系統(tǒng)視角下的網(wǎng)絡(luò)安全

2019-12-23 15:21北京微電子技術(shù)研究所陸鐵軍李原

網(wǎng)絡(luò)安全和信息化 2019年9期

■ 北京微電子技術(shù)研究所陸鐵軍李原

編者按：本文首先從網(wǎng)絡(luò)在系統(tǒng)中的位置和作用開始分析，然后對網(wǎng)絡(luò)安全問題進(jìn)行分析，并提出解決網(wǎng)絡(luò)安全的方案，該方案在單片機(jī)的IPv4協(xié)議上進(jìn)行了驗(yàn)證。

隨著互聯(lián)網(wǎng)絡(luò)的普及，信息化在當(dāng)前社會(huì)發(fā)揮著重要助推器的作用。為了避免網(wǎng)絡(luò)攻擊和泄密，單位不得不將自己的網(wǎng)絡(luò)與互聯(lián)網(wǎng)實(shí)行物理隔離，但斷開的局域網(wǎng)絡(luò)并不能回避網(wǎng)絡(luò)安全的影響。

本文將從系統(tǒng)的角度來分析網(wǎng)絡(luò)安全的一些問題，并提出一個(gè)適應(yīng)網(wǎng)絡(luò)安全的解決方案。

網(wǎng)絡(luò)在系統(tǒng)中的位置與作用

網(wǎng)絡(luò)是連接各信息系統(tǒng)的連接設(shè)備，由于兩個(gè)信息系統(tǒng)之間可能存在多個(gè)路由器，并且路由器不在自己的管控范圍，所以進(jìn)入網(wǎng)絡(luò)的信息不受控，進(jìn)入網(wǎng)絡(luò)的信息也應(yīng)該被認(rèn)定為進(jìn)入了不安全區(qū)域。

網(wǎng)絡(luò)對于一個(gè)信息系統(tǒng)來說，就是一個(gè)進(jìn)行信息交換的外圍設(shè)備。在系統(tǒng)硬件結(jié)構(gòu)中，由網(wǎng)絡(luò)接口的收發(fā)器通過電纜與外部網(wǎng)絡(luò)相連，而內(nèi)部與系統(tǒng)總線相連，在統(tǒng)一編址的體制中，網(wǎng)絡(luò)接口設(shè)備與內(nèi)存統(tǒng)一編址，以便主機(jī)系統(tǒng)對資源統(tǒng)一管理和操作。在系統(tǒng)軟件的結(jié)構(gòu)中，外圍設(shè)備通過驅(qū)動(dòng)程序來驅(qū)動(dòng)。網(wǎng)絡(luò)接口屬于通用設(shè)備，其接口定義是公開的。當(dāng)網(wǎng)絡(luò)接口上連接了網(wǎng)絡(luò)設(shè)備以后，驅(qū)動(dòng)程序?qū)⒁罁?jù)接口的特性自動(dòng)配置。

網(wǎng)絡(luò)的使用實(shí)際上是應(yīng)用程序調(diào)用系統(tǒng)接口函數(shù)，驅(qū)動(dòng)程序?qū)崿F(xiàn)通信協(xié)議并完成網(wǎng)絡(luò)通信。只要應(yīng)用程序提供了符合IP標(biāo)準(zhǔn)的目的地址，驅(qū)動(dòng)程序就能將數(shù)據(jù)信息通過網(wǎng)絡(luò)發(fā)送出去。當(dāng)然，接收到了外部網(wǎng)絡(luò)數(shù)據(jù)以后，它也會(huì)一層一層地解析最后提交給目的進(jìn)程。

通過上述過程可以發(fā)現(xiàn)，應(yīng)用程序只要能夠調(diào)用網(wǎng)絡(luò)通信的系統(tǒng)接口，就能與外部網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)，系統(tǒng)內(nèi)部如果存在某個(gè)進(jìn)程可以接收指定IP地址的數(shù)據(jù)報(bào)，那么，外部發(fā)送過來的數(shù)據(jù)報(bào)就能收到。這樣一個(gè)機(jī)制使得任何計(jì)算機(jī)之間只要安裝了網(wǎng)絡(luò)驅(qū)動(dòng)程序，就能快捷方便地進(jìn)行信息交換。

網(wǎng)絡(luò)安全問題分析

網(wǎng)絡(luò)傳輸?shù)膱?bào)文可以分為兩類：一類是網(wǎng)絡(luò)報(bào)文，另一類是數(shù)據(jù)報(bào)文。網(wǎng)絡(luò)報(bào)文是終端與交換機(jī)/路由器之間的報(bào)文(包括鄰居確認(rèn))，用于網(wǎng)絡(luò)的連接。數(shù)據(jù)報(bào)文是終端與終端之間的報(bào)文，用于終端之間的數(shù)據(jù)交換。網(wǎng)絡(luò)報(bào)文是網(wǎng)絡(luò)攻擊的主要源頭，數(shù)據(jù)報(bào)文是泄密的主要源頭，有些數(shù)據(jù)報(bào)文也具有攻擊性。網(wǎng)絡(luò)安全問題可以歸納為三種：泄密、病毒傳染和網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)泄密包括三種情形：主機(jī)自行向外特定目的地址發(fā)送數(shù)據(jù)報(bào)文；用戶向外發(fā)送了數(shù)據(jù)報(bào)文但由于重定向發(fā)送到了其他目的地；用戶發(fā)送的數(shù)據(jù)報(bào)文被第三方窺探截獲解讀。

網(wǎng)絡(luò)病毒傳染，即終端向本地網(wǎng)絡(luò)的所有終端發(fā)送屬于病毒的報(bào)文，終端接收報(bào)文以后以可執(zhí)行文件或其他形式駐留在主機(jī)系統(tǒng)，終端主機(jī)由此運(yùn)行效率降低或癱瘓。

網(wǎng)絡(luò)攻擊是通過發(fā)送特定的報(bào)文使得網(wǎng)絡(luò)集中向特定終端發(fā)送大量的報(bào)文，接收終端主機(jī)資源被網(wǎng)絡(luò)處理大量占用消耗，即網(wǎng)絡(luò)泛洪攻擊，或者使得終端網(wǎng)絡(luò)環(huán)境發(fā)生非正常改變，比如報(bào)文發(fā)往非用戶指定目的地形成泄密或形成拒絕服務(wù)。

泄密的主要原因又可歸納為本地計(jì)算機(jī)與遠(yuǎn)程計(jì)算機(jī)的通信授權(quán)被竊取、網(wǎng)絡(luò)攻擊使其改變路徑、密鑰管理和密碼算法使得數(shù)據(jù)報(bào)文易于破解。

在計(jì)算機(jī)系統(tǒng)中，管理員權(quán)限是最大的。系統(tǒng)管理員可以開啟和關(guān)閉任何輸入輸出接口通道。當(dāng)系統(tǒng)管理員退出或進(jìn)入用戶模式以后，操作系統(tǒng)的程序和以系統(tǒng)管理員身份運(yùn)行的程序擁有最高權(quán)限。對于由操作系統(tǒng)啟動(dòng)的非管理程序，是用戶應(yīng)用程序提交的，但是大多數(shù)應(yīng)用程序并非是用戶自己編寫的，所以，大多數(shù)用戶對所運(yùn)行的程序不是完全了解，這些程序中就可能包括網(wǎng)絡(luò)通信病毒子程序，并且駐留在主機(jī)系統(tǒng)中。唯一有效杜絕非法外傳的辦法是隔離。

合法發(fā)送的數(shù)據(jù)報(bào)文被截獲和解讀與網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)協(xié)議相關(guān)。網(wǎng)絡(luò)傳輸是通過交換機(jī)/路由器進(jìn)行的，當(dāng)網(wǎng)絡(luò)傳輸路徑由于路由器欺騙而重定向或路由器不受控時(shí)，就會(huì)被輕易截獲。

另外，在有了IPsec以后網(wǎng)絡(luò)是否就安全了？答案是不一定。原因是支持IPsec的密鑰安全這個(gè)前提是否滿足。當(dāng)前系統(tǒng)環(huán)境很難保證密鑰的安全。如果密鑰泄露，最復(fù)雜的密碼算法和認(rèn)證也不能發(fā)揮作用的。

另外一個(gè)重要的安全問題是：如果一個(gè)安全設(shè)備被破解，是否導(dǎo)致整個(gè)安全體系被攻破或是產(chǎn)生一個(gè)安全漏洞。隨著技術(shù)的進(jìn)步,設(shè)備和芯片被破解并不是一件難事，所以，安全機(jī)制必須保證安全設(shè)備不可復(fù)制，同時(shí)，發(fā)現(xiàn)失控可以立即被禁用。

網(wǎng)絡(luò)病毒傳染產(chǎn)生的原因也是與通信授權(quán)相關(guān)，不同的是傳輸?shù)膶ο蟛煌?，網(wǎng)絡(luò)病毒傳輸?shù)膶ο笫遣《敬a。網(wǎng)絡(luò)病毒傳染的速度非?？臁Ｈ绻f泄密的危害是單個(gè)計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)安全問題，而網(wǎng)絡(luò)病毒傳染的危害是所有被感染的計(jì)算機(jī)運(yùn)行安全問題。與網(wǎng)絡(luò)相關(guān)的運(yùn)行安全問題不能再繼續(xù)使用隔離的辦法了，再隔離就沒有局域網(wǎng)了，安全問題可能會(huì)更加嚴(yán)峻。

網(wǎng)絡(luò)攻擊是主機(jī)程序發(fā)送的一些非正常的惡意報(bào)文，使得網(wǎng)絡(luò)進(jìn)入非常規(guī)的工作狀態(tài)，或者重定向（泄密或拒絕服務(wù)），或者內(nèi)存消耗殆盡（網(wǎng)絡(luò)協(xié)議無法執(zhí)行），或者堵塞網(wǎng)絡(luò)（拒絕服務(wù)）。之所以會(huì)存在是由于網(wǎng)絡(luò)協(xié)議提供的靈活性被惡意使用。比如IP地址可以偽造、鏈路地址可以偽造、出錯(cuò)報(bào)文也可以偽造，廣播或組播幾乎沒有限制，在沒有身份識別的情況下，這些偽造的信息足以使得終端和路由器/交換機(jī)不知真?zhèn)?，偽造的結(jié)果是正常的報(bào)文路徑發(fā)生改變、不應(yīng)出現(xiàn)的網(wǎng)絡(luò)報(bào)文在網(wǎng)絡(luò)上劇增和聚集。對于正常的同步報(bào)文和分片報(bào)文等，如果沒有限制的大量使用也將使得有限的內(nèi)存無法滿足應(yīng)用的需求。

網(wǎng)絡(luò)安全對策

面對當(dāng)前嚴(yán)峻的信息安全形勢，CPU芯片和操作系統(tǒng)無疑是走向信息安全的一個(gè)關(guān)鍵環(huán)節(jié)。但是，由于CPU處理器和操作系統(tǒng)的復(fù)雜度越來越高，更新?lián)Q代越來越快，設(shè)計(jì)漏洞是不可避免。另外，各種應(yīng)用軟件也是越來越多和越來越復(fù)雜，我們不可能完全拒絕這些軟件的安裝和運(yùn)行。這些都是導(dǎo)致網(wǎng)絡(luò)安全的來源。

當(dāng)前針對網(wǎng)絡(luò)安全問題的主要解決方案是使用入侵檢測系統(tǒng)、防火墻和堡壘主機(jī)等。其特點(diǎn)是采用排除法，通用性較強(qiáng)；但無法排除未知病毒或攻擊。因此，網(wǎng)絡(luò)安全處理措施必須徹底放棄這種處理方法。

解決方案

1.將終端的網(wǎng)絡(luò)通信控制權(quán)限從主機(jī)環(huán)境轉(zhuǎn)移出來完全由網(wǎng)絡(luò)管理員獨(dú)立控制。方法是對與網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)接口芯片進(jìn)行增強(qiáng)，使增強(qiáng)的網(wǎng)絡(luò)接口芯片成為具有獨(dú)立性的網(wǎng)絡(luò)安全芯片。

2.網(wǎng)絡(luò)安全芯片不僅具有獨(dú)立自主的控制能力，同時(shí)具有實(shí)時(shí)管控主機(jī)系統(tǒng)與外部網(wǎng)絡(luò)連接的能力，具有收發(fā)雙方身份設(shè)置與確認(rèn)的接入機(jī)制。

3.該網(wǎng)絡(luò)安全芯片專注于網(wǎng)絡(luò)報(bào)文的處理，特別是攻擊報(bào)文的處理，極大地釋放主機(jī)用于處理網(wǎng)絡(luò)事務(wù)的計(jì)算資源，確保在網(wǎng)絡(luò)攻擊時(shí)的主機(jī)系統(tǒng)正常運(yùn)行。

4.該芯片具有唯一的身份識別碼，擁有獨(dú)立的密鑰不可復(fù)制的管理機(jī)制和安全的動(dòng)態(tài)關(guān)聯(lián)信息，是身份認(rèn)證和加解密的有力保障；用戶層無需考慮身份認(rèn)證和加密解密，網(wǎng)絡(luò)安全芯片自動(dòng)添加身份信息并進(jìn)行身份認(rèn)證和接入控制，通過幀的動(dòng)態(tài)重構(gòu)與實(shí)時(shí)密鑰和一幀一密的密碼機(jī)制，提高報(bào)文的抗暴力破解強(qiáng)度。

5.面對網(wǎng)絡(luò)攻擊，IPv6協(xié)議和IPv4的在網(wǎng)絡(luò)層通過身份認(rèn)證來快速處理外部攻擊報(bào)文，面對內(nèi)部的網(wǎng)絡(luò)攻擊，首先在發(fā)送端進(jìn)行檢控，然后在接收端也進(jìn)行限制和檢查，以防止內(nèi)部產(chǎn)生的泛洪攻擊。

6.如果在接入層的交換機(jī)中設(shè)置非路由器端口與路由器端口控制，則可以進(jìn)一步簡化路由器欺騙與攻擊的處理。

與傳統(tǒng)的查找病毒特征不同，它只選擇合法用戶進(jìn)行身份認(rèn)證，在認(rèn)證過程中，不采用固定序列碼的方式，而是采用動(dòng)態(tài)關(guān)聯(lián)信息進(jìn)行認(rèn)證，這樣不僅降低了計(jì)算量，使得在接口芯片上實(shí)現(xiàn)成為可能，而且使得身份認(rèn)證更加安全可靠。

結(jié)語