kunyuwan/blog

Ubuntu环境下配置Clash For Windows的桌面版并进行节点订阅

Opened this issue · 0 comments

kunyuwan commented

一种网络安全实现方法——基因计算机

防火墙的优缺点

“防火墙”是一种被动式防御的访问控制技术. 它是通过在内部网和外部网的边界上建立起相应的网络通信监控系统来实现其功能的.它是基于这样 一种假设:即内部网是完全安全可靠的,所有的威胁都来自于网外.这就导致“防火墙”对来自内部的威胁不具备防范作用.当前比较成熟的防火墙技术主要有以下两种:

常见的防火墙技术

1.数据包过滤技术

数据包过滤技术即在网络的适当位置截获想要进入内部网的数据包,对之进行分析,对不符合要求的包不让通过,从而达到网络安全的目的.它的主要优点是实现简洁,并且一个单个的、恰当放置的包过滤路由器即有助于保护整个网络.但它也存在很多局限性,如数据包过滤规则难以配置、一些协议不适合于数据包过滤、正常的数据包过滤路由器无法执行某些策略等等。

2.代理服务器

代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序,它位于内部用户和外部服务之间,在幕后处理所有用户和因特网服务之间的通信以 代替相互直接交谈,它接收用户对因特网服务的请求,并按照安全策略转发它们到实际的服务.由于代理提供代连接并且充当服务的网关,故有时也被称之为应用级网关.透明度是代理服务的主要优点,并且由于它实现了内外网络之间的相互隔离,大大地增强了网络的安全性能.但也有它的缺点,如代理服务落后于非代理服务,对于每项服务可能要求不同的服务器,代理服务对于一些服务是不适用的等等.

基因计算机

基因计算机是由美国 Mentor ARC 公司提供硬件,美国 Inguard 公司、**科学院信息安全技术工程研究中心、**科学院DCS 中心合作设计提供软件,在普通计算机的基础之上,加入Isis 基因处理器以及相应的软件模块而形成.它模仿人类的免疫系统,对任何流经本地网的数据进行严格的控制,并对网内机器按安全等级划分,只有符合相应授权的机器才能访问相应的文件, 基因计算机的体系结构(图1) 及其Isis基因处理器的模块示意图( 图2) 如下.

1.基因计算机的生物学模拟

人体中,有成千上万的执行各种功能的细胞,每个细胞又有细胞核,细胞核中的染色体通过 DNA 序列运载着完整的特定遗传信息而形成特定个体. 在基因计算机的生物学模拟中,每一台基因计算机拥有一特定的从家族基因进化而来的基因码,类似于细胞中的细胞核运载着相同的基因信息,同一局域网( 指同一子网) 中的基因计算机拥有相同的家族基因,而家族基因是根据不同的局域网由一台称为 “始祖计算机”的机器分发的.除此之外,在同一局域网内,对不同的计算机授予不同的安全级别权限,在分发基因码时,基于每台计算机的不同的安全级别,每一台基因计算机拥有一个从家族基因进化而来的 基因码,其基因码不同,对应的安全级别也不同.其相应的关系如表1所示.

健康个体保护自身免受外来病菌的侵害是通过免疫系统的工作而进行的.它包括先天的免疫和后天形成的免疫两种.所谓后天形成的免疫是指健康个体遭受外来病菌的袭击并与之进行抵抗而逐渐积 累形成的抵抗疾病的能力.因此人体的免疫系统具有以下3个特征:

  • 特定性.指一种免疫只对特定的病菌发生作用.
  • 多样性.指人体中存有大量的多种多样的免疫抗体,从而对多种病菌产生作用.
  • 记忆性.指免疫抗体具有记忆性,对特定的病菌有相应的免疫抗体对之进行免疫.

基因计算机的工作类似于人体的免疫系统,对 于一基因计算机系统来说,基因计算机A1( 具有基 因 A )需要处理许许多多来自于另一台基因计算机A2( 具有与 A1相同的家族基因 A )或者B1( 具有与 A1不同的家族基因 B)的不同文件,每一文件载有一特定的 Somatic 数( 类似于对某一类病菌产生作用的抗体) ,此Somatic 数是在文件生成的同时而被赋予的.对应于此 Somatic 数,基因计算机A1将某一特定的Idio数( 相应于抗体中的 Idiotope) 与其相比较,如果此文件是由另一台具有与A1相同的家族基因的A2产生的,则 A1将会认为此文件是自己的( 自身抗原) 并接受之。相反,如果此文件是由另一台不具有相同基因的计算机B1产生的,在 A1将Idio数与Somatic 数比较后并解码出此文件的家族基因 B,此时将会产生两种情况:一种是如果家族基因B被认为对此节点网络有“危险”,则此文件不会被允许访问此网络中的任何系统并且就地“销毁”;另一种情况是家族基因 B 被认为是安全且可接受的,则节点网络允许它访问基因计算机 A1.图3简要地示意出人体免疫系统和基因计算机对文件处理的方法.

2.基因计算机对本地网络信息安全的实现

为了保证本地网络的信息安全,禁止从外部网的未授权访问,解决防火墙不能够防范恶意的知情者、对不通过它的连接难有所作为、不能防范完全新的威胁、不能防范病毒等等缺陷,我们利用基因计算机组成本地网来达到这一目的。

2.1 用基因计算机构成本地网络

用基因计算机构成本地网的示意图如图4所示. 在用基因计算机组成的局域网中,每台计算机拥有一独特的基因码,在进行相互之间或同外部通信时,发送方带上本身的基因码作为自己的标识, 而接收方根据此基因码,识别出其是否属于本家族的成员以及相应的访问权限.同时,在传输的过程中所有数据( 包括作为发送方标志的基因码)均经过一种叫“Somatic处理”的方法进行加密,并且这一切加密解密过程均是在Isis基因处理器中完成的.

另外,在此局域网系统形成中,有两个重要的概念:始祖计算机和子孙计算机.始祖计算机的主要职责是通过生成基因码而生成子孙计算机并在以后的通信过程中充当认证的作用,而子孙计算机负责“学习”而获得基因码.下面分别对之进行详细阐述。

1.始祖计算机

始祖计算机执行两项功能:复制(reproduction) 和认证(authentication) .所谓复制就是始祖计算机(progenitor) 和子孙计算机( child PC) 进行初始化的过程.也就是由始祖计算机按照子孙计算机的安全级别的不同,分发一套与子孙计算机的安全级别 相符合的基因码( genetic code) 以及相应的基因签名( genetic signature),而认证的过程就是在两台子孙计算机要求进行相互之间的通信时,充当认证中心的作用.

(a).复制

为了能在局域网上实现数据共享,让始祖计算机充当认证中心的作用.局域网中的子孙计算机必须在初始化时从始祖计算机获得一套基因码和基因 签名;基因码是用于今后子孙计算机间相互通信时, 始祖计算机进行认证( authentication) 的基础.而基 因签名是用来实现非否认( non-repudiation) 的.图5为始祖计算机复制的过程示意图.在发送基因码时,始祖计算机按照子孙计算机 的安全级别的不同,控制发送多少段 Germline 基 因,( 子孙计算机的基因码长度共为256位,它共由4段 Germline 基因( Germline 0-3,每段 Germline 基因64位组成,其中 Germline 0标志着家族基 因) ,子孙计算机的安全级别越高,发送的段数就越多,而子孙计算机在收到不同长度的 Germline 基因后,加上自己产生的相应长度的 Germline 基因,构成256位长度的基因码,在以后的通信中,此256位 的基因码就是该子孙计算机的“姓名”. 为了实现对 Germline 基因的加密传输,在始祖计算机中对 Germline 基因进行一系列的处理后,通过特定的信道传给子孙计算机,而子孙计算机进行“学习”后,获得相应家族的 Germline 基因和基因签名.复制过程是由软件和硬件相结合完成的.

(b).认证

认证是在两台子孙计算机进行通信时,始祖计算机给予确认的机制.当子孙计算机 A 向子孙计算 机B发出请求时,B首先向始祖计算机发出要求证实A的请求,始祖计算机对B发来的信息进行处理后,向B发出一验证结果,B根据始祖计算机发送来的这一结果,来认可A的相应操作。

2.子孙计算机

对于子孙计算机,同样要执行两项功能,其一是 “学习”的功能,第二也是要执行类似于始祖计算机的“认证”功能. 子孙计算机在进行“学习”之前,它在局域网中没有任何权限,而“学习”的过程就是从始祖计算机处得到与自己的安全级别相符合的基因码.与始祖计算机的“复制”过程相对应,其“学习”的示意图如 图6所示.

3.基因计算机对数据的加密

当从存储器中读取或写入数据时,文件系统搜 集出该文件所在的扇区并对之进行操作,对基因计 算机来说,所有的存在存储器中的文件全都经过加密.因此,当一经过加密的文件从存储器中读入内存时,该文件必须经过解密成明文才可被访问. 基因计算机中的每一个文件,都有一密钥,叫做 “Somatic 数”.此密钥是用来控制怎样将每一台基 因计算机的基因码转换成其“Idio”数的,而此“Idio” 数就是用来加密/解密的.所有基因计算机是通过一 种叫“Somatic 处理”的特殊方法进行加密.换句话说,要从存储器中读取数据时,由于数据被加密,同 样必须经过“Somatic 处理”法处理后才能获得明文.“Somatic 处理”法是基于文件对一特定设备进行的加密/解密方法.图7简要地描述了“Somatic 处理”涉及到的各个部分.

在基因计算机中,每一个文件在它产生的同时 都附着一Somatic 数,Somatic 数从以下公式获得

Somatic NO.X =Fx(FG,SE)

其中,FG 表示家族基因,SE 表示 Somatic 表达式. 当一载有其 Somatic 数的未知来源的文件试图 访问某一基因计算机 A 时,基因计算机 A 首先使用基因解码器,运用自己所属的家族基因对之进行解码,以获得此文件的 Somatic 表达式,进而对之进行分析,以获得其 Idio 数:

Idio NO.X =Fx(Sn,Gc)

其中,Sn 表示其 Somatic No.,而 Gc 表示其基因码. 如此,基因计算机A就有了一关于此文件的Idio数,对每一个文件,都有且仅有一个Idio 数与之相符合.而此“Idio”数就是基因计算机用来对该文件进行加密/解密的密钥.也就是说,在基因计算机中,每一个文件都有一个相应的密钥.从而就可以运用它来对此文件进行解密,由此获得明文

总结

由于基因计算机运行与人体类似的防御系统,所有出入基因计算机的数据都被加以基因码保护,唯有与基因码吻合的发送端与接收端才能对数据进行加密/解密,带有不同基因码或不带基因码的外来物将被排除在外.而且所有对数据的加密/解密过程均是在硬件中实现,并且使用256位加密方式,使对其解密的可能性更加减少.由于其分级加基因自动执行的,之间不经人为操控,从而杜绝了监守自盗的可能性.