網路空間安全體系與關鍵技術（下）

3.4 網路環境下的電力工業控制系統安全技術

隨著工業化與信息化進程的不斷融合, 工業控制系統逐漸成為網路空間的一個重要組成部分, 並被廣泛應用於能源行業、石油化工、水處理、交通、核工業等國家關鍵基礎設施領域. 根據2015 年美國工業控制系統網路應急響應小組的報告, 2014 年度工業控制系統安全事件的分佈中能源行業比例達32%, 這與以電力為主的能源行業對現實社會的重要性及其工控系統的自動化程度、信息化程度較高有緊密的關係, 因此對電力工業控制系統的攻擊將帶來巨大的經濟損失, 甚至危害國家安全.

(1) 電力工業控制系統安全

目前, 面向電力工業控制系統的安全機制研究主要圍繞智能電網開展, 在智能電錶安全與隱私保護、智能電網數據採集與監控系統的攻擊與防禦等方面取得了一些研究成果.

a) 智能電錶安全與隱私保護

為了提高智能電錶終端的安全性, 研究者根據潛在的威脅模型, 提出了一些解決方案: McLaughlin等從攻擊者的角度, 研究如何通過操縱高級量測體系(advanced metering infrastructure,AMI) 系統來欺騙電網, 並對這種攻擊的可行性進行驗證, 從而發現現有AMI 系統中存在多種能源竊取的途徑. 為了防止攻擊者偽造智能電錶讀數,Varodayan 等提出了一種新的冗餘測量機制來驗證接收到的智能電錶用戶用電量讀數, 從而保證其數據的完整性. Liu 等針對AMI 中的信息多混合傳輸模型、智能電錶的信息存儲和計算約束以及需求響應中參與者不固定3 個問題, 提出一種新的密鑰管理方案, 該方案基於密鑰圖技術, 採用密鑰管理方法解決信息混合傳輸問題, 並採用加密和定期刷新兩個策略解決后兩個問題. Diao等提出一個基於CL 簽名的可鏈接匿名認證協議, 可以實現消息的身份認證和錯誤電錶讀數追溯功能. 該協議還具有不需要第三方認證、計算複雜度低和通信消耗低等特點.為了保護智能電錶的用戶隱私, 研究者提出了相應的解決方案. Li 等 提出了一種分散式的增量數據聚合方案, 利用同態加密來保證數據在傳輸路徑上的安全, 因此中間節點無法獲取詳細數據. Li等 首次利用壓縮感知技術上傳智能電錶數據, 實現傳輸速率的提升, 並使用隨機序列來增強用戶數據的隱私性和完整性. Rial等提出一種隱私保護協議用於分時電價計算, 應用零知識證明技術在不公開具體消費數據的情況下, 確保消費數據的正確性, 但是如何實現跨電網的數據聚集依然有待進一步的研究. Ruj 等提出一個安全框架, 該框架將隱私數據聚集和訪問控制進行整合, 利用同態加密保護用戶隱私並利用基於屬性的加密來保證訪問控制的安全, 然而該方法中屬性恢復過程會導致複雜的計算以及額外的通信負擔. Rottondi 等建立了一種隱私保護節點模型, 將測量數據聚集后再上傳從而保證用戶隱私信息.Birman 等提出了一種數據收集方法, 利用差分隱私技術將電錶中的聚合數據匿名化之後集中上傳至數據中心, 並使用拜占庭容錯演算法在小部分電錶被攻擊的情況下也能保證整個系統的安全.

b) 數據採集與監控系統的攻擊與防禦

智能電網監控系統由大量布置的監控和測量設備組成, 監控和測量設備採集到的數據匯總到控制中心(supervisory control and data acquisition, SCADA), 控制中心再根據這些數據評估電網狀態.

SCADA 的高效、安全運行依賴於設備數據的準確性和完整性, 通過注入虛假數據, 攻擊者可以誤導和操縱控制中心, 從而對整個電網造成嚴重危害.Liu 等展示了一種新類型的攻擊, 可以探測現存的虛假數據監測演算法中的漏洞, 從而繞過系統的安全防護. Huang 等從虛假數據攻擊的角度進行研究, 提出攻擊方可以進行獨立組件分析, 在沒有電網拓撲先驗知識的情況下對電網拓撲進行推斷,並根據結果進一步發起攻擊. Yu 等利用主成分分析法在不知道電網拓撲信息的情況下達到隱秘攻擊的目的. 針對虛假數據注入攻擊, 一些研究機構提出了相應的防禦機制, 來保證狀態評估的準確性. Bobba 等提出一種監控系統防禦機制, 通過加密足夠數量的測量設備, 來保護狀態評估系統不受隱秘攻擊者的影響, 但是該機制的實施依賴於操作人員對被保護的感測器度量數據的實時獲取.D´an 等則拓展了上述研究工作, 提出了兩種加密設備放置演算法, 通過充分利用在系統中放置的加密設備來最大化整個系統的安全性. Liu 等將虛假數據檢測問題看成一個矩陣分離問題, 提出利用核范數最小化和低秩矩陣分解的方法對矩陣進行分離.

c) 信息傳輸安全

為了提高信息傳輸過程中的安全性與隱私性, 一些研究者提出了多種標準和防禦措施. 美國國家標準與技術研究所指出, 網路不可用會導致無法實時監控關鍵電力設備和全局電力災難, 所以魯棒性是設計智能電網信息傳輸網路的首要標準. Lu 等 針對智能電網中通信網路面臨的安全威脅進行分類評估, 基於自頂向下的分析, 將通信網路中潛在攻擊分為網路可用性攻擊、數據完整性攻擊和隱私信息竊取3 種類型, 並定性分析了這3 種攻擊的影響和可行性. Li 等針對隱私信息竊取問題, 從資訊理論角度分析隱秘通信所需的通道容量, 提出了單電錶情況下Gauss 雜訊通信通道方法. Khurana等提出一系列安全協議設計原則,包括明確的節點名、統一編碼、信任假設、時間戳、協議適用範圍、機密公開、明確的安全參數等, 並討論實際工程中如何確保智能電網身份認證協議的正確性和有效性.

(2) 存在問題和未來發展趨勢

信息網路和工控網路的互聯互通是未來發展的趨勢. 工控系統安全研究跨越傳統的工控系統和IT 信息安全兩個領域, 工控系統的安全脆弱性問題是因其重視工控系統的功能性實現、忽視安全性開發的歷史原因造成的. 由於工控系統具有很高的領域專業性, 即使其安全脆弱性被發現, 但因缺乏相應的實驗環境和領域知識, 難以採用傳統意義上的信息安全技術及時處置. 因此, 工控系統信息安全研究是一個全新的戰略發展方向.

具體在網路環境下的電力工業控制系統中, 有兩個方面需要做進一步的研究: 1) 智能電錶的防禦技術: 在智能電網環境下, 針對智能電錶的威脅種類較多, 如竊聽、截取、偽造、重放、篡改數據, 滲透系統, 木馬蠕蟲病毒感染, 破壞物理鏈路, 分散式拒絕服務攻擊等, 需要通過針對各種情況進行詳細的研究, 才能有效地評估對智能電錶的實際影響, 並進一步研究消除攻擊威脅的防禦措施. 2) 數據採集與監控系統的防禦技術: 在數據採集與監控系統方面, 系統如果獲取了惡意的電力數據並得出錯誤的狀態估計值, 將導致工作人員做出錯誤的決策, 破壞整個電力系統. 因此需要針對各類潛在的數據採集與監控系統的威脅模型做進一步的研究, 並提出相應的防禦措施.

3.5 匿名通信和流量分析技術

隨著人們隱私保護意識的提高, OpenSSH, JAP, Tor, I2P 等低延時匿名通信系統相繼出現並廣泛應用. 然而, 隨之而來的匿名濫用問題對網路空間安全造成了極大的威脅, 例如基於Tor 建立的地下網路黑市「絲綢之路」 提供了大量的毒品交易、軍火買賣、黑客攻擊等非法服務. 由於匿名通信系統對數據進行了加密處理, 在線破解這些密碼演算法難度較大且時間上不可接受, 因此流量分析技術成為最為有效的監管手段.

(1) 匿名通信系統

按照轉發代理數量的不同, 匿名通信系統大致可分為單跳匿名通信系統和多跳匿名通信系統. 如圖3(a) 所示,單跳匿名通信系統由用戶、匿名伺服器和應用伺服器3 部分組成: 用戶通過匿名服務客戶程序和匿名代理建立加密隧道, 由匿名代理將用戶數據解密並轉發給應用伺服器. 應用伺服器並不知道用戶真正的IP, 只是將響應數據返回給匿名代理, 再由代理伺服器返回給用戶.相對於單跳匿名通信系統, 多跳匿名通信系統的網路拓撲更為複雜, 協議更為完善. 目前使用最為廣泛的多跳匿名系統Tor 由用戶端、OR (onion router) 節點、目錄伺服器和應用伺服器4 部分組成. 其中用戶端從目錄伺服器處下載所有OR 節點信息構建鏈路, 並將通信數據發送給本地SOCKS代理; OR 節點負責轉發用戶與應用伺服器間的數據單元; 目錄伺服器負責收集所有OR 節點信息; 應用伺服器則為用戶真正的通信目的地. 多跳匿名系統結構如圖3(b) 所示: 在通信時, 由客戶端發起請求, 與每個OR 節點分別協商生成密鑰從而逐跳構建匿名電路. 然後, 客戶端利用TLS 加密鏈路傳輸已層層加密的數據, 並由每一跳節點分別解密, 最終在出口節點處以明文形式發送給應用伺服器.

(2) 流量分析技術

流量分析是指通過嗅探並分析通信流量(通常是加密流量) 的各種模式以獲取有價值信息的一種技術. 從通信者的角度而言, 流量分析是一種針對通信匿名性的網路攻擊行為, 但實際上該類技術被廣泛地應用於網路監管和取證領域. 根據攻擊者對通信行為的干涉程度, 可以將流量分析技術分為被動分析和主動分析兩類: 被動流量分析是指通過被動網路竊聽分析抽取流量特徵的技術, 在這個過程中並不會影響數據的正常傳輸, 其優勢在於隱蔽性強; 而主動流量分析則對數據通信過程本身施加干擾, 例如對數據包進行修改、重放、丟棄或延遲等操作, 從而達到更高效地進行流量特徵分析和抽取的目的.

針對主動/被動流量分析, 根據威脅模型的不同, 又可以進一步分為端到端分析和單端分析兩類:同時佔據通信入口和出口實施的流量分析稱為端到端流量分析, 而僅佔據發送端或接收端實施的流量分析被稱為單端流量分析. 端到端流量分析的目的通常是進行通信關係確認, 在此類攻擊中攻擊者通過嗅探或干擾流量, 然後基於某些統計特徵比對嫌疑發送端發出的流量和嫌疑接收端收到的流量, 一旦比對成功, 則可確認通信關係. 在單端流量分析中, 攻擊者通常僅在發送端或者接收端對流量進行監控, 並從中提取特徵構建流量模式. 下面將從被動/主動的端到端流量分析、被動/主動的單端流量分析4 個方面闡述現有相關工作.

a) 被動的端到端流量分析

在被動的端到端流量分析中, 攻擊者僅監聽通信流量, 根據嫌疑發送者的出流和接收者入流之間的相似性推斷兩者之間是否存在通信關係. 這種相似性一般通過提取流量本身的特徵,如報文個數、報文長度、時序關係等進行計算. 但是隨著匿名網路規模的不斷擴增, 攻擊者同時監聽到同一條鏈路上出口和入口流量的概率不斷下降. 根據攻擊者能力的不同, 現有被動端到端流量分析可以分為兩種:一種是攻擊者為AS/IX (autonomoussystems/Internet exchange) 級別, 可以監聽整個自治域或互聯網交換中心內的通道;另一種是攻擊者向匿名通信網路注入節點,通過一定策略增加自身被選中的概率,從而實施攻擊.

AS/IX 級別攻擊. AS/IX 級別攻擊是指攻擊者可以在獨立的自治系統或互聯網交換中心級別對匿名鏈路進行監控分析,從而實現通信關係的確認.由於Tor 現有的路徑選擇策略會儘可能使一條鏈路穿越不同的國家,這就意味著即使是AS/IX 級別攻擊者也並不一定能同時監控出口和入口節點.

而Edman 等通過實驗發現,即使一條鏈路在地理位置上具有很大的跨度,一般也只會穿過少數的AS.此外,實驗結果還顯示一條匿名鏈路的入口和出口位置處於同一個自治域內的概率高達22%. IX具有比自治系統更大的監控範圍,Murdoch 等驗證了IX 級別攻擊,通過對真實的流量進行採樣,提取報文發送率、報文長度等統計特徵,實現了實體通信關係的確認.Johnson 等在模擬環境下進行實驗,在同時控制具有高帶寬的Tor 節點以及互聯網交換中心的條件下,可以對80% 的隨機鏈路實現通信關係的確認.在AS/IX 級別攻擊中,攻擊者需要對相當大範圍的網路流量進行監控和分析,這就對其所能掌控的資源有很高要求.

注入節點攻擊. 注入節點攻擊主要通過向網路中提供滿足帶寬、在線時間要求的惡意節點,使其成為匿名系統的一部分來實施攻擊.而隨著匿名網路規模的不斷擴大,受限於攻擊成本,攻擊者無法提供足夠的高帶寬節點來獲得更多鏈路的控制權,因此需要採取一些措施提高注入節點被選中的概率.

Bauer 等提出了通過上傳虛假高帶寬信息提高惡意節點被選中概率的策略.Pappas 等利用惡意用戶節點構建環形鏈路,惡意消耗鏈路中合法中繼節點的資源,最終使其資源耗盡拒絕服務,從而間接提高惡意節點被選中的概率.隨著一些自動選取相對可靠中繼節點的鏈路構建方案的提出,注入節點攻擊的有效性面臨著更多的挑戰.

b) 主動的端到端流量分析

在主動的端到端流量分析中,攻擊者通過操縱發送端或接收端的流量,產生特定流量變化以注入信號,然後在相應的位置對特定模式的信號進行恢復識別,從而確認通信雙方的通信關係.根據實施層次的不同,可以將這類攻擊分為3 種:網路層流量分析、協議層流量分析和應用層流量分析.

網路層流量分析. 網路層流量分析通常利用目標流量的速率、報文間隔時間和報文大小等作為載體來嵌入標記信息,從而實現通信關係的確認,這類流量分析技術通常被稱為網路流水印攻擊.Yu等通過改變流量發送速率在發送方通信流中嵌入不同的秘密擴頻標識,該標識會隨著通信流從發送方傳播至接收方,只需在接收方比對秘密擴頻標識即可識別通信關係.Houmansadr 等提出半盲的調製報文間隔的流水印機制,使用擴頻技術並在目標流量的報文間隔中加入極小的延時,保證了攻擊的隱蔽性,成功在SSH 流量上實施了攻擊.Wang 等設計時隙質心擴頻水印機制,以網路流時隙質心作為流水印的載體,實現匿名網路下的跨域追蹤.在網路流水印研究領域,如何進一步提高流水印的健壯性、如何平衡流水印的準確性和隱蔽性是重要的研究課題.此外,SDN 軟體定義網路的出現為網路流水印技術的部署提供了一個全新的平台,這也是一個重要的新研究方向.

協議層流量分析. 協議層流量分析主要利用匿名協議的缺陷在流量中嵌入標記識別通信關係.Ling等通過控制OR 節點並修改Tor 協議,在出口節點處連發3 個Tor 信元代表信號1、1 個Tor 信元代表信號0, 並通過分析信元在網路逐跳傳輸中可能出現的變化,設計信號恢復演算法在入口節點處對信號進行識別,可以在較短的時間內實現對Tor 匿名流量通信關係的快速確認.此外,Ling 等還發現Tor 系統中的每個節點都維護一個本地計數器來協調對收、發報文的加解密操作.如果在入口節點處重放、刪除或者加入一個報文,導致中間節點和出口節點的計數值與入口節點不一致,則報文在出口節點執行解密操作時就會發生錯誤.一旦檢測到這種錯誤,就可以確定匿名通信關係.針對Anonymizer匿名網路,Ling 等提出在Web 伺服器和匿名代理之間通過調製報文長度嵌入信號,並設計檢測演算法完成對信號的恢復識別.

應用層流量分析. 在應用層流量分析中, 攻擊者主要通過在伺服器返回給用戶的Web 響應流量中注入特定的內容,使客戶端流量產生可識別的模式特徵.一旦這種特徵被佔據入口節點的攻擊者識別,則通信關係確認.Wang 等提出一種攻擊方案,在目標站點的流量中嵌入一個空對象,使得用戶端在收到響應流量後去請求該空對象併產生相應的流量特徵,通過流量特徵的匹配可以確認通信關係.Chakravarty 等在Web 伺服器端加入代碼讓用戶下載一個較大且不易被察覺的文件,然後根據統計相關性在收集到的眾多入口NetFlow 流量記錄中找到符合此流量特徵的入口節點,從而確認通信關係.此類的攻擊還可以通過在用戶的返迴流量中注入JavaScript 代碼來觸發用戶端瀏覽器產生特定的信號流量.

c) 被動的單端流量分析

被動的單端流量分析技術主要是指Web 站點指紋攻擊.在Web 站點指紋攻擊中,攻擊者使用匿名代理模擬用戶行為訪問站點,對獲取的流量提取特徵形成站點指紋並建立Web 站點指紋庫,然後對用戶的在線匿名流量提取特徵形成用戶指紋,通過將用戶指紋與指紋庫中的指紋進行對比,從而識別出用戶訪問的站點.Hintz最先提出了Web 站點指紋攻擊的概念,並在理論上證明了指紋攻擊的可行性與有效性,但該攻擊方案僅適用於HTTP1.0 協議,對之後的HTTP 協議不再有效.Liberatore 等 在前人工作的基礎上,僅使用報文長度分佈為特徵,首次將機器學習領域的樸素Bayes 分類器應用於指紋識別,大大提高了單跳匿名代理上指紋攻擊的成功率.但該方案依賴於上下行流量中報文的長度,並不適用於對報文進行了定長封裝處理的Tor 等多跳匿名通信系統,具有較大的局限性,並且忽略了流量中報文方向這一關鍵特徵.Panchenko 等通過綜合多種流量特徵,包括特定長度報文出現次數、總傳輸量、上下行報文數據量及所佔比例等,並使用支持向量機(support vector machine,SVM) 對指紋進行分類,將多跳匿名代理上的識別率從3% 提升至55%. Cai 等針對Tor 信元定長封裝的特性對報文長度進行處理,並使用最佳字元串編輯距離(optimal string alignmentdistance, OSAD) 為SVM的核函數衡量指紋相似性,在Tor 上取得較好攻擊效果.Wang 等在Cai 等的研究基礎上將特徵集擴大,調整不同特徵所佔權重,使用K 近鄰作為分類器,降低了計算成本,攻擊效果進一步提升.然而,Web 站點指紋攻擊的實施依賴於一系列假設,如用戶瀏覽器關閉了緩存功能、用戶瀏覽網頁過程中較少出現背景流量等,消除這些假設對於方法的實用性具有重要的意義.

d) 主動的單端流量分析

主動的單端流量分析可以在兩處位置實施,一種是在出口節點與應用伺服器間的未加密鏈路上注入惡意代碼,另一種是控制用戶的入口節點或鏈路執行主動Web 站點指紋攻擊.

注入惡意代碼. 當攻擊者控制了應用伺服器端的未加密流量時,可以將Flash ActionScript,JavaScript, ActiveX 等惡意代碼注入到返迴流量中. 當這些代碼到達用戶端並被瀏覽器執行時,會導致瀏覽器繞過本地設置不使用加密代理,而是直接與遠程伺服器建立連接,從而暴露真實的IP 地址.

主動 Web 站點指紋攻擊. 在被動的Web 指紋攻擊中,攻擊者僅監聽鏈路,並不會對流量進行主動調製.由於Tor 等匿名通信系統的定長封裝機制和HTTP 持久連接、流水線等技術的影響,Web頁面不同對象的數據在返迴流量中出現重疊難以區分,導致指紋攻擊的正確率無法進一步提升.如果可以採取某些方法使不同對象的返迴流量區分開來,則可以更好地為不同Web 站點建立指紋.He等首次提出並針對Tor 系統進行了主動Web 站點指紋攻擊,通過對Tor 流量進行觀察確定用戶開始發送請求報文的位置,然後主動延遲用戶發出的請求報文,使前一個請求對象的響應數據有足夠時間完成傳輸,從而達到分離不同對象流量的目的.然而該攻擊會造成報文重傳,隱蔽性較差,並且延遲操作的粒度較粗,未對上行流量中存在的大量匿名協議控制報文進行識別.

(3) 存在問題和未來發展趨勢

隨著各類匿名通信系統的廣泛部署和應用,加密流量、匿名流量在網路流量中所佔的比例呈現出快速增長的趨勢,因此採用流量分析技術實現對這部分流量的識別、分析和追蹤,從而加強針對整個網路空間的監管是必然的趨勢.現有研究工作可以從以下幾個方面推進:1) 大規模數據報文的高速處理:針對動態實時到達的大規模數據報文流量,需要設計面向流式大數據處理的增量計算模型,研究流自適應的內存管理優化方法,支持快速、高效的大規模數據報文處理與分析.2) 基於壓縮感知的流量模式統計分析:設計面向高速環境網路數據流的壓縮和統計信息抽取方法,基於壓縮感知理論,在滿足嚴格的存儲空間約束的前提下,設計支持海量數據流并行處理的分析演算法,並將傳統的流式數據處理拓展到對整個時間軸網路行為的監測,挖掘跨越多個時間段的持久流量模式特徵.3) 加密網路流量的識別和分析:進一步開展加密流量識別、應用分類和內容分析核心演算法的研究.利用挖掘出的網路數據流量模式特徵,設計增量式演算法,以實現快速、高效的匿名通信流量識別和應用分類.針對HTTP等典型匿名通信流量,設計主動流量分析技術以推測潛在的通信目標.

3.6 新密碼體制基礎理論與數據安全機制

密碼技術是保障網路空間安全的基本手段.多年來,國內外研究人員不斷研究推動密碼技術的發展.尤其是物聯網、雲計算、大數據等新型網路形態和服務的興起,數據安全共享與隱私保護之間的衝突漸增,再加上量子計算對現有計算能力的革新,使基於大整數分解和離散對數的密碼體制將不能保證安全性,密碼技術迎來了新的挑戰.為了應對這些挑戰,抗量子密碼、全同態加密、可搜索加密、輕量級加密等新興技術相繼被提出.

(1) 抗量子密碼

量子計算機的誕生及其量子位數的提升證明了量子計算機原理的正確性和可行性.得益於量子計算機的高速計算能力,科研人員已經研究出能夠有效解決離散對數和因子分解的量子演算法,這就意味著許多經典加密演算法(如RSA) 已經無法保證信息的安全有效.為了應對量子計算給現行密碼體制帶來的挑戰,學者們提出了「抗量子密碼」的概念.目前,抗量子密碼主要包括量子密碼、基於數學問題構建的經典抗量子密碼等.

a) 量子密碼

量子密碼是以量子態為符號實現的密碼,其基本思路是利用光子傳送密鑰信息.相較於傳統的密技術,以「海森堡測不準」和「量子不可克隆」原理為基礎的量子密碼體制在理論上具有「無條件安全性」,即當輸運光子的線路遭到竊聽時,會破壞原通信線路之間的相互關係,導致通信中斷.目前,研究人員對量子密碼的研究涉及量子認證、量子密鑰管理、量子密碼分析等多個問題,其中量子密鑰分配仍然是主要的研究方向.

早在20 世紀70 年代,「量子密碼」的概念就被提出.1984 年,Bennett 和Brassar 提出了量子密鑰分配概念和BB84 協議,證明了量子密碼技術的可行性.在此基礎上,Lo 等最早在理論上給出了BB84 協議的無條件安全分析.1990 年後,量子密碼得到了人們的青睞與重視,迅速地發展起來.Ekert提出了基於雙量子糾纏的協議EPR (Einstein Podolsky Rosen). Bennett又提出了B92協議,該方案較之BB84 更簡單,但是效率減半,實際應用時在高損通道上存在安全隱患.至此,3大主流量子密鑰分發方案基本形成.近20 年, 國內外科研人員對量子密鑰的分發進行了許多實驗研究.美國、歐盟和日本很早就投入了大量的資源進行量子密碼通信網路的建設,而在量子密碼領域也取得了諸多研究成果.2005年,潘建偉研究組發表了關於13 公里自由空間糾纏光子分發的研究成果,驗證了在地球與外層空間之間分發糾纏光子的可行性.為了克服不完美光源帶來的安全漏洞,提高量子密鑰分發的安全距離,他們還提出並實現了誘騙態通信技術.到2009 年,科學技術大學與清華大學的聯合小組成功實現了16 公里的自由空間量子態隱形傳輸,證實了自由空間遠距離量子隱形傳輸的可行性.

b) 經典抗量子密碼

現有的經典抗量子密碼研究主要集中在Merkle 認證樹簽名、基於糾錯碼的公鑰密碼、基於格的公鑰密碼和MQ 公鑰密碼幾個方面,其中基於格的公鑰密碼體制的研究相對成熟.基於格的密碼體制是指基於格困難問題及其變種而建立起來的一系列密碼方案,常見的格問題主要包括最短向量問題、最近向量問題、小整數解問題和誤差學習等.雖然量子演算法可以破解許多經典加密演算法,但到目前為止還不能有效解決格困難問題.另外,格困難問題都是基於最壞情況假設的,這就意味著基於格的密碼方案可以被規約為最壞情況下的格困難問題,從而保證了這類加密方案的安全性.

基於格的突破性研究開始於AD 公鑰密碼方案,雖然該方案具有良好的安全性,但實現效率較低,缺乏實用性.隨後,其他基於格的密碼方案被相繼提出:1998 年,Hoffstein 等提出了一種在環上構建的公鑰加密方案NTRU (number theoryresearch unit), 該方案可以使用一種特殊結構的格來描述,大大提高了加密效率,但存在解密錯誤問題,也沒有在理論上證明其安全性.2005 年,Regev設計了一種基於格誤差學習(learning with error, LWE) 的單比特公鑰加密方案,但仍存在效率低下的問題.

為了提高LWE 的效率,解決實用性問題,又有許多學者對此進行了改進.2009 年,基於理想格的全同態加密方案被提出,允許直接對密文進行使用和分析,因此可以將其應用於雲計算領域,解決數據安全問題.2010 年,Agrawal 等構造了一個基於雙陷門單向函數的HIBE (hierarchical identitybased encryption) 方案並給出了方案的安全性證明. 此後,新興的盆景樹技術為格提供了良好的基擴展、基變換和基隨機化方法,使基於格的代理簽名成為可能.2012 年,Lyubashevsky 提出了一種基於拒絕採樣演算法的數字簽名方案,大大提高了基於格的數字簽名方案的實用性.

此外,以DNA 作為信息載體的DNA 密碼也是抗量子密碼演算法設計的一種有效途徑.1994 年,Aldeman首次使用現代分子技術解決NP 問題后,DNA 計算開始得到科研人員的關注,而DNA密碼就是伴隨DNA 計算的研究而出現的密碼技術.目前科研人員針對DNA 密碼的研究主要有3 個研究方向:DNA 隱寫技術、DNA 認證技術和DNA 加密技術.相較於傳統密碼,利用現代生物技術的DNA密碼具有高度并行性,加、解密速度快.另外,因為DNA 密碼建立在DNA 分子基礎上,具有高密度性,其安全性不完全依賴於困難的數學問題,所以不易破解,具有巨大的發展潛力.但是DNA 密碼技術理論目前尚不夠成熟,體系不完整,實現較為困難.

(2) 面向雲環境的密碼技術

雲環境給用戶帶來計算資源和存儲資源的同時,也面臨著數據機密性、訪問可控性、數據完整性和隱私性等方面的嚴重安全威脅。本文重點關注與數據機密性和訪問可控性相關的新興密碼技術,包括全同態加密、可搜索加密和功能加密.

a) 全同態加密

同態加密是一種新的加密機制,它對明文進行加法或乘法運算后加密的結果與對密文進行相應運算之後的結果等價,同時滿足加同態和乘同態的同態加密叫作全同態加密.在雲平台中,利用全同態加密演算法對用戶數據進行加密上傳后,數據使用者在不解密的情況下,仍可對這些數據進行分析使用,在一定程度上解決了雲環境中的隱私安全問題,因此全同態加密成為國內外密碼學界研究的熱點.早在1978 年,繼提出RSA 之後,Rivest 等就提出了同態加密的概念,但其作為一個公開問題一直未能得到解決.直到2009 年Gentry 首次提出基於理想格的全同態加密機制后,全同態加密才逐漸發展起來.因為該方案效率不能滿足實際應用的需求,Dijk 等在其基礎上,提出了更簡潔的基於整數的全同態加密機制,安全性基於近似最大公約數.近年來,全同態加密在演算法改進和實用化方面得到了進一步的發展,演算法大多基於LWE 問題和環-LWE 問題,安全性較高.

b) 可搜索加密

在雲環境下,用戶希望數據在雲端既是加密的,又能夠直接從密文中搜索到所需內容,而不需要對數據下載解密.作為一種允許用戶在密文中進行關鍵字查詢的加密技術,可搜索加密技術在這樣的環境下應運而生.目前,依據構造演算法的不同,可搜索加密機制主要分為基於對稱密鑰和基於公鑰兩類.

2000 年,Song 等最早提出了在密文上進行搜索的實現方法,該方法基於對稱密鑰,但效率較低,安全性也不夠高.2004 年,Boneh 等首次提出了支持加密搜索的公鑰密碼體制,將可搜索加密從對稱密鑰擴展到公鑰體制.之後,為了改善可搜索加密機制的性能、提升用戶的搜索體驗,許多研究人員對可搜索加密進行理論擴展並嘗試將其投入實際應用,可搜索加密機制從僅支持單詞搜索,逐漸發展到支持多詞搜索、支持連接關鍵詞搜索、支持排序搜索和複雜的查詢,加密模型也從「一對一」的單方模式發展到「一對多」、「多對一」和「多對多」的多方模式.

c) 功能加密

功能加密是一種支持在密文條件下對其進行計算和對不同數據使用者分配不同解密許可權的加密技術,基於身份加密、基於屬性加密和謂詞加密都可以被認為是功能加密的分支.功能加密支持靈活的密文解密表達式,可以給不同數據使用者分配不同的許可權,很大程度上豐富了信息的共享方式,在雲環境中具有很高的實用性.功能加密最早可以追溯到2005 年Sahai 等在歐洲密碼學年會上提出的模糊身份加密.2010 年,同樣是在歐洲密碼學年會上,Lewko 等首次提出了「功能加密」概念.

同年,O』Neill提出了功能加密的通用框架.2011 年,Boneh 等也給出了關於「功能加密」的通用解釋.近年來,眾多研究者圍繞功能加密,尤其是在基於屬性加密方面,進行了理論擴展和實踐應用等多方面的研究.

(3) 面向物聯網環境的輕量級密碼技術

隨著物聯網技術的快速發展,RFID 標籤、智能卡、無線感測器等低能耗嵌入式智能設備受到越來越多的關注.由於這些設備的計算能力、存儲空間和能量來源有限,如何設計適用於資源受限設備的輕量級密碼技術逐漸成為研究熱點.目前,輕量級密碼體制主要分為輕量級對稱密碼、非對稱密碼和Hash 函數等.

a) 輕量級對稱密碼技術

輕量級對稱密碼技術可分為分組密碼和流密碼,其中分組密碼是迄今為止最為成熟的一種輕量級密碼,它在硬體、加密效率和功耗等方面都具有明顯優勢.目前主要的研究工作集中於對標準和典型分組密碼的優化以及全新輕量級密碼的設計.輕量級流密碼結構比較簡單,加解密效率也很高,所以也是當前的研究熱點.但是流密碼在初次使用時需要漫長的初始化階段,而且有一些通信協議並不支持流密碼.因此,相比於分組密碼,流密碼的設計技術還不夠成熟.目前比較流行的流密碼有2004 年歐洲eSTREAM 計劃提出的Salsa, Grain, TRIVIUM 方案和2011 年David 等 提出的專用輕量級密碼方案A2U2.

b) 輕量級非對稱密碼技術

相較於對稱密碼,輕量級非對稱密碼技術具有一定的優勢,設備之間可以僅採用單方的公鑰即可實現認證、加密等功能,可以避免複雜的密鑰管理和分配工作.但是公鑰加密演算法本身比較複雜,設計輕量級非對稱密碼演算法就顯得更為困難,目前該領域的研究工作尚處於起步階段.Saarinen在2012年提出了基於Rabin 的混合公鑰加密機制BlueJay, 採用了隨機數乘法技術,避免了大整數計算,提高了加密效率.另外,橢圓曲線加密具有加密效率高、佔用存儲空間小等優點,在實現輕量級非對稱密碼方面也有較好的發展前景.

c) 輕量級 Hash 函數

傳統的Hash 函數包括MD5 和SHA 等,但這些都不適用於資源受限的設備.因此,設計適用於資源受限設備的輕量級Hash 函數也成為了研究熱點.目前,根據迭代壓縮函數的不同設計原理,輕量級Hash 函數主要分為以下3 類:基於置換函數的輕量級Hash 函數、基於分組密碼的輕量級Hash 函數和基於數學困難性問題的輕量級Hash 函數.

基於置換函數的輕量級 Hash 函數. 2011 年,Bogdanov 等採用類似於PRESENT 輕量級分組密碼的置換函數,設計出輕量級Hash 函數SPONGENT. 2012 年,Keccak 方案最終成為SHA-3 競賽的獲勝者,證明了在內存開銷方面,基於Sponge 結構的Hash 函數具有明顯的優勢.

基於分組密碼的輕量級 Hash 函數. 2007 年,Yoshida 等基於Type-1 4-Branch 廣義Feistel結構的輕量級分組密碼提出輕量級壓縮函數MAME, 在硬體開銷上具有優勢.2010 年,Hirose 等提出輕量級Hash函數Lesamnta-LW, 其設計方案也採用了Fesitel 廣義結構,其構造方法要求分組長度是密鑰長度的兩倍.但實際上密鑰長度大於分組長度,為了解決該問題,Kuwakado 和Hirose 提出KH 構造方法.

基於數學困難性問題的輕量級 Hash 函數. 2007 年,Billet 等提出了基於多變數非線性方程組的Hash 函數,相比於傳統的基於數學困難性問題的Hash 函數,該方案在性能和實現開銷方面具有明顯的優勢.此外,研究人員還認為使用稀疏的多變數非線性方程組能進一步提高性能,降低開銷.

而Bettale 等 則認為此類方案的安全性太低,無法在實際中應用,並在理論上給出了計算複雜度分析.目前,基於數學困難性問題的輕量級Hash 函數雖然存在一定的可行性,但是實現代價太大,難以得到實際應用.

(4) 存在問題和未來發展趨勢

密碼技術的研究主要涉及到密碼演算法的設計、分析與應用.為了應對量子計算、雲計算和物聯網等新的計算資源和新的服務形式帶來的問題和挑戰,抗量子密碼、雲環境下的新興密碼和物聯網中的輕量級密碼逐漸成為密碼技術的研究熱點:1) 量子密碼理論、技術的進一步完善:在抗量子密碼的研究方面,還需要完善量子密碼理論,進一步研究量子密鑰分配技術、量子身份認證技術和量子加密技術,解決傳輸距離、傳輸速度、系統穩定性等多個問題,同時量子密碼的協議安全性分析也是研究的熱點.2) 面向雲計算領域的高效加密技術:在雲計算應用領域,全同態加密機制需要研究自然、簡潔的構造方法,從而提高加密機制的效率;在可搜索加密機制方面需要完善理論和功能,進一步研究支持模糊搜索、相關性排序和關係運算等問題,改善用戶體驗;在功能加密方面,研究屬性加密中密鑰撤銷、密鑰濫用、策略隱藏和多授權等問題,實現在雲環境中的大範圍應用.3) 面向物聯網應用的輕量級加密技術:在物聯網應用領域,作為新興的密碼技術,輕量級密碼的理論分析還不夠完善,研究高效率、強魯棒性的輕量級密碼,以及基於安全性和性能的輕量級密碼評估方法,將大大推動輕量級密碼在物聯網時代的發展.

4 結束語

網路空間安全不僅關係到人們的日常生活,更是事關國家安全和國家發展的重大戰略問題.鑒於網路空間面臨著從物理層安全接入到數據層用戶數據安全保護等各個層面的挑戰,迫切需要進行全面而系統化的安全基礎理論和技術研究.本文構建了涵蓋物理層、系統層、網路層、數據層以及安全基礎理論研究的「四橫一縱」的層次化研究體系,並對6 個研究領域進行了重點闡述.

總體而言, 網路空間安全的發展趨勢可以總結為傳統領域面臨新挑戰、新計算模式誘發新問題、新網路形態導致新威脅、新基礎理論促生新方法, 即1) 隨著工業4.0 戰略的提出, 工業化和信息化進一步融合, 推動了傳統工業控制領域的轉型升級, 但也暴露了其重視功能性實現、忽視安全性開發的痼疾, 需要設計覆蓋供產銷各個環節的整體安全防護方案; 2) 隨著雲計算、大數據等新型計算模式的發展, 通過數據分析可從龐大的網路數據中挖掘出大量的用戶隱私信息, 給用戶隱私保護帶來了新的挑戰, 需要研究新型訪問控制和數據加密技術; 3) 物聯網、移動互聯網等多種新型網路形態的出現, 在驅動相關應用發展的同時, 潛在著更大的隱私泄露風險, 需要研究人– 機– 物相互認證和安全通信技術; 4) 量子計算理論的突破可以有效解決離散對數和因子分解問題, 徹底顛覆了傳統密碼學理論, 亟需研究新型的抗量子密碼基礎理論來應對挑戰.

當然, 作為一個大的綜合性研究學科, 網路空間安全研究覆蓋面很廣, 除了上述研究領域外,還包括信息對抗、可信計算、數據災備、數字取證等等眾多未提及的方向, 這些研究方向也都有待於廣大科研人員的進一步深入研究和探討.

致謝本文的撰寫得到了熊潤群博士和郭桃林、郭乃瑄、潘培龍、魏娜、李曉雲、劉耀文、尹長昕、周佳歡等研究所的幫助, 以及江蘇省網路與信息安全重點實驗室(BM2003201)、計算機網路和信息集成教育部重點實驗室(93K-9) 的資助. 特此表示感謝!

(完)