Image
全國統一(yi)服務(wu)熱線(xian)
0351-4073466

新形勢下網絡安全技術創新發展的思考:密碼定義安全

編輯:2024-12-27 15:57:23

       隨著萬物互聯時代的(de)到(dao)來,網(wang)(wang)絡(luo)(luo)空間(jian)的(de)規(gui)模、速度和互聯性(xing)實(shi)現(xian)了爆炸式增長,公眾的(de)生產生活方式也經歷了根本(ben)性(xing)的(de)變革(ge)。今年正值習(xi)近平總書記(ji)提出總體(ti)國(guo)家安(an)全觀十(shi)周年,十(shi)年來,網(wang)(wang)信事業蓬(peng)勃(bo)發(fa)展,我國(guo)正*推進網(wang)(wang)絡(luo)(luo)強(qiang)國(guo)建設。網(wang)(wang)絡(luo)(luo)空間(jian)作為(wei)國(guo)家安(an)全的(de)第五大(da)疆域,如何(he)在加速信息(xi)化(hua)、智(zhi)能化(hua)建設的(de)同時確保(bao)網(wang)(wang)絡(luo)(luo)空間(jian)安(an)全,已成(cheng)為(wei)刻(ke)不(bu)容緩(huan)的(de)現(xian)實(shi)挑戰。密碼是(shi)網(wang)(wang)絡(luo)(luo)安(an)全的(de)核心(xin)技術,是(shi)網(wang)(wang)絡(luo)(luo)信任的(de)基石。加快形成(cheng)“密碼定義安(an)全”的(de)網(wang)(wang)絡(luo)(luo)安(an)全新理念(nian),助力形成(cheng)主動的(de)安(an)全防護能力體(ti)系(xi),對我國(guo)構建更具適應性(xing)的(de)網(wang)(wang)絡(luo)(luo)防御(yu)架構、建立網(wang)(wang)絡(luo)(luo)安(an)全屏(ping)障、筑牢(lao)網(wang)(wang)絡(luo)(luo)安(an)全防線具有重要意義。




一、網絡安全新形勢


       新形勢造就網絡安全新時代。當前(qian),社會正在快速進入萬物互聯(lian)的(de)智能化時(shi)代,網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)的(de)重(zhong)(zhong)要性日益凸顯(xian)。它不僅關乎信息和網(wang)絡(luo)(luo)本身的(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan),更涉及國家安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)、社會安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)乃(nai)至(zhi)人身安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)等多個層面。因(yin)此(ci),網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)已不再(zai)是過(guo)去的(de)一(yi)城一(yi)隅(yu),我國網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)正式進入“大安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)”時(shi)代。與(yu)此(ci)同時(shi),網(wang)絡(luo)(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)威脅(xie)也呈現出從虛擬空間向現實世界(jie)蔓延的(de)趨勢(shi),這些威脅(xie)對(dui)金融、交通、能源(yuan)等重(zhong)(zhong)要行業(ye)以及國民經濟命脈的(de)關鍵領域構成了嚴重(zhong)(zhong)的(de)安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)威脅(xie)。因(yin)此(ci)保障安(an)(an)(an)全(quan)(quan)(quan)(quan)(quan)迫在眉睫。

       新技術帶來網絡安全新風險。云計算、大(da)數據、人工智能、量子信(xin)息、區(qu)(qu)塊(kuai)鏈等新一代(dai)(dai)信(xin)息技術(shu)迅(xun)猛發(fa)展,正在加速推進現代(dai)(dai)化建設并重塑全(quan)(quan)(quan)球(qiu)網(wang)(wang)絡格局(ju)(ju)。這些技術(shu)在融(rong)入(ru)生產(chan)、生活并帶來極(ji)大(da)便利(li)的(de)(de)同時,也帶來了(le)新的(de)(de)安(an)全(quan)(quan)(quan)挑(tiao)戰。現實(shi)世界(jie)與虛擬世界(jie)相互交織(zhi),傳(chuan)統(tong)安(an)全(quan)(quan)(quan)與網(wang)(wang)絡安(an)全(quan)(quan)(quan)深(shen)度(du)融(rong)合(he),使得安(an)全(quan)(quan)(quan)防(fang)護的(de)(de)復雜性陡(dou)然(ran)增加。網(wang)(wang)絡模式多元化、網(wang)(wang)絡邊界(jie)模糊化、網(wang)(wang)絡數據敏感(gan)化,導致(zhi)攻擊(ji)影響面廣(guang)、攻擊(ji)面大(da)以及(ji)數據泄露風險(xian)高等問題。傳(chuan)統(tong)的(de)(de)安(an)全(quan)(quan)(quan)防(fang)護手段,如(ru)“打補丁”“局(ju)(ju)部(bu)整改”和(he)“事后(hou)補救”,已(yi)無法滿(man)足當前網(wang)(wang)絡安(an)全(quan)(quan)(quan)防(fang)御的(de)(de)實(shi)際需求,網(wang)(wang)絡安(an)全(quan)(quan)(quan)工作已(yi)經進入(ru)了(le)“深(shen)水區(qu)(qu)”。

       新風險催生網絡安全新理念。自數字化轉型(xing)以來,新(xin)技術(shu)的(de)(de)廣泛應用帶來了全新(xin)的(de)(de)網(wang)(wang)(wang)絡(luo)(luo)威脅(xie)和(he)安(an)全需求,這推動(dong)了網(wang)(wang)(wang)絡(luo)(luo)安(an)全行業(ye)在技術(shu)思(si)想、方(fang)(fang)法論和(he)產(chan)業(ye)思(si)維上的(de)(de)演進,促使我(wo)們重新(xin)審視現有的(de)(de)安(an)全防(fang)護(hu)模式,并創(chuang)新(xin)網(wang)(wang)(wang)絡(luo)(luo)安(an)全新(xin)范式。通過轉變防(fang)御(yu)思(si)路,將(jiang)消極被動(dong)的(de)(de)封堵查(cha)殺轉變為建立主動(dong)免(mian)疫(yi)的(de)(de)網(wang)(wang)(wang)絡(luo)(luo)安(an)全新(xin)體系。同時,創(chuang)新(xin)防(fang)護(hu)理(li)念,強化風險意識(shi),堅持動(dong)態、綜(zong)合的(de)(de)安(an)全防(fang)護(hu)思(si)想,力求實現計算(suan)一致(zhi)、行為受控和(he)數據保密,進而全方(fang)(fang)面保障網(wang)(wang)(wang)絡(luo)(luo)空間安(an)全。



二、密碼定義安全的思考


       密(mi)(mi)碼技術(shu)(shu)作(zuo)為保障網(wang)(wang)絡(luo)與(yu)(yu)信息安全*有(you)效、*可(ke)靠、*經濟的(de)(de)(de)(de)關(guan)鍵核(he)心技術(shu)(shu),通常用(yong)于支撐(cheng)身份認(ren)(ren)證和傳輸安全,其(qi)(qi)原理(li)與(yu)(yu)邏輯(ji)在(zai)(zai)理(li)論上已(yi)得到充(chong)分(fen)證明。然而,從現實(shi)(shi)情(qing)況來看,密(mi)(mi)碼技術(shu)(shu)與(yu)(yu)應(ying)用(yong)的(de)(de)(de)(de)安*果(guo)并(bing)不盡如(ru)人意(yi)。一(yi)方(fang)面,我們強調(diao)密(mi)(mi)碼技術(shu)(shu)在(zai)(zai)網(wang)(wang)絡(luo)安全保障中(zhong)(zhong)(zhong)的(de)(de)(de)(de)核(he)心地位;另一(yi)方(fang)面,在(zai)(zai)實(shi)(shi)際應(ying)用(yong)中(zhong)(zhong)(zhong),即使使用(yong)了密(mi)(mi)碼技術(shu)(shu),安全問(wen)(wen)(wen)題仍時有(you)發生。究其(qi)(qi)原因(yin),可(ke)能(neng)是(shi)(shi)密(mi)(mi)碼算(suan)法(fa)和協議的(de)(de)(de)(de)設計(ji)存在(zai)(zai)缺陷(xian),也(ye)可(ke)能(neng)是(shi)(shi)算(suan)法(fa)或(huo)協議在(zai)(zai)實(shi)(shi)現和使用(yong)過(guo)程(cheng)中(zhong)(zhong)(zhong)出現偏差,或(huo)者是(shi)(shi)對實(shi)(shi)際計(ji)算(suan)機和網(wang)(wang)絡(luo)系(xi)統的(de)(de)(de)(de)復雜(za)性認(ren)(ren)識不足(zu)等問(wen)(wen)(wen)題。這些問(wen)(wen)(wen)題都導(dao)致了密(mi)(mi)碼的(de)(de)(de)(de)安全防護(hu)*大打折扣。但更(geng)重要(yao)的(de)(de)(de)(de)是(shi)(shi),網(wang)(wang)絡(luo)空(kong)(kong)間安全防護(hu)并(bing)未充(chong)分(fen)規約到密(mi)(mi)碼技術(shu)(shu)上。因(yin)此,充(chong)分(fen)發揮密(mi)(mi)碼技術(shu)(shu)在(zai)(zai)整個網(wang)(wang)絡(luo)空(kong)(kong)間安全中(zhong)(zhong)(zhong)的(de)(de)(de)(de)作(zuo)用(yong)是(shi)(shi)亟需解決的(de)(de)(de)(de)關(guan)鍵問(wen)(wen)(wen)題。

       在(zai)網(wang)絡化時代,計算機(ji)網(wang)絡已成(cheng)(cheng)為(wei)(wei)信(xin)息采集(ji)、傳(chuan)輸、存儲和使用的(de)主要載體。網(wang)絡中(zhong)每(mei)(mei)個節點(dian)的(de)安(an)(an)全(quan)(quan)性是(shi)整體網(wang)絡安(an)(an)全(quan)(quan)防(fang)護(hu)中(zhong)的(de)重要一環。確保每(mei)(mei)個節點(dian)遵循既(ji)定(ding)(ding)的(de)邏輯執行(xing),是(shi)整體網(wang)絡防(fang)護(hu)策略的(de)基礎要素,我們稱之為(wei)(wei)操作層(ceng)面。隨著可(ke)靠(kao)節點(dian)間的(de)交互(hu)與連接(jie),并能(neng)按(an)照網(wang)絡的(de)既(ji)定(ding)(ding)權限(xian)(規則)進(jin)行(xing)認證和訪(fang)問,網(wang)絡體系(xi)(xi)逐漸形成(cheng)(cheng),這(zhe)被稱為(wei)(wei)行(xing)為(wei)(wei)層(ceng)面。在(zai)安(an)(an)全(quan)(quan)網(wang)絡內進(jin)行(xing)信(xin)息交互(hu)過程(cheng)中(zhong),數據的(de)載體作用凸顯,其全(quan)(quan)生(sheng)命周期(qi)的(de)安(an)(an)全(quan)(quan)保障(zhang)成(cheng)(cheng)為(wei)(wei)防(fang)止未授權訪(fang)問、確保數據保密(mi)性與完整性的(de)核心,這(zhe)被稱為(wei)(wei)對象(xiang)層(ceng)面。鑒(jian)于(yu)此(ci),我們從操作、行(xing)為(wei)(wei)、對象(xiang)三個層(ceng)面來考慮(lv)密(mi)碼(ma)定(ding)(ding)義安(an)(an)全(quan)(quan)的(de)新理念,以保證網(wang)絡系(xi)(xi)統能(neng)夠按(an)照完備的(de)邏輯運行(xing)并抵御(yu)惡意篡(cuan)改(gai)。

       迄今(jin)為(wei)止,傳統的(de)(de)網(wang)(wang)絡(luo)安(an)全(quan)(quan)防御多基(ji)于(yu)后(hou)驗知識。鑒于(yu)不(bu)斷演變的(de)(de)安(an)全(quan)(quan)威脅,主(zhu)動防御策(ce)略和技術正逐漸受(shou)到(dao)重視,而這(zhe)些策(ce)略和技術尚未達(da)到(dao)成熟階段。基(ji)于(yu)對(dui)(dui)網(wang)(wang)絡(luo)安(an)全(quan)(quan)和密(mi)(mi)碼(ma)(ma)技術的(de)(de)理(li)解,我們認為(wei)可以(yi)從密(mi)(mi)碼(ma)(ma)的(de)(de)基(ji)本原(yuan)(yuan)理(li)出發,通過將(jiang)密(mi)(mi)碼(ma)(ma)技術“緊”地作用在保護對(dui)(dui)象,將(jiang)網(wang)(wang)絡(luo)安(an)全(quan)(quan)中的(de)(de)重要問(wen)題歸約到(dao)密(mi)(mi)碼(ma)(ma)系統的(de)(de)安(an)全(quan)(quan)上。應盡可能(neng)地將(jiang)網(wang)(wang)絡(luo)安(an)全(quan)(quan)中的(de)(de)重點難(nan)點問(wen)題與密(mi)(mi)碼(ma)(ma)綁定(ding),切實將(jiang)網(wang)(wang)絡(luo)對(dui)(dui)抗轉(zhuan)化為(wei)密(mi)(mi)碼(ma)(ma)對(dui)(dui)抗。網(wang)(wang)絡(luo)攻擊能(neng)否得(de)手僅取決于(yu)敵(di)手是否能(neng)突(tu)破密(mi)(mi)碼(ma)(ma)系統,依托密(mi)(mi)碼(ma)(ma)的(de)(de)安(an)全(quan)(quan)原(yuan)(yuan)理(li),實現網(wang)(wang)絡(luo)的(de)(de)可證明(ming)安(an)全(quan)(quan)。



三、密碼定義安全的內涵


       密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)安(an)(an)(an)全(quan)(quan)(quan)(quan)基于可(ke)證(zheng)明(ming)安(an)(an)(an)全(quan)(quan)(quan)(quan)的思(si)想,將網(wang)絡(luo)空間的重要(yao)安(an)(an)(an)全(quan)(quan)(quan)(quan)問題歸(gui)結為(wei)密(mi)(mi)(mi)(mi)碼(ma)(ma)系(xi)統的安(an)(an)(an)全(quan)(quan)(quan)(quan)問題。從網(wang)絡(luo)行(xing)(xing)為(wei)、操作和對象(xiang)三(san)個層面(mian)出發(fa),將密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)安(an)(an)(an)全(quan)(quan)(quan)(quan)劃分為(wei)三(san)個層次,即密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)網(wang)絡(luo)、密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)計(ji)(ji)算(suan)、密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)數(shu)據(ju)(ju)(ju)(ju)。當(dang)主(zhu)體(ti)之間產(chan)生(sheng)交(jiao)互時,其內(nei)(nei)在(zai)(zai)機制與耦合(he)關聯(lian)形(xing)(xing)成(cheng)復(fu)雜(za)而(er)有(you)序的網(wang)絡(luo)。密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)網(wang)絡(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)(簡(jian)(jian)稱“密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)網(wang)絡(luo)”)旨在(zai)(zai)通過密(mi)(mi)(mi)(mi)碼(ma)(ma)技(ji)(ji)術(shu)構建標識身(shen)份(fen)設(she)備屬性(xing)(xing)(xing)(xing)和密(mi)(mi)(mi)(mi)鑰(yao)體(ti)系(xi),進而(er)通過屬性(xing)(xing)(xing)(xing)和密(mi)(mi)(mi)(mi)鑰(yao)規范(fan)網(wang)絡(luo)行(xing)(xing)為(wei),實(shi)(shi)現網(wang)絡(luo)的先(xian)驗安(an)(an)(an)全(quan)(quan)(quan)(quan)性(xing)(xing)(xing)(xing)。在(zai)(zai)網(wang)絡(luo)空間,每一個節(jie)點(包括(kuo)計(ji)(ji)算(suan)節(jie)點和交(jiao)換節(jie)點)都可(ke)能成(cheng)為(wei)攻擊者的目標。密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)計(ji)(ji)算(suan)安(an)(an)(an)全(quan)(quan)(quan)(quan)(簡(jian)(jian)稱“密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)計(ji)(ji)算(suan)”)旨在(zai)(zai)通過密(mi)(mi)(mi)(mi)碼(ma)(ma)技(ji)(ji)術(shu)使(shi)得每個主(zhu)體(ti)能夠(gou)按照既定(ding)(ding)(ding)(ding)邏輯執(zhi)行(xing)(xing)對應(ying)行(xing)(xing)為(wei)。此(ci)外,還可(ke)以依(yi)據(ju)(ju)(ju)(ju)安(an)(an)(an)全(quan)(quan)(quan)(quan)需(xu)求(qiu)保護計(ji)(ji)算(suan)要(yao)素和計(ji)(ji)算(suan)邏輯,僅對擁有(you)權限的主(zhu)體(ti)公(gong)開,從而(er)確(que)(que)保計(ji)(ji)算(suan)安(an)(an)(an)全(quan)(quan)(quan)(quan)。數(shu)據(ju)(ju)(ju)(ju)是(shi)主(zhu)體(ti)在(zai)(zai)網(wang)絡(luo)中(zhong)實(shi)(shi)現信(xin)息傳遞的載體(ti),是(shi)信(xin)息的表現形(xing)(xing)式,也是(shi)信(xin)息傳遞、處理和存儲的基礎。密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)數(shu)據(ju)(ju)(ju)(ju)安(an)(an)(an)全(quan)(quan)(quan)(quan)(簡(jian)(jian)稱“密(mi)(mi)(mi)(mi)碼(ma)(ma)定(ding)(ding)(ding)(ding)義(yi)(yi)(yi)(yi)數(shu)據(ju)(ju)(ju)(ju)”)旨在(zai)(zai)將密(mi)(mi)(mi)(mi)碼(ma)(ma)技(ji)(ji)術(shu)貫穿數(shu)據(ju)(ju)(ju)(ju)的全(quan)(quan)(quan)(quan)生(sheng)命(ming)周期(qi)(qi),保障數(shu)據(ju)(ju)(ju)(ju)在(zai)(zai)全(quan)(quan)(quan)(quan)生(sheng)命(ming)周期(qi)(qi)內(nei)(nei)的保密(mi)(mi)(mi)(mi)性(xing)(xing)(xing)(xing)、完(wan)整性(xing)(xing)(xing)(xing)、可(ke)用性(xing)(xing)(xing)(xing)、可(ke)控性(xing)(xing)(xing)(xing)和不可(ke)抵賴性(xing)(xing)(xing)(xing),從而(er)確(que)(que)保數(shu)據(ju)(ju)(ju)(ju)安(an)(an)(an)全(quan)(quan)(quan)(quan)。

(一)密碼定義網絡

       網(wang)(wang)絡(luo)(luo)(luo)安全是指(zhi)通過采取必要(yao)措施,防范(fan)對(dui)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)(de)(de)(de)攻擊(ji)、侵入(ru)、干擾、破(po)壞和非(fei)法使用以及意外事(shi)故,確保網(wang)(wang)絡(luo)(luo)(luo)處于(yu)穩(wen)定(ding)可靠(kao)的(de)(de)(de)(de)(de)(de)運行(xing)(xing)狀(zhuang)態(tai),并保障(zhang)網(wang)(wang)絡(luo)(luo)(luo)數據的(de)(de)(de)(de)(de)(de)機(ji)密性(xing)、完整性(xing)和可用性(xing)的(de)(de)(de)(de)(de)(de)能(neng)力(li)。如今(jin),從信息攻防到(dao)設備和設施攻防,網(wang)(wang)絡(luo)(luo)(luo)攻防技(ji)術不(bu)斷迭代演進,關(guan)鍵基礎(chu)設施已(yi)成為(wei)網(wang)(wang)絡(luo)(luo)(luo)安全的(de)(de)(de)(de)(de)(de)核心戰場。隨著網(wang)(wang)絡(luo)(luo)(luo)邊界逐漸泛化(hua),傳(chuan)統(tong)的(de)(de)(de)(de)(de)(de)基于(yu)邊界的(de)(de)(de)(de)(de)(de)防護手(shou)段*大打折扣(kou)。零(ling)信任技(ji)術以“持續驗(yan)證(zheng),永不(bu)信任”為(wei)核心原則(ze),在(zai)認(ren)證(zheng)的(de)(de)(de)(de)(de)(de)基礎(chu)上,通過“規則(ze)”對(dui)網(wang)(wang)絡(luo)(luo)(luo)行(xing)(xing)為(wei)進行(xing)(xing)約束。然而,它更(geng)多注重于(yu)惡意行(xing)(xing)為(wei)事(shi)后的(de)(de)(de)(de)(de)(de)處理,并未從根本上阻止攻擊(ji)的(de)(de)(de)(de)(de)(de)產(chan)生。

       密(mi)碼定(ding)義網(wang)(wang)絡(luo)(luo)希望比“零信任”更進(jin)(jin)一步。從網(wang)(wang)絡(luo)(luo)實體(ti)(ti)(設備、用(yong)(yong)戶(hu)、進(jin)(jin)程)入手,圍繞其身份(fen)(fen)屬(shu)(shu)(shu)性使用(yong)(yong)密(mi)碼技(ji)術(shu)構(gou)建密(mi)碼標識(shi)。在持續驗證的(de)(de)基(ji)(ji)礎上,將網(wang)(wang)絡(luo)(luo)實體(ti)(ti)身份(fen)(fen)與(yu)密(mi)碼標識(shi)綁定(ding),通(tong)(tong)過屬(shu)(shu)(shu)性定(ding)義主(zhu)體(ti)(ti)密(mi)鑰(yao),并利用(yong)(yong)密(mi)鑰(yao)限(xian)制主(zhu)體(ti)(ti)權限(xian),從而刻畫主(zhu)體(ti)(ti)行(xing)為(wei)(wei)、規范(fan)交互流程,實現網(wang)(wang)絡(luo)(luo)的(de)(de)可(ke)追溯、可(ke)管(guan)(guan)理和(he)(he)可(ke)控制。通(tong)(tong)過基(ji)(ji)于密(mi)碼的(de)(de)設備身份(fen)(fen)屬(shu)(shu)(shu)性和(he)(he)基(ji)(ji)于屬(shu)(shu)(shu)性的(de)(de)行(xing)為(wei)(wei)管(guan)(guan)控,密(mi)碼定(ding)義旨在對可(ke)能的(de)(de)攻擊行(xing)為(wei)(wei)進(jin)(jin)行(xing)事前(qian)防(fang)御,利用(yong)(yong)密(mi)碼筑牢(lao)一個(ge)更加堅實可(ke)靠(kao)的(de)(de)網(wang)(wang)絡(luo)(luo)安全(quan)邊界,從而提高(gao)網(wang)(wang)絡(luo)(luo)的(de)(de)抗攻擊能力。

(二)密碼定義計算

       計(ji)(ji)(ji)(ji)(ji)算安全是指(zhi)保(bao)證網(wang)絡(luo)空間計(ji)(ji)(ji)(ji)(ji)算與網(wang)絡(luo)初始邏(luo)輯一(yi)(yi)致(zhi)(zhi)(zhi)。計(ji)(ji)(ji)(ji)(ji)算要素主要包括計(ji)(ji)(ji)(ji)(ji)算資源(yuan)(yuan)和計(ji)(ji)(ji)(ji)(ji)算邏(luo)輯。在(zai)當前的(de)密(mi)碼技(ji)術發展中,同態加密(mi)和安全多方計(ji)(ji)(ji)(ji)(ji)算實(shi)(shi)現(xian)了(le)計(ji)(ji)(ji)(ji)(ji)算資源(yuan)(yuan)的(de)“可(ke)算不可(ke)見”,而(er)SGX、TrustZone 等基(ji)于(yu)硬件的(de)安全增強技(ji)術則提供(gong)了(le)一(yi)(yi)定程度的(de)計(ji)(ji)(ji)(ji)(ji)算資源(yuan)(yuan)和計(ji)(ji)(ji)(ji)(ji)算邏(luo)輯機密(mi)性(xing)的(de)雙保(bao)護(hu)執行環境(jing)。現(xian)有(you)技(ji)術在(zai)保(bao)護(hu)計(ji)(ji)(ji)(ji)(ji)算資源(yuan)(yuan)和計(ji)(ji)(ji)(ji)(ji)算邏(luo)輯方面(mian)的(de)成果(guo)不斷豐(feng)富,但往(wang)往(wang)都(dou)忽略了(le)對計(ji)(ji)(ji)(ji)(ji)算邏(luo)輯一(yi)(yi)致(zhi)(zhi)(zhi)性(xing)的(de)保(bao)護(hu),特別是在(zai)動(dong)態執行過程中的(de)一(yi)(yi)致(zhi)(zhi)(zhi)性(xing)保(bao)護(hu)。緩(huan)沖(chong)區溢出攻擊、供(gong)應鏈攻擊等問題往(wang)往(wang)是由于(yu)邏(luo)輯一(yi)(yi)致(zhi)(zhi)(zhi)性(xing)出現(xian)偏差(cha),可(ke)能導致(zhi)(zhi)(zhi)惡意(yi)(yi)跳轉或(huo)(huo)注入(ru)和執行惡意(yi)(yi)代(dai)碼,*終(zhong)使計(ji)(ji)(ji)(ji)(ji)算邏(luo)輯被(bei)蓄意(yi)(yi)破壞或(huo)(huo)篡改,導致(zhi)(zhi)(zhi)程序無法安全銜接,從而(er)實(shi)(shi)施(shi)惡意(yi)(yi)攻擊行為(wei)。

       密碼定義計算(suan)從(cong)*底(di)層的計算(suan)單元(yuan)入手,將(jiang)計算(suan)資源和計算(suan)邏輯(ji)的保護(hu)與密碼強綁定。重點在于計算(suan)邏輯(ji)的一致性保護(hu),希望通過密碼技(ji)術使(shi)每個主(zhu)體能夠按照既定邏輯(ji)執行(xing)相應行(xing)為,確(que)保系統(tong)能夠按照預先(xian)設定的邏輯(ji)運行(xing)、不被(bei)惡(e)意篡改。同時,根據實際需求,也能夠保證(zheng)計算(suan)資源和邏輯(ji)的機密性與完(wan)整(zheng)性。

(三)密碼定義數據

       數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)安(an)(an)全(quan)是(shi)指保(bao)護(hu)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)不(bu)被未經授權訪(fang)問(wen)、使用(yong)(yong)、泄(xie)(xie)露、修改、破壞等。數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)全(quan)生命周期包(bao)括數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)采(cai)集、存(cun)儲(chu)(chu)、處理(li)、傳輸、交(jiao)換(huan)、銷毀的(de)(de)(de)(de)整(zheng)個(ge)過程。現有(you)的(de)(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)保(bao)護(hu)技術往(wang)往(wang)關注于每個(ge)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)或數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)集在各個(ge)活動階段(duan)的(de)(de)(de)(de)行為(wei)(wei)(wei)(wei)和(he)特(te)點。例(li)如,身份認(ren)證作為(wei)(wei)(wei)(wei)防(fang)護(hu)網絡(luo)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)的(de)(de)(de)(de)第一(yi)道(dao)防(fang)線,禁止非授權用(yong)(yong)戶進(jin)入(ru)網絡(luo);入(ru)侵檢測作為(wei)(wei)(wei)(wei)一(yi)道(dao)動態的(de)(de)(de)(de)安(an)(an)全(quan)屏障,能夠實(shi)時識別(bie)(bie)和(he)防(fang)御(yu)潛在網絡(luo)攻(gong)擊。這(zhe)(zhe)些技術為(wei)(wei)(wei)(wei)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)的(de)(de)(de)(de)機密性(xing)、完整(zheng)性(xing)和(he)可(ke)用(yong)(yong)性(xing)提供了一(yi)定的(de)(de)(de)(de)支撐。然(ran)而(er),這(zhe)(zhe)些技術之間缺乏(fa)有(you)效的(de)(de)(de)(de)串聯,無法形成對(dui)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)全(quan)生命周期的(de)(de)(de)(de)保(bao)護(hu)。同時,目前面(mian)向公眾(zhong)提供云(yun)服務(wu)的(de)(de)(de)(de)商業數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)中心不(bu)乏(fa)外資(zi)背景,其安(an)(an)全(quan)模型是(shi)“誠實(shi)但(dan)(dan)好奇”的(de)(de)(de)(de)。隨著人工智能和(he)大數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)應(ying)用(yong)(yong)的(de)(de)(de)(de)高水(shui)平(ping)發展,數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)的(de)(de)(de)(de)泄(xie)(xie)漏風險與應(ying)用(yong)(yong)需(xu)求之間形成了兩(liang)難的(de)(de)(de)(de)局面(mian)。一(yi)方(fang)面(mian),高水(shui)平(ping)的(de)(de)(de)(de)大數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)應(ying)用(yong)(yong)需(xu)要多方(fang)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)的(de)(de)(de)(de)深度融合與加工,這(zhe)(zhe)又需(xu)要統(tong)一(yi)的(de)(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)存(cun)儲(chu)(chu)和(he)計算平(ping)臺(tai);另一(yi)方(fang)面(mian),統(tong)一(yi)的(de)(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)存(cun)儲(chu)(chu)和(he)計算平(ping)臺(tai)卻可(ke)能加劇數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)泄(xie)(xie)漏的(de)(de)(de)(de)風險。特(te)別(bie)(bie)是(shi)在云(yun)運營者被假設為(wei)(wei)(wei)(wei)半(ban)可(ke)信(盡力而(er)為(wei)(wei)(wei)(wei)、但(dan)(dan)對(dui)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)好奇)的(de)(de)(de)(de)情況下,解決(jue)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)(ju)既可(ke)用(yong)(yong)又安(an)(an)全(quan)的(de)(de)(de)(de)問(wen)題確實(shi)非常棘(ji)手。

       密(mi)碼(ma)定(ding)義數據(ju)(ju)的(de)目標是解決上(shang)述(shu)難(nan)題。從數據(ju)(ju)全(quan)生命周(zhou)期入手,旨在(zai)滿(man)足大數據(ju)(ju)深(shen)度(du)應(ying)用(yong)(yong)的(de)數據(ju)(ju)安全(quan)需求,建立面向數據(ju)(ju)安全(quan)的(de)密(mi)碼(ma)算法族(zu)和協議族(zu)。密(mi)碼(ma)使用(yong)(yong)的(de)自主權掌(zhang)握在(zai)用(yong)(yong)戶手中,實現數據(ju)(ju)的(de)可檢索、可審計、可加工和可應(ying)用(yong)(yong)。

       綜上所述,當前密(mi)(mi)(mi)碼定(ding)義安(an)全(quan)主要聚焦于密(mi)(mi)(mi)碼定(ding)義網絡、密(mi)(mi)(mi)碼定(ding)義計(ji)算和密(mi)(mi)(mi)碼定(ding)義數據三個方面。隨(sui)著(zhu)網絡安(an)全(quan)對(dui)抗的(de)(de)不斷演(yan)進,未來(lai)可能會面臨更加重大和難(nan)以解(jie)決的(de)(de)問(wen)題。基于密(mi)(mi)(mi)碼學的(de)(de)基本原理(li),把這些問(wen)題與(yu)密(mi)(mi)(mi)碼技術緊密(mi)(mi)(mi)結合,嘗試提(ti)出新的(de)(de)解(jie)決方案是我們一(yi)以貫之的(de)(de)理(li)念(nian)。

       從理(li)念(nian)到(dao)概念(nian)只(zhi)是(shi)一小步。不(bu)斷豐富(fu)其(qi)內涵,持續提出(chu)基于這一概念(nian)的(de)落地技(ji)術,完(wan)善技(ji)術體系并取(qu)得令人信服的(de)*,還(huan)有很長的(de)路要走。可以(yi)看出(chu),要實現這一目標,對密(mi)碼(ma)(ma)技(ji)術本身也提出(chu)了新(xin)(xin)的(de)要求。無論是(shi)密(mi)碼(ma)(ma)定義(yi)計算,還(huan)是(shi)密(mi)碼(ma)(ma)定義(yi)網(wang)絡,都(dou)需(xu)要針對新(xin)(xin)需(xu)求創新(xin)(xin)適(shi)應的(de)密(mi)碼(ma)(ma)技(ji)術,簡單使(shi)用現有的(de)密(mi)碼(ma)(ma)技(ji)術無法取(qu)得很好的(de)*。因此(ci),需(xu)要傳統意義(yi)上的(de)網(wang)絡安全(quan)技(ji)術和密(mi)碼(ma)(ma)技(ji)術同(tong)步發力、協同(tong)創新(xin)(xin)。

       密(mi)碼定(ding)義網絡、密(mi)碼定(ding)義計(ji)算和(he)密(mi)碼定(ding)義數(shu)(shu)據(ju)(ju)三者雖各(ge)有(you)(you)側重,但(dan)同(tong)時也相互關(guan)聯。一個問(wen)(wen)題的(de)(de)解(jie)決(jue)可以為(wei)其(qi)他問(wen)(wen)題的(de)(de)解(jie)決(jue)創造條件(jian),甚至直接(jie)用(yong)于(yu)(yu)解(jie)決(jue)其(qi)他問(wen)(wen)題。例如(ru)(ru),密(mi)碼定(ding)義計(ji)算可以直接(jie)用(yong)于(yu)(yu)解(jie)決(jue)數(shu)(shu)據(ju)(ju)安(an)(an)(an)全問(wen)(wen)題。當(dang)數(shu)(shu)據(ju)(ju)的(de)(de)價值(zhi)和(he)敏感性(xing)要求其(qi)安(an)(an)(an)全性(xing)需求優先于(yu)(yu)計(ji)算效率時,可以通過(guo)增加計(ji)算資源(yuan)的(de)(de)投入(ru)來提(ti)升(sheng)安(an)(an)(an)全防護(hu)措施。這包括但(dan)不限(xian)于(yu)(yu)加強(qiang)訪(fang)(fang)問(wen)(wen)控(kong)制權(quan)(quan)限(xian),確保(bao)只(zhi)有(you)(you)經(jing)過(guo)驗證和(he)授權(quan)(quan)的(de)(de)用(yong)戶才(cai)能訪(fang)(fang)問(wen)(wen)數(shu)(shu)據(ju)(ju);加強(qiang)節(jie)點間的(de)(de)安(an)(an)(an)全連(lian)接(jie)和(he)交互,以防止數(shu)(shu)據(ju)(ju)在傳輸過(guo)程(cheng)中被截(jie)獲或篡改;以及實施細粒(li)度的(de)(de)安(an)(an)(an)全策略,以實現對數(shu)(shu)據(ju)(ju)的(de)(de)嚴格(ge)保(bao)護(hu)。通過(guo)這些措施,可以確保(bao)數(shu)(shu)據(ju)(ju)的(de)(de)機密(mi)性(xing)得到(dao)維護(hu),符(fu)合*小(xiao)權(quan)(quan)限(xian)原則,即(ji)只(zhi)有(you)(you)必(bi)要的(de)(de)訪(fang)(fang)問(wen)(wen)被允許(xu),而所有(you)(you)非(fei)授權(quan)(quan)的(de)(de)訪(fang)(fang)問(wen)(wen)和(he)信息披(pi)露都被嚴格(ge)禁止。因此,如(ru)(ru)果沒有(you)(you)計(ji)算安(an)(an)(an)全,僅提(ti)出(chu)密(mi)碼定(ding)義網絡和(he)密(mi)碼定(ding)義數(shu)(shu)據(ju)(ju),仍然不能構成完整的(de)(de)網絡防御體系(xi)。



四、結 語


       密碼(ma)定義安(an)全(quan)是用密碼(ma)強綁定保護對象,實(shi)現可證明安(an)全(quan)的(de)(de)新理(li)念。目前(qian),這(zhe)一(yi)理(li)念還處于概(gai)念階段。面(mian)對日益嚴峻的(de)(de)網絡(luo)安(an)全(quan)威(wei)脅(xie),在(zai)安(an)全(quan)防(fang)護更加(jia)注重攻防(fang)對抗和有效性的(de)(de)背景下,不(bu)再單純的(de)(de)依賴(lai)傳統(tong)防(fang)護策(ce)略,而是形(xing)成主動安(an)全(quan)防(fang)護能力(li)體(ti)(ti)(ti)系(xi),構建更適應未來(lai)挑(tiao)戰的(de)(de)網絡(luo)防(fang)御(yu)架構。在(zai)未來(lai),我們的(de)(de)努(nu)力(li)方向是不(bu)斷(duan)完善該理(li)念的(de)(de)完備性、體(ti)(ti)(ti)系(xi)性和兼(jian)容性,使其(qi)與其(qi)他理(li)論(lun)體(ti)(ti)(ti)系(xi)兼(jian)容并包(bao)、優(you)勢互補(bu)。同時,持續加(jia)強網絡(luo)防(fang)御(yu)技術體(ti)(ti)(ti)系(xi)的(de)(de)構建與優(you)化,孵化出(chu)更多有影(ying)響力(li)的(de)(de)研究成果(guo),為筑牢網絡(luo)安(an)全(quan)防(fang)線添磚加(jia)瓦。

(本文刊登于《中國信息(xi)安全》雜(za)志2024年第9期)



Image
Image
版權所有:山(shan)西科信源(yuan)科技股份有限公司
咨詢熱線:0351-4073466?
地址:(北區)山西(xi)省太(tai)原(yuan)市迎(ying)澤區新建南路(lu)文(wen)源巷(xiang)24號(hao)文(wen)源公務中(zhong)心(xin)5層
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清(qing)控創新基地(di)A座(zuo)4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團