網(wǎng)絡(luò)邊疆安全中訪問控制熵的研究與應(yīng)用

◆常永寬

網(wǎng)絡(luò)邊疆安全中訪問控制熵的研究與應(yīng)用

◆常永寬

(中國社會科學(xué)院中國邊疆研究所 北京 100732)

隨著互聯(lián)網(wǎng)技術(shù)的不斷演進(jìn)和應(yīng)用，安全問題不容忽視，特別是在云計算、大數(shù)據(jù)時代。本文首先介紹了有關(guān)網(wǎng)絡(luò)邊疆有關(guān)概念及其面臨的安全挑戰(zhàn)。并在此基礎(chǔ)上提出了訪問控制熵在網(wǎng)絡(luò)邊疆安全中的應(yīng)用，有效的提升了訪問控制的有效性，拓展了網(wǎng)絡(luò)邊疆中安全技術(shù)應(yīng)用的新思路。

訪問控制熵；網(wǎng)絡(luò)邊疆；安全

0 前言

隨著互聯(lián)網(wǎng)在政治、經(jīng)濟(jì)、文化等領(lǐng)域的深度融合，網(wǎng)絡(luò)技術(shù)的應(yīng)用發(fā)展已引起了深刻的社會變革。截止2017年12月，全球互聯(lián)網(wǎng)用戶超40億，其中中國達(dá)7.72億，占全球互聯(lián)網(wǎng)用戶的五分之一，普及率為 55.8%。[1]

同時，《數(shù)字中國建設(shè)發(fā)展報告（2017年）》中指出，2017年我國數(shù)字經(jīng)濟(jì)規(guī)模達(dá)27.2萬億元，占GDP的比重達(dá)到32.9%，在諸多領(lǐng)域已經(jīng)顛覆了傳統(tǒng)的產(chǎn)業(yè)模式，已成為我國驅(qū)動經(jīng)濟(jì)轉(zhuǎn)型升級的重要動力引擎[2]。

1 網(wǎng)絡(luò)邊疆的技術(shù)

目前，國內(nèi)外對網(wǎng)絡(luò)邊疆的技術(shù)應(yīng)用研究相對較少，大多數(shù)研究僅涉及網(wǎng)絡(luò)邊疆的內(nèi)涵、法理等方面。

葉征、趙寶獻(xiàn)認(rèn)為網(wǎng)絡(luò)邊疆分為以國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施為核心的有形邊疆和以國家專屬的互聯(lián)網(wǎng)域名及其域內(nèi)為核心的無形邊疆[3]。

袁藝借鑒國際上對海洋的通常劃界方法,以網(wǎng)絡(luò)訪問權(quán)限作為網(wǎng)絡(luò)空間劃界標(biāo)準(zhǔn),可將網(wǎng)絡(luò)空間劃分為“公網(wǎng)”“領(lǐng)網(wǎng)”和“專屬網(wǎng)”三部分[4]。

關(guān)于網(wǎng)絡(luò)邊疆尚未有統(tǒng)一的定義。網(wǎng)絡(luò)邊疆作為國家主權(quán)在新時期網(wǎng)絡(luò)空間領(lǐng)域的發(fā)展，是國家主權(quán)在網(wǎng)絡(luò)空間的反映、體現(xiàn)、延伸，需申明的是，由于全球13個互聯(lián)網(wǎng)根服務(wù)器，其中有10個在美國，其余的3個分別在英國、瑞典和日本[5]，所以不能以網(wǎng)絡(luò)數(shù)據(jù)路由為依據(jù)劃分。

圖1 網(wǎng)絡(luò)邊疆架構(gòu)

網(wǎng)絡(luò)邊疆基礎(chǔ)架構(gòu)如圖1所示。在網(wǎng)絡(luò)技術(shù)上，網(wǎng)絡(luò)邊疆分為訪問實體、網(wǎng)絡(luò)傳輸、資源等三個核心要素，具體至網(wǎng)絡(luò)體系結(jié)構(gòu)，其包括物理層、網(wǎng)絡(luò)層、用戶層等，即軟硬件設(shè)施、數(shù)據(jù)、用戶。軟硬件設(shè)施主要包括具有芯片互聯(lián)功能的設(shè)備、運營支撐網(wǎng)等，其中尤為重要的是網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施，主要涉及金融、電力、能源、交通等國家基礎(chǔ)核心網(wǎng)絡(luò)系統(tǒng)。數(shù)據(jù)作為網(wǎng)絡(luò)邊疆的核心要素，也是網(wǎng)絡(luò)安全戰(zhàn)的必爭之項。

2 網(wǎng)絡(luò)邊疆安全面臨的問題

互聯(lián)網(wǎng)是把雙刃劍，繁榮發(fā)展的背后是黑客攻擊、病毒泛濫、用戶隱私泄露等網(wǎng)絡(luò)安全事件的持續(xù)爆發(fā)，給全球秩序穩(wěn)定和發(fā)展帶來極大沖擊和威脅。

（1）關(guān)鍵基礎(chǔ)設(shè)施備受攻擊。Wannacry勒索病毒的爆發(fā)導(dǎo)致我國部分高校、公安系統(tǒng)以及加油卡、銀行卡、第三方支付等網(wǎng)絡(luò)支付功能無法使用。

（2）隱私數(shù)據(jù)泄露事件。數(shù)據(jù)資源在整個互聯(lián)網(wǎng)中起著至關(guān)重要的作用，這些數(shù)據(jù)資源關(guān)乎每個人的財產(chǎn)安全。趣店學(xué)生用戶數(shù)據(jù)泄露，不僅包括學(xué)生借貸金額、滯納金等貸款數(shù)據(jù)，還包括學(xué)生父母信息、學(xué)信網(wǎng)賬號密碼等隱私信息。

（3）核心技術(shù)受制于人。我國雖是網(wǎng)絡(luò)大國，但不是網(wǎng)絡(luò)強(qiáng)國，缺乏自主創(chuàng)新的核心技術(shù)，特別是在芯片和操作系統(tǒng)方面尚未擺脫“缺芯少魂”的困境。以云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)為核心的新技術(shù)，直接帶來了芯片數(shù)量和數(shù)據(jù)正常的幾何級增長，2017年中國的芯片量達(dá)3770億個，超2000億美元，已經(jīng)超過石油的進(jìn)口額成為最大的進(jìn)口品類，嚴(yán)重影響中國的經(jīng)濟(jì)安全，同時也給網(wǎng)絡(luò)空間安全帶來了巨大的困難和挑戰(zhàn)[6]。2018年4月發(fā)酵的“美國制裁中興芯片”事件是最沉痛的教訓(xùn)。

以上不難看出，我國核心信息網(wǎng)絡(luò)存在著嚴(yán)重的安全隱患，而且面臨的威脅狀況還有惡化趨勢，網(wǎng)絡(luò)邊疆安全形勢亟待改善。

3 訪問控制熵在網(wǎng)絡(luò)邊疆安全中的應(yīng)用

3.1 訪問控制技術(shù)

訪問控制是一個計算機(jī)資源或用戶依據(jù)某些控制策略或權(quán)限來對數(shù)據(jù)資源的不同授權(quán)訪問，主要包含主體、客體和控制策略三個要素[7]。訪問控制作為保障數(shù)據(jù)的機(jī)密性、完整性、可用性的重要技術(shù)手段, 是公認(rèn)的確保數(shù)據(jù)安全共享的重要手段之一[8]，能夠保證復(fù)雜網(wǎng)絡(luò)環(huán)境下的資源和服務(wù)被合法用戶，同時防止被非法用戶竊取和濫用。通過制定有效的訪問控制策略,使合法用戶在限定時間內(nèi)獲得有效的系統(tǒng)訪問權(quán)限,對系統(tǒng)的資源進(jìn)行授權(quán)訪問。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，訪問控制策略模型在不同的網(wǎng)絡(luò)語境下也發(fā)生了很大的演變。具體如圖2所示、圖3給出了幾種訪問控制的特點及適用場景的比較。

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等網(wǎng)絡(luò)技術(shù)的融合發(fā)展，導(dǎo)致用戶數(shù)目不斷增多且用戶結(jié)構(gòu)復(fù)雜、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)呈幾何級增長，這就要求網(wǎng)絡(luò)對授權(quán)管理的可擴(kuò)展性有更高的要求。上述傳統(tǒng)的訪問控制技術(shù)存在信任域單一、信息資源的所有權(quán)與管理權(quán)集中控制、對不同應(yīng)用的自適應(yīng)能力較差等問題，僅可滿足單一具體計算模式或應(yīng)用場景的需求，但很難滿足當(dāng)前云計算、大數(shù)據(jù)等復(fù)雜網(wǎng)絡(luò)環(huán)境下的訪問控制。

基于此，本文提出的基于訪問控制熵的策略，可以有效解決訪問安全控制問題，其主要工作流程如圖4所示。

圖2 不同網(wǎng)絡(luò)技術(shù)階段的訪問控制模型

圖3 幾種訪問控制比較

圖4 網(wǎng)絡(luò)邊疆訪問控制流程

由上圖可知，訪問控制熵策略的構(gòu)成要素主要有訪問實體、網(wǎng)絡(luò)、所訪問資源。其描述如下所示：

U(User)：用戶。

Q (Quest)：主要指訪問實體，是資源訪問的發(fā)起方，訪問實體包括用戶、程序、設(shè)備等。

R(Resource): 主要指所訪問的資源，有數(shù)據(jù)庫、文件、網(wǎng)頁等。

NW（Network）:主要指信息傳播的載體，來表征通過何種網(wǎng)絡(luò)來訪問資源，如TCP/IP協(xié)議、藍(lán)牙Bluetooth、無線傳輸協(xié)議802.11a/b/g/n、移動互聯(lián)網(wǎng)3G協(xié)議CDMA2000/WCDMA/TD-

SCDMA、4G協(xié)議TD-LTE和FDD-LTE等。

AP(Access Port) ：主要指網(wǎng)絡(luò)標(biāo)識，有計算機(jī)MAC地址、手機(jī)IMEI碼等。

在上述流程控制框架中，訪問實體發(fā)起訪問請求，該請求經(jīng)網(wǎng)絡(luò)到達(dá)資源服務(wù)器。根據(jù)相應(yīng)的訪問控制算法進(jìn)行判斷。如果判斷符合系統(tǒng)要求，則允許該訪問實體訪問，否則拒絕訪問。

3.2 訪問控制熵有關(guān)參數(shù)計算

熵是度量不確定性的工具, 最初熵來表征熱力學(xué)的工具，香農(nóng)將其引入信息論提出了信息熵的概念，主要用于度量信息無序的程度[9]。

為某次訪問結(jié)果設(shè)置安全系數(shù)Ki，表示該次訪問對系統(tǒng)安全的影響因子，Ki越大表示響應(yīng)αi對系統(tǒng)安全性影響越大，反之對系統(tǒng)安全性影響越小。若Ki的分布為:

則Y的熵為則X 的訪問控制熵為:

針對訪問實體發(fā)起的一次訪問，訪問控制熵值越大表示產(chǎn)生危害系統(tǒng)安全響應(yīng)的不確定性越大，熵值越小表示系統(tǒng)產(chǎn)生安全危害對結(jié)果影響的不確定性越小。訪問控制熵工作流程如圖5所示。

圖5 訪問控制熵工作流程

首先，訪問控制熵需要確定一個閾值，以此來判斷以此訪問行為是否產(chǎn)生較大風(fēng)險，并以此拒絕訪問。一般來說用戶合法訪問和非法訪問行為符合高斯分布，其熵值分別服從（μ1，σ1）、（μ2，σ2）的高斯分布，其比例分別為δ1、δ2。那么其閾值φ為：

φ=δ1μ2+δ2μ1（1）

對于訪問實體發(fā)起的一次訪問，很難通過一次訪問控制判斷來確定其風(fēng)險性，可以以一個時間段來考量其行為。不論是合法訪問還是不合法訪問，有問題的訪問的熵值越高，就表明其意圖越明顯，其風(fēng)險就越大。系統(tǒng)訪問控制策略就應(yīng)該拒絕該訪問實體再發(fā)起的訪問。

根據(jù)上述有關(guān)定義，可知，一次訪問的訪問控制熵值H(Y)t為：

H(Y)t=w1(H(Y)l-φ)+w2(H(Y)i-φ) (2)

其中：H(Y)l為合法訪問的訪問控制熵值，H(Y)i為非法訪問的訪問控制熵值。

所以，根據(jù)式(2)可以計算出一次訪問行為的熵值，并與閾值進(jìn)行比較，以此來判斷該次訪問行為的合法性。因此，根據(jù)以上訪問控制方案，能夠準(zhǔn)確的實施對訪問實體的控制，拒絕非法訪問。

4 結(jié)束語

本文就網(wǎng)絡(luò)邊疆下有關(guān)網(wǎng)絡(luò)安全性問題進(jìn)行了全面的闡述和分析，在對網(wǎng)絡(luò)空間安全有關(guān)概念界定的基礎(chǔ)上，重點分析了有關(guān)網(wǎng)絡(luò)邊疆安全的概念和內(nèi)涵。并對當(dāng)前網(wǎng)絡(luò)邊疆中所面臨的問題進(jìn)行了歸納總結(jié)，并進(jìn)一步描述了基于訪問控制熵的策略實施步驟和方法，有力的保證了訪問控制的可操作性，為新時代網(wǎng)絡(luò)下的發(fā)展和安全提供了一種新思路和保障。

[1]http://wearesocial.cn/blog/2018/01/30/2018-global-digital-report/.

[2]中國互聯(lián)網(wǎng)絡(luò)信息中心.中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告，2018.

[3]方濱興.定義網(wǎng)絡(luò)空間安全[J].網(wǎng)絡(luò)信息安全學(xué)報，2018.

[4]袁藝.如何為網(wǎng)絡(luò)空間劃分國界[J].中國信息安全，2016.

[5]葉征，趙寶獻(xiàn).關(guān)于網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)邊疆、網(wǎng)絡(luò)國防的思考[J].中國信息安全，2014.

[6]黎松,諸葛建偉,李星.BGP 安全研究[J].軟件學(xué)報，2013.

[7]王娜，杜學(xué)繪，王文娟，劉敖迪.邊界網(wǎng)關(guān)協(xié)議安全研究綜述[J].計算機(jī)學(xué)報，2017.

[8]王于丁，楊家海，徐聰，凌曉，楊洋.云計算訪問控制技術(shù)研究綜述.軟件學(xué)報，2015.

[9]李昊，張敏，馮登國，惠榛.大數(shù)據(jù)訪問控制研究.計算機(jī)學(xué)報，2017.

[10]王鳳英.訪問控制原理與實踐[M].北京:北京郵電大學(xué)出版社，2010.