密信零信任安全解决方案基于PKI技术,依托已经建设的密信云密码基础设施和已经提供的密信云密码服务,为用户提供可靠的零信任安全,不仅解决信任问题,最重要的是解决所有安全方案的目的地—数据安全问题,用数字签名和加密来保护数据安全。如下图所示,密信零信任安全解决方案主要有三个部分组成:统一身份认证系统、安全策略执行系统和密码服务系统,而密码服务系统主要由CA证书系统、密钥管理(KM)系统、时间戳系统和数据加密服务系统(包括数字签名服务)组成。
无论是人和物(包括终端设备、网络设备、服务器、物体、工业设备、车辆等等),每个个体都必须有两张数字证书(签名证书和加密证书),由CA系统和KM系统共同为个体签发数字证书,用于证明自己的数字身份和用于数据加密。这个是密信零信任安全解决方案的核心,也是目前同其他零信任安全方案不同之处,我们的方案是每个个体都要通过实名认证而获得可信数字身份,而不是匿名方式的不可信身份,使得后面的身份认证系统和安全策略执行系统变得很简单了,也使得信任管理更简单。
每个个体都有数字身份,可根据业务需要把人和物分成不同级别的身份而签发不同认证级别的签名证书,这同现实世界的不同的应用场景使用不同的证件一样。
人或物如果需要访问数据资源,则需要出示相应的签名证书来证明自己的身份,身份认证系统通过验证用户的数字签名而识别其身份是否可信,如果不可信,则直接通不过。如果可信,则由安全策略执行系统来判断用户是否能访问所请求的资源。组织必须根据业务需要制定不同的安全策略,如不同身份认证级别的用户可以访问不同的数据资源,制定好安全策略后,就可以由安全策略执行系统来控制用户能访问哪些资源了。当然,前提是用户能通过可信身份认证。
第三个重要的系统是数据加密服务系统,许多零信任安全方案并没有这块,我们认为这块非常重要,因为任何安全方案的最终目的是为了保护数据,零信任安全也是一样。数据加密服务系统由数字签名系统、加密系统和时间戳系统构成,为数据提供数字签名服务来证明数据的所有者身份、数据的生产者身份,为数据提供加密服务,数据只有是密文才会让数据失去被盗的价值,才会让安全防护系统更简单。还为数据提供时间戳服务,来证明数据生产时间,这对于需要事后审计和验证的应用场景非常重要。
简单来讲,密信零信任安全解决方案是基于PKI技术的身份认证和数据加密解决方案,类似于现实世界的实名乘坐飞机旅行,通过实名认证乘机人和航空公司资质认定来确保飞机旅行安全。而目前市场上的零信任解决方案,需要复杂的动态持续信任评估和对访问权限的动态调整,这是由于非实名认证不知道谁是坏人,只能靠福尔摩斯式的不断甄别,效率太低且容易判断失误。