传统的安全机制提供授权和认证,解决了服务提供者的身份信任问题,但并不能处理服务提供者的行为信任问题。服务提供者的行为信任包括两个方面,基本行为信任和高级行为信任。
基本行为信任是指服务提供者的行为真实可靠、不欺骗、不随意中断服务、按契约的规定提供服务等。如在学校的数字资源的使用方面,服务提供者按规定及时提供可靠的数字资源,提供的内容与规定的契约相符合、不虚假不欺骗、并随时可用。
高级行为信任是指服务提供者在提供服务的过程中没有破坏用户安全的行为,包括不提供带有恶意程序的内容、不将用户的私有信息透漏给第三方、不为了商业利益对用户进行其他破坏行为等。如在学校的数字资源的使用方面,服务提供者的内容不携带蠕虫和木马等可能影响用户安全的恶意程序,不将用户的私有信息如电子邮件等有意无意透漏给第三方、使用户收不到垃圾邮件从而消除用户安全隐患以及不提供不安全的超链接等。
3.2网络信息传输的可信
网络信息传输的可信是指网络各节点在传输信息的过程中忠实、不删不改不夹带,在传输信息时可以根据用户的要求在指定的路径上传输信息,其核心是保证信息在传输过程的保密性、完整性和可用性。网络信息传输的可信一方面要防止第三方对网路传输信息的破坏,另一方面也要防止网络本身可能给传输的信息带来破坏。在制定的策略方面,一方面要在接收方和发送方从技术上保证传输信息的可信性,另一方面也要从法律制度、管理和技术等方面保证网络信息不被网络本身和第三方破坏的可信性。
3.3终端用户的可信
如果从可信网络的服务器、网络本身和网络用户3个组成信息系统层面上来看,现有的保护措施是逐层递减的,这说明人们往往把过多的注意力放在对服务器和网络的保护上,而忽略了对用户端的保护,这显然是不合理的。因为用户端不仅能创建和存放重要的数据,也可能由于其脆弱性引发攻击事件,例如数据泄密和蠕虫病毒感染等。如果我们能从用户端源头开始控制不安全因素,使其符合安全的行为规范,就可以更加完善地保证整个网络的安全。因此加强用户端的可信是整个网络可信的重要内容之一。
终端用户可信又包括两个方面的内容——终端用户的身份可信和行为可信。终端用户身份可信是指终端用户的身份可以被准确鉴定、不被他人冒充,即终端用户的身份真实有效。终端用户的行为可信是指终端用户的行为可评估、可预期、可管理,不会破坏网络设备和数据。传统的安全机制可以提供用户的授权和认证,能解决用户的身份信任问题,但并不能处理用户的行为信任问题。例如在数字化电子资源的订购方面,大学生可以通过可信的身份(一般是学校的IP地址)登陆到学校定购的数字资源服务器上,但他的行为却有可能是不可信的,如使用网络下载工具大批量地下载学校购买的电子资源或者私设代理服务器牟取私利等。
4 可信网络需要解决的科学问题
可信网络的研究将面临着4个重要的科学挑战:第一,由于网络攻击、破坏行为的多样性、随机性、隐蔽性和传播性,使用现有的网络模型理论已经难以对其进行描述分析;第二,网络尤其是互联网络的体系结构中,“边缘论”和面向非连接的设计思想保障了高效的互通,但控制手段相对薄弱,难以解决现实网络的安全问题;第三,网络固有的脆弱性、人为的操作失误和管理漏洞、以及网络攻击和破坏的存在,使得网络在保障服务的可生存性方面面临很大的挑战;第四,复杂的网络结构和高负荷网络负载使网络行为难以协调管理。
4.1网络与用户行为的可信模型
相比传统的网络安全的概念,可信的内涵更深:安全是一种外在表现的断言,可信则是经过行为过程分析得到的一种可度量的属性。这是网络安全研究领域近来取得的一个新共识。如何建立能够有效分析刻画网络和用户行为的可信模型是认识和研究可信网络的关键问题。
建立网络与用户的可信模型的重要性主要体现在:它抽象而准确地描述了系统的可信需求而不涉及到其实现细节,便于通过数学模型的分析方法找到系统在安全上的漏洞。其次,可信模型是系统开发过程中的关键步骤,在美国国防部的“可信计算机系统的评价标准(TCSEC)”中,从B级开始就要求对安全模型进行形式化描述和验证,以及形式化的隐通道分析等。再次,可信模型的形式化描述、验证和利用能够提高网络系统安全的可信度。最后,建立包括网络的脆弱性评估以及用户攻击行为描述等内容的可信评估理论,是实现系统可信监测、预测和干预的前提,是整个可信网络研究的理论基础。
由于不可能存在完全安全的网络系统,所以网络脆弱性评估的最终目的不是完全消除脆弱性,而是提供解决方案,帮助系统管理员在“提供服务”和“保证安全”之间找到平衡,是攻击发生前的主动检测。例如建立攻击行为的描述机制,从大量正常用户行为中区分出存在攻击企图的行为,在可信评估基础上实施主机的接入控制。
传统的基于规则的方法一般只用于局部检测,对整体检测有些力不从心。现有的脆弱性评估工具,绝大多数都是基于规则的,最多也只是能够对单一的主机的多种服务进行简单的相关检查,对多台主机构成的网络进行有效评估还只能依靠人力。基于模型的方法为整个系统建立模型,通过模型可获得系统所有可能的行为和状态,利用模型分析工具测试,对系统整体的可信性进行评估。
图1描述了可信性分析的元素。网络行为的信任评估包括行为和身份的信任,而行为可信又建立在对防护能力、服务能力、信任推荐、行为记录等内容信任的基础之上。
4.2可信网络的体系结构
互联网在设计之初对安全问题考虑不足,是产生当前网络脆弱性的一个重要因素。然而目前的许多网络安全设计很少触及网络体系的核心内容,大多是单一的防御、单一的信息安全和补丁附加的机制,遵从“堵漏洞、作高墙、防外攻”的建设样式,以共享信息资源为中心在外围对非法用户和越权访问进行封堵,以达到防止外部攻击的目的。
在攻击方式复合交织的趋势下,当前安全系统变得越来越臃肿,严重地降低了网络性能,甚至破坏了系统设计开放性、简单性的原则。因此基于这些附加的、被动防御的安全机制上的网络安全是不可信的,从体系结构设计的角度减少系统脆弱性并提供系统的安全服务尤为重要。尽管在开放式系统互连参考模型的扩展部分增加了有关安全体系结构的描述,但那只是概念性的框架,很不完善。
网络安全已不再仅局限于信息的可用性、完整性和机密性,服务的安全将被作为一个整体属性为用户所感知的趋势日益明显,这就促使研究人员重新设计网络体系,整合多种安全技术并使其在多个层面上相互协同运作。一方面,作为补丁而附加到网络系统上的传统安全机制,由于单个安全技术或者安全产品的功能和性能都有其局限性,只能满足特定的安全需求,且安全系统自身在设计、实施和管理等各个环节上也不可避免地存在着脆弱性,严重威胁这些防御设施功效的发挥。如入侵检测不能对抗蠕虫病毒,防病毒软件不能对抗拒绝服务攻击,而防火墙对病毒攻击和木马攻击也无能为力。另一方面,网络安全研究的理念已经从被动防御转向了积极防御,不再局限于在共享信息外围部署安全防御,而需要从访问源端的开始进行安全分析,尽可能地将不信任的访问操作控制在源端。因此,十分需要为网络提供可信的体系结构,避免出现类似传统附加性安全机制的弊端。可信网络体系结构研究必须充分认识到网络的复杂异构性,从系统的角度保障安全服务的一致性。
新体系结构如图2所示,监控信息(监测和分发)和业务数据的传输通过相同的物理链路,控制信息路径和数据路径相互独立,这就使得监控信息路径的管理不再依赖于数据平面对路径的配置管理,从而可以建立高可靠的控制路径。与此形成强烈对比的是,现有网络的控制和管理信息的传输则必须依赖由路由协议事先成功设置的传输路径。
