首頁>密信零信任安全解決方案

密信零信任安全解決方案無簽名不信任、無加密不信任、無時戳不信任、始終驗證簽名!

一、初步瞭解密信零信任安全解決方案

密信零信任安全解決方案基於PKI技術,依託已經建設的密信雲密碼基礎設施和已經提供的密信雲密碼服務,為使用者提供可靠的零信任安全,不僅解決信任問題,最重要的是解決所有安全方案的目的地—資料安全問題,用數位簽章和加密來保護資料安全。如下圖所示,密信零信任安全解決方案主要有三個部分組成:統一身份認證系統、安全性原則執行系統和密碼服務系統,而密碼服務系統主要由CA證書系統、金鑰管理(KM)系統、時間戳記系統和資料加密服務系統(包括數位簽章服務)組成。

無論是人和物(包括終端設備、網路設備、伺服器、物體、工業設備、車輛等等),每個個體都必須有兩張數位憑證(簽章憑證和加密證書),由CA系統和KM系統共同為個體簽發數位憑證,用於證明自己的數字身份和用於資料加密。這個是密信零信任安全解決方案的核心,也是目前同其他零信任安全方案不同之處,我們的方案是每個個體都要通過實名認證而獲得可信數位身份,而不是匿名方式的不可信身份,使得後面的身份認證系統和安全性原則執行系統變得很簡單了,也使得信任管理更簡單。

每個個體都有數位身份,可根據業務需要把人和物分成不同級別的身份而簽發不同認證級別的簽章憑證,這同現實世界的不同的應用場景使用不同的證件一樣。 人或物如果需要訪問資料資源,則需要出示相應的簽章憑證來證明自己的身份,身份認證系統通過驗證使用者的數位簽章而識別其身份是否可信,如果不可信,則直接通不過。如果可信,則由安全性原則執行系統來判斷使用者是否能訪問所請求的資源。組織必須根據業務需要制定不同的安全性原則,如不同身份認證級別的使用者可以訪問不同的資料資源,制定好安全性原則後,就可以由安全性原則執行系統來控制使用者能訪問哪些資源了。當然,前提是用戶能通過可信身份認證。

第三個重要的系統是資料加密服務系統,許多零信任安全方案並沒有這塊,我們認為這塊非常重要,因為任何安全方案的最終目的是為了保護資料,零信任安全也是一樣。資料加密服務系統由數位簽章系統、加密系統和時間戳記系統構成,為資料提供數位簽章服務來證明資料的所有者身份、資料的生產者身份,為資料提供加密服務,資料只有是密文才會讓資料失去被盜的價值,才會讓安全防護系統更簡單。還為資料提供時間戳記服務,來證明資料生產時間,這對於需要事後審計和驗證的應用場景非常重要。

簡單來講,密信零信任安全解決方案是基於PKI技術的身份認證和資料加密解決方案,類似于現實世界的實名乘坐飛機旅行,通過實名認證乘機人和航空公司資質認定來確保飛機旅行安全。而目前市場上的零信任解決方案,需要複雜的動態持續信任評估和對存取權限的動態調整,這是由於非實名認證不知道誰是壞人,只能靠福爾摩斯式的不斷甄別,效率太低且容易判斷失誤。

二、基於密信雲密碼服務的零信任安全解決方案

密信零信任安全解決方案基於PKI技術,但用戶無需投資建設相應的PKI/CA系統,而且依託密信雲密碼服務,為使用者零信任安全所需的密碼服務,這樣的好處就是不僅可以節省PKI公開金鑰基礎實施的投資,降低系統運維成本,而且可以快速部署零信任架構,快速實現零信任安全。如下圖所示,密信零信任安全解決方案包括統一身份認證系統、安全性原則執行系統和資料加密服務系統,再加上密信雲密碼服務系統,共同實現零信任安全架構。

1.統一身份認證系統

統一身份認證系統是一個基礎系統,必須對能連接組織的伺服器資源而獲取資料資源的所有人和物進行一次全面的摸底,把所有人和物(設備)都納入身份管理系統中,並把所有人和物分類,根據不同的使用者能訪問哪些資源確認需要何種認證級別的身份證書(簽章憑證)。

對於人來講,密信統一身份認證系統支援5種不同安全級別的身份類型,統一使用用戶郵箱位址作為用戶名,具體有:

  1. V0級別:用戶名/口令弱認證方式,只驗證用戶名和口令,不驗證郵箱控制權,安全級別最低,僅能訪問一些不重要的資源。保留這個不安全的認證級別只是為了相容一些老系統無法短時間內禁用用戶名/口令認證方式;
  2. V1級別:數位憑證強身份認證方式,僅驗證使用者郵箱控制權,無使用者身份資訊。這個級別的用戶僅能訪問無需真實使用者身份資訊的資源,只能保證的確是此擁有此郵箱的用戶;
  3. V2級別:數位憑證強身份認證方式,不僅驗證使用者郵箱控制權,而且驗證用戶個人身份,是真實可信的個人身份。這個級別的用戶能訪問必須以個人身份登錄的系統,獲取與個人身份相關的資料;
  4. V3級別:數位憑證強身份認證方式,不僅驗證使用者單位功能變數名稱郵箱控制權,而且驗證單位身份,是真實可信的單位身份。這個級別的使用者能代表公司以單位身份登錄的系統,獲取與單位身份相關的資料;
  5. V4級別:數位憑證強身份認證方式,不僅驗證使用者單位功能變數名稱郵箱控制權,而且驗證單位身份和單位員工身份,是真實可信的單位員工身份。這個級別的使用者能訪問必須以單位員工身份登錄的系統,獲取與單位員工身份相關的資料。

也就是說,一個人要麼是只驗證郵箱的准匿名身份,要麼是實名認證的個人身份或者單位員工身份,每個郵箱只能綁定一個唯一身份。每個人可能有多張身份證書,用於不同的應用場景出示不同的證書,這個同現實世界的身份認證是一樣的,並且一樣有效和高效,不可能出現需要不斷評估和不斷甄別的效力低下情況。人或物如果需要訪問資料資源,則需要出示相應的簽章憑證來證明自己的身份,身份認證系統通過驗證使用者的數位簽章而識別其身份是否可信,如果不可信,則直接通不過。如果可信,則再由安全性原則執行系統來判斷使用者是否能訪問所請求的資源。

對於物來講,可以根據不同的用途、不同的功能或者屬於不同的組織而頒發不同的身份證書,也可以根據不同的存取權限來區分,這需要使用者結合自己的業務管理系統來劃分和定義證書類型。

人和物第一次接入統一身份認證系統時,由認證系統負責完成其身份認證並向密信雲密碼服務系統申請相應的數位憑證(包括簽章憑證和加密證書),並根據業務需要選擇在使用者本地還是在雲金鑰管理系統中保管私密金鑰。同時,還應該記錄第一次接入時的IP位址和位置資訊等,用於判斷使用者接入認證系統時是否違反了其他安全原則,如一個人不可能使用同一張簽章憑證同時在不同位置接入認證系統。

統一身份認證系統還具有根據需要向CA系統申請吊銷某張證書的功能,一旦發現有非法使用身份證書的情況發生,不能通不過身份認證系統,而且會即時發起證書吊銷申請,即時完成吊銷證書。這個操作等同于現實世界的吊銷各種證書或身份證的操作。

2.安全性原則執行系統

安全性原則執行系統負責安全性原則制定、管理和執行。組織必須根據業務需要制定不同的安全性原則,如不同身份級別的使用者可以訪問不同的資料資源。制定好安全性原則後,當用戶通過身份認證後,就由安全性原則執行系統來控制使用者能訪問哪些資料資源。

制定安全性原則這一步非常重要,需要對組織中的各種資源細分統計入庫,並根據不同的網段、不同的伺服器、不同的資料庫、不同的資料項目等制定不同訪問策略,這個策略同時需要對應不同的身份的用戶來制定,如這個資料只能是公司高管才能查看,需要檢查通過身份認證的訪問者的身份證書資訊,確認的確是高管後才能放行訪問所需的資料資源。

為了確認雲資料資源中的身份,安全性原則制定不僅要求用戶滿足一定的身份條件才能訪問資料資源,而且也同時應該制定策略,對於使用者向伺服器提交資料時要求資原始伺服器出示自己的身份證書,在驗證伺服器身份符合安全性原則時才能允許使用者提交資料給伺服器,這樣就保證了用戶不會給假冒身份的雲端伺服器提交了使用者機密資料。雙向認證和確認安全性原則,確保用戶能得到所需的資料和使用者把自己的資料提交給了正確的伺服器。

3.資料加密服務系統

資料加密服務系統包括加密服務、數位簽章服務和時間戳記服務,這是密信零信任安全解決方案的核心系統,也是同其他家方案的最大不同之處。零信任安全的最終目的是為了保護資料,我們的零信任理念是不信任沒有數位簽章的身份、不信任沒有數位簽章的資料、不信任沒有加密的資料、不信任沒有時間戳記的時間、不信任沒有位置戳的位置資訊。而資料加密服務系統就是為了讓每一個資料都是有身份的、都是加密的,都是有時間戳記的,都是有位置戳的(根據業務需要)。

資料在產生時就應該用資料生產者的身份證書數位簽章加時間戳記,來為資料分類和標識,以便準確制定安全訪問策略。同時也是為了明確資料的所有權、生產責任和具有法律效力的可事後追溯和審計的生產時間。而資料加密則是為了使用者資料在資料庫中的安全,用有權訪問者的公開金鑰加密後存放,有權訪問者通過身份認證和安全性原則後就能得到這個加密資料,用戶就可以用其私密金鑰解密此資料,也就是說,這份資料僅限於有權閱讀者使用,其他人即使拿到這份資料也無法解密。這才是真正的零信任安全。

資料加密服務系統根據業務需要調用密信雲密碼服務,實現各種無身份的明文資料的數位簽章、加密和時間戳記服務,使得各種資料擁有了可信身份、已加密、時間可信和位置可信,從而真正了保護資料安全。

4.密信雲密碼服務系統

資料加密服務系統所提供的數位簽章、加密和時間戳記服務,由密信雲密碼服務提供。使用者可以根據業務需要選擇合適的服務和服務套餐,有按次計費、包月或包年計費方式。密信零信任安全解決方案支援SDK或API方式調用密信雲密碼服務。

密信雲密碼服務是密信技術把成熟的雲密碼基礎設施作為一個雲服務開放給所有互聯網應用開發商和服務提供者,把密碼能力變成雲計算的一種資源服務賦能所有用戶端軟體和互聯網應用,讓所有開發商和服務商無需重複投資建設雲密碼基礎設施,而是根據自己的應用需要按需選購密碼服務,不僅大大節約投資,更重要的是能快速運用密碼能力助力業務安全可靠運行。同時滿足了使用者的《密碼法》《電子簽名法》等合規要求,而且保護了寶貴的客戶資料資源和資料資產,從而大大提升了企業的核心競爭力。

密信雲密碼服務是一種全新的密碼能力交付模式,是雲計算技術與身份認證、資料加密、數位簽章、時間戳記等密碼技術的深度融合。雲密碼服務按照雲計算技術架構的要求整合密碼產品、密碼使用策略、密碼服務介面和服務流程,將密碼系統設計、部署、運維、管理、計費等組合成一種服務,來滿足使用者的密碼應用需求。使用者不再需要“購買”密碼硬體或密碼系統等密碼產品,而是以“租用”密碼服務的方式使用雲密碼基礎設施中提供的各種密碼功能。密信雲密碼服務具有按需服務、即買即用、快速集成、彈性擴展、易於使用、成本更低、規範使用、全球合規、更強適用和安全運維等十大特點,能滿足各種業務的資料加密保護(證書加密)、資料身份可信(數位簽章)、資料產生和使用時間可信(時間戳記)以及資料產生和使用位置資訊可信(位置戳)等各種密碼應用需求。

三、自主部署密碼基礎設施的零信任安全解決方案

同以上採用雲密碼服務的零信任安全解決方案不同的是,使用者自建零信任密碼基礎設施,為零信任安全提供所需的密碼服務,如下圖所示,主要包括CA證書系統、金鑰管理(KM)系統、時間戳記服務系統、證書吊銷查詢系統和公開金鑰交換系統,為統一身份認證系統和資料加密服務系統提供所需的各種密碼服務,包括給使用者簽發簽章憑證和加密證書、數位簽章服務、加密服務、時間戳記服務等。

此方案其他部分同上面方案,優勢是實現了所有密碼服務的自主可控,缺點是增加了密碼服務的系統投資、管理和安全運維,適合於政府單位和大型企業。

四、小結

密信零信任安全解決方案的提出是基於密信技術多年來在郵件安全和文檔安全應用實踐基礎上總結出來的實用方案,並沒有照抄其他任何家的解決方案,而是基於密信技術擁有的豐富的PKI技術產品研發和應用經驗提出的一個創新解決方案。零信任只是一個非常好的安全理念和安全性原則,需要各個安全廠家結合自己的技術優勢提供不同的解決方案來解決網路信任難題。

PKI技術正是解決網路信任難題的最可靠的技術,這也在我們的郵件安全和文檔安全應用實踐得到了很好的檢驗。同時,基於PKI技術的零信任安全解決方案所需的密碼能力,使用者可以根據需要選擇密信雲密碼服務或者本地部署密碼服務系統來實現,非常靈活,能滿足各種不同規模的單位的實際應用需要。

密信零信任安全解決方案不僅解決信任問題,同時也解決資料安全問題,一箭雙雕,非常實用,歡迎聯繫我們