網(wǎng)絡(luò)安全技術(shù)的新趨勢(shì)探討

荊繼武，龍春，李暢

1.中國(guó)科學(xué)院大學(xué)，計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，北京 100049

2.中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心，北京 100190

引 言

在數(shù)字網(wǎng)絡(luò)逐步成為控制世界的大腦，成為物理世界靈魂的時(shí)代，數(shù)字網(wǎng)絡(luò)世界的安全就變得尤為重要。數(shù)字網(wǎng)絡(luò)世界的特點(diǎn)和發(fā)展確定了與之相適應(yīng)的安全技術(shù)發(fā)展方向。探討安全技術(shù)的走向，就一定得理解數(shù)字網(wǎng)絡(luò)世界發(fā)展的脈絡(luò)，看清數(shù)字網(wǎng)絡(luò)世界的新時(shí)代特點(diǎn)。本文將從對(duì)數(shù)字網(wǎng)絡(luò)世界的理解開始，探討信息系統(tǒng)和安全系統(tǒng)面臨的威脅，從而引出未來網(wǎng)絡(luò)安全技術(shù)的方向。

1 數(shù)字網(wǎng)絡(luò)世界的發(fā)展

我們進(jìn)入了一個(gè)正在起步的新數(shù)字網(wǎng)絡(luò)化時(shí)代。掃地機(jī)器人、智能聯(lián)網(wǎng)家具、智能門鎖以及家用互聯(lián)網(wǎng)攝像頭等一系列信息化聯(lián)網(wǎng)的生活產(chǎn)品正快速普及。電子手表、智能終端等開始成為日常的隨身配置。生活、工作、商業(yè)、科研等業(yè)務(wù)都在向數(shù)字網(wǎng)絡(luò)快速轉(zhuǎn)移。我們正在經(jīng)歷一個(gè)嶄新的全球數(shù)字化發(fā)展新時(shí)代。信息化的快速發(fā)展不僅是全世界發(fā)展的機(jī)遇，也“為中華民族帶來了千載難逢的機(jī)遇”[1]。

1.1 互聯(lián)網(wǎng)與現(xiàn)實(shí)世界融合的時(shí)代

我們已經(jīng)進(jìn)入了網(wǎng)絡(luò)空間命運(yùn)共同體的時(shí)代[2]。在這樣的時(shí)代，多網(wǎng)融合已經(jīng)屢見不鮮。多種終端，包括手機(jī)、智能家居、智能汽車、監(jiān)控?cái)z像頭和移動(dòng)傳感器等，以及各種業(yè)務(wù)，包括金融、購(gòu)物、科研、社交和政務(wù)等全部接入了互聯(lián)網(wǎng)絡(luò)。整個(gè)世界與互聯(lián)網(wǎng)絡(luò)已經(jīng)緊密結(jié)合在一起，構(gòu)成了新的人類命運(yùn)共同體。獨(dú)立的隔離網(wǎng)絡(luò)要么正逐步離開人們的視野，成為過去網(wǎng)絡(luò)發(fā)展的歷史，要么通過各種途徑逐步融入到這一巨大的互聯(lián)互通網(wǎng)絡(luò)世界中。世界上所有的人都能在網(wǎng)絡(luò)上生活、學(xué)習(xí)、工作、游戲，包括恐怖份子；各種系統(tǒng)都在網(wǎng)絡(luò)上運(yùn)轉(zhuǎn)，包括黑客的系統(tǒng)；各種代碼都在網(wǎng)絡(luò)上運(yùn)行，包括病毒；各種數(shù)據(jù)都在網(wǎng)絡(luò)上傳輸，包括暴力和色情數(shù)據(jù)。網(wǎng)絡(luò)命運(yùn)共同體不僅僅意味著共享，更意味著共同維護(hù)，也意味著永遠(yuǎn)無法絕對(duì)安全。安全是相對(duì)的不是絕對(duì)的。

在網(wǎng)絡(luò)空間命運(yùn)共同體的時(shí)代，網(wǎng)絡(luò)互聯(lián)的方法和維度逐步增加，使得某些不希望聯(lián)網(wǎng)的設(shè)備也無法逃脫多種方式的網(wǎng)絡(luò)連接。在不聯(lián)網(wǎng)的區(qū)域，一個(gè)手機(jī)通過4G、借助WIFI或藍(lán)牙就能夠讓不該聯(lián)網(wǎng)的設(shè)備聯(lián)入互聯(lián)網(wǎng)絡(luò)；連結(jié)屏幕的電纜、外設(shè)的線路，使這些原本不是作為天線來使用的材料，也可以并且有能力將本該隔離的信息發(fā)送到外網(wǎng)；電力的消耗、運(yùn)行的時(shí)間信息等，側(cè)信道也可以將不該泄露的信息泄露出去；隨身攜帶的U盤、光盤或者手表，都可能成為突破物理隔離的傳輸介質(zhì)。依靠物理隔離達(dá)到網(wǎng)絡(luò)隔離的目標(biāo)變得越來越難以保證，并逐漸成為一種不可能完成的任務(wù)。

在這樣的時(shí)代，如果缺乏安全的網(wǎng)絡(luò)基礎(chǔ)，構(gòu)建應(yīng)用系統(tǒng)的安全體系就只能在不安全的基礎(chǔ)上沙灘建樓。同時(shí)，因?yàn)橄到y(tǒng)漏洞不可避免，外部威脅不可避免，也意味著即使花再大力氣在網(wǎng)絡(luò)安全防護(hù)工作上也不一定能確保安全，可能收效甚微。

1.2 數(shù)字世界工業(yè)革命開始的時(shí)代

隨著多維通信技術(shù)發(fā)展，網(wǎng)絡(luò)無處不在已是現(xiàn)實(shí)。以寬帶網(wǎng)絡(luò)互聯(lián)為第一基本特征的云計(jì)算[3]的興起，預(yù)示著數(shù)字世界規(guī)模化、專業(yè)化革命的開始，也就是數(shù)字世界工業(yè)革命的開始。在這樣的時(shí)代，個(gè)人購(gòu)買網(wǎng)絡(luò)云存儲(chǔ)比自己購(gòu)買硬盤更加有效；企業(yè)不再安裝WEB服務(wù)器或郵件服務(wù)器，而是租用云上的WEB服務(wù)或郵件服務(wù)來滿足企業(yè)網(wǎng)絡(luò)需求。在這樣的時(shí)代，很少有人或企業(yè)全部靠自己完成數(shù)字系統(tǒng)或信息業(yè)務(wù)。每一項(xiàng)網(wǎng)絡(luò)工作，不管是網(wǎng)絡(luò)服務(wù)或產(chǎn)品的研發(fā)還是生產(chǎn)，不管是互聯(lián)網(wǎng)服務(wù)還是管理，都是眾多企業(yè)或研究團(tuán)隊(duì)合作的結(jié)果。細(xì)分專業(yè)中的點(diǎn)點(diǎn)進(jìn)步，都會(huì)借助互聯(lián)網(wǎng)絡(luò)廣闊巨大的市場(chǎng)空間帶來豐厚的“長(zhǎng)尾”回報(bào)，這確保了專業(yè)化的技術(shù)進(jìn)步和創(chuàng)新有了可持續(xù)發(fā)展的推動(dòng)力。這也正是數(shù)字世界工業(yè)化協(xié)作創(chuàng)新的市場(chǎng)基礎(chǔ)。

專業(yè)化的分工發(fā)展是先進(jìn)社會(huì)創(chuàng)新的必然結(jié)果，協(xié)作成為了現(xiàn)代社會(huì)的必備要素。數(shù)字網(wǎng)絡(luò)中的安全協(xié)作所需要的技術(shù)將成為推動(dòng)數(shù)字世界工業(yè)化發(fā)展的重要技術(shù)支撐。另一方面，正如信任體系是現(xiàn)實(shí)世界工業(yè)化發(fā)展的重要基礎(chǔ)一樣，網(wǎng)絡(luò)信任體系相關(guān)技術(shù)也將成為未來數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)性技術(shù)，是數(shù)字世界工業(yè)化發(fā)展的重要基礎(chǔ)。

在這樣的形勢(shì)下，安全技術(shù)也需要獲得眾多企業(yè)與專家的協(xié)同貢獻(xiàn)，才能成就最優(yōu)秀的安全系統(tǒng)與產(chǎn)品。這樣的時(shí)代，完全依靠單個(gè)企業(yè)和個(gè)人不可能產(chǎn)出優(yōu)秀的安全產(chǎn)品和系統(tǒng)。

1.3 數(shù)字經(jīng)濟(jì)起飛的時(shí)代

當(dāng)前，大多數(shù)的銀行都已能夠提供相關(guān)的網(wǎng)絡(luò)服務(wù)，并已經(jīng)將用戶的資產(chǎn)搬到網(wǎng)絡(luò)上；同樣，網(wǎng)絡(luò)商店更是在這幾年飛速發(fā)展，將商品買賣搬到網(wǎng)絡(luò)上；現(xiàn)如今，人們的社交、管理、家居也快速走向網(wǎng)絡(luò)；政府以服務(wù)人民為宗旨[4]，讓人們少跑路，讓信息多跑路，從而推動(dòng)網(wǎng)上政府服務(wù)并且覆蓋大部分政務(wù)領(lǐng)域。可以看到，國(guó)家經(jīng)濟(jì)的發(fā)展也必將走向網(wǎng)絡(luò)，數(shù)字化已經(jīng)成為推動(dòng)國(guó)家經(jīng)濟(jì)發(fā)展的強(qiáng)大動(dòng)力。

我們已有的財(cái)富需要網(wǎng)絡(luò)來表達(dá)；我們的日程安排要靠電子設(shè)備來記錄；我們的房產(chǎn)證和發(fā)票是否正確都可以通過網(wǎng)絡(luò)來判別；我們的數(shù)字貨幣看不見摸不著，只有依靠數(shù)字設(shè)備來顯示。數(shù)字經(jīng)濟(jì)使得我們經(jīng)濟(jì)的發(fā)展需要更加強(qiáng)有力的數(shù)字安全技術(shù)保障。數(shù)據(jù)安全技術(shù)將成為數(shù)字經(jīng)濟(jì)發(fā)展的核心力量。數(shù)字經(jīng)濟(jì)發(fā)展最為重要的，不僅僅包含數(shù)據(jù)的完整、保密、真實(shí)與抗抵賴，更是要保護(hù)數(shù)據(jù)的所有權(quán)關(guān)系不被破壞，也就是保護(hù)數(shù)字世界的生產(chǎn)關(guān)系的安全。數(shù)據(jù)沒有絕對(duì)的安全，我們想要保證的是自己的數(shù)據(jù)屬于自己，任何人不能隨便占有或使用。區(qū)塊鏈技術(shù)之所以重要，正是因?yàn)樗_辟了一個(gè)數(shù)字資產(chǎn)保護(hù)的新方向。

正是因?yàn)閿?shù)字代表了財(cái)富，黑客技術(shù)就有了可持續(xù)發(fā)展的動(dòng)力，從而給安全技術(shù)帶來了持續(xù)的挑戰(zhàn)。

1.4 軟件定義一切的時(shí)代

硬件標(biāo)準(zhǔn)化是數(shù)字產(chǎn)業(yè)發(fā)展的必然趨勢(shì)。個(gè)性化配置越來越依賴軟件完成。軟件定義網(wǎng)絡(luò)、軟件定義存儲(chǔ)、軟件定義數(shù)據(jù)中心等已經(jīng)成為當(dāng)今的重要技術(shù)方向。軟件定義了一切的發(fā)展，也讓數(shù)字網(wǎng)絡(luò)能更好地服務(wù)百姓，并向不斷變化的需求提供了靈活的技術(shù)支撐，是未來數(shù)字系統(tǒng)的技術(shù)特色。

軟件定義一切，就是數(shù)字定義一切。在數(shù)字定義一切的時(shí)代，數(shù)字安全是未來系統(tǒng)安全的基礎(chǔ)保障。正如可信計(jì)算技術(shù)已經(jīng)是目前系統(tǒng)安全的基礎(chǔ)一樣，密碼技術(shù)也必將成為數(shù)據(jù)定義一切的重要安全技術(shù)的基礎(chǔ)和關(guān)鍵。它將會(huì)支撐數(shù)據(jù)的來源真實(shí)，數(shù)據(jù)的完整，數(shù)據(jù)的抗抵賴等性質(zhì)的實(shí)現(xiàn)。

在這樣的時(shí)代，硬件體系結(jié)構(gòu)是標(biāo)準(zhǔn)化的，也就是開放的。安全系統(tǒng)必須采用這樣的開放結(jié)構(gòu)而無法獲得保密專用硬件的支撐。在虛擬機(jī)不斷飄移的云中，如何保護(hù)密鑰安全就成為開放環(huán)境下密碼安全的重要研究課題。

2 網(wǎng)絡(luò)空間的威脅

不斷變化的不安全網(wǎng)絡(luò)、不斷進(jìn)步的黑客技術(shù)使得用于互聯(lián)網(wǎng)絡(luò)的安全系統(tǒng)必須不斷變化和升級(jí)。安全系統(tǒng)的結(jié)構(gòu)和原理的保密也變得非常困難。

2.1 不斷變化的非安全網(wǎng)絡(luò)

網(wǎng)絡(luò)命運(yùn)共同體的時(shí)代，網(wǎng)絡(luò)是無法絕對(duì)安全的。正如在現(xiàn)實(shí)世界不可能徹底消滅犯罪一樣，網(wǎng)絡(luò)中也無法避免漏洞，網(wǎng)絡(luò)上一定會(huì)有黑客，還會(huì)有利益驅(qū)動(dòng)下黑客的創(chuàng)新行動(dòng)。所有應(yīng)用系統(tǒng)的安全都不得不面對(duì)沙灘建樓的現(xiàn)實(shí)，也都不得不采用風(fēng)險(xiǎn)可控的安全系統(tǒng)架構(gòu)，平衡系統(tǒng)風(fēng)險(xiǎn)和安全防護(hù)成本。軟件定義網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)、漫游接入等使整個(gè)互聯(lián)網(wǎng)絡(luò)不斷變化，網(wǎng)絡(luò)建設(shè)的加速和不斷升級(jí)改造也使得網(wǎng)絡(luò)不斷變化。網(wǎng)絡(luò)不安全加上不斷變化，使得其上的系統(tǒng)安全變得更加脆弱。

2.2 黑客技術(shù)不斷發(fā)展的現(xiàn)實(shí)

信息化發(fā)展不僅給人們帶來了新技術(shù)新工具，同樣也給黑客帶來了更加優(yōu)秀的分析技術(shù)和攻擊工具。過去的技術(shù)無法讀取芯片內(nèi)容，而現(xiàn)在的技術(shù)能夠通過精密儀器打開芯片，讀取其中的電可擦除信息。黑客通過漏洞分析能夠找到系統(tǒng)的漏洞，從而進(jìn)攻想要入侵的系統(tǒng)；黑客可以通過身份假冒，繞過系統(tǒng)的訪問控制進(jìn)入系統(tǒng)內(nèi)核；黑客可以越過進(jìn)程間隔離，跨進(jìn)程讀取敏感信息；黑客能夠通過設(shè)備的電源消耗等側(cè)信道信息，推測(cè)出設(shè)備中的關(guān)鍵信息；黑客能夠通過注入錯(cuò)誤代碼使設(shè)備暫時(shí)紊亂而泄漏敏感數(shù)據(jù)。黑客技術(shù)的不斷發(fā)展，使安全保護(hù)技術(shù)處于不斷飄搖的動(dòng)態(tài)中。

2.3 無處可藏的安全技術(shù)

只要設(shè)備走向網(wǎng)絡(luò)，該設(shè)備的設(shè)計(jì)就變得無處可藏。例如，通過查詢?cè)O(shè)備的相關(guān)專利、購(gòu)買設(shè)備進(jìn)行使用或結(jié)構(gòu)剖析，以及先進(jìn)的黑客技術(shù)攻擊設(shè)備系統(tǒng)，都可以使得市場(chǎng)上任何安全產(chǎn)品的系統(tǒng)體系大白于天下。由于技術(shù)的不斷進(jìn)步，剖析硬件、分析方案變得越來越容易。依靠方案保密、依靠硬件保密來確保安全必將變得更加力不從心。

3 安全技術(shù)的新趨勢(shì)

開放的安全才是真正的安全。零信任、入侵容忍以及白盒安全等技術(shù)的推進(jìn)從另一個(gè)方面反映了未來安全技術(shù)的方向，也告訴我們開放的安全將成為安全技術(shù)的基石。

3.1 零信任是信任體系建設(shè)的新假設(shè)

過去對(duì)網(wǎng)絡(luò)安全系統(tǒng)的基本假設(shè)是內(nèi)部網(wǎng)絡(luò)具有保密性，但如今隨著物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的發(fā)展，網(wǎng)絡(luò)的復(fù)雜性變高，內(nèi)網(wǎng)與外網(wǎng)的界限變得模糊。開放的網(wǎng)絡(luò)安全系統(tǒng)正如密碼技術(shù)的發(fā)展歷程一樣，密碼技術(shù)并不是依賴于對(duì)密碼算法的保密，正相反，完全公開的密碼算法，才是真正密碼安全和信息保密的基礎(chǔ)。在當(dāng)今的時(shí)代，網(wǎng)絡(luò)已經(jīng)完全開放，無法直接信任。我們面臨著在開放的環(huán)境系統(tǒng)構(gòu)建安全體系的新任務(wù)。

零信任[5]概念是在2010年被Forrester首席分析師John正式提出。零信任的假設(shè)就是敵人在“安全”的內(nèi)部網(wǎng)絡(luò)中進(jìn)行攻擊。這種代表新一代網(wǎng)絡(luò)安全防護(hù)的理念，打破了傳統(tǒng)的“信任”邊界，不再區(qū)分內(nèi)外，對(duì)內(nèi)部的人員、網(wǎng)絡(luò)和設(shè)備選擇完全不信任，對(duì)所有的人員、網(wǎng)絡(luò)和設(shè)備都進(jìn)行身份和權(quán)限的驗(yàn)證。信任必須從零開始，并且不斷得到驗(yàn)證。不管對(duì)方是內(nèi)網(wǎng)設(shè)備還是外網(wǎng)設(shè)備，都必須經(jīng)過驗(yàn)證，完成信任評(píng)估后才能進(jìn)行通信或取得所需要的設(shè)備訪問權(quán)限。為防止內(nèi)網(wǎng)中出現(xiàn)“叛徒”造成損失，即使在安全的內(nèi)網(wǎng)進(jìn)行通信，也要進(jìn)行加密保護(hù)。將信任降到零點(diǎn)，成為新一代網(wǎng)絡(luò)空間安全設(shè)計(jì)和構(gòu)建的出發(fā)點(diǎn)。

隨著近些年云服務(wù)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展與廣泛應(yīng)用，企業(yè)對(duì)網(wǎng)絡(luò)空間邊界的劃分與定義變得逐漸模糊。大型企業(yè)業(yè)務(wù)工作一部分在辦公樓中，一部分部署在云端，員工分布在世界各地，合作伙伴通過各式各樣的設(shè)備來訪問企業(yè)云端的服務(wù)。這些先進(jìn)的技術(shù)在方便人們工作的同時(shí)，也使得對(duì)網(wǎng)絡(luò)邊界的劃分和安全管理帶來了新的挑戰(zhàn)。

同時(shí)，近年遠(yuǎn)程辦公越來越趨向于常態(tài)化、標(biāo)準(zhǔn)化、規(guī)模化，企業(yè)對(duì)互聯(lián)網(wǎng)的依賴越來越深，在互聯(lián)網(wǎng)中的業(yè)務(wù)部署越來越多，無形中增加了更多的攻擊面。其次，數(shù)字時(shí)代的發(fā)展，數(shù)字資產(chǎn)的價(jià)值不斷提升，攻擊價(jià)值越來越大，傳統(tǒng)的安全機(jī)制對(duì)于內(nèi)部的威脅無法防護(hù)，攻擊者可能在系統(tǒng)內(nèi)部暢通無阻。

在保證連通、共享和企業(yè)生產(chǎn)力的同時(shí)對(duì)新一代網(wǎng)絡(luò)空間進(jìn)行安全體系的設(shè)計(jì)，零信任的思想得到了產(chǎn)業(yè)和學(xué)術(shù)界的大力支持與發(fā)展[6]。該思想遵循三條基本假設(shè)[5]：第一，即使是安全的設(shè)備也沒有可信或者不可信的接口；第二，不再存在可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)；第三，不再存在可信用戶和不可信用戶。這三條假設(shè)更加貼合新一代網(wǎng)絡(luò)空間發(fā)展的安全需求，是安全中信任體系建設(shè)的新思路。

零信任通過不斷地驗(yàn)證和更加謹(jǐn)慎的安全配置來應(yīng)對(duì)網(wǎng)絡(luò)命運(yùn)共同體下邊界模糊、系統(tǒng)假冒、內(nèi)部偷竊等安全風(fēng)險(xiǎn)，努力建立起更加安全的邊界，更加可信的操作環(huán)境。

3.2 入侵容忍成為必須的技術(shù)手段

入侵容忍技術(shù)的假設(shè)就是敵人已經(jīng)在我們內(nèi)部，敵人知道我們的安全協(xié)議和部分安全信息。在內(nèi)部有敵人的情況下，在有毒帶菌的情況下，如何保證系統(tǒng)安全是入侵容忍技術(shù)的研究?jī)?nèi)容。

依靠單一系統(tǒng)的安全設(shè)計(jì)可能面臨較大風(fēng)險(xiǎn)。比如，一個(gè)內(nèi)部管理員犯罪可能會(huì)把一個(gè)重要信息系統(tǒng)變成敵人的碉堡；一個(gè)系統(tǒng)的漏洞也會(huì)讓一臺(tái)合法主機(jī)成為黑客控制的僵尸；芯片的損害或事故也不可避免。如何在部分設(shè)備被敵人占領(lǐng)的情況下，整體系統(tǒng)仍舊能夠安全地工作，已經(jīng)是當(dāng)前系統(tǒng)安全的重要方向。我國(guó)“擬態(tài)安全”的理念通過修改系統(tǒng)架構(gòu)實(shí)現(xiàn)了系統(tǒng)入侵容忍技術(shù)，確保在“有毒帶菌”的環(huán)境下，系統(tǒng)仍然能夠安全運(yùn)行。

入侵容忍技術(shù)的基礎(chǔ)理論包括糾錯(cuò)碼理論[7]、門限密碼理論[8]以及拜占庭系統(tǒng)理論[9]等。這些技術(shù)都可以容忍少量錯(cuò)誤的產(chǎn)生而不影響安全體系的正常運(yùn)行。

糾錯(cuò)碼主要思想是通過冗余編碼察覺出通信中少量被修改的信息。在通信過程中，信道的傳輸可能存在錯(cuò)誤或者干擾。而通過冗余編碼，比對(duì)結(jié)果，發(fā)現(xiàn)少量的錯(cuò)誤并進(jìn)行修改，就能恢復(fù)出正確的信息，從而不影響后續(xù)的使用。糾錯(cuò)碼的思想是即使存在少量錯(cuò)誤信息也能夠進(jìn)行糾正，最終得到正確的原始信息。

糾錯(cuò)碼技術(shù)一定程度上對(duì)信息的傳輸錯(cuò)誤有一定的容忍性，是入侵容忍方法中不可或缺的技術(shù)手段。在網(wǎng)絡(luò)空間的信息傳輸中，一定會(huì)有意或無意的產(chǎn)生少量的傳輸錯(cuò)誤，如果是無意的非攻擊行為，接收方發(fā)現(xiàn)錯(cuò)誤就要求對(duì)方重發(fā)信息會(huì)很大程度上造成資源的浪費(fèi)，糾錯(cuò)碼技術(shù)可以一定程度減緩這一問題。如果是有意的攻擊行為，那么接收方在收到被修改過的信息后也可以通過糾錯(cuò)碼的方式還原出真實(shí)的信息。然而，無論哪一種情況，在新一代網(wǎng)絡(luò)空間的發(fā)展中，交互更加復(fù)雜，連接方式更加多樣，更容易出現(xiàn)傳輸信息的錯(cuò)誤。此外，即使在傳輸過程中被惡意修改了少量的信息，也可以正確傳輸出原本的信息。一定程度上避免了信息在傳輸時(shí)被惡意修改的可能。

門限密碼的主要思想是通過多方安全計(jì)算的方式，將原本一個(gè)密鑰變成多個(gè)中間部分，每個(gè)中間部分單獨(dú)無法恢復(fù)出密鑰，只有不少于門限值個(gè)數(shù)的用戶可以協(xié)同完成密碼操作。把所有的雞蛋放到同一個(gè)籃子里，如果籃子被壞人剪破或者持有者故意將籃子里的雞蛋倒出，都無法避免失去雞蛋的損失。門限密碼技術(shù)正是避免“所有的雞蛋放到同一籃子”的思想。通過安全計(jì)算將原本一份完整的密鑰變成多份只有部分信息的密鑰，每一份的密鑰信息都不完整，無法得到任何原始密鑰信息，更不能恢復(fù)出密鑰，從而解決攻擊者破解出密鑰或密鑰持有者故意作惡的問題。

此外，門限密碼還可以有效防止多名內(nèi)部人員集體叛變問題。門限密碼中，密鑰持有者人數(shù)需要達(dá)到門限數(shù)值才能進(jìn)行加解密的操作。所以密鑰持有者叛變或者所持密鑰錯(cuò)誤失效的數(shù)量在容忍范圍內(nèi)就不會(huì)對(duì)加解密功能造成任何影響。確保在少數(shù)人犯罪的情況下不造成密鑰泄露并完成密碼計(jì)算相關(guān)功能，包括加解密和簽名功能。

拜占庭系統(tǒng)理論解決的是分布式系統(tǒng)中存在惡意節(jié)點(diǎn)的問題。在分布式系統(tǒng)中，各個(gè)節(jié)點(diǎn)做出一個(gè)決策需要相互廣播或者通過信道進(jìn)行協(xié)商。但分布式系統(tǒng)節(jié)點(diǎn)較多，尤其在新一代網(wǎng)絡(luò)空間中，分布式結(jié)構(gòu)更加普遍，客戶機(jī)-服務(wù)器結(jié)構(gòu)，數(shù)據(jù)分布在多臺(tái)服務(wù)器中。分布式網(wǎng)絡(luò)也是由分布在不同地點(diǎn)的計(jì)算機(jī)組成。實(shí)際生活中，物聯(lián)網(wǎng)的數(shù)據(jù)管理系統(tǒng)就是分布式數(shù)據(jù)管理系統(tǒng)。在分布式系統(tǒng)內(nèi)部，如果節(jié)點(diǎn)叛變妨礙節(jié)點(diǎn)之間的相互協(xié)商，導(dǎo)致無法得出最終結(jié)果，不僅對(duì)資源是極大的浪費(fèi)，對(duì)協(xié)商結(jié)果也會(huì)有一定影響。

拜占庭系統(tǒng)能夠讓系統(tǒng)在少數(shù)間諜存在的情況下，協(xié)商出對(duì)合法者有利的結(jié)論。該理論基于兩個(gè)基本假設(shè)：首先，叛變節(jié)點(diǎn)需要在容忍范圍內(nèi)，也就是叛變節(jié)點(diǎn)是少量節(jié)點(diǎn)；其次，節(jié)點(diǎn)內(nèi)部進(jìn)行叛變，而信道傳輸假設(shè)安全，也就是說每個(gè)節(jié)點(diǎn)的信息都能被正確的傳輸。基于這兩點(diǎn)假設(shè)，拜占庭系統(tǒng)能夠確保誠(chéng)實(shí)的“將軍”在受到“叛徒”干擾的情況下依舊能夠達(dá)成有效的共識(shí)。

總而言之，以上的三種入侵容忍方法除了防御來自外部的攻擊和威脅，在很大程度上能防御來自內(nèi)部的叛變，是開放安全架構(gòu)的典范。

3.3 白盒安全技術(shù)是未來發(fā)展的新方向

隨著黑客技術(shù)的進(jìn)步，保護(hù)系統(tǒng)架構(gòu)安全已經(jīng)變得越來越難。白盒安全，不同于過去的黑盒安全，其目標(biāo)就是在敵人攻入系統(tǒng)、了解全部系統(tǒng)內(nèi)容的情況下，確保系統(tǒng)安全的技術(shù)。

白盒安全[10]的核心思想必然用到先進(jìn)的非對(duì)稱架構(gòu)，如代碼混淆就是一種用于白盒安全的技術(shù)。通過混淆使得進(jìn)入系統(tǒng)的分析者即使拿到全部的信息，也無法認(rèn)識(shí)系統(tǒng)的安全機(jī)理。

比如現(xiàn)代標(biāo)準(zhǔn)的密碼就是一種類似白盒的安全技術(shù)，掌握公開的密碼算法對(duì)敵人完全沒有作用。只要用戶保護(hù)好密鑰，密碼機(jī)丟失并不影響密碼安全。如果密鑰在密碼機(jī)里，白盒密碼機(jī)則需要更多的技術(shù)防止黑客拿到密鑰，密鑰的泄露容忍就成為具備密鑰管理的密碼機(jī)白盒安全的重要研究?jī)?nèi)容。

比特幣所依賴的區(qū)塊鏈技術(shù)，也是一種白盒安全技術(shù)的典范。比特幣的區(qū)塊鏈系統(tǒng)不僅將原理全部公開，其運(yùn)行的源代碼也是完全公開的。在完全“開放”的環(huán)境下保證系統(tǒng)的安全才是真正的安全。

3.4 開放的安全才是真正的安全

無論是零信任、入侵容忍還是白盒安全技術(shù)，他們最大的特點(diǎn)都是能夠容忍一定程度上網(wǎng)絡(luò)內(nèi)部的叛變，而網(wǎng)絡(luò)的開放環(huán)境是能夠?qū)?nèi)部系統(tǒng)結(jié)構(gòu)完全開放，允許內(nèi)部網(wǎng)絡(luò)在叛變的前提下依舊可以保證網(wǎng)絡(luò)系統(tǒng)的安全。

開放的安全系統(tǒng)是今天和未來安全系統(tǒng)的發(fā)展方向。在開放環(huán)境中的安全系統(tǒng)，技術(shù)的保密變得越來越困難，開放也是不得不走的方向。開放的安全系統(tǒng)需要非對(duì)稱理論的支持，能夠使來自系統(tǒng)內(nèi)部的敵人和威脅都無法突破安全的防線。開放的安全系統(tǒng)能夠確保即使攻擊者獲得系統(tǒng)結(jié)構(gòu)和部分安全信息，系統(tǒng)依舊安全可控。

密碼學(xué)學(xué)科的發(fā)展，給我們展示了開放安全的路徑。過去我們認(rèn)為，同樣的算法，如果保密，肯定比不保密更加安全。因?yàn)閿橙瞬粌H要獲知密鑰還得獲得算法才能破解。但走到今天，算法的開放和標(biāo)準(zhǔn)化極大推動(dòng)了密碼學(xué)的發(fā)展，使得密碼通過更精細(xì)化的設(shè)計(jì)彌補(bǔ)了開放帶來的安全損失。今天，密碼學(xué)把算法開放已經(jīng)當(dāng)成密碼安全的必要條件。

堅(jiān)持在開放的環(huán)境中搞安全[11]本身正是秉承著安全為人民的精神，它不僅能夠更好地得到公眾的檢驗(yàn)與認(rèn)可，也進(jìn)一步迎合了網(wǎng)絡(luò)命運(yùn)共同體的發(fā)展理念。開放的安全系統(tǒng)體系，能得到更多專業(yè)用戶的理解和信任，普及和廣泛應(yīng)用就會(huì)變得更加方便。開放的安全系統(tǒng)體系能夠成為“交鑰匙”后用戶明白的工程，用戶用著更放心，如果哪一環(huán)節(jié)出現(xiàn)問題，可以更好地進(jìn)行專業(yè)改良。一個(gè)好的安全系統(tǒng)也應(yīng)該由多家專業(yè)生產(chǎn)廠商聯(lián)合打造，各個(gè)生產(chǎn)廠商負(fù)責(zé)各自擅長(zhǎng)的部分，最后組合成完整的系統(tǒng)。這樣一來，每個(gè)部分的安全性能都能夠得到最好的保證，哪一環(huán)節(jié)出了問題也可以及時(shí)有針對(duì)性地進(jìn)行修補(bǔ)，有效追責(zé)。

只有開放的安全系統(tǒng)體系，才能得到更多專業(yè)生產(chǎn)廠的支撐，在更多的細(xì)節(jié)中取得更好的結(jié)果；只有開放的安全系統(tǒng)，人們?cè)趹?yīng)用和部署時(shí)才能發(fā)現(xiàn)更合理的方式，更好地發(fā)揮安全系統(tǒng)的服務(wù)和支撐作用，更好地與信息系統(tǒng)緊密集成；只有開放的安全系統(tǒng)，才能得到更多專業(yè)的幫助，才能不斷發(fā)現(xiàn)安全問題，不斷提高和進(jìn)步，從而將安全系統(tǒng)變成為一個(gè)活的、能夠不斷完善的系統(tǒng)。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。