网络安全技术的新趋势探讨

荆继武，龙春，李畅

1.中国科学院大学，计算机科学与技术学院，北京 100049

2.中国科学院计算机网络信息中心，北京 100190

引 言

在数字网络逐步成为控制世界的大脑，成为物理世界灵魂的时代，数字网络世界的安全就变得尤为重要。数字网络世界的特点和发展确定了与之相适应的安全技术发展方向。探讨安全技术的走向，就一定得理解数字网络世界发展的脉络，看清数字网络世界的新时代特点。本文将从对数字网络世界的理解开始，探讨信息系统和安全系统面临的威胁，从而引出未来网络安全技术的方向。

1 数字网络世界的发展

我们进入了一个正在起步的新数字网络化时代。扫地机器人、智能联网家具、智能门锁以及家用互联网摄像头等一系列信息化联网的生活产品正快速普及。电子手表、智能终端等开始成为日常的随身配置。生活、工作、商业、科研等业务都在向数字网络快速转移。我们正在经历一个崭新的全球数字化发展新时代。信息化的快速发展不仅是全世界发展的机遇，也“为中华民族带来了千载难逢的机遇”[1]。

1.1 互联网与现实世界融合的时代

我们已经进入了网络空间命运共同体的时代[2]。在这样的时代，多网融合已经屡见不鲜。多种终端，包括手机、智能家居、智能汽车、监控摄像头和移动传感器等，以及各种业务，包括金融、购物、科研、社交和政务等全部接入了互联网络。整个世界与互联网络已经紧密结合在一起，构成了新的人类命运共同体。独立的隔离网络要么正逐步离开人们的视野，成为过去网络发展的历史，要么通过各种途径逐步融入到这一巨大的互联互通网络世界中。世界上所有的人都能在网络上生活、学习、工作、游戏，包括恐怖份子；各种系统都在网络上运转，包括黑客的系统；各种代码都在网络上运行，包括病毒；各种数据都在网络上传输，包括暴力和色情数据。网络命运共同体不仅仅意味着共享，更意味着共同维护，也意味着永远无法绝对安全。安全是相对的不是绝对的。

在网络空间命运共同体的时代，网络互联的方法和维度逐步增加，使得某些不希望联网的设备也无法逃脱多种方式的网络连接。在不联网的区域，一个手机通过4G、借助WIFI或蓝牙就能够让不该联网的设备联入互联网络；连结屏幕的电缆、外设的线路，使这些原本不是作为天线来使用的材料，也可以并且有能力将本该隔离的信息发送到外网；电力的消耗、运行的时间信息等，侧信道也可以将不该泄露的信息泄露出去；随身携带的U盘、光盘或者手表，都可能成为突破物理隔离的传输介质。依靠物理隔离达到网络隔离的目标变得越来越难以保证，并逐渐成为一种不可能完成的任务。

在这样的时代，如果缺乏安全的网络基础，构建应用系统的安全体系就只能在不安全的基础上沙滩建楼。同时，因为系统漏洞不可避免，外部威胁不可避免，也意味着即使花再大力气在网络安全防护工作上也不一定能确保安全，可能收效甚微。

1.2 数字世界工业革命开始的时代

随着多维通信技术发展，网络无处不在已是现实。以宽带网络互联为第一基本特征的云计算[3]的兴起，预示着数字世界规模化、专业化革命的开始，也就是数字世界工业革命的开始。在这样的时代，个人购买网络云存储比自己购买硬盘更加有效；企业不再安装WEB服务器或邮件服务器，而是租用云上的WEB服务或邮件服务来满足企业网络需求。在这样的时代，很少有人或企业全部靠自己完成数字系统或信息业务。每一项网络工作，不管是网络服务或产品的研发还是生产，不管是互联网服务还是管理，都是众多企业或研究团队合作的结果。细分专业中的点点进步，都会借助互联网络广阔巨大的市场空间带来丰厚的“长尾”回报，这确保了专业化的技术进步和创新有了可持续发展的推动力。这也正是数字世界工业化协作创新的市场基础。

专业化的分工发展是先进社会创新的必然结果，协作成为了现代社会的必备要素。数字网络中的安全协作所需要的技术将成为推动数字世界工业化发展的重要技术支撑。另一方面，正如信任体系是现实世界工业化发展的重要基础一样，网络信任体系相关技术也将成为未来数字经济发展的基础性技术，是数字世界工业化发展的重要基础。

在这样的形势下，安全技术也需要获得众多企业与专家的协同贡献，才能成就最优秀的安全系统与产品。这样的时代，完全依靠单个企业和个人不可能产出优秀的安全产品和系统。

1.3 数字经济起飞的时代

当前，大多数的银行都已能够提供相关的网络服务，并已经将用户的资产搬到网络上；同样，网络商店更是在这几年飞速发展，将商品买卖搬到网络上；现如今，人们的社交、管理、家居也快速走向网络；政府以服务人民为宗旨[4]，让人们少跑路，让信息多跑路，从而推动网上政府服务并且覆盖大部分政务领域。可以看到，国家经济的发展也必将走向网络，数字化已经成为推动国家经济发展的强大动力。

我们已有的财富需要网络来表达；我们的日程安排要靠电子设备来记录；我们的房产证和发票是否正确都可以通过网络来判别；我们的数字货币看不见摸不着，只有依靠数字设备来显示。数字经济使得我们经济的发展需要更加强有力的数字安全技术保障。数据安全技术将成为数字经济发展的核心力量。数字经济发展最为重要的，不仅仅包含数据的完整、保密、真实与抗抵赖，更是要保护数据的所有权关系不被破坏，也就是保护数字世界的生产关系的安全。数据没有绝对的安全，我们想要保证的是自己的数据属于自己，任何人不能随便占有或使用。区块链技术之所以重要，正是因为它开辟了一个数字资产保护的新方向。

正是因为数字代表了财富，黑客技术就有了可持续发展的动力，从而给安全技术带来了持续的挑战。

1.4 软件定义一切的时代

硬件标准化是数字产业发展的必然趋势。个性化配置越来越依赖软件完成。软件定义网络、软件定义存储、软件定义数据中心等已经成为当今的重要技术方向。软件定义了一切的发展，也让数字网络能更好地服务百姓，并向不断变化的需求提供了灵活的技术支撑，是未来数字系统的技术特色。

软件定义一切，就是数字定义一切。在数字定义一切的时代，数字安全是未来系统安全的基础保障。正如可信计算技术已经是目前系统安全的基础一样，密码技术也必将成为数据定义一切的重要安全技术的基础和关键。它将会支撑数据的来源真实，数据的完整，数据的抗抵赖等性质的实现。

在这样的时代，硬件体系结构是标准化的，也就是开放的。安全系统必须采用这样的开放结构而无法获得保密专用硬件的支撑。在虚拟机不断飘移的云中，如何保护密钥安全就成为开放环境下密码安全的重要研究课题。

2 网络空间的威胁

不断变化的不安全网络、不断进步的黑客技术使得用于互联网络的安全系统必须不断变化和升级。安全系统的结构和原理的保密也变得非常困难。

2.1 不断变化的非安全网络

网络命运共同体的时代，网络是无法绝对安全的。正如在现实世界不可能彻底消灭犯罪一样，网络中也无法避免漏洞，网络上一定会有黑客，还会有利益驱动下黑客的创新行动。所有应用系统的安全都不得不面对沙滩建楼的现实，也都不得不采用风险可控的安全系统架构，平衡系统风险和安全防护成本。软件定义网络、移动网络、漫游接入等使整个互联网络不断变化，网络建设的加速和不断升级改造也使得网络不断变化。网络不安全加上不断变化，使得其上的系统安全变得更加脆弱。

2.2 黑客技术不断发展的现实

信息化发展不仅给人们带来了新技术新工具，同样也给黑客带来了更加优秀的分析技术和攻击工具。过去的技术无法读取芯片内容，而现在的技术能够通过精密仪器打开芯片，读取其中的电可擦除信息。黑客通过漏洞分析能够找到系统的漏洞，从而进攻想要入侵的系统；黑客可以通过身份假冒，绕过系统的访问控制进入系统内核；黑客可以越过进程间隔离，跨进程读取敏感信息；黑客能够通过设备的电源消耗等侧信道信息，推测出设备中的关键信息；黑客能够通过注入错误代码使设备暂时紊乱而泄漏敏感数据。黑客技术的不断发展，使安全保护技术处于不断飘摇的动态中。

2.3 无处可藏的安全技术

只要设备走向网络，该设备的设计就变得无处可藏。例如，通过查询设备的相关专利、购买设备进行使用或结构剖析，以及先进的黑客技术攻击设备系统，都可以使得市场上任何安全产品的系统体系大白于天下。由于技术的不断进步，剖析硬件、分析方案变得越来越容易。依靠方案保密、依靠硬件保密来确保安全必将变得更加力不从心。

3 安全技术的新趋势

开放的安全才是真正的安全。零信任、入侵容忍以及白盒安全等技术的推进从另一个方面反映了未来安全技术的方向，也告诉我们开放的安全将成为安全技术的基石。

3.1 零信任是信任体系建设的新假设

过去对网络安全系统的基本假设是内部网络具有保密性，但如今随着物联网、云计算等技术的发展，网络的复杂性变高，内网与外网的界限变得模糊。开放的网络安全系统正如密码技术的发展历程一样，密码技术并不是依赖于对密码算法的保密，正相反，完全公开的密码算法，才是真正密码安全和信息保密的基础。在当今的时代，网络已经完全开放，无法直接信任。我们面临着在开放的环境系统构建安全体系的新任务。

零信任[5]概念是在2010年被Forrester首席分析师John正式提出。零信任的假设就是敌人在“安全”的内部网络中进行攻击。这种代表新一代网络安全防护的理念，打破了传统的“信任”边界，不再区分内外，对内部的人员、网络和设备选择完全不信任，对所有的人员、网络和设备都进行身份和权限的验证。信任必须从零开始，并且不断得到验证。不管对方是内网设备还是外网设备，都必须经过验证，完成信任评估后才能进行通信或取得所需要的设备访问权限。为防止内网中出现“叛徒”造成损失，即使在安全的内网进行通信，也要进行加密保护。将信任降到零点，成为新一代网络空间安全设计和构建的出发点。

随着近些年云服务、大数据、移动互联网、物联网等技术的飞速发展与广泛应用，企业对网络空间边界的划分与定义变得逐渐模糊。大型企业业务工作一部分在办公楼中，一部分部署在云端，员工分布在世界各地，合作伙伴通过各式各样的设备来访问企业云端的服务。这些先进的技术在方便人们工作的同时，也使得对网络边界的划分和安全管理带来了新的挑战。

同时，近年远程办公越来越趋向于常态化、标准化、规模化，企业对互联网的依赖越来越深，在互联网中的业务部署越来越多，无形中增加了更多的攻击面。其次，数字时代的发展，数字资产的价值不断提升，攻击价值越来越大，传统的安全机制对于内部的威胁无法防护，攻击者可能在系统内部畅通无阻。

在保证连通、共享和企业生产力的同时对新一代网络空间进行安全体系的设计，零信任的思想得到了产业和学术界的大力支持与发展[6]。该思想遵循三条基本假设[5]：第一，即使是安全的设备也没有可信或者不可信的接口；第二，不再存在可信网络和不可信网络；第三，不再存在可信用户和不可信用户。这三条假设更加贴合新一代网络空间发展的安全需求，是安全中信任体系建设的新思路。

零信任通过不断地验证和更加谨慎的安全配置来应对网络命运共同体下边界模糊、系统假冒、内部偷窃等安全风险，努力建立起更加安全的边界，更加可信的操作环境。

3.2 入侵容忍成为必须的技术手段

入侵容忍技术的假设就是敌人已经在我们内部，敌人知道我们的安全协议和部分安全信息。在内部有敌人的情况下，在有毒带菌的情况下，如何保证系统安全是入侵容忍技术的研究内容。

依靠单一系统的安全设计可能面临较大风险。比如，一个内部管理员犯罪可能会把一个重要信息系统变成敌人的碉堡；一个系统的漏洞也会让一台合法主机成为黑客控制的僵尸；芯片的损害或事故也不可避免。如何在部分设备被敌人占领的情况下，整体系统仍旧能够安全地工作，已经是当前系统安全的重要方向。我国“拟态安全”的理念通过修改系统架构实现了系统入侵容忍技术，确保在“有毒带菌”的环境下，系统仍然能够安全运行。

入侵容忍技术的基础理论包括纠错码理论[7]、门限密码理论[8]以及拜占庭系统理论[9]等。这些技术都可以容忍少量错误的产生而不影响安全体系的正常运行。

纠错码主要思想是通过冗余编码察觉出通信中少量被修改的信息。在通信过程中，信道的传输可能存在错误或者干扰。而通过冗余编码，比对结果，发现少量的错误并进行修改，就能恢复出正确的信息，从而不影响后续的使用。纠错码的思想是即使存在少量错误信息也能够进行纠正，最终得到正确的原始信息。

纠错码技术一定程度上对信息的传输错误有一定的容忍性，是入侵容忍方法中不可或缺的技术手段。在网络空间的信息传输中，一定会有意或无意的产生少量的传输错误，如果是无意的非攻击行为，接收方发现错误就要求对方重发信息会很大程度上造成资源的浪费，纠错码技术可以一定程度减缓这一问题。如果是有意的攻击行为，那么接收方在收到被修改过的信息后也可以通过纠错码的方式还原出真实的信息。然而，无论哪一种情况，在新一代网络空间的发展中，交互更加复杂，连接方式更加多样，更容易出现传输信息的错误。此外，即使在传输过程中被恶意修改了少量的信息，也可以正确传输出原本的信息。一定程度上避免了信息在传输时被恶意修改的可能。

门限密码的主要思想是通过多方安全计算的方式，将原本一个密钥变成多个中间部分，每个中间部分单独无法恢复出密钥，只有不少于门限值个数的用户可以协同完成密码操作。把所有的鸡蛋放到同一个篮子里，如果篮子被坏人剪破或者持有者故意将篮子里的鸡蛋倒出，都无法避免失去鸡蛋的损失。门限密码技术正是避免“所有的鸡蛋放到同一篮子”的思想。通过安全计算将原本一份完整的密钥变成多份只有部分信息的密钥，每一份的密钥信息都不完整，无法得到任何原始密钥信息，更不能恢复出密钥，从而解决攻击者破解出密钥或密钥持有者故意作恶的问题。

此外，门限密码还可以有效防止多名内部人员集体叛变问题。门限密码中，密钥持有者人数需要达到门限数值才能进行加解密的操作。所以密钥持有者叛变或者所持密钥错误失效的数量在容忍范围内就不会对加解密功能造成任何影响。确保在少数人犯罪的情况下不造成密钥泄露并完成密码计算相关功能，包括加解密和签名功能。

拜占庭系统理论解决的是分布式系统中存在恶意节点的问题。在分布式系统中，各个节点做出一个决策需要相互广播或者通过信道进行协商。但分布式系统节点较多，尤其在新一代网络空间中，分布式结构更加普遍，客户机-服务器结构，数据分布在多台服务器中。分布式网络也是由分布在不同地点的计算机组成。实际生活中，物联网的数据管理系统就是分布式数据管理系统。在分布式系统内部，如果节点叛变妨碍节点之间的相互协商，导致无法得出最终结果，不仅对资源是极大的浪费，对协商结果也会有一定影响。

拜占庭系统能够让系统在少数间谍存在的情况下，协商出对合法者有利的结论。该理论基于两个基本假设：首先，叛变节点需要在容忍范围内，也就是叛变节点是少量节点；其次，节点内部进行叛变，而信道传输假设安全，也就是说每个节点的信息都能被正确的传输。基于这两点假设，拜占庭系统能够确保诚实的“将军”在受到“叛徒”干扰的情况下依旧能够达成有效的共识。

总而言之，以上的三种入侵容忍方法除了防御来自外部的攻击和威胁，在很大程度上能防御来自内部的叛变，是开放安全架构的典范。

3.3 白盒安全技术是未来发展的新方向

随着黑客技术的进步，保护系统架构安全已经变得越来越难。白盒安全，不同于过去的黑盒安全，其目标就是在敌人攻入系统、了解全部系统内容的情况下，确保系统安全的技术。

白盒安全[10]的核心思想必然用到先进的非对称架构，如代码混淆就是一种用于白盒安全的技术。通过混淆使得进入系统的分析者即使拿到全部的信息，也无法认识系统的安全机理。

比如现代标准的密码就是一种类似白盒的安全技术，掌握公开的密码算法对敌人完全没有作用。只要用户保护好密钥，密码机丢失并不影响密码安全。如果密钥在密码机里，白盒密码机则需要更多的技术防止黑客拿到密钥，密钥的泄露容忍就成为具备密钥管理的密码机白盒安全的重要研究内容。

比特币所依赖的区块链技术，也是一种白盒安全技术的典范。比特币的区块链系统不仅将原理全部公开，其运行的源代码也是完全公开的。在完全“开放”的环境下保证系统的安全才是真正的安全。

3.4 开放的安全才是真正的安全

无论是零信任、入侵容忍还是白盒安全技术，他们最大的特点都是能够容忍一定程度上网络内部的叛变，而网络的开放环境是能够将内部系统结构完全开放，允许内部网络在叛变的前提下依旧可以保证网络系统的安全。

开放的安全系统是今天和未来安全系统的发展方向。在开放环境中的安全系统，技术的保密变得越来越困难，开放也是不得不走的方向。开放的安全系统需要非对称理论的支持，能够使来自系统内部的敌人和威胁都无法突破安全的防线。开放的安全系统能够确保即使攻击者获得系统结构和部分安全信息，系统依旧安全可控。

密码学学科的发展，给我们展示了开放安全的路径。过去我们认为，同样的算法，如果保密，肯定比不保密更加安全。因为敌人不仅要获知密钥还得获得算法才能破解。但走到今天，算法的开放和标准化极大推动了密码学的发展，使得密码通过更精细化的设计弥补了开放带来的安全损失。今天，密码学把算法开放已经当成密码安全的必要条件。

坚持在开放的环境中搞安全[11]本身正是秉承着安全为人民的精神，它不仅能够更好地得到公众的检验与认可，也进一步迎合了网络命运共同体的发展理念。开放的安全系统体系，能得到更多专业用户的理解和信任，普及和广泛应用就会变得更加方便。开放的安全系统体系能够成为“交钥匙”后用户明白的工程，用户用着更放心，如果哪一环节出现问题，可以更好地进行专业改良。一个好的安全系统也应该由多家专业生产厂商联合打造，各个生产厂商负责各自擅长的部分，最后组合成完整的系统。这样一来，每个部分的安全性能都能够得到最好的保证，哪一环节出了问题也可以及时有针对性地进行修补，有效追责。

只有开放的安全系统体系，才能得到更多专业生产厂的支撑，在更多的细节中取得更好的结果；只有开放的安全系统，人们在应用和部署时才能发现更合理的方式，更好地发挥安全系统的服务和支撑作用，更好地与信息系统紧密集成；只有开放的安全系统，才能得到更多专业的帮助，才能不断发现安全问题，不断提高和进步，从而将安全系统变成为一个活的、能够不断完善的系统。

利益冲突声明

所有作者声明不存在利益冲突关系。