可信网络的研究

金　鑫

摘 要：可信网络正成为当前学术界的热点研究领域。阐述了可信网络产生的背景及其基本概念，指出了可信网络研究中需要解决的几个基本问题，并对可信网络的研究进行了展望。

关键词：可信网络；可信性；可控性；可生存性

1 引言

基于因特网架构的计算机网络越来越深刻地影响着世界的各个方面，包括政治、经济和军事。但是由于因特网自身架构的充分开放性，网络追踪、取证、定位攻击源困难，致使网络的安全性问题，诸如病毒、蠕虫、木马、漏洞、拒绝服务等攻击、入侵、截获、窃取、IP 欺骗、DNS 欺骗、虚假身份和有害信息等层出不穷，严重威胁着网络的安全、稳定运行和可持续发展，导致了人们对网络的不信任。因此，构建一个安全可信的、可管控的网络正在成为人们关注的焦点。

传统的信息安全解决方案，包括病毒查杀、安全扫描、补丁升级、入侵检测、防火墙、访问控制、虚拟专网、身份认证、内容过滤等安全防护技术手段，大都独立工作于网络平台之上，其防护原理为打补丁、堵漏洞、筑高墙、防外攻等，是以基于学习的、不断升级或弥补的模式来被动的响应。在严峻的安全性形势下，漏洞库、补丁库、病毒库、防火墙规则、路由器访问控制列表和入侵检测特征库日益庞大，安全解决方案也日益复杂，已经逐渐难以应付迅速增长的安全威胁和攻击，更不能从根本上彻底地解决网络的安全可信问题。

可信网络是针对这种情况而提出的一种解决方案，它是从体系结构和基础协议入手进行彻底创新，旨在通过提供一致的安全服务体系结构来为网络提供安全性保障。

2 可信网络的基本内涵

可信网络是近年来一些学者提出的新概念。由于对可信网络的探索才刚刚开始，目前对可信网络的基本概念尚无权威定义。有的学者认为：可信网络应该是网络系统的行为及其结果是可以预期的，能够做到行为状态可监控，行为结果可评估，异常行为可控制；ISO/IEC15408 标准中指出，一个可信的组件、操作或过程在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏；比尔.盖茨认为，可信计算是一种可以随时获得的可靠安全的计算，使人类信任计算机的程度，就像使用电力系统、电话那样自由、安全；中国信息安全产业分会提出的可信网络平台(TNP)指出，网络中的行为与行为结果总是预期和可控的，那么网络是可信的。

本文认为，可信网络是网络系统的行为及其结果是可预期的，并具有可信性、可控性和可生存性。可信性是可信网络可被信赖的特性，具有可靠性、可用性、保密性、完整性和不可抵赖性。可靠性是指网络系统硬件和软件无故障运行的性能，是网络系统安全的最基本要求；可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户随时使用；保密性是指网络信息不被泄露的特性，保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容；完整性是指网络信息未经授权不能进行改变的特性，即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保持信息的原样；不可抵赖性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。可控性，是指充分可控性，即通过在网络中间节点上维护一定的状态信息，来对网络资源和用户行为进行必要的约束和控制。可信网络系统的行为及结果可以预期，能够做到行为状态可监测，行为结果可评估，异常行为可控制。可生存性是可信网络的自生存能力，是网络系统能够自测试、自诊断、自修复和自组织的能力，在服务失效时仍能按照需求及时完成任务或者重新配置基本服务的能力。

3 可信网络研究中需要解决的基本问题

3.1 如何建立可信网络的体系结构

目前的许多网络安全设计很少触及体系结构的核心内容，大多是单一的防御、单一的信息安全和打补丁附加的机制，以共享信息资源为中心在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的。在攻击方式出现复合交织的趋势下，当前的安全系统将变得越来越臃肿，严重地降低了网络性能，甚至破坏了系统设计开放性、简单性的原则。并且，安全系统自身在设计、实施和管理各个环节上也不可避免地存在着脆弱性，严重影响了其功效的发挥。因此基于这些附加的、被动防御的安全机制上的网络安全是不可信的。另一方面，网络安全研究的理念已经从被动防御转向了积极防御，需要从访问源端就开始进行安全分析，尽可能地将不信任的访问操作控制在源端。因此，可信网络的研究必须重新审视互联网的体系结构设计，减少系统脆弱性并提供系统的安全服务。

3.2 如何实现网络的可控性

互联网络发展至今，已成为一个庞大的非线性复杂系统，如系统规模和用户数量巨大且不断增长，协议体系庞杂，业务种类繁多，异质网络融合发展等等。这远远超过了当初设计的考虑，现有的一些控制手段相对显得很薄弱，产生了许多的安全隐患。“边缘论”和面向非连接的设计思想保障了网络的高效互通，逐跳存储转发的分组传送方式简单灵活，无需在中间节点维护过多的状态信息，核心网络的工作集中于路由转发。这些机制的优点是设计简单，可扩展性强等，然而却造成了分组传输路径的不可控，网络中间节点对传输数据包的来源不验证、不审计，导致地址假冒、垃圾信息泛滥，大量的入侵和攻击行为无法跟踪。如何解决网络的低可控性与安全可信需求之间的矛盾，建立内在的、关联的网络可控模型，在理论和技术上仍是当前学术界的一个难题。

3.3 如何保障服务的可生存性

可生存性是网络研究的一个基本目标，指对网络系统基本服务可用性的保障。可生存性设计需要使系统能够自测试、自诊断、自修复和自组织，从而维持关键服务的关键属性，如完整性、机密性等。安全服务作为网络系统的关键服务，某种程度的失效就可能会造成整个系统遭受更大范围的攻击，导致更多服务的失效甚至是系统瘫痪。由于网络系统固有的脆弱性，人为的管理漏洞和操作失误，完全安全的网络系统是不可能存在的。因此，如何在这样一个条件下，尽可能地减少包括安全服务在内的关键服务的失效时间和失效频度，并允许网络服务的降级使用，是可信网络研究的一个关键问题。

4 可信网络研究展望

随着互联网在业务种类、用户数量以及复杂度上的急剧膨胀，当前分散、孤立、单一防御、外在附加的网络安全系统已经无法应对具有多样、随机、隐蔽和传播等特点的攻击和破坏行为，网络正面临着严峻的安全挑战，网络系统的可信性问题成为当前人们对网络安全日益重视的问题，可信网络也正成为当前学术界的热点研究领域，国内外学者都在积极探索新的研究思路。在可信终端的研究方面，为了解决信息终端结构上的不安全，从根本上提高其可信性，国际上正在推动可信计算技术。1999 年，由康柏、惠普、IBM、Intel 和微软共同组织了了可信计算联盟(TCPA)致力于在计算平台体系结构上增强其安全性，为高可信计算制定开放的标准。2003 年 TCPA 改组为可信计算集团(TCPG)，并发布了可信平台模块(TPM)规范。在国内，林闯等人对可信网络、可信性、可控性和可生存性进行了深入的研究，并将随机模型方法引入到可信网络的研究之中，对可信网络的体系结构进行了描述、对可信网络中网络与用户行为的可信模型进行了分析、并对可信网络中网络的可控性和服务的可生存性进行了论证。所有这些，对今后可信网络的研究打下了坚实的基础，并为今后的进一步研究指明了方向。