一种自适应的网络安全通信模型

一种自适应的网络安全通信模型

传统的安全通信服务通常由固定的密码方法执行。由于每个安全方法可能具有多个不同的脆弱点,当密钥失窃、加密方法被攻破、密钥分发方法/服务被攻破等情况时,使用该方法的所有会话其安全性都可能丧失。此外,传统方法中也没有考虑系统统的性能问题,无法在可接受的安全级别与可接受的安全开销之间进行折衷。所谓自适应安全的网络通信模型,指安全通信系统不采用固定的工作模式,而是依据状态或环境的变化自动调整其所采用的安全方法和安全规则,从而保证系统的最佳服务性能,并在某种方法被攻破的情况下仍然保持系统的可生存性。本文提出了一种基于云模型[2～4]的自适应安全通信模型。该模型能够根据系统的本地/网络资源使用情况以及系统入侵情况等系统安全/性能参数的变化,评判出系统当前所处的安全/性能级别,并根据评判结果进行安全通信系统的自适应调节,使得安全通信系统能够动态适应当前的系统状况。该模型中的动态自适应对安全通信系统所使用的安全方法和参数增加了人为多样性和不可预测性,给攻击者的攻击带来了相当大的难度,从而增强了系统的生存能力。同时,充分考虑了系统当前的资源使用等情况,在性能方面也很高效。1安全机制库的设定图1是动态自适应安全通信系统模型。其运行过程为:(1)当系统接收到或准备开始某个会话请求时,先由综合评判器根据外部世界感知器实时输入的系统环境/性能参数,以及知识库中安全专家预先设定的安全相关知识,并考虑会话请求对系统安全及系统性能等方面的影响,动态自适应地对系统安全威胁/性能级别进行综合评估,并将评估结果输入到安全等级状态机;(2)安全等级状态机根据输入的当前安全态势评估情况,决定是否激发状态机状态迁移,以动态调整会话在当前时刻的安全级别;(3)安全机制库根据状态机的当前状态,将不同的安全策略应用于本次会话;(4)安全操作执行部件根据安全机制库选择的安全策略对当前会话过程进行安全控制,自适应地对顶层通信部件的会话消息进行认证、密钥建立、加密、授权等安全操作。下面分别介绍各个部件的细节:(1)外部环境感知器:由对外部世界的感应部件组成,通过系统态势综合评判器搜集外部世界模型的变化信息,以使评判结果具有更强的适应性。在本模型中,感知器监控3种类型的参数:本地资源参数,网络资源参数和会话级参数。(2)知识库:知识库的设定是整个自适应安全通信系统部件设计的核心工作。知识库中放置的是安全专家的知识,一般是通过自然语言来表达的,例如:在一段时间访问同一个端口的连接数量很多,那么服务拒绝攻击的可能性很大;在一段时间内,登录失败的次数很多,那么入侵的可能性较大。知识库中知识的规则设定决定着评判器的评判能力,一个好的解决方法是将安全专家的知识转化为计算机能够识别的定量语言。(3)综合评判器:它不断获取外部环境感知器输入进来的系统当前环境参数,通过知识库的知识模型动态自适应调整应用于这次会话的安全策略,从而根据网络系统当前态势变化情况对所保护在会话进行灵活有效的保护,以赢得会话安全性能的提高,以及灵活性的增强。它对安全级别定义的准则是:在通信过程中,数据访问请求对本地资源造成的安全威胁以及系统当前面临威胁越大,其安全级别就越高。越高的安全级别要求越严格的认证和加密手段。(4)安全等级状态机:安全等级状态机如图2所示是一个一维Markov链,表示某个特定会话在当前时刻所处的安全等级迁移状态。根据状态机所处状态,采用不同安全机制,动态自适应保护保护网络资源。(5)安全机制库:安全机制库实现由安全等级状态机当前状态到会话当前所采用安全机制之间的映射。它将安全等级状态机的当前安全状态映射到具体实施的安全策略机制(认证机制、密钥分配方法、加密算法等)中,具体实现对会话过程的直接控制。在我们的设计中,为了增强系统的自适应性和可生存性,在安全机制库中放置了多种密码方法,例如对于密钥管理机制而言,有Diffie-Hellman密钥协商方法、基于Kerberos的密钥分配方法等。(6)安全操作执行部件:它具体实施会话消息的加密等安全操作,可有效防止对所截获会话信息进行非法解读/篡改等,保证通信系统中消息的安全传送。为了实现对会话消息的加密,安全操作执行部件必须具有两种功能:一是用于生成和维护会话加/解密密钥的密钥管理功能;二是用于实现机密性服务的加/解密功能和实现完整性及非否认的Hash和签名功能。当某个会话开始启动时,安全操作执行部件根据安全机制库中为该次会话所选择的密钥生成方式生成相应的会话及签名等密钥材料;随后在接收到顶层/底层通信部件送来的一个消息时,它首先根据消息所属的会话ID,找出针对该次会话的密钥,然后进行相应加/解密、签名/签名验证等操作;所生成的密文/明文消息则送交底层/顶层通信部件。(7)顶层通信部件:它是与上层应用程序进行交互的接口,向应用程序提供统一的自适应安全通信方式。它将上层应用程序准备送出的通信数据信息分解成安全操作执行部件能够进行处理的消息单元并送交安全操作执行部件进行处理加密及签名等安全保护,或将安全操作执行部件送来的明文信息合并归并成上层应用应用程序能够处理的数据形式。(8)底层通信部件:类似于网络接口部件,它向安全操作执行部件送交通信对等方发来的消息单元密文,或将安全操作执行部件生成的密文消息单元通过网络发送给通信对等方。可以看出,该模型自适应的实质就是在实施安全通信时,根据所确定的网络实体当前所处安全等级,动态地选用相应的安全机制。显然,该模型有一个基本假设,即系统当前风险/性能等可分类量化,且需要将知识库中自然语言的定性规则转化为计算机能够处理的定量规则。为此,我们借助云模型[2～5]的定性定量转化推理能力加以实现。2系统安全性评估为了对安全通信系统进行动态自适应控制,需要通过对运行的网络进行监视、搜集攻击信息、并进行信息处理/统计/分析来评估系统的安全性。在评估时,必须解决通信系统的环境及行为等都存在随机性和不确定性、知识库中自然语言的定性规则转化为计算机能够处理的定量规则两个难题。为此,我们采用云模型的方法来对系统参数进行处理,以得到关于系统环境及行为的定性结论。2.1生成定性规则在进行有关系统安全性的系统环境及资源的综合评判时,知识库中的知识(评判规则)的设定决定着评判器的评判能力。尽管实际的评判过程中,人们不可能给出被评判对象精确的数学模型,但常可以根据实际操作的经验,给出许许多多精确输入条件下的精确评判结果的情况,例如:在一段时间访问同一个端口的连接数量很多,那么系统服务拒绝攻击的可能性较大,则系统环境可能处于不太安全的状态等。这种方法的主要思想是给定输入后,通过检索、匹配案例库中的案例,得到相应的评判结果。然而它的缺点也很明显,就是可能无法给出能够覆盖所有可能的典型案例的情况。为此,可采用云变换和逆向云发生器,对这些精确案例进行抽象,生成用语言值表达的定性概念,从而构成一条条定性规则,并给出相应的评判机制。这些定性规则中,对于每一个语言值,都可以用它们的3个数字特征来表示,并不在乎赋予这3个数字特征的语言值的称谓究竟是什么。一旦有了这些定性规则,在一个新的确定输入条件下,就可以激活相应的规则,通过评判机制,产生不确定性输出。2.2安全专家综合态势安全评估云计算采用广义一维正态云来对系统安全态势进行评判。对如“某特定时间段内数据包发送和接收的个数”等存在双边约束[Cmin,Cmax]的环境适应能力的描述指标,可用期望值为约束条件中值,主要作用区域为双边约束区域的云来近似计算环境适应能力。云参数计算如下式:其中,k为常数,可根据安全专家对系统相关特性的相应先验知识来具体调整。对于只有单边约束Cmin或Cmax的指标,如指标“一个会话的持续时间”等,可先确定其缺省边界参数或缺省期望值。例如该指标的缺省期望值为0,然后再参照上式计算云参数,用半升或半降云来描述。系统综合态势云是所有指标云的综合。在实际评判时,并不需要将所有指标都纳入综合态势评估模型中,可以只综合必须关注的指标,将其余指标假设为正常情况。系统综合态势评判云可通过下式计算得出:式中,n为综合态势评估所必须关注的系统指标个数,SCi为第i项指标云,SC为综合态势评判云。3动态综合评估本文提出的自适应安全通信模型能够根据本地资源使用情况、网络资源使用情况以及系统入侵等情况,对系统当前安全态势与系统性能参数进行动态