò)信任體系的動(dòng)態(tài)發(fā)展提供全新思路和有效支撐。1網(wǎng)絡(luò)信任體系網(wǎng)絡(luò)信任體系作為網(wǎng)絡(luò)信息系統(tǒng)的重要組成部分，主要是在網(wǎng)絡(luò)空間建立不同網(wǎng)絡(luò)實(shí)體間的信任關(guān)系，確保將人員、設(shè)備、應(yīng)用、數(shù)據(jù)等所有網(wǎng)絡(luò)實(shí)體通過(guò)信任關(guān)系進(jìn)行連接，采集實(shí)體行為日志、維護(hù)實(shí)體信任關(guān)系，最終形成面向不同應(yīng)用場(chǎng)景的網(wǎng)絡(luò)實(shí)體信任聯(lián)盟域和可信鏈。

網(wǎng)絡(luò)信任體系需要重點(diǎn)解決兩個(gè)問(wèn)題。一個(gè)是不同網(wǎng)絡(luò)實(shí)體間可靠信任關(guān)系的安全建立。網(wǎng)絡(luò)信息交互過(guò)程應(yīng)該具備保密性，信息訪問(wèn)主體、客體之間能夠基于身份認(rèn)證過(guò)程確保雙方身份合法、權(quán)限適度。另一個(gè)是要為網(wǎng)絡(luò)實(shí)體提供行為分析手段，為信息交互提供判責(zé)追責(zé)機(jī)制。因此，網(wǎng)絡(luò)信任體系的構(gòu)建，需要基于傳統(tǒng)密碼技術(shù)，從身份認(rèn)證、授權(quán)管理、行為分析等多角度建立網(wǎng)絡(luò)實(shí)體信任協(xié)同模型，解決網(wǎng)絡(luò)空間中實(shí)體身份鑒別、授權(quán)訪問(wèn)、責(zé)任認(rèn)定等信任保障問(wèn)題。

圖1網(wǎng)絡(luò)信任體系服務(wù)定位

如圖1所示，由各類身份認(rèn)證基礎(chǔ)設(shè)施和網(wǎng)絡(luò)信任服務(wù)系統(tǒng)構(gòu)建形成網(wǎng)絡(luò)信任體系，面向黨政軍、企業(yè)、個(gè)人用戶提供信任服務(wù)支撐，滿足網(wǎng)絡(luò)空間業(yè)務(wù)處理、信息交互等過(guò)程的安全可信需求。各類身份認(rèn)證基礎(chǔ)設(shè)施是基礎(chǔ)，能夠基于密碼技術(shù)、以PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）認(rèn)證體制為支撐，為網(wǎng)絡(luò)空間人員、設(shè)備、應(yīng)用等實(shí)體提供身份管理和憑證支撐。網(wǎng)絡(luò)信任服務(wù)系統(tǒng)以數(shù)字證書為核心，建立身份管理、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定和可信時(shí)間等信任服務(wù)能力，構(gòu)建信任聯(lián)盟，實(shí)現(xiàn)各人員、設(shè)備及應(yīng)用全網(wǎng)全程信任服務(wù)。信任聯(lián)盟作為網(wǎng)絡(luò)信任服務(wù)體系信任關(guān)系的一種直觀映射，能夠在人員、設(shè)備、應(yīng)用等實(shí)體之間以信任評(píng)估為基礎(chǔ)，建立網(wǎng)絡(luò)信任聯(lián)盟域。假設(shè)設(shè)備B信任人員A，能夠允許人員A在設(shè)備B上進(jìn)行操作系統(tǒng)登錄；應(yīng)用C信任設(shè)備B，能夠允許設(shè)備B訪問(wèn)應(yīng)用C；此時(shí)，基于線性信任傳遞機(jī)制，應(yīng)用C可以直接信任人員A；人員A、設(shè)備B、應(yīng)用C之間構(gòu)建形成信任聯(lián)盟。但是在實(shí)際網(wǎng)絡(luò)信任服務(wù)過(guò)程中，從“A→B、B→C”并不能簡(jiǎn)單地得出“A→C”；這種信任傳遞過(guò)程還需要結(jié)合信任評(píng)估、傳遞環(huán)境等因素，對(duì)傳遞可信度進(jìn)行調(diào)整，最終構(gòu)建形成動(dòng)態(tài)信任聯(lián)盟機(jī)制。2零信任架構(gòu)零信任架構(gòu)是由Forrester在2010年提出的安全模型，是一種網(wǎng)絡(luò)/數(shù)據(jù)安全的實(shí)體到實(shí)體方法，是一種區(qū)別于傳統(tǒng)安全方案只關(guān)注邊界防護(hù)，而更關(guān)注數(shù)據(jù)保護(hù)的架構(gòu)方法。

區(qū)別于傳統(tǒng)邊界安全架構(gòu)，零信任架構(gòu)提出了一種新的安全架構(gòu)模式，對(duì)傳統(tǒng)邊界安全架構(gòu)思路重新進(jìn)行了評(píng)估與審視，默認(rèn)情況下不信任網(wǎng)絡(luò)空間中的任何人員、設(shè)備、軟件和數(shù)據(jù)等訪問(wèn)實(shí)體，需要基于持續(xù)性的實(shí)體信任評(píng)估對(duì)認(rèn)證和授權(quán)的信任基礎(chǔ)進(jìn)行動(dòng)態(tài)重構(gòu)。零信任架構(gòu)模型核心組件如圖2所示。

圖2零信任架構(gòu)模型核心組件

零信任架構(gòu)模型核心組件由數(shù)據(jù)平面、控制平面和身份保障基礎(chǔ)設(shè)施組成，其中控制平面是零信任架構(gòu)的支撐部分，數(shù)據(jù)平面是交互部分，身份保障基礎(chǔ)設(shè)施是保障部分，控制平面實(shí)現(xiàn)對(duì)數(shù)據(jù)平面的指揮和配置。

數(shù)據(jù)平面主要包括信任代理組件。作為各類訪問(wèn)主體開(kāi)展業(yè)務(wù)安全訪問(wèn)過(guò)程的交互入口，是實(shí)現(xiàn)資源動(dòng)態(tài)訪問(wèn)控制的關(guān)鍵執(zhí)行點(diǎn)。信任代理將資源訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至控制平面動(dòng)態(tài)訪問(wèn)控制引擎進(jìn)行處理，通過(guò)身份認(rèn)證、權(quán)限判定等過(guò)程實(shí)現(xiàn)訪問(wèn)主體合法性驗(yàn)證，驗(yàn)證通過(guò)后放行業(yè)務(wù)請(qǐng)求。同時(shí)，信任代理支持對(duì)資源訪問(wèn)信息進(jìn)行按需加密，提升業(yè)務(wù)訪問(wèn)過(guò)程的安全性。

控制平面主要包括動(dòng)態(tài)訪問(wèn)控制引擎和信任評(píng)估引擎組件。動(dòng)態(tài)訪問(wèn)控制引擎作為零信任架構(gòu)控制平面的核心判定點(diǎn)，能夠基于身份認(rèn)證、授權(quán)服務(wù)、訪問(wèn)控制等基礎(chǔ)設(shè)施實(shí)現(xiàn)與信任代理協(xié)同聯(lián)動(dòng)，確保所有訪問(wèn)請(qǐng)求強(qiáng)制認(rèn)證和動(dòng)態(tài)信任。其中，身份認(rèn)證過(guò)程由傳統(tǒng)單因子、靜態(tài)認(rèn)證方式，演進(jìn)為支持身份認(rèn)證策略動(dòng)態(tài)調(diào)整的強(qiáng)制認(rèn)證模式。授權(quán)服務(wù)過(guò)程由傳統(tǒng)基于靜態(tài)規(guī)則的權(quán)限判定，演進(jìn)為基于信任等級(jí)、安全策略和評(píng)估結(jié)果的動(dòng)態(tài)權(quán)限調(diào)整服務(wù)。信任評(píng)估引擎作為控制平面的中樞神經(jīng)，是信任評(píng)估過(guò)程的能力實(shí)現(xiàn)點(diǎn)，支持與訪問(wèn)控制引擎動(dòng)態(tài)聯(lián)動(dòng)，為各類實(shí)體提供基于信任評(píng)估結(jié)果的權(quán)限策略判定支撐。信任評(píng)估引擎通過(guò)采集網(wǎng)絡(luò)空間中各類實(shí)體行為日志信息和外部分析平臺(tái)結(jié)果，綜合運(yùn)用安全大數(shù)據(jù)分析和智能推理技術(shù)，實(shí)現(xiàn)實(shí)體身份持續(xù)融合構(gòu)建、行為日志持續(xù)審計(jì)分析、信任程度持續(xù)度量評(píng)估，支撐動(dòng)態(tài)訪問(wèn)控制過(guò)程。

身份保障基礎(chǔ)設(shè)施能夠?yàn)楦黝愒L問(wèn)主體提供身份管理和權(quán)限服務(wù)功能，有效支撐零信任架構(gòu)模型以身份為基石的能力構(gòu)建。其中，身份管理過(guò)程從全生命周期角度實(shí)現(xiàn)對(duì)各類網(wǎng)絡(luò)實(shí)體的身份管理，權(quán)限服務(wù)過(guò)程能夠?qū)崿F(xiàn)不同粒度的資源訪問(wèn)授權(quán)服務(wù)，服務(wù)模式由傳統(tǒng)靜態(tài)、封閉的固定保障模式逐步演進(jìn)為動(dòng)態(tài)、靈活的協(xié)同服務(wù)模式。3零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應(yīng)用基于零信任架構(gòu)模型以身份為中心的動(dòng)態(tài)可信訪問(wèn)控制體系基礎(chǔ)，網(wǎng)絡(luò)信任體系能夠面向身份認(rèn)證、授權(quán)管理、信任評(píng)估等多個(gè)層面，實(shí)現(xiàn)信任服務(wù)能力增強(qiáng)和提升。在日常辦公、移動(dòng)業(yè)務(wù)和軍事信息等網(wǎng)絡(luò)應(yīng)用場(chǎng)景下，基于零信任架構(gòu)的網(wǎng)絡(luò)信任體系正在得到逐步應(yīng)用，為用戶和設(shè)備訪問(wèn)應(yīng)用、應(yīng)用和服務(wù)接口調(diào)用等各場(chǎng)景提供橫向協(xié)同、縱向聯(lián)動(dòng)的動(dòng)態(tài)可信訪問(wèn)控制保障。

3.1傳統(tǒng)辦公網(wǎng)絡(luò)零信任架構(gòu)應(yīng)用

基于零信任架構(gòu)的傳統(tǒng)網(wǎng)絡(luò)信任體系與零信任架構(gòu)模型本身相似，針對(duì)傳統(tǒng)辦公網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用所涉及的各因素，對(duì)零信任控制平面進(jìn)行能力細(xì)化和服務(wù)擴(kuò)展，從而滿足不同業(yè)務(wù)應(yīng)用高安全、強(qiáng)認(rèn)證、多模式、重審計(jì)等安全保障需求，如圖3所示。

圖3基于零信任架構(gòu)的傳統(tǒng)網(wǎng)絡(luò)信任體系應(yīng)用

針對(duì)控制平面，基于信任基礎(chǔ)設(shè)施的保障支撐，形成涵蓋身份認(rèn)證、授權(quán)管理、行為采集、責(zé)任認(rèn)定、信任評(píng)估和數(shù)據(jù)存儲(chǔ)等不同網(wǎng)絡(luò)信任服務(wù)能力，有效保障人員、設(shè)備和應(yīng)用等網(wǎng)絡(luò)實(shí)體對(duì)應(yīng)用服務(wù)、數(shù)據(jù)資源和云平臺(tái)服務(wù)等業(yè)務(wù)資源的可信訪問(wèn)。

其中，身份認(rèn)證服務(wù)為各類網(wǎng)絡(luò)實(shí)體提供基于密碼技術(shù)的強(qiáng)制身份認(rèn)證能力，確保實(shí)體身份合法、來(lái)源可信；授權(quán)管理服務(wù)支持為人員、設(shè)備實(shí)現(xiàn)業(yè)務(wù)資源訪問(wèn)權(quán)限策略的動(dòng)態(tài)適配，提供基于權(quán)限判決的訪問(wèn)控制協(xié)同；行為采集服務(wù)為信任環(huán)境感知和實(shí)體行為收集提供手段，是責(zé)任認(rèn)定和信任評(píng)估的數(shù)據(jù)基礎(chǔ)；責(zé)任認(rèn)定服務(wù)能夠及時(shí)發(fā)現(xiàn)和預(yù)判網(wǎng)絡(luò)實(shí)體異常行為，有效實(shí)施判責(zé)追責(zé)操作；信任評(píng)估服務(wù)基于量化評(píng)估體系實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體信任等級(jí)綜合評(píng)估，有效支撐動(dòng)態(tài)認(rèn)證授權(quán)和訪問(wèn)控制過(guò)程。

在實(shí)際部署應(yīng)用過(guò)程中，針對(duì)不同網(wǎng)絡(luò)實(shí)體、不同應(yīng)用場(chǎng)景需要選擇具體信任基礎(chǔ)設(shè)施作為支撐。不同信任等級(jí)要求下，身份認(rèn)證體制、綜合認(rèn)證方式，業(yè)務(wù)訪問(wèn)權(quán)限、網(wǎng)絡(luò)接入策略，分析判責(zé)規(guī)則、信任評(píng)估體系，都將進(jìn)行適配性調(diào)整和選擇。

3.2移動(dòng)辦公網(wǎng)絡(luò)零信任架構(gòu)應(yīng)用在移動(dòng)辦公網(wǎng)絡(luò)環(huán)境，由移動(dòng)環(huán)境的移動(dòng)終端（筆記本電腦、智能終端等）、內(nèi)網(wǎng)環(huán)境的信任訪問(wèn)控制設(shè)施和移動(dòng)業(yè)務(wù)數(shù)據(jù)中心共同組成基于零信任架構(gòu)的移動(dòng)網(wǎng)絡(luò)信任體系[4][5]。確保合法的人員，使用合法的移動(dòng)終端，基于可信的行為，針對(duì)合法的應(yīng)用，進(jìn)行合法的訪問(wèn)。如圖4所示。

圖4基于零信任架構(gòu)的移動(dòng)網(wǎng)絡(luò)信任體系應(yīng)用

移動(dòng)終端采用基于密碼技術(shù)的身份標(biāo)識(shí)機(jī)制，實(shí)現(xiàn)終端人員用戶身份、移動(dòng)終端設(shè)備身份的多樣化標(biāo)識(shí)，部署終端安全防護(hù)組件，實(shí)現(xiàn)移動(dòng)終端業(yè)務(wù)安全加固增強(qiáng)。針對(duì)終端人員用戶和移動(dòng)終端設(shè)備，提供基于生物特征、數(shù)字證書、PIN碼、動(dòng)態(tài)短信等多種認(rèn)證方式的多因子認(rèn)證支撐，有效保障移動(dòng)環(huán)境實(shí)體行為感知過(guò)程，確保合法用戶使用合法移動(dòng)設(shè)備。

信任訪問(wèn)控制設(shè)施采用典型零信任架構(gòu)模型，基于信任訪問(wèn)代理、實(shí)體身份認(rèn)證系統(tǒng)、移動(dòng)環(huán)境感知系統(tǒng)、授權(quán)管理服務(wù)系統(tǒng)、實(shí)體管控分析系統(tǒng)等網(wǎng)絡(luò)信任組件，提供移動(dòng)環(huán)境下網(wǎng)絡(luò)實(shí)體多因子認(rèn)證、動(dòng)態(tài)授權(quán)訪問(wèn)、持續(xù)信任評(píng)估的信任服務(wù)能力，有效保障對(duì)移動(dòng)業(yè)務(wù)資源的安全可信訪問(wèn)。

移動(dòng)業(yè)務(wù)數(shù)據(jù)中心基于私有云模式，一方面為各類政企用戶提供高效可靠、安全隱私的業(yè)務(wù)資源保護(hù)能力，另一方面為各類移動(dòng)終端用戶提供基于零信任架構(gòu)動(dòng)態(tài)訪問(wèn)控制機(jī)制的移動(dòng)業(yè)務(wù)資源可信應(yīng)用能力。

可見(jiàn)，移動(dòng)辦公網(wǎng)絡(luò)零信任架構(gòu)應(yīng)用方案在移動(dòng)終端、信任訪問(wèn)控制基礎(chǔ)設(shè)施、移動(dòng)業(yè)務(wù)數(shù)據(jù)中心之間建立了移動(dòng)網(wǎng)絡(luò)信任體系，能夠有效解決移動(dòng)終端用戶、移動(dòng)終端設(shè)備和移動(dòng)業(yè)務(wù)應(yīng)用的信任協(xié)同服務(wù)需求。在實(shí)際應(yīng)用過(guò)程中，還需要結(jié)合不同移動(dòng)辦公環(huán)境網(wǎng)絡(luò)特點(diǎn)，深入分析無(wú)線帶寬、處理時(shí)延、隨遇接入、個(gè)性化業(yè)務(wù)應(yīng)用等實(shí)際環(huán)境情況，有效整合各要素信任服務(wù)能力，實(shí)現(xiàn)移動(dòng)終端環(huán)境輕量化、信任訪問(wèn)控制設(shè)施高效化和移動(dòng)業(yè)務(wù)數(shù)據(jù)隱私化。

3.3軍事網(wǎng)絡(luò)空間零信任架構(gòu)應(yīng)用

零信任架構(gòu)在軍事網(wǎng)絡(luò)信任體系中的應(yīng)用以美軍聯(lián)合信息環(huán)境（JointInformationEnvironment，JIE）為代表。美軍JIE的目標(biāo)是實(shí)現(xiàn)作戰(zhàn)人員能夠在任意時(shí)間、在任意地方、使用任意合法設(shè)備獲取經(jīng)授權(quán)的所需信息，以滿足美軍全球全域作戰(zhàn)任務(wù)需求。這與零信任架構(gòu)下的可信訪問(wèn)控制愿景高度重合，美國(guó)國(guó)防部默認(rèn)按照零信任架構(gòu)進(jìn)行設(shè)計(jì)和推進(jìn)JIE框架演進(jìn)，基于零信任架構(gòu)思想，解決網(wǎng)絡(luò)信息獲取過(guò)程的身份與訪問(wèn)安全問(wèn)題，其中涉及網(wǎng)絡(luò)邊界安全、最小權(quán)限訪問(wèn)、角色屬性訪問(wèn)控制、多因子綜合認(rèn)證和設(shè)備安全管理等關(guān)鍵要素。其中，以身份和訪問(wèn)管理（IdentityandAccessManagement，IdAM）、多因子綜合認(rèn)證、移動(dòng)認(rèn)證保障為代表的零信任架構(gòu)，是美國(guó)國(guó)防部安全建設(shè)的重中之重。

IdAM（IdentityandAccessManagement，身份與訪問(wèn)管理）是美國(guó)國(guó)防部的信任基礎(chǔ)設(shè)施，是實(shí)現(xiàn)JIE目標(biāo)的核心基礎(chǔ)。IdAM的理想狀態(tài)是實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制，基于策略的授權(quán)服務(wù)、身份與憑證管理、權(quán)限策略管理、實(shí)體資源管理是其主體功能，基于屬性的訪問(wèn)控制（Attribute-BasedAccessControl，ABAC）和授權(quán)服務(wù)是其關(guān)鍵核心。

可見(jiàn)，在美軍JIE建設(shè)過(guò)程中，零信任架構(gòu)已經(jīng)成為基礎(chǔ)支撐，美軍完備的PKI體系和軍事人員、終端設(shè)備身份管理機(jī)制，也為基于零信任框架構(gòu)建美軍JIE網(wǎng)絡(luò)信任體系（核心為IdAM）提供了可行性，這也決定了其應(yīng)用模式不能直接擴(kuò)展至其他應(yīng)用場(chǎng)景。我軍網(wǎng)絡(luò)體系和網(wǎng)絡(luò)安全成熟度與美軍JIE還存在一定差距，軍事網(wǎng)絡(luò)環(huán)境也與美軍的全球全域聯(lián)合作戰(zhàn)存在區(qū)別。因此，可以在借鑒美軍基于零信任架構(gòu)的網(wǎng)絡(luò)信任體系建設(shè)經(jīng)驗(yàn)基礎(chǔ)上，充分適應(yīng)我軍網(wǎng)絡(luò)信息系統(tǒng)特點(diǎn)和網(wǎng)