荊繼武，龍春，李暢

1.中國科學(xué)院大學(xué)，計算機(jī)科學(xué)與技術(shù)學(xué)院，北京 100049

2.中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心，北京 100190

引 言

在數(shù)字網(wǎng)絡(luò)逐步成為控制世界的大腦，成為物理世界靈魂的時代，數(shù)字網(wǎng)絡(luò)世界的安全就變得尤為重要。數(shù)字網(wǎng)絡(luò)世界的特點和發(fā)展確定了與之相適應(yīng)的安全技術(shù)發(fā)展方向。探討安全技術(shù)的走向，就一定得理解數(shù)字網(wǎng)絡(luò)世界發(fā)展的脈絡(luò)，看清數(shù)字網(wǎng)絡(luò)世界的新時代特點。本文將從對數(shù)字網(wǎng)絡(luò)世界的理解開始，探討信息系統(tǒng)和安全系統(tǒng)面臨的威脅，從而引出未來網(wǎng)絡(luò)安全技術(shù)的方向。

1 數(shù)字網(wǎng)絡(luò)世界的發(fā)展

我們進(jìn)入了一個正在起步的新數(shù)字網(wǎng)絡(luò)化時代。掃地機(jī)器人、智能聯(lián)網(wǎng)家具、智能門鎖以及家用互聯(lián)網(wǎng)攝像頭等一系列信息化聯(lián)網(wǎng)的生活產(chǎn)品正快速普及。電子手表、智能終端等開始成為日常的隨身配置。生活、工作、商業(yè)、科研等業(yè)務(wù)都在向數(shù)字網(wǎng)絡(luò)快速轉(zhuǎn)移。我們正在經(jīng)歷一個嶄新的全球數(shù)字化發(fā)展新時代。信息化的快速發(fā)展不僅是全世界發(fā)展的機(jī)遇，也“為中華民族帶來了千載難逢的機(jī)遇”[1]。

1.1 互聯(lián)網(wǎng)與現(xiàn)實世界融合的時代

我們已經(jīng)進(jìn)入了網(wǎng)絡(luò)空間命運(yùn)共同體的時代[2]。在這樣的時代，多網(wǎng)融合已經(jīng)屢見不鮮。多種終端，包括手機(jī)、智能家居、智能汽車、監(jiān)控攝像頭和移動傳感器等，以及各種業(yè)務(wù)，包括金融、購物、科研、社交和政務(wù)等全部接入了互聯(lián)網(wǎng)絡(luò)。整個世界與互聯(lián)網(wǎng)絡(luò)已經(jīng)緊密結(jié)合在一起，構(gòu)成了新的人類命運(yùn)共同體。獨(dú)立的隔離網(wǎng)絡(luò)要么正逐步離開人們的視野，成為過去網(wǎng)絡(luò)發(fā)展的歷史，要么通過各種途徑逐步融入到這一巨大的互聯(lián)互通網(wǎng)絡(luò)世界中。世界上所有的人都能在網(wǎng)絡(luò)上生活、學(xué)習(xí)、工作、游戲，包括恐怖份子；各種系統(tǒng)都在網(wǎng)絡(luò)上運(yùn)轉(zhuǎn)，包括黑客的系統(tǒng)；各種代碼都在網(wǎng)絡(luò)上運(yùn)行，包括病毒；各種數(shù)據(jù)都在網(wǎng)絡(luò)上傳輸，包括暴力和色情數(shù)據(jù)。網(wǎng)絡(luò)命運(yùn)共同體不僅僅意味著共享，更意味著共同維護(hù)，也意味著永遠(yuǎn)無法絕對安全。安全是相對的不是絕對的。

在網(wǎng)絡(luò)空間命運(yùn)共同體的時代，網(wǎng)絡(luò)互聯(lián)的方法和維度逐步增加，使得某些不希望聯(lián)網(wǎng)的設(shè)備也無法逃脫多種方式的網(wǎng)絡(luò)連接。在不聯(lián)網(wǎng)的區(qū)域，一個手機(jī)通過4G、借助WIFI或藍(lán)牙就能夠讓不該聯(lián)網(wǎng)的設(shè)備聯(lián)入互聯(lián)網(wǎng)絡(luò)；連結(jié)屏幕的電纜、外設(shè)的線路，使這些原本不是作為天線來使用的材料，也可以并且有能力將本該隔離的信息發(fā)送到外網(wǎng)；電力的消耗、運(yùn)行的時間信息等，側(cè)信道也可以將不該泄露的信息泄露出去；隨身攜帶的U盤、光盤或者手表，都可能成為突破物理隔離的傳輸介質(zhì)。依靠物理隔離達(dá)到網(wǎng)絡(luò)隔離的目標(biāo)變得越來越難以保證，并逐漸成為一種不可能完成的任務(wù)。

在這樣的時代，如果缺乏安全的網(wǎng)絡(luò)基礎(chǔ)，構(gòu)建應(yīng)用系統(tǒng)的安全體系就只能在不安全的基礎(chǔ)上沙灘建樓。同時，因為系統(tǒng)漏洞不可避免，外部威脅不可避免，也意味著即使花再大力氣在網(wǎng)絡(luò)安全防護(hù)工作上也不一定能確保安全，可能收效甚微。

1.2 數(shù)字世界工業(yè)革命開始的時代

隨著多維通信技術(shù)發(fā)展，網(wǎng)絡(luò)無處不在已是現(xiàn)實。以寬帶網(wǎng)絡(luò)互聯(lián)為第一基本特征的云計算[3]的興起，預(yù)示著數(shù)字世界規(guī)模化、專業(yè)化革命的開始，也就是數(shù)字世界工業(yè)革命的開始。在這樣的時代，個人購買網(wǎng)絡(luò)云存儲比自己購買硬盤更加有效；企業(yè)不再安裝WEB服務(wù)器或郵件服務(wù)器，而是租用云上的WEB服務(wù)或郵件服務(wù)來滿足企業(yè)網(wǎng)絡(luò)需求。在這樣的時代，很少有人或企業(yè)全部靠自己完成數(shù)字系統(tǒng)或信息業(yè)務(wù)。每一項網(wǎng)絡(luò)工作，不管是網(wǎng)絡(luò)服務(wù)或產(chǎn)品的研發(fā)還是生產(chǎn)，不管是互聯(lián)網(wǎng)服務(wù)還是管理，都是眾多企業(yè)或研究團(tuán)隊合作的結(jié)果。細(xì)分專業(yè)中的點點進(jìn)步，都會借助互聯(lián)網(wǎng)絡(luò)廣闊巨大的市場空間帶來豐厚的“長尾”回報，這確保了專業(yè)化的技術(shù)進(jìn)步和創(chuàng)新有了可持續(xù)發(fā)展的推動力。這也正是數(shù)字世界工業(yè)化協(xié)作創(chuàng)新的市場基礎(chǔ)。

專業(yè)化的分工發(fā)展是先進(jìn)社會創(chuàng)新的必然結(jié)果，協(xié)作成為了現(xiàn)代社會的必備要素。數(shù)字網(wǎng)絡(luò)中的安全協(xié)作所需要的技術(shù)將成為推動數(shù)字世界工業(yè)化發(fā)展的重要技術(shù)支撐。另一方面，正如信任體系是現(xiàn)實世界工業(yè)化發(fā)展的重要基礎(chǔ)一樣，網(wǎng)絡(luò)信任體系相關(guān)技術(shù)也將成為未來數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)性技術(shù)，是數(shù)字世界工業(yè)化發(fā)展的重要基礎(chǔ)。

在這樣的形勢下，安全技術(shù)也需要獲得眾多企業(yè)與專家的協(xié)同貢獻(xiàn)，才能成就最優(yōu)秀的安全系統(tǒng)與產(chǎn)品。這樣的時代，完全依靠單個企業(yè)和個人不可能產(chǎn)出優(yōu)秀的安全產(chǎn)品和系統(tǒng)。

1.3 數(shù)字經(jīng)濟(jì)起飛的時代

當(dāng)前，大多數(shù)的銀行都已能夠提供相關(guān)的網(wǎng)絡(luò)服務(wù)，并已經(jīng)將用戶的資產(chǎn)搬到網(wǎng)絡(luò)上；同樣，網(wǎng)絡(luò)商店更是在這幾年飛速發(fā)展，將商品買賣搬到網(wǎng)絡(luò)上；現(xiàn)如今，人們的社交、管理、家居也快速走向網(wǎng)絡(luò)；政府以服務(wù)人民為宗旨[4]，讓人們少跑路，讓信息多跑路，從而推動網(wǎng)上政府服務(wù)并且覆蓋大部分政務(wù)領(lǐng)域?？梢钥吹?，國家經(jīng)濟(jì)的發(fā)展也必將走向網(wǎng)絡(luò)，數(shù)字化已經(jīng)成為推動國家經(jīng)濟(jì)發(fā)展的強(qiáng)大動力。

我們已有的財富需要網(wǎng)絡(luò)來表達(dá)；我們的日程安排要靠電子設(shè)備來記錄；我們的房產(chǎn)證和發(fā)票是否正確都可以通過網(wǎng)絡(luò)來判別；我們的數(shù)字貨幣看不見摸不著，只有依靠數(shù)字設(shè)備來顯示。數(shù)字經(jīng)濟(jì)使得我們經(jīng)濟(jì)的發(fā)展需要更加強(qiáng)有力的數(shù)字安全技術(shù)保障。數(shù)據(jù)安全技術(shù)將成為數(shù)字經(jīng)濟(jì)發(fā)展的核心力量。數(shù)字經(jīng)濟(jì)發(fā)展最為重要的，不僅僅包含數(shù)據(jù)的完整、保密、真實與抗抵賴，更是要保護(hù)數(shù)據(jù)的所有權(quán)關(guān)系不被破壞，也就是保護(hù)數(shù)字世界的生產(chǎn)關(guān)系的安全。數(shù)據(jù)沒有絕對的安全，我們想要保證的是自己的數(shù)據(jù)屬于自己，任何人不能隨便占有或使用。區(qū)塊鏈技術(shù)之所以重要，正是因為它開辟了一個數(shù)字資產(chǎn)保護(hù)的新方向。

正是因為數(shù)字代表了財富，黑客技術(shù)就有了可持續(xù)發(fā)展的動力，從而給安全技術(shù)帶來了持續(xù)的挑戰(zhàn)。

1.4 軟件定義一切的時代

硬件標(biāo)準(zhǔn)化是數(shù)字產(chǎn)業(yè)發(fā)展的必然趨勢。個性化配置越來越依賴軟件完成。軟件定義網(wǎng)絡(luò)、軟件定義存儲、軟件定義數(shù)據(jù)中心等已經(jīng)成為當(dāng)今的重要技術(shù)方向。軟件定義了一切的發(fā)展，也讓數(shù)字網(wǎng)絡(luò)能更好地服務(wù)百姓，并向不斷變化的需求提供了靈活的技術(shù)支撐，是未來數(shù)字系統(tǒng)的技術(shù)特色。

軟件定義一切，就是數(shù)字定義一切。在數(shù)字定義一切的時代，數(shù)字安全是未來系統(tǒng)安全的基礎(chǔ)保障。正如可信計算技術(shù)已經(jīng)是目前系統(tǒng)安全的基礎(chǔ)一樣，密碼技術(shù)也必將成為數(shù)據(jù)定義一切的重要安全技術(shù)的基礎(chǔ)和關(guān)鍵。它將會支撐數(shù)據(jù)的來源真實，數(shù)據(jù)的完整，數(shù)據(jù)的抗抵賴等性質(zhì)的實現(xiàn)。

在這樣的時代，硬件體系結(jié)構(gòu)是標(biāo)準(zhǔn)化的，也就是開放的。安全系統(tǒng)必須采用這樣的開放結(jié)構(gòu)而無法獲得保密專用硬件的支撐。在虛擬機(jī)不斷飄移的云中，如何保護(hù)密鑰安全就成為開放環(huán)境下密碼安全的重要研究課題。

2 網(wǎng)絡(luò)空間的威脅

不斷變化的不安全網(wǎng)絡(luò)、不斷進(jìn)步的黑客技術(shù)使得用于互聯(lián)網(wǎng)絡(luò)的安全系統(tǒng)必須不斷變化和升級。安全系統(tǒng)的結(jié)構(gòu)和原理的保密也變得非常困難。

2.1 不斷變化的非安全網(wǎng)絡(luò)

網(wǎng)絡(luò)命運(yùn)共同體的時代，網(wǎng)絡(luò)是無法絕對安全的。正如在現(xiàn)實世界不可能徹底消滅犯罪一樣，網(wǎng)絡(luò)中也無法避免漏洞，網(wǎng)絡(luò)上一定會有黑客，還會有利益驅(qū)動下黑客的創(chuàng)新行動。所有應(yīng)用系統(tǒng)的安全都不得不面對沙灘建樓的現(xiàn)實，也都不得不采用風(fēng)險可控的安全系統(tǒng)架構(gòu)，平衡系統(tǒng)風(fēng)險和安全防護(hù)成本。軟件定義網(wǎng)絡(luò)、移動網(wǎng)絡(luò)、漫游接入等使整個互聯(lián)網(wǎng)絡(luò)不斷變化，網(wǎng)絡(luò)建設(shè)的加速和不斷升級改造也使得網(wǎng)絡(luò)不斷變化。網(wǎng)絡(luò)不安全加上不斷變化，使得其上的系統(tǒng)安全變得更加脆弱。

2.2 黑客技術(shù)不斷發(fā)展的現(xiàn)實

信息化發(fā)展不僅給人們帶來了新技術(shù)新工具，同樣也給黑客帶來了更加優(yōu)秀的分析技術(shù)和攻擊工具。過去的技術(shù)無法讀取芯片內(nèi)容，而現(xiàn)在的技術(shù)能夠通過精密儀器打開芯片，讀取其中的電可擦除信息。黑客通過漏洞分析能夠找到系統(tǒng)的漏洞，從而進(jìn)攻想要入侵的系統(tǒng)；黑客可以通過身份假冒，繞過系統(tǒng)的訪問控制進(jìn)入系統(tǒng)內(nèi)核；黑客可以越過進(jìn)程間隔離，跨進(jìn)程讀取敏感信息；黑客能夠通過設(shè)備的電源消耗等側(cè)信道信息，推測出設(shè)備中的關(guān)鍵信息；黑客能夠通過注入錯誤代碼使設(shè)備暫時紊亂而泄漏敏感數(shù)據(jù)。黑客技術(shù)的不斷發(fā)展，使安全保護(hù)技術(shù)處于不斷飄搖的動態(tài)中。

2.3 無處可藏的安全技術(shù)

只要設(shè)備走向網(wǎng)絡(luò)，該設(shè)備的設(shè)計就變得無處可藏。例如，通過查詢設(shè)備的相關(guān)專利、購買設(shè)備進(jìn)行使用或結(jié)構(gòu)剖析，以及先進(jìn)的黑客技術(shù)攻擊設(shè)備系統(tǒng)，都可以使得市場上任何安全產(chǎn)品的系統(tǒng)體系大白于天下。由于技術(shù)的不斷進(jìn)步，剖析硬件、分析方案變得越來越容易。依靠方案保密、依靠硬件保密來確保安全必將變得更加力不從心。

3 安全技術(shù)的新趨勢

開放的安全才是真正的安全。零信任、入侵容忍以及白盒安全等技術(shù)的推進(jìn)從另一個方面反映了未來安全技術(shù)的方向，也告訴我們開放的安全將成為安全技術(shù)的基石。

3.1 零信任是信任體系建設(shè)的新假設(shè)

過去對網(wǎng)絡(luò)安全系統(tǒng)的基本假設(shè)是內(nèi)部網(wǎng)絡(luò)具有保密性，但如今隨著物聯(lián)網(wǎng)、云計算等技術(shù)的發(fā)展，網(wǎng)絡(luò)的復(fù)雜性變高，內(nèi)網(wǎng)與外網(wǎng)的界限變得模糊。開放的網(wǎng)絡(luò)安全系統(tǒng)正如密碼技術(shù)的發(fā)展歷程一樣，密碼技術(shù)并不是依賴于對密碼算法的保密，正相反，完全公開的密碼算法，才是真正密碼安全和信息保密的基礎(chǔ)。在當(dāng)今的時代，網(wǎng)絡(luò)已經(jīng)完全開放，無法直接信任。我們面臨著在開放的環(huán)境系統(tǒng)構(gòu)建安全體系的新任務(wù)。

零信任[5]概念是在2010年被Forrester首席分析師John正式提出。零信任的假設(shè)就是敵人在“安全”的內(nèi)部網(wǎng)絡(luò)中進(jìn)行攻擊。這種代表新一代網(wǎng)絡(luò)安全防護(hù)的理念，打破了傳統(tǒng)的“信任”邊界，不再區(qū)分內(nèi)外，對內(nèi)部的人員、網(wǎng)絡(luò)和設(shè)備選擇完全不信任，對所有的人員、網(wǎng)絡(luò)和設(shè)備都進(jìn)行身份和權(quán)限的驗證。信任必須從零開始，并且不斷得到驗證。不管對方是內(nèi)網(wǎng)設(shè)備還是外網(wǎng)設(shè)備，都必須經(jīng)過驗證，完成信任評估后才能進(jìn)行通信或取得所需要的設(shè)備訪問權(quán)限。為防止內(nèi)網(wǎng)中出現(xiàn)“叛徒”造成損失，即使在安全的內(nèi)網(wǎng)進(jìn)行通信，也要進(jìn)行加密保護(hù)。將信任降到零點，成為新一代網(wǎng)絡(luò)空間安全設(shè)計和構(gòu)建的出發(fā)點。

隨著近些年云服務(wù)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展與廣泛應(yīng)用，企業(yè)對網(wǎng)絡(luò)空間邊界的劃分與定義變得逐漸模糊。大型企業(yè)業(yè)務(wù)工作一部分在辦公樓中，一部分部署在云端，員工分布在世界各地，合作伙伴通過各式各樣的設(shè)備來訪問企業(yè)云端的服務(wù)。這些先進(jìn)的技術(shù)在方便人們工作的同時，也使得對網(wǎng)絡(luò)邊界的劃分和安全管理帶來了新的挑戰(zhàn)。

同時，近年遠(yuǎn)程辦公越來越趨向于常態(tài)化、標(biāo)準(zhǔn)化、規(guī)?；髽I(yè)對互聯(lián)網(wǎng)的依賴越來越深，在互聯(lián)網(wǎng)中的業(yè)務(wù)部署越來越多，無形中增加了更多的攻擊面。其次，數(shù)字時代的發(fā)展，數(shù)字資產(chǎn)的價值不斷提升，攻擊價值越來越大，傳統(tǒng)的安全機(jī)制對于內(nèi)部的威脅無法防護(hù)，攻擊者可能在系統(tǒng)內(nèi)部暢通無阻。

在保證連通、共享和企業(yè)生產(chǎn)力的同時對新一代網(wǎng)絡(luò)空間進(jìn)行安全體系的設(shè)計，零信任的思想得到了產(chǎn)業(yè)和學(xué)術(shù)界的大力支持與發(fā)展[6]。該思想遵循三條基本假設(shè)[5]：第一，即使是安全的設(shè)備也沒有可信或者不可信的接口；第二，不再存在可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)；第三，不再存在可信用戶和不可信用戶。這三條假設(shè)更加貼合新一代網(wǎng)絡(luò)空間發(fā)展的安全需求，是安全中信任體系建設(shè)的新思路。

零信任通過不斷地驗證和更加謹(jǐn)慎的安全配置來應(yīng)對網(wǎng)絡(luò)命運(yùn)共同體下邊界模糊、系統(tǒng)假冒、內(nèi)部偷竊等安全風(fēng)險，努力建立起更加安全的邊界，更加可信的操作環(huán)境。

3.2 入侵容忍成為必須的技術(shù)手段

入侵容忍技術(shù)的假設(shè)就是敵人已經(jīng)在我們內(nèi)部，敵人知道我們的安全協(xié)議和部分安全信息。在內(nèi)部有敵人的情況下，在有毒帶菌的情況下，如何保證系統(tǒng)安全是入侵容忍技術(shù)的研究內(nèi)容。

依靠單一系統(tǒng)的安全設(shè)計可能面臨較大風(fēng)險。比如，一個內(nèi)部管理員犯罪可能會把一個重要信息系統(tǒng)變成敵人的碉堡；一個系統(tǒng)的漏洞也會讓一臺合法主機(jī)成為黑客控制的僵尸；芯片的損害或事故也不可避免。如何在部分設(shè)備被敵人占領(lǐng)的情況下，整體系統(tǒng)仍舊能夠安全地工作，已經(jīng)是當(dāng)前系統(tǒng)安全的重要方向。我國“擬態(tài)安全”的理念通過修改系統(tǒng)架構(gòu)實現(xiàn)了系統(tǒng)入侵容忍技術(shù)，確保在“有毒帶菌”的環(huán)境下，系統(tǒng)仍然能夠安全運(yùn)行。

入侵容忍技術(shù)的基礎(chǔ)理論包括糾錯碼理論[7]、門限密碼理論[8]以及拜占庭系統(tǒng)理論[9]等。這些技術(shù)都可以容忍少量錯誤的產(chǎn)生而不影響安全體系的正常運(yùn)行。

糾錯碼主要思想是通過冗余編碼察覺出通信中少量被修改的信息。在通信過程中，信道的傳輸可能存在錯誤或者干擾。而通過冗余編碼，比對結(jié)果，發(fā)現(xiàn)少量的錯誤并進(jìn)行修改，就能恢復(fù)出正確的信息，從而不影響后續(xù)的使用。糾錯碼的思想是即使存在少量錯誤信息也能夠進(jìn)行糾正，最終得到正確的原始信息。

糾錯碼技術(shù)一定程度上對信息的傳輸錯誤有一定的容忍性，是入侵容忍方法中不可或缺的技術(shù)手段。在網(wǎng)絡(luò)空間的信息傳輸中，一定會有意或無意的產(chǎn)生少量的傳輸錯誤，如果是無意的非攻擊行為，接收方發(fā)現(xiàn)錯誤就要求對方重發(fā)信息會很大程度上造成資源的浪費(fèi)，糾錯碼技術(shù)可以一定程度減緩這一問題。如果是有意的攻擊行為，那么接收方在收到被修改過的信息后也可以通過糾錯碼的方式還原出真實的信息。然而，無論哪一種情況，在新一代網(wǎng)絡(luò)空間的發(fā)展中，交互更加復(fù)雜，連接方式更加多樣，更容易出現(xiàn)傳輸信息的錯誤。此外，即使在傳輸過程中被惡意修改了少量的信息，也可以正確傳輸出原本的信息。一定程度上避免了信息在傳輸時被惡意修改的可能。

門限密碼的主要思想是通過多方安全計算的方式，將原本一個密鑰變成多個中間部分，每個中間部分單獨(dú)無法恢復(fù)出密鑰，只有不少于門限值個數(shù)的用戶可以協(xié)同完成密碼操作。把所有的雞蛋放到同一個籃子里，如果籃子被壞人剪破或者持有者故意將籃子里的雞蛋倒出，都無法避免失去雞蛋的損失。門限密碼技術(shù)正是避免“所有的雞蛋放到同一籃子”的思想。通過安全計算將原本一份完整的密鑰變成多份只有部分信息的密鑰，每一份的密鑰信息都不完整，無法得到任何原始密鑰信息，更不能恢復(fù)出密鑰，從而解決攻擊者破解出密鑰或密鑰持有者故意作惡的問題。

此外，門限密碼還可以有效防止多名內(nèi)部人員集體叛變問題。門限密碼中，密鑰持有者人數(shù)需要達(dá)到門限數(shù)值才能進(jìn)行加解密的操作。所以密鑰持有者叛變或者所持密鑰錯誤失效的數(shù)量在容忍范圍內(nèi)就不會對加解密功能造成任何影響。確保在少數(shù)人犯罪的情況下不造成密鑰泄露并完成密碼計算相關(guān)功能，包括加解密和簽名功能。

拜占庭系統(tǒng)理論解決的是分布式系統(tǒng)中存在惡意節(jié)點的問題。在分布式系統(tǒng)中，各個節(jié)點做出一個決策需要相互廣播或者通過信道進(jìn)行協(xié)商。但分布式系統(tǒng)節(jié)點較多，尤其在新一代網(wǎng)絡(luò)空間中，分布式結(jié)構(gòu)更加普遍，客戶機(jī)-服務(wù)器結(jié)構(gòu)，數(shù)據(jù)分布在多臺服務(wù)器中。分布式網(wǎng)絡(luò)也是由分布在不同地點的計算機(jī)組成。實際生活中，物聯(lián)網(wǎng)的數(shù)據(jù)管理系統(tǒng)就是分布式數(shù)據(jù)管理系統(tǒng)。在分布式系統(tǒng)內(nèi)部，如果節(jié)點叛變妨礙節(jié)點之間的相互協(xié)商，導(dǎo)致無法得出最終結(jié)果，不僅對資源是極大的浪費(fèi)，對協(xié)商結(jié)果也會有一定影響。

拜占庭系統(tǒng)能夠讓系統(tǒng)在少數(shù)間諜存在的情況下，協(xié)商出對合法者有利的結(jié)論。該理論基于兩個基本假設(shè)：首先，叛變節(jié)點需要在容忍范圍內(nèi)，也就是叛變節(jié)點是少量節(jié)點；其次，節(jié)點內(nèi)部進(jìn)行叛變，而信道傳輸假設(shè)安全，也就是說每個節(jié)點的信息都能被正確的傳輸?；谶@兩點假設(shè)，拜占庭系統(tǒng)能夠確保誠實的“將軍”在受到“叛徒”干擾的情況下依舊能夠達(dá)成有效的共識。

總而言之，以上的三種入侵容忍方法除了防御來自外部的攻擊和威脅，在很大程度上能防御來自內(nèi)部的叛變，是開放安全架構(gòu)的典范。

3.3 白盒安全技術(shù)是未來發(fā)展的新方向

隨著黑客技術(shù)的進(jìn)步，保護(hù)系統(tǒng)架構(gòu)安全已經(jīng)變得越來越難。白盒安全，不同于過去的黑盒安全，其目標(biāo)就是在敵人攻入系統(tǒng)、了解全部系統(tǒng)內(nèi)容的情況下，確保系統(tǒng)安全的技術(shù)。

白盒安全[10]的核心思想必然用到先進(jìn)的非對稱架構(gòu)，如代碼混淆就是一種用于白盒安全的技術(shù)。通過混淆使得進(jìn)入系統(tǒng)的分析者即使拿到全部的信息，也無法認(rèn)識系統(tǒng)的安全機(jī)理。

比如現(xiàn)代標(biāo)準(zhǔn)的密碼就是一種類似白盒的安全技術(shù)，掌握公開的密碼算法對敵人完全沒有作用。只要用戶保護(hù)好密鑰，密碼機(jī)丟失并不影響密碼安全。如果密鑰在密碼機(jī)里，白盒密碼機(jī)則需要更多的技術(shù)防止黑客拿到密鑰，密鑰的泄露容忍就成為具備密鑰管理的密碼機(jī)白盒安全的重要研究內(nèi)容。

比特幣所依賴的區(qū)塊鏈技術(shù)，也是一種白盒安全技術(shù)的典范。比特幣的區(qū)塊鏈系統(tǒng)不僅將原理全部公開，其運(yùn)行的源代碼也是完全公開的。在完全“開放”的環(huán)境下保證系統(tǒng)的安全才是真正的安全。

3.4 開放的安全才是真正的安全

無論是零信任、入侵容忍還是白盒安全技術(shù)，他們最大的特點都是能夠容忍一定程度上網(wǎng)絡(luò)內(nèi)部的叛變，而網(wǎng)絡(luò)的開放環(huán)境是能夠?qū)?nèi)部系統(tǒng)結(jié)構(gòu)完全開放，允許內(nèi)部網(wǎng)絡(luò)在叛變的前提下依舊可以保證網(wǎng)絡(luò)系統(tǒng)的安全。

開放的安全系統(tǒng)是今天和未來安全系統(tǒng)的發(fā)展方向。在開放環(huán)境中的安全系統(tǒng)，技術(shù)的保密變得越來越困難，開放也是不得不走的方向。開放的安全系統(tǒng)需要非對稱理論的支持，能夠使來自系統(tǒng)內(nèi)部的敵人和威脅都無法突破安全的防線。開放的安全系統(tǒng)能夠確保即使攻擊者獲得系統(tǒng)結(jié)構(gòu)和部分安全信息，系統(tǒng)依舊安全可控。

密碼學(xué)學(xué)科的發(fā)展，給我們展示了開放安全的路徑。過去我們認(rèn)為，同樣的算法，如果保密，肯定比不保密更加安全。因為敵人不僅要獲知密鑰還得獲得算法才能破解。但走到今天，算法的開放和標(biāo)準(zhǔn)化極大推動了密碼學(xué)的發(fā)展，使得密碼通過更精細(xì)化的設(shè)計彌補(bǔ)了開放帶來的安全損失。今天，密碼學(xué)把算法開放已經(jīng)當(dāng)成密碼安全的必要條件。

堅持在開放的環(huán)境中搞安全[11]本身正是秉承著安全為人民的精神，它不僅能夠更好地得到公眾的檢驗與認(rèn)可，也進(jìn)一步迎合了網(wǎng)絡(luò)命運(yùn)共同體的發(fā)展理念。開放的安全系統(tǒng)體系，能得到更多專業(yè)用戶的理解和信任，普及和廣泛應(yīng)用就會變得更加方便。開放的安全系統(tǒng)體系能夠成為“交鑰匙”后用戶明白的工程，用戶用著更放心，如果哪一環(huán)節(jié)出現(xiàn)問題，可以更好地進(jìn)行專業(yè)改良。一個好的安全系統(tǒng)也應(yīng)該由多家專業(yè)生產(chǎn)廠商聯(lián)合打造，各個生產(chǎn)廠商負(fù)責(zé)各自擅長的部分，最后組合成完整的系統(tǒng)。這樣一來，每個部分的安全性能都能夠得到最好的保證，哪一環(huán)節(jié)出了問題也可以及時有針對性地進(jìn)行修補(bǔ)，有效追責(zé)。

只有開放的安全系統(tǒng)體系，才能得到更多專業(yè)生產(chǎn)廠的支撐，在更多的細(xì)節(jié)中取得更好的結(jié)果；只有開放的安全系統(tǒng)，人們在應(yīng)用和部署時才能發(fā)現(xiàn)更合理的方式，更好地發(fā)揮安全系統(tǒng)的服務(wù)和支撐作用，更好地與信息系統(tǒng)緊密集成；只有開放的安全系統(tǒng)，才能得到更多專業(yè)的幫助，才能不斷發(fā)現(xiàn)安全問題，不斷提高和進(jìn)步，從而將安全系統(tǒng)變成為一個活的、能夠不斷完善的系統(tǒng)。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。