毛玉欣+郝振武+江家仁

中圖分類號：TN929.5 文獻標志碼：A 文章編號：1009-6868 （2017） 03-0058-004

摘要：提出了一種基于身份和位置分離思想的網(wǎng)絡(luò)架構(gòu)，確保用戶身份標識的真實可信，并在結(jié)構(gòu)上將用戶和核心網(wǎng)絡(luò)隔離，屏蔽用戶側(cè)攻擊，提升了網(wǎng)絡(luò)的安全性能。認為基于身份標識的網(wǎng)絡(luò)安全管理應用可以提高網(wǎng)絡(luò)的攻擊源識別能力和溯源效率，實現(xiàn)主動防御；同時，這種虛擬身份和可信身份的綁定，既能豐富互聯(lián)網(wǎng)應用，又有助于實現(xiàn)網(wǎng)絡(luò)信息的分級保護，凈化網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：可信身份網(wǎng)絡(luò)；身份標識；位置標識；網(wǎng)絡(luò)安全

Abstract： A network architecture based on separation of location and identity is proposed in this paper. Under the architecture， user identity is trusted， isolation between user side and core network side is achieved. Thus， network attack from user side is avoided， the security performance is promoted. Additionally， security management applications based on the architecture can both improve the capability of attack source identification and boost the efficiency of source tracing. Meanwhile， it can not only enrich internet applications， but also realize the hierarchical protection of network information to clean network environment.

Key words： trusted identity network； access identifier； router identifier； network security

近年來，網(wǎng)絡(luò)技術(shù)的不斷升級以及智能終端的迅猛發(fā)展帶動了移動互聯(lián)網(wǎng)的迅速普及，越來越多的人通過各種移動終端接入到互聯(lián)網(wǎng)，獲取網(wǎng)絡(luò)資源。中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的一項調(diào)查顯示[1]，截止2014年，中國網(wǎng)民總體規(guī)模達到6.49億，其中使用移動終端的網(wǎng)民就達到5.57億，占比85.8%。移動互聯(lián)網(wǎng)已成為社會活動不可缺少的部分。

1 互聯(lián)網(wǎng)安全現(xiàn)狀和分析

快速發(fā)展的移動互聯(lián)網(wǎng)給人們的生產(chǎn)和生活帶來了便利，也產(chǎn)生了很多安全威脅。2014年有46.3%的用戶遭遇過網(wǎng)絡(luò)安全問題，其中病毒木馬入侵、賬號密碼被盜情況最為嚴重，分別達到26.7%和25.9%，網(wǎng)絡(luò)欺詐比例為12.6%[1]。一方面，人們的生活正變得越來越離不開網(wǎng)絡(luò)；另一方面，使用人群中認為網(wǎng)絡(luò)非常不安全或者不太安全的也已接近半數(shù)。在網(wǎng)絡(luò)發(fā)展和使用不可逆轉(zhuǎn)的形勢下，改善網(wǎng)絡(luò)安全，增強網(wǎng)絡(luò)可信性是一項具有重大意義且亟待解決的課題。

通過對眾多網(wǎng)絡(luò)安全事件的剖析，發(fā)現(xiàn)虛擬性和匿名性[2]是引發(fā)網(wǎng)絡(luò)安全威脅的重要因素。如今的互聯(lián)網(wǎng)已經(jīng)構(gòu)建了一個龐大的虛擬空間，現(xiàn)實社會中的很多活動都可在其中進行，例如，網(wǎng)絡(luò)購物、網(wǎng)上支付、網(wǎng)絡(luò)理財、網(wǎng)絡(luò)聊天等。這一系列活動都以匿名方式進行，通信雙方和通信設(shè)備都無法獲知對方的真實身份。匿名給網(wǎng)絡(luò)攻擊提供了廣泛空間，攻擊者可通過模擬他人虛擬身份進行信息竊取、詐騙，虛假言論傳播等活動，給社會經(jīng)濟造成巨大損失，而網(wǎng)絡(luò)監(jiān)管機構(gòu)對此尚缺乏及時有效的管理和控制手段。

網(wǎng)絡(luò)信息安全管理存在缺陷主要表現(xiàn)在：

（1）用戶在網(wǎng)絡(luò)活動中以多個身份存在[3]。在網(wǎng)絡(luò)層通常以IP標識身份，在應用層通常以不同的用戶名標識身份，各身份標識之間缺乏有效的統(tǒng)一和關(guān)聯(lián)。這種用戶身份標識的不唯一、不統(tǒng)一給管理帶來了巨大困難。依據(jù)網(wǎng)絡(luò)身份溯源用戶真實身份的鏈條極長，機制極其復雜。一旦有安全事件發(fā)生，管理者很難及時、準確地追溯到攻擊源。

（2）用戶身份標識可隨時改變或被篡改、偽裝，對身份標識缺乏有效約束。IP地址作為用戶在網(wǎng)絡(luò)層的身份標識可隨時間、地點、接入方式的變化而改變；用戶的賬號信息也能輕易被攻擊者注冊或仿冒，這就勢必造成管理主體模糊，加大了網(wǎng)絡(luò)監(jiān)管難度。對身份標識缺乏約束，降低了標識信息的真實性，從而可能導致對某些安全事件根本無法實施溯源[4]。

（3）網(wǎng)絡(luò)安全防御措施跟不上安全事件的發(fā)展[5]，對于網(wǎng)絡(luò)安全事件的防御始終處于被動狀態(tài)。一旦有新的攻擊方式出現(xiàn)，通常需要投入大量的人力、物力分析查找原因，升級軟硬件，防御成本過高。這種攻防成本不對稱的狀況助長了各種安全事件頻出，嚴重影響到網(wǎng)絡(luò)的可信性。

應對上述安全缺陷的一種方式是推行網(wǎng)絡(luò)實名制管理[6]。實踐表明現(xiàn)有的一些實名制管理方式仍然面臨一些難題。例如：通過用戶上傳身份登記信息的方式實現(xiàn)身份實名，這種方式獲取的身份信息真?zhèn)坞y辨，無法判斷用戶自身上傳的信息是否真實可信[7]。又或是在網(wǎng)絡(luò)內(nèi)容提供商（ICP）側(cè)推行應用層實名制，這種實現(xiàn)方式通過ICP保存用戶真實身份信息，但ICP本身也難以保證安全可靠，容易發(fā)生信息泄漏[8]。另外由于業(yè)務(wù)種類和ICP數(shù)量眾多，且新業(yè)務(wù)和新ICP層出不窮，這給實名制的管理維護也帶來了很大困難。

2 基于標識的可信身份網(wǎng)絡(luò)

設(shè)計

2.1 IP地址語義過載

互聯(lián)網(wǎng)使用傳輸控制/網(wǎng)絡(luò)通信協(xié)議（TCP/IP），IP在其中承載了雙重語義[9-10]：一方面IP地址充當了主機身份標識，用于在通信過程表示會話的端點；另一方面IP地址又作為位置標識，在路由系統(tǒng)中被用于數(shù)據(jù)包的尋址轉(zhuǎn)發(fā)。這種雙重語義在互聯(lián)網(wǎng)使用之初并沒有產(chǎn)生安全問題，因為最初的互聯(lián)網(wǎng)是面向科學研究，而非商業(yè)應用設(shè)計的，設(shè)計者認為使用互聯(lián)網(wǎng)的終端是靜止的、安全的、可信任的[11]。但隨著互聯(lián)網(wǎng)被推向商業(yè)社會，移動人群成為網(wǎng)絡(luò)的主流使用者，互聯(lián)網(wǎng)使用場景發(fā)生了變化，而TCP/IP卻沒有發(fā)生本質(zhì)改變。移動互聯(lián)網(wǎng)時代，IP地址作為位置標識，在用戶位置改變時也要隨之改變，否則無法進行數(shù)據(jù)包的正確路由；作為用戶身份屬性，又要求無論用戶位置怎么改變其IP地址保持不變[12]。IP雙重語義引發(fā)的矛盾隨之凸顯，用IP標識用戶身份屬性也變得不再可信。

2.2 可信身份網(wǎng)絡(luò)設(shè)計

針對IP集成身份和位置雙重屬性的缺陷，設(shè)計了一種基于身份和位置分離思想[13-14]的可信身份網(wǎng)絡(luò)?？尚派矸菥W(wǎng)絡(luò)將用戶的身份標識和位置標識分別用接入標識（AID）和路由標識（RID）表示，網(wǎng)絡(luò)從功能上抽象為接入服務(wù)節(jié)點（ASN）和身份位置寄存器（ILR）兩部分。AID和RID的作用如下：

（1）AID在用戶開戶過程中由網(wǎng)絡(luò)管理者根據(jù)用戶真實身份分配、管理，作為用戶接入網(wǎng)絡(luò)的身份標識。AID與用戶身份信息綁定，作為開戶信息保持不變。用戶接入網(wǎng)絡(luò)時，通過基礎(chǔ)網(wǎng)絡(luò)的認證機制實現(xiàn)用戶合法性認證后，才能被賦予對應的AID，以保證AID作為身份標識可信。

（2）RID用于標識用戶當前接入位置。在用戶初始接入網(wǎng)絡(luò)或者移動過程中，由為用戶接入服務(wù)的ASN為用戶分配和管理RID。當用戶從一個ASN移動到新的ASN接入時，需要由新的ASN重新為用戶分配新的接入位置標識RID。

可信身份網(wǎng)絡(luò)架構(gòu)中，ILR用于記錄用戶的（AID，RID）映射關(guān)系。多個ILR構(gòu)成映射網(wǎng)絡(luò)，集中管理網(wǎng)絡(luò)中所有用戶的映射關(guān)系。用戶初始接入網(wǎng)絡(luò)時，ASN需要生成映射關(guān)系（AID，RID），并將映射關(guān)系上報給ILR。用戶移動過程中一旦發(fā)生RID更新，需要及時通知ILR更新映射關(guān)系，以保證映射網(wǎng)絡(luò)中每個用戶的（AID，RID）映射關(guān)系都能表示用戶當前的接入位置。

可信身份網(wǎng)絡(luò)架構(gòu)下的通信過程如圖1所示：

用戶在發(fā)生跨ASN的移動時，ILR需要及時更新用戶的映射關(guān)系。例如用戶1初始通過ASN1接入網(wǎng)絡(luò)，ASN1需要將用戶1的映射關(guān)系（AID1，RID1）上報給ILR。當用戶1從ASN1接入移動到ASN3接入，ASN3需要將用戶1的最新映射關(guān)系（AID1，RID3）上報給ILR，ILR用最新的映射關(guān)系替代原有的映射關(guān)系，并通知ASN1解除用戶1的映射關(guān)系。用戶1向用戶2發(fā)起通信，只需知道用戶2的身份標識AID2，而不需要知道用戶2的當前接入位置，即用戶1無論在什么位置，發(fā)送的報文始終以源地址AID1，目的地址AID2封裝。假設(shè)用戶1從ASN1移動到ASN3接入，并向用戶2發(fā)起通信，ASN3接收用戶1的報文后，通過向ILR查詢獲知用戶2的映射關(guān)系（AID2，RID2）。ASN3在上述報文外層用源地址RID3目的地址RID2進行封裝。此后，路由系統(tǒng)根據(jù)目的地址RID2將所述報文路由轉(zhuǎn)發(fā)至用戶2當前接入所使用的ASN2，ASN2將報文作解封裝處理后發(fā)送給用戶2。

上述通信過程中的數(shù)據(jù)包在核心網(wǎng)絡(luò)中根據(jù)RID進行路由，AID僅標識用戶身份，不參與路由過程。用戶只有通過合法性認證才被賦予對應AID，保證身份標識的可信?？尚派矸菥W(wǎng)絡(luò)中的身份標識由運營商集中管理維護，可應用于所有互聯(lián)網(wǎng)業(yè)務(wù)。在通信實現(xiàn)過程中，AID、RID可以繼承基于IP的路由編號機制，使身份信息不易被用戶感知。

2.3 可信身份網(wǎng)絡(luò)的安全優(yōu)勢

可信身份網(wǎng)絡(luò)將身份屬性和位置屬性作了徹底分離，在基礎(chǔ)網(wǎng)絡(luò)層面建立了統(tǒng)一的身份標識體系，一定程度上解決了傳統(tǒng)網(wǎng)絡(luò)長久面臨的安全隱患。如圖2所示，可信身份網(wǎng)絡(luò)安全模式主要體現(xiàn)在：

（1）身份標識唯一真實可信。網(wǎng)絡(luò)為用戶在全網(wǎng)范圍內(nèi)分配唯一的身份標識，且在開戶過程中就將其與用戶身份信息進行強關(guān)聯(lián)。用戶經(jīng)過合法性認證后，才可使用身份標識開展業(yè)務(wù)。身份標識的唯一性、真實性、防冒用、防篡改保證了用戶從事網(wǎng)絡(luò)活動時身份的可信性。

（2）AID和RID的作用域使得用戶和核心網(wǎng)絡(luò)形成邏輯隔離。身份標識作用于用戶和ASN之間的接入網(wǎng)絡(luò)，位置標識作用于各ASN組成的核心網(wǎng)絡(luò)。AID和RID作用域的區(qū)分實現(xiàn)了網(wǎng)絡(luò)拓撲對用戶的隱藏。用戶只能使用身份標識發(fā)起通信，無法獲知位置標識，這就使得用戶無法直接訪問中間網(wǎng)絡(luò)設(shè)備，避免了網(wǎng)絡(luò)設(shè)備遭受用戶側(cè)直接攻擊。

（3）通信過程中每個數(shù)據(jù)包都攜帶身份標識AID，便于網(wǎng)絡(luò)管理?？尚派矸菥W(wǎng)絡(luò)中的每個數(shù)據(jù)包都封裝有AID標識，且實現(xiàn)端到端傳遞。無論用戶的接入時間、地點等接入條件是否改變，數(shù)據(jù)包攜帶的AID都不會發(fā)生變化，因此一旦網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)惡意用戶的攻擊，就可根據(jù)AID對其實施有效阻止，而不會影響到網(wǎng)內(nèi)的其他用戶，便于網(wǎng)絡(luò)實施主動防御。

可信身份網(wǎng)絡(luò)使用身份標識AID實現(xiàn)網(wǎng)絡(luò)實名制，如表1所示，與現(xiàn)有網(wǎng)絡(luò)實名制體系[15]比較，這種實現(xiàn)機制存在眾多優(yōu)勢。

3 基于可信身份網(wǎng)絡(luò)的

安全應用

圖3給出了基于可信身份標識的安全管理應用。在可信身份網(wǎng)絡(luò)架構(gòu)下，用戶和ICP在申請接入網(wǎng)絡(luò)時，都需要進行實名驗證。網(wǎng)絡(luò)運營商根據(jù)用戶和ICP提交的身份信息，向監(jiān)管中心提請身份驗證。監(jiān)管中心可根據(jù)用戶或ICP的誠信檔案、身份信息等對其進行合法性驗證。驗證通過之后，通知網(wǎng)絡(luò)為用戶或ICP分配身份標識AID，網(wǎng)絡(luò)將分配給用戶或ICP的AID同時報送給監(jiān)管中心，在監(jiān)管中心實現(xiàn)用戶或ICP的身份信息和AID的關(guān)聯(lián)。由于可信身份網(wǎng)絡(luò)架構(gòu)中的每個通信數(shù)據(jù)包都攜帶AID，因此可以基于AID對用戶和ICP的網(wǎng)絡(luò)行為進行管控。一旦發(fā)現(xiàn)有非法或可疑行為，網(wǎng)絡(luò)可根據(jù)AID進行及時阻斷，并可進一步根據(jù)AID進行跟蹤溯源。

基于可信身份標識AID可開展一系列安全管理和應用，以改善網(wǎng)絡(luò)安全性能：

（1）數(shù)據(jù)報文接收方可根據(jù)身份標識判斷信息來源的可信性。網(wǎng)絡(luò)管理者也可根據(jù)數(shù)據(jù)流中的身份標識對網(wǎng)絡(luò)行為、網(wǎng)絡(luò)內(nèi)容進行快速溯源，對于非法行為進行及時阻斷，快速識別攻擊源，改進追溯機制，提高網(wǎng)絡(luò)安全管理效率，壓縮網(wǎng)絡(luò)攻擊的實施空間，扭轉(zhuǎn)攻防成本不對稱的局面。另外一旦發(fā)現(xiàn)惡意攻擊，可直接屏蔽AID標識對應的攻擊源，而無需對整個區(qū)域網(wǎng)絡(luò)實施阻斷，減少攻擊處理所帶來的負面影響。

（2）實現(xiàn)內(nèi)容分級保護。可信身份標識在網(wǎng)絡(luò)中是全程全網(wǎng)傳遞，運營商和ICP可根據(jù)身份標識識別用戶的身份、年齡等特征，實現(xiàn)基于身份標識的內(nèi)容分級提供，為不同的社會群體提供不同的網(wǎng)絡(luò)信息，有利于建立網(wǎng)絡(luò)社會秩序，凈化網(wǎng)絡(luò)環(huán)境，避免未成年人遭受不良信息的侵害。

（3）虛擬身份和可信身份綁定，豐富互聯(lián)網(wǎng)應用?？尚派矸菥W(wǎng)絡(luò)架構(gòu)要求用戶開展各種應用都需攜帶統(tǒng)一的身份標識，這不利于互聯(lián)網(wǎng)應用的發(fā)展，用戶可能也難以接受。通過虛擬身份和可信身份綁定，虛擬身份被用戶和ICP在應用層使用，數(shù)據(jù)傳輸仍然攜帶可信身份標識，這種實現(xiàn)一方面延續(xù)了現(xiàn)有互聯(lián)網(wǎng)應用的虛擬和開放性，使得用戶仍可使用不同的虛擬身份開展不同的應用，便于應用不斷豐富，另一方面數(shù)據(jù)包攜帶身份標識也便于網(wǎng)絡(luò)監(jiān)管。

4 結(jié)束語

傳統(tǒng)互聯(lián)網(wǎng)由于IP的名址二義性以及標識用戶IP地址不固定的特點，造成了難以識別網(wǎng)絡(luò)訪問主體，使得網(wǎng)絡(luò)始終處于易攻擊、難防控的被動局面。文章通過設(shè)計一種可信身份網(wǎng)絡(luò)架構(gòu)，實現(xiàn)了名、址徹底分離，用戶身份固定，用戶和核心網(wǎng)絡(luò)邏輯隔離，從結(jié)構(gòu)上屏蔽了用戶側(cè)直接攻擊，提升了網(wǎng)絡(luò)安全性能。基于固定身份標識開展的安全管理應用，有助于提高攻擊源的快速識別能力和溯源效率?？尚派矸菥W(wǎng)絡(luò)架構(gòu)從技術(shù)手段上為網(wǎng)絡(luò)安全提供保障，同時也為互聯(lián)網(wǎng)應用的不斷發(fā)展豐富提供了安全可靠的網(wǎng)絡(luò)環(huán)境。

參考文獻

[1] 中國互聯(lián)網(wǎng)絡(luò)信息中心. 第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[R/OL]. http：//cnnic.cn/hlwfzyj/hlwxzbg/

[2] 張再云，魏剛. 網(wǎng)絡(luò)匿名性問題初探[J]. 重慶社會科學， 2003， 32（2）：76-78

[3] 陳劍勇，吳桂華. 身份管理技術(shù)及其發(fā)展趨勢[J]. 電信科學， 2009， 25（2）：35-40

[4] 陳周國，蒲石，祝世雄. 匿名網(wǎng)絡(luò)追蹤溯源綜述[J]. 計算機研究與發(fā)展， 2012， 49（增刊）：111-117

[5] 伏曉，蔡圣聞，謝立. 網(wǎng)絡(luò)安全管理技術(shù)研究[J]. 計算機科學， 2009， 36（2）：15-19

[6] 高榮林. 網(wǎng)絡(luò)實名制可行性探討[J]. 前沿， 2010， 269（15）：74-76

[7] 陳兵，鄒翔，周國勇. 網(wǎng)絡(luò)身份管理發(fā)展趨勢研究[J]. 信息網(wǎng)絡(luò)安全， 2011， （3）：5-8

[8] 史亮，莊毅. 一種定量的網(wǎng)絡(luò)安全風險評估系統(tǒng)模型[J]. 計算機工程與應用， 2007， 43（18）：146-149

[9] 張宏科，蘇偉. 新網(wǎng)絡(luò)體系基礎(chǔ)研究—一體化網(wǎng)絡(luò)與普適服務(wù)[J]. 電子學報， 2007， 35（4）：593-598

[10] YAN Z， ZHOU H， ZHANG H. A Novel Mobility Management Mechanism Based on an Efficient Locator/ID Separation Scheme[C]// First International Conference on Future Information Networks. USA： IEEE， 2009：11-16. DOI：10.1109/ICFIN.2009.5339610

[11] 吳強，江華，符濤. 移動互聯(lián)網(wǎng)Naming網(wǎng)絡(luò)技術(shù)發(fā)展[J]. 電信科學， 2011， 27（4）：73-78

[12] 許東曉，蔣鈴鴿. 一種新型的位置標識與身份標識分離方法[J]. 計算機應用與軟件， 2010， 27（2）：233-236

[13] MOSKOWITZ R， NIKANDER P， JOKELA P， et al. Host Identity Protocol： IETF RFC 5201[S]. April， 2008

[14] KAFLE V P， OTUSUKL H， INOUE M. An ID/Locator Split Architecture for Future Networks[J]. IEEE Communications Magazine， 2010， 48（2）：138-144. DOI：10.1109/MCOM.2010.5402677

[15] 馬丁，李丹. 網(wǎng)絡(luò)"實名認證，網(wǎng)名上網(wǎng)"技術(shù)研究[J]. 通信技術(shù)， 2014， 47（1）：91-96