金　鑫

摘 要：可信網(wǎng)絡(luò)正成為當(dāng)前學(xué)術(shù)界的熱點(diǎn)研究領(lǐng)域。闡述了可信網(wǎng)絡(luò)產(chǎn)生的背景及其基本概念，指出了可信網(wǎng)絡(luò)研究中需要解決的幾個(gè)基本問題，并對(duì)可信網(wǎng)絡(luò)的研究進(jìn)行了展望。

關(guān)鍵詞：可信網(wǎng)絡(luò)；可信性；可控性；可生存性

1 引言

基于因特網(wǎng)架構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)越來越深刻地影響著世界的各個(gè)方面，包括政治、經(jīng)濟(jì)和軍事。但是由于因特網(wǎng)自身架構(gòu)的充分開放性，網(wǎng)絡(luò)追蹤、取證、定位攻擊源困難，致使網(wǎng)絡(luò)的安全性問題，諸如病毒、蠕蟲、木馬、漏洞、拒絕服務(wù)等攻擊、入侵、截獲、竊取、IP 欺騙、DNS 欺騙、虛假身份和有害信息等層出不窮，嚴(yán)重威脅著網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行和可持續(xù)發(fā)展，導(dǎo)致了人們對(duì)網(wǎng)絡(luò)的不信任。因此，構(gòu)建一個(gè)安全可信的、可管控的網(wǎng)絡(luò)正在成為人們關(guān)注的焦點(diǎn)。

傳統(tǒng)的信息安全解決方案，包括病毒查殺、安全掃描、補(bǔ)丁升級(jí)、入侵檢測、防火墻、訪問控制、虛擬專網(wǎng)、身份認(rèn)證、內(nèi)容過濾等安全防護(hù)技術(shù)手段，大都獨(dú)立工作于網(wǎng)絡(luò)平臺(tái)之上，其防護(hù)原理為打補(bǔ)丁、堵漏洞、筑高墻、防外攻等，是以基于學(xué)習(xí)的、不斷升級(jí)或彌補(bǔ)的模式來被動(dòng)的響應(yīng)。在嚴(yán)峻的安全性形勢(shì)下，漏洞庫、補(bǔ)丁庫、病毒庫、防火墻規(guī)則、路由器訪問控制列表和入侵檢測特征庫日益龐大，安全解決方案也日益復(fù)雜，已經(jīng)逐漸難以應(yīng)付迅速增長的安全威脅和攻擊，更不能從根本上徹底地解決網(wǎng)絡(luò)的安全可信問題。

可信網(wǎng)絡(luò)是針對(duì)這種情況而提出的一種解決方案，它是從體系結(jié)構(gòu)和基礎(chǔ)協(xié)議入手進(jìn)行徹底創(chuàng)新，旨在通過提供一致的安全服務(wù)體系結(jié)構(gòu)來為網(wǎng)絡(luò)提供安全性保障。

2 可信網(wǎng)絡(luò)的基本內(nèi)涵

可信網(wǎng)絡(luò)是近年來一些學(xué)者提出的新概念。由于對(duì)可信網(wǎng)絡(luò)的探索才剛剛開始，目前對(duì)可信網(wǎng)絡(luò)的基本概念尚無權(quán)威定義。有的學(xué)者認(rèn)為：可信網(wǎng)絡(luò)應(yīng)該是網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可以預(yù)期的，能夠做到行為狀態(tài)可監(jiān)控，行為結(jié)果可評(píng)估，異常行為可控制；ISO/IEC15408 標(biāo)準(zhǔn)中指出，一個(gè)可信的組件、操作或過程在任意操作條件下是可預(yù)測的，并能很好地抵抗應(yīng)用程序軟件、病毒以及一定物理干擾所造成的破壞；比爾.蓋茨認(rèn)為，可信計(jì)算是一種可以隨時(shí)獲得的可靠安全的計(jì)算，使人類信任計(jì)算機(jī)的程度，就像使用電力系統(tǒng)、電話那樣自由、安全；中國信息安全產(chǎn)業(yè)分會(huì)提出的可信網(wǎng)絡(luò)平臺(tái)(TNP)指出，網(wǎng)絡(luò)中的行為與行為結(jié)果總是預(yù)期和可控的，那么網(wǎng)絡(luò)是可信的。

本文認(rèn)為，可信網(wǎng)絡(luò)是網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可預(yù)期的，并具有可信性、可控性和可生存性?？尚判允强尚啪W(wǎng)絡(luò)可被信賴的特性，具有可靠性、可用性、保密性、完整性和不可抵賴性?？煽啃允侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運(yùn)行的性能，是網(wǎng)絡(luò)系統(tǒng)安全的最基本要求；可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，能夠保證授權(quán)用戶隨時(shí)使用；保密性是指網(wǎng)絡(luò)信息不被泄露的特性，保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時(shí)間內(nèi)也不能識(shí)別真正的信息內(nèi)容；完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保持信息的原樣；不可抵賴性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程?？煽匦?，是指充分可控性，即通過在網(wǎng)絡(luò)中間節(jié)點(diǎn)上維護(hù)一定的狀態(tài)信息，來對(duì)網(wǎng)絡(luò)資源和用戶行為進(jìn)行必要的約束和控制。可信網(wǎng)絡(luò)系統(tǒng)的行為及結(jié)果可以預(yù)期，能夠做到行為狀態(tài)可監(jiān)測，行為結(jié)果可評(píng)估，異常行為可控制?？缮嫘允强尚啪W(wǎng)絡(luò)的自生存能力，是網(wǎng)絡(luò)系統(tǒng)能夠自測試、自診斷、自修復(fù)和自組織的能力，在服務(wù)失效時(shí)仍能按照需求及時(shí)完成任務(wù)或者重新配置基本服務(wù)的能力。

3 可信網(wǎng)絡(luò)研究中需要解決的基本問題

3.1 如何建立可信網(wǎng)絡(luò)的體系結(jié)構(gòu)

目前的許多網(wǎng)絡(luò)安全設(shè)計(jì)很少觸及體系結(jié)構(gòu)的核心內(nèi)容，大多是單一的防御、單一的信息安全和打補(bǔ)丁附加的機(jī)制，以共享信息資源為中心在外圍對(duì)非法用戶和越權(quán)訪問進(jìn)行封堵，以達(dá)到防止外部攻擊的目的。在攻擊方式出現(xiàn)復(fù)合交織的趨勢(shì)下，當(dāng)前的安全系統(tǒng)將變得越來越臃腫，嚴(yán)重地降低了網(wǎng)絡(luò)性能，甚至破壞了系統(tǒng)設(shè)計(jì)開放性、簡單性的原則。并且，安全系統(tǒng)自身在設(shè)計(jì)、實(shí)施和管理各個(gè)環(huán)節(jié)上也不可避免地存在著脆弱性，嚴(yán)重影響了其功效的發(fā)揮。因此基于這些附加的、被動(dòng)防御的安全機(jī)制上的網(wǎng)絡(luò)安全是不可信的。另一方面，網(wǎng)絡(luò)安全研究的理念已經(jīng)從被動(dòng)防御轉(zhuǎn)向了積極防御，需要從訪問源端就開始進(jìn)行安全分析，盡可能地將不信任的訪問操作控制在源端。因此，可信網(wǎng)絡(luò)的研究必須重新審視互聯(lián)網(wǎng)的體系結(jié)構(gòu)設(shè)計(jì)，減少系統(tǒng)脆弱性并提供系統(tǒng)的安全服務(wù)。

3.2 如何實(shí)現(xiàn)網(wǎng)絡(luò)的可控性

互聯(lián)網(wǎng)絡(luò)發(fā)展至今，已成為一個(gè)龐大的非線性復(fù)雜系統(tǒng)，如系統(tǒng)規(guī)模和用戶數(shù)量巨大且不斷增長，協(xié)議體系龐雜，業(yè)務(wù)種類繁多，異質(zhì)網(wǎng)絡(luò)融合發(fā)展等等。這遠(yuǎn)遠(yuǎn)超過了當(dāng)初設(shè)計(jì)的考慮，現(xiàn)有的一些控制手段相對(duì)顯得很薄弱，產(chǎn)生了許多的安全隱患?！斑吘壵摗焙兔嫦蚍沁B接的設(shè)計(jì)思想保障了網(wǎng)絡(luò)的高效互通，逐跳存儲(chǔ)轉(zhuǎn)發(fā)的分組傳送方式簡單靈活，無需在中間節(jié)點(diǎn)維護(hù)過多的狀態(tài)信息，核心網(wǎng)絡(luò)的工作集中于路由轉(zhuǎn)發(fā)。這些機(jī)制的優(yōu)點(diǎn)是設(shè)計(jì)簡單，可擴(kuò)展性強(qiáng)等，然而卻造成了分組傳輸路徑的不可控，網(wǎng)絡(luò)中間節(jié)點(diǎn)對(duì)傳輸數(shù)據(jù)包的來源不驗(yàn)證、不審計(jì)，導(dǎo)致地址假冒、垃圾信息泛濫，大量的入侵和攻擊行為無法跟蹤。如何解決網(wǎng)絡(luò)的低可控性與安全可信需求之間的矛盾，建立內(nèi)在的、關(guān)聯(lián)的網(wǎng)絡(luò)可控模型，在理論和技術(shù)上仍是當(dāng)前學(xué)術(shù)界的一個(gè)難題。

3.3 如何保障服務(wù)的可生存性

可生存性是網(wǎng)絡(luò)研究的一個(gè)基本目標(biāo)，指對(duì)網(wǎng)絡(luò)系統(tǒng)基本服務(wù)可用性的保障。可生存性設(shè)計(jì)需要使系統(tǒng)能夠自測試、自診斷、自修復(fù)和自組織，從而維持關(guān)鍵服務(wù)的關(guān)鍵屬性，如完整性、機(jī)密性等。安全服務(wù)作為網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵服務(wù)，某種程度的失效就可能會(huì)造成整個(gè)系統(tǒng)遭受更大范圍的攻擊，導(dǎo)致更多服務(wù)的失效甚至是系統(tǒng)癱瘓。由于網(wǎng)絡(luò)系統(tǒng)固有的脆弱性，人為的管理漏洞和操作失誤，完全安全的網(wǎng)絡(luò)系統(tǒng)是不可能存在的。因此，如何在這樣一個(gè)條件下，盡可能地減少包括安全服務(wù)在內(nèi)的關(guān)鍵服務(wù)的失效時(shí)間和失效頻度，并允許網(wǎng)絡(luò)服務(wù)的降級(jí)使用，是可信網(wǎng)絡(luò)研究的一個(gè)關(guān)鍵問題。

4 可信網(wǎng)絡(luò)研究展望

隨著互聯(lián)網(wǎng)在業(yè)務(wù)種類、用戶數(shù)量以及復(fù)雜度上的急劇膨脹，當(dāng)前分散、孤立、單一防御、外在附加的網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)無法應(yīng)對(duì)具有多樣、隨機(jī)、隱蔽和傳播等特點(diǎn)的攻擊和破壞行為，網(wǎng)絡(luò)正面臨著嚴(yán)峻的安全挑戰(zhàn)，網(wǎng)絡(luò)系統(tǒng)的可信性問題成為當(dāng)前人們對(duì)網(wǎng)絡(luò)安全日益重視的問題，可信網(wǎng)絡(luò)也正成為當(dāng)前學(xué)術(shù)界的熱點(diǎn)研究領(lǐng)域，國內(nèi)外學(xué)者都在積極探索新的研究思路。在可信終端的研究方面，為了解決信息終端結(jié)構(gòu)上的不安全，從根本上提高其可信性，國際上正在推動(dòng)可信計(jì)算技術(shù)。1999 年，由康柏、惠普、IBM、Intel 和微軟共同組織了了可信計(jì)算聯(lián)盟(TCPA)致力于在計(jì)算平臺(tái)體系結(jié)構(gòu)上增強(qiáng)其安全性，為高可信計(jì)算制定開放的標(biāo)準(zhǔn)。2003 年 TCPA 改組為可信計(jì)算集團(tuán)(TCPG)，并發(fā)布了可信平臺(tái)模塊(TPM)規(guī)范。在國內(nèi)，林闖等人對(duì)可信網(wǎng)絡(luò)、可信性、可控性和可生存性進(jìn)行了深入的研究，并將隨機(jī)模型方法引入到可信網(wǎng)絡(luò)的研究之中，對(duì)可信網(wǎng)絡(luò)的體系結(jié)構(gòu)進(jìn)行了描述、對(duì)可信網(wǎng)絡(luò)中網(wǎng)絡(luò)與用戶行為的可信模型進(jìn)行了分析、并對(duì)可信網(wǎng)絡(luò)中網(wǎng)絡(luò)的可控性和服務(wù)的可生存性進(jìn)行了論證。所有這些，對(duì)今后可信網(wǎng)絡(luò)的研究打下了堅(jiān)實(shí)的基礎(chǔ)，并為今后的進(jìn)一步研究指明了方向。