本文選自中國工程院院刊《Engineering》2022年第8期
作者:鄔江興
來源:Cyberspace Endogenous Safety and Security[J].Engineering,2022,15(8):179-185.
編者按
基於未知漏洞後門等產生的不確定威脅是當前網絡空間最為嚴峻和棘手的安全問題,破解基於內生安全問題的不確定威脅影響,是既需要重大理論創新又需要重大技術發明才能解決的科學技術難題。
中國工程院鄔江興院士在中國工程院院刊《Engineering》2022年第8期發表《網絡空間內生安全》一文。文章分析了系統漏洞後門等「暗功能」存在的哲學與技術層面的原因,並作為系統「內生安全問題」存在的必然性依據。文章指出,「內生安全問題」在理論和工程層面不可能完全徹底地消除,需要「開發或利用」系統架構自身的「內源性安全功能」,使目標對象能夠通過「內生的安全體制機制」來有效規避或化解內生安全問題可能引發的安全風險。文章給出了網絡空間內生安全的定義和期望的體制機制及其主要技術特徵,介紹了基於動態異構冗餘架構的內生安全體制機制及其內生安全特性,闡述了基於動態異構冗餘架構的編碼信道的理論內涵。
一、引言
大量的網絡安全事件表明,網絡空間絕大部分安全威脅都是由人為攻擊這個外因,通過目標對象自身存在的漏洞後門這個「內生安全問題」之內因的相互作用而形成的。遺憾的是,迄今為止,傳統的網絡安全思維模式和技術路線很少能跳出「盡力而為、問題歸零」的慣性思維,挖漏洞、打補丁、封門補漏、查毒殺馬乃至設蜜罐、布沙箱,層層疊疊的附加式防護措施,包括內置層次化的檢測構造方式(借鑑生物學的內共生思想),在引入安全功能的同時不可避免地會引入新的內生安全隱患。怎樣才能破解基於內生安全問題的不確定威脅影響,是既需要重大理論創新又需要重大技術發明才能解決的科學技術難題。
本文從「一切事物都是自在的矛盾、任何事物有利必有弊」的哲學原理出發,分析了信息系統「內生安全問題」存在的必然性,給出了網絡空間內生安全問題的概念、特徵,指出內生安全問題作為自在矛盾的一方,在理論和工程層面都不可能徹底消除,需要開發或利用系統元構造(算法)自身的「內源性安全效應」,或者形成「內生的安全體制機制」才能有效規避或化解由自在矛盾引發的安全風險。本文給出了期望的內生安全的體制機制定義和技術特徵,並在可靠性理論與方法的啟示下,通過「相對正確公理」的再發現,在香農信道編碼糾錯理論基礎上創立了編碼信道理論,發明了動態異構冗餘架構(DHR),闡述了DHR架構能夠歸一化地處理傳統可靠性問題與非傳統網絡安全問題的原理。
二、網絡空間「內生安全問題」
(一)內生安全問題的定義和內涵
信息世界網絡空間與現實世界物理空間一樣有著相同的哲學本質,如同德國哲學大師黑格爾所說的那樣「一切事物都是自在(內生)的矛盾,矛盾是一切運動和生命力的根源」。矛盾的同一性是事物存在和發展的前提,且互為發展條件。矛盾的鬥爭性則會促進矛盾雙方此消彼長,造成雙方力量的發展不平衡,為對立面的轉化和事物質變創造條件。以信息技術為例:大數據技術能夠根據算法和數據樣本發現未知的規律或特徵,而蓄意污染數據樣本、惡意觸發算法缺陷也能使人們誤入歧途;區塊鏈技術開闢了無中心記帳方式的新紀元,51%的共識機制卻不能避免市場占有率大於51%的COTS級軟硬體產品中的漏洞後門問題。
當代計算技術的發展使人類步入了輝煌的資訊時代,但是既有的計算技術本身的安全缺陷也使得網絡空間充滿風險和不確定威脅。由此可見,內生安全問題與內生安全機制是同一系統構造或算法在不同應用目標、不同使用場景、不同技術條件下的不同形態表現,符合矛盾的對立統一規律。網絡世界也概莫能外,一個軟硬體構造或算法除本徵(元)功能之外,總存在著伴生/衍生的顯式副作用或隱式暗功能,如果其中的一些副作用或暗功能被某種自然或人為因素觸發,影響到本徵功能的正確表達,則稱這類副作用和暗功能為網絡空間「內生安全問題」。
內生安全問題可以進一步抽象為兩類問題。一類是狹義內生安全問題,特指一個軟硬體實體除了設計的本徵或元功能之外,總存在包括副作用、脆弱性、自然失效等因素在內的顯式或隱式表達的非期望功能;另一類是廣義內生安全問題,專指在狹義內生安全問題之上,還包括蓄意讓最終用戶不可見的設計功能,或所有未向使用者明確聲明或披露過的軟硬體隱匿功能,例如刻意設計的前門、後門、陷門等「暗功能」問題。
(二)內生安全問題的特性
由內生安全問題的定義和內涵,可以歸納總結出內生安全問題所具有的特性。
1. 存在的必然性
漏洞和後門總是時不時被人們發現,從未間斷過。根據統計規律,漏洞的數量與代碼數量存在一定的比例關係,隨系統複雜性的增加和代碼數量的增大,漏洞數量也隨之增加。同時,由於全球化經濟的發展和產業分工的專門化、精細化,集成創新或製造成為普遍的生產組織模式,各種產品的設計鏈、工具鏈、生產鏈、配套鏈、服務鏈等供應鏈條越來越長,涉及的範圍和環節越來越多,這給後門的預埋植入提供了眾多機會。上述這些非主觀因素引入的軟硬體代碼漏洞(陷門)或人為預埋進入信息系統的後門,不論從矛盾的自在性、技術發展的階段性還是從利益博弈角度來解釋,其出現都是必然的,且難以從根本上避免。
2. 呈現的偶然性
縱觀整個漏洞被發現的歷史,雖然時不時有漏洞被發現,但是每個漏洞在什麼時候被發現,是怎麼被發現的,都有其偶然性,是一個無規律的現象。從認識論關於「事物總是可以被認識的」觀點出發,漏洞的存在和發現都屬於必然事件,但是具體在什麼時間、什麼系統上和以什麼樣的方式呈現出來卻是偶然的。這其中既有對漏洞認識的技術階段性或時代局限性問題,也有對複雜代碼完備性檢查的理論方法和技術能力問題。
3. 認知的時空特性
漏洞是客觀存在的,但是漏洞的發現則具有時空屬性,需要隨著實踐認知不斷積累到一定程度才能使漏洞呈現出來。今天認為安全的系統,明天未必安全;「我」認為安全的系統,在「他」眼裡未必安全;在環境A裡面安全的系統,放到B環境中未必安全。這就是漏洞因認知而呈現的時空差異。
4. 威脅的不確定性
在經濟學中,美國人富蘭克·奈特區分了風險與不確定性的關係:風險是一種人們可知其概率分布的不確定性,但是人們可以根據過去推測未來的可能性;而不確定性則表示人們根本無法預知沒有發生過的將來事件。不難看出,「內生安全問題」可能引發兩類安全威脅,一是顯著影響目標對象本徵功能或元功能的可靠性、可信性和可用性,二是非法獲得或侵犯他人隱私信息與數據資源。由於「內生安全問題」的性質所致,上述兩類安全威脅的發生均不可預知,屬於不確定性範疇中的未知威脅。
從更加一般的意義上說,由於人類技術發展和認知水平的階段性特徵導致軟硬體設計脆弱性或漏洞問題不可能徹底避免也不可能窮盡或徹查,加之全球化時代,開放式產業生態環境,開源協同技術模式和「你中有我、我中有你」的產業鏈使得軟硬體後門問題不可能完全杜絕,因此迄今為止,對基於內生安全問題的不確定性威脅之防禦,除了用附加型安全技術盡力而為地阻斷來自攻擊表面的擾動影響之外,幾乎沒有可量化設計、可驗證度量的有效安全防禦方法或技術手段,即使採取類似加密認證、可信計算等「底線防禦」措施,也往往會因為宿主系統自身的內生安全問題而被攻擊者「旁路或短路」。
三、破解網絡空間內生安全問題的思考
(一)變換問題場景和解題思路
基於「網絡空間絕大部分安全威脅都是由人為攻擊這個外因,通過目標對象自身存在的『內生安全問題』之內因相互作用而形成的」認知,一個直觀的推論就是,欲徹底解除網絡空間安全威脅就必須徹底排除其內生的安全問題,因為外因只能通過內因起作用。然而,理論研究和工程實踐告訴我們,內生安全問題是自在性矛盾,不可能「徹底消除」。首先,在全球化大趨勢下,開放式、協作化的創新鏈和產業鏈正成為人類技術開發、現代社會生產活動的基本模式,僅憑一國之力幾乎不可能做到技術鏈、供應鏈層面的徹底自主可控與安全可信;其次,軟硬體設計缺陷導致的漏洞問題,目前在理論和技術上尚無有效的應對辦法,試圖從根本上杜絕此類問題也違背人類認知和科技發展階段性之客觀規律。這意味著無論從理論上、技術上還是經濟上,都不可能完全保證網絡空間構成環境無內生安全問題,即「無毒無菌」幾乎是安全領域不可能實現的願景。
基於上述分析,一個很自然的推論,就是如何變換問題場景和解題思路,在網絡空間「有毒帶菌」的條件下,實現有安全保障的「沙灘建樓」,緩解「已知的未知」風險和「未知的未知」威脅挑戰。這需要跳出傳統架構下「亡羊補牢」附加型修複式防禦思維定式,使得信息裝備的安全性不再過度依賴元件、器件、組件或個體形態軟硬體設計、製作、運行和管理環節的自主可控程度與安全可信水平,也就是要找到賦予信息系統基礎構造內源性安全功能或內生性安全機制的技術途徑,在一定程度或約束條件下能夠寬容軟硬構件內生安全問題及其影響,使本徵功能無論對隨機性故障還是網絡攻擊都有很好的穩定魯棒性和品質魯棒性。
(二)生物免疫學的啟迪
生物學的知識告訴我們,人類通過遺傳特性獲得的與生俱來的非特異性免疫,對絕大多數入侵病原微生物都能作出「無特異性清除」反應,屬於一種「面」防禦。科學研究表明,自然界的病原微生物總是在不斷地變異,是什麼因素保證非特異性免疫僅靠生物遺傳信息,機體就能夠對現實世界變化著的各種入侵病原微生物具有非特異性選擇清除的功能;什麼情況下、需要何種條件、通過什麼樣的方式才能激活特異性免疫機制;遺傳信息具有相對的穩定性但在生物機體全生命周期內是否需要更新,以及何時更新,怎樣更新;特異性免疫(屬於「點」防禦)的記憶效應如何及怎樣才能影響非特異性免疫的遺傳信息等。
由此產生的啟迪意義,就是我們能否在軟硬體裝置或系統中,也設計出一種類似脊椎動物免疫機理的融合式防禦能力,以便對「基於目標對象內生安全問題的未知攻擊活動產生沒有特異性選擇的清除功能」,並能適時觸發類似特異性免疫機制那樣的點防禦功能。由此作者以為,這種源於目標對象自身構造機理的防禦功能,用內生安全的概念來定義,最恰當不過。
(三)網絡空間內生安全
所謂內生安全是指具有內生或內源性安全功效的構造或算法及其體制機制。按字面意思,內生就是靠自身因素而不是外部因素得到的內源性效應。內生安全就是利用系統的架構、算法、機制、場景等內在因素獲得的安全功能或屬性,如,脊椎動物的非特異性免疫和特異性免疫學習機制就是一種內生安全功能。內生安全應該具有的體制機制和技術特徵如下:
1. 期望的內生安全體制
(1)內生安全體制應當基於開放的組織架構,不排除架構、模塊和構件中包含任何的內生安全問題;
(2)內生安全體制應當基於一體化的融合構造,能同時提供高可靠、高可信、高可用的使用功能;
(3)內生安全體制應當能夠充分發揮多樣性、隨機性和動態性防禦要素的綜合效應;
(4)內生安全體制應當同時具有異構、冗餘、動態、裁決和反饋控制之構造要素;
(5)內生安全體制應當能夠自然的接納傳統安全防護技術或其他技術的使用並可獲得指數量級的防禦增益;
(6)內生安全體制應當具有普適性應用意義。
2. 期望的內生安全機制
(1)內生安全機制與廣義不確定擾動應屬於人-機、機-機、機-人博弈關係;
(2)內生安全機制應當可以條件管控或抑制廣義不確定擾動造成的負面影響;
(3)內生安全機制的有效性應當不依賴(但可以融合)關於攻擊者的先驗知識或附加、內置、內共生的其他安全措施或技術手段;
(4)內生安全機制應當能以融合方式為目標對象提供一體化的高可靠、高可信、高可用的使用性能;
(5)內生安全機制導致的廣義安全性應當具有可量化設計、可驗證度量的穩定魯棒性和品質魯棒性;
(6)內生安全機制的使用效能應當與運維管理者的技術能力和過往的經驗弱相關或不相關。
3. 期望的技術特徵
(1)內生安全應當是基於目標對象基礎構造或算法的內源性安全功能,具有與脊椎生物非特異性和特異性免疫機制類似的「點面融合」式防禦特點,與目標對象本徵或元功能具有構造層面的不可分割性;
(2)內生安全功效應當不依賴攻擊者先驗知識和行為特徵信息,對獨立的攻擊資源、攻擊技術、攻擊方法形成的「差模攻擊效應」應當具有天然的抑制功效。換言之,凡是基於0-Day性質的漏洞後門、病毒木馬等網絡攻擊,內生安全功能可使之在機理上無效;
(3)突破內生安全防禦除社會工程學的手段外,只能通過時空一致性的精準協同攻擊才有「共模逃逸」的可能,但首先要克服時空非一致性的「測不準效應」,然後需逾越「基於策略裁決的異構冗餘目標反饋調度疊代機制」,其次必須解決共模逃逸的穩定維持問題;
(4)內生安全功能應當能夠歸一化地解決傳統可靠性問題和基於目標對象的網絡安全威脅問題;
(5)理論上,「差模逃逸」不可能發生,「共模逃逸」屬於可量化設計的小概率或極小概率事件,「即使攻擊成功也可能只此一次」,在內生安全環境內的攻擊行動或成果都不具有穩定魯棒性和品質魯棒性。
四、基於DHR架構的內生安全體制機制
(一)可靠性問題的啟示
作者在長期的研究和探索中發現,可靠性問題與網絡安全問題雖屬兩個領域且擾動因素不同,前者以隨機性擾動為主要表現形態,而後者則完全由攻擊者人為行為所致。但也存在許多相似甚至相同的理論與技術問題,相關的理論方法和體制機制應當具有「他山之石可以攻玉」的相互借鑑意義。
我們知道,可靠性領域最具挑戰性的問題是如何應對系統的不確定性故障或失效。涉及兩個基本問題:一是如何應對由無源或有源器件或零部件物理性錯誤或故障導致的不確定失效問題,二是怎樣才能避免由未能發現的軟硬體設計缺陷或錯誤導致的不確定失效問題。儘管故障或失效產生的機理和影響程度不同,但是共同的特徵都是故障或失效發生的時間、部位、性質和結果等都不確定。換言之,可靠性技術同樣需要克服相關領域內生安全問題導致的不確定錯誤、故障乃至失效。
(二)「相對正確公理」的再發現
「相對正確公理」(也有研究者稱之為共識機制)是指「人人都存在這樣或那樣的缺點,但極少出現獨立完成同樣任務時,多數人在同一個地點、同一時間、犯完全一樣錯誤的情形」。相對正確公理在可靠性工程領域的成功應用,是20世紀70年代首先在飛行控制器領域提出的非相似余度構造(dissimilar redundant structure, DRS),其抽象模型如圖1所示。基於該構造的目標系統在一定的前提或約束條件下,即使其軟硬構件存在分布形式各異的隨機性故障,或者存在未知設計缺陷或錯誤導致的統計意義上的不確定失效,都可以被多模表決機制變換為能用概率表達的差模或共模事件,從而使我們不僅能通過提高或改善材料、構件質量的方式提高系統可靠性,也能通過系統工程技術的創新來顯著增強系統的可靠性與可用性。
圖1. DRS架構的抽象模型,其中,Ai (i = 1, 2, …, m)表示第i個異構執行體,m表示異構執行體的數量。
就目標對象內生安全問題的不確定威脅而言,DRS構造從某種意義上說也具有與敵我識別作用相同或相似的功效。儘管不確定威脅的攻擊效果對於功能等價的異構冗餘個體而言往往不是概率問題,但是這種攻擊事件在群體層面的反映通常會以差模形態呈現,並具有隨機性質的概率屬性。換言之,在給定的約束條件下,不確定的個體表現可以被相對正確公理變換為群體層面的概率問題。在小尺度空間上,基於DRS構造的目標對象,能夠抑制包括未知的人為攻擊在內的廣義不確定擾動,且具有可設計標定、驗證度量的品質魯棒性。
(三)動態異構冗餘架構
進一步研究不難看出,儘管基於DRS構造的目標對象能夠抑制包括未知的人為攻擊在內的廣義不確定擾動,但DRS架構內各執行體的運行環境以及相關漏洞後門等的可利用條件是靜態確定的,且執行體的並行部署方式通常也不會改變攻擊表面的可達性,因而,對DRS的攻擊成功經驗具有可繼承性,方法具有可復現性,攻擊效果具有可持續利用價值。換言之,DRS架構的靜態性、確定性和相似性在非傳統安全領域成為構造或算法層面的基因缺陷,其抗攻擊性與可靠性不具備穩定魯棒性。
作者研究發現,從信息熵角度觀察,攻防雙方實際上是圍繞防禦方初始信息熵的增減或維持展開的博弈。DRS構造的容侵屬性之所以缺乏時間穩定性是因為隨著針對性嘗試攻擊或試錯式攻擊的持續進行,構造內的初始信息熵因為沒有任何的自維持機制只能作熵減少運動,直至初始信息熵低至攻擊鏈能夠可靠地發揮期望的作用,構造的本徵功能或防禦功效徹底喪失為止。
不難推論,如果能在DRS架構中導入初始信息熵不減(或熵平衡)機制就能使其容侵屬性具有一定程度的魯棒性。例如,添加動態、隨機、多樣、重構或加密認證、入侵檢測、入侵預防等傳統防禦元素,或導入策略裁決、控制律反饋、可疊代收斂的魯棒控制機制等,理論上應當能夠改變DRS運行環境的靜態性、確定性和相似性在非傳統安全領域的基因缺陷。期望這種經「基因工程」再造後的控制構造和運行機制,由於具有初始信息熵不減(包括熵平衡)特性,因而無論在容侵還是容錯方面都應該具有可量化設計、可驗證度量的穩定魯棒性和品質魯棒性。
作者將這種創新的技術構造命名為「動態異構冗餘架構」(Dynamic Heterogeneous Redundancy, DHR)。DHR架構抽象模型如圖2所示。
圖2. DHR架構的抽象模型,其中,n表示異構執行體的數量。
DHR架構的核心思想是:依據「構造決定安全」的公知,在保證本徵功能集不變條件下,導入基於多模裁決的策略調度和多維動態重構魯棒控制機制,賦予運行環境動態可重組、軟體可定義、算法可重構的功能屬性,形成攻擊者視角下的測不準效應,使目標運行場景在抑制廣義不確定擾動方面具備可疊代收斂的動態性、隨機性、多樣性。
同時,嚴格隔離執行體之間的協同途徑或儘可能地消除攻擊者可資利用的同步、共享機制,最大限度地發揮基於動態異構冗餘環境、非合作模式、多模裁決對蓄意利用內生安全問題的不確定威脅的規避或瓦解作用,顯著提升軟硬體差模故障或隨機性失效的容忍度。換言之,期望通過DHR架構獲得多位一體的內生安全功能,既能有效抑制基於目標對象內生安全問題的非配合或差模攻擊擾動,又能保證即使出現協同攻擊逃逸情況仍能夠控制模型攝動範圍在給定的閾值之內;不僅能顯著增加攻擊鏈的不確定性,還能充分增強包括高可靠、高可用、高可信一體化機制在內的廣義魯棒控制服務或應用性能;期望能顯著弱化非相似余度苛刻的異構性設計要求,使得DHR構造能夠成為具有廣泛應用前景的新型使能技術。有關DHR的基本原理、典型與非典型構造、技術目標與典型功效、安全性量化分析的相關論述參見參考文獻。
(四)DHR架構的內生安全特性
DHR從組織結構、運行模式、制度安排等方面具備內生安全體制需要的全部要素,在目標對象中運用DHR的過程就是為其建立內生安全體制的過程,具體表現在如下幾個方面。
(1)DHR是完全開放的組織架構,允許架構內的軟硬模塊或構件中包含任何的內生安全問題,即可以在任何「有毒帶菌」場景下可靠的發揮期望的作用;
(2)DHR是一體化的融合構造,能同時提供高可靠、高可信、高可用的使用功能。不僅能解決傳統的功能安全問題還能管控非傳統安全問題;
(3)DHR架構能夠綜合使用多樣性、隨機性和動態性之防禦要素,形成內源性的測不準效應和難以窺探的「防禦迷霧」;
(4)DHR架構本身是由異構、冗餘、動態、裁決和反饋控制五大環節組成,能最大限度地發揮「動態、多樣、隨機」防禦三要素的協同效應;
(5)DHR架構能夠自然地接納傳統安全防護技術或其他技術的使用並可獲得指數量級的防禦增益;
(6)DHR架構對所有軟硬體系統具有普適性應用意義。
此外,基於DHR架構、功能、相關策略等形成的協同關係造就了一種具有獨特優勢的內源性安全機制,具體表現在如下幾個方面:
(1)DHR安全機制形成的測不準防禦迷霧正是為了管控或抑制基於目標對象內生安全問題的廣義不確定擾動,屬於典型的人-機博弈關係,如果導入人工智慧和大數據等後台處理功能完全可以在人-機、機-機、機-人博弈中占據優勢;
(2)DHR安全機制可以條件管控或抑制針對目標對象的廣義不確定擾動,但不可能完全杜絕共模逃逸現象的發生,儘管這種逃逸屬於可量化控制的極小概率事件;
(3)DHR安全機制的有效性不依賴任何先驗知識或附加、內置、內共生的其他安全措施或技術手段,但可以融合使用相關技術成果指數量級地提升安全增益;
(4)DHR安全機制能用同一技術架構以融合方式為目標對象提供一體化的高可靠、高可信、高可用的使用性能;
(5)DHR安全機制形成的安全效應可通過可靠性驗證理論中的「白盒注入」測試法檢定,並具有可量化設計、可驗證度量的穩定魯棒性和品質魯棒性;
(6)DHR安全機制的使用效能與運維管理者的技術能力和過往的經驗弱相關或不相關,具有全生命周期難以比擬的效費比優勢。
需要鄭重聲明的是,DHR只是網絡空間內生安全體制機制的一種而不是全部。
(五)DHR架構編碼信道模型
1949年香農提出著名的信道編碼定理,奠定了現代通信特別是糾錯編碼的理論基礎。香農第二定理(有噪信道編碼定理)的目的是在無記憶信道引入隨機噪聲的情況下,通過在傳輸的消息中添加一個適當設計的冗餘,然後在接收器處使用該冗餘來重建原始消息,最終完成消息的正常傳遞。該定理雖然僅是存在性的,但對通信的指導意義十分明顯,它給通信工作者指出了進行可靠通信的新方向和新途徑,糾錯編碼正是在該定理指導下發展起來的。DHR構造的內生安全機制也可以描述為如何在一個存在非隨機噪聲的可重構有記憶信道上正確地處理和傳輸信息的問題。作者認為,對於網絡攻擊所導致的信息處理和傳輸錯誤與可靠性錯誤與通信噪聲錯誤等的性質類似,都可以採用糾錯編碼思路進行解決。但與經典香農通信傳輸模型中的無記憶信道假設不同,DHR可以抽象為一種有處理能力的可重構有記憶信道。與香農假設的隨機噪聲不同,網絡攻擊具有明顯的非隨機性,可以抽象為非隨機噪聲,這裡將隨機通信噪聲、隨機物理失效、人為攻擊噪聲等統一稱為廣義不確定擾動。DHR構造等效傳輸信道模型和香農傳輸信道模型如圖3和圖4所示。
圖3. DHR構造等價傳輸信道模型,其中,P表示通道函數,n'表示元信道的數量,n'與圖2中的n具有相似的含義。
圖4. 香農傳輸信道模型。
如果從香農的冗餘編碼理論視之,DHR結構在時空上可以展開為一組基於動態異構冗餘方式的「編碼結構」(coding-structure)之集合,目的是為了對抗與信道噪聲類似的隨機或非隨機的「結構擾動噪聲」(structure disturbances noise, SDN)的影響。但是,香農信道編碼理論的分析對象是「隨機無記憶信道」,而DHR的異構冗餘疊代防禦場景則相當於「隨機或非隨機的有記憶信道」。因此,不能直接用香農理論及方法來量化分析DHR構造的安全性或廣義魯棒性,需要從信道編碼理論發展出一種「編碼信道」理論(coding channel theory, CCT),以便能對DHR的「編碼結構」體制機制在抑制「結構擾動噪聲」方面的性能進行量化分析。而編碼信道理論是否成立的關鍵是相關存在定理的證明,需要從理論上闡明在廣義擾動條件下,針對特定離散有記憶信道,如何構造合適的信道與編碼來提供正確服務的問題。所謂「正確」的概念就是採用適當的編碼與解碼步驟,使得在具有內生安全屬性的系統架構內,當存在隨機或人為加性干擾時信息傳遞和處理的誤差足夠小。簡而言之,編碼信道理論是由內生安全構造數學模型和兩個存在定理及相關定義、引理及數學證明構成,涵蓋且應當涵蓋香農第二定理的內容。
(六)DHR架構編碼信道數學模型
假定攻擊以速率λ (λ > 0)到達,以及假定存在以下三類單個執行體被攻擊成功的概率Ps(t)與時間t的數學表達式:
式中,Ts表示干擾到達的時間;p表示部署差模元信道的概率,首次以概率p部署差模元信道沒有任何危害。
可以證明,動態異構冗餘與反饋記憶消除信道構造方案使得編碼信道結構與元信道記憶具有不確定性,保證了系統失效的隨機性。
(七)編碼信道存在定理
將編碼信道內具備同等功能和性能的子信道稱為元信道,元信道的噪聲隨機到達(在內生安全問題中表現為未知的漏洞後門),對於任意隨機噪聲,信道輸出出錯的概率Pe<1。加之信道的無記憶性,對於任意時刻t的隨機噪聲,使信道輸出出錯的概率Pe (t)<1。因此,在隨機噪聲無記憶信道條件下,編碼信道中n'個元信道構造滿足香農第二定理:信道噪聲隨機且信道n'次擴展無記憶條件的約束前提。
針對輸入X的樣本空間為x = {0, 1},輸出響應Y的樣本空間為y = {0, 1}。
1. 編碼信道存在第一定理
噪聲(擾動)隨機到達,若編碼信息傳輸率R < C,其中,C表示離散無記憶信道的信道容量,當存在無記憶元信道n'足夠大的編碼信道,總可以在輸入集合找到個碼字組成一個碼集合M=2n'R,其中,n'表示碼長,M表示異構元信道組合的總數,其與圖1中的m含義相似。在一定解碼規則下,可使信道輸出錯誤概率P(t)≤ε,其中,ε表示任意小正數。
在隨機噪聲無記憶信道下,編碼信道噪聲隨機,構造的元信道均為無記憶信道。香農第二定理要求信道進行n'次無記憶擴展,各擴展信道的噪聲隨機,均為無記憶信道。因此,隨機噪聲無記憶信道下編碼信道存在第一定理與香農第二定理滿足條件等同。
2. 編碼信道存在第二定理
噪聲(擾動)非隨機到達,動態異構冗餘與反饋消記憶構造後的離散有記憶編碼信道的信道容量C,∀t>0,C(t)∈[Cs,C0],其中,Cs表示穩態信道容量,C0表示初始狀態信道容量。若t時刻編碼信息傳輸率R(t)<C(t),則只要碼長與編碼元信道構造數n'足夠大,總可以在輸入集合找到M=2n'R個碼字組成一個碼集合。在一定解碼規則下,可使信道輸出錯誤概率Pe (t)≤ε,其中,ε表示任意小的正數。
五、總結
基於目標對象內生安全問題的攻擊理論和方法是造成當前網絡空間泛在化安全威脅的最主要原因之一,雖然內生安全問題不可避免,但由此帶來的安全威脅影響應當可以通過內生安全的體制機制設法規避或化解(網絡空間擬態防禦就是這一機理的成功應用),這不僅涉及網絡空間安全防禦思想與觀念的轉變,更關係到信息技術(IT)、信息通信技術(ICT)、信息物理系統(CPS)、工業控制系統(ICS)等領域安全理論與產品技術的跨越式發展,也為眾多學科拓展了新的研究方向。
本文分析了破解網絡空間內生安全問題的思路和方法,提出了網絡空間內生安全的概念和技術特徵,介紹了具有內生安全特性的DHR架構的產生過程及其核心思想。作者相信,網絡空間內生安全必將成為新一代軟硬體產品的賦能技術,這將使得從軟硬體產品源頭開始治理網絡空間安全秩序、打造安全可信的人類網絡命運共同體成為可能。
註:本文內容呈現略有調整,若需可查看原文。
改編原文:
Jiangxing Wu.Cyberspace Endogenous Safety and Security[J].Engineering,2022,15(8):179-185.
中國工程科技知識中心是經國家批准建設的國家工程科技領域信息匯聚中心、數據挖掘中心和知識服務中心。
知識中心網址:https://www.ckcest.cn/entry/
中國工程科技知識中心為方便讀者組建了社群想進群請添加微信:xpcztym