陳 杰，劉建偉，王蒙蒙，何雙羽，毛 劍

（北京航空航天大學(xué)電子信息工程學(xué)院 北京100191）

1 引言

作為目前的基礎(chǔ)網(wǎng)絡(luò)體系，互聯(lián)網(wǎng)是迄今為止運(yùn)行經(jīng)驗(yàn)最為豐富的網(wǎng)絡(luò)，也是全球投資最大的網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)以其網(wǎng)絡(luò)的開放性、技術(shù)的創(chuàng)新性、信息傳播的交互性而廣泛滲透到社會各個(gè)領(lǐng)域。隨著人們對互聯(lián)網(wǎng)的規(guī)模、功能和性能等方面的需求越來越高，以IPv4為核心技術(shù)的互聯(lián)網(wǎng)面臨著日趨嚴(yán)峻的挑戰(zhàn)[1]。由于當(dāng)前網(wǎng)絡(luò)內(nèi)在的能力與結(jié)構(gòu)對業(yè)務(wù)需求的適應(yīng)性差，導(dǎo)致其對融合、泛在、質(zhì)量、安全、擴(kuò)展、可管可控、移動等的支持能力低下，不能從根本上滿足提供泛在的信息服務(wù)、支持多樣化和全方位的網(wǎng)絡(luò)業(yè)務(wù)、保證高質(zhì)量的通信效果、確保信息交互的安全可信、實(shí)施有效的管理控制等迫切需求[2]。

互聯(lián)網(wǎng)從誕生到現(xiàn)在已經(jīng)發(fā)展了40多年，在設(shè)計(jì)之初，由于當(dāng)時(shí)各種背景所限，其體系結(jié)構(gòu)的設(shè)計(jì)基礎(chǔ)是“分組交換”技術(shù)、“端到端透明”和“最大努力交付”等理念[3]。同時(shí)因?yàn)檎Q生之初的互聯(lián)網(wǎng)應(yīng)用于一個(gè)封閉的可信環(huán)境，所以根本沒考慮現(xiàn)在開放的不可信環(huán)境的安全問題。目前互聯(lián)網(wǎng)的安全問題十分突出，主要表現(xiàn)為：中間節(jié)點(diǎn)對傳輸數(shù)據(jù)分組的來源不驗(yàn)證、不審計(jì)，導(dǎo)致地址、身份被假冒，垃圾信息泛濫，大量的入侵和攻擊行為無法跟蹤，難以溯源；用戶個(gè)人信息或者關(guān)鍵數(shù)據(jù)在網(wǎng)絡(luò)上存儲和傳輸都會面臨風(fēng)險(xiǎn)，互聯(lián)網(wǎng)中的數(shù)據(jù)系統(tǒng)、業(yè)務(wù)系統(tǒng)常常遭到攻擊，各層漏洞層出不窮。這些安全脆弱性出現(xiàn)在互聯(lián)網(wǎng)的設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行和管理的各個(gè)環(huán)節(jié)。為了從根本上解決這些問題，下一代互聯(lián)網(wǎng)絡(luò)及其應(yīng)用的研究引起了世界各國的普遍關(guān)注，相繼啟動了一系列的重大研究計(jì)劃與項(xiàng)目。研究人員希望在下一代互聯(lián)網(wǎng)中解決目前互聯(lián)網(wǎng)在擴(kuò)展性、高性能、實(shí)時(shí)性、移動性、安全性、易管理和經(jīng)濟(jì)性等方面存在的重大技術(shù)問題。參加文獻(xiàn)[4]指出下一代互聯(lián)網(wǎng)的研究應(yīng)該充分體現(xiàn)可控、可信、可管的特點(diǎn)。參考文獻(xiàn)[5]認(rèn)為可信的下一代互聯(lián)網(wǎng)應(yīng)具有如下特性：

·實(shí)現(xiàn)系統(tǒng)和信息的保密性、完整性、可用性；

·真實(shí)性，即用戶身份、信息來源、信息內(nèi)容的真實(shí)性；

·可審計(jì)性，即網(wǎng)絡(luò)實(shí)體發(fā)起的任何行為都可追蹤到實(shí)體本身；

·私密性，即用戶的隱私是受到保護(hù)的，某些應(yīng)用是可匿名的；

·抗毀性，在系統(tǒng)故障、惡意攻擊的環(huán)境中，能夠提供有效的服務(wù)；

·可控性，指對違反網(wǎng)絡(luò)安全政策的行為具有控制能力。

國家科學(xué)技術(shù)部于2012年部署國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）項(xiàng)目“可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究”，用于研究基于可重構(gòu)技術(shù)的新型網(wǎng)絡(luò)體系架構(gòu)，其中一項(xiàng)重要的研究內(nèi)容就是針對可重構(gòu)網(wǎng)絡(luò)的安全管控機(jī)理與結(jié)構(gòu)的研究與設(shè)計(jì)。下面將圍繞可重構(gòu)網(wǎng)絡(luò)安全管控機(jī)制展開詳細(xì)介紹。

2 下一代互聯(lián)網(wǎng)設(shè)計(jì)中的安全管控機(jī)制

在過去的10年中，為了解決現(xiàn)有網(wǎng)絡(luò)的不足之處，美國、歐盟、日本以及我國的研究機(jī)構(gòu)在政府的大力推動下，紛紛開展未來網(wǎng)絡(luò)體系架構(gòu)的研究，其中比較有影響力并且在安全管控方面涉及較多的主要有以下幾個(gè)項(xiàng)目。

2.1 NDN

NDN（named data networking）（2010-2013年）[6～8]是由美國國家科學(xué)基金會（NSF）FIA（future internet architecture）項(xiàng)目資助，由加州大學(xué)洛杉磯分校、帕羅奧多研究中心（PARC）、華盛頓大學(xué)、伊利諾大學(xué)香檳分校等12個(gè)組織合作研究。NDN項(xiàng)目致力于使互聯(lián)網(wǎng)可以不考慮內(nèi)容存儲所在的物理位置，直接提供面向內(nèi)容的功能。NDN將通信模式從關(guān)注“在哪里”，如地址、服務(wù)器、端系統(tǒng)，轉(zhuǎn)變?yōu)殛P(guān)注“是什么”，即用戶和應(yīng)用關(guān)注的內(nèi)容。

根據(jù)NDN體系結(jié)構(gòu)遵循的設(shè)計(jì)原則：所謂的“細(xì)腰”結(jié)構(gòu)是原互聯(lián)網(wǎng)爆炸式增長的關(guān)鍵因素，NDN將保持沙漏型的體系結(jié)構(gòu)，但其安全性必須內(nèi)置在體系結(jié)構(gòu)中，這與當(dāng)前互聯(lián)網(wǎng)安全采用事后補(bǔ)救式的機(jī)制不同，后者并不能滿足當(dāng)前敵意持續(xù)增長的環(huán)境。傳統(tǒng)網(wǎng)絡(luò)聚焦網(wǎng)絡(luò)連接的安全，關(guān)注連接到何處和如何連接，而NDN則是基于內(nèi)容的安全。內(nèi)容的發(fā)布者在發(fā)布內(nèi)容時(shí)產(chǎn)生一個(gè)映射M(N,C,sign(N,C))，接收者則可驗(yàn)證內(nèi)容和映射。在NDN體系結(jié)構(gòu)的安全和隱私屬性保護(hù)機(jī)制中，每個(gè)NDN分組的名字用一個(gè)數(shù)字簽名和分組的內(nèi)容綁定。這個(gè)基礎(chǔ)特性提供數(shù)據(jù)完整性和原始認(rèn)證，支持信任和起源通過分組簽名者和它的源（例如個(gè)人和組織）之間的映射。命名和簽名的內(nèi)容也為構(gòu)建安全應(yīng)用打下堅(jiān)實(shí)的基礎(chǔ)，但是這引出了兩個(gè)核心安全需求：實(shí)現(xiàn)具有良好成本效益的細(xì)粒度簽名操作和設(shè)計(jì)功能性的有效的信任管理基礎(chǔ)模型。NDN雖然提供了新的、基礎(chǔ)的且強(qiáng)有力的機(jī)制來驗(yàn)證內(nèi)容和確定起源，但是惡意的和有害的內(nèi)容如垃圾郵件（例如來自惡意軟件），也可能起源于一個(gè)合法的內(nèi)容源且擁有合法的數(shù)字簽名。

2.2 XIA

XIA（expressive internet architecture）[9,10]是由NSF FIA項(xiàng)目資助，由卡內(nèi)基梅隆大學(xué)、威斯康星大學(xué)麥迪遜分校、波士頓大學(xué)、杜克大學(xué)合作研究。XIA項(xiàng)目致力于構(gòu)建一種未來互聯(lián)網(wǎng)體系結(jié)構(gòu)，具有以下特點(diǎn)：可信、支持長期演化的多種應(yīng)用模型、支持長期的技術(shù)革新、支持不同網(wǎng)絡(luò)參與方的顯示接口。XIA體系結(jié)構(gòu)具有內(nèi)在安全性、支持豐富的通信實(shí)體集和保持當(dāng)前網(wǎng)絡(luò)的“細(xì)腰”結(jié)構(gòu)。參考文獻(xiàn)[11]中首次提出支持路由控制、路由失效隔離、端到端通信的信息顯式可信的互聯(lián)網(wǎng)體系結(jié)構(gòu)SCION（scalability,control,and isolation on next-generation network）。SCION的設(shè)計(jì)原則是：基于域的隔離機(jī)制，劃分路由控制平面為不同的獨(dú)立域；交互、可控的路由選擇，源和目的地之間聯(lián)合選擇路徑；端到端通信的顯式信任和小可信計(jì)算基（small trusted computing base）。

SCION定義了自治域（autonomous domain，AD）作為自管理的單元，包括傳輸自治域和端自治域?；诘乩硗?fù)浠蚬芾黻P(guān)系的大型的核心網(wǎng)絡(luò)可以被劃分成若干個(gè)自治域。SCION將自治域劃分為層次結(jié)構(gòu)的可信域（trust domain，TD），提供基于域的隔離屬性。一個(gè)可信域可以是數(shù)個(gè)共享相同的商業(yè)契約、文化、法律法規(guī)和技術(shù)協(xié)議的自治域的集合，具有一致的信任根、公共路由策略和自治域間的互審計(jì)性?？尚庞虻膬?nèi)核也可作為其所包含的所有自治域的信任根，基于該信任根可以在可信域內(nèi)各自治域之間執(zhí)行一致的安全策略。良好的設(shè)計(jì)原則使SCION具有較強(qiáng)的安全性和可生存性等內(nèi)在特質(zhì)，進(jìn)而避免了像當(dāng)前互聯(lián)網(wǎng)這樣通過使用零散式的補(bǔ)充協(xié)議作為安全補(bǔ)丁的方式。同時(shí)SCION假設(shè)作為在可信域中信任錨點(diǎn)的少數(shù)頂層的互聯(lián)網(wǎng)服務(wù)提供商（ISP）數(shù)量并不太多，達(dá)到了小可信計(jì)算基的設(shè)計(jì)目標(biāo)，降低了系統(tǒng)的復(fù)雜度。

2.3 AKARI

AKARI項(xiàng)目是由日本通信技術(shù)國家研究所（national institute of communication technology，NICT）發(fā)起和研究的。AKARI中關(guān)于網(wǎng)絡(luò)安全的定義是：保護(hù)網(wǎng)絡(luò)通信、設(shè)備、信息、服務(wù)和資源，以抵抗各種惡意行為如未授權(quán)的修改、破壞、信息泄露、干擾、偽造和假冒。AKARI項(xiàng)目研究人員提出的下一代網(wǎng)絡(luò)安全通用架構(gòu)[12,13]中，將安全需求在數(shù)據(jù)平面和控制平面中分為3個(gè)級別：設(shè)備安全、基礎(chǔ)設(shè)施安全和服務(wù)安全。一個(gè)網(wǎng)絡(luò)應(yīng)該提供的安全服務(wù)包括身份管理、身份驗(yàn)證、機(jī)密性、完整性、隱私、不可否認(rèn)性、可審計(jì)性、訪問控制、可恢復(fù)性和授權(quán)等，其中AKARI項(xiàng)目研究人員認(rèn)為身份管理、隱私和可恢復(fù)性對下一代網(wǎng)絡(luò)是必不可少的。

2.4 SDN

2007 年，作為斯坦福大學(xué)Clean State在企業(yè)網(wǎng)安全方面的一個(gè)子項(xiàng)，斯坦福大學(xué)的Casado M等人提出了SANE網(wǎng)絡(luò)架構(gòu)和Ethane網(wǎng)絡(luò)架構(gòu)，用于提供企業(yè)網(wǎng)絡(luò)中的安全管理[14]。后來由于這種技術(shù)本身的優(yōu)勢和相應(yīng)的技術(shù)推廣，這種網(wǎng)絡(luò)架構(gòu)不斷發(fā)展，而后被重新命名為軟件定義網(wǎng)絡(luò)（software defined networking，SDN），并被認(rèn)為是替代傳統(tǒng)層次網(wǎng)絡(luò)架構(gòu)、解決當(dāng)前和未來網(wǎng)絡(luò)爆炸性需求的一種革新技術(shù)。SDN基于控制和轉(zhuǎn)發(fā)相分離的思路，實(shí)現(xiàn)了網(wǎng)絡(luò)和業(yè)務(wù)的可編程，促進(jìn)了網(wǎng)絡(luò)的虛擬化和IT化以及硬件的歸一化，為降低建設(shè)成本、運(yùn)維難度和業(yè)務(wù)響應(yīng)時(shí)間奠定了基礎(chǔ)。目前產(chǎn)業(yè)界成立了中立的開放網(wǎng)絡(luò)基金會（Open Networking Foundation，ONF），包括德國電信、Facebook、Google、微軟、Verizon、Yahoo等在內(nèi)的41家公司參與推動SDN有關(guān)的產(chǎn)品、標(biāo)準(zhǔn)化和市場形成。

對SDN的架構(gòu)[15]進(jìn)行分析可知，SDN中的安全問題[16]主要集中在控制平面和應(yīng)用平面及其中間的接口。

（1）控制平面

集中化的控制平面承載著網(wǎng)絡(luò)環(huán)境中的所有控制流，是網(wǎng)絡(luò)服務(wù)的中樞機(jī)構(gòu)，其安全性直接關(guān)系著網(wǎng)絡(luò)服務(wù)的可用性、可靠性和數(shù)據(jù)安全性，是SDN安全首先要解決的問題?？刂破矫娴陌踩珕栴}包括網(wǎng)絡(luò)監(jiān)聽、地址欺騙、DDoS攻擊和病毒、蠕蟲及木馬攻擊。

（2）應(yīng)用平面

應(yīng)用平面將通過應(yīng)用提供各種復(fù)雜的網(wǎng)絡(luò)服務(wù)，安全問題也將隨之而來。應(yīng)用平面的主要安全問題包括應(yīng)用的授權(quán)、認(rèn)證、隔離以及策略沖突的消解[17]。

綜上，雖然上述幾個(gè)影響力較大的下一代網(wǎng)絡(luò)設(shè)計(jì)項(xiàng)目都取得了初步的成果，其或多或少也針對網(wǎng)絡(luò)安全管控方面有所考量，但由于未來網(wǎng)絡(luò)的安全機(jī)制和網(wǎng)絡(luò)需求與架構(gòu)密切相關(guān)，所以目前還并沒有產(chǎn)生具體的安全管控機(jī)制或安全參考模型。

3 可重構(gòu)網(wǎng)絡(luò)安全管控

3.1 可重構(gòu)網(wǎng)絡(luò)體系結(jié)構(gòu)

當(dāng)前信息網(wǎng)絡(luò)依賴的基礎(chǔ)互聯(lián)傳輸能力是制約整個(gè)信息網(wǎng)絡(luò)總體功能的結(jié)構(gòu)性瓶頸，當(dāng)前網(wǎng)絡(luò)內(nèi)在的能力與結(jié)構(gòu)對業(yè)務(wù)需求的適應(yīng)性差，導(dǎo)致其對融合、泛在、質(zhì)量、安全、擴(kuò)展、可管可控、移動等的支持能力低下，使得業(yè)務(wù)需求與網(wǎng)絡(luò)基礎(chǔ)能力之間的差距愈發(fā)顯著。以應(yīng)對上述挑戰(zhàn)為切入點(diǎn)，信息工程大學(xué)的蘭巨龍等人[18]提出了“可重構(gòu)網(wǎng)絡(luò)”思想并建立可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系，在此基礎(chǔ)上提出網(wǎng)絡(luò)元能力理論、多態(tài)尋址路由機(jī)制、網(wǎng)絡(luò)重構(gòu)機(jī)理和安全可管可控機(jī)理，以達(dá)到支持目前業(yè)務(wù)和未來新業(yè)務(wù)的不同服務(wù)質(zhì)量需求，功能靈活擴(kuò)展，滿足泛在互聯(lián)、融合異構(gòu)、可信可管可擴(kuò)需求。其網(wǎng)絡(luò)體系功能結(jié)構(gòu)如圖1所示。

可重構(gòu)網(wǎng)絡(luò)的核心特征是其內(nèi)在結(jié)構(gòu)的時(shí)變性，即由時(shí)變的結(jié)構(gòu)驅(qū)動時(shí)變的服務(wù)能力，最終實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)對應(yīng)用要求和特征的動態(tài)適配，從“一致滿足”應(yīng)用要求的時(shí)變信道出發(fā)，具有包含“漸變跟隨”、“著眼整體”、“隱性隔離”和“自主驅(qū)動”特征的柔性可重構(gòu)重要內(nèi)涵[19]。

可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系設(shè)計(jì)采用自頂向下方法，將泛在互聯(lián)、服務(wù)質(zhì)量保證、融合異構(gòu)、安全可信、可管可擴(kuò)等功能內(nèi)嵌到網(wǎng)絡(luò)體系結(jié)構(gòu)中，以達(dá)到為不同業(yè)務(wù)提供滿足其根本需求的、可定制的基礎(chǔ)網(wǎng)絡(luò)服務(wù)的目的，主要技術(shù)手段是通過增強(qiáng)OSI 7層網(wǎng)絡(luò)參考模型中網(wǎng)絡(luò)層和傳輸層的功能以解決目前IP網(wǎng)絡(luò)層的功能瓶頸。

圖1 可重構(gòu)網(wǎng)絡(luò)體系功能參考模型[18]

3.2 可重構(gòu)網(wǎng)絡(luò)安全挑戰(zhàn)

可重構(gòu)網(wǎng)絡(luò)繼承了目前互聯(lián)網(wǎng)所面臨的一些安全威脅，包括地址欺騙、身份偽造、拒絕服務(wù)攻擊、非法入侵以及惡意代碼等各種攻擊。但是由于可重構(gòu)網(wǎng)絡(luò)與目前互聯(lián)網(wǎng)有著網(wǎng)絡(luò)體系結(jié)構(gòu)上的不同，解決可重構(gòu)網(wǎng)絡(luò)安全可管可控問題面臨著不同的挑戰(zhàn)。

（1）網(wǎng)絡(luò)集中管控的結(jié)構(gòu)增加了中心節(jié)點(diǎn)被攻擊的風(fēng)險(xiǎn)

可重構(gòu)網(wǎng)絡(luò)是以增加網(wǎng)絡(luò)體系結(jié)構(gòu)的復(fù)雜度來提高網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)傳輸能力，其對網(wǎng)絡(luò)的管控方式更加靈活、管控能力更強(qiáng)，但這種復(fù)雜度的增加必然需要集中的決策和優(yōu)化，這在增加網(wǎng)絡(luò)的管控開銷的同時(shí)也會形成大大小小的功能節(jié)點(diǎn)。通過這些中心節(jié)點(diǎn)能實(shí)現(xiàn)網(wǎng)絡(luò)功能的集中管控，但也面臨著更多的風(fēng)險(xiǎn)。這里更多的風(fēng)險(xiǎn)，一方面是指攻擊者會更愿意攻擊中心節(jié)點(diǎn)；另一方面是指一旦中心節(jié)點(diǎn)被攻破，造成的破壞更大。

（2）動態(tài)變化的網(wǎng)絡(luò)結(jié)構(gòu)破壞了傳統(tǒng)安全域的邊界

可重構(gòu)網(wǎng)絡(luò)通過網(wǎng)絡(luò)結(jié)構(gòu)的自組織、功能的自調(diào)節(jié)和業(yè)務(wù)的自適配更好地適配承載業(yè)務(wù)的需求，其網(wǎng)絡(luò)結(jié)構(gòu)具有內(nèi)在時(shí)變性，這意味著可重構(gòu)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、節(jié)點(diǎn)狀態(tài)、安全策略都是動態(tài)變化的，在這種情況下，傳統(tǒng)的構(gòu)建于具有明確邊界的安全域之上的安全機(jī)制將不再適用。所以在可重構(gòu)網(wǎng)絡(luò)體系中，需要設(shè)計(jì)新的符合可重構(gòu)網(wǎng)絡(luò)特征的安全機(jī)制。

（3）安全即服務(wù)的模式要求安全管控機(jī)制具備更高的頑健性

不同于傳統(tǒng)互聯(lián)網(wǎng)零散、修補(bǔ)式的解決安全管控問題的思路，可重構(gòu)網(wǎng)絡(luò)在設(shè)計(jì)之初就考慮要將安全管控機(jī)制內(nèi)嵌到網(wǎng)絡(luò)體系之中，這使得安全機(jī)制可以作為網(wǎng)絡(luò)的基本服務(wù)提供給網(wǎng)絡(luò)的使用者，即安全即服務(wù)模式。安全即服務(wù)的優(yōu)點(diǎn)是極大地提高了可重構(gòu)網(wǎng)絡(luò)的安全性，可以為網(wǎng)絡(luò)業(yè)務(wù)提供充分適配且全面的安全服務(wù)。傳統(tǒng)互聯(lián)網(wǎng)中常常通過部署第三方安全設(shè)備來實(shí)現(xiàn)一些安全機(jī)制，即使網(wǎng)絡(luò)可用性被破壞，這些安全機(jī)制仍可能有效；而在可重構(gòu)網(wǎng)絡(luò)中一旦網(wǎng)絡(luò)服務(wù)的可用性被破壞，比如受到拒絕服務(wù)攻擊則會造成安全管控機(jī)制的失效。所以需要可重構(gòu)網(wǎng)絡(luò)安全管控機(jī)制具備更高的頑健性，難以輕易被破壞。

3.3 可重構(gòu)網(wǎng)絡(luò)安全目標(biāo)

可重構(gòu)網(wǎng)絡(luò)安全管控在于解決安全功能簡單疊加、不能滿足系統(tǒng)復(fù)雜安全要求的問題，創(chuàng)立基于重構(gòu)的安全基片邏輯，構(gòu)建面向業(yè)務(wù)應(yīng)用、內(nèi)嵌的基于安全基片的安全管控機(jī)制，一方面使可重構(gòu)網(wǎng)絡(luò)為用戶提供具有內(nèi)置安全的網(wǎng)絡(luò)服務(wù)；另一方面使可重構(gòu)網(wǎng)絡(luò)從體系架構(gòu)設(shè)計(jì)層面支撐可管可控安全需求。

可重構(gòu)網(wǎng)絡(luò)安全管控的基本思路基于以下幾點(diǎn)。

（1）提供充分且適配的安全服務(wù)的能力

目前的網(wǎng)絡(luò)業(yè)務(wù)由于沒有細(xì)分安全性需求，從而導(dǎo)致或者完全忽略可能存在的安全問題，或者盲目追求高安全性而耗費(fèi)大量網(wǎng)絡(luò)資源，最終都違背了為用戶提供安全、有效服務(wù)的網(wǎng)絡(luò)設(shè)計(jì)初衷。因此，構(gòu)建針對不同應(yīng)用場景和用戶需求、具有多級安全強(qiáng)度的安全服務(wù)，以實(shí)現(xiàn)網(wǎng)絡(luò)安全需求的充分滿足與合理適配，是設(shè)計(jì)可重構(gòu)網(wǎng)絡(luò)安全管控機(jī)制的關(guān)鍵。

（2）基于全局一致性的安全管控能力

可重構(gòu)網(wǎng)絡(luò)需要進(jìn)行全局性的規(guī)劃和優(yōu)化，有利于實(shí)現(xiàn)對網(wǎng)絡(luò)的一致控制，提高網(wǎng)絡(luò)資源利用效率以及網(wǎng)絡(luò)的安全性?？芍貥?gòu)網(wǎng)絡(luò)還需要提供更方便、靈活的管理手段，對網(wǎng)絡(luò)運(yùn)行的各個(gè)方面實(shí)施全面、高效的管理，并無縫、高效地解決可控性問題。

即除信息安全外，還可以綜合考慮網(wǎng)絡(luò)應(yīng)用性能、負(fù)載均衡等多方面的需求。SDN提供了將信息安全與網(wǎng)絡(luò)可用性、容災(zāi)備份等統(tǒng)一考慮的技術(shù)手段。

（3）具備安全態(tài)勢分析和動態(tài)調(diào)整的能力

從理論上講，根本上消除網(wǎng)絡(luò)的脆弱性、企圖設(shè)計(jì)并實(shí)現(xiàn)一個(gè)絕對安全的網(wǎng)絡(luò)體系結(jié)構(gòu)是不切實(shí)際的。既需要從可重構(gòu)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)上考慮足夠的能應(yīng)對已知安全威脅的安全機(jī)制，如必須提供可信任的網(wǎng)絡(luò)服務(wù)，確保網(wǎng)絡(luò)地址及其位置的真實(shí)可信、網(wǎng)絡(luò)對象可識別和已知的網(wǎng)絡(luò)攻擊可防范等，也需要具備必要的容錯機(jī)制，實(shí)現(xiàn)入侵容忍、網(wǎng)絡(luò)恢復(fù)、攻擊源追蹤定位等功能。

4 基于安全基片的可重構(gòu)網(wǎng)絡(luò)安全管控機(jī)制

4.1 安全基片

安全基片的概念及其構(gòu)建機(jī)理是安全管控體系設(shè)計(jì)的核心環(huán)節(jié)，基于安全基片可以構(gòu)造針對不同應(yīng)用場景和用戶需求、具有多級安全強(qiáng)度的安全服務(wù)，以實(shí)現(xiàn)網(wǎng)絡(luò)安全需求的充分滿足與合理適配。下面介紹可重構(gòu)網(wǎng)絡(luò)安全基片及相關(guān)概念的定義。

（1）安全基片（security substrate，SS）是針對共性安全與管控特征要求而構(gòu)造的基本安全要素和功能的總和，是實(shí)現(xiàn)網(wǎng)絡(luò)安全管控機(jī)制動態(tài)可重構(gòu)的功能基礎(chǔ)，基于安全基片構(gòu)造多級安全等級安全服務(wù)，進(jìn)而更加靈活地滿足具體的安全業(yè)務(wù)的不同安全需求。

（2）安全元能力（security atomic capability，SAC）是指能提供基本安全要素和功能的實(shí)體單元，通過安全元能力的有序重組可以為構(gòu)建安全服務(wù)提供功能單位。通過對現(xiàn)有網(wǎng)絡(luò)安全機(jī)制中所涉及的具體安全技術(shù)進(jìn)行分析歸納，同時(shí)結(jié)合可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)的特性，將形成安全元能力的安全要素的粒度確定在能獨(dú)立完成一定安全功能的安全協(xié)議一級，如認(rèn)證協(xié)議、密鑰分配協(xié)議、密鑰協(xié)商協(xié)議和具體的加密算法等。

（3）安全元服務(wù)（security atomic service，SAS）是指由多種安全元能力聚類為一種“安全機(jī)制”，并由這些安全機(jī)制來保障提供的“安全服務(wù)”。

（4）安全服務(wù)鏈（security service chain，SSC），節(jié)點(diǎn)上的安全元能力動態(tài)有序地組合成具有一定順序的安全元能力序列，當(dāng)這些有序組合在一起的安全元能力能夠供具體的安全時(shí)，即稱為安全服務(wù)鏈。安全服務(wù)鏈?zhǔn)枪?jié)點(diǎn)提供安全服務(wù)的邏輯和功能結(jié)構(gòu)。安全服務(wù)鏈?zhǔn)且活愄厥獾姆?wù)鏈，其功能和結(jié)構(gòu)與其他業(yè)務(wù)服務(wù)鏈相似，由公共部分和特定部分組成，公共部分是使用該服務(wù)鏈的安全業(yè)務(wù)都要使用相同的安全元能力；特定部分則由于業(yè)務(wù)安全需求的不同，服務(wù)鏈的構(gòu)建過程中或考慮元能力的參數(shù)不同，或考慮組合順序不同等原因，出現(xiàn)多個(gè)不同分支。

（5）安全服務(wù)路徑（security service pathway，SSP），根據(jù)上層業(yè)務(wù)的不同，安全需求網(wǎng)絡(luò)可定制安全服務(wù)路徑，安全服務(wù)路徑是一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其依據(jù)節(jié)點(diǎn)上安全基片可提供的安全元能力是否能滿足相應(yīng)的業(yè)務(wù)安全需求，結(jié)合路由和安全服務(wù)鏈構(gòu)建一條最優(yōu)路徑，滿足上層業(yè)務(wù)的安全需求。

4.2 基于安全基片動態(tài)構(gòu)建安全服務(wù)

安全服務(wù)構(gòu)建機(jī)制需要能滿足可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)的差異化業(yè)務(wù)、多級安全需求、動態(tài)結(jié)構(gòu)重組和安全功能動態(tài)重構(gòu)的性能要求，以實(shí)現(xiàn)“服務(wù)承載網(wǎng)業(yè)務(wù)承載需求充分滿足、網(wǎng)絡(luò)安全需求合理適配”的構(gòu)建目標(biāo)。作為基礎(chǔ)通信網(wǎng)絡(luò)，不同承載業(yè)務(wù)的安全需求以及網(wǎng)絡(luò)的安全態(tài)勢和網(wǎng)絡(luò)資源使用情況皆在動態(tài)變化，因此可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)中的安全服務(wù)也必須是動態(tài)可重構(gòu)的，借鑒現(xiàn)有信息系統(tǒng)安全模型由安全策略、防護(hù)、檢測、響應(yīng)和恢復(fù)共同構(gòu)成完整安全體系的思想，并基于安全基片作為功能基礎(chǔ)，將安全服務(wù)的構(gòu)建過程設(shè)計(jì)為動態(tài)調(diào)整的迭代過程，并在此過程中融合了業(yè)務(wù)安全需求分析、網(wǎng)絡(luò)安全態(tài)勢感知、安全方案適配、可信路徑構(gòu)建、安全服務(wù)鏈構(gòu)建、安全服務(wù)動態(tài)調(diào)整等機(jī)制，以實(shí)現(xiàn)可重構(gòu)網(wǎng)絡(luò)安全服務(wù)的動態(tài)構(gòu)建需求。

在融合了業(yè)務(wù)安全需求分析、網(wǎng)絡(luò)安全態(tài)勢感知、安全方案適配、可信路徑構(gòu)建、安全服務(wù)鏈構(gòu)建、安全服務(wù)動態(tài)調(diào)整等機(jī)制的基礎(chǔ)上，設(shè)計(jì)安全服務(wù)構(gòu)建流程，如圖2所示，將可重構(gòu)網(wǎng)絡(luò)安全服務(wù)構(gòu)建過程劃分為5個(gè)步驟。

圖2 安全服務(wù)構(gòu)建流程

（1）確定安全需求

為了實(shí)現(xiàn)針對上層安全服務(wù)提供充分且適度的安全服務(wù)，首先需要準(zhǔn)確描述安全服務(wù)的安全需求，業(yè)務(wù)安全需求由網(wǎng)絡(luò)智能感知和業(yè)務(wù)需求驅(qū)動共同確定。對上層業(yè)務(wù)安全需求和網(wǎng)絡(luò)安全態(tài)勢的智能感知是可重構(gòu)網(wǎng)絡(luò)的一項(xiàng)基本特性，是實(shí)現(xiàn)安全服務(wù)可重構(gòu)、資源自配置、能力自調(diào)整的前提，包括業(yè)務(wù)類型分析和網(wǎng)絡(luò)安全態(tài)勢分析等，業(yè)務(wù)類型可通過協(xié)議解析、數(shù)據(jù)流量分析獲得；安全態(tài)勢分析需運(yùn)用網(wǎng)絡(luò)流量分析、入侵檢測、安全審計(jì)等技術(shù)。在網(wǎng)絡(luò)智能感知的基礎(chǔ)上，業(yè)務(wù)需求驅(qū)動同樣重要，從用戶角度判斷用戶信息資產(chǎn)的“價(jià)值”，由用戶主動定制其對數(shù)據(jù)機(jī)密性、完整性或隱私保護(hù)等安全機(jī)制的需求會較為準(zhǔn)確。

（2）制定安全方案

基于具體業(yè)務(wù)安全需求和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢，根據(jù)網(wǎng)絡(luò)安全策略庫，決定提供何種安全服務(wù)以及該安全服務(wù)的安全等級級別，進(jìn)而確定所需要的具體安全機(jī)制和安全技術(shù)。選擇何種安全服務(wù)以及各安全服務(wù)的強(qiáng)度級別需要綜合考慮業(yè)務(wù)的安全需求和當(dāng)前網(wǎng)絡(luò)安全態(tài)勢，即所確定的安全方案需要在應(yīng)對當(dāng)前網(wǎng)絡(luò)安全威脅的基礎(chǔ)上滿足業(yè)務(wù)安全需求。針對業(yè)務(wù)相同的安全需求，如果當(dāng)前網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)較大，則需選擇更高安全等級級別的安全服務(wù)；反之，則可以適度選擇較低安全等級級別的安全服務(wù)，節(jié)約網(wǎng)絡(luò)資源。

（3）確定安全服務(wù)路徑

根據(jù)安全方案的具體要求，結(jié)合路由策略、網(wǎng)絡(luò)節(jié)點(diǎn)安全基片狀態(tài)和可用資源等信息綜合決策，確定提供安全服務(wù)的安全服務(wù)路徑，確定安全服務(wù)路徑經(jīng)過的所有節(jié)點(diǎn)及需要其提供的安全服務(wù)。安全方案中規(guī)定了構(gòu)建安全服務(wù)所必需的安全技術(shù)及其具體配置，接下來需要確定由哪些節(jié)點(diǎn)來提供這些安全服務(wù)，這個(gè)過程可以理解為是在對網(wǎng)絡(luò)節(jié)點(diǎn)可提供的安全元能力和可用資源（計(jì)算資源、存儲資源、帶寬資源）進(jìn)行認(rèn)知、分析的基礎(chǔ)上，綜合考慮數(shù)據(jù)分組轉(zhuǎn)發(fā)可達(dá)性以及網(wǎng)絡(luò)節(jié)點(diǎn)行為的信任值等約束條件的路由建立過程。

（4）構(gòu)建安全服務(wù)鏈

安全服務(wù)路徑經(jīng)過的所有節(jié)點(diǎn)根據(jù)安全方案重構(gòu)安全基片，構(gòu)建安全元服務(wù)進(jìn)而構(gòu)建安全服務(wù)鏈，建立安全服務(wù)路徑。確定某網(wǎng)絡(luò)節(jié)點(diǎn)是安全服務(wù)路徑中的節(jié)點(diǎn)，則開始根據(jù)該節(jié)點(diǎn)的實(shí)時(shí)資源使用情況進(jìn)行安全元服務(wù)的重構(gòu)。

重構(gòu)分為以下幾種情況：

·具備所需安全元能力，則直接構(gòu)建安全服務(wù)鏈；

·目前不具備所需安全元能力，但通過重構(gòu)可以具備該元能力且可用資源滿足實(shí)現(xiàn)重構(gòu)的條件，執(zhí)行安全元能力的重構(gòu)過程，進(jìn)而構(gòu)建安全服務(wù)鏈；

·目前不具備所需安全元能力，雖然通過重構(gòu)可以具備該元能力但目前節(jié)點(diǎn)資源不滿足實(shí)現(xiàn)的條件，則通過網(wǎng)絡(luò)級的重構(gòu)，釋放該節(jié)點(diǎn)部分資源以滿足重構(gòu)條件，執(zhí)行安全元能力的重構(gòu)過程，進(jìn)而構(gòu)建安全服務(wù)鏈。

（5）安全服務(wù)動態(tài)調(diào)整

考慮到可重構(gòu)網(wǎng)絡(luò)的動態(tài)特征，在安全業(yè)務(wù)執(zhí)行過程中，可能出現(xiàn)網(wǎng)絡(luò)拓?fù)涞膭討B(tài)變化、安全態(tài)勢的動態(tài)變化、網(wǎng)絡(luò)資源的動態(tài)變化，需要對這些變化進(jìn)行感知，并反映到網(wǎng)絡(luò)控制層面，必要時(shí)須對安全方案進(jìn)行調(diào)整，重新進(jìn)行第（2）～（4）步。需要實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知、網(wǎng)絡(luò)資源變化感知以及節(jié)點(diǎn)資源的釋放，網(wǎng)絡(luò)資源變化感知需要確定安全業(yè)務(wù)承載過程中網(wǎng)絡(luò)資源的變化情況，比如是否有網(wǎng)絡(luò)節(jié)點(diǎn)宕機(jī)，是否出現(xiàn)網(wǎng)絡(luò)流量擁塞，是否有新的資源加入網(wǎng)絡(luò)而且利用新的資源可以更好地提供安全服務(wù)等。節(jié)點(diǎn)資源釋放是指在某一項(xiàng)安全服務(wù)執(zhí)行完成后的一段時(shí)間內(nèi)，節(jié)點(diǎn)上的某些元能力不再被其他安全服務(wù)所需要，則釋放該元能力所占用的資源，優(yōu)化網(wǎng)絡(luò)資源的利用情況。

5 結(jié)束語

本文對下一代互聯(lián)網(wǎng)尤其是可重構(gòu)網(wǎng)絡(luò)的安全管控機(jī)制的目標(biāo)和構(gòu)建機(jī)制進(jìn)行了研究探討。具體通過研究分析下一代互聯(lián)網(wǎng)體系架構(gòu)設(shè)計(jì)中安全管控的重要性，對已有的幾個(gè)下一代互聯(lián)網(wǎng)體系設(shè)計(jì)項(xiàng)目中的安全管控機(jī)制進(jìn)行分析總結(jié)。重點(diǎn)研究可重構(gòu)網(wǎng)絡(luò)體系架構(gòu)的特點(diǎn)及其面臨的安全挑戰(zhàn)，對可重構(gòu)網(wǎng)絡(luò)體系的安全目標(biāo)進(jìn)行了界定，并對安全基片、多級安全強(qiáng)度的安全服務(wù)、安全服務(wù)路徑等概念進(jìn)行了定義。最后提出了基于安全基片的可重構(gòu)網(wǎng)絡(luò)安全管控機(jī)制，并詳細(xì)說明了多級安全強(qiáng)度安全服務(wù)構(gòu)造和基于安全基片構(gòu)建多級安全強(qiáng)度安全服務(wù)的流程。本文提出的安全服務(wù)構(gòu)建流程能夠滿足可重構(gòu)網(wǎng)絡(luò)動態(tài)、充分、適配地支持網(wǎng)絡(luò)業(yè)務(wù)的差異性的安全需求，為應(yīng)對構(gòu)建可重構(gòu)網(wǎng)絡(luò)安全管控機(jī)制的安全挑戰(zhàn)提供了一種可行的方案。

1 吳建平,吳茜,徐恪.下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)基礎(chǔ)研究及探索.計(jì)算機(jī)學(xué)報(bào),2008,31(9):1536～1548

2 蘭巨龍,邢池強(qiáng),胡宇翔等.可重構(gòu)技術(shù)與未來網(wǎng)絡(luò)體系架構(gòu).電信科學(xué),2013,29(8):16～23

3 Day J.Patterns in Network Architecture:A Return to Fundamentals,Edition I.Prentice Hall,2007

4 林闖,任豐原.可控可信可擴(kuò)展的新一代互聯(lián)網(wǎng).軟件學(xué)報(bào),2004(12):1815～1821

5 Jain R.Internet 3.0:ten problems with current internet architecture and solutions for the next generation.Proceedings of Military Communications Conference(MILCOM 2006),Washington,DC,USA,2006

6 Named data networking.http://www.named-data.net/,2012

7 The NDN Project Team.Named Data Networking(NDN)Project.NDN Technical Report NDN-0001,October 2010

8 DiBenedetto S,Gasti P,Tsudik G,et al.ANDaNA:anonymous named data networking application.Proceedings of 19th Annual Network & Distributed System Security Symposium,San Diego,CA,USA,February 2012

9 Han D S,Anand A,Dogar F,et al.XIA:efficient support for evolvable internetworking.Proceedings of NSDI’12,San Jose,CA,USA,April 2012

10 Anand A,Dogar F,Han D S,et al.XIA:an architecture for an evolvable and trustworthy internet.Proceedings of the Tenth ACM Workshop on Hot Topics in Networks(HotNets-X),Cambridge,MA,USA,November 2011

11 Zhang X,Hsiao H C,Hasker G,et al.SCION:scalability,control,and isolation on next-generation networks.Proceedings of IEEE Symposium on Security and Privacy,Oakland,USA,May 2011

12 Hirabaru M,Inoue M,Harai H,et al.AKARI architecture conceptual design for new generation network.NICT AKARI Project Report.http://www.nict.go.jp/en/photonic_nw/archi/akari/4otfsk00000dgfsp-att/4otfsk00000dggcj.pdf,2007

13 Teraoka F.Redesigning layered network architecture for new generation networks.Proceedings of FutureNetⅡ,GLOBECOM’09,Honolulu,Hawaii,December 2009

14 Casado M.Architectural support for security management inenterprise networks.Doctoral Dissertation,Stanford University,2007

15 ONF.Software-Defined Networking:the New Norm for Networks.ONF White Paper,2012

16 王淑玲,李濟(jì)漢,張?jiān)朴碌?SDN架構(gòu)及安全性研究.電信科學(xué),2013,29(3):117～122

17 Hartman S,Wasserman M,Zhang D.Security Requirements in the Software Defined Networking Model.IETF Draft(drafthartman-sdnsec-requirements),2013

18 蘭巨龍,程東年,胡宇翔.可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究.通信學(xué)報(bào),2014,35(1):128～139

19 程東年,汪斌強(qiáng),王保進(jìn)等.網(wǎng)絡(luò)結(jié)構(gòu)自調(diào)整的柔性內(nèi)涵初探.通信學(xué)報(bào),2012(8):214～222