可信网络关键问题研究*

郑君杰，戴 洁，汪 晋，李 军

（1.中国人民解放军理工大学气象学院 南京 211101；2.新华通讯社江苏分社 南京 211100）

1 引言

当前互联网面临大量的网络安全问题，如恶意攻击、网络计算机病毒等。网络上存在如此多的攻击和破坏行为的最主要、最根本原因是网络系统存在大量的安全漏洞。产生安全漏洞的原因是多方面的，最主要的原因在于长期以来网络体系结构的研究主要考虑如何提高数据传输的效率，早期的网络协议也很少考虑安全问题，加之网络的开放性，使得攻击者很容易发起攻击，并且攻击过程难于检测和追踪。

尽管网络信息安全的研究已经进行了多年，但是效果并不理想。现有的网络安全技术主要有防火墙、入侵检测等，在目的、功能上孤立单一，只能对抗已知的攻击，对新的、未知的攻击是束手无策的。一方面，这些技术在体系结构上多是附加在系统上进行被动的防御，无法从本质上解决问题，且安全系统自身的安全与可靠难以得到保证。另一方面，网络攻击方式日益呈现出智能化、系统化、综合化的趋势，新的攻击方式不断涌现，造成当前的安全系统规则膨胀，误报率增多，导致安全投入不断增加，维护与管理日益复杂甚至难以实施，大大降低了信息系统的使用效率。

因此在当前这种情况下构建一个安全、可生存和可控的可信网络正在成为人们关注的焦点。“高可信网络”已被正式写进中国国务院公布的《国家中长期科学和技术发展规划纲要(2006—2020 年)》(以下简称《纲要》)。《纲要》明确指出：“以发展高可信网络为重点，开发网络信息安全技术及相关产品，建立信息安全技术保障体系，防范各种信息安全突发事件”。同时提出了“重点研究网络安全与可信可控的信息安全理论”、“建立可信的网络管理体系”、“开发高效可信的超级计算机系统”以及重点研究开发支撑现代服务业领域发展所需的“高可信网络软件平台及大型应用支撑软件”，从基础理论、支撑网络、IT设施和应用软件等全方位推动 “高可信”网络基础环境相关的科研工作[1]。2008年，“863计划”信息技术领域设立了“新一代高可信网络”重大项目，开始部署国家级“下一代网络和业务试验床”建设工程[2]。

1.1 可信计算与可信网络

尽管可信系统概念的提出已经有一段时间，可信计算也是近年来的一个研究热点，但是国际上对可信网络的探索刚刚开始，目前国际上对可信性比较有代表性的阐述是标准ISO/IE15408：一个可信的组件操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏。微软公司的比尔·盖茨认为可信计算是一种可以随时获得的可靠安全的计算，并包括人类信任计算机的程度，就像使用电力系统、电话那样自由、安全[3]。参考文献[4]则将可信性表述为系统提供的服务可以被论证为可信任的，系统能够避免出现不能接受的频繁或严重的服务失效。

1.2 可信计算

1999年由Intel、HP等巨头组织了可信计算平台联盟（TCPA），致力于在计算平台体系结构上增强其安全性。2001年1月TCPA发布了标准规范，2003年改组为可信计算组织（TCG），成员扩大到200家。2003年10月发布了TPM规范。2002年底IBM发布了带有嵌入式安全子系统（ESS）的笔记本电脑。作为可信计算最积极的倡导者，微软公司宣称将其操作系统建立在“高可信计算”的基础上。中国目前包括联想在内也有8家企业加入TCG。TCG进一步划分成更详细的研究组，包括体系组、无线移动组、PC客户机组、服务器组、软件堆栈组、存储组、可信网络连接组、可信平台模块组[5～7]等。可信计算首先检查用户身份是否可信，如它是不是合法的一员、是不是认可的设备；再检查用户状态，如它的防御措施是否到位，是不是有安全合格的防病毒软件，终端防病毒软件数据是否及时更新等。美国国家自然科学基金在2006年支持了信息空间信任的研究项目[8]，美国国家研究委员会也提出信息空间的信任研究[9]。我国在上述领域也进行了多年的研究，可信计算已被列入“十一五 ”规划，中国国家信息中心、北京工业大学等正在进行可信计算终端的研究。清华大学国家信息实验室的网络控制研究组先后在可控可信可扩展的新一代互联网体系[10]、可信网络[11，12]、网络安全的随机模型方法与评价技术[13]等相关方面进行了大量前瞻性的研究。

1.3 可信网络

目前网络安全技术多种多样，但都是头痛医头，脚痛医脚，没有一个全面的解决方案，导致实现代价越来越大，越来越复杂，业界迫切需要新的理念和思路来解决网络的安全问题，可信网络在这种背景下被提出。目前业界虽然对可信网络有不同理解，有的认为是基于认证的可信，有的认为是基于现有安全技术的整合，有的认为是网络的内容可信，有的认为是网络本身的可信，有的认为是网络上提供服务的可信等，但对可信网络的目的的认识是统一的，那就是提高网络和服务的安全性。可信网络可以提高网络的性能，简化因不信任带来的开销，提高系统的整体性能。

目前公认的可信网络的定义[12]是：一个可信的网络应该是网络和用户的行为及其结果总是可预期与可管理的，能够做到行为状态可监测，行为结果可评估，异常行为可管理。具体而言，网络的可信性应该包括一组属性，从用户的角度需要保障服务的安全性和可生存性，从设计的角度则需要提供网络的可管理性。不同于安全性、可生存性和可管理性在传统意义上分散、孤立的概念内涵，可信网络将在网络可信的目标下融合这3个基本属性，形成一个有机整体。

2 可信网络需要解决的关键问题

2.1 体系结构

互联网在设计之初对安全问题考虑不足是当前网络存在众多安全漏洞的一个重要因素。一段时间以来网络体系结构的研究过度集中于如何提高数据传输的效率，如今形成了一个核心简单、边缘复杂的Internet体系模型，复杂的功能由终端来保证。这种体系结构的简单性方便了新业务的部署，但同时造成核心网络对业务过于透明，基本不存在特定的运行模式，难以检测到应用业务层面出现的问题，更难将攻击行为和新业务区分开来。此外，网络安全已经超出传统信息安全的内涵，服务的安全作为一个整体属性为用户所感知的趋势日益凸现。然而目前的网络安全设计基本上很少触及体系结构的核心内容，大多是单一的防御和打补丁附加的机制，在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的。在攻击方式日益复合交织的趋势下，当前的安全系统变得越来越臃肿，严重降低了网络性能，甚至破坏了系统设计开放性、简单性的原则。并且，安全系统自身在设计、实施和管理各个环节上也不可避免地存在着脆弱性，严重影响了其功效的发挥。因此基于这些附加的、被动防御安全机制上的网络安全是不可信的。另一方面，网络安全研究的理念已经从被动防御转向了积极防御，需要从访问源端就开始进行安全分析，尽可能地将不信任的访问操作控制在源端，因此，可信网络的研究必须重新审视互联网的体系结构设计，减少系统脆弱性并提供系统的安全服务。目前广泛使用的协议也缺乏完整的安全参考模型，更不能在实现网络可信这一目标下，融合安全性、可生存性和可控性。

开放系统互联应该是可信网络体系结构研究需要遵从的一个原则。可信网络体系结构的研究必须充分认识到网络的复杂异构性，从系统的角度保障安全服务的一致性。现实的互联网涵盖了不同类型的传输技术，如有线和无线，存在着不同属性的业务，如数据、图像、语音和视频。这些差异可能会形成对网络可信性威胁因素的不同关注，然而来自用户的安全服务要求却是明确的，并不会因某个业务需要跨越几个无线和有线的传输路径而改变，当然也不会关心提供安全服务的具体技术细节。

2.2 网络的可控性

互联网发展至今已成为一个庞大的非线性复杂系统，远远超过了当初设计的考虑，产生了许多的安全隐患。边缘论[14]和面向非连接的设计思想保障了网络的高效互通，逐跳存储转发的分组传送方式简单灵活，无需在中间节点维护过多的状态信息，核心网络的工作集中于路由转发。这些机制的优点是设计简单、可扩展性强等，然而却造成了分组传输路径的不可控，网络中间节点对传输数据包的来源不验证、不审计，导致大量的入侵和攻击行为无法跟踪。如何解决网络的低可控性与安全可信需求之间的矛盾，建立内在的、关联的网络可控模型在理论和技术上仍是当前学术界的一个难题。

网络的可控性是可信网络在设计上的一个重要属性，主要目标是在网络的关键部分增加认证、授权等控制机制使网络更可信，在不同的层次上实施对网络的监管，提供采集和传输网络组件信任信息以及检测网络运行状态的机制，并提供异常行为控制和攻击预警的快速算法。此外，网络攻击和破坏行为的综合化，客观上要求对抗机制也要综合化，因此可信网络的可控性设计必须建立内在关联的监控体系，完成对网络节点的监测以及信任信息的采集，并根据信任分析决策的结果实施具体的访问接纳和攻击预警等行为控制手段，使得多样的监控机制能够融合在一个可信的平台下并发挥效用。

2.3 可信模型

建立包括网络的脆弱性分析以及用户攻击行为描述等内容的可信模型理论，是进行可信性评估，区分网络是否被正常使用的基础，也是对抗攻击的前提。可信模型要能抽象而准确地描述系统的可信需求且不涉及到具体实现细节，并可通过数学模型的分析方法找到系统在安全上的漏洞。可信模型的形式化描述、验证能够提高网络系统安全的可信度。现时的网络已经演变成为一个庞大的非线性复杂系统，网络节点间的协议交互以及用户之间的合作与竞争，使网络行为呈现出相当的复杂性，而且攻击和破坏行为也呈现出多样的特点，从而难以预测、分析和研究。另一方面，传统理论方法建立描述网络和用户行为的可信模型是比较困难的。这需要借助现有的基础理论和创建新的理论、开发新的研究方法才能逐步解决。已有的基于规则的脆弱性分析方法中规则的生成是十分关键的。对于单个的系统组件，生成规则并不困难，但是对于一个庞大复杂的网络系统，需要对大量系统组件的交互关系相当了解才可能归纳出所需要的规则，这在操作上是相当困难的。

此外，基于规则的方法只能描述已知攻击方式的行为，难以应对攻击方式繁多的状况。基于模型的脆弱性方法为整个系统建立模型，通过模型可获得系统所有可能的行为和状态，利用模型分析工具对系统整体的可信性进行评估。模型的建立比规则的抽取简单，而且能够发现未知的攻击模式和系统脆弱性，因而适合于对系统进行整体评估。基于模型的方法的关键之处在于模型的建立。如果模型太简单，不能清晰描述系统可能的行为，则会导致评估结果不全面。相反如果模型太复杂，则可能导致评估十分困难。尽管使用模型来定量地评估计算机系统的可靠性，在理论和技术上已经有了较长的发展历史，如组合方法、马尔可夫回报模型、离散事件仿真等，但是网络系统的安全评估大多还是采用形式化方法对整体设计的局部进行分析，缺乏定量的评估模型。

3 基于现有技术的可信网络构建方案

当前很多单位根据各自面临的安全问题配置了各种各样的安全产品，但是这些针对性很强的安全产品缺乏相互之间的协作和沟通，没有紧密耦合实现网络安全的整体防御，导致安全问题仍然层出不穷。

因此将各安全子系统、各安全产品有效地关联，提高网络整体的安全防御能力成了网络安全发展的必然趋势。目前已经提出了多种解决方法，典型的如Cisco的自防御网络、Microsoft的应用安全框架等，这些方法体现了整体、立体、多层次和主动防御的思想，提升了安全管理的重要性，认为应在不同层次上加强网络安全的监管，特别是各种网络设备和计算资源安全属性的管理。

本文在现有技术基础之上提出一种新的可信网络构建方案，通过对现有网络安全产品和网络安全子系统的有效整合和管理，并结合可信网络的接入控制机制、网络内部信息的保护和信息加密传输机制，全面提高网络整体安全防护能力。

方案主要包括可信安全管理系统、网关可信代理、网络可信代理和端点可信代理4部分，以确保安全管理系统、安全产品、网络设备和端点用户4个安全环节的安全性与可信性，最终实现对用户网络已有安全资源的有效整合和管理（如图1所示）。

方案的核心内容主要有以下三个。

（1）可信网络安全管理系统

可信网络安全管理系统处于整个可信网络安全体系的核心位置。它通过对网络中各种设备（包括路由设备、安全设备等）、安全机制、安全信息的综合管理与分析，对现有安全资源进行有效管理和整合，从全局角度对网络安全状况进行分析、评估与管理，获得全局网络安全视图；通过制定安全策略指导或自动完成安全设施的重新部署或响应，全面提高整体网络的安全防护能力。

（2）可信网络安全接入控制系统

可信网络安全接入控制系统主要基于 “可信代理”的安全机制，结合终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户的认证、授权控制，只有通过了用户身份鉴别和工作终端系统安全状况评估后，用户使用的终端系统才能够接入到动态的可信网络中。可信网络安全接入控制系统能够有效地避免可信网络中因不可信终端系统接入所带来的潜在风险。而作为可信网络安全接入控制系统实现基础的可信代理，则依据所处的位置不同，功能也不相同，主要划分为如下三种类型。

①终端可信代理

终端可信代理工作在桌面系统中，用于采集待接入可信网络的终端系统的安全状况信息和终端操作用户的认证信息，并负责与位于网络接入设备上的网络可信代理，或位于安全网关系统上的网关可信代理建立安全通信通道，而采集到的信息将通过可信的通信通道传送到网络接入安全控制机制的认证、评估子系统，由其来确定终端系统的可信与否。此外终端可信代理还需要提供终端安全应用的集成接口，用于采集不同安全应用的特征信息。

②网关可信代理

网关可信代理作为可信网络安全接入控制系统的组成部件之一，工作在安全网关系统上，处于终端可信代理与可信网络安全管理系统之间。

③网络可信代理

网络可信代理作为网络接入安全控制系统的组成部件之一，工作在网络接入设备上，处于终端可信代理与可信网络安全管理系统之间。

（3）可信网络信息保护机制

可信网络信息保护机制重点关注可信网络内部重要信息的保护，以确保这些数据在存储、使用以及传输过程中的安全，并且通过控制可信网络内部用户访问外部时的安全策略检查机制以及外出信息的检查机制来避免敏感信息的外泄，从而保证可信网络内部信息的机密性和可信性。相关的技术包括信息保护的安全模型、信息的可信传输机制、用户的身份鉴别与授权机制、违规网络外联检测与监控以及外出信息的信息流控制机制、内容过滤机制等。

4 结束语

作为现代社会最重要的信息基础设施之一，现有互联网经历30多年高速发展后，暴露出了许多难以克服的困难和矛盾，主要表现为不能保证基本的安全性和可信任性，不可控、不可管、不能保证服务质量等方面。这不但制约了互联网自身的发展，同时也阻碍了社会信息化进程。传统的网络安全技术已经不能满足网络发展的需要，提供系统的安全可信的服务已经成为网络发展的新趋势。

1 http://www.gov.cn/jrzg/2006-02/09/content_183787.htm

2 http://www.most.gov.cn/tztg/200907/t20090705_71630.htm

3 Gates B.Trustworthy Computing.http://www.stanford.edu

4 Algridas A,Laprie J C,Brian R,et al.Basic concepts and taxonomy of dependable and secure computing.IEEE Transactions on Dependable and Secure Computing,2004,1(1):11～33

5 Trusted Computing Group,https://www.trustedcomputinggroup.org/home,2005

6 Trusted Computing Group. IWG reference architecture forinteroperability:part1 specification version 1.0,revision 0.86,2005

7 Trusted Computing Group.IF-IMC interface specification,v.1.0,2005

8 Program Solicitation, http://www.nsf.gov/pubs/2005/nsf05518/nsf05518.htm,2006-02-06

9 Cyber Trust,http://www.nap.edu/catalog/6161.html,2006

10 林闯，任丰原.可控可信可扩展的新一代互联网.软件学报，2004，15（12）：1815～1821

11 Lin Chuang,Peng Xuehai.Research on network architecture with trustworthiness and controllability.Journal of Computer Science and Technology,2006,21(5):732～739

12 林闯，彭雪海.可信网络研究.计算机学报，2005，28（5）：751～758

13 林闯，汪洋，李泉林.网络安全的随机模型方法与评价技术.计算机学报，2005，28（12）：1943～1956

14 Saltzer H,Reed D P,Clark D.End to end argument in system design.ACM Trans on Computing System,1984,2(4):277～288