7.4 數據流安全交換模式技術要求

7.4 數據流安全交換模式技術要求

7.4.1　數據流源認證

在流交換中，宜基于流簽名、流指紋等鑒別技術從不同方式主動認證流源頭信息，保證流源頭信息的真實性和不可否認性。
方式1：基于流簽名的數據流源認證要求應該包括以下幾個方面：
a) 采用流簽名算法應符合國家商用密碼管理規定，建議優先采用SM2算法。
b) 采用的流簽名算法應對數據流進行高效的簽名和驗證。具有高效性、實時性、所需計算資源少等特點。
c) 采用的流簽名算法應能夠容忍包丟失、包延時，實現對數據包實時驗證。
d) 采用的流簽名算法應支持流分片簽名功能，無需預先緩存整個流數據。
e) 采用的流簽名算法應支持在適應性選擇消息攻擊下是不可偽造的。
方式2：基于流指紋的數據流源頭可信性驗證要求應該包括以下幾個方面：
a) 應不受到通信系統異構性的影響，適應電子政務系統對時延敏感、多流交匯和資源有限的特點。應不依靠系統間的通信協議和流數據的內容獲取流身份等相關信息。應將系統作為“黑盒”處理，具有不受加密影響的特點。
b) 流指紋信息編碼與解碼應具有保密性、可信性和可用性。宜采用SM3等基于國產摘要算法實現流指紋信息機密性保護；宜采用綁定算法、引入隨機數等方式，防止流指紋信息的篡改，實現流指紋信息的可信性；宜采用門限方案、雙重或多重指紋的技術，保證流指紋信息在遭到一定程度的流變換后的可用性。
c) 流指紋嵌入與提取過程：應滿足魯棒性、隱蔽性和大容量。應通過選擇魯棒性強的載體，或者通過量化索引、直序擴頻等輔助技術，實現在一定程度上抵御流變換問題的能力；應選用容量大的載體，或通過組合載體提高載體容量，從而保證嵌入流身份信息的載體容量應該足夠大；流指紋信息應具有良好的隱蔽性。通過K-S實驗、EN測試和CCE測試等方法，對嵌入指紋前后的載體差異控制在閾值范圍內，以保證嵌入的信息應該對正常用戶是透明的、讓攻擊者很難辨別。
d) 流指紋算法應該具有高正確性。能從理論上證明指紋信息編碼解碼、調制解調算法的正確性，并且在實際條件下具有較高的正確率和低誤報率和漏報率。

7.4.2　數據流完整性驗證

在流交換中，應采用流摘要、流水印等技術，保證流的完整性，防止流夾帶與非授權篡改。數據流完整性檢測要求應該包括以下幾個方面：
a) 宜支持基于hash函數或流水印的數據流完整性驗證功能。
b) 宜能夠容忍網絡擁塞、網絡抖動等問題。
c) 宜能夠容忍流間變換問題，如流混雜、流分離和流合并等問題。
d) 宜能夠容忍流內變換問題，如虛假數據包添加、包丟失、包重組、包亂序等問題。
e) 宜能夠抵御惡意網絡攻擊，如多流攻擊、統計檢測攻擊等。
7.4.3　數據流內容檢測
數據流內容過濾要求應該包括以下幾個方面：
a) 宜支持XML流、數據流等多種不同類型的流檢測功能。
b) 宜支持基于協議的流檢測功能。如：IP協議、IPx協議、ICMP協議、HTTP協議等。