涌现视角下的网络空间安全挑战(6)

尽管也被称为“网络”，跟踪网络的涌现式漏洞却跟互联网有些不同之处.理想的跟踪网络应当对用户的意愿和隐私有足够的尊重和保护，即参与其中的用户(tracker)能够实现彼此的实时定位和跟踪，而不能够获得其他不在这一网络中的用户(non-tracker)的位置信息.但在实际运行过程中，前者是基本功能要求，而后者却难以实现.根据文献[51]，在机会跟踪网络(opportunistic tracking networks)中，如果网络中有足够多的设备节点(tracker)对非网络成员(non-tracker)的流量进行嗅探并将自己的位置报告给一个中央控制结构，那么这个中央控制机构就很有希望获知其他非网络成员(non-tracker)的位置信息.这种涌现效应产生自跟踪网络成员(tracker)之间复杂的通信和交互，也受到诸如所在区域的人口密度、城市规划以及跟踪网络规模大小等因素的影响.然而，尽管涌现式跟踪能力受到各种环境因素的制约，不是100%确定能够产生，但只要这一漏洞存在，就会对用户隐私造成极大的威胁.

上述2个例子都跟网络有关，但事实上，涌现式漏洞不仅存在于网络中，很多系统中都有它的身影，比如我们几乎每天都要接触的口令系统.长久以来，口令机制的安全性被大量安全人员所诟病，其中服务端漏洞的代表是口令数据库的脆弱性，而用户端漏洞的代表是口令重用现象的普遍性[77-79].下面从涌现的角度考察口令重用现象的出现和危害.

首先，为什么口令重用现象属于涌现现象？这就要从记忆口令的困难程度和人类记忆能力的限度开始说起.一方面，记忆口令的难度绝不是一个关于口令数量的线性函数，因为我们不仅要记忆口令本身，还要记忆口令和账户的搭配关系，后者显然是一个随着账户数量扩大而呈指数型爆炸增长的过程[80].另一方面，为了安全起见，我们总是建议用户设置足够“随机”和复杂的口令[81]，而事实上，普通人类记忆这类毫无关联的字符串的记忆能力是有限的[59]；而且，若要为每个账户设置不同的足够“强”的口令，那么随着账户数量增长而增长的口令数量又给用户带来了新的困扰，即记忆中的这些口令会互相干扰[82-83](大多数人都有过在尝试登录不常用账户时不断试错的经历).面临着巨大的记忆挑战和自身有限的记忆能力，足够“智能”的人类想出了解决办法，即重用口令.在这种情况下，若把单个口令系统看作一个组件，那么所有的口令系统就可以被视为一个整体(系统)，比较独特的一点是，这些组件的交互(相互干扰)是在人脑中进行的，口令重用现象就由这些交互产生的涌现现象.

其次，不仅口令重用属于涌现现象，它的危害也具有典型的涌现属性.当用户在多个口令系统中重用同一个口令时，这些系统间就产生了一种微妙的联系，即它们彼此依赖，总体的安全性变成了最弱的那个系统的安全性[77,81]，可以形式化地表达为

其中，S代表系统的安全性.

一旦其中一个系统的用户口令数据被泄露，那么该用户在其他系统中的账户也危在旦夕.更糟糕的是，对于单个口令系统而言，攻击者甚至可以通过控制极少量的用户账户进而获得整个系统的控制权.举个最简单也最极端的例子，重用口令的用户恰好是某个系统的管理员，这个例子看似极端，实则并不罕见，系统的管理员常常做出一些匪夷所思的事情.总而言之，口令重用呈现出典型的“多米诺效应”和“蝴蝶效应”特点，即单个系统单个用户账户的泄露可能会导致一系列难以想象的后果，这种非线性性是涌现现象的典型表现.

总的来说，涌现式漏洞经常来源于系统的某些固有属性所带来的局限性，这种局限性在系统设计之初就隐含在系统的架构中，但是未能被设计者发现.令人遗憾的是，往往只有大规模攻击事件的发生才能让我们意识到漏洞的存在及其严重性.

Fig. 4 Tor图4 洋葱路由

2.3 防 御

近年来，随着涌现现象和网络空间安全2方面研究的逐渐深入，利用涌现特性部署安全防御措施的研究受到关注，例如用于检测无线传感器网络中的节点复制(node replicas)的算法Discard[52]和基于agent的DDoS协同防御机制[27].下面首先简要介绍Discard算法的相关内容.

无线传感器网络属于典型的自组织网络.由于设计目标和成本所限，该网络中节点的安全性很差，其节点之间通信所基于的协议非常简单，给攻击者留下了可乘之机.在无线传感器网络中，复制节点指的是攻击者通过某种手段获取某个设备节点的访问权，进而获取该节点的全部内容，这样，可以在另一台相似设备上复制该节点的全部内容并把该复制设备部署到原节点所处的网络中去，达到冒充身份、扩大控制范围的目的.为了更有效地检测复制节点，文献[52]提出可以利用复杂网络涌现现象研究中的经典模型——传染病模型.它把传染病模型很好地嵌入到网络节点的通信协议中，提出了Discard算法.在该算法中，单个节点是不具有“全局目标”的，它只会跟周围的节点“交流”自己所知道的信息，复制节点的识别能力是由大量节点之间的交互作用形成的涌现结果.

文章来源：《系统科学学报》 网址: http://www.xtkxxb.cn/qikandaodu/2021/0730/597.html