可信網絡的研究

金　鑫

摘 要：可信網絡正成為當前學術界的熱點研究領域。闡述了可信網絡產生的背景及其基本概念，指出了可信網絡研究中需要解決的幾個基本問題，并對可信網絡的研究進行了展望。

關鍵詞：可信網絡；可信性；可控性；可生存性

1 引言

基于因特網架構的計算機網絡越來越深刻地影響著世界的各個方面，包括政治、經濟和軍事。但是由于因特網自身架構的充分開放性，網絡追蹤、取證、定位攻擊源困難，致使網絡的安全性問題，諸如病毒、蠕蟲、木馬、漏洞、拒絕服務等攻擊、入侵、截獲、竊取、IP 欺騙、DNS 欺騙、虛假身份和有害信息等層出不窮，嚴重威脅著網絡的安全、穩定運行和可持續發展，導致了人們對網絡的不信任。因此，構建一個安全可信的、可管控的網絡正在成為人們關注的焦點。

傳統的信息安全解決方案，包括病毒查殺、安全掃描、補丁升級、入侵檢測、防火墻、訪問控制、虛擬專網、身份認證、內容過濾等安全防護技術手段，大都獨立工作于網絡平臺之上，其防護原理為打補丁、堵漏洞、筑高墻、防外攻等，是以基于學習的、不斷升級或彌補的模式來被動的響應。在嚴峻的安全性形勢下，漏洞庫、補丁庫、病毒庫、防火墻規則、路由器訪問控制列表和入侵檢測特征庫日益龐大，安全解決方案也日益復雜，已經逐漸難以應付迅速增長的安全威脅和攻擊，更不能從根本上徹底地解決網絡的安全可信問題。

可信網絡是針對這種情況而提出的一種解決方案，它是從體系結構和基礎協議入手進行徹底創新，旨在通過提供一致的安全服務體系結構來為網絡提供安全性保障。

2 可信網絡的基本內涵

可信網絡是近年來一些學者提出的新概念。由于對可信網絡的探索才剛剛開始，目前對可信網絡的基本概念尚無權威定義。有的學者認為：可信網絡應該是網絡系統的行為及其結果是可以預期的，能夠做到行為狀態可監控，行為結果可評估，異常行為可控制；ISO/IEC15408 標準中指出，一個可信的組件、操作或過程在任意操作條件下是可預測的，并能很好地抵抗應用程序軟件、病毒以及一定物理干擾所造成的破壞；比爾.蓋茨認為，可信計算是一種可以隨時獲得的可靠安全的計算，使人類信任計算機的程度，就像使用電力系統、電話那樣自由、安全；中國信息安全產業分會提出的可信網絡平臺(TNP)指出，網絡中的行為與行為結果總是預期和可控的，那么網絡是可信的。

本文認為，可信網絡是網絡系統的行為及其結果是可預期的，并具有可信性、可控性和可生存性。可信性是可信網絡可被信賴的特性，具有可靠性、可用性、保密性、完整性和不可抵賴性。可靠性是指網絡系統硬件和軟件無故障運行的性能，是網絡系統安全的最基本要求；可用性是指網絡信息可被授權用戶訪問的特性，即網絡信息服務在需要時，能夠保證授權用戶隨時使用；保密性是指網絡信息不被泄露的特性，保密性可以保證信息即使泄露，非授權用戶在有限的時間內也不能識別真正的信息內容；完整性是指網絡信息未經授權不能進行改變的特性，即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保持信息的原樣；不可抵賴性，主要用于網絡信息的交換過程，保證信息交換的參與者都不可能否認或抵賴曾進行的操作，類似于在發文或收文過程中的簽名和簽收的過程。可控性，是指充分可控性，即通過在網絡中間節點上維護一定的狀態信息，來對網絡資源和用戶行為進行必要的約束和控制。可信網絡系統的行為及結果可以預期，能夠做到行為狀態可監測，行為結果可評估，異常行為可控制。可生存性是可信網絡的自生存能力，是網絡系統能夠自測試、自診斷、自修復和自組織的能力，在服務失效時仍能按照需求及時完成任務或者重新配置基本服務的能力。

3 可信網絡研究中需要解決的基本問題

3.1 如何建立可信網絡的體系結構

目前的許多網絡安全設計很少觸及體系結構的核心內容，大多是單一的防御、單一的信息安全和打補丁附加的機制，以共享信息資源為中心在外圍對非法用戶和越權訪問進行封堵，以達到防止外部攻擊的目的。在攻擊方式出現復合交織的趨勢下，當前的安全系統將變得越來越臃腫，嚴重地降低了網絡性能，甚至破壞了系統設計開放性、簡單性的原則。并且，安全系統自身在設計、實施和管理各個環節上也不可避免地存在著脆弱性，嚴重影響了其功效的發揮。因此基于這些附加的、被動防御的安全機制上的網絡安全是不可信的。另一方面，網絡安全研究的理念已經從被動防御轉向了積極防御，需要從訪問源端就開始進行安全分析，盡可能地將不信任的訪問操作控制在源端。因此，可信網絡的研究必須重新審視互聯網的體系結構設計，減少系統脆弱性并提供系統的安全服務。

3.2 如何實現網絡的可控性

互聯網絡發展至今，已成為一個龐大的非線性復雜系統，如系統規模和用戶數量巨大且不斷增長，協議體系龐雜，業務種類繁多，異質網絡融合發展等等。這遠遠超過了當初設計的考慮，現有的一些控制手段相對顯得很薄弱，產生了許多的安全隱患。“邊緣論”和面向非連接的設計思想保障了網絡的高效互通，逐跳存儲轉發的分組傳送方式簡單靈活，無需在中間節點維護過多的狀態信息，核心網絡的工作集中于路由轉發。這些機制的優點是設計簡單，可擴展性強等，然而卻造成了分組傳輸路徑的不可控，網絡中間節點對傳輸數據包的來源不驗證、不審計，導致地址假冒、垃圾信息泛濫，大量的入侵和攻擊行為無法跟蹤。如何解決網絡的低可控性與安全可信需求之間的矛盾，建立內在的、關聯的網絡可控模型，在理論和技術上仍是當前學術界的一個難題。

3.3 如何保障服務的可生存性

可生存性是網絡研究的一個基本目標，指對網絡系統基本服務可用性的保障。可生存性設計需要使系統能夠自測試、自診斷、自修復和自組織，從而維持關鍵服務的關鍵屬性，如完整性、機密性等。安全服務作為網絡系統的關鍵服務，某種程度的失效就可能會造成整個系統遭受更大范圍的攻擊，導致更多服務的失效甚至是系統癱瘓。由于網絡系統固有的脆弱性，人為的管理漏洞和操作失誤，完全安全的網絡系統是不可能存在的。因此，如何在這樣一個條件下，盡可能地減少包括安全服務在內的關鍵服務的失效時間和失效頻度，并允許網絡服務的降級使用，是可信網絡研究的一個關鍵問題。

4 可信網絡研究展望

隨著互聯網在業務種類、用戶數量以及復雜度上的急劇膨脹，當前分散、孤立、單一防御、外在附加的網絡安全系統已經無法應對具有多樣、隨機、隱蔽和傳播等特點的攻擊和破壞行為，網絡正面臨著嚴峻的安全挑戰，網絡系統的可信性問題成為當前人們對網絡安全日益重視的問題，可信網絡也正成為當前學術界的熱點研究領域，國內外學者都在積極探索新的研究思路。在可信終端的研究方面，為了解決信息終端結構上的不安全，從根本上提高其可信性，國際上正在推動可信計算技術。1999 年，由康柏、惠普、IBM、Intel 和微軟共同組織了了可信計算聯盟(TCPA)致力于在計算平臺體系結構上增強其安全性，為高可信計算制定開放的標準。2003 年 TCPA 改組為可信計算集團(TCPG)，并發布了可信平臺模塊(TPM)規范。在國內，林闖等人對可信網絡、可信性、可控性和可生存性進行了深入的研究，并將隨機模型方法引入到可信網絡的研究之中，對可信網絡的體系結構進行了描述、對可信網絡中網絡與用戶行為的可信模型進行了分析、并對可信網絡中網絡的可控性和服務的可生存性進行了論證。所有這些，對今后可信網絡的研究打下了堅實的基礎，并為今后的進一步研究指明了方向。