网络空间内生安全与保障

工程15（2022）179研究网络空间安全-文章网络空间内生安全与保障吴江兴国家数字交换系统工程技术研究开发中心，郑州450002阿提奇莱因福奥文章历史记录：收到2020年2020年8月26日修订2021年5月16日接受在线预订2022年保留字：网络空间内生安全问题不确定威胁网络空间内生安全与安全相对权利公理动态异构冗余体系结构A B S T R A C T漏洞和后门造成的不确定性安全威胁是网络空间最严重、最棘手的问题。本文分析了系统漏洞、后门等所谓“暗功能”存在的哲学和技术原因，指出内生安全问题不可能在理论和工程层面上完全消除，而是需要开发或利用系统架构本身的内生安全功能。给出了网络空间内生安全的定义，列举了网络空间内生安全的主要技术特征，介绍了基于动态异构冗余（DHR）体系结构的内生安全机制和特征，并描述了基于DHR的编码通道的理论含义。©2021 THE CONDITOR.Elsevier LTD代表中国工程院出版，高等教育出版社有限公司。这是一篇CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）中找到。1. 介绍大量的网络安全事件已经证明，大多数安全威胁是由外部原因（即，人为攻击）和内部原因（即，所谓的不幸的是，迄今为止，传统的思维方式和技术网络安全路线很少离开“尽最大努力摆脱问题”的惯性思维因此，网络安全路线通常涉及挖洞、打补丁、封门、查毒、查杀木马;它们还可能涉及设置蜜罐和沙盒，以及级联附加保护措施，包括内置的分级检测方法（借鉴了生物内共生的思想）。然而，传统安全功能的引入不可避免地带来了新的内生安全风险.解决减少内生安全问题所产生的不确定威胁影响的问题需要重大的理论和技术创新。基于“万物皆有矛盾，有利有弊”的哲学思想，分析了信息系统内生安全问题存在的必然性。阐述了内生性安全问题的概念和特征，*通讯作者。电子邮件地址：ndscwjx@126.com。指出了内生性安全问题无论在理论上还是在工程上都不可能完全消除，这是一个内在矛盾。只有开发或利用系统元结构的内生安全和安全效应（即，算法）或者说形成一个所谓的“内生的安全保障体制机制”。本文提供了一个定义，并列出了拟议的内源性安全和保障机制的技术特征。受可靠性理论和方法的启发，提出了一种动态异构冗余（DHR）体系结构，并提出了DHR体系结构能够规范地处理传统可靠性问题和非传统网络安全问题的原则。2. 网络空间内生安全问题2.1. 内生安全问题的定义和影响德国哲学家G.W. F黑格尔说：从这个意义上说，网络空间与现实世界具有相同的哲学性质。一切事物的存在和发展都是以矛盾为基础的，矛盾是发展的条件.矛盾的冲突性促使矛盾双方的消解，从而导致社会发展的不平衡。https://doi.org/10.1016/j.eng.2021.05.0152095-8099/©2021 THE CONDITOR.由爱思唯尔有限公司代表中国工程院和高等教育出版社有限公司出版。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可从ScienceDirect获取目录列表工程杂志首页：www.elsevier.com/locate/engJ. 吴工程15（2022）179180双方的实力例如，在信息技术（IT）中，大数据技术可用于基于算法和数据样本发现未知的规则或特征;然而，数据样本的故意污染和算法漏洞的恶意此外，区块链技术正在提供一个去中心化记账的新时代，而51%的共识机制未能避免市场份额大于51%的商业现货级软件和硬件产品的漏洞被利用。综上所述，虽然当代计算技术的发展使人类步入了辉煌的信息时代，但计算技术内在的安全缺陷也带来了风险和不确定性威胁。因此，内生安全问题和内生安全服务体系结构是同一体系结构或同一算法在不同应用对象、不同技术条件的不同场景下，基于任何体系所固有的本质矛盾的不同表现形式或表现网络空间也不例外：任何软件/硬件配置或算法都不可避免地与副作用或与其基本功能之外的不可见的“黑暗面”相关联一旦触发，这种副作用或内生安全问题可以进一步抽象为两种类型。狭义的内生安全问题是指任何软件或硬件实体除了其设计功能之外还具有可见或不可见的意外功能的现象，例如副作用、可扩展性或自然故障。一般的内源性安全问题除了具有与狭义的内源性安全问题相同的问题外，还涉及到最终用户主观上和有意地不可见的设计功能，包括所有未向用户明确声明或公开的硬件和软件的隐藏功能，例如故意设计的前门、后门和陷阱。2.2. 内生安全问题从内生安全问题的定义和内涵出发，可以归纳出内生安全问题的特征[4]2.2.1. 存在的必要性多年来，漏洞和后门一直是网络安全中的一个问题。根据统计规律，在网络系统中，可用性的数量和代码的数量之间存在一定的比例关系[5]。脆弱性也随着系统复杂性和代码数量的增加而增加。与此同时，由于经济全球化的发展和产业分工的专业化、精细化，集成创新或集成化已成为一种普遍的生产组织模式。各种产品的设计链、工具链、生产链、支持链、服务链等供应链越来越长。此外，涉及的范围和链接数量都在增加，为嵌入后门提供了许多机会。软件和硬件代码环孔的出现（即，无论是从技术发展的角度，还是从利益博弈的角度，这些非主观因素引入的陷阱（trapdoors），或者是人为植入的进入信息系统的后门，都是不可避免的，从根本上说是难以避免的。2.2.2. 应急虽然漏洞会不时被发现，但每个漏洞被发现的时间和方式都不同，这使得漏洞成为一种不规则的现象。从认识论的角度来看，事物总是可以被认识的;因此，漏洞的存在和发现是必然的事件，即使它们呈现的特定时间，目标系统和方式是偶然的。发现漏洞的事件包括技术阶段或时代限制，以及复杂代码完整性检查2.2.3. 认知的时空特征基于“漏洞是客观存在的，但发现漏洞是时空的，漏洞需要积累到一定程度”的认知这是基于认知的漏洞之间的时空差异。2.2.4. 威胁的不确定性在经济学中，弗兰克·海曼·奈特（Frank Hyneman Knight）对风险和不确定性的关系作了如下区分：风险是一种不确定性，其概率分布是已知的，其未来的可能性是可以推断的;相反，不确定性意味着它根本不可能预测未来的事件。不难看出，一个内生的安全问题可能会造成两种类型的安全威胁。一个威胁是安全问题显著影响目标对象的内在或服务功能的可靠性、可信度和可用性。另一个威胁是，这个问题导致有人非法获取或侵犯他人的隐私信息和数据资源。由于安全问题的内生性，上述两类安全威胁的发生具有不可预测性，属于未知和不确定性威胁。从更普遍的意义上讲，由于人类技术发展和认知水平的阶段性特征，软硬件设计中的可兼容性问题不可能完全回避或彻底考察。此外，由于全球化，工业生态环境是开放的，技术是协作的。如此密不可分的产业链，使得完全杜绝软硬件后门成为不可能。迄今为止，基于内生安全问题的不确定性威胁防御，除了安全技术的额外使用外，几乎不包括定量设计和可验证的基于测量的防御解决方案，因为安全技术人员会尽最大努力阻止来自攻击面的干扰的影响。3. 考虑解决网络空间内生安全问题3.1. 改变解决问题的思路基于这样的概念，即网络空间中大多数安全威胁的外部原因是人为攻击，而安全威胁的内部原因是目标系统中的后门和可内生安全问题），一个直观的推论是，要彻底消除网络空间的安全威胁，必须彻底排除内生安全问题，因为外部因素只能通过内部因素起作用。然而，从理论和实践上看，内生安全问题并不能完全J. 吴工程15（2022）179181淘汰首先，随着全球化的发展，开放、协作的创新链和产业链正在成为现代产业发展的基本模式。仅凭一国之力，几乎不可能在供应链层面实现完全的独立和控制。其次，目前还没有有效的理论和技术解决方案来消除软件和硬件设计缺陷造成的漏洞。试图从根本上消除这些问题，也是违背人类认识的客观性和现阶段技术发展规律的。这意味着，从理论上、技术上、经济上讲，都不可能要完全保证网络空间是一个没有内生安全问题的环境，即“无毒无菌”的网络空间愿景几乎不可能实现。从上述分析中得出的一个微不足道的推论是，鉴于网络空间中存在所谓的“携带毒素的细菌”，可能有必要改变目前解决问题的思路，并减轻“已知的未知”和“未知的未知”的威胁挑战。要摆脱“亡羊补牢”的过渡思维通过赋予信息系统的基本结构以内生的安全功能或内生的安全保障机制，可以获得信息系统的安全性和可信性。在一定的条件或约束下，该功能或机制可以容忍软硬件组件的内在安全问题，从而使内在功能具有稳定性鲁棒性和质量稳定性的结合，而不管随机故障或网络攻击3.2. 生物免疫学的启示从生物学上我们知道，人类通过遗传特性获得的先天非特异性免疫，可以对大多数入侵的病原微生物进行非特异性清除，这是一种表面水平的防御。科学研究表明，病原微生物在自然界中不断变异。但是，是什么因素确保非特异性免疫仅依赖于生物遗传信息，从而使身体能够非特异性地选择性清除在现实世界中发生变化的各种入侵病原微生物？在什么情况下，通过什么方式可以激活特定的免疫机制？遗传信息相对稳定，需要在生物体的整个生命周期中不断更新但是，这些信息应在何时以及如何更新？此外，特异性免疫是一种点防御，但免疫的记忆如何影响非特异性免疫的遗传信息？基于这些思想，我们可以从中得到启示：能否设计一种类似于脊椎动物免疫机制的组合防御能力，以产生基于目标系统对未知攻击活动无特异性选择性清除功能，并及时触发特异性免疫机制等防御功能的内源性安全问题？作者认为，这种防御功能是可能的，并且最好被描述为内生安全，这种防御功能源于目标3.3. 网络空间内生安全保障内生安全保障是指具有内生效应或内生安全保障效应的结构或算法及其体制机制[4]。内齿龙属从字面上看，这是一个系统自身产生的内生效应，而不是通过外部因素获得的。因此，内生安全和保障是指通过使用诸如系统架构、算法、机制或场景的内部因素而获得的安全或保障功能或属性。例如，脊椎动物的非特异性和特异性免疫学习机制是一种内源性安全功能。内生安全保障的体制机制和技术特征如下。3.3.1. 预期的内在安全和安保系统一个内在的安全和安保系统应(1) 基于开放的组织架构，并在其架构、模块和组件中涵盖所有内生安全问题;(2) 是一个集成和聚合的结构，可以同时提供高可靠性、高可信性和高可用性的功能;(3) 能够运用多样性、随机性和动态性等防御要素(4) 除了结构要素外，还具有异质性、冗余性、动态性、裁定性和反馈控制性(5) 能够与传统的安全防护解决方案或其他技术相配合，以获得指数级的防御收益;(6) 普遍适用。3.3.2. 预期的内在安全和安保机制(1) 内生安全和安全机制与广义不确定性扰动之间的关系可以分为(2) 一个内在的安全和安保机制应该能够有条件地控制或抑制普遍的不确定性，而不试图消除其影响。(3) 内生安全和安全机制的有效性不应依赖于关于攻击者的任何先验知识、额外的内置内部共生、其他安全措施或其他技术手段。(4) 内部安全和安全机制应该能够以融合的方式为目标系统提供集成的、高度可靠的、高度可信的和高度可用的性能。(5) 由内生安全和安全机制主导的广义安全应该具有稳定和高质量的鲁棒性，具有量化的设计和可验证的度量。(6) 内部安全和安保机制的有效性应仅与操作员或维护经理的技术能力和经验弱相关或无关。3.3.3. 预期技术特性(1) 内源性安全性和安全性是目标对象的内置安全功能的一部分;它具有结合通用性和焦点的防御机制，类似于脊椎动物的非特异性和特异性免疫机制。内在安全和安保在结构上与目标的内在功能不可分割(2) 内部安全和安全方法不应依赖于任何先验知识或攻击者内生安全对于由独立的攻击资源、攻击技术和攻击方法形成的差模攻击具有天然的抑制作用换句话说，任何基于零日漏洞、后门、病毒或木马的网络攻击原则上对具有内在安全特征的目标对象无效。J. 吴工程15（2022）179182(3) 除了社会工程学方法，突破内生安全防御、实现共模逃逸的唯一途径是通过具有时空一致性的精准协同攻击。首先，攻击者应该克服由空间和时间的不一致性引起的不确定性效应。其次，构建共模逃逸情境需要突破异构冗余目标的迭代反馈调度机制，基于策略决策。最后，攻击者必须面对保持共模逃逸稳定性的问题(4) 内生安全功能应该能够以规范的方式解决传统的可靠性问题和基于目标的网络威胁问题。(5) 理论上，差模逃逸是不可能发生的，共模逃逸的概率极低;即使后者成功，也可能只发生一次。在内生安全环境下，攻击行为和攻击结果都不具有稳定鲁棒性和质量鲁棒性4. 基于DHR架构的内部安全和保障机制4.1. 可靠性问题通过长期的研究和探索，我发现，可靠性问题和网络安全问题虽然是两个不同的领域，干扰因素不同（前者主要表现为随机干扰，后者则完全由攻击者行为主导），但这两个领域存在着许多相似甚至相同的因此，在一个领域应该可以学习另一个领域的相关理论方法和制度机制。众所周知，可靠性领域中最具挑战性的问题是如何处理系统的不确定故障或失效。它涉及两个基本问题：①如何处理物理错误或无源和有源元件的故障;②如何避免未被发现的软件或硬件设计缺陷引起的不确定故障。虽然这些故障的机制和影响不同，但它们有一个共同的特点：故障的时间，地点，性质和结果都是不确定的。换句话说，可靠性技术需要克服由内生安全问题引起的不确定性错误和故障4.2. 相对正确公理的再发现相对正确公理（也称共识机制）是指虽然每个人都有自己的缺点，但在独立执行同一任务时，很少有很多人犯同样的错误。相对正确公理在工程中的一个重要应用是不相似冗余结构（DRS）[1]，它于20世纪70年代在飞行控制器领域首次提出（图1）。在一定的前提条件下，在一定的约束条件下，即使是软硬件组件中未知的设计缺陷导致的随机性效应失效，或者是统计不确定性效应因未知的设计缺陷而失效，这些情况都可以通过多模态投票机制转化为差模或共模事件，并表示为概率。通过这种方式，不仅可以提高其组件的质量，而且还可以提高用于构建它的技术的创新水平，从而显着提高系统的可靠性。在对目标对象中的内生安全的不确定威胁方面，DRS结构具有与Fig. 1. DRS体系结构的抽象模型。A i（i = 1，2，.. . ，m）：第i个异构执行器;m：异构执行器的数量在某种意义上，“敌人”和“朋友”的身份。虽然不确定攻击的异构冗余功能等效效应不能用概率表示，但这类攻击事件在群体层次上的反映通常表现为差分模式。在小尺度空间中，基于DRS的目标对象可以抑制广义不确定性（包括未知的人为攻击），具有可设计和可测量的高质量鲁棒性。4.3. 动态异构冗余体系结构不难确定，尽管基于DRS构建的目标对象可以抑制包括未知人为攻击在内的一般不确定干扰，但各种执行者环境的可用条件和相关脆弱后门在DRS架构中是静态确定的。执行器的并行部署通常不会改变攻击面的可达性。因此，针对DRS的成功攻击经验是可继承的，攻击方法是可复制的。攻击者可以持续利用以前的攻击知识。换句话说，DRS架构在非传统安全的遗传非传统安全水平上在静态性、相似性和确定性方面仍然存在缺陷，因此，它不具有稳定和高质量的鲁棒控制特性。从信息熵的角度出发，可以将攻防行为看作是一个围绕防御方初始信息熵的增加或减少而进行的博弈。DRS结构的入侵容限缺乏时间稳定性。随着试错攻击的增加，没有自我维持的入侵抵抗机制。因此，在没有自我维持机制的情况下，初始信息熵只能导致熵减少，直到初始信息熵足够低，使得攻击链能够可靠地发挥预期的作用，并且内在的结构功能或防御效果完全丧失。不难推断，如果能够在DRS架构中引入初始信息熵维护（或熵平衡）机制，可以使架构的容错性具有一定的鲁棒性。例如，添加一些透明防御元素（即，动态性、随机性、多样性、重构、加密认证、入侵检测、入侵防御等）或鲁棒控制机制（即，策略规则、反馈控制、迭代收敛等）应该能够改变DRS操作环境的静态特性。这种“基因工程”重构具有不降低初始信息熵的性质，因此这种控制结构和运行机制的可量化设计和可验证测量，在入侵容忍和容错方面应该具有稳定和高质量的鲁棒性。我把这种创新技术称为“DHR”。DHR的抽象模型如图所示。 二、J. 吴工程15（2022）179183图二. DHR体系结构的抽象模型。n：可重新配置执行器的数量。DHR体系结构的核心思想是：基于”结构决定安全“的公理，在保证服务集固有功能的条件下，结合多模态决策调度机制和多维动态重构鲁棒控制机制，赋予运行环境动态性、可重构性、软件可定义性和算法可重构性，从攻击者的角度建立不确定性效应，在抑制一般化不确定干扰的同时，同时，严格控制协作方法并尽可能消除执行者之间的同步也是至关重要的应最大限度地利用DHR、非合作模式和多模式决策的规避和破坏作用，以显著提高对软、硬件差异故障或随机故障的容错能力也就是说，期望通过DHR架构获得的多功能DHR架构不仅可以显著增加攻击链的不确定性，而且还可以充分增强广义鲁棒控制服务或应用程序的性能，包括集成高级别的可靠性，可用性和可信性。可以预期，严重的异构设计要求可以显着减弱，使DHR结构可以成为一种新的使能技术，具有广泛的应用前景。关于DHR的基本原理、典型和非典型结构、技术目标和典型功效的相关讨论可参见参考文献。[14.4. 人力资源司架构的内在安全特征人力资源部的架构在组织结构、运作模式和制度安排方面具备了内部安全和安保系统所需的所有要素。 使用DHR的过程就是为目标对象建立内生安全保障体系的过程，具体表现在以下几个方面。(1) DHR是一个完全开放的组织结构，允许软件和硬件组件包含任何内在的安全问题;也就是说，它可以在任何受污染或易受攻击的情况下可靠地运行良好。(2) DHR是一种集成的融合结构，可以同时提供高水平的可靠性、可用性和可信度它不仅可以解决传统的功能安全问题，还可以管理非传统的安全问题。(3) DHR体系结构可以综合多样性、随机性和动态性等防御要素，以获得内生的不确定性效应，形成不可观测的防御迷雾。(4) DHR体系结构由五个重要的支持部分组成：异质性，冗余，动态性，规则和反馈控制。它可以最大限度地发挥动态性、多样性和随机性这三个防御要素的协同作用。(5) 当与传统的安全保护技术或其他技术相结合时，DHR架构可以获得指数级的防御增益。(6) DHR体系结构对所有的软硬件系统都具有普遍的应用意义。此外，基于DHR架构、功能和相关政策的协同关系，形成了内生的安全保障机制，具有独特优势，具体表现在以下几个方面。(1) DHR安全机制所形成的不可测防御雾正是为了控制或抑制内生安全问题的广义不确定扰动而设计的它可以被归类为典型的如果采用人工智能和大数据技术在后台运行，防守方可以在人机、计算机与计算机、计算机与人的博弈中获得更多优势(2) DHR安全机制可以有条件地控制或抑制对目标对象的广义不确定扰动，但不可能完全防止共模逃逸现象。(3) DHR安全机制的有效性不依赖于任何先验知识或其他额外的内置内生安全措施;然而，这些相关技术手段可以与DHR结合使用，以获得指数级安全增益。(4) DHR安全机制可以整体为目标对象提供高可靠、高可用、高可信的性能;(5) 白盒注入测试可以验证DHR的安全效果，具有稳定和高质量的鲁棒性，具有可量化的设计和可验证的测量。(6) 人力资源司的效率与管理人员的技术能力和经验关系不大，甚至没有关系，而管理人员的技术能力和经验在整个生命周期具有很大的成本效益优势。必须特别说明的是，DHR只是网络空间内生安全和保障机制的一种类型，并没有描述所有可能的类型。4.5. DHR体系结构的编码信道模型1949年，Shannon和Weaver[6]提出了著名的信道编码定理，为现代通信尤其是纠错编码奠定了理论基础。 香农第二定理（Shannon'sSecond Theorem）是在无记忆信道引入随机噪声的情况下，在发送的消息中重建适当设计的冗余，然后在接收端使用该冗余来重建原始消息，最终完成消息的正常传递。虽然该定理只提供了一个存在性的证明，但它对通信的指导意义是非常明显的。它为可靠通信指明了新的方向和新的途径。纠错编码就是在这个定理的指导下发展起来的。DHR构建的内生安全保障机制也可以被描述为一种方式，J. 吴工程15（2022）179184--：ð ÞTs在具有非随机噪声的可重配置存储器通道作者认为，网络攻击引起的信息处理和传输错误、可靠性错误、通信噪声错误在本质上是相似的，都可以通过纠错编码思想。但是，与无记忆通道4.6. 一种DHR结构的编码信道数学模型假设攻击以速率k（k> 0）到达假设单执行器攻击成功概率Ps（t）有三种类型，时间t有一个数学表达式。在经典的Shannon通信模型中，DHR可以抽象为具有处理Ps8p1et-Ts1-1-e-Ts ;t≤Tsð1Þ能力的与Shannon假设的随机噪声不同，网络攻击具有明显的非随机性，可以抽象为非随机噪声。在这里，随机通信噪声、随机物理故障和人为攻击噪声是：1;t>Ts第八章第一节-1e-tTs1-eTs;t≤Tsð2Þ统称为“广义不确定扰动” DHR架构的等效传输信道模型和Shannon传输信道模型如图2和3所示。 34下面。：1;t>Ts8p¼t;t≤Ts从Shannon的冗余编码理论的角度来看其目的是对抗类似信道的随机或非随机的“结构干扰噪声（SDN）”。然而，香农信道编码理论的分析对象因此，Shannon的理论和方法不能直接用于量化DHR结构的安全性或广义鲁棒性。根据编码信道理论（CCT）[4]，需要开发CCT以使得能够定量分析DHR的编码结构机制在抑制SDN中的性能。要判断CCT是否为真，关键是证明存在定理。在广义干扰条件下，如何构造合适的信道和编码，以便为特定的离散记忆信道提供正确的服务，所谓“正确”的简而言之，CCT由一个安全构造内生数学模型、两个存在定理及其相关定义、引理和数学证明组成。它涵盖了并且应该涵盖香农第二定理的内容1;t>Ts其中Ts是指干扰到达的时间，p是部署差模信道的概率第一次部署概率为p可以证明[4]，DHR和反馈消除记忆信道构造方案使编码信道结构和元信道记忆具有不确定性，从而保证了系统故障的随机性。4.7. 编码信道的存在定理编码信道中具有相同功能和性能的子信道被称为元信道，并且元信道的噪声随机到达（由内生安全问题中的未知后门表示）。对于任何随机噪声，信道输出误差Pe的概率为Pe1。<此外到信道是无记忆的，对于任意时间t的随机噪声，信道输出错误的概率是Pet1。<因此，在随机噪声和无记忆信道的条件下，研究了cod-信道满足香农第二定理的约束输入X的样本空间为x={0，1}，输出响应Y的样本空间为y={0，1}。图3.第三章。DHR体系结构的等效传输信道模型。 P：通道的函数;n0：元通道的数量，与图中的n的含义相似。 二、Psð3ÞJ. 吴工程15（2022）179185¼≤8¼见图4。Shannon传输信道模型4.7.1. 编码信道噪音随机出现 如果编码信息传输速率R小于C，其中C是离散无记忆信道的信道容量，并且如果编码信道中的n0个无记忆元信道足够大，则M2n0R 码字可以在输入集中找到，以形成码集（码长n0），其中M是异构元信道组合的总数，与图1中的m的含义类似。1.一、某些解码规则可以导致信道输出错误概率为其中e是任意小的正数。在随机噪声和无记忆信道条件下，编码信道噪声是随机的，构造的元信道都是无记忆信道。香农每个扩展通道的噪声是随机的，并且都是无记忆通道。因此，随机噪声无记忆信道条件下编码信道的第一存在定理和香农4.7.2. 编码信道噪声（干扰）随机到达，构造DHR和反馈消除存储器后，离散存储器编码信道的信道容量为C，t>0;C≤t≤2½Cs;C0]，其中Cs是稳定状态下的信道容量，C0是变化。初始状态下的容量。如果在时间t，编码信息传输速率R（t）

下载后可阅读完整内容，剩余1页未读，立即下载