北京 陸鐵軍 李原

隨著網(wǎng)絡(luò)攻擊日漸繁多，一些單位不得不將自己的網(wǎng)絡(luò)與互聯(lián)網(wǎng)實(shí)行物理隔離，但同時(shí)也隔斷了與外界聯(lián)系，使得工作效率大打折扣。本文將從系統(tǒng)的角度來分析網(wǎng)絡(luò)安全的一些問題，并提出一個(gè)適應(yīng)網(wǎng)絡(luò)安全的解決方案。

網(wǎng)絡(luò)在系統(tǒng)中的位置與工作流程

由于兩個(gè)信息系統(tǒng)之間可能存在多個(gè)路由器，并且路由器不在自己的管控范圍，所以進(jìn)入網(wǎng)絡(luò)的信息不受控，進(jìn)入網(wǎng)絡(luò)的信息也應(yīng)該被認(rèn)定為進(jìn)入了不安全區(qū)域。

在系統(tǒng)硬件結(jié)構(gòu)中，網(wǎng)絡(luò)接口通過電纜與外部網(wǎng)絡(luò)相連，而內(nèi)部與系統(tǒng)總線相連，在統(tǒng)一編址的體制中，網(wǎng)絡(luò)接口設(shè)備與內(nèi)存統(tǒng)一編址，以便主機(jī)系統(tǒng)對(duì)資源的統(tǒng)一管理。在系統(tǒng)軟件的結(jié)構(gòu)中，外圍設(shè)備是通過驅(qū)動(dòng)程序來驅(qū)動(dòng)的。

網(wǎng)絡(luò)的使用實(shí)際上是應(yīng)用程序調(diào)用系統(tǒng)接口函數(shù)，驅(qū)動(dòng)程序?qū)崿F(xiàn)通信協(xié)議并完成網(wǎng)絡(luò)通信。只要應(yīng)用程序提供了符合IP 標(biāo)準(zhǔn)的目的地址，驅(qū)動(dòng)程序就能將信息通過網(wǎng)絡(luò)發(fā)送出去。

網(wǎng)絡(luò)安全問題分析

網(wǎng)絡(luò)傳輸?shù)膱?bào)文可以分為兩類：一類是網(wǎng)絡(luò)報(bào)文，另一類是數(shù)據(jù)報(bào)文。網(wǎng)絡(luò)報(bào)文是網(wǎng)絡(luò)攻擊的主要源頭，數(shù)據(jù)報(bào)文是泄密的主要源頭，有些數(shù)據(jù)報(bào)文也具有攻擊性。網(wǎng)絡(luò)安全問題可以歸納為三種：泄密、病毒傳染和網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)泄密包括兩種情形：主機(jī)自行向外特定目的地址發(fā)送數(shù)據(jù)報(bào)文，并被第三方解讀；用戶向外發(fā)送了數(shù)據(jù)報(bào)文但由于重定向發(fā)送到了其它目的地，被第三方窺探截獲解讀。

網(wǎng)絡(luò)病毒傳染，即終端向本地網(wǎng)絡(luò)的終端發(fā)送屬于病毒的報(bào)文，終端接收?qǐng)?bào)文以后以可執(zhí)行文件或其它形式駐留在主機(jī)系統(tǒng)，終端主機(jī)由于病毒的緣故運(yùn)行效率降低或癱瘓。

泄密的主要原因又可歸納為：本地計(jì)算機(jī)與遠(yuǎn)程計(jì)算機(jī)的通信授權(quán)被竊??；網(wǎng)絡(luò)攻擊使其改變路徑；報(bào)文未加密或密文易于破解。

在計(jì)算機(jī)系統(tǒng)中，管理員權(quán)限是最大的，當(dāng)系統(tǒng)管理員退出或進(jìn)入用戶模式以后，操作系統(tǒng)的程序和以系統(tǒng)管理員身份運(yùn)行的程序擁有最高權(quán)限。對(duì)于由操作系統(tǒng)啟動(dòng)的非管理程序可能產(chǎn)生具有系統(tǒng)管理員權(quán)限的網(wǎng)絡(luò)通信病毒子程序，并且駐留在主機(jī)系統(tǒng)之中，唯一有效杜絕非法外傳的辦法是隔離。

合法發(fā)送的數(shù)據(jù)報(bào)文被截獲和解讀與網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)協(xié)議相關(guān)。當(dāng)網(wǎng)絡(luò)傳輸路徑由于路由器欺騙而重定向，這樣就會(huì)被截獲。當(dāng)前的網(wǎng)絡(luò)傳輸協(xié)議主要有IPv4和IPv6 兩個(gè)。IPv4 和IPv6都可以使用IPsec 協(xié)議，但用戶不一定都使用了IPsec協(xié)議。

另外，即便在有了IPsec之后網(wǎng)絡(luò)是否就安全了？答案是不一定。原因是支持IPsec 的密鑰安全這個(gè)前提是否滿足。

我們知道密鑰是保存在主機(jī)系統(tǒng)之中的，如果主機(jī)系統(tǒng)是安全的，則密鑰安全，如果主機(jī)系統(tǒng)被入侵，則密鑰就不能保證是安全的。在當(dāng)前不安全的系統(tǒng)環(huán)境下，密鑰與數(shù)據(jù)一樣可以被病毒程序獲取和傳輸，擁有管理員權(quán)限的任何人員和程序也可以輕易獲取密鑰，當(dāng)前系統(tǒng)環(huán)境很難保證密鑰的安全。

另外一個(gè)重要的安全問題是：如果一個(gè)安全設(shè)備被破解，是否導(dǎo)致整個(gè)安全體系被攻破。如果對(duì)整個(gè)安全體系有影響，則泄密的范圍不是單個(gè)用戶而是整個(gè)網(wǎng)絡(luò)設(shè)備，所有的安全設(shè)備必需全部更換。隨著技術(shù)的不斷發(fā)展,設(shè)備和芯片被破解并不是一件難事，所以，安全機(jī)制必須保證安全設(shè)備不可復(fù)制，同時(shí)，發(fā)現(xiàn)失控可以立即被禁用。

網(wǎng)絡(luò)病毒傳染也是與通信授權(quán)相關(guān)，所不同的是傳輸?shù)膶?duì)象不同。網(wǎng)絡(luò)病毒傳輸?shù)膶?duì)象是病毒代碼，病毒可能立即起作用，也可能是潛伏著以后再激活。網(wǎng)絡(luò)病毒傳染的速度非?？?，如果說泄密的危害是單個(gè)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)安全問題，而網(wǎng)絡(luò)病毒傳染的危害是所有被感染的計(jì)算機(jī)運(yùn)行安全問題。

如果說與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)安全問題可以通過物理隔離的辦法來解決，那么與網(wǎng)絡(luò)相關(guān)的運(yùn)行安全問題不能再繼續(xù)使用隔離的辦法了，再隔離就沒有局域網(wǎng)了，安全問題可能會(huì)更加嚴(yán)峻。

網(wǎng)絡(luò)攻擊之所以會(huì)存在是由于網(wǎng)絡(luò)協(xié)議提供的靈活性被惡意使用。在沒有身份識(shí)別的情況下，這些偽造的信息足以使得終端和路由器/交換機(jī)不知真?zhèn)?，偽造的結(jié)果是正常的報(bào)文路徑發(fā)生改變、不應(yīng)出現(xiàn)的網(wǎng)絡(luò)報(bào)文在網(wǎng)絡(luò)上劇增和聚集。對(duì)于正常的同步報(bào)文和分片報(bào)文等，如果沒有限制的大量使用也將使得有限的內(nèi)存無(wú)法滿足需求。

總結(jié)以上的問題可以歸納為：

網(wǎng)絡(luò)通信控制權(quán)限問題；網(wǎng)絡(luò)數(shù)據(jù)報(bào)文身份識(shí)別、加密和密鑰管理問題；報(bào)文處理能力問題；網(wǎng)絡(luò)協(xié)議靈活性、無(wú)限的控制范圍問題。

網(wǎng)絡(luò)安全芯片

面對(duì)當(dāng)前嚴(yán)峻的信息安全形勢(shì)，如果具有安全的CPU處理器和操作系統(tǒng)，則可以很好地處理系統(tǒng)的控制權(quán)限問題。但是，由于CPU 處理器和操作系統(tǒng)的復(fù)雜度越來越高，更新?lián)Q代越來越快，設(shè)計(jì)漏洞是不可避免的。

除了核心的CPU 處理器和操作系統(tǒng)以外，各種應(yīng)用軟件也是越來越多和越來越復(fù)雜，基于應(yīng)用的穩(wěn)定性需求和應(yīng)用軟件的特性，我們不可能完全拒絕這些軟件的安裝和運(yùn)行。

當(dāng)前針對(duì)網(wǎng)絡(luò)安全問題的主要解決方案是使用入侵檢測(cè)系統(tǒng)、防火墻和堡壘主機(jī)等。其特點(diǎn)是采用樂觀性模型的排除法，即沒有病毒特征的程序都可執(zhí)行，通用性較強(qiáng)；其缺點(diǎn)是不可能排除所有病毒，即新病毒從產(chǎn)生到確認(rèn)前這一時(shí)期，入侵檢測(cè)系統(tǒng)或防火墻或堡壘主機(jī)是不能發(fā)揮作用的。如果病毒隱藏得更深，則確認(rèn)時(shí)間就更長(zhǎng)，在這一段時(shí)期就可能發(fā)生任何事情。因此，網(wǎng)絡(luò)安全處理措施必須徹底放棄這種處理方法。

這里設(shè)置了網(wǎng)絡(luò)安全的設(shè)計(jì)目標(biāo)：

能夠攔截主機(jī)系統(tǒng)內(nèi)非法網(wǎng)絡(luò)發(fā)送，包括網(wǎng)絡(luò)攻擊報(bào)文的非法外傳；

可以抵御網(wǎng)絡(luò)旁路的暴力破解；

能夠發(fā)現(xiàn)鄰居欺騙、路由器欺騙、報(bào)文分片攻擊、同步攻擊等并自動(dòng)處理和報(bào)警；

能夠抵御網(wǎng)絡(luò)的暴力攻擊，并能夠接收合法網(wǎng)絡(luò)報(bào)文。

解決方案

將終端的通信控制權(quán)限從主機(jī)系統(tǒng)環(huán)境轉(zhuǎn)移出來完全由用戶獨(dú)立控制。方法是對(duì)與網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)接口芯片進(jìn)行增強(qiáng)，使增強(qiáng)的網(wǎng)絡(luò)接口芯片成為具有獨(dú)立性的網(wǎng)絡(luò)安全芯片，結(jié)構(gòu)如圖1所示。

圖1 安全網(wǎng)絡(luò)芯片結(jié)構(gòu)

該網(wǎng)絡(luò)安全芯片不僅具有獨(dú)立自主的控制能力，同時(shí)還具有實(shí)時(shí)管控主機(jī)系統(tǒng)與外部網(wǎng)絡(luò)連接的能力，以及收發(fā)雙方身份設(shè)置與確認(rèn)的接入機(jī)制。

通過目的地身份確認(rèn)，阻斷向外非法發(fā)送數(shù)據(jù)的通道，同時(shí)也阻斷發(fā)送欺騙和攻擊報(bào)文的通道。通過源地址身份識(shí)別，可快速處理外部的各種網(wǎng)絡(luò)攻擊和欺騙，同時(shí)面對(duì)網(wǎng)絡(luò)窺探報(bào)文實(shí)行靜默處理，以保護(hù)網(wǎng)絡(luò)上的各主機(jī)活動(dòng)狀態(tài)。

該網(wǎng)絡(luò)安全芯片集成有一個(gè)嵌入式CPU 處理器。嵌入式CPU 處理器專注于網(wǎng)絡(luò)報(bào)文的處理，特別是攻擊報(bào)文的處理，極大地釋放主機(jī)用于處理網(wǎng)絡(luò)事務(wù)的計(jì)算資源，確保在網(wǎng)絡(luò)攻擊時(shí)的主機(jī)系統(tǒng)正常運(yùn)行。

該芯片具有唯一的身份識(shí)別碼，擁有獨(dú)立的密鑰不可復(fù)制的管理機(jī)制和安全的動(dòng)態(tài)關(guān)聯(lián)信息，是身份認(rèn)證和加解密的有力保障；用戶層無(wú)需考慮身份認(rèn)證和加密解密，網(wǎng)絡(luò)安全芯片自動(dòng)添加身份信息并進(jìn)行身份認(rèn)證和接入控制，通過幀的動(dòng)態(tài)重構(gòu)與實(shí)時(shí)密鑰和一幀一密的密碼機(jī)制，提高報(bào)文的抗暴力破解強(qiáng)度。

面對(duì)外部的網(wǎng)絡(luò)攻擊，IPv6 協(xié)議和IPv4 的在網(wǎng)絡(luò)層通過身份認(rèn)證來快速處理外部攻擊報(bào)文。

而面對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊，首先在發(fā)送端進(jìn)行檢控，屬于攻擊性質(zhì)的網(wǎng)絡(luò)報(bào)文一律丟棄，屬于分片報(bào)文、同步報(bào)文等進(jìn)行檢查和限制，惡意的數(shù)據(jù)報(bào)文被丟棄，然后在接收端也進(jìn)行限制和檢查，以防止內(nèi)部產(chǎn)生的泛洪攻擊。

如果在接入層的交換機(jī)中設(shè)置非路由器端口與路由器端口控制，則可以進(jìn)一步簡(jiǎn)化路由器欺騙與攻擊的處理。

與傳統(tǒng)的查找病毒特征不同，它只選擇合法用戶進(jìn)行身份認(rèn)證，在認(rèn)證過程中，不采用固定序列碼的方式，而是采用動(dòng)態(tài)關(guān)聯(lián)信息進(jìn)行認(rèn)證，這樣不僅降低了計(jì)算量，使得在接口芯片上實(shí)現(xiàn)成為可能，而且使得身份認(rèn)證更加安全可靠。為了避免任何兩個(gè)主機(jī)之間都需要直接關(guān)聯(lián)的復(fù)雜環(huán)節(jié)，通過服務(wù)器第三方現(xiàn)場(chǎng)進(jìn)行關(guān)聯(lián)，既可解決最初的身份認(rèn)證問題，也用于對(duì)所有終端節(jié)點(diǎn)的控制。

在加解密算法方面，數(shù)據(jù)傳輸采用對(duì)稱加密算法，有三個(gè)措施：一幀一密；密鑰隨機(jī)產(chǎn)生；對(duì)密文進(jìn)行動(dòng)態(tài)重構(gòu)。

通過端對(duì)端的通信采摘和關(guān)聯(lián)特性的使用，可使得身份認(rèn)證與密鑰協(xié)商更加安全可靠，同時(shí)再結(jié)合一幀一密和動(dòng)態(tài)重構(gòu)使得解密的計(jì)算復(fù)雜度更高和密文也具有隨機(jī)性，在暴利破解面前更健壯。

結(jié)語(yǔ)

面對(duì)網(wǎng)絡(luò)安全日益緊迫的嚴(yán)峻形勢(shì)，通過對(duì)網(wǎng)絡(luò)設(shè)備的使用分析，獲得如下結(jié)果：

1.目前的網(wǎng)絡(luò)設(shè)備是主機(jī)系統(tǒng)的一個(gè)外圍設(shè)備，沒有獨(dú)立的網(wǎng)絡(luò)管理功能。

2.任何獲取了系統(tǒng)管理員權(quán)限的程序，都可以進(jìn)行網(wǎng)絡(luò)操作。

3.主機(jī)系統(tǒng)與應(yīng)用越來越復(fù)雜，主機(jī)安全可控性難度越來越大。

4.網(wǎng)絡(luò)安全問題如果放在主機(jī)上進(jìn)行處理，主機(jī)或主機(jī)管理員存在安全隱患，網(wǎng)絡(luò)安全不能得到保證。

本文提出了一個(gè)獨(dú)立于主機(jī)的動(dòng)態(tài)重構(gòu)解決方案：

將網(wǎng)絡(luò)安全管理獨(dú)立于主機(jī)系統(tǒng)，不僅可以解決主機(jī)被控制的非法對(duì)外傳送，還可以解決系統(tǒng)管理員的未經(jīng)授權(quán)的對(duì)外數(shù)據(jù)信息傳送；

利用微電子技術(shù)，將普通的網(wǎng)絡(luò)接口芯片提升為網(wǎng)絡(luò)安全芯片，不僅釋放了主機(jī)系統(tǒng)面對(duì)網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)處理能力，同時(shí)集成了密鑰的管理功能，使得網(wǎng)絡(luò)協(xié)議的實(shí)現(xiàn)更加完善；

由于網(wǎng)絡(luò)安全接口功能嵌入到現(xiàn)有的網(wǎng)絡(luò)接口芯片之中，不影響其封裝尺寸和引腳，也不影響現(xiàn)有的計(jì)算機(jī)系統(tǒng)裝配和調(diào)試，有利于網(wǎng)絡(luò)安全需求的快速實(shí)施。

本方案已通過單片機(jī)原型機(jī)系統(tǒng)在IPv4 上進(jìn)行了驗(yàn)證。