北京物流信息联盟

网络空间安全体系与关键技术(下)【鹏越·工控安全(164)】

2022-01-21 12:28:20

续:网络空间安全体系与关键技术(上)【鹏越·工控安全(164)】

网络空间安全体系与关键技术(中)【鹏越·工控安全(164)】


若干重要研究方向

3.4 网络环境下的电力工业控制系统安全技术
随着工业化与信息化进程的不断融合, 工业控制系统逐渐成为网络空间的一个重要组成部分, 并被广泛应用于能源行业、石油化工、水处理、交通、核工业等国家关键基础设施领域. 根据2015 年美国工业控制系统网络应急响应小组的报告, 2014 年度工业控制系统安全事件的分布中能源行业比例达32%, 这与以电力为主的能源行业对现实社会的重要性及其工控系统的自动化程度、信息化程度较高有紧密的关系, 因此对电力工业控制系统的攻击将带来巨大的经济损失, .
(1) 电力工业控制系统安全
目前, 面向电力工业控制系统的安全机制研究主要围绕智能电网开展, 在智能电表安全与隐私保护、智能电网数据采集与监控系统的攻击与防御等方面取得了一些研究成果.
a) 智能电表安全与隐私保护
为了提高智能电表终端的安全性, 研究者根据潜在的威胁模型, 提出了一些解决方案: McLaughlin等从攻击者的角度, 研究如何通过操纵高级量测体系(advanced metering infrastructure,AMI) 系统来欺骗电网, 并对这种攻击的可行性进行验证, 从而发现现有AMI 系统中存在多种能源窃取的途径. 为了防止攻击者伪造智能电表读数,Varodayan 等提出了一种新的冗余测量机制来验证接收到的智能电表用户用电量读数, 从而保证其数据的完整性. Liu 等针对AMI 中的信息多混合传输模型、智能电表的信息存储和计算约束以及需求响应中参与者不固定3 个问题, 提出一种新的密钥管理方案, 该方案基于密钥图技术, 采用密钥管理方法解决信息混合传输问题, 并采用加密和定期刷新两个策略解决后两个问题. Diao等提出一个基于CL 签名的可链接匿名认证协议, 可以实现消息的身份认证和错误电表读数追溯功能. 该协议还具有不需要第三方认证、计算复杂度低和通信消耗低等特点.为了保护智能电表的用户隐私, 研究者提出了相应的解决方案. Li 等 提出了一种分布式的增量数据聚合方案, 利用同态加密来保证数据在传输路径上的安全, 因此中间节点无法获取详细数据. Li等 首次利用压缩感知技术上传智能电表数据, 实现传输速率的提升, 并使用随机序列来增强用户数据的隐私性和完整性. Rial等提出一种隐私保护协议用于分时电价计算, 应用零知识证明技术在不公开具体消费数据的情况下, 确保消费数据的正确性, 但是如何实现跨电网的数据聚集依然有待进一步的研究. Ruj 等提出一个安全框架, 该框架将隐私数据聚集和访问控制进行整合, 利用同态加密保护用户隐私并利用基于属性的加密来保证访问控制的安全, 然而该方法中属性恢复过程会导致复杂的计算以及额外的通信负担. Rottondi 等建立了一种隐私保护节点模型, 将测量数据聚集后再上传从而保证用户隐私信息.Birman 等提出了一种数据收集方法, 利用差分隐私技术将电表中的聚合数据匿名化之后集中上传至数据中心, 并使用拜占庭容错算法在小部分电表被攻击的情况下也能保证整个系统的安全.
b) 数据采集与监控系统的攻击与防御
智能电网监控系统由大量布置的监控和测量设备组成, 监控和测量设备采集到的数据汇总到控制中心(supervisory control and data acquisition, SCADA), 控制中心再根据这些数据评估电网状态.
SCADA 的高效、安全运行依赖于设备数据的准确性和完整性, 通过注入虚假数据, 攻击者可以误导和操纵控制中心, 从而对整个电网造成严重危害.Liu 等展示了一种新类型的攻击, 可以探测现存的虚假数据监测算法中的漏洞, 从而绕过系统的安全防护. Huang 等从虚假数据攻击的角度进行研究, 提出攻击方可以进行独立组件分析, 在没有电网拓扑先验知识的情况下对电网拓扑进行推断,并根据结果进一步发起攻击. Yu 等利用主成分分析法在不知道电网拓扑信息的情况下达到隐秘攻击的目的. 针对虚假数据注入攻击, 一些研究机构提出了相应的防御机制, 来保证状态评估的准确性. Bobba 等提出一种监控系统防御机制, 通过加密足够数量的测量设备, 来保护状态评估系统不受隐秘攻击者的影响, 但是该机制的实施依赖于操作人员对被保护的传感器度量数据的实时获取.D´an 等则拓展了上述研究工作, 提出了两种加密设备放置算法, 通过充分利用在系统中放置的加密设备来最大化整个系统的安全性. Liu 等将虚假数据检测问题看成一个矩阵分离问题, 提出利用核范数最小化和低秩矩阵分解的方法对矩阵进行分离.
c) 信息传输安全
为了提高信息传输过程中的安全性与隐私性, 一些研究者提出了多种标准和防御措施. 美国国家标准与技术研究所指出, 网络不可用会导致无法实时监控关键电力设备和全局电力灾难, 所以鲁棒性是设计智能电网信息传输网络的首要标准. Lu 等 针对智能电网中通信网络面临的安全威胁进行分类评估, 基于自顶向下的分析, 将通信网络中潜在攻击分为网络可用性攻击、数据完整性攻击和隐私信息窃取3 种类型, 并定性分析了这3 种攻击的影响和可行性. Li 等针对隐私信息窃取问题, 从信息论角度分析隐秘通信所需的信道容量, 提出了单电表情况下Gauss 噪声通信信道方法. Khurana等提出一系列安全协议设计原则,包括明确的节点名、统一编码、信任假设、时间戳、协议适用范围、机密公开、明确的安全参数等, 并讨论实际工程中如何确保智能电网身份认证协议的正确性和有效性.
(2) 存在问题和未来发展趋势
信息网络和工控网络的互联互通是未来发展的趋势. 工控系统安全研究跨越传统的工控系统和IT 信息安全两个领域, 工控系统的安全脆弱性问题是因其重视工控系统的功能性实现、忽视安全性开发的历史原因造成的. 由于工控系统具有很高的领域专业性, 即使其安全脆弱性被发现, 但因缺乏相应的实验环境和领域知识, 难以采用传统意义上的信息安全技术及时处置. 因此, 工控系统信息安全研究是一个全新的战略发展方向.
具体在网络环境下的电力工业控制系统中, 有两个方面需要做进一步的研究: 1) 智能电表的防御技术: 在智能电网环境下, 针对智能电表的威胁种类较多, 如窃听、截取、伪造、重放、篡改数据, 渗透系统, 木马蠕虫病毒感染, 破坏物理链路, 分布式拒绝服务攻击等, 需要通过针对各种情况进行详细的研究, 才能有效地评估对智能电表的实际影响, 并进一步研究消除攻击威胁的防御措施. 2) 数据采集与监控系统的防御技术: 在数据采集与监控系统方面, 系统如果获取了恶意的电力数据并得出错误的状态估计值, 将导致工作人员做出错误的决策, 破坏整个电力系统. 因此需要针对各类潜在的数据采集与监控系统的威胁模型做进一步的研究, 并提出相应的防御措施.
3.5 匿名通信和流量分析技术
随着人们隐私保护意识的提高, OpenSSH, JAP, Tor, I2P 等低延时匿名通信系统相继出现并广泛应用. 然而, 随之而来的匿名滥用问题对网络空间安全造成了极大的威胁, 例如基于Tor 建立的地下网络黑市“丝绸之路” 提供了大量的毒品交易、军火买卖、黑客攻击等非法服务. 由于匿名通信系统对数据进行了加密处理, 在线破解这些密码算法难度较大且时间上不可接受, .
(1) 匿名通信系统
按照转发代理数量的不同, 匿名通信系统大致可分为单跳匿名通信系统和多跳匿名通信系统. 如图3(a) 所示,单跳匿名通信系统由用户、匿名服务器和应用服务器3 部分组成: 用户通过匿名服务客户程序和匿名代理建立加密隧道, 由匿名代理将用户数据解密并转发给应用服务器. 应用服务器并不知道用户真正的IP, 只是将响应数据返回给匿名代理, 再由代理服务器返回给用户.相对于单跳匿名通信系统, 多跳匿名通信系统的网络拓扑更为复杂, 协议更为完善. 目前使用最为广泛的多跳匿名系统Tor 由用户端、OR (onion router) 节点、目录服务器和应用服务器4 部分组成. 其中用户端从目录服务器处下载所有OR 节点信息构建链路, 并将通信数据发送给本地SOCKS代理; OR 节点负责转发用户与应用服务器间的数据单元; 目录服务器负责收集所有OR 节点信息; 应用服务器则为用户真正的通信目的地. 多跳匿名系统结构如图3(b) 所示: 在通信时, 由客户端发起请求, 与每个OR 节点分别协商生成密钥从而逐跳构建匿名电路. 然后, 客户端利用TLS 加密链路传输已层层加密的数据, 并由每一跳节点分别解密, 最终在出口节点处以明文形式发送给应用服务器.


(2) 流量分析技术
流量分析是指通过嗅探并分析通信流量(通常是加密流量) 的各种模式以获取有价值信息的一种技术. 从通信者的角度而言, 流量分析是一种针对通信匿名性的网络攻击行为, . 根据攻击者对通信行为的干涉程度, 可以将流量分析技术分为被动分析和主动分析两类: 被动流量分析是指通过被动网络窃听分析抽取流量特征的技术, 在这个过程中并不会影响数据的正常传输, 其优势在于隐蔽性强; 而主动流量分析则对数据通信过程本身施加干扰, 例如对数据包进行修改、重放、丢弃或延迟等操作, 从而达到更高效地进行流量特征分析和抽取的目的.
针对主动/被动流量分析, 根据威胁模型的不同, 又可以进一步分为端到端分析和单端分析两类:同时占据通信入口和出口实施的流量分析称为端到端流量分析, 而仅占据发送端或接收端实施的流量分析被称为单端流量分析. 端到端流量分析的目的通常是进行通信关系确认, 在此类攻击中攻击者通过嗅探或干扰流量, 然后基于某些统计特征比对嫌疑发送端发出的流量和嫌疑接收端收到的流量, 一旦比对成功, 则可确认通信关系. 在单端流量分析中, 攻击者通常仅在发送端或者接收端对流量进行监控, 并从中提取特征构建流量模式. 下面将从被动/主动的端到端流量分析、被动/主动的单端流量分析4 个方面阐述现有相关工作.

a) 被动的端到端流量分析
在被动的端到端流量分析中, 攻击者仅监听通信流量, 根据嫌疑发送者的出流和接收者入流之间的相似性推断两者之间是否存在通信关系. 这种相似性一般通过提取流量本身的特征,如报文个数、报文长度、时序关系等进行计算. 但是随着匿名网络规模的不断扩增, 攻击者同时监听到同一条链路上出口和入口流量的概率不断下降. 根据攻击者能力的不同, 现有被动端到端流量分析可以分为两种:一种是攻击者为AS/IX (autonomoussystems/Internet exchange) 级别, 可以监听整个自治域或互联网交换中心内的信道;另一种是攻击者向匿名通信网络注入节点,通过一定策略增加自身被选中的概率,从而实施攻击.
AS/IX 级别攻击. AS/IX 级别攻击是指攻击者可以在独立的自治系统或互联网交换中心级别对匿名链路进行监控分析,从而实现通信关系的确认.由于Tor 现有的路径选择策略会尽可能使一条链路穿越不同的国家,这就意味着即使是AS/IX 级别攻击者也并不一定能同时监控出口和入口节点.

而Edman 等通过实验发现,即使一条链路在地理位置上具有很大的跨度,一般也只会穿过少数的AS.此外,实验结果还显示一条匿名链路的入口和出口位置处于同一个自治域内的概率高达22%. IX具有比自治系统更大的监控范围,Murdoch 等验证了IX 级别攻击,通过对真实的流量进行采样,提取报文发送率、报文长度等统计特征,实现了实体通信关系的确认.Johnson 等在仿真环境下进行实验,在同时控制具有高带宽的Tor 节点以及互联网交换中心的条件下,可以对80% 的随机链路实现通信关系的确认.在AS/IX 级别攻击中,攻击者需要对相当大范围的网络流量进行监控和分析,这就对其所能掌控的资源有很高要求.
注入节点攻击. 注入节点攻击主要通过向网络中提供满足带宽、在线时间要求的恶意节点,使其成为匿名系统的一部分来实施攻击.而随着匿名网络规模的不断扩大,受限于攻击成本,攻击者无法提供足够的高带宽节点来获得更多链路的控制权,因此需要采取一些措施提高注入节点被选中的概率.
Bauer 等提出了通过上传虚假高带宽信息提高恶意节点被选中概率的策略.Pappas 等利用恶意用户节点构建环形链路,恶意消耗链路中合法中继节点的资源,最终使其资源耗尽拒绝服务,从而间接提高恶意节点被选中的概率.随着一些自动选取相对可靠中继节点的链路构建方案的提出,注入节点攻击的有效性面临着更多的挑战.
b) 主动的端到端流量分析
在主动的端到端流量分析中,攻击者通过操纵发送端或接收端的流量,产生特定流量变化以注入信号,然后在相应的位置对特定模式的信号进行恢复识别,从而确认通信双方的通信关系.根据实施层次的不同,可以将这类攻击分为3 种:网络层流量分析、协议层流量分析和应用层流量分析.
网络层流量分析. 网络层流量分析通常利用目标流量的速率、报文间隔时间和报文大小等作为载体来嵌入标记信息,从而实现通信关系的确认,这类流量分析技术通常被称为网络流水印攻击.Yu等通过改变流量发送速率在发送方通信流中嵌入不同的秘密扩频标识,该标识会随着通信流从发送方传播至接收方,只需在接收方比对秘密扩频标识即可识别通信关系.Houmansadr 等提出半盲的调制报文间隔的流水印机制,使用扩频技术并在目标流量的报文间隔中加入极小的延时,保证了攻击的隐蔽性,成功在SSH 流量上实施了攻击.Wang 等设计时隙质心扩频水印机制,以网络流时隙质心作为流水印的载体,实现匿名网络下的跨域追踪.在网络流水印研究领域,如何进一步提高流水印的健壮性、如何平衡流水印的准确性和隐蔽性是重要的研究课题.此外,SDN 软件定义网络的出现为网络流水印技术的部署提供了一个全新的平台,这也是一个重要的新研究方向.
协议层流量分析. 协议层流量分析主要利用匿名协议的缺陷在流量中嵌入标记识别通信关系.Ling等通过控制OR 节点并修改Tor 协议,在出口节点处连发3 个Tor 信元代表信号1、1 个Tor 信元代表信号0, 并通过分析信元在网络逐跳传输中可能出现的变化,设计信号恢复算法在入口节点处对信号进行识别,可以在较短的时间内实现对Tor 匿名流量通信关系的快速确认.此外,Ling 等还发现Tor 系统中的每个节点都维护一个本地计数器来协调对收、发报文的加解密操作.如果在入口节点处重放、删除或者加入一个报文,导致中间节点和出口节点的计数值与入口节点不一致,则报文在出口节点执行解密操作时就会发生错误.一旦检测到这种错误,就可以确定匿名通信关系.针对Anonymizer匿名网络,Ling 等提出在Web 服务器和匿名代理之间通过调制报文长度嵌入信号,并设计检测算法完成对信号的恢复识别.
应用层流量分析. 在应用层流量分析中, 攻击者主要通过在服务器返回给用户的Web 响应流量中注入特定的内容,使客户端流量产生可识别的模式特征.一旦这种特征被占据入口节点的攻击者识别,则通信关系确认.Wang 等提出一种攻击方案,在目标站点的流量中嵌入一个空对象,使得用户端在收到响应流量后去请求该空对象并产生相应的流量特征,通过流量特征的匹配可以确认通信关系.Chakravarty 等在Web 服务器端加入代码让用户下载一个较大且不易被察觉的文件,然后根据统计相关性在收集到的众多入口NetFlow 流量记录中找到符合此流量特征的入口节点,从而确认通信关系.此类的攻击还可以通过在用户的返回流量中注入JavaScript 代码来触发用户端浏览器产生特定的信号流量.
c) 被动的单端流量分析
被动的单端流量分析技术主要是指Web 站点指纹攻击.在Web 站点指纹攻击中,攻击者使用匿名代理模拟用户行为访问站点,对获取的流量提取特征形成站点指纹并建立Web 站点指纹库,然后对用户的在线匿名流量提取特征形成用户指纹,通过将用户指纹与指纹库中的指纹进行对比,从而识别出用户访问的站点.Hintz最先提出了Web 站点指纹攻击的概念,并在理论上证明了指纹攻击的可行性与有效性,但该攻击方案仅适用于HTTP1.0 协议,对之后的HTTP 协议不再有效.Liberatore 等 在前人工作的基础上,仅使用报文长度分布为特征,首次将机器学习领域的朴素Bayes 分类器应用于指纹识别,大大提高了单跳匿名代理上指纹攻击的成功率.但该方案依赖于上下行流量中报文的长度,并不适用于对报文进行了定长封装处理的Tor 等多跳匿名通信系统,具有较大的局限性,并且忽略了流量中报文方向这一关键特征.Panchenko 等通过综合多种流量特征,包括特定长度报文出现次数、总传输量、上下行报文数据量及所占比例等,并使用支持向量机(support vector machine,SVM) 对指纹进行分类,将多跳匿名代理上的识别率从3% 提升至55%. Cai 等针对Tor 信元定长封装的特性对报文长度进行处理,并使用最佳字符串编辑距离(optimal string alignmentdistance, OSAD) 为SVM的核函数衡量指纹相似性,在Tor 上取得较好攻击效果.Wang 等在Cai 等的研究基础上将特征集扩大,调整不同特征所占权重,使用K 近邻作为分类器,降低了计算成本,攻击效果进一步提升.然而,Web 站点指纹攻击的实施依赖于一系列假设,如用户浏览器关闭了缓存功能、用户浏览网页过程中较少出现背景流量等,消除这些假设对于方法的实用性具有重要的意义.
d) 主动的单端流量分析
主动的单端流量分析可以在两处位置实施,一种是在出口节点与应用服务器间的未加密链路上注入恶意代码,另一种是控制用户的入口节点或链路执行主动Web 站点指纹攻击.
注入恶意代码. 当攻击者控制了应用服务器端的未加密流量时,可以将Flash ActionScript,JavaScript, ActiveX 等恶意代码注入到返回流量中. 当这些代码到达用户端并被浏览器执行时,会导致浏览器绕过本地设置不使用加密代理,而是直接与远程服务器建立连接,从而暴露真实的IP 地址.

主动 Web 站点指纹攻击. 在被动的Web 指纹攻击中,攻击者仅监听链路,并不会对流量进行主动调制.由于Tor 等匿名通信系统的定长封装机制和HTTP 持久连接、流水线等技术的影响,Web页面不同对象的数据在返回流量中出现重叠难以区分,导致指纹攻击的正确率无法进一步提升.如果可以采取某些方法使不同对象的返回流量区分开来,则可以更好地为不同Web 站点建立指纹.He等首次提出并针对Tor 系统进行了主动Web 站点指纹攻击,通过对Tor 流量进行观察确定用户开始发送请求报文的位置,然后主动延迟用户发出的请求报文,使前一个请求对象的响应数据有足够时间完成传输,从而达到分离不同对象流量的目的.然而该攻击会造成报文重传,隐蔽性较差,并且延迟操作的粒度较粗,未对上行流量中存在的大量匿名协议控制报文进行识别.
(3) 存在问题和未来发展趋势
随着各类匿名通信系统的广泛部署和应用,加密流量、匿名流量在网络流量中所占的比例呈现出快速增长的趋势,因此采用流量分析技术实现对这部分流量的识别、分析和追踪,.现有研究工作可以从以下几个方面推进:1) 大规模数据报文的高速处理:针对动态实时到达的大规模数据报文流量,需要设计面向流式大数据处理的增量计算模型,研究流自适应的内存管理优化方法,支持快速、高效的大规模数据报文处理与分析.2) 基于压缩感知的流量模式统计分析:设计面向高速环境网络数据流的压缩和统计信息抽取方法,基于压缩感知理论,在满足严格的存储空间约束的前提下,设计支持海量数据流并行处理的分析算法,并将传统的流式数据处理拓展到对整个时间轴网络行为的监测,挖掘跨越多个时间段的持久流量模式特征.3) 加密网络流量的识别和分析:进一步开展加密流量识别、应用分类和内容分析核心算法的研究.利用挖掘出的网络数据流量模式特征,设计增量式算法,以实现快速、高效的匿名通信流量识别和应用分类.针对HTTP等典型匿名通信流量,设计主动流量分析技术以推测潜在的通信目标.

3.6 新密码体制基础理论与数据安全机制
密码技术是保障网络空间安全的基本手段.多年来,国内外研究人员不断研究推动密码技术的发展.尤其是物联网、云计算、大数据等新型网络形态和服务的兴起,数据安全共享与隐私保护之间的冲突渐增,再加上量子计算对现有计算能力的革新,使基于大整数分解和离散对数的密码体制将不能保证安全性,密码技术迎来了新的挑战.为了应对这些挑战,抗量子密码、全同态加密、可搜索加密、轻量级加密等新兴技术相继被提出.
(1) 抗量子密码
量子计算机的诞生及其量子位数的提升证明了量子计算机原理的正确性和可行性.得益于量子计算机的高速计算能力,科研人员已经研究出能够有效解决离散对数和因子分解的量子算法,这就意味着许多经典加密算法(如RSA) 已经无法保证信息的安全有效.为了应对量子计算给现行密码体制带来的挑战,学者们提出了“抗量子密码”的概念.目前,抗量子密码主要包括量子密码、基于数学问题构建的经典抗量子密码等.
a) 量子密码
量子密码是以量子态为符号实现的密码,其基本思路是利用光子传送密钥信息.相较于传统的密技术,以“海森堡测不准”和“量子不可克隆”原理为基础的量子密码体制在理论上具有“无条件安全性”,即当输运光子的线路遭到窃听时,会破坏原通信线路之间的相互关系,导致通信中断.目前,研究人员对量子密码的研究涉及量子认证、量子密钥管理、量子密码分析等多个问题,其中量子密钥分配仍然是主要的研究方向.
早在20 世纪70 年代,“量子密码”的概念就被提出.1984 年,Bennett 和Brassar 提出了量子密钥分配概念和BB84 协议,证明了量子密码技术的可行性.在此基础上,Lo 等最早在理论上给出了BB84 协议的无条件安全分析.1990 年后,量子密码得到了人们的青睐与重视,迅速地发展起来.Ekert提出了基于双量子纠缠的协议EPR (Einstein Podolsky Rosen). Bennett又提出了B92协议,该方案较之BB84 更简单,但是效率减半,实际应用时在高损信道上存在安全隐患.至此,3大主流量子密钥分发方案基本形成.近20 年, 国内外科研人员对量子密钥的分发进行了许多实验研究.美国、欧盟和日本很早就投入了大量的资源进行量子密码通信网络的建设,而我国在量子密码领域也取得了诸多研究成果.2005年,潘建伟研究组发表了关于13 公里自由空间纠缠光子分发的研究成果,验证了在地球与外层空间之间分发纠缠光子的可行性.为了克服不完美光源带来的安全漏洞,提高量子密钥分发的安全距离,他们还提出并实现了诱骗态通信技术.到2009 年,中国科学技术大学与清华大学的联合小组成功实现了16 公里的自由空间量子态隐形传输,证实了自由空间远距离量子隐形传输的可行性.
b) 经典抗量子密码
现有的经典抗量子密码研究主要集中在Merkle 认证树签名、基于纠错码的公钥密码、基于格的公钥密码和MQ 公钥密码几个方面,其中基于格的公钥密码体制的研究相对成熟.基于格的密码体制是指基于格困难问题及其变种而建立起来的一系列密码方案,常见的格问题主要包括最短向量问题、最近向量问题、小整数解问题和误差学习等.虽然量子算法可以破解许多经典加密算法,但到目前为止还不能有效解决格困难问题.另外,格困难问题都是基于最坏情况假设的,这就意味着基于格的密码方案可以被规约为最坏情况下的格困难问题,从而保证了这类加密方案的安全性.
基于格的突破性研究开始于AD 公钥密码方案,虽然该方案具有良好的安全性,但实现效率较低,缺乏实用性.随后,其他基于格的密码方案被相继提出:1998 年,Hoffstein 等提出了一种在环上构建的公钥加密方案NTRU (number theoryresearch unit), 该方案可以使用一种特殊结构的格来描述,大大提高了加密效率,但存在解密错误问题,也没有在理论上证明其安全性.2005 年,Regev设计了一种基于格误差学习(learning with error, LWE) 的单比特公钥加密方案,但仍存在效率低下的问题.
为了提高LWE 的效率,解决实用性问题,又有许多学者对此进行了改进.2009 年,基于理想格的全同态加密方案被提出,允许直接对密文进行使用和分析,因此可以将其应用于云计算领域,解决数据安全问题.2010 年,Agrawal 等构造了一个基于双陷门单向函数的HIBE (hierarchical identitybased encryption) 方案并给出了方案的安全性证明. 此后,新兴的盆景树技术为格提供了良好的基扩展、基变换和基随机化方法,使基于格的代理签名成为可能.2012 年,Lyubashevsky 提出了一种基于拒绝采样算法的数字签名方案,大大提高了基于格的数字签名方案的实用性.

此外,以DNA 作为信息载体的DNA 密码也是抗量子密码算法设计的一种有效途径.1994 年,Aldeman首次使用现代分子技术解决NP 问题后,DNA 计算开始得到科研人员的关注,而DNA密码就是伴随DNA 计算的研究而出现的密码技术.目前科研人员针对DNA 密码的研究主要有3 个研究方向:DNA 隐写技术、DNA 认证技术和DNA 加密技术.相较于传统密码,利用现代生物技术的DNA密码具有高度并行性,加、解密速度快.另外,因为DNA 密码建立在DNA 分子基础上,具有高密度性,其安全性不完全依赖于困难的数学问题,所以不易破解,具有巨大的发展潜力.但是DNA 密码技术理论目前尚不够成熟,体系不完整,实现较为困难.
(2) 面向云环境的密码技术
云环境给用户带来计算资源和存储资源的同时,也面临着数据机密性、访问可控性、数据完整性和隐私性等方面的严重安全威胁。本文重点关注与数据机密性和访问可控性相关的新兴密码技术,包括全同态加密、可搜索加密和功能加密.
a) 全同态加密
同态加密是一种新的加密机制,它对明文进行加法或乘法运算后加密的结果与对密文进行相应运算之后的结果等价,同时满足加同态和乘同态的同态加密叫作全同态加密.在云平台中,利用全同态加密算法对用户数据进行加密上传后,数据使用者在不解密的情况下,仍可对这些数据进行分析使用,在一定程度上解决了云环境中的隐私安全问题,因此全同态加密成为国内外密码学界研究的热点.早在1978 年,继提出RSA 之后,Rivest 等就提出了同态加密的概念,但其作为一个公开问题一直未能得到解决.直到2009 年Gentry 首次提出基于理想格的全同态加密机制后,全同态加密才逐渐发展起来.因为该方案效率不能满足实际应用的需求,Dijk 等在其基础上,提出了更简洁的基于整数的全同态加密机制,安全性基于近似最大公约数.近年来,全同态加密在算法改进和实用化方面得到了进一步的发展,算法大多基于LWE 问题和环-LWE 问题,安全性较高.
b) 可搜索加密
在云环境下,用户希望数据在云端既是加密的,又能够直接从密文中搜索到所需内容,而不需要对数据下载解密.作为一种允许用户在密文中进行关键字查询的加密技术,可搜索加密技术在这样的环境下应运而生.目前,依据构造算法的不同,可搜索加密机制主要分为基于对称密钥和基于公钥两类.
2000 年,Song 等最早提出了在密文上进行搜索的实现方法,该方法基于对称密钥,但效率较低,安全性也不够高.2004 年,Boneh 等首次提出了支持加密搜索的公钥密码体制,将可搜索加密从对称密钥扩展到公钥体制.之后,为了改善可搜索加密机制的性能、提升用户的搜索体验,许多研究人员对可搜索加密进行理论扩展并尝试将其投入实际应用,可搜索加密机制从仅支持单词搜索,逐渐发展到支持多词搜索、支持连接关键词搜索、支持排序搜索和复杂的查询,加密模型也从“一对一”的单方模式发展到“一对多”、“多对一”和“多对多”的多方模式.
c) 功能加密
功能加密是一种支持在密文条件下对其进行计算和对不同数据使用者分配不同解密权限的加密技术,基于身份加密、基于属性加密和谓词加密都可以被认为是功能加密的分支.功能加密支持灵活的密文解密表达式,可以给不同数据使用者分配不同的权限,很大程度上丰富了信息的共享方式,在云环境中具有很高的实用性.功能加密最早可以追溯到2005 年Sahai 等在欧洲密码学年会上提出的模糊身份加密.2010 年,同样是在欧洲密码学年会上,Lewko 等首次提出了“功能加密”概念.
同年,O’Neill提出了功能加密的通用框架.2011 年,Boneh 等也给出了关于“功能加密”的通用解释.近年来,众多研究者围绕功能加密,尤其是在基于属性加密方面,进行了理论扩展和实践应用等多方面的研究.
(3) 面向物联网环境的轻量级密码技术
随着物联网技术的快速发展,RFID 标签、智能卡、无线传感器等低能耗嵌入式智能设备受到越来越多的关注.由于这些设备的计算能力、存储空间和能量来源有限,如何设计适用于资源受限设备的轻量级密码技术逐渐成为研究热点.目前,轻量级密码体制主要分为轻量级对称密码、非对称密码和Hash 函数等.
a) 轻量级对称密码技术
轻量级对称密码技术可分为分组密码和流密码,其中分组密码是迄今为止最为成熟的一种轻量级密码,它在硬件、加密效率和功耗等方面都具有明显优势.目前主要的研究工作集中于对标准和典型分组密码的优化以及全新轻量级密码的设计.轻量级流密码结构比较简单,加解密效率也很高,所以也是当前的研究热点.但是流密码在初次使用时需要漫长的初始化阶段,而且有一些通信协议并不支持流密码.因此,相比于分组密码,流密码的设计技术还不够成熟.目前比较流行的流密码有2004 年欧洲eSTREAM 计划提出的Salsa, Grain, TRIVIUM 方案和2011 年David 等 提出的专用轻量级密码方案A2U2.
b) 轻量级非对称密码技术
相较于对称密码,轻量级非对称密码技术具有一定的优势,设备之间可以仅采用单方的公钥即可实现认证、加密等功能,可以避免复杂的密钥管理和分配工作.但是公钥加密算法本身比较复杂,设计轻量级非对称密码算法就显得更为困难,目前该领域的研究工作尚处于起步阶段.Saarinen在2012年提出了基于Rabin 的混合公钥加密机制BlueJay, 采用了随机数乘法技术,避免了大整数计算,提高了加密效率.另外,椭圆曲线加密具有加密效率高、占用存储空间小等优点,在实现轻量级非对称密码方面也有较好的发展前景.
c) 轻量级 Hash 函数
传统的Hash 函数包括MD5 和SHA 等,但这些都不适用于资源受限的设备.因此,设计适用于资源受限设备的轻量级Hash 函数也成为了研究热点.目前,根据迭代压缩函数的不同设计原理,轻量级Hash 函数主要分为以下3 类:基于置换函数的轻量级Hash 函数、基于分组密码的轻量级Hash 函数和基于数学困难性问题的轻量级Hash 函数.
基于置换函数的轻量级 Hash 函数. 2011 年,Bogdanov 等采用类似于PRESENT 轻量级分组密码的置换函数,设计出轻量级Hash 函数SPONGENT. 2012 年,Keccak 方案最终成为SHA-3 竞赛的获胜者,证明了在内存开销方面,基于Sponge 结构的Hash 函数具有明显的优势.
基于分组密码的轻量级 Hash 函数. 2007 年,Yoshida 等基于Type-1 4-Branch 广义Feistel结构的轻量级分组密码提出轻量级压缩函数MAME, 在硬件开销上具有优势.2010 年,Hirose 等提出轻量级Hash函数Lesamnta-LW, 其设计方案也采用了Fesitel 广义结构,其构造方法要求分组长度是密钥长度的两倍.但实际上密钥长度大于分组长度,为了解决该问题,Kuwakado 和Hirose 提出KH 构造方法.
基于数学困难性问题的轻量级 Hash 函数. 2007 年,Billet 等提出了基于多变量非线性方程组的Hash 函数,相比于传统的基于数学困难性问题的Hash 函数,该方案在性能和实现开销方面具有明显的优势.此外,研究人员还认为使用稀疏的多变量非线性方程组能进一步提高性能,降低开销.
而Bettale 等 则认为此类方案的安全性太低,无法在实际中应用,并在理论上给出了计算复杂度分析.目前,基于数学困难性问题的轻量级Hash 函数虽然存在一定的可行性,但是实现代价太大,难以得到实际应用.
(4) 存在问题和未来发展趋势
密码技术的研究主要涉及到密码算法的设计、分析与应用.为了应对量子计算、云计算和物联网等新的计算资源和新的服务形式带来的问题和挑战,抗量子密码、云环境下的新兴密码和物联网中的轻量级密码逐渐成为密码技术的研究热点:1) 量子密码理论、技术的进一步完善:在抗量子密码的研究方面,还需要完善量子密码理论,进一步研究量子密钥分配技术、量子身份认证技术和量子加密技术,解决传输距离、传输速度、系统稳定性等多个问题,同时量子密码的协议安全性分析也是研究的热点.2) 面向云计算领域的高效加密技术:在云计算应用领域,全同态加密机制需要研究自然、简洁的构造方法,从而提高加密机制的效率;在可搜索加密机制方面需要完善理论和功能,进一步研究支持模糊搜索、相关性排序和关系运算等问题,改善用户体验;在功能加密方面,研究属性加密中密钥撤销、密钥滥用、策略隐藏和多授权等问题,实现在云环境中的大范围应用.3) 面向物联网应用的轻量级加密技术:在物联网应用领域,作为新兴的密码技术,轻量级密码的理论分析还不够完善,研究高效率、强鲁棒性的轻量级密码,以及基于安全性和性能的轻量级密码评估方法,将大大推动轻量级密码在物联网时代的发展.

4 结束语

网络空间安全不仅关系到人们的日常生活,.鉴于网络空间面临着从物理层安全接入到数据层用户数据安全保护等各个层面的挑战,迫切需要进行全面而系统化的安全基础理论和技术研究.本文构建了涵盖物理层、系统层、网络层、数据层以及安全基础理论研究的“四横一纵”的层次化研究体系,并对6 个研究领域进行了重点阐述.

总体而言, 网络空间安全的发展趋势可以总结为传统领域面临新挑战、新计算模式诱发新问题、新网络形态导致新威胁、新基础理论促生新方法, 即1) 随着工业4.0 战略的提出, 工业化和信息化进一步融合, 推动了传统工业控制领域的转型升级, 但也暴露了其重视功能性实现、忽视安全性开发的痼疾, 需要设计覆盖供产销各个环节的整体安全防护方案; 2) 随着云计算、大数据等新型计算模式的发展, 通过数据分析可从庞大的网络数据中挖掘出大量的用户隐私信息, 给用户隐私保护带来了新的挑战, 需要研究新型访问控制和数据加密技术; 3) 物联网、移动互联网等多种新型网络形态的出现, 在驱动相关应用发展的同时, 潜在着更大的隐私泄露风险, 需要研究人– 机– 物相互认证和安全通信技术; 4) 量子计算理论的突破可以有效解决离散对数和因子分解问题, 彻底颠覆了传统密码学理论, 亟需研究新型的抗量子密码基础理论来应对挑战.
当然, 作为一个大的综合性研究学科, 网络空间安全研究覆盖面很广, 除了上述研究领域外,还包括信息对抗、可信计算、数据灾备、数字取证等等众多未提及的方向, 这些研究方向也都有待于广大科研人员的进一步深入研究和探讨.

致谢本文的撰写得到了熊润群博士和郭桃林、郭乃瑄、潘培龙、魏娜、李晓云、刘耀文、尹长昕、周佳欢等研究生的帮助, 以及江苏省网络与信息安全重点实验室(BM2003201)、 的资助. 特此表示感谢!

 (完)

(作者:罗军舟, 杨明, 凌振, 吴文甲, 顾晓丹)

温馨提醒:

现在关注“鹏越网络空间安全研究院”微信公众号,在对话框中输入“工控”、“培训”、“CTF” 、“物联网”、 “人工智能”、“招聘”等关键字,系统自动推送相应内容。今后我们还会推出更多方便搜索和阅读的服务,敬请期待!

点击下方”阅读原文“获得更多资讯:

友情链接

Copyright © 2023 All Rights Reserved 版权所有 北京物流信息联盟