如何構建安全的網絡連接機制

隨著計算機網絡與信息化的不斷發展,DT時代數據資源的多樣性、龐大性、分布廣泛性，導致信息安全問題日趨復雜,計算機網絡的開放框架所帶來的威脅層出不窮。面對嚴峻的網絡安全形勢,傳統的信息安全系統從架構和強度上已經難有大的突破。人們在信息安全的實踐中逐漸認識到,大多數安全隱患來自于終端,如何解決這項問題，成為了各網絡大咖們需要攻克的又一課題。

勤智數碼產品方案部-秦楊凱給出了這個課題的解決方案——

通過構建對等規格的網絡安全協議和的信息資源管理體系的分布式網絡，可快速提高數據資源自由流通、往來無礙、安全可控。

什么是分布式網絡？

分布式網絡是一個去中心化服務，由多種異構、自治的數據節點相互共享自身資源的網絡系統。分布式網絡是讓網絡中讓各個節點既是服務提供者，共享自身擁有的數據資源，也是服務需求者，無需第三方即可直接訪問資源流通高自助式網絡系統。

分布式網絡的價值？

 分布式網絡是一個高度異構網絡，參與網絡的每個節點中的數據匯聚、數據存儲、數據處理、數據挖掘分析、數據服務等方面的能力不盡相同。其中，目錄節點實現各節點數據資源的邏輯集中并通過一系列的聚合、分類、關聯等挖掘分析算法和相應的數據資源檢索服務。其他節點基于全分布式的分布式網絡技術實現數據資源分析、數據計算、數據增值等服務，并將資源定位信息發送給服務請求者，數據資源定位后，數據請求者只與資源服務者建立可靠的數據資源請求與傳送服務。

1. 可信網絡接入與認證協議

分布式網絡采用可信網格架構，通過基于身份鑒別、平臺鑒別來實現基于端口的訪問控制提高平臺的高擴展性

可信網絡安全認證協議流程

  安全認證協議主要包含了兩個部分內容： 密鑰協商和平臺認證。通信節點雙方在進行密鑰協商之前，經過雙向身份認證，協議以的公鑰證書為依據，來驗證彼此身份是否合法，在確信對方持有證書合法有效的提前下，開始進行會話密鑰的協商，密鑰協商成功后建立起安全會話，使得雙方在本次會話通信過程中所交互的信息能夠安全傳送，密鑰協商階段所生成的會話密鑰對于保證整個接入認證協議的安全起著至關重要的作用。在會話密鑰的保護下雙方交互彼此的平臺認證信息，以證明其平臺身份及平臺完整性程度。接入認證結束后，可信網絡管理端 根據客戶端網絡節點端所提交的相關信息，進行決策判斷是否允許其接入可信網絡。

2. 可信網絡關鍵技術實踐

1) 可信網絡接入

網絡采用三層可信網架構技術(網絡訪問、完整性評估、完整性度量)和PKI 數字證書技術融合在一起，并依靠非對稱加密算法中密鑰對匹配的唯一性，來確保節點及用戶的合法身份，使得每個節點及節點用戶都經過認證和授權確保數據資源的正常流通。

可信網絡連接架構

2) 身份鑒別

基于分布式對等控制協議，可完成節點及用戶與網絡之間直接的對等雙向鑒別。在網絡訪問控制、網絡訪問請求、訪問策略服務等執行用戶身份鑒別協議，實現訪問請求和訪問控制之間的雙向用戶身份鑒別。

3) 可信數據分布式存儲

分布式網絡的高度開放式和分布式特點，結合實際應用場景需要，決定了節點間的數據需分布式存儲查詢，分布式可信網絡及應用場景主要采用分布式散列表等技術組織管理網絡中的數據節點。

4) 可信數據計算的分布式算法

分布式網絡中可信數據的分布式存儲決定了可信數據的分布式計算，各數據節點存儲著相應節點的直接/間接可信度、相似度向量和全局可信度等數據。各數據計算節點的可信度數據計算通過優化后的Chord 、Kademlia等協議提供完整的可信數據計算服務。

5) 可信激勵機制模型

分布式網絡采用有效激勵策略鼓勵和驅動理性的節點及用戶為網絡中其他節點共享交換數據資源，網絡采用基于區塊鏈技術的互相互利的BitTorrent、虛擬幣激勵的MojoNation等模型相結合的復合激勵機制。

6) 網絡安全

分布式網絡采用安全認證協議提高網絡的安全性，協議綜合運用了數字摘要、數字信封、數字簽名、數字時間戳和數字證書等多種安全認證技術保障網絡的正常運行。

安全認證協議報文格式

  綜上所述，分布式可信網絡技術主要是解決數據流通平臺中數據節點接入網絡的安全性問題，通過構建基于統一的平臺認證和節點完整性可信網接協議，為數據節點訪問提高安全控制策略及服務，為構建安全可控的數據流通平臺提供基礎安全保障。