摘要:互联网在日益成为人们日常生活中不可或缺的组成部分的同时,也日益暴露出其设计思路与当前人们对网络的需求不符合的弊端。虽然“未来网络应该是可信的”这一观点已成为业界共识,但可信网络这一概念应包含哪些内涵,应该从哪些方面努力才能保证网络是可信的,却仍然没有定论。文章认为网络的可信性,应该至少包括安全性、可控可管性和可生存性3个方面的内涵。文章对这3个方面的关键技术进行了分析和点评,在此基础上对可信网络的未来发展和面临的挑战作了评述。
关键词:可信网络;网络安全;可控可管性;可生存性
Abstract:TheInternetplaysincreasingly important roles in everyone’s life, but the existence of a mismatch between the basic architectural idea beneath the Internet and the emerging requirements for it is also becoming more and more obvious. Although the Internet community came up with a consensus that the future network should be trustworthy, the concept of “trustworthy networks” and the ways leading us to a trustworthy network are not yet clear. This research insists that the security, controllability, manageability, and survivability should be basic properties of a trustworthy network. The key ideas and techniques involved in these properties are studied, and recent developments and progresses are surveyed. At the same time, the technical trends and challenges are briefly discussed.
Keywords:trustworthynetwork;network security; controllability and manageability; survivability
基金项目:国家重点基础研究发展规划项目(“973”计划)(2007CB307104、2007CB307100)
互联网无疑是人类可能建造的最伟大的奇迹之一。其巨大成功的根源来自于它简单、开放的设计理念。用户和终端数目的急剧增长、网络技术的飞速进步、商业模式的被吸引等等,都是这种巨大成功的具体表现。然而,正是随着这些因素的引入,互联网面临着越来越多的新的要求和挑战。其最初的成功之后逐渐暴露出来的问题也越来越引人注目。例如安全性差,难以控制和管理,面对故障和攻击难以及时做出反应等等。
由于互联网的种种局限,人们普遍认识到,未来的网络应该具有新的特性,使得用户在使用它的时候更加方便的同时,也更加安全;也应该使得网络的运营者在面临各种异常状态时能及时地发现,并有效地做出反应。人们借鉴可信计算的名称,将这样的网络称为可信网络。
然而,虽然“未来的网络应该是可信的”已成为业界共识,对于“如何定义可信性”,“如何评估可信性”,以及“应该从哪些方面努力才能使得网络可信”这些问题,尚没有明确的定义。不过,没有清晰的概念界定,并不妨碍人们对这个问题相关的范畴和相关技术的研究。事实上,目前已有与可信网络相关的研究成果和研究思路。
因此,本文试图总结和讨论的重点是这些成果和思路,而不打算给出明确的关于“可信网络”的定义。只是在进行这样的总结和讨论时,我们沿用部分学者的看法[1],从网络安全、可控可管性,以及可生存性3个方面进行评述。达到更高的安全性往往需要对网络的控制和管理能力提出更高的要求,而网络生存性所需要应对的威胁也从单纯的随机故障扩展到了包括人为攻击在内的各种异常。
1 网络安全
根据《CNCERT/CC2007年上半年网络安全工作报告》[2],目前中国的互联网络安全实际状况不容乐观。各种网络安全事件与2006年同期相比都有明显增加。半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出2006年全年总数的14.6%和12.5%。中国大陆地区被植入木马的主机IP远远超过2006年全年,增幅达21倍。中国大陆被篡改网站数量比2006年同期增加了4倍。中国的公共互联网网络面临着更加严重的安全威胁。而以获益为目的的网络攻击事件将为广大用户带来更加直接的经济损失。
1.1保证网络安全的主要技术手段
目前保证网络安全的机制主要有网络内容安全、网络认证授权、防火墙、虚拟专用网、网络入侵检测、网络脆弱性检测、安全接入、安全隔离与交换、安全网关、安全监控与管理、网络安全审计、恶意代码检测与防范、垃圾邮件处置、应急响应等[3]。
公开密钥基础设施(PKI)技术是一种能够解决网络环境中信任与授权问题的重要技术,包括身份的真实性、数据的机密性、文件的完整性、行为的不可否认性等。但是该技术中存在一个最大的安全隐患,就是安全控制点,一旦攻击者攻破了安全控制点,那么所有采用的认证技术将形同虚设。
入侵检测系统(IDS)的目的是检测出系统中的入侵行为以及未被授权许可的行为。入侵检测系统通过定时检查审计信息、监督网络流量来查找系统中当前发生的可疑事件。目前,入侵检测系统和防火墙相结合形成的入侵防御系统(IPS),可以大大地扩展防御纵深,更好地保障网络的安全。但IDS面临的最大的问题是其误报率不能满足实际应用的要求[4]。近年来,UC Davis、UC Berkeley、Carnegie Mellon和MIT等大学和实验室在入侵检测领域做了大量的工作,取得了许多重要成果。但是,面对日益复杂的网络环境和层出不穷的安全威胁,入侵检测技术尚处在发展阶段,许多重要的课题有待解决。
1.2网络安全防护技术的发展趋势
各种孤立的网络安全应对措施在面对大范围的网络安全事件时,都是无能为力的。针对互联网全网范围的攻击,需要互联网用户的广泛参与防御,才能达到最理想的效果。文献[5]中就提出了这样一种设想。UC Berkeley、Intel的相关研究机构正在进行该课题的研究。要达到“互联网用户的广泛参与”的目标,需要克服很多技术与非技术难题,如用户间信任关系的确立,用户隐私的保证,互联网范围的分布式数据处理技术等。
正如文献[1]指出的那样,脆弱性的来源是多方面的,存在于系统设计、实现、运行和管理的各个环节。分散孤立的应对方式不可取。因此,网络安全未来的一个重要的研究方向就是以网络的安全性作为重要的考虑,并以此指导未来网络体系结构的研究与设计[6]。Carnegie Mellon、Stanford、UC Berkeley、MIT、Princeton等大学以及Microsoft、Cisco、Intel等企业的研究机构都有人员参与这个充满挑战的方向的研究。
2 可控可管性
我们认为,网络的可控可管性主要是指网络具有对用户行为、网络运行状态和网络资源的有效控制和管理的能力。这种能力不仅对于建设安全的网络是必不可少的,而且对于未来网络的健康发展和持续的技术革新,都是必不可少的。
