|
基于SOA的密码服务系统研究随着一体化信息系统技术的逐步发展,现有密码系统很难适应信息化联合协同发展的趋势,密码系统面临如何适应复杂的应用环境和满足多样化的用户需求等诸多难题,这就对保障信息网络安全的密码设备、密码基础设施及支撑系统的建设与发展提出了新的挑战。 引言 近年来中国的信息化建设成果显著,随着业务与信息化深度的融合,各种信息系统网络在保障各部门日常业务中发挥了很好的支撑作用,密码系统作为信息系统安全保障的核心更是发挥了不可替代的作用。然而现有密码系统种类多,管理体制分散,缺乏统一规划与标准,技术体制不统一,为实际应用带来了诸多问题。随着一体化信息系统技术的逐步发展,现有密码系统很难适应信息化联合协同发展的趋势,密码系统面临如何适应复杂的应用环境和满足多样化的用户需求等诸多难题,这就对保障信息网络安全的密码设备、密码基础设施及支撑系统的建设与发展提出了新的挑战。 1 密码服务系统存在的问题 长期以来,信息系统建设大都遵循按行政管理体制、部门或业务功能的划分独立发展的模式,导致了“烟囱式”系统架构的产生;相应的密码系统建设也继承了这种架构,不同信息系统的密码装备技术体制也不一致。这一现状与信息化联合协同对密码系统的需求之间存在着一定的差距,带来了一系列问题。 1.1难以实现跨网的保密信息共享与互通 信息化联合协同要求密码系统不仅要提供同构网络的、域内的密码防护,还要具有异构网络的、跨域的密码防护能力。“烟囱式”的密码系统架构与不统一的技术体制难以有效应对面向服务的信息共享模式及栅格化信息网络的安全保障需求,有待进一步规范统一,扩展完善。 1.2跨管理部门的应用集成和协作程度低 由于各种密码系统建设上的独立性与设计标准的缺乏,目前的密码系统在功能上很难实现系统之间的互操作。这样,在业务上需要协作的部门或单位难以实现系统功能与资源上的互补,导致部门之间信息交流与共享不能得到充分的保证,给工作带来很大的影响。因此,如何在保护密码系统已有投资的前提下,使新的密码系统突破地域、部门的限制,实现密码系统的无缝集成,进而实现密码系统的互操作与资源共享,已成为亟待解决的关键问题. 1.3缺乏功能扩展与柔性重组能力 传统通信网络与信息系统往往承载较为单一的业务,相应的密码系统的功能较单一,只为特定业务和用户服务,在建设时较少考虑密码系统的扩展性与可重构等因素,导致系统架构不够灵活,密码算法、协议与应用绑定,系统功能难以扩展或重构。因此,需要将密码系统的架构与应用系统进行同步改造,使密码系统具有良好的扩展性。 1.4配置管理复杂。缺乏即插即用能力 受各密码系统建立时的技术水平限制,密码装备的配置自动化程度较低,开通、管理及维护工作大量依靠人工参与,使得密码系统在维护管理、密钥管理和算法更新等方面存在使用上的不便。这也是制约密码系统进一步提升其实际效能的一个关键问题。 2 基于SOA的密码服务系统解决方案 2.1基本需求 密码服务系统是针对数据信息提供包括加密/解密、签名/签名验证、数字摘要和数字信封等密码功能的计算机软硬件系统,用以支持和实现信息的真实性、机密性、完整性以及不可抵赖性。作为保障信息系统的密码服务系统,从应用的角度来看,它有以下几个方面的需求: ①实时性。需对各种实时信息在要求的时间内,做出及时正确的密码保护。 ②适应性。能适应变化的外部环境,当需求发生变化时,具有快速组合能力。 ③互操作性。信息系统是一种分布式系统,每个子系统既具有一定的独立性,又协作完成共同的任务。因此,各密码系统相互之间存在着互操作性问题。 以上需求,要求密码服务系统具有很强的分布性和灵活性,而且还必须能够经常更新,以适应外部环境的变化。同时具有较高的可集成性、可维护性和可扩展性。传统的密码服务系统集成体系结构已不能满足要求,而SOA和WebServices技术为实现上述需求提供了技术途径。对于SOA,比较统一的理解为它是一种软件体系架构,它的目标是松散耦合系统与业务敏捷性。松散耦合保证系统之间互操作的健壮性,业务敏捷性保证可以快速应对业务需求的快速变更。 2.2解决思路 利用SOA的思想,将各种密码服务系统实现系统集成。在多个密码服务系统之间Web服务(Web Services)实现多个密码服务系统集成。密码服务面对的情况和需求非常复杂,既有层次严格、边界清晰的管理体系,又有一体化联合协同的需求。SOA能够映射这种复杂的管理体制,把业务功能封装为服务组件,使用平台独立的标准接口实现业务交互。这些组件既可以映射成为网络化的管理方式,为跨部门的信息化联合协同提供支持,又可以组合成为层次化的管理形式,以满足现行体制的要求。 3 基于SOA的密码服务系统实现框架 3.1设计要求 结合信息系统发展趋势,在设计基于SOA的密码服务系统时应满足以下几方面的基本要求: ①基于SOA的密码系统应是原有密码系统逻辑的延伸和扩展,是在原有密码系统上的应用集成,不应该推倒原有的密码应用系统。 ②基于SOA的密码系统集成应该是动态的,能够根据需要进行动态调整,低成本地重构密码系统之间的关系。 ③跨密码系统的应用集成应该支持业务逻辑延伸所必要的信息交互,重在应用,不仅仅是网络互联和简单信息的交流。 3.2基于SOA的密码服务系统框架的实现 基于SOA的密码服务系统框架如图1所示。主要包括SOA架构应用系统、SOA架构密码系统基础设施、SOA安全支撑后台以及实现和传统架构密码系统互通的密码适配器等部分。SOA架构应用系统主要是利用SOA架构提供的各种密码服务构建密码应用系统。而SOA架构密码系统基础设施主要包括密码构件库、密码服务、服务注册中心及业务流程管理器等部件,最终以统一的方式为密码应用系统提供各种密码服务功能。 3.2.1基于SOA密码服务的应用实现 基于SOA密码服务的应用实现是通过构建SOA架构基础套件平台,平台包括SOA基础构件和硬件平台,具有身份认证和标识功能,可快速接入SOA密码系统,从密码基础设施中获取应用所需的算法、策略及密钥等相关密码参数。综合现有的接口技术,并充分考虑传统密码装备具有的接口类型,密码基础套件与应用平台的接口初步分为高速类接口(如PCI、PCI—E和以太网接口)与低速类接口(如USB接口)进行研究分析,使得密码服务与应用松耦合,便于密码基础套件与应用的灵活组装。这里提出密码基础套件与应用互连的接口与协议规范,应用通过约定的标准接口及协议与密码基础套件通信获取所需的密码服务。 下面以密码基础平台与符合约定接口及协议的通信平台通过以太网接口组合形成网络密码机的工作流程,来说明通过密码基础套件快速形成密码装备的能力。 初始阶段,密码基础套件通过证书向密码机基础设施注册,可根据证书授予的权限查询服务,通过SOA密码服务基础设施获取服务,包括密码算法、密码参数及密码策略下载等。 应用阶段,通信平台接收到业务数据后,直接通过约定的接口将业务数据送密码基础套件进行处理,包括密码策略的判定和加解密处理等操作。密码基础套件处理完成后,交通信平台,由通信平台将加密后的业务数据送出去。对端密码机的通信平台接收到加密后的业务数据,送密码基础套件进行解密,策略判定,然后送通信平台,由通信平台将解密后的业务数据送密码保护网络。 3.2.2SOA架构服务与传统架构应用的加密互通实现 SOA架构服务与传统架构应用的加密互通主要面临密码协议、算法与算法参数等内容在两个系统中不一致的问题。传统架构密码系统的加密互通,一般是通过密网关进行适配来实现的。如果有N个系统需要进行加密互通的话,则需要建立(N-1)2个密网关适配器,需要花费大量的资源进行此项工作,并且,各个密网关适配器不能兼容,这样密网关的功能和部署就会很臃肿,造成系统性能低下,业务扩展性和重用性都很差。结合SOA架构的开放性、敏捷性、可扩展性及可组合性等特点,通过在传统架构系统上设置密码适配器,通过密码适配器将传统架构应用的各种功能也服务化,这些服务是自治的、松散耦合的、可互操作的、可发现的和潜在可复用的。 同时,通过应用集成体系结构,能够解决SOA架构与传统架构应用的加密互通、基于SOA架构密码服务系统之间互通,以及集成到SOA架构后的传统架构应用之间的加密互通。 4 结语 目前关于SOA的思想理论和方法研究受到广泛关注。SOA架构在信息系统集成技术方面在国内外已有一些参考。然而SOA架构运用于密码服务系统还比较少见,应加大这方面的研究力度,以适应信息化建设快速发展对密码服务系统提出的新要求。 责编:James Sun 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
推荐博客 |
|