0　引　言

　　網(wǎng)絡(luò)信任是網(wǎng)絡(luò)信息安全的重要內(nèi)容和核心支撐，能夠為網(wǎng)絡(luò)空間中各類實體活動提供有效保障,。通過建立網(wǎng)絡(luò)信任體系,，形成覆蓋黨政、軍隊以及互聯(lián)網(wǎng)等不同應用場景的網(wǎng)絡(luò)信任服務能力,，有效支撐針對各類網(wǎng)絡(luò)實體的身份鑒別,、授權(quán)服務、行為分析等服務能力,，從而建立網(wǎng)絡(luò)實體間的互信互認機制,。

　　隨著網(wǎng)絡(luò)實體類型的全網(wǎng)化擴展和信任保障需求的多樣化增強，傳統(tǒng)靜態(tài)保障,、服務分割的信任保障模式已不能滿足網(wǎng)絡(luò)信任體系發(fā)展要求,。同時,，隨著網(wǎng)絡(luò)信息系統(tǒng)安全服務需求的不同提升,，以及網(wǎng)絡(luò)安全和網(wǎng)絡(luò)信任領(lǐng)域技術(shù)體制、架構(gòu)理念的飛速發(fā)展,，傳統(tǒng)網(wǎng)絡(luò)信任體系需要借鑒和應用更多先進的理念技術(shù),，在繼承發(fā)展、體系兼容的基礎(chǔ)上為網(wǎng)絡(luò)信息系統(tǒng)提供更靈活,、更高效和更可靠的網(wǎng)絡(luò)信任服務能力,。

　　近年來，零信任架構(gòu)作為一種不斷發(fā)展成熟的全新安全架構(gòu)理念,，已經(jīng)被各國網(wǎng)絡(luò)安全企業(yè)和政府軍隊高度關(guān)注,，正在為關(guān)鍵信息系統(tǒng)提供穩(wěn)定可靠的身份和訪問安全保障。隨著零信任架構(gòu)的持續(xù)演進,，“以身份為基石,、業(yè)務安全訪問、持續(xù)信任評估和動態(tài)訪問控制”的關(guān)鍵能力將為傳統(tǒng)網(wǎng)絡(luò)信任體系的動態(tài)發(fā)展提供全新思路和有效支撐,。

　　1　網(wǎng)絡(luò)信任體系

　　網(wǎng)絡(luò)信任體系作為網(wǎng)絡(luò)信息系統(tǒng)的重要組成部分,，主要是在網(wǎng)絡(luò)空間建立不同網(wǎng)絡(luò)實體間的信任關(guān)系,，確保將人員、設(shè)備,、應用,、數(shù)據(jù)等所有網(wǎng)絡(luò)實體通過信任關(guān)系進行連接，采集實體行為日志,、維護實體信任關(guān)系,，最終形成面向不同應用場景的網(wǎng)絡(luò)實體信任聯(lián)盟域和可信鏈。

　　網(wǎng)絡(luò)信任體系需要重點解決兩個問題,。一個是不同網(wǎng)絡(luò)實體間可靠信任關(guān)系的安全建立,。網(wǎng)絡(luò)信息交互過程應該具備保密性，信息訪問主體,、客體之間能夠基于身份認證過程確保雙方身份合法,、權(quán)限適度。另一個是要為網(wǎng)絡(luò)實體提供行為分析手段,，為信息交互提供判責追責機制,。因此，網(wǎng)絡(luò)信任體系的構(gòu)建,，需要基于傳統(tǒng)密碼技術(shù),，從身份認證、授權(quán)管理,、行為分析等多角度建立網(wǎng)絡(luò)實體信任協(xié)同模型,，解決網(wǎng)絡(luò)空間中實體身份鑒別、授權(quán)訪問,、責任認定等信任保障問題,。

　　圖1　網(wǎng)絡(luò)信任體系服務定位

　　如圖1所示，由各類身份認證基礎(chǔ)設(shè)施和網(wǎng)絡(luò)信任服務系統(tǒng)構(gòu)建形成網(wǎng)絡(luò)信任體系,，面向黨政軍,、企業(yè)、個人用戶提供信任服務支撐,，滿足網(wǎng)絡(luò)空間業(yè)務處理,、信息交互等過程的安全可信需求。各類身份認證基礎(chǔ)設(shè)施是基礎(chǔ),，能夠基于密碼技術(shù),、以PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）認證體制為支撐,，為網(wǎng)絡(luò)空間人員,、設(shè)備、應用等實體提供身份管理和憑證支撐,。網(wǎng)絡(luò)信任服務系統(tǒng)以數(shù)字證書為核心,，建立身份管理,、身份認證、授權(quán)管理,、責任認定和可信時間等信任服務能力,，構(gòu)建信任聯(lián)盟，實現(xiàn)各人員,、設(shè)備及應用全網(wǎng)全程信任服務,。

　　信任聯(lián)盟作為網(wǎng)絡(luò)信任服務體系信任關(guān)系的一種直觀映射，能夠在人員,、設(shè)備,、應用等實體之間以信任評估為基礎(chǔ)，建立網(wǎng)絡(luò)信任聯(lián)盟域,。假設(shè)設(shè)備B信任人員A,，能夠允許人員A在設(shè)備B上進行操作系統(tǒng)登錄；應用C信任設(shè)備B,，能夠允許設(shè)備B訪問應用C,；此時，基于線性信任傳遞機制,，應用C可以直接信任人員A,；人員A、設(shè)備B,、應用C之間構(gòu)建形成信任聯(lián)盟,。但是在實際網(wǎng)絡(luò)信任服務過程中，從“A→B,、B→C”并不能簡單地得出“A→C”,；這種信任傳遞過程還需要結(jié)合信任評估、傳遞環(huán)境等因素,，對傳遞可信度進行調(diào)整,，最終構(gòu)建形成動態(tài)信任聯(lián)盟機制,。

　　2　零信任架構(gòu)

　　零信任架構(gòu)是由Forrester在2010年提出的安全模型,，是一種網(wǎng)絡(luò)/數(shù)據(jù)安全的實體到實體方法，是一種區(qū)別于傳統(tǒng)安全方案只關(guān)注邊界防護,，而更關(guān)注數(shù)據(jù)保護的架構(gòu)方法,。

　　區(qū)別于傳統(tǒng)邊界安全架構(gòu)，零信任架構(gòu)提出了一種新的安全架構(gòu)模式,，對傳統(tǒng)邊界安全架構(gòu)思路重新進行了評估與審視,，默認情況下不信任網(wǎng)絡(luò)空間中的任何人員、設(shè)備,、軟件和數(shù)據(jù)等訪問實體,，需要基于持續(xù)性的實體信任評估對認證和授權(quán)的信任基礎(chǔ)進行動態(tài)重構(gòu),。零信任架構(gòu)模型核心組件如圖2所示。

　　零信任架構(gòu)模型核心組件由數(shù)據(jù)平面,、控制平面和身份保障基礎(chǔ)設(shè)施組成,，其中控制平面是零信任架構(gòu)的支撐部分，數(shù)據(jù)平面是交互部分,，身份保障基礎(chǔ)設(shè)施是保障部分,，控制平面實現(xiàn)對數(shù)據(jù)平面的指揮和配置。

　　數(shù)據(jù)平面主要包括信任代理組件,。作為各類訪問主體開展業(yè)務安全訪問過程的交互入口,，是實現(xiàn)資源動態(tài)訪問控制的關(guān)鍵執(zhí)行點。信任代理將資源訪問請求轉(zhuǎn)發(fā)至控制平面動態(tài)訪問控制引擎進行處理,，通過身份認證,、權(quán)限判定等過程實現(xiàn)訪問主體合法性驗證，驗證通過后放行業(yè)務請求,。同時,，信任代理支持對資源訪問信息進行按需加密，提升業(yè)務訪問過程的安全性,。

　　控制平面主要包括動態(tài)訪問控制引擎和信任評估引擎組件,。動態(tài)訪問控制引擎作為零信任架構(gòu)控制平面的核心判定點，能夠基于身份認證,、授權(quán)服務,、訪問控制等基礎(chǔ)設(shè)施實現(xiàn)與信任代理協(xié)同聯(lián)動，確保所有訪問請求強制認證和動態(tài)信任,。

　　其中,，身份認證過程由傳統(tǒng)單因子、靜態(tài)認證方式,，演進為支持身份認證策略動態(tài)調(diào)整的強制認證模式,。授權(quán)服務過程由傳統(tǒng)基于靜態(tài)規(guī)則的權(quán)限判定，演進為基于信任等級,、安全策略和評估結(jié)果的動態(tài)權(quán)限調(diào)整服務,。信任評估引擎作為控制平面的中樞神經(jīng)，是信任評估過程的能力實現(xiàn)點,，支持與訪問控制引擎動態(tài)聯(lián)動,，為各類實體提供基于信任評估結(jié)果的權(quán)限策略判定支撐。

　　信任評估引擎通過采集網(wǎng)絡(luò)空間中各類實體行為日志信息和外部分析平臺結(jié)果,，綜合運用安全大數(shù)據(jù)分析和智能推理技術(shù),，實現(xiàn)實體身份持續(xù)融合構(gòu)建、行為日志持續(xù)審計分析,、信任程度持續(xù)度量評估,，支撐動態(tài)訪問控制過程,。

　　身份保障基礎(chǔ)設(shè)施能夠為各類訪問主體提供身份管理和權(quán)限服務功能，有效支撐零信任架構(gòu)模型以身份為基石的能力構(gòu)建,。其中,，身份管理過程從全生命周期角度實現(xiàn)對各類網(wǎng)絡(luò)實體的身份管理，權(quán)限服務過程能夠?qū)崿F(xiàn)不同粒度的資源訪問授權(quán)服務,，服務模式由傳統(tǒng)靜態(tài),、封閉的固定保障模式逐步演進為動態(tài)、靈活的協(xié)同服務模式,。

　　3　零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應用

　　基于零信任架構(gòu)模型以身份為中心的動態(tài)可信訪問控制體系基礎(chǔ),，網(wǎng)絡(luò)信任體系能夠面向身份認證、授權(quán)管理,、信任評估等多個層面,，實現(xiàn)信任服務能力增強和提升。在日常辦公,、移動業(yè)務和軍事信息等網(wǎng)絡(luò)應用場景下,，基于零信任架構(gòu)的網(wǎng)絡(luò)信任體系正在得到逐步應用，為用戶和設(shè)備訪問應用,、應用和服務接口調(diào)用等各場景提供橫向協(xié)同,、縱向聯(lián)動的動態(tài)可信訪問控制保障。

　　3.1　傳統(tǒng)辦公網(wǎng)絡(luò)零信任架構(gòu)應用

　　基于零信任架構(gòu)的傳統(tǒng)網(wǎng)絡(luò)信任體系與零信任架構(gòu)模型本身相似,，針對傳統(tǒng)辦公網(wǎng)絡(luò)業(yè)務應用所涉及的各因素,，對零信任控制平面進行能力細化和服務擴展，從而滿足不同業(yè)務應用高安全,、強認證,、多模式、重審計等安全保障需求,，如圖3所示,。

　　針對控制平面，基于信任基礎(chǔ)設(shè)施的保障支撐,，形成涵蓋身份認證,、授權(quán)管理、行為采集,、責任認定,、信任評估和數(shù)據(jù)存儲等不同網(wǎng)絡(luò)信任服務能力,，有效保障人員,、設(shè)備和應用等網(wǎng)絡(luò)實體對應用服務、數(shù)據(jù)資源和云平臺服務等業(yè)務資源的可信訪問,。

　　其中,，身份認證服務為各類網(wǎng)絡(luò)實體提供基于密碼技術(shù)的強制身份認證能力,，確保實體身份合法、來源可信,；授權(quán)管理服務支持為人員,、設(shè)備實現(xiàn)業(yè)務資源訪問權(quán)限策略的動態(tài)適配，提供基于權(quán)限判決的訪問控制協(xié)同,；行為采集服務為信任環(huán)境感知和實體行為收集提供手段,，是責任認定和信任評估的數(shù)據(jù)基礎(chǔ)；責任認定服務能夠及時發(fā)現(xiàn)和預判網(wǎng)絡(luò)實體異常行為,，有效實施判責追責操作,；信任評估服務基于量化評估體系實現(xiàn)網(wǎng)絡(luò)實體信任等級綜合評估，有效支撐動態(tài)認證授權(quán)和訪問控制過程,。

　　在實際部署應用過程中,，針對不同網(wǎng)絡(luò)實體、不同應用場景需要選擇具體信任基礎(chǔ)設(shè)施作為支撐,。不同信任等級要求下,，身份認證體制、綜合認證方式,，業(yè)務訪問權(quán)限,、網(wǎng)絡(luò)接入策略，分析判責規(guī)則,、信任評估體系,，都將進行適配性調(diào)整和選擇。

　　3.2　移動辦公網(wǎng)絡(luò)零信任架構(gòu)應用

　　在移動辦公網(wǎng)絡(luò)環(huán)境,，由移動環(huán)境的移動終端（筆記本電腦,、智能終端等）、內(nèi)網(wǎng)環(huán)境的信任訪問控制設(shè)施和移動業(yè)務數(shù)據(jù)中心共同組成基于零信任架構(gòu)的移動網(wǎng)絡(luò)信任體系[4][5],。確保合法的人員,，使用合法的移動終端，基于可信的行為,，針對合法的應用,，進行合法的訪問。如圖4所示,。

　　移動終端采用基于密碼技術(shù)的身份標識機制,，實現(xiàn)終端人員用戶身份、移動終端設(shè)備身份的多樣化標識,，部署終端安全防護組件,，實現(xiàn)移動終端業(yè)務安全加固增強。針對終端人員用戶和移動終端設(shè)備，提供基于生物特征,、數(shù)字證書,、PIN碼、動態(tài)短信等多種認證方式的多因子認證支撐,，有效保障移動環(huán)境實體行為感知過程,，確保合法用戶使用合法移動設(shè)備。

　　信任訪問控制設(shè)施采用典型零信任架構(gòu)模型,，基于信任訪問代理,、實體身份認證系統(tǒng)、移動環(huán)境感知系統(tǒng),、授權(quán)管理服務系統(tǒng),、實體管控分析系統(tǒng)等網(wǎng)絡(luò)信任組件，提供移動環(huán)境下網(wǎng)絡(luò)實體多因子認證,、動態(tài)授權(quán)訪問,、持續(xù)信任評估的信任服務能力，有效保障對移動業(yè)務資源的安全可信訪問,。

　　移動業(yè)務數(shù)據(jù)中心基于私有云模式,，一方面為各類政企用戶提供高效可靠、安全隱私的業(yè)務資源保護能力,，另一方面為各類移動終端用戶提供基于零信任架構(gòu)動態(tài)訪問控制機制的移動業(yè)務資源可信應用能力,。

　　可見，移動辦公網(wǎng)絡(luò)零信任架構(gòu)應用方案在移動終端,、信任訪問控制基礎(chǔ)設(shè)施,、移動業(yè)務數(shù)據(jù)中心之間建立了移動網(wǎng)絡(luò)信任體系，能夠有效解決移動終端用戶,、移動終端設(shè)備和移動業(yè)務應用的信任協(xié)同服務需求,。在實際應用過程中，還需要結(jié)合不同移動辦公環(huán)境網(wǎng)絡(luò)特點,，深入分析無線帶寬,、處理時延、隨遇接入,、個性化業(yè)務應用等實際環(huán)境情況,，有效整合各要素信任服務能力，實現(xiàn)移動終端環(huán)境輕量化,、信任訪問控制設(shè)施高效化和移動業(yè)務數(shù)據(jù)隱私化,。

　　3.3　軍事網(wǎng)絡(luò)空間零信任架構(gòu)應用

　　零信任架構(gòu)在軍事網(wǎng)絡(luò)信任體系中的應用以美軍聯(lián)合信息環(huán)境（Joint Information Environment，JIE）為代表,。美軍JIE的目標是實現(xiàn)作戰(zhàn)人員能夠在任意時間,、在任意地方,、使用任意合法設(shè)備獲取經(jīng)授權(quán)的所需信息，以滿足美軍全球全域作戰(zhàn)任務需求,。

　　這與零信任架構(gòu)下的可信訪問控制愿景高度重合,，美國國防部默認按照零信任架構(gòu)進行設(shè)計和推進JIE框架演進,，基于零信任架構(gòu)思想,，解決網(wǎng)絡(luò)信息獲取過程的身份與訪問安全問題，其中涉及網(wǎng)絡(luò)邊界安全,、最小權(quán)限訪問,、角色屬性訪問控制、多因子綜合認證和設(shè)備安全管理等關(guān)鍵要素,。其中,，以身份和訪問管理（Identity and Access Management，IdAM）,、多因子綜合認證,、移動認證保障為代表的零信任架構(gòu)，是美國國防部安全建設(shè)的重中之重,。

　　IdAM（Identity and Access Management,，身份與訪問管理）是美國國防部的信任基礎(chǔ)設(shè)施，是實現(xiàn)JIE目標的核心基礎(chǔ),。IdAM的理想狀態(tài)是實現(xiàn)動態(tài)訪問控制,，基于策略的授權(quán)服務、身份與憑證管理,、權(quán)限策略管理,、實體資源管理是其主體功能，基于屬性的訪問控制（Attribute-Based Access Control,，ABAC）和授權(quán)服務是其關(guān)鍵核心,。

　　可見，在美軍JIE建設(shè)過程中,，零信任架構(gòu)已經(jīng)成為基礎(chǔ)支撐,，美軍完備的PKI體系和軍事人員、終端設(shè)備身份管理機制,，也為基于零信任框架構(gòu)建美軍JIE網(wǎng)絡(luò)信任體系（核心為IdAM）提供了可行性,，這也決定了其應用模式不能直接擴展至其他應用場景。我軍網(wǎng)絡(luò)體系和網(wǎng)絡(luò)安全成熟度與美軍JIE還存在一定差距,，軍事網(wǎng)絡(luò)環(huán)境也與美軍的全球全域聯(lián)合作戰(zhàn)存在區(qū)別,。

　　因此，可以在借鑒美軍基于零信任架構(gòu)的網(wǎng)絡(luò)信任體系建設(shè)經(jīng)驗基礎(chǔ)上,，充分適應我軍網(wǎng)絡(luò)信息系統(tǒng)特點和網(wǎng)絡(luò)信任服務需求,，形成安全可靠、高效可用的網(wǎng)絡(luò)信任體系。

　　4　結(jié)　語

　　零信任架構(gòu)是一種全新的網(wǎng)絡(luò)安全服務架構(gòu),，網(wǎng)絡(luò)信任體系是網(wǎng)絡(luò)信息系統(tǒng)發(fā)展的基石,。本文通過分析零信任架構(gòu)在典型網(wǎng)絡(luò)信任體系中的實際應用方案，一方面介紹了零信任架構(gòu)的應用特點和服務優(yōu)勢,，另一方面列舉了零信任架構(gòu)在實際建設(shè)落地過程中還要面臨的問題和挑戰(zhàn),。

　　因此，零信任架構(gòu)在網(wǎng)絡(luò)信任體系中的應用,，并不是簡單的體系直接應用,，而是需要結(jié)合我國黨政、軍隊,、互聯(lián)網(wǎng)需求特點,，在充分借鑒國內(nèi)外零信任框架應用成果的基礎(chǔ)上進行適應性改造和適配性完善。