可信網絡的發展及其面對的技術挑戰

摘要：隨著信息網絡的基礎性、全局性作用日益增強，傳統的網絡理論與技術，尤其是網絡安全，已經不能滿足網絡發展的需要，提供系統的安全可信的服務已經成為網絡研究的新趨勢。本文認為可信網絡應該是網絡和用戶的行為及其結果總是可預期與可管理的。網絡可信主要包括服務提供者的可信、網絡信息傳輸的可信性和終端用戶的可信等3個方面的內容。從網絡與用戶行為的可信模型、可信網絡的體系結構、服務的可生存性、網絡的可管理性4個方面進行研究，以便為解決可信網絡面臨的科學問題提供思路。

關鍵詞：可信網絡；安全性；可生存性；可管理性

Abstract: While the information network’s basic and global effect is gradually becoming more and more significant， traditional network theories， especially the network security theory， are not good enough to support the network’s development. Supplying systematic and trustworthy services is the trend of the network study. In this paper， the trustworthy network is a kind of network whose behaviors and results can be predicted and managed by users. The trustworthy network has three components， namely， network service provider， network transmission and end user. The model， architecture， manageability and survival problem of the trustworthy network are discussed here to give guidance in solving scientific issues met in the research of trustworthy network.

Key words:trustworthy networks; security; survivability; manageability

隨著網絡技術和應用的飛速發展，互聯網日益呈現出復雜、異構等特點，當前的網絡體系已經暴露出嚴重的不足，網絡正面臨著嚴峻的安全和服務質量(QoS)保證等重大挑戰，保障網絡的可信成為網絡進一步發展的迫切需求。最初網絡應用的絕對自由主義理念和管理的無政府狀態，已不適應當前實際的網絡發展，需要建立網絡可信行為的新秩序。在網絡領域里，“高可信網絡”的創意來自中國， 旨在以高可信網絡滿足“高可信”質量水準的應用服務需要。如今，“高可信網絡”已被正式寫進中國國務院公布的《國家中長期科學和技術發展規劃綱要(2006—2020年)》(以下簡稱《綱要》)。《綱要》明確指出:“以發展高可信網絡為重點， 開發網絡信息安全技術及相關產品， 建立信息安全技術保障體系， 防范各種信息安全突發事件”。

1 可信計算的發展

可信計算只提供了計算機平臺的可信，不能提供網絡可信，需要進一步將可信擴展到整個網絡。1999 年，由康柏、惠普、IBM、Intel和微軟牽頭組織了可信計算平臺聯盟(TCPA)，致力于在計算平臺體系結構上增強其安全性。2001年1月，TCPA發布了標準規范；2003年改組為可信計算組織(TCG)，成員擴大到200家；2003年10月發布了TPM規范。2002年底IBM發布了帶有嵌入式安全子系統(ESS)的筆記本電腦，2003年9月，Intel推出了LaGrande技術。作為可信計算最積極的倡導者，微軟公司宣稱將其操作系統建立在“高可信計算”的基礎上。中國目前包括聯想在內也有8家企業加入了TCG。TCG進一步劃分成更詳細的研究組，包括體系組、無線移動組、PC客戶機組、服務器組、軟件堆棧組、存儲組、可信網絡連接組、可信平臺模塊組[1-3]等。

可信計算首先檢查用戶身份是否可信，如它是不是合法的一員、是不是認可的設備；再檢查用戶狀態，如它的防御措施是否到位、是不是有安全合格的防病毒軟件、終端防病毒軟件數據是否及時更新等。為了提高美國的信息安全和信息信任，美國國家自然科學基金在2006年支持信息空間信任的研究項目[4]，美國國家研究委員會也提出信息空間信任研究建議[5]。中國在上述領域也進行了多年的研究，一些公司已經開始在可信計算終端和網絡安全方面開展工作，但較多地處于跟蹤國外研究動態的階段。可信計算被列入“十一五”規劃，中國國家信息中心、北京工業大學等正在進行可信計算終端的研究。清華大學國家信息實驗室的網絡控制研究組先后在可控可信可擴展的新一代互聯網體系[6]、可信網絡[7-8]、網絡安全的隨機模型方法與評價技術[9]等相關方面進行了大量的前瞻性的研究。

2 可信網絡的含義

目前，網絡安全技術多、雜、零散，實現代價越來越大，對網絡性能的影響越來越大、越來越復雜，其臃腫的弊端逐漸顯示出來，業界需要新的理念和思路來解決網絡的安全與性能問題，可信網絡在這種背景下被提出。目前業界雖然對可信網絡有不同理解，有的認為是基于認證的可信、有的認為是基于現有安全技術的整合、有的認為是網絡的內容可信、有的認為是網絡本身的可信、有的認為是網絡上提供服務的可信等，然而對可信網絡的目的都又統一的認識：提高網絡和服務的安全性，使整個人類在信息社會中收益。可信網絡可以提高網絡的性能，簡化因不信任帶來的監控、防范等系統的開銷，提高系統的整體性能。同時，動態行為的信任可以提供比身份信任更細粒度的安全保障。

我們認為一個可信的網絡應該是網絡和用戶的行為及其結果總是可預期與可管理的，能夠做到行為狀態可監測、行為結果可評估、異常行為可管理。具體而言，網絡的可信性應該包括一組屬性，從用戶的角度需要保障服務的安全性和可生存性，從設計的角度則需要提供網絡的可管理性。不同于安全性、可生存性和可管理性在傳統意義上分散、孤立的概念內涵，可信網絡將在網絡可信的目標下融合這3個基本屬性，圍繞網絡組件間信任的維護和行為管理形成一個有機整體。

3 網絡可信技術研究的主要內容

網絡可信技術是在原有網絡安全技術的基礎上增加行為可信的安全新思想，強化對網絡狀態的動態處理，為實施智能自適應的網絡安全和服務質量控制提供策略基礎。網絡可信主要包括3個方面的內容：服務提供者的可信、網絡信息傳輸的可信和終端用戶的可信。

3.1 服務提供者的可信

服務提供者的可信包括兩個方面的內容：服務提供者的身份可信和行為可信。服務提供者身份可信是指服務提供者的身份可以被準確鑒定、不被他人冒充，即身份真實有效。服務提供者行為可信是指服務提供者的行為真實可靠、不帶有欺騙性，不會給用戶終端帶來安全危險。

傳統的安全機制提供授權和認證，解決了服務提供者的身份信任問題，但并不能處理服務提供者的行為信任問題。服務提供者的行為信任包括兩個方面，基本行為信任和高級行為信任。

基本行為信任是指服務提供者的行為真實可靠、不欺騙、不隨意中斷服務、按契約的規定提供服務等。如在學校的數字資源的使用方面，服務提供者按規定及時提供可靠的數字資源，提供的內容與規定的契約相符合、不虛假不欺騙、并隨時可用。

高級行為信任是指服務提供者在提供服務的過程中沒有破壞用戶安全的行為，包括不提供帶有惡意程序的內容、不將用戶的私有信息透漏給第三方、不為了商業利益對用戶進行其他破壞行為等。如在學校的數字資源的使用方面，服務提供者的內容不攜帶蠕蟲和木馬等可能影響用戶安全的惡意程序，不將用戶的私有信息如電子郵件等有意無意透漏給第三方、使用戶收不到垃圾郵件從而消除用戶安全隱患以及不提供不安全的超鏈接等。

3.2 網絡信息傳輸的可信

網絡信息傳輸的可信是指網絡各節點在傳輸信息的過程中忠實、不刪不改不夾帶，在傳輸信息時可以根據用戶的要求在指定的路徑上傳輸信息，其核心是保證信息在傳輸過程的保密性、完整性和可用性。網絡信息傳輸的可信一方面要防止第三方對網路傳輸信息的破壞，另一方面也要防止網絡本身可能給傳輸的信息帶來破壞。在制定的策略方面，一方面要在接收方和發送方從技術上保證傳輸信息的可信性，另一方面也要從法律制度、管理和技術等方面保證網絡信息不被網絡本身和第三方破壞的可信性。

3.3 終端用戶的可信

如果從可信網絡的服務器、網絡本身和網絡用戶3個組成信息系統層面上來看，現有的保護措施是逐層遞減的，這說明人們往往把過多的注意力放在對服務器和網絡的保護上，而忽略了對用戶端的保護，這顯然是不合理的。因為用戶端不僅能創建和存放重要的數據，也可能由于其脆弱性引發攻擊事件，例如數據泄密和蠕蟲病毒感染等。如果我們能從用戶端源頭開始控制不安全因素，使其符合安全的行為規范，就可以更加完善地保證整個網絡的安全。因此加強用戶端的可信是整個網絡可信的重要內容之一。

終端用戶可信又包括兩個方面的內容——終端用戶的身份可信和行為可信。終端用戶身份可信是指終端用戶的身份可以被準確鑒定、不被他人冒充，即終端用戶的身份真實有效。終端用戶的行為可信是指終端用戶的行為可評估、可預期、可管理，不會破壞網絡設備和數據。傳統的安全機制可以提供用戶的授權和認證，能解決用戶的身份信任問題，但并不能處理用戶的行為信任問題。例如在數字化電子資源的訂購方面，大學生可以通過可信的身份 (一般是學校的IP地址)登陸到學校定購的數字資源服務器上，但他的行為卻有可能是不可信的，如使用網絡下載工具大批量地下載學校購買的電子資源或者私設代理服務器牟取私利等。

4 可信網絡需要解決的科學問題

可信網絡的研究將面臨著4個重要的科學挑戰：第一，由于網絡攻擊、破壞行為的多樣性、隨機性、隱蔽性和傳播性，使用現有的網絡模型理論已經難以對其進行描述分析；第二，網絡尤其是互聯網絡的體系結構中，“邊緣論”和面向非連接的設計思想保障了高效的互通，但控制手段相對薄弱，難以解決現實網絡的安全問題；第三，網絡固有的脆弱性、人為的操作失誤和管理漏洞、以及網絡攻擊和破壞的存在，使得網絡在保障服務的可生存性方面面臨很大的挑戰；第四，復雜的網絡結構和高負荷網絡負載使網絡行為難以協調管理。

4.1 網絡與用戶行為的可信模型

相比傳統的網絡安全的概念，可信的內涵更深：安全是一種外在表現的斷言，可信則是經過行為過程分析得到的一種可度量的屬性。這是網絡安全研究領域近來取得的一個新共識。如何建立能夠有效分析刻畫網絡和用戶行為的可信模型是認識和研究可信網絡的關鍵問題。

建立網絡與用戶的可信模型的重要性主要體現在：它抽象而準確地描述了系統的可信需求而不涉及到其實現細節，便于通過數學模型的分析方法找到系統在安全上的漏洞。其次，可信模型是系統開發過程中的關鍵步驟，在美國國防部的“可信計算機系統的評價標準(TCSEC)”中，從B級開始就要求對安全模型進行形式化描述和驗證，以及形式化的隱通道分析等。再次，可信模型的形式化描述、驗證和利用能夠提高網絡系統安全的可信度。最后，建立包括網絡的脆弱性評估以及用戶攻擊行為描述等內容的可信評估理論，是實現系統可信監測、預測和干預的前提，是整個可信網絡研究的理論基礎。

由于不可能存在完全安全的網絡系統，所以網絡脆弱性評估的最終目的不是完全消除脆弱性，而是提供解決方案，幫助系統管理員在“提供服務”和“保證安全”之間找到平衡，是攻擊發生前的主動檢測。例如建立攻擊行為的描述機制，從大量正常用戶行為中區分出存在攻擊企圖的行為，在可信評估基礎上實施主機的接入控制。

傳統的基于規則的方法一般只用于局部檢測，對整體檢測有些力不從心。現有的脆弱性評估工具，絕大多數都是基于規則的，最多也只是能夠對單一的主機的多種服務進行簡單的相關檢查，對多臺主機構成的網絡進行有效評估還只能依靠人力。基于模型的方法為整個系統建立模型，通過模型可獲得系統所有可能的行為和狀態，利用模型分析工具測試，對系統整體的可信性進行評估。

圖1描述了可信性分析的元素。網絡行為的信任評估包括行為和身份的信任，而行為可信又建立在對防護能力、服務能力、信任推薦、行為記錄等內容信任的基礎之上。

4.2 可信網絡的體系結構

互聯網在設計之初對安全問題考慮不足，是產生當前網絡脆弱性的一個重要因素。然而目前的許多網絡安全設計很少觸及網絡體系的核心內容，大多是單一的防御、單一的信息安全和補丁附加的機制，遵從“堵漏洞、作高墻、防外攻”的建設樣式，以共享信息資源為中心在外圍對非法用戶和越權訪問進行封堵，以達到防止外部攻擊的目的。

在攻擊方式復合交織的趨勢下，當前安全系統變得越來越臃腫，嚴重地降低了網絡性能，甚至破壞了系統設計開放性、簡單性的原則。因此基于這些附加的、被動防御的安全機制上的網絡安全是不可信的，從體系結構設計的角度減少系統脆弱性并提供系統的安全服務尤為重要。盡管在開放式系統互連參考模型的擴展部分增加了有關安全體系結構的描述，但那只是概念性的框架，很不完善。

網絡安全已不再僅局限于信息的可用性、完整性和機密性，服務的安全將被作為一個整體屬性為用戶所感知的趨勢日益明顯，這就促使研究人員重新設計網絡體系，整合多種安全技術并使其在多個層面上相互協同運作。一方面，作為補丁而附加到網絡系統上的傳統安全機制，由于單個安全技術或者安全產品的功能和性能都有其局限性，只能滿足特定的安全需求，且安全系統自身在設計、實施和管理等各個環節上也不可避免地存在著脆弱性，嚴重威脅這些防御設施功效的發揮。如入侵檢測不能對抗蠕蟲病毒，防病毒軟件不能對抗拒絕服務攻擊，而防火墻對病毒攻擊和木馬攻擊也無能為力。另一方面，網絡安全研究的理念已經從被動防御轉向了積極防御，不再局限于在共享信息外圍部署安全防御，而需要從訪問源端的開始進行安全分析，盡可能地將不信任的訪問操作控制在源端。因此，十分需要為網絡提供可信的體系結構，避免出現類似傳統附加性安全機制的弊端。可信網絡體系結構研究必須充分認識到網絡的復雜異構性，從系統的角度保障安全服務的一致性。

新體系結構如圖2所示，監控信息(監測和分發)和業務數據的傳輸通過相同的物理鏈路，控制信息路徑和數據路徑相互獨立，這就使得監控信息路徑的管理不再依賴于數據平面對路徑的配置管理，從而可以建立高可靠的控制路徑。與此形成強烈對比的是，現有網絡的控制和管理信息的傳輸則必須依賴由路由協議事先成功設置的傳輸路徑。

4.3 服務的可生存性

可生存性在某種程度上可以理解為資源調度問題，即為同某個服務關聯的冗余資源設計合理的調度策略，借助實時監測機制，調控這些資源對服務請求做出響應。在網絡系統遭受攻擊和破壞時，應該通過可生存性設計，盡可能地減少關鍵服務的失效時間和失效頻度。可生存性是網絡研究的一個基本目標，需要為系統提供自測試、自診斷、自修復和自組織能力，維持關鍵服務的關鍵屬性，如完整性、機密性、性能等。由于網絡系統固有的脆弱性、人為的管理漏洞和操作失誤、以及客觀存在的攻擊和破壞行為，在網絡系統基礎性作用日益增強的今天，保障網絡關鍵服務的可生存性具有重要的現實意義。

幾乎所有的網絡系統都存在著可以造成攻擊的滲透變遷，亦即存在著脆弱性。通常這些脆弱性并不是系統設計者刻意留下的，而是由于一些意外的原因造成的，表現在設計、實現、運行管理的各個環節。網絡上的計算機總要提供某些服務才能夠與其他計算機相互通信，然而如此復雜的系統不可能沒有瑕疵。除了某些特定網絡服務程序編寫的錯誤，網絡系統的脆弱性還可能包括某個網絡節點的服務和軟件的不正確配置和部署，以及網絡協議本身的缺陷。協議定義了網絡上計算機會話和通信的規則，如果在協議設計時存在瑕疵，那么無論實現該協議的方法多么完美，它都存在漏洞。

安全服務作為網絡系統的關鍵服務，某種程度的失效就可能會造成整個系統遭受更大范圍的攻擊，導致更多服務的失效甚至是系統癱瘓。因此必須將這些關鍵服務的失效控制在用戶許可的范圍內。可生存性的研究必須在理論上深入剖析獨立于具體攻擊行為的可生存性的本質特征，通過容錯設計盡可能地隱藏脆弱性，避免出現錯誤的系統狀態變遷，通過容侵設計使脆弱性被攻擊者利用時，盡可能地減少攻擊所造成的影響，為服務的可恢復創造條件。

4.4網絡的可管理性

互聯網絡發展至今，已成為一個龐大復雜的非線性系統，具有規模大、用戶數量不斷增長、協議體系龐雜、業務種類繁多、異質網絡融合發展等特點。這遠遠超過了當初設計時的考慮，使得網絡越來越難于管理。網絡的可管理性是指在網絡環境受到內外干擾的情況下，不僅對網絡狀態還對用戶行為進行持續的監測、分析和決策，進而對設備、協議和機制的控制參數進行自適應優化配置，使網絡的數據傳輸、資源分配和用戶服務可以達到預期的程度。

當前網絡的體系結構和管理協議不支持可管理性設計，僅僅是在現有網絡體系結構的基礎上添加網絡管理功能，無法實現網絡的有效管理。可信網絡應該是一個充分可管理的網絡，網絡的可管理性對于網絡的其他本資屬性，如安全性、魯棒性、普適性等也具有重要的支撐作用。“網絡管理”主要是對網絡狀態進行持續監測、并優化配置網絡設備運行參數的過程，包含網絡掃描和優化決策兩個重要方面，如圖3所示。

對網絡可管理性的研究就是通過改進網絡體系中導致可管理性不足的設計原則，實現網絡的充分可管理性，從而實現網絡行為的可信，并進一步為解決一系列現實的網絡本質屬性問題如安全性、魯棒性、普適性、QoS保障等提供支撐，以及為網絡的進一步發展提供自適應的能力。

5 結束語

隨著互聯網在業務種類、用戶數量以及復雜度上的急劇膨脹，當前分散、孤立、單一防御、外在附加的網絡安全系統已經無法應對具有多樣、隨機、隱蔽和傳播等特點的攻擊和破壞行為，然而系統的脆弱性又不可避免，網絡正面臨著嚴峻的安全挑戰。可信網絡是當前網絡發展的重要研究方向，本文對可信網絡的概念、發展、以及需要解決的關鍵問題進行了分析和論述，為進一步研究的開展提供了方向。

6 參考文獻

[1] Trusted Computing Group[EB/OL]. https://www.trustedcomputinggroup.org/home， 2005.

[2] Trusted Computing Group[R]. IWG Reference Architecture for Interoperability: Part 1 Specification Version 1.0， Revision 0.86. 2005.

[3] Trusted Computing Group. IF-IMC Interface Specification， v.1.0[R].2005.

[4] Program Solicitation [EB/OL]. 2006-02-06. http://www.nsf.gov/pubs/2005/nsf05518/ nsf05518.htm.

[5] Cyber Trust [EB/OL]. http://www.nap.edu/catalog/6161.html，2006.

[6] 林闖，任豐原.可控可信可擴展的新一代互聯網[J]. 軟件學報，2004，15(12): 1815-1821.

[7] LIN Chuang， PENG Xuehai. Research on network architecture with trustworthiness and controllability[J]. Journal of Computer Science and Technology， 2006， 21(5): 732-739.

[8] 林闖， 彭雪海. 可信網絡研究[J]. 計算機學報， 2005， 28(5): 751-758.

[9] 林闖，汪洋，李泉林. 網絡安全的隨機模型方法與評價技術[J]. 計算機學報，2005， 28(12): 1943-1956.

收稿日期：2007-11-09

作者簡介

林闖，清華大學計算機科學與技術系教授、博士生導師。現任ACM理事，IFIP TC6 (Communication Systems) 中國代表，IEEE 高級會員，主要研究方向為計算機網絡，系統性能評價，安全分析，隨機Petri網。2發表論文290多篇，并已出版3本專著。

王元卓，清華大學助理研究員。北京科技大學博士畢業。現任中國計算機學會高級會員。主要研究方向為可信網絡、網格計算、網絡服務質量、安全性評價等，已發表學術論文20多篇。

田立勤，華北科技學院計算機系副教授，博士生、碩士生導師。現任計算機學會Petri網專業委員會委員。主要研究方向是計算機網絡、工作流模型和可信網絡等，已發表學術論文32篇。