可信网络中安全、可控可管及可生存技术研究

样，脆弱性的来源是多方面的，存在于系统设计、实现、运行和管理的各个环节。分散孤立的应对方式不可龋因此，网络安全未来的一个重要的研究方向就是以网络的安全性作为重要的考虑，并以此指导未来网络体系结构的研究与设计[6]。Carnegie Mellon、Stanford、UC Berkeley、MIT、Princeton等大学以及Microsoft、Cisco、Intel等企业的研究机构都有人员参与这个充满挑战的方向的研究。

2 可控可管性

　　我们认为，网络的可控可管性主要是指网络具有对用户行为、网络运行状态和网络资源的有效控制和管理的能力。这种能力不仅对于建设安全的网络是必不可少的，而且对于未来网络的健康发展和持续的技术革新，都是必不可少的。

　　2.1 用户行为的可控可管性

　　为了实现真正的可信和安全，网络必须具有对用户行为高度的控制和管理能力。

　　现有的网络安全研究主要关注的是"防御"(Defense)。正如许多学者普遍意识到的那样[7]，实际上要达到真正的安全，防御与"威慑"(Deterrence)应该同等重要。为了达到真正的威慑目的，最好的办法似乎是让网络中的业务流自己具有自我认证的能力，即给每个流，甚至每个分组都附上一个标签，该标签能够唯一地指定发出该分组的计算机，并且这个标签是不可篡改的(或者篡改是可以被发现的)，相应地也就是不可抵赖的。另一方面，在网络中对这种标签进行来源确认时，又不能过多地侵犯用户的隐私。一种称为"群签名"(Group Signature)的公钥签名机制[8]可以达到这个目的。以这种工具为基础，就可以设想出新的对用户进行有效管理和控制的方法。Snoeren等人提出[7]，可以在网络边缘设置关联认证服务(利用群签名技术)，对每个进入网络的分组的归属都进行认证，一旦发现无法认证的分组(不能归属于任何已知的群)，就不准该分组进入网络。反之，如果发现了对网络有害的分组，也可以通过其群签名，确定分组的发送者。如果能克服计算量大的缺陷，这种思路无疑会对改善现有Internet难管、难控的现状具有重大的意义。

　　与上述系统类似，文献[9]提出的企业网安全结构(SANE)结构也希望在网络边缘，特别是企业网内设置一个集中式的控制中心，称为域控制器(Domain Controller)。所有与管辖范围内主机有关的通信都必须得到域控制器的允许。这种集中式的方式对于用户行为的控制和管理能力当然是令人满意的，而且可以方便地在企业网内部署相应的安全策略。但是如何将这一思想拓展到公用网领域，既保证监控的力度，又保证可伸缩性，是一个挑战。

　　除了网络安全之外，对未来网络中支持移动设备的需求也要求网络能够对用户/端设备的位置信息进行有效的监管。这可以看作是对另一种用户行为的可控可管要求。人们很早就认识到如果能够将地理位置信息结合进无线网络的路由设计中，将是非常有效的[10]。近来有研究者提出在未来的网络体系结构中，应该在协议层次中充分考虑地理位置信息的作用[11]。这样做的好处是明显的，但是在互联网范围内如何能提供对数量惊人(而且还在继续快速增长)的移动设备提供高效的定位服务，无疑是一个挑战。文献[11]中提出的多分辨率定位服务方案，借鉴了固定电话号码的设置思想，充分利用了分级网络的特点，具有一定的可行性。

　　2.2 网络状态的可控可管性

　　除了对网络的配置之外，网络管理最主要的功能应该是对网络运行期间的各种状态的及时感知；而这种感知的目的是对包括故障、攻击和服务质量下降等各种异常现象的及时感知、定位、推理和诊断，最终做出适当的反应。但是，现有的互联网中，由于控制和管理功能依赖于数据平面，完全的、缺乏协调的分布式控制，以及大多数控制和管理功能都是后期定制(而不是在网络设计之初就统一考虑)等原因，呈现出难以有效收集网络状态、难以有效发现和定位网络异常，从而难以及时做出反应的特点。因此，越来越多的研究者从不同的侧面提出了对未来网络的管理控制系统的研究构想。例如，文献[12]强调了集中式控制的好处；知识平面[13]的概念强调了推理和诊断能力的必要性；文献[14]和文献[15]试图回答哪些功能模块是必不可少的问题；CONMan[16]在文献[12]的基础上进一步强调了控制管理功能与数据转发功能的分离；Maestro[17]借鉴主动网和可编程网络[18]的成果，试图给出针对网管功能的、统一的操作平台。

文献[12]提议将现今路由器中的主要功能重新划分为4个平面：数据(Data)、分发(Dissemination)、发现(Discovery)和决策(Decision)，即4D。网络中的状态信息由发现平面来收集；然后由分发平面负责将这些信息发布到决策平面；决策平面根据这些信息计