一、信息異化、信息安全與可信網絡的概念
目前,對信息異化概念有不同的說法,多是處於人的視角,認爲信息異化是人類創造了信息,信息在生產、傳播和利用等活動過程中有各種的阻礙,使得信息喪失其初衷,反客爲主演變成外在的異化力量,反過來支配、統治和控制人的力量。其意針對的是人們創造的那部分信息,研究的是信息所擁有的社會屬性,說到底是研究人造成的異化問題,只是使用了限定詞的一個信息而已,疑似把“信息異化”當作“信息過程中人的異化”同一個歸類。這樣,使得異化的被動內涵被隱藏起來,結果造就了“信息對人的異化”方面的研究,疏忽對信息自然屬性及“信息被異化”的研究,最後使信息異化研究具有片面性。筆者最後選擇一個信息異化概念。“信息異化”是指信息在實踐活動(包括信息的生產、製造,傳播及接收等)過程中,在信息不自由的狀態下變爲異在於其本真活動結果的現象。關於信息安全,部分專家對信息安全的定義爲:“一個國家的社會信息化狀態不受外來的威脅與侵害;一個國家的信息技術體系不受外來的威脅與侵害。”這個定義,包含現有對信息安全的先進認識,又包含了更加廣泛的信息安全領域,是目前較爲全面且被認可的定義。信息安全本身包括的範圍極大,其中包括如何防範企業商機泄露、防範未成年人對不良信息的瀏覽、個人信息的泄露損失等。所以網絡信息安全體系的建立是保證信息安全的重要關鍵,其中包含計算機安全操作系統、各種的安全協議、安全機制(數字簽名、消息認證、數據加密等),直至安全系統,只要一環出現漏洞便會產生危險危害。如今,網絡安全技術雜亂零散且繁多,實現成本相應增加,對網絡性能的影響逐漸增大。其複雜性使得它的臃腫的弊端慢慢顯現出來,業界需要相應的創新的理念和戰略去解決網絡安全問題以及它的性能問題,在這種背景下可信網絡開始出現在世人的眼中。現在大衆可信網絡有不同理解與觀點,有的認爲可信應該以認證爲基礎,有的認爲是以現有安全技術的整合爲基石;有的認爲是網絡的內容可信化,有的認爲可信是網絡是基於自身的可信,有的認爲是網絡上提供服務的可信等,雖說衆說紛紜,但其目的是一致的:提升網絡以及服務的安全性,使人類在信息社會中受益。可信網絡可提升並改進網絡的性能,減少因爲不信任帶來的監視、不信任等系統的成本,提高系統的整體性能。
二、可信網絡國內外研究
(一)可信網絡國外研究
在可信網絡的研究中,Clark等學者在NewArch項目的研究中提出了“信任調節透明性”(trust-modulatedtransparency)原則,他們期望在現實社會的互相信任關係能夠反映在網絡上。基於雙方用戶的信任需求,網絡可以提供一定範圍的服務,如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發出可快速配置的高可信系統及網絡來滿足關鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略爲中心的入校檢測模型,他們利用模型去提高網絡系統的可信性。但因爲網絡有着複雜基於信息異化下的信息安全中可信網絡分析研究柳世豫,郭東強摘要:互聯網逐漸成爲我們生活中不可或缺的同時,其弊端也開始出現。未來網絡應該是可信的,這一觀點已成爲業界共性的特點,如何構建可信網絡是需要研究的。因此TCG先進行較爲簡單的可信網絡連接問題。它將可信計算機制延伸到網絡的技術,在終端連入網絡前,開始進行用戶的身份認證;若用戶認證通過,再進行終端平臺的身份認證;若終端平臺的身份認證也通過,最後進行終端平臺的可信狀態度量,若度量結果滿足網絡連入的安全策略,將允許終端連入網絡,失敗則將終端連入相應隔離區域,對它進行安全性補丁和升級。TNC是網絡接入控制的一種實現方式,是相對主動的一種網絡防禦技術,它能夠防禦大部分的潛在攻擊並且在他們攻擊前就進行防禦。2004年5月TCG成立了可信網絡連接分組(trustednetworkconnectionsubgroup),主要負責研究及制定可信網絡連接TNC(trustednetworkconnection)框架及相關的標準。2009年5月,TNC發佈了TNC1.4版本的架構規範,實現以TNC架構爲核心、多種組件之間交互接口爲支撐的規範體系結構,實現了與Microsoft的網絡訪問保護(networkaccessprotection,NAP)之間的互操作,他們將相關規範起草到互聯網工程任務組(internationalengineertaskforce,IETF)的網絡訪問控制(networkaccesscontrol,NAC)規範中。如今已有許多企業的產品使用TNC體系結構,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網絡國內研究
我國也有學者進行了可信網絡的研究。林闖等進行了可信網絡概念研究以及建立相關模型,提出網絡可信屬性的定量計算方法。期望基於網絡體系結構自身來改善信息安全的方式來解決網絡脆弱性問題,通過保護網絡信息中的完整性、可用性、祕密性和真實性來保護網絡的安全性、可控性以及可生存性。利用在網絡體系結構中的`信任機制集成,使安全機制增強,在架構上對可信網絡提出了相關設計原則。閔應驊認爲能夠提供可信服務的網絡是可信網絡,並且服務是可信賴和可驗證的。這裏的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設計過程中需要考慮架構的安全性,同時也要考慮其兼容性,在一定程度上配合現有技術,因此TNC在優點以外也有着侷限性。TNC的突出優點是安全性和開放性。TNC架構是針對互操作的,向公衆開放所有規範,用戶能夠無償獲得規範文檔。此外,它使用了很多現有的標準規範,如EAP、802.1X等,使得TNC可以適應不同環境的需要,它沒有與某個具體的產品進行綁定。TNC與NAC架構、NAP架構的互操作也說明了該架構的開放性。NC的擴展是傳統網絡接入控制技術用戶身份認證的基礎上增加的平臺身份認證以及完整性驗證。這使得連入網絡的終端需要更高的要求,但同時提升了提供接入的網絡安全性。雖然TNC具有上述的優點,但是它也有一定的侷限性:
1.完整性的部分侷限。TNC是以完整性爲基礎面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態可信,動態可信的內容還處於研究中。因此TNC接入終端的可信還處於未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網絡安全,在保護終端的安全上缺乏考慮。終端在接入網絡之前,在提供自身的平臺可信性證據的基礎上,還需要對接入的網絡進行可信性評估,否則不能確保從網絡中獲取的服務可信。
3.網絡接入後的安全保護。TNC只在終端接入網絡的過程中對終端進行了平臺認證與完整性驗證,在終端接入網絡之後就不再對網絡和終端進行保護。終端平臺有可能在接入之後發生意外的轉變,因此需要構建並加強接入後的控制機制。在TNC1.3架構中增加了安全信息動態共享,在一定程度上增強了動態控制功能。
4.安全協議支持。TNC架構中,多個實體需要進行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進行繁多的信息交互,但TNC架構並沒有給出相對應的安全協議。
5.範圍的侷限性。TNC應用目前侷限在企業內部網絡,難以提供多層次、分佈式、電信級、跨網絡域的網絡訪問控制架構。在TNC1.4架構中增加了對跨網絡域認證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應用的侷限性。我國學者在研究分析TNC的優缺點的同時結合中國的實際情況,對TNC進行了一些改進,形成了中國的可信網絡連接架構。我國的可信網絡架構使用了集中管理、對等、三元、二層的結構模式。策略管理器作爲可信的第三方,它可以集中管理訪問請求者和訪問控制器,網絡訪問控制層和可信平臺評估層執行以策略管理器爲基礎的可信第三方的三元對等鑑別協議,實現訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構採用國家自主知識產權的鑑別協議,將訪問控制器以及訪問請求者作爲對等實體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機制,同時進行終端與網絡的雙向認證,提供了一種新思路。在國家“863”計劃項目的支持下,取得了如下成果:
(1)在對TNC在網絡訪問控制機制方面的侷限性進行研究分析後,同時考慮可信網絡連接的基本要求,提出了一種融合網絡訪問控制機制、系統訪問控制機制和網絡安全機制的統一網絡訪問控制LTNAC模型,對BLP模型進行動態可信性擴展,建立了TE-BLP模型,期望把可信度與統一網絡訪問控制模型結合起來。
(2)通過研究獲得了一個完整的可信網絡連接原型系統。該系統支持多樣認證方式和基於完整性挑戰與完整性驗證協議的遠程證明,來實現系統平臺間雙向證明和以遠程證明爲基礎的完整性度量器和驗證器,最後完成可信網絡連接的整體流程。
三、可信網絡模型分析
(一)網絡與用戶行爲的可信模型
可信是在傳統網絡安全的基礎上的拓展:安全是外在的表現形式,可信則是進行行爲過程分析所得到的可度量的一種屬性。如何構建高效分析刻畫網絡和用戶行爲的可信模型是理解和研究可信網絡的關鍵。這是目前網絡安全研究領域的一個新共識。構建網絡和用戶的可信模型的重要性體現於:它只准確而抽象地說明了系統的可信需求卻不涉及到其他相關實現細節,這使得我們能通過數學模型分析方法去發現系統在安全上的漏洞。可信模型同時也是系統進行研發的關鍵步驟,在美國的“可信計算機系統的評價標準(TCSEC)”中,從B級階段就需要對全模型進行形式化描述和驗證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網絡系統安全的可信度。最後,構建理論來說明網絡的脆弱性評估和用戶遭受攻擊行爲描述等的可信評估,這是實現系統可信監測、預測和干預的前提,是可信網絡研究的理論所有基礎。完全安全的網絡系統目前還無法實現,因此網絡脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個解決方案,讓系統管理員在“提供服務”和“保證安全”之間找到平衡,主動檢測在攻擊發生之前,如建立攻擊行爲的設定描述,通過在用戶中區分隱藏的威脅,以可信評估爲基礎上進行主機的接入控制。傳統檢測多爲以規則爲基礎的局部檢測,它很難進行整體檢測。但我們現有的脆弱性評估工具卻絕大多數都是傳統基於規則的檢測工具,頂多對單一的主機的多種服務進行簡陋的檢查,對多終端構建的網絡進行有效評估還只能依靠大量人力。以模型爲基礎的模式爲整個系統建立一個模型,通過模型可取得系統所有可能發生的行爲和狀態,利用模型分析工具測試,對整個系統的可信性評估。圖2說明了可信性分析的元素。網絡行爲的信任評估包括行爲和身份的信任,而行爲可信又建立在防護能力、信任推薦、行爲記錄、服務能力等基礎之上。
(二)可信網絡的體系結構
互聯網因技術和理論的不足在建立時無法考量其安全周全,這是網絡脆弱性的一個重要產生因素。但是如今很多網絡安全設計卻常常忽略網絡體系的核心內容,大多是單一的防禦、單一的信息安全和補丁補充機制,遵從“堵漏洞、作高牆、防外攻”的建設樣式,通過共享信息資源爲中心把非法侵入者拒之門外,被動的達到防止外部攻擊的目的。在技術日漸複雜多元的情況下,冗長的單一防禦技術讓系統規模龐大,卻降低了網絡性能,甚至破壞了系統設計的開放性、簡單性的原則。因此這些被動防禦的網絡安全是不可信的,所以從結構設計的角度減少系統脆弱性且提供系統的安全服務特別重要。儘管在開放式系統互連參考模型的擴展部分增加了有關安全體系結構的描述,但那只是不完善的概念性框架。網絡安全不再只是信息的可用性、機密性和完整性,服務的安全作爲一個整體屬性被用戶所需求,因此研究人員在重新設計網絡體系時需考慮從整合多種安全技術並使其在多個層面上相互協同運作。傳統的補丁而補充到網絡系統上的安全機制已經因爲單個安全技術或者安全產品的功能和性能使得它有着極大地侷限性,它只能滿足單一的需求而不是整體需求,這使得安全系統無法防禦多種類的不同攻擊,嚴重威脅這些防禦設施功效的發揮。如入侵檢測不能對抗電腦病毒,防火牆對術馬攻擊也無法防範。因爲如此,網絡安全研究的方向開始從被動防禦轉向了主動防禦,不再只是對信息外圍的非法封堵,更需要從訪問源端就進行安全分析,儘量將不信任的訪問操作控制在源端達到攻擊前的防範。因此我們非常需要爲網絡提供可信的體系結構,從被動轉向主動,單一轉向整體。可信網絡結構研究必須充分認識到網絡的複雜異構性,從系統的角度確保安全服務的一致性。新體系結構如圖3所示,監控信息(分發和監測)以及業務數據的傳輸通過相同的物理鏈路,控制信息路徑和數據路徑相互獨立,這樣監控信息路徑的管理不再只依賴於數據平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強烈對比是對現有網絡的控制和管理信息的傳輸,必須依賴由協議事先成功設置的傳輸路徑。
(三)服務的可生存性
可生存性在特定領域中是一種資源調度問題,也就是通過合理地調度策略來進行服務關聯的冗餘資源設計,通過實時監測機制來監視調控這些資源的性能、機密性、完整性等。但網絡系統的脆弱性、客觀存在的破壞行爲和人爲的失誤,在網絡系統基礎性作用逐漸增強的現實,確保網絡的可生存性就有着重要的現實意義。由於當時技術與理論的不足,使得網絡存在着脆弱性表現在設計、實現、運行管理的各個環節。網絡上的計算機需要提供某些服務才能與其他計算機相互通信,其脆弱性在複雜的系統中更加體現出來。除了人爲疏忽的編程錯誤,其脆弱性還應該包含網絡節點的服務失誤和軟件的不當使用和網絡協議的缺陷。協議定義了網絡上計算機會話和通信的規則,若協議本身就有問題,無論實現該協議的方法多麼完美,它都存在漏洞。安全服務是網絡系統的關鍵服務,它的某個部分失去效用就代表系統會更加危險,就會導致更多服務的失控甚至是系統自身癱瘓。因此必須將這些關鍵服務的失效控制在用戶許可的範圍內。可生存性的研究必須在獨立於具體破壞行爲的可生存性的基本特徵上進行理論拓展,提升系統的容錯率來減少系統脆弱性,將失控的系統控制在可接受範圍內,通過容侵設計使脆弱性被非法入侵者侵入時,儘可能減少破壞帶來的影響,替恢復的可能性創造機會。
(四)網絡的可管理性
目前網絡已成爲一個複雜巨大的非線性系統,具有規模龐大、用戶數量持續增加、業務種類繁多、協議體系複雜等特點。這已遠超設計的初衷,這讓網絡管理難度加大。網絡的可管理性是指在內外干擾的網絡環境情況下,對用戶行爲和網絡環境持續的監測、分析和決策,然後對設備、協議和機制的控制參數進行自適應優化配置,使網絡的數據傳輸、用戶服務和資源分配達到期望的目標。現有網絡體系結構的基礎上添加網絡管理功能,它無法實現網絡的有效管理,這是因爲現有的網絡體系與管理協議不兼容。可信網絡必須是可管理的網絡,網絡的可管理性對於網絡的其他本質屬性,如安全性、普適性、魯棒性等也都有着重要的支撐作用。“網絡管理”是指對網絡情況持續進行監測,優化網絡設備配置並運行參數的過程,包括優化決策和網絡掃描兩個重要方面。研究管理性是通過改善網絡體系中會導致可管理性不足的設計,達到網絡可管理性,實現網絡行爲的可信姓,再解決網絡本質問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網絡的適應能力加強。
四、結論
綜上所述,互聯網有着複雜性和脆弱性等特徵,當前孤立分散、單一性的防禦、系統補充的網絡安全系統己經無法應對具有隱蔽多樣可傳播特點的破壞行爲,我們不可避免系統的脆弱性,可以說網絡正面臨重要的挑戰。我國網絡系統的可信網絡研究從理論技術上來說還處於初級階段,缺乏統一的標準,但是它己經明確成爲國內外信息安全研究的新方向。隨着大數據的到來,全球的頭腦風暴讓信息技術日新月異,新技術帶來的不只有繁榮,同時也帶來異化。昨日的技術已經無法適應今日的需求,從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續的,我們必須未雨綢繆並且不停地發展信息安全的技術與制度來阻止悲劇的發生。信息異化帶來的信息安全問題是必不可免的,它是網絡世界一個嚴峻的挑戰,對於可信網絡的未來我們可以從安全性、可控性、可生存性來創新發展,新的防禦系統將通過冗餘、異構、入侵檢測、自動入侵響應、入侵容忍等多種技術手段提高系統抵抗攻擊、識別攻擊、修復系統及自適應的能力,從而達到我們所需的實用系統。可以通過下述研究方向來發展可信網絡:
(一)網絡系統區別於一般系統的基本屬性
之一是複雜性,網絡可信性研究需要通過宏觀與微觀上對網絡系統結構屬性的定性,定量刻畫,深入探索網絡系統可靠性的影響,這樣才能爲網絡可信設計、改進、控制等提供支持。因此,以複雜網絡爲基礎的可信網絡會成爲一個基礎研究方向。
(二)網絡系統區別於一般系統的第二個重要屬性
是動態性,其包含網絡系統歷經時間的演化動態性和網絡失去效用行爲的級聯動態性。如今,學術上對可信網絡靜態性研究較多,而動態性研究較少,這無疑是未來可信網絡研究的一大方向。
(三)網絡系統的範圍與規模日漸龐大
節點數量最多以百萬計算,在可信網絡研究中我們需要去解決複雜性問題計算,這是一個可信網絡研究需要解決的問題。如今重中之重是研究構建可靠地可信模型與相應的算法,而近似算法、仿真算法將成爲主要解決途徑。