1.2 信息内容威胁
从内容安全要解决的主要问题及其解决方案来看,与计算机安全一样,其主要建立在保密性、完整性和可用性之上。由于随着安全问题所处的环境不同,对安全问题的解释会有很大不同,本书主要从互联网角度来分析内容安全的几大问题。
在分析内容安全的问题之前,首先要搞清楚对安全的威胁来自何方。传统计算机安全面临的威胁有泄露(指对信息的非授权访问)、欺骗、破坏和篡夺。在互联网信息共享环境中,同样发现内容安全所面临的威胁有泄露、欺骗、破坏和篡夺,如图1-1所示。下面对这些威胁进行详细的描述。
在局域网连上互联网时,局域网内的敏感信息有可能被泄露到互联网中。由于局域网的信息可能保存在不同的系统之中,无法进行也不可能实现可控的安全管理。安全管理的缺失造成了互联网信息内容的安全面临着各方面的威胁。
首先,互联网中有大量公开的信息,如某人的姓名、工作单位、住宅地址、电话号码等。由于这些公开信息的获取成本非常低,在某些情况下,这些信息会被整合,并可能会被滥用,例如,某些公司会将这些数据作为商业信息出售,还有些诈骗集团会利用这些信息进行诈骗。所以,互联网上的信息泄露还可以指将特定信息向特定相关人或组织进行传播,以妨碍特定相关人或组织的正常生活或运行。
其次,互联网的开放性和自主性导致信息由各个组织自发生成并共享到互联网中,这带来了很多欺骗的威胁。互联网的地址和WWW的内容都存在伪造的可能。这些是互联网中无法保证信息完整性(尤其是信息来源)造成的。
图1-1 典型的信息内容安全威胁
再次,信息还会被非法传播。在很多网络中发现具有知识产权的音乐和电影被广泛地传播,造成了知识产权被践踏的问题。
最后,信息在传播过程中也可能被篡改。篡改信息的目的可能是消除信息的来源,使之无法跟踪,也可能是伪造信息的内容。此外,信息篡改后还会包含病毒或者木马,这些有害于计算机系统和数据的代码将不仅对所在的信息载体带来破坏,还会直接危害到软/硬件系统的安全。
随着Facebook、Twitter、微博等在线社交媒体平台的发展,人们交流、沟通、获取信息的方式产生了巨大变革。个人用户由传统的内容接收者转变为内容的创造者和传播者。在此过程中,除了上述基于保密性、完整性、可用性的安全问题,网络空间还面临着恶意用户制造传播恶意内容所带来的潜在安全威胁。下面分别介绍几种典型的互联网恶意用户行为威胁。
例如,Spam用户的恶意行为通常出现在邮件或者网页中,该行为表现为向一些合法的用户发布广告、色情、钓鱼等恶意信息。Spam用户行为的主要攻击方法是通过创建大量的虚假账号,在邮件或者网页中推荐一些网页链接来欺骗诱导用户进入推荐的网站或恶意的网站。最早的Spam行为始于邮件系统,可以追溯到互联网的产生。早在1978年,第一个邮件Spam就对阿帕网的几百个用户进行了攻击。近年来,无论是国外的Twitter,还是国内的微博,同样也受到Spam行为的困扰。那些曾经在电子邮件领域横行的Spam用户找到了新的乐土,在开放式在线社交网络上将恶意内容快速而大规模地传播出去。该方式比起传统的定点群发邮件的传播方式更加有效。在线社交平台上的Spam行为毫无疑问会破坏平台环境,威胁平台用户的隐私和财产安全。Sybil攻击是目前兴起的另一种恶意攻击方式,即由少数节点控制多个虚假身份,并利用这些身份控制或影响网络的大量正常个体的行为以达到冗余备份的目的。Sybil攻击最早出现在无线通信领域中。2002年,美国学者Douceur第一次在点对点网络环境中提出了Sybil攻击的概念。这种攻击将破坏分布式存储系统中的冗余机制,达到削弱网络的冗余性、降低网络健壮性、监视或干扰网络正常活动等目的。后来,学者们发现Sybil攻击对传感器网络中的路由机制同样存在着威胁。在线社交网络用户之间缺乏物理上的接触,这成为Sybil攻击在在线社交平台盛行的一个有利条件。Facebook的一个调查报告表明,超过83,000,000个Facebook用户都可能是Sybil用户。Sybil用户在以信任为基础的社交网络上的恶意行为更加隐蔽,使得社交平台所面临的威胁愈加严峻。
由于现有互联网体系结构的不足,下一代网络对高度可扩展的组网结构和高效的内容分发机制的需求正在急速增长。内容中心网络(Content Centric Network, CCN)通过提供面向内容本身的网络协议,包括以内容为中心的订阅机制和语义主导的命名、路由与缓存策略,在解决当前基于IP地址进行联网的模式上体现出了巨大的潜力。以内容为中心的未来互联网旨在将内容名称而不是IP地址作为传输内容的标识符,从而实现信息的路由。内容中心网络更适合大数据的内容分发,可以在网络层实现高效的检索机制。事实上,内容中心网络为未来互联网带来了许多好处。首先,互联网中以信息为中心的内容将包含底层信息的内容、属性和关系,从而引入大量语义和情感特征。因此,可以实施更多优化表示来增强网络性能。其次,信息中心网络在大数据内容分发过程中能够提供更智能的分析,这种分析可以以提高未来互联网智能水平的方式进行。由于其快速、高效、可靠的数据传输优势,以信息为中心的未来互联网成为支撑第五代(5G)移动通信技术、自动驾驶车联网、新型智能电网等场景的一项有前途的技术。内容中心网络具有许多独特的属性,如位置独立命名、网络内缓存、基于名称的路由和内置安全性。在内容中心网络体系结构中,除了可能对网络流量产生影响的旧式攻击之外,还出现了新的攻击。内容中心网络将安全模型从保护转发路径更改为保护内容,使其可以为所有网络节点使用,因此内容中心网络攻击可以分为命名、路由、缓存和其他攻击。
命名攻击可以分为监视列表和嗅探攻击。命名攻击允许攻击者审查和过滤内容。攻击者还可以获取有关内容流行性和用户兴趣的私人信息。考虑到信息中心网络的数据是根据名称进行路由和缓存的,发布者在向网络中发布内容时会依据相关的命名规则,将数据的有关属性、特征和内容包装为数据名称,从而暴露在网络中;订阅者再向网络中发布请求时,也会依次将所需要数据的相关信息包装为数据名称,并将其以兴趣包的形式发布到网络中。因此,数据名称本身携带了内容信息。通过对名称中暴露出的信息进行挖掘和延展,攻击者可以从其中获得有关内容的信息,并通过语义方面的模糊化和替换,对需求进行混淆,从而可以将并非订阅者真实需要的内容发送给对方,以达到不同目的的欺骗攻击。监控列表攻击中,攻击者具有预定义的想要过滤或删除的内容名称列表,攻击者监视网络链接以执行实时过滤。在与预定义列表匹配的情况下,攻击者可以删除请求或记录请求者的信息。此外,攻击者可能会尝试删除匹配的内容本身。与监控列表攻击中的预定义列表不同,嗅探攻击中的攻击者监视网络以检查数据是否应该被标记以便过滤或消除它。如果数据包含指定的关键字,则嗅探攻击者标记该数据。
内容中心网络的常见路由攻击是指恶意发布者和订阅者可以发布和订阅无效的内容或路由。此类攻击可分为分布式拒绝服务(Distributed Denial of Service,DDoS)和欺骗攻击。其中,DDoS攻击可分为资源耗尽和时间攻击,欺骗攻击可分为阻塞攻击、劫持攻击和拦截攻击。在路由相关攻击中,以分布式拒绝服务攻击造成的危害影响最大。传统网络的DDoS攻击多表现为:控制许多终端系统的攻击者向网络发送大量恶意请求,以耗尽路由设备资源,如内存和处理能力等。而在内容中心网络中,攻击者旨在填充内容中心网络路由表,为合法用户造成DDoS,这类攻击又称兴趣洪泛攻击。这是因为攻击者可以针对可用和不可用的内容来发送这些恶意请求。被攻击的路由器试图满足这些恶意请求并将其转发到相邻的路由器,从而使恶意请求在网络中被传播。在这种情况下,满足合法请求需要较长的响应时间。如果响应时间超过特定阈值,则合法请求不会被满足。这种攻击的影响在内容中心网络中会被逐渐放大,因为合法用户会不断重新传输不满意的请求,从而造成了网络的额外过载,可能引起拒绝服务、资源耗尽、路径渗透、隐私泄露等,对内容中心网络造成较大威胁。
内容中心网络缓存容易受到不同类型的攻击,这些攻击会污染或破坏缓存系统,此外,还有缓存内容和未缓存内容之间的差异,这些攻击会侵犯信息中心网络的隐私。在常见的缓存攻击情形下,攻击者不断发送随机或不流行的请求到内容中心网络中,通过更改内容流行度来破坏内容中心网络的缓存。这些恶意请求会强制缓存系统存储最不流行的内容,并驱逐流行内容。通常,当用户首次请求某个内容时,内容中心网络会从原始源中获取内容以响应用户请求。如果其他用户再次请求相同的内容,则第二个用户将从路由器中获取最近的可用副本(而不是原始源)。如果攻击者成功使网络缓存了不流行的内容,而第二个用户请求相同的内容,则第二个用户将从原始数据源获取内容,而不是最近的可用副本。第二个用户的请求在攻击情况下将重新遍历第一个用户的请求的整个路径,极大地降低了内容中心网络的分发效率。内容中心网络中的缓存攻击可能引发拒绝服务、隐私泄露、缓存污染等。
内容中心网络的其他攻击包括在传输过程中攻击者未经授权地访问或更改内容,试图破坏签名者的密钥,并充当合法的发布者。网络内缓存属性可最大化这些类型的攻击,因为可以从多个位置访问内容。