北京 陆铁军 李原

随着网络攻击日渐繁多，一些单位不得不将自己的网络与互联网实行物理隔离，但同时也隔断了与外界联系，使得工作效率大打折扣。本文将从系统的角度来分析网络安全的一些问题，并提出一个适应网络安全的解决方案。

网络在系统中的位置与工作流程

由于两个信息系统之间可能存在多个路由器，并且路由器不在自己的管控范围，所以进入网络的信息不受控，进入网络的信息也应该被认定为进入了不安全区域。

在系统硬件结构中，网络接口通过电缆与外部网络相连，而内部与系统总线相连，在统一编址的体制中，网络接口设备与内存统一编址，以便主机系统对资源的统一管理。在系统软件的结构中，外围设备是通过驱动程序来驱动的。

网络的使用实际上是应用程序调用系统接口函数，驱动程序实现通信协议并完成网络通信。只要应用程序提供了符合IP 标准的目的地址，驱动程序就能将信息通过网络发送出去。

网络安全问题分析

网络传输的报文可以分为两类：一类是网络报文，另一类是数据报文。网络报文是网络攻击的主要源头，数据报文是泄密的主要源头，有些数据报文也具有攻击性。网络安全问题可以归纳为三种：泄密、病毒传染和网络攻击。

网络泄密包括两种情形：主机自行向外特定目的地址发送数据报文，并被第三方解读；用户向外发送了数据报文但由于重定向发送到了其它目的地，被第三方窥探截获解读。

网络病毒传染，即终端向本地网络的终端发送属于病毒的报文，终端接收报文以后以可执行文件或其它形式驻留在主机系统，终端主机由于病毒的缘故运行效率降低或瘫痪。

泄密的主要原因又可归纳为：本地计算机与远程计算机的通信授权被窃取；网络攻击使其改变路径；报文未加密或密文易于破解。

在计算机系统中，管理员权限是最大的，当系统管理员退出或进入用户模式以后，操作系统的程序和以系统管理员身份运行的程序拥有最高权限。对于由操作系统启动的非管理程序可能产生具有系统管理员权限的网络通信病毒子程序，并且驻留在主机系统之中，唯一有效杜绝非法外传的办法是隔离。

合法发送的数据报文被截获和解读与网络传输和网络协议相关。当网络传输路径由于路由器欺骗而重定向，这样就会被截获。当前的网络传输协议主要有IPv4和IPv6 两个。IPv4 和IPv6都可以使用IPsec 协议，但用户不一定都使用了IPsec协议。

另外，即便在有了IPsec之后网络是否就安全了？答案是不一定。原因是支持IPsec 的密钥安全这个前提是否满足。

我们知道密钥是保存在主机系统之中的，如果主机系统是安全的，则密钥安全，如果主机系统被入侵，则密钥就不能保证是安全的。在当前不安全的系统环境下，密钥与数据一样可以被病毒程序获取和传输，拥有管理员权限的任何人员和程序也可以轻易获取密钥，当前系统环境很难保证密钥的安全。

另外一个重要的安全问题是：如果一个安全设备被破解，是否导致整个安全体系被攻破。如果对整个安全体系有影响，则泄密的范围不是单个用户而是整个网络设备，所有的安全设备必需全部更换。随着技术的不断发展,设备和芯片被破解并不是一件难事，所以，安全机制必须保证安全设备不可复制，同时，发现失控可以立即被禁用。

网络病毒传染也是与通信授权相关，所不同的是传输的对象不同。网络病毒传输的对象是病毒代码，病毒可能立即起作用，也可能是潜伏着以后再激活。网络病毒传染的速度非常快，如果说泄密的危害是单个计算机系统的数据安全问题，而网络病毒传染的危害是所有被感染的计算机运行安全问题。

如果说与网络相关的数据安全问题可以通过物理隔离的办法来解决，那么与网络相关的运行安全问题不能再继续使用隔离的办法了，再隔离就没有局域网了，安全问题可能会更加严峻。

网络攻击之所以会存在是由于网络协议提供的灵活性被恶意使用。在没有身份识别的情况下，这些伪造的信息足以使得终端和路由器/交换机不知真伪，伪造的结果是正常的报文路径发生改变、不应出现的网络报文在网络上剧增和聚集。对于正常的同步报文和分片报文等，如果没有限制的大量使用也将使得有限的内存无法满足需求。

总结以上的问题可以归纳为：

网络通信控制权限问题；网络数据报文身份识别、加密和密钥管理问题；报文处理能力问题；网络协议灵活性、无限的控制范围问题。

网络安全芯片

面对当前严峻的信息安全形势，如果具有安全的CPU处理器和操作系统，则可以很好地处理系统的控制权限问题。但是，由于CPU 处理器和操作系统的复杂度越来越高，更新换代越来越快，设计漏洞是不可避免的。

除了核心的CPU 处理器和操作系统以外，各种应用软件也是越来越多和越来越复杂，基于应用的稳定性需求和应用软件的特性，我们不可能完全拒绝这些软件的安装和运行。

当前针对网络安全问题的主要解决方案是使用入侵检测系统、防火墙和堡垒主机等。其特点是采用乐观性模型的排除法，即没有病毒特征的程序都可执行，通用性较强；其缺点是不可能排除所有病毒，即新病毒从产生到确认前这一时期，入侵检测系统或防火墙或堡垒主机是不能发挥作用的。如果病毒隐藏得更深，则确认时间就更长，在这一段时期就可能发生任何事情。因此，网络安全处理措施必须彻底放弃这种处理方法。

这里设置了网络安全的设计目标：

能够拦截主机系统内非法网络发送，包括网络攻击报文的非法外传；

可以抵御网络旁路的暴力破解；

能够发现邻居欺骗、路由器欺骗、报文分片攻击、同步攻击等并自动处理和报警；

能够抵御网络的暴力攻击，并能够接收合法网络报文。

解决方案

将终端的通信控制权限从主机系统环境转移出来完全由用户独立控制。方法是对与网络相关的网络接口芯片进行增强，使增强的网络接口芯片成为具有独立性的网络安全芯片，结构如图1所示。

图1 安全网络芯片结构

该网络安全芯片不仅具有独立自主的控制能力，同时还具有实时管控主机系统与外部网络连接的能力，以及收发双方身份设置与确认的接入机制。

通过目的地身份确认，阻断向外非法发送数据的通道，同时也阻断发送欺骗和攻击报文的通道。通过源地址身份识别，可快速处理外部的各种网络攻击和欺骗，同时面对网络窥探报文实行静默处理，以保护网络上的各主机活动状态。

该网络安全芯片集成有一个嵌入式CPU 处理器。嵌入式CPU 处理器专注于网络报文的处理，特别是攻击报文的处理，极大地释放主机用于处理网络事务的计算资源，确保在网络攻击时的主机系统正常运行。

该芯片具有唯一的身份识别码，拥有独立的密钥不可复制的管理机制和安全的动态关联信息，是身份认证和加解密的有力保障；用户层无需考虑身份认证和加密解密，网络安全芯片自动添加身份信息并进行身份认证和接入控制，通过帧的动态重构与实时密钥和一帧一密的密码机制，提高报文的抗暴力破解强度。

面对外部的网络攻击，IPv6 协议和IPv4 的在网络层通过身份认证来快速处理外部攻击报文。

而面对内部的网络攻击，首先在发送端进行检控，属于攻击性质的网络报文一律丢弃，属于分片报文、同步报文等进行检查和限制，恶意的数据报文被丢弃，然后在接收端也进行限制和检查，以防止内部产生的泛洪攻击。

如果在接入层的交换机中设置非路由器端口与路由器端口控制，则可以进一步简化路由器欺骗与攻击的处理。

与传统的查找病毒特征不同，它只选择合法用户进行身份认证，在认证过程中，不采用固定序列码的方式，而是采用动态关联信息进行认证，这样不仅降低了计算量，使得在接口芯片上实现成为可能，而且使得身份认证更加安全可靠。为了避免任何两个主机之间都需要直接关联的复杂环节，通过服务器第三方现场进行关联，既可解决最初的身份认证问题，也用于对所有终端节点的控制。

在加解密算法方面，数据传输采用对称加密算法，有三个措施：一帧一密；密钥随机产生；对密文进行动态重构。

通过端对端的通信采摘和关联特性的使用，可使得身份认证与密钥协商更加安全可靠，同时再结合一帧一密和动态重构使得解密的计算复杂度更高和密文也具有随机性，在暴利破解面前更健壮。

结语

面对网络安全日益紧迫的严峻形势，通过对网络设备的使用分析，获得如下结果：

1.目前的网络设备是主机系统的一个外围设备，没有独立的网络管理功能。

2.任何获取了系统管理员权限的程序，都可以进行网络操作。

3.主机系统与应用越来越复杂，主机安全可控性难度越来越大。

4.网络安全问题如果放在主机上进行处理，主机或主机管理员存在安全隐患，网络安全不能得到保证。

本文提出了一个独立于主机的动态重构解决方案：

将网络安全管理独立于主机系统，不仅可以解决主机被控制的非法对外传送，还可以解决系统管理员的未经授权的对外数据信息传送；

利用微电子技术，将普通的网络接口芯片提升为网络安全芯片，不仅释放了主机系统面对网络攻击的网络处理能力，同时集成了密钥的管理功能，使得网络协议的实现更加完善；

由于网络安全接口功能嵌入到现有的网络接口芯片之中，不影响其封装尺寸和引脚，也不影响现有的计算机系统装配和调试，有利于网络安全需求的快速实施。

本方案已通过单片机原型机系统在IPv4 上进行了验证。