什么是DOSA介绍
面向数据的安全体系结构(DOSA,Data-Oriented Security Architecture),是在面向数据的体系结构(DOA,Data-Oriented Architecture)基础之上,是面向数据和以数据为核心的关于数据的安全体系结构,构建起从数据保护到授权应用的整套机制。
DOSADOSA提出的背景和意义
信息安全关乎国家安全、社会稳定、企业利益和个人隐私。
在“互联网+”时代,云计算、移动互联网、大数据、物联网的广泛应用,数据急剧扩张,人们对数据的依赖程度越来越高,由于数据集中存放、网络安全漏洞、数据越权访问等现象,使信息安全问题愈发突出,急需要有一种新的安全体系结构来应对这些问题。
(1)现有信息安全体系是建立在相对封闭的网络环境下的。
通常一个安全的信息系统或应用体系,要建立在一个相对封闭和安全的环境中,通过各种方式来保证这个封闭环境是安全的或可信的。因此,目前的信息安全,更加强调的是网络安全、系统安全、环境安全和应用安全。
虽然和外部交换信息时是通过数据加密或VPN通道来传输数据,但在这个相对“安全”的内部环境里,大多数数据却是处于“裸露”状态的。一旦有不速之客通过各种漏洞或非法获得权限进入到这个环境,“裸露”的数据就面临着极大的危险。
一些数据中心所涉及的数据安全,多是指利用数据备份、数据灾备等技术来保障数据不丢失,但仍存在着越权访问等危险行为,造成数据和信息泄露的隐患。
(2)在“互联网+”时代我们面临着开放环境下的信息安全问题。
我国政府提出的“互联网+”行动计划,要将移动互联网、云计算、大数据、物联网等作为我国新时期经济发展的重要推力,信息系统或应用体系所面临的环境更为开放,对数据和信息安全的要求更高。原来按照相对封闭环境下的安全举措将遇到极大的困难,不能满足新时代信息安全的要求,也给信息安全体系结构等带来了严峻的挑战。
开放环境下怎么解决信息安全问题?
2012年,美国一些知名的数据管理领域的专家学者联合发布白皮书“Challenges and Opportunities with BigData”,提出数据安全及系统架构问题的挑战。
在开放环境下,除了网络安全和系统安全保障之外,还需要在安全的体系结构和安全的数据保护机制等方面有相应的举措。
信息安全的核心就是数据的安全,开展面向数据和以数据为核心的数据安全体系研究是十分必要的。
目前,国内虽然有人对“面向数据的安全模型”进行过研究,但也只是在无线传感网络上的应用,还没有人从面向数据的安全体系结构上开展研究。
(3)面向数据的安全体系结构是开放环境下的信息安全体系结构。
我们提出,面向数据的安全体系结构(DOSA,Data-Oriented Security Architecture),是在面向数据的体系结构(DOA,Data-OrientedArchitecture)基础之上,是面向数据和以数据为核心的关于数据的安全体系结构,构建起从数据保护到授权应用的整套机制。
DOSA建立在云计算基础之上,以数据“天生加密、授权使用”为原则,对数据的属性进行注册和管理,包括数据的安全属性、身份属性、时间属性、空间属性等,明确数据拥有者身份,包括数据的主人(数据权人)、朋友(被授权人)、陌生人(未授权人)和敌人(不授权人)。数据具有自保护功能,“穿戴盔甲”,以加密方式呈现,具有不同的加密级别和深度。数据的使用要经过授权。数据是独立于系统的,数据是应用的基础,不依赖于特定的硬件环境和软件环境,同一数据可以支撑不同的应用。
DOSA应包括数据权限中心(DAC,Data Authority Center),数据注册中心(DRC,Data Register Center),数据异常控制中心(DEC,Data Exception Control Center)和数据应用单元(DAUs,Data Application Units),来实现数据的统一登记、保护、授权管理和为应用提供服务。
数据权限中心(DAC),是DOSA的核心部件,对数据的安全存储、传输及应用授权进行管理。对数据实行“天生加密、授权使用”的机制,通过对数据的加解密和授权管理,使得数据在生成、存储和传输时是不可访问和使用的,而经过授权的用户在访问数据或通过应用使用数据时,是解密和透明的,即授权用户感觉不到数据的加密和解密过程。为便于管理,将数据分成存储和传输时保持加密的“数据态”和在应用中授权使用时解密的“应用态”。数据只有在“应用态”时是处于解密状态,一旦完成应用或离开了应用环境,或是由应用产生了新的数据,数据应立即“变”为加密的“数据态”,充分保证数据的安全及使用的授权。“数据态”的数据,既适合于封闭环境,也适合于开放环境,而“应用态”的数据,仅适合于“封闭”环境。数据的访问和应用是基于授权的,特定的访问者,特定的场合(环境),特定的时间(时段),数据的使用和用户适合于网络安全的授权、认证和计帐(AAA,Authorization,Authentication,Accounting)机制。
数据注册中心(DRC),是DOSA的关键部件,注册有关数据的各种信息,包括安全属性信息,通过它来构建逻辑的数据资源池,并管理数据和提供数据服务。
数据异常控制中心(DEC),是DOSA的重要部件,对数据资源进行自适应管理,保证数据的唯一性和一致性。
数据应用单元(DAUs),是DOSA的关键部件,关联应用对数据的访问,对各种应用提供支持。
DOSA作为一种数据安全理念和机制,就是要保证数据能够在数据和应用两个层面中都能做到安全、可靠以及便于管理和使用,既可以在传统的封闭环境下应用,增强数据的安全保护,又可以在开放环境下保护数据的安全和不被越权访问。
目前有关信息安全、数据安全的理论和方法体系,有关网络授权、认证和计帐的AAA技术,有关CA技术、PKI技术、密钥体系、加解密技术,有关可信技术,以及不断发展的网络空间安全技术、系统安全技术、应用环境安全技术等,都能在DOSA框架下使用,但需要进一步从面向数据和以数据为核心的角度,进行重新梳理,从数据安全的理念、理论、方法和受保护数据的应用机制等方面,进行适应性和深入地研究,为进一步提高信息安全提供保障。
DOSADOSA的主要内容
面向数据的安全体系结构(DOSA)旨在从架构角度对未来的数据安全体系进行全方位设计,包括数据的管理和应用等。主要内容如下:
(1)体系结构机制及组成
包括:开放环境下数据安全的基本理论;面向数据的安全体系结构的基本原则;面向数据的安全体系结构基本构成;等。
(2)数据属性
包括:数据固有安全属性;数据安全信息规范;数据状态定义及转换机制;等。
(3)数据权限
包括:数据访问控制权限及管理机制;数据合法性鉴定;数据权限中心的作用和运作机制;等。
(4)数据注册
包括:数据属性及数据安全信息的注册;数据注册方法;动态数据自动注册机制;数据注册信息与数据授权管理的关联机制;数据使用记录及其溯源机制;等。
(5)数据授权
包括:用户认证机制及证书授权(CA,Certificate Authority)技术;用户身份与数据授权权限管理;数据授权机制及与公共密钥基础设施(PKI,Public Key Infrastructure)关系;计帐机制;多级授权及认证机制;单个数据与批量数据或大数据量授权机制;等。
(6)数据加解密
包括:密钥体系;动态数据自动加密机制;数据授权自动解密机制;数据透明加解密策略和算法;加解密效率与安全性及授权过程的妥协关系;等。
(7)数据应用环境
包括:传统数据传输加密技术适应性;应用环境安全保障;数据非法使用识别及数字水印技术;数据权人利益保障技术支持;数据权人权利和知识产权相关问题;等。
DOSADOSA拟解决的关键科学问题
(1)“互联网+”时代下安全体系结构问题
“互联网+”时代伴随着移动互联网、云计算、大数据、物联网技术的全面应用。在这更为开放的环境下,信息安全问题愈发突出,面临着更加严峻的挑战。虽然传统的信息安全体系结构有着各种各样的解决方法和技术,但都有着不足和难度。迫切需要有一种全新的视角和切入点去应对“互联网+”时代所面临的安全挑战。
(2)面向数据的安全体系结构对信息安全的贡献问题
面向数据的安全体系结构能否应对信息安全所面临的主要问题?能否从机制、方法、技术上做到数据的“天生加密、授权使用”并满足性能要求?
DOSA创新点
(1)提出了一种面向数据的安全体系结构(DOSA),是面向数据和以数据为核心的安全应用系统的构建机制。
(2)提出了一种建立在云计算环境之上的DOSA平台构建方法。
DOSADOSA的目标
建立起面向数据的安全体系结构的原型系统和实现平台,为构建以数据为核心的安全应用系统提供解决方案。
依照信息安全的实现目标,采用DOSA预期取得的效果对比如表1所示。
表1:信息安全的实现目标
|
目标 |
要求 |
DOSA实现 |
|
真实性 |
对信息的来源进行判断,能对伪造来源的信息予以鉴别。 |
通过对DRC的数据注册信息进行管理和判断,提供了一种数据真实性管理的机制。 |
|
保密性 |
保证机密信息不被窃听,或窃听者不能了解信息的真实含义。 |
数据天生加密,不论在存储时还是传输时都是加密状态,只在授权应用时解密,最大限度保护数据安全。 |
|
完整性 |
保证数据的一致性,防止数据被非法用户篡改。 |
通过DEC保证数据的一致性。 |
|
可用性 |
保证合法用户对信息和资源的使用不会被不正当地拒绝。 |
DAC对合法用户授权,通过授权机制保证数据合法使用。 |
|
不可抵赖性 |
建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。 |
DAC提供数据授权和使用的记录及溯源机制。 |
|
可控制性 |
对信息的传播及内容具有控制能力。 |
通过DAUs可以实现控制信息内容的App。 |
|
可审查性 |
对出现的网络安全问题提供调查的依据和手段。 |
DAC提供数据授权和使用的记录和溯源机制。 |
依照信息安全所面临的威胁,采用DOSA的解决方案对比如表2所示。
表2:信息安全的威胁
|
威胁 |
含义 |
DOSA解决方案 |
|
信息泄露 |
信息被泄露或透露给某个非授权的实体。 |
DOSA下数据天生加密,已经大大减少数据在存储和传输时的泄露可能。数据有可能在使用中存在泄露危险,需要建立安全的应用环境。 |
|
破坏信息的完整性 |
数据被非授权地进行增删、修改或破坏而受到损失。 |
DOSA下数据只有被授权时才能使用。DEC保证数据的完整性、唯一性和一致性。 |
|
拒绝服务 |
对信息或其他资源的合法访问被无条件地阻止。 |
这是DOSA下的应用环境问题,需要保障应用环境的安全。 |
|
非法使用(非授权访问) |
某一资源被某个非授权的人,或以非授权的方式使用。 |
在数据没有加密的情况下,这种情况极易发生。在DOSA下,数据天生加密,只有授权用户才能访问数据,极大地避免了数据非法使用的机会。 |
|
窃听 |
用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 |
这是DOSA下的应用环境问题,在应用过程中应保证环境的安全,防止在应用过程中使已解密的数据被窃走。 |
|
业务流分析 |
通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 |
DOSA暂时不能对此进行防范。 |
|
假冒 |
通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 |
DOSA暂时不能对此进行防范。可以在DRC和DAC记录中对此行为进行识别。 |
|
旁路控制 |
攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。 |
DOSA暂时不能对此进行防范。 |
|
授权侵犯 |
被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。 |
在DOSA下所有授权都是针对数据授权,通过使用系统功能的此类授权不易实现。 |
|
特洛伊木马 |
软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(TrojanHorse)。 |
DOSA暂时不能对此进行防范。 |
|
陷阱门 |
在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。 |
DOSA暂时不能对此进行防范。 |
|
抵赖 |
这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 |
DOSA的DRC提供数据产生自动注册机制及溯源机制。 |
|
重放 |
出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。 |
DOSA下数据存储和传输都是加密的,而加密的数据只针对被授权用户使用。这里重放的数据是没有意义的。 |
|
计算机病毒 |
一种在计算机系统运行过程中能够实现传染和侵害功能的程序。 |
DOSA暂时不能对此进行防范。 |
|
人员不慎 |
一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。 |
DOSA下即使将数据传给了非授权人,也无法使用。除非由于不慎对非授权人进行了授权。 |
|
媒体废弃 |
信息被从废弃的磁碟或打印过的存储介质中获得。 |
DOSA下数据离开应用环境又自动加密(天生加密),因此废弃设备中的数据也应是加密的,除非是应用环境遭到破坏而泄露的数据。 |
|
物理侵入 |
侵入者绕过物理控制而获得对系统的访问。 |
侵入者能对系统进行访问,但由于身份不能确定或无法获得授权,因此无法获得解密数据。 |
|
窃取 |
重要的安全物品,如令牌或身份卡被盗。 |
DOSA无法防范窃取,但有可能记录和溯源,或在授权过程中通过辅助信息识别窃贼。 |
|
业务欺骗 |
某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。 |
以业务为核心的系统容易让业务欺骗得逞。但DOSA以数据为核心,即使有业务欺骗,但还是需要身份认证和数据使用授权。除非认证和授权已绑定在业务系统中并被欺骗使用。 |