網絡安全分析與安全網絡芯片

北京 陸鐵軍 李原

隨著網絡攻擊日漸繁多，一些單位不得不將自己的網絡與互聯網實行物理隔離，但同時也隔斷了與外界聯系，使得工作效率大打折扣。本文將從系統的角度來分析網絡安全的一些問題，并提出一個適應網絡安全的解決方案。

網絡在系統中的位置與工作流程

由于兩個信息系統之間可能存在多個路由器，并且路由器不在自己的管控范圍，所以進入網絡的信息不受控，進入網絡的信息也應該被認定為進入了不安全區域。

在系統硬件結構中，網絡接口通過電纜與外部網絡相連，而內部與系統總線相連，在統一編址的體制中，網絡接口設備與內存統一編址，以便主機系統對資源的統一管理。在系統軟件的結構中，外圍設備是通過驅動程序來驅動的。

網絡的使用實際上是應用程序調用系統接口函數，驅動程序實現通信協議并完成網絡通信。只要應用程序提供了符合IP 標準的目的地址，驅動程序就能將信息通過網絡發送出去。

網絡安全問題分析

網絡傳輸的報文可以分為兩類：一類是網絡報文，另一類是數據報文。網絡報文是網絡攻擊的主要源頭，數據報文是泄密的主要源頭，有些數據報文也具有攻擊性。網絡安全問題可以歸納為三種：泄密、病毒傳染和網絡攻擊。

網絡泄密包括兩種情形：主機自行向外特定目的地址發送數據報文，并被第三方解讀；用戶向外發送了數據報文但由于重定向發送到了其它目的地，被第三方窺探截獲解讀。

網絡病毒傳染，即終端向本地網絡的終端發送屬于病毒的報文，終端接收報文以后以可執行文件或其它形式駐留在主機系統，終端主機由于病毒的緣故運行效率降低或癱瘓。

泄密的主要原因又可歸納為：本地計算機與遠程計算機的通信授權被竊取；網絡攻擊使其改變路徑；報文未加密或密文易于破解。

在計算機系統中，管理員權限是最大的，當系統管理員退出或進入用戶模式以后，操作系統的程序和以系統管理員身份運行的程序擁有最高權限。對于由操作系統啟動的非管理程序可能產生具有系統管理員權限的網絡通信病毒子程序，并且駐留在主機系統之中，唯一有效杜絕非法外傳的辦法是隔離。

合法發送的數據報文被截獲和解讀與網絡傳輸和網絡協議相關。當網絡傳輸路徑由于路由器欺騙而重定向，這樣就會被截獲。當前的網絡傳輸協議主要有IPv4和IPv6 兩個。IPv4 和IPv6都可以使用IPsec 協議，但用戶不一定都使用了IPsec協議。

另外，即便在有了IPsec之后網絡是否就安全了？答案是不一定。原因是支持IPsec 的密鑰安全這個前提是否滿足。

我們知道密鑰是保存在主機系統之中的，如果主機系統是安全的，則密鑰安全，如果主機系統被入侵，則密鑰就不能保證是安全的。在當前不安全的系統環境下，密鑰與數據一樣可以被病毒程序獲取和傳輸，擁有管理員權限的任何人員和程序也可以輕易獲取密鑰，當前系統環境很難保證密鑰的安全。

另外一個重要的安全問題是：如果一個安全設備被破解，是否導致整個安全體系被攻破。如果對整個安全體系有影響，則泄密的范圍不是單個用戶而是整個網絡設備，所有的安全設備必需全部更換。隨著技術的不斷發展,設備和芯片被破解并不是一件難事，所以，安全機制必須保證安全設備不可復制，同時，發現失控可以立即被禁用。

網絡病毒傳染也是與通信授權相關，所不同的是傳輸的對象不同。網絡病毒傳輸的對象是病毒代碼，病毒可能立即起作用，也可能是潛伏著以后再激活。網絡病毒傳染的速度非常快，如果說泄密的危害是單個計算機系統的數據安全問題，而網絡病毒傳染的危害是所有被感染的計算機運行安全問題。

如果說與網絡相關的數據安全問題可以通過物理隔離的辦法來解決，那么與網絡相關的運行安全問題不能再繼續使用隔離的辦法了，再隔離就沒有局域網了，安全問題可能會更加嚴峻。

網絡攻擊之所以會存在是由于網絡協議提供的靈活性被惡意使用。在沒有身份識別的情況下，這些偽造的信息足以使得終端和路由器/交換機不知真偽，偽造的結果是正常的報文路徑發生改變、不應出現的網絡報文在網絡上劇增和聚集。對于正常的同步報文和分片報文等，如果沒有限制的大量使用也將使得有限的內存無法滿足需求。

總結以上的問題可以歸納為：

網絡通信控制權限問題；網絡數據報文身份識別、加密和密鑰管理問題；報文處理能力問題；網絡協議靈活性、無限的控制范圍問題。

網絡安全芯片

面對當前嚴峻的信息安全形勢，如果具有安全的CPU處理器和操作系統，則可以很好地處理系統的控制權限問題。但是，由于CPU 處理器和操作系統的復雜度越來越高，更新換代越來越快，設計漏洞是不可避免的。

除了核心的CPU 處理器和操作系統以外，各種應用軟件也是越來越多和越來越復雜，基于應用的穩定性需求和應用軟件的特性，我們不可能完全拒絕這些軟件的安裝和運行。

當前針對網絡安全問題的主要解決方案是使用入侵檢測系統、防火墻和堡壘主機等。其特點是采用樂觀性模型的排除法，即沒有病毒特征的程序都可執行，通用性較強；其缺點是不可能排除所有病毒，即新病毒從產生到確認前這一時期，入侵檢測系統或防火墻或堡壘主機是不能發揮作用的。如果病毒隱藏得更深，則確認時間就更長，在這一段時期就可能發生任何事情。因此，網絡安全處理措施必須徹底放棄這種處理方法。

這里設置了網絡安全的設計目標：

能夠攔截主機系統內非法網絡發送，包括網絡攻擊報文的非法外傳；

可以抵御網絡旁路的暴力破解；

能夠發現鄰居欺騙、路由器欺騙、報文分片攻擊、同步攻擊等并自動處理和報警；

能夠抵御網絡的暴力攻擊，并能夠接收合法網絡報文。

解決方案

將終端的通信控制權限從主機系統環境轉移出來完全由用戶獨立控制。方法是對與網絡相關的網絡接口芯片進行增強，使增強的網絡接口芯片成為具有獨立性的網絡安全芯片，結構如圖1所示。

圖1 安全網絡芯片結構

該網絡安全芯片不僅具有獨立自主的控制能力，同時還具有實時管控主機系統與外部網絡連接的能力，以及收發雙方身份設置與確認的接入機制。

通過目的地身份確認，阻斷向外非法發送數據的通道，同時也阻斷發送欺騙和攻擊報文的通道。通過源地址身份識別，可快速處理外部的各種網絡攻擊和欺騙，同時面對網絡窺探報文實行靜默處理，以保護網絡上的各主機活動狀態。

該網絡安全芯片集成有一個嵌入式CPU 處理器。嵌入式CPU 處理器專注于網絡報文的處理，特別是攻擊報文的處理，極大地釋放主機用于處理網絡事務的計算資源，確保在網絡攻擊時的主機系統正常運行。

該芯片具有唯一的身份識別碼，擁有獨立的密鑰不可復制的管理機制和安全的動態關聯信息，是身份認證和加解密的有力保障；用戶層無需考慮身份認證和加密解密，網絡安全芯片自動添加身份信息并進行身份認證和接入控制，通過幀的動態重構與實時密鑰和一幀一密的密碼機制，提高報文的抗暴力破解強度。

面對外部的網絡攻擊，IPv6 協議和IPv4 的在網絡層通過身份認證來快速處理外部攻擊報文。

而面對內部的網絡攻擊，首先在發送端進行檢控，屬于攻擊性質的網絡報文一律丟棄，屬于分片報文、同步報文等進行檢查和限制，惡意的數據報文被丟棄，然后在接收端也進行限制和檢查，以防止內部產生的泛洪攻擊。

如果在接入層的交換機中設置非路由器端口與路由器端口控制，則可以進一步簡化路由器欺騙與攻擊的處理。

與傳統的查找病毒特征不同，它只選擇合法用戶進行身份認證，在認證過程中，不采用固定序列碼的方式，而是采用動態關聯信息進行認證，這樣不僅降低了計算量，使得在接口芯片上實現成為可能，而且使得身份認證更加安全可靠。為了避免任何兩個主機之間都需要直接關聯的復雜環節，通過服務器第三方現場進行關聯，既可解決最初的身份認證問題，也用于對所有終端節點的控制。

在加解密算法方面，數據傳輸采用對稱加密算法，有三個措施：一幀一密；密鑰隨機產生；對密文進行動態重構。

通過端對端的通信采摘和關聯特性的使用，可使得身份認證與密鑰協商更加安全可靠，同時再結合一幀一密和動態重構使得解密的計算復雜度更高和密文也具有隨機性，在暴利破解面前更健壯。

結語

面對網絡安全日益緊迫的嚴峻形勢，通過對網絡設備的使用分析，獲得如下結果：

1.目前的網絡設備是主機系統的一個外圍設備，沒有獨立的網絡管理功能。

2.任何獲取了系統管理員權限的程序，都可以進行網絡操作。

3.主機系統與應用越來越復雜，主機安全可控性難度越來越大。

4.網絡安全問題如果放在主機上進行處理，主機或主機管理員存在安全隱患，網絡安全不能得到保證。

本文提出了一個獨立于主機的動態重構解決方案：

將網絡安全管理獨立于主機系統，不僅可以解決主機被控制的非法對外傳送，還可以解決系統管理員的未經授權的對外數據信息傳送；

利用微電子技術，將普通的網絡接口芯片提升為網絡安全芯片，不僅釋放了主機系統面對網絡攻擊的網絡處理能力，同時集成了密鑰的管理功能，使得網絡協議的實現更加完善；

由于網絡安全接口功能嵌入到現有的網絡接口芯片之中，不影響其封裝尺寸和引腳，也不影響現有的計算機系統裝配和調試，有利于網絡安全需求的快速實施。

本方案已通過單片機原型機系統在IPv4 上進行了驗證。