閆新成/YAN Xincheng周娜/ZHOU Na蔣志紅/JIANG Zhihong
(1.移動(dòng)網(wǎng)絡(luò)和移動(dòng)多媒體技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室,中國(guó) 深圳 518057;2.中興通訊股份有限公司,中國(guó) 深圳 518057)
(1.State Key Laboratory of Mobile Network and Mobile Multimedia Technology, Shenzhen 518057,China;2.ZTE Corporation, Shenzhen 518057, China)
互聯(lián)網(wǎng)協(xié)議(IP)地址是當(dāng)前IP網(wǎng)絡(luò)體系結(jié)構(gòu)的核心,擁有網(wǎng)絡(luò)身份和路由位置兩種屬性[1]。其中,網(wǎng)絡(luò)身份屬性用來標(biāo)識(shí)通信對(duì)象,而路由位置屬性則代表拓?fù)湮恢?,是路由尋址的基礎(chǔ)。地址欺騙可能會(huì)造成非法訪問服務(wù)、分布式拒絕服務(wù)(DDoS)攻擊、事件難以追溯等一系列安全問題,因而IP地址的安全性是構(gòu)建可信任網(wǎng)絡(luò)的基礎(chǔ)[2-3]。攻擊者通過偽造IP地址來隱藏自己的真實(shí)身份,有時(shí)也會(huì)將報(bào)文引向非法位置。RFC 6959[4](互聯(lián)網(wǎng)工程任務(wù)組發(fā)布的征求意見稿)列舉的10類攻擊都與IP地址真實(shí)性相關(guān)。麻省理工學(xué)院的研究表明,互聯(lián)網(wǎng)中至少有半數(shù)以上的網(wǎng)絡(luò)可以產(chǎn)生一種類型的IP地址偽造攻擊[5]。據(jù)CAIDA的統(tǒng)計(jì),互聯(lián)網(wǎng)中平均每天有3萬起偽造源地址的攻擊事件發(fā)生[6]。
IP地址真實(shí)性是未來網(wǎng)絡(luò)可信通信的核心要素,而當(dāng)前傳統(tǒng)的IP網(wǎng)絡(luò)體系并不具備對(duì)IP地址真實(shí)性驗(yàn)證的內(nèi)在機(jī)制。解決IP地址的欺騙問題,保障地址網(wǎng)絡(luò)身份的唯一性以及路由位置的真實(shí)性,并確保IP地址所標(biāo)識(shí)的身份和位置信息在通信過程中不被篡改和偽造,是未來網(wǎng)絡(luò)可信通信所要解決的關(guān)鍵問題。
學(xué)術(shù)界對(duì)可信通信的研究相對(duì)較早。早在2003年,以麻省理工學(xué)院為代表的學(xué)術(shù)團(tuán)體就推出了下一代互聯(lián)網(wǎng)的新架構(gòu)NewArch[7],明確了IP地址具有位置和身份的雙重屬性,同時(shí)強(qiáng)調(diào)了對(duì)IP地址進(jìn)行安全保障的必要性。清華大學(xué)吳建平院士針對(duì)新一代互聯(lián)網(wǎng)體系提出需要保障互聯(lián)網(wǎng)地址身份及其位置屬性真實(shí)可信的觀點(diǎn)[8]。
產(chǎn)業(yè)界近年也掀起了可信通信的熱潮。國(guó)際移動(dòng)通信(IMT)-2030(6G)、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)等均開展了大量對(duì)未來網(wǎng)絡(luò)安全方面的研究工作。中國(guó)網(wǎng)絡(luò)5.0產(chǎn)業(yè)和技術(shù)創(chuàng)新聯(lián)盟[9]更是將IP網(wǎng)絡(luò)的安全體系,尤其是IP地址真實(shí)性保障,作為未來網(wǎng)絡(luò)內(nèi)生安全的重要目標(biāo)。
當(dāng)前產(chǎn)業(yè)界緣何要興起可信通信的熱潮?可信通信要解決什么問題?當(dāng)前方案存在哪些不足,又該如何改進(jìn)?針對(duì)這些問題,本文結(jié)合學(xué)術(shù)研究和產(chǎn)業(yè)應(yīng)用,闡述和分析了可信通信的產(chǎn)業(yè)驅(qū)動(dòng)力,提出了可信通信的必要條件和基本策略,對(duì)可信通信的主要技術(shù)方向進(jìn)行了對(duì)比分析,并給出了技術(shù)應(yīng)用建議。
未來網(wǎng)絡(luò)具備泛連接、廣覆蓋和高可靠的網(wǎng)絡(luò)能力,深度融合了5G、云計(jì)算、邊緣計(jì)算、大數(shù)據(jù)、人工智能、衛(wèi)星通信等一系列新興技術(shù),現(xiàn)階段正飛速發(fā)展,將深入經(jīng)濟(jì)社會(huì)各個(gè)領(lǐng)域,為社會(huì)帶來全方位、深層次的影響,并將引領(lǐng)我們步入一個(gè)高度互聯(lián)、內(nèi)生智能、萬物感知的世界。然而,未來網(wǎng)絡(luò)在提升業(yè)務(wù)應(yīng)用價(jià)值、使能社會(huì)高度信息化的同時(shí),也為利益驅(qū)動(dòng)的攻擊者創(chuàng)造了有利條件,為其實(shí)施更大規(guī)模、更高強(qiáng)度的攻擊提供了可能。
新技術(shù)驅(qū)動(dòng)智慧醫(yī)療、工業(yè)互聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、算網(wǎng)融合、天地一體化等多個(gè)場(chǎng)景持續(xù)發(fā)展與創(chuàng)新,并帶來諸多新的業(yè)務(wù)特征。本節(jié)將重點(diǎn)分析這些業(yè)務(wù)特征給網(wǎng)絡(luò)可信通信帶來的需求和挑戰(zhàn)。
? 泛在連接。網(wǎng)絡(luò)連接模式從“人-人”互聯(lián)向“物-物”互聯(lián)以及“人-物”互聯(lián)發(fā)展。泛在連接不僅包括連接數(shù)量的指數(shù)級(jí)增長(zhǎng)和空天地海的廣域覆蓋,更重要的是,還包括無處不在的連接、算力的下沉和通信節(jié)點(diǎn)間的自主連接。車聯(lián)網(wǎng)、傳感器網(wǎng)絡(luò)等新型業(yè)務(wù)模式,促使通信從單一客戶端/服務(wù)器的請(qǐng)求服務(wù)模式向多元化的對(duì)等通信模式演變。當(dāng)前服務(wù)器認(rèn)證終端用戶的方式不再普遍適用,可信通信架構(gòu)需要進(jìn)行重構(gòu)。
? 網(wǎng)絡(luò)開放。云計(jì)算、邊緣計(jì)算、天地一體化都使得網(wǎng)絡(luò)更加開放,需要在開放的物理環(huán)境下構(gòu)建一個(gè)相對(duì)安全可信的邏輯網(wǎng)絡(luò)。更重要的是,企業(yè)信息化和數(shù)字化轉(zhuǎn)型打破了原有生產(chǎn)領(lǐng)域的封閉性。生產(chǎn)網(wǎng)絡(luò)IP化、終端的智能化均使得生產(chǎn)領(lǐng)域面臨域內(nèi)、域間的雙重威脅,因此不能僅僅關(guān)注來自辦公領(lǐng)域的橫向滲透。如何保障數(shù)字化生產(chǎn)領(lǐng)域的域內(nèi)安全,構(gòu)建安全可信的內(nèi)部通信網(wǎng)絡(luò),是企業(yè)數(shù)字化轉(zhuǎn)型時(shí)需要重點(diǎn)考慮的安全問題。
? 海量終端。未來網(wǎng)絡(luò)不僅要提升網(wǎng)絡(luò)覆蓋的廣度,還要提升覆蓋的連接密度。類型多樣、數(shù)量龐大的終端將使得網(wǎng)絡(luò)的攻擊面進(jìn)一步擴(kuò)大。尤其是低功耗、低成本的弱終端,缺乏自我防護(hù)能力,存在漏洞修復(fù)困難問題,更易于被攻擊者利用或假冒。因而網(wǎng)絡(luò)需要增強(qiáng)對(duì)通信終端的控制力,尤其要增強(qiáng)對(duì)通信節(jié)點(diǎn)真實(shí)性的保障。
? 算力增強(qiáng)。伴隨著算力提升,單位時(shí)間內(nèi)的數(shù)據(jù)量也將持續(xù)增長(zhǎng),攻擊者更容易獲取攻擊所需的算力。網(wǎng)絡(luò)資產(chǎn)(尤其是一些高價(jià)值的資產(chǎn))將更容易遭受到攻擊,例如衛(wèi)星節(jié)點(diǎn)遭受DDoS攻擊。避免算力因素對(duì)通信節(jié)點(diǎn)假冒攻擊的放大效應(yīng),提升對(duì)通信節(jié)點(diǎn)真實(shí)性的保障。
未來網(wǎng)絡(luò)的安全挑戰(zhàn)包括兩個(gè)方面:一方面,隨著網(wǎng)絡(luò)承載的資產(chǎn)價(jià)值增大,攻擊程度在加深,風(fēng)險(xiǎn)也隨之變大;另一方面,業(yè)務(wù)模型的多樣化使得通信模式發(fā)生改變,通信安全架構(gòu)需要進(jìn)行再設(shè)計(jì)。未來網(wǎng)絡(luò)需要進(jìn)行安全設(shè)計(jì),以便在新業(yè)務(wù)應(yīng)用場(chǎng)景中為新型網(wǎng)絡(luò)體系架構(gòu)賦予最基礎(chǔ)而又有效的可信通信能力,為未來業(yè)務(wù)的持續(xù)創(chuàng)新和廣泛應(yīng)用提供必要條件。
在傳統(tǒng)網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)缺乏安全設(shè)計(jì),通信安全問題需要由應(yīng)用層來解決。例如,在對(duì)身份的真實(shí)性進(jìn)行驗(yàn)證時(shí),由于網(wǎng)絡(luò)身份缺乏唯一性和確定性表達(dá),通常由應(yīng)用層對(duì)用戶身份進(jìn)行驗(yàn)證。長(zhǎng)此以往,人們甚至?xí)J(rèn)為,安全問題應(yīng)該僅由應(yīng)用層來解決。然而,應(yīng)用層的“補(bǔ)丁式”防護(hù),不但效能低下,而且難以在未來網(wǎng)絡(luò)的諸多新興場(chǎng)景中應(yīng)用。本節(jié)圍繞身份真實(shí)性問題,對(duì)比分析了網(wǎng)絡(luò)層IP地址真實(shí)性與應(yīng)用層用戶身份真實(shí)性的防護(hù)能力與效果,同時(shí)論述了在網(wǎng)絡(luò)層構(gòu)建可信通信技術(shù)的必要性。
(1)網(wǎng)絡(luò)層的身份真實(shí)性防護(hù)機(jī)制比用戶層具有更高的系統(tǒng)效能。
圖1展示了一個(gè)用戶訪問網(wǎng)絡(luò)的典型模型,其中圖的上半部分展示的是只進(jìn)行應(yīng)用身份真實(shí)性防護(hù)的情況。當(dāng)前,大部分應(yīng)用都會(huì)在向用戶提供服務(wù)之前對(duì)用戶身份進(jìn)行驗(yàn)證,因而非法用戶(黑色用戶圖標(biāo))如果不能通過身份驗(yàn)證,則無法訪問該應(yīng)用服務(wù)。但是,對(duì)用戶身份進(jìn)行驗(yàn)證是一項(xiàng)很復(fù)雜的工作,中間件和操作系統(tǒng)層通常不具備這項(xiàng)能力。例如,“永恒之藍(lán)”[10]之所以可以廣泛傳播,就是因?yàn)榻柚薟indows的445開放端口服務(wù)。同時(shí),應(yīng)用層雖然可以阻止非法用戶的訪問,卻難以有效防范DDoS攻擊。
▲圖1 用戶互聯(lián)網(wǎng)場(chǎng)景下的防護(hù)模式對(duì)比
圖1的下半部分展示的是同時(shí)進(jìn)行網(wǎng)絡(luò)層身份真實(shí)性防護(hù)的情況。如果加入基本的網(wǎng)絡(luò)準(zhǔn)入機(jī)制,網(wǎng)絡(luò)就會(huì)首先拒絕非法用戶(黑色用戶圖標(biāo))的接入,可以有效減少非法用戶對(duì)應(yīng)用節(jié)點(diǎn)和其他網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊。雖然網(wǎng)絡(luò)準(zhǔn)入不能替代應(yīng)用層的身份驗(yàn)證,卻可以極大地降低應(yīng)用層遭受攻擊的風(fēng)險(xiǎn)。
基于應(yīng)用層的用戶身份真實(shí)性防護(hù)機(jī)制,只能為單個(gè)服務(wù)提供保護(hù),無法保障整個(gè)系統(tǒng)的安全;而基于網(wǎng)絡(luò)層的身份真實(shí)性防護(hù)機(jī)制,卻可以提供更低風(fēng)險(xiǎn)、更“干凈”的通信環(huán)境。同時(shí),網(wǎng)絡(luò)身份的唯一性具有不可否認(rèn)屬性。不論是非法用戶還是合法用戶,在網(wǎng)絡(luò)攻擊發(fā)生后,均可以被溯源和審計(jì),而應(yīng)用層身份不具備普遍追溯的能力。因此,網(wǎng)絡(luò)層的身份真實(shí)性防護(hù)至少具備兩個(gè)優(yōu)勢(shì):為封閉網(wǎng)絡(luò)提供準(zhǔn)入機(jī)制,為開放網(wǎng)絡(luò)提供溯源能力。
(2)應(yīng)用層的用戶身份真實(shí)性防護(hù)機(jī)制難以在新的業(yè)務(wù)模型和通信模式下應(yīng)用。
如圖 2上半部分所示,當(dāng)前的工業(yè)互聯(lián)網(wǎng)生產(chǎn)線上使用了控制器局域網(wǎng)(CAN)、以太網(wǎng)控制自動(dòng)化技術(shù)(EtherCAT)等各種現(xiàn)場(chǎng)總線協(xié)議。接入到總線上的各通信節(jié)點(diǎn),通常屬于對(duì)等通信體,即按需臨時(shí)分配主從節(jié)點(diǎn)。對(duì)等通信模式在越來越多的領(lǐng)域中得到應(yīng)用,例如車聯(lián)網(wǎng)、傳感器網(wǎng)絡(luò)等。此外,這種模式在云內(nèi)容器間通信、5G服務(wù)化架構(gòu)(SBA)網(wǎng)絡(luò)中也開始應(yīng)用。
▲圖2 產(chǎn)業(yè)互聯(lián)網(wǎng)場(chǎng)景下的防護(hù)模式對(duì)比
此外,工業(yè)領(lǐng)域也紛紛開始了網(wǎng)絡(luò)的IP化改造。由圖 2可知,將總線抽象為IP網(wǎng)絡(luò)交換機(jī),對(duì)原有的業(yè)務(wù)模型和通信模式影響最小。在原有的業(yè)務(wù)模型下,工業(yè)節(jié)點(diǎn)可以即插即用,通信身份通常由總線進(jìn)行標(biāo)識(shí)。相應(yīng)地,在IP改造后的通信模式下,新的身份通過網(wǎng)絡(luò)來標(biāo)識(shí)比通過應(yīng)用來標(biāo)識(shí)更具兼容性。在原有的通信模式下,工業(yè)節(jié)點(diǎn)可以對(duì)等訪問。如果采用應(yīng)用層身份來標(biāo)識(shí),就需要每個(gè)通信節(jié)點(diǎn)都啟用應(yīng)用層身份驗(yàn)證機(jī)制。這將大大增加系統(tǒng)改造的代價(jià)。
工業(yè)領(lǐng)域生產(chǎn)現(xiàn)場(chǎng)的安全性很大程度上依賴于物理隔離、技術(shù)與產(chǎn)業(yè)的封閉性。但在完成IP化改造后,網(wǎng)絡(luò)風(fēng)險(xiǎn)將顯著增大。攻擊者可以利用一部手機(jī)或者其他智能終端,通過交換機(jī)或者Wi-Fi,很容易進(jìn)入現(xiàn)場(chǎng)網(wǎng)絡(luò),從而實(shí)施攻擊。因此,生產(chǎn)領(lǐng)域的域內(nèi)風(fēng)險(xiǎn)是工業(yè)數(shù)字化需要重點(diǎn)考慮的安全問題。在新的通信模式下,尤其是在物-物對(duì)等通信的場(chǎng)景下,基于網(wǎng)絡(luò)層的可信通信更具兼容性和經(jīng)濟(jì)性,更加有利于工廠的產(chǎn)業(yè)數(shù)字化改造。
互聯(lián)網(wǎng)和通信網(wǎng)絡(luò)的高速發(fā)展,極大地提振了人們對(duì)社會(huì)信息化和數(shù)字化的信心。人們希望基于成熟的IP網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)生態(tài)來構(gòu)建新型的基礎(chǔ)設(shè)施,促使更多的社會(huì)資產(chǎn)和服務(wù)基于IP網(wǎng)絡(luò)進(jìn)行互聯(lián)互通。由上述分析可知,網(wǎng)絡(luò)的安全問題并不一定全都由新的業(yè)務(wù)模型和攻擊手段引入。從圖2中工業(yè)生產(chǎn)領(lǐng)域的例子可以看出,網(wǎng)絡(luò)的開放性不僅包括基礎(chǔ)設(shè)施共享和網(wǎng)絡(luò)邊界的模糊,還包括信息化和數(shù)字化本身。未來網(wǎng)絡(luò)對(duì)安全的需求,從某種角度講,不是因?yàn)榫W(wǎng)絡(luò)變得復(fù)雜了,而是因?yàn)榫W(wǎng)絡(luò)變得太簡(jiǎn)單了。
對(duì)于網(wǎng)絡(luò)中新的使用者來講,網(wǎng)絡(luò)提供基本的安全保障和“接入即安全、通信即安全”的安全能力是生產(chǎn)領(lǐng)域快速實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的一個(gè)必要條件。這種能力是傳統(tǒng)網(wǎng)絡(luò)體系所不具備的。未來網(wǎng)絡(luò)應(yīng)該構(gòu)建網(wǎng)絡(luò)的可信通信能力,幫助業(yè)務(wù)實(shí)現(xiàn)高效、便捷和安全的信息化和數(shù)字化改造。
未來網(wǎng)絡(luò)的可信通信應(yīng)該首先聚焦于網(wǎng)絡(luò)安全的原初問題,即如何解決IP地址的欺騙問題,以保障網(wǎng)絡(luò)身份和位置的真實(shí)性。本節(jié)將重點(diǎn)分析基于身份和位置的攻擊對(duì)網(wǎng)絡(luò)的影響,以便為后續(xù)地址真實(shí)性技術(shù)方向的研究提供依據(jù)。表1列出了目前IP網(wǎng)絡(luò)中存在的幾種典型攻擊,這些攻擊都與IP地址欺騙相關(guān)[3]。其中,身份假冒和地址假冒均可單獨(dú)引發(fā)IP地址欺騙攻擊。
▼表1 互聯(lián)網(wǎng)協(xié)議地址欺騙攻擊列表
為了避免被溯源和審計(jì),或者達(dá)成某些攻擊目的,攻擊者往往將自己的網(wǎng)絡(luò)身份和位置進(jìn)行隱藏,假冒他人身份(或在非法的位置)進(jìn)行攻擊。網(wǎng)絡(luò)地址在網(wǎng)絡(luò)系統(tǒng)中有身份位置合一、身份位置分離兩種典型表達(dá)。當(dāng)前的網(wǎng)絡(luò)系統(tǒng)采用身份位置合一的方式。IP地址兼具身份位置雙重含義。在大部分情況下,攻擊者對(duì)報(bào)文中的IP地址進(jìn)行偽造,既是對(duì)身份的假冒,也是對(duì)位置的假冒。
一些改進(jìn)的網(wǎng)絡(luò)系統(tǒng)采用了身份和位置分離的方式。通信端的身份標(biāo)識(shí)與位置標(biāo)識(shí)采用不同的報(bào)文字段來表達(dá)。身份和位置可以被獨(dú)立假冒和攻擊:
? 身份假冒。身份假冒缺少了身份真實(shí)性保障。通信雙方難以獲知通信對(duì)象的真假,很容易發(fā)生會(huì)話劫持或假冒,從而導(dǎo)致通信數(shù)據(jù)被進(jìn)一步篡改和竊取。同時(shí)身份的假冒可以使攻擊者避免追溯,也可以使攻擊事件被否認(rèn)。因而身份的真實(shí)性是可信通信重點(diǎn)保障的目標(biāo)。
? 位置假冒。位置真實(shí)性保障是通信中很容易被忽略的因素。如果網(wǎng)絡(luò)只保障身份真實(shí)性,而不保障位置真實(shí)性,位置假冒的報(bào)文就仍然可以在網(wǎng)絡(luò)中傳輸。這會(huì)給通信節(jié)點(diǎn)的可用性帶來極大風(fēng)險(xiǎn)。如圖3所示,Alice發(fā)送報(bào)文給Bob,報(bào)文被攻擊者截獲。攻擊者將報(bào)文源位置標(biāo)識(shí)修改為攻擊對(duì)象Charlie的位置信息。接收者Bob如果只驗(yàn)證Alice身份信息而忽略其位置信息,會(huì)將應(yīng)答報(bào)文回傳給Charlie,從而導(dǎo)致對(duì)Charlie的反射式攻擊。
▲圖3 位置假冒導(dǎo)致反射攻擊的案例
由此可見,通過單獨(dú)偽造身份標(biāo)識(shí)或位置標(biāo)識(shí)均可以引發(fā)網(wǎng)絡(luò)攻擊。攻擊者不僅可以假冒身份標(biāo)識(shí),偽造通信方身份并發(fā)送非法報(bào)文,竊取、偽造和破壞通信數(shù)據(jù),還可以假冒和篡改位置標(biāo)識(shí)信息,破壞網(wǎng)絡(luò)服務(wù)。很顯然,身份和位置兩者同時(shí)被假冒的情形,也同樣能夠引發(fā)上述典型攻擊。為了避免身份偽造形成的多種攻擊,未來網(wǎng)絡(luò)需要同時(shí)考慮對(duì)身份與位置的保護(hù)。
基于IP地址欺騙的網(wǎng)絡(luò)攻擊給網(wǎng)絡(luò)安全帶來了巨大挑戰(zhàn)。業(yè)界在不斷探索針對(duì)IP地址欺騙的防范機(jī)制,并針對(duì)不同的防護(hù)思路推出了多種技術(shù)方案。由于IP地址具有位置和身份的雙重含義,因此這些方案也可以分為兩大技術(shù)方向:對(duì)位置的真實(shí)性防護(hù)和對(duì)身份的真實(shí)性防護(hù)。同時(shí),網(wǎng)絡(luò)體系本身也在演進(jìn)發(fā)展。除了現(xiàn)有的網(wǎng)絡(luò)體系外,還存在改良型和革新型的網(wǎng)絡(luò)體系。這些體系對(duì)IP地址的真實(shí)性保障,主要體現(xiàn)在對(duì)身份的真實(shí)性保障上,是在新的網(wǎng)絡(luò)體系基礎(chǔ)上開展的。按技術(shù)方向和網(wǎng)絡(luò)體系,表2給出當(dāng)前典型的地址可信技術(shù)方案。
▼表2 地址可信技術(shù)總覽
可以看出,基于位置的真實(shí)性防護(hù)主要借助路由表來實(shí)現(xiàn)對(duì)源地址真實(shí)性的反向驗(yàn)證。我們將其稱之為基于位置的訪問控制技術(shù)。這種方式適應(yīng)性較強(qiáng),可以適應(yīng)于各種以IP路由為基礎(chǔ)的網(wǎng)絡(luò)體系。為了實(shí)現(xiàn)對(duì)身份真實(shí)性的防護(hù),典型的方式是采用密碼學(xué)技術(shù)。通過通告其他節(jié)點(diǎn)不可獲知的私密信息(如基于密鑰的簽名)可證實(shí)本節(jié)點(diǎn)擁有的唯一身份。我們將其稱為基于身份的可信驗(yàn)證技術(shù)。在身份真實(shí)性保障技術(shù)方案中,有基于當(dāng)前IP體系進(jìn)行增強(qiáng)的,也有基于身份位置分離架構(gòu)設(shè)計(jì)的。革新型的網(wǎng)絡(luò)體系方案涉及較大的體系架構(gòu)調(diào)整,使之前對(duì)于IP地址的分析不完全適用。
表3給出了現(xiàn)有地址可信技術(shù)的對(duì)比??梢钥闯觯m然目前位置標(biāo)識(shí)和身份標(biāo)識(shí)均存在相應(yīng)的防護(hù)技術(shù),但都存在一定程度的不足?;谖恢玫脑L問控制技術(shù)雖然可以利用路由表和地址列表實(shí)現(xiàn)輕量化的位置真實(shí)性檢查,但由于不對(duì)身份真實(shí)性進(jìn)行保障,缺乏地址來源的合法性檢查,并不能覆蓋IP地址欺騙的所有場(chǎng)景。而基于身份的可信驗(yàn)證技術(shù)則普遍存在性能較低、兼容性差和不夠系統(tǒng)化等問題,難以廣泛應(yīng)用。單純的身份假冒和位置假冒都可能造成IP地址欺騙攻擊,因而如果只保障其中一個(gè)方面,則無法有效防范所有攻擊。
▼表3 現(xiàn)有地址可信技術(shù)對(duì)比分析
互聯(lián)網(wǎng)地址體系不具備地址真實(shí)性驗(yàn)證機(jī)制。網(wǎng)絡(luò)中存在的各種IP地址欺騙的攻擊給互聯(lián)網(wǎng)環(huán)境造成了極大危害。解決身份真實(shí)性問題是構(gòu)建真實(shí)可信的互聯(lián)網(wǎng)環(huán)境的基礎(chǔ)和前提。在當(dāng)前IP同時(shí)包含身份與位置屬性的場(chǎng)景下,對(duì)身份的攻擊往往從地址攻擊中表現(xiàn)出來。在未來身份與位置分離的情況下,對(duì)身份的攻擊可以表現(xiàn)為身份標(biāo)識(shí)的欺騙和位置標(biāo)識(shí)的欺騙。現(xiàn)有技術(shù)雖然針對(duì)身份標(biāo)識(shí)和位置標(biāo)識(shí)都采取了一定程度的保護(hù)機(jī)制,但并未徹底解決問題。
圖4給出了可信通信的問題與技術(shù)路線。從互聯(lián)網(wǎng)可信通信的安全問題、技術(shù)需求、防范機(jī)制來看,可信通信包含身份保護(hù)和位置保護(hù)兩大技術(shù)路線。這兩條技術(shù)路線同時(shí)又存在各自的技術(shù)缺陷。
▲圖4 可信通信的問題與技術(shù)路線
如果要實(shí)現(xiàn)廣泛應(yīng)用,可信通信的技術(shù)方案應(yīng)該是一套健全、完善的解決方案。該方案不僅能在網(wǎng)絡(luò)標(biāo)識(shí)保護(hù)過程中融入真實(shí)性保障,還可滿足高性能系統(tǒng)需求。從目前的技術(shù)方案來看,這仍是一個(gè)長(zhǎng)期而艱巨的挑戰(zhàn)?;趯?duì)可信通信技術(shù)需求和方案的分析,我們先給出未來網(wǎng)絡(luò)可信通信的基本原則。
(1)可信通信有兩個(gè)需求維度:身份真實(shí)性與位置真實(shí)性。這兩個(gè)需求維度需要被同時(shí)滿足,即無論采取何種技術(shù)方案,都需要對(duì)身份和位置同時(shí)進(jìn)行防護(hù)。遺漏任何一項(xiàng)都會(huì)造成技術(shù)方案的不足。
(2)可信通信有兩類典型的技術(shù)方向:訪問控制和密碼學(xué)。兩類技術(shù)與身份、位置等網(wǎng)絡(luò)特性結(jié)合,各具優(yōu)勢(shì)。綜合考慮性能、安全性、兼容性等因素,選擇若干技術(shù)進(jìn)行組合,可以有效地實(shí)現(xiàn)網(wǎng)絡(luò)的可信通信。
圖5給出了基于這一原則的可信通信矩陣。為了給未來網(wǎng)絡(luò)提供完整而又全面的保護(hù),需要同時(shí)從身份和位置層面來考慮訪問控制可信技術(shù)及密碼學(xué)驗(yàn)證機(jī)制,以滿足全方位安全可信保障需求。然而,當(dāng)前的可信通信方案?jìng)?cè)重于對(duì)位置的訪問控制和對(duì)身份的密碼學(xué)驗(yàn)證兩個(gè)技術(shù)領(lǐng)域,忽略了對(duì)另外兩個(gè)技術(shù)領(lǐng)域的探索。基于訪問控制的身份驗(yàn)證技術(shù),在與當(dāng)前基于訪問控制的位置驗(yàn)證技術(shù)結(jié)合后,既可以彌補(bǔ)當(dāng)前訪問控制技術(shù)的不足,又可以在一定程度替代基于密碼學(xué)的身份驗(yàn)證技術(shù)。
▲圖5 可信通信技術(shù)矩陣
通過檢查并過濾IP報(bào)文的源位置標(biāo)識(shí)或者源身份標(biāo)識(shí),基于訪問控制的可信技術(shù)可以阻止攜帶假標(biāo)識(shí)的非法報(bào)文通過。整個(gè)基于訪問控制的可信技術(shù)體系包含三層技術(shù)框架:接入網(wǎng)控制、域內(nèi)網(wǎng)絡(luò)控制和域間網(wǎng)絡(luò)控制。構(gòu)建多層、系統(tǒng)化的身份可信體系可以保障整個(gè)業(yè)務(wù)通信過程的合法性。
? 接入網(wǎng)驗(yàn)證可通過深度融合身份認(rèn)證與地址分配功能,基于動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP) Snooping等來構(gòu)建源信息合法性校驗(yàn)機(jī)制(ID Filtering),并增強(qiáng)接入設(shè)備中過濾表的真實(shí)有效性,以實(shí)現(xiàn)近源端防御,進(jìn)而在數(shù)據(jù)報(bào)文的首跳節(jié)點(diǎn)扼制攻擊的形成與傳播。借助高可信的身份認(rèn)證和輕量級(jí)的訪問控制技術(shù),可以實(shí)現(xiàn)身份和位置的雙重保護(hù)。提供高效的源節(jié)點(diǎn)真實(shí)性驗(yàn)證機(jī)制可以解決現(xiàn)有技術(shù)中低性能和真實(shí)性缺失的問題。
? 域內(nèi)驗(yàn)證采用地址過濾表方式。在同一管理域下的路由設(shè)備,可在設(shè)備上構(gòu)建過濾表,并將路由前綴與設(shè)備的入端口進(jìn)行關(guān)聯(lián)。源域的邊緣路由器可以通過該過濾表對(duì)收到的報(bào)文進(jìn)行前綴驗(yàn)證,從而防止主機(jī)假冒任意地址。域內(nèi)驗(yàn)證與接入網(wǎng)驗(yàn)證結(jié)合能夠?qū)崿F(xiàn)完整的域內(nèi)可信防護(hù)機(jī)制。
? 域間驗(yàn)證可以通過在邊界路由器上構(gòu)建一個(gè)驗(yàn)證規(guī)則表,將路由器的每個(gè)入口與一組有效的源地址塊或者域信息相關(guān)聯(lián),以用于過濾偽造的報(bào)文。
針對(duì)身份與位置的密碼學(xué)驗(yàn)證技術(shù)主要包括基于對(duì)稱密鑰的驗(yàn)證技術(shù)和基于非對(duì)稱密鑰的驗(yàn)證技術(shù)。
(1)對(duì)稱密鑰方案
在基于對(duì)稱密鑰進(jìn)行驗(yàn)證的方案中,通信雙方通過密鑰協(xié)商或預(yù)共享的方式生成系統(tǒng)的共享密鑰。源端使用共享密鑰生成驗(yàn)證碼,同時(shí)驗(yàn)證端使用共享密鑰驗(yàn)證源端身份。將對(duì)稱密鑰驗(yàn)證方案應(yīng)用于端到端系統(tǒng)的多點(diǎn)驗(yàn)證時(shí),借助報(bào)文路徑上多個(gè)節(jié)點(diǎn)與源節(jié)點(diǎn)協(xié)商生成的對(duì)稱秘鑰,源主機(jī)在發(fā)送報(bào)文前會(huì)針對(duì)身份或位置產(chǎn)生校驗(yàn)碼,在報(bào)文到達(dá)中間節(jié)點(diǎn)時(shí)對(duì)身份、位置進(jìn)行可信驗(yàn)證。該方案無須改變TCP/IP,與現(xiàn)有系統(tǒng)兼容,可以從不同層面增強(qiáng)系統(tǒng)的防御控制能力。首先,該方案可通過源域節(jié)點(diǎn)實(shí)現(xiàn)對(duì)源端的驗(yàn)證,并通過目的域?qū)υ炊诉M(jìn)行校驗(yàn),可以全方位提供報(bào)文來源真實(shí)性保障;其次,該方案不僅對(duì)身份標(biāo)識(shí)進(jìn)行驗(yàn)證,還考慮了基于位置的密碼學(xué)防護(hù)(IP Verification),從驗(yàn)證對(duì)象層面改善現(xiàn)有技術(shù)的不足,實(shí)現(xiàn)了最終應(yīng)用或業(yè)務(wù)的全面保護(hù)。
(2)非對(duì)稱密鑰方案
基于非對(duì)稱密鑰的驗(yàn)證技術(shù)利用公私鑰管理技術(shù),在轉(zhuǎn)發(fā)面上通過私鑰進(jìn)行簽名,同時(shí)通過公鑰進(jìn)行驗(yàn)簽。該方案主要包括兩類分支:基于數(shù)字證書機(jī)制和基于自認(rèn)證的密鑰管理機(jī)制。類似于對(duì)稱密鑰方案,非對(duì)稱密鑰方案也擁有實(shí)現(xiàn)全系統(tǒng)的多點(diǎn)驗(yàn)證機(jī)制。該方案在報(bào)文中添加針對(duì)身份或位置的簽名信息,由報(bào)文途經(jīng)的多個(gè)節(jié)點(diǎn)對(duì)報(bào)文的發(fā)起端依次進(jìn)行身份、位置驗(yàn)證,最終可實(shí)現(xiàn)近源防護(hù)、目的節(jié)點(diǎn)保護(hù)等多重安全保障,具備較好的系統(tǒng)性防御效果。
一種理想的身份可信技術(shù)方案應(yīng)盡可能優(yōu)化以下幾個(gè)特性。
(1)身份或位置欺騙防御能力:鑒別偽造身份/位置(前綴)的能力,包括準(zhǔn)確性、實(shí)時(shí)性等(還應(yīng)結(jié)合追溯定位技術(shù)為審計(jì)追查提供基礎(chǔ))。
(2)可部署性:針對(duì)當(dāng)前網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)具備良好的兼容性,支持增量部署,為運(yùn)營(yíng)商提供部署激勵(lì)。
(3)開銷:包括方案的存儲(chǔ)開銷、計(jì)算開銷、帶寬開銷等,也包括對(duì)網(wǎng)絡(luò)性能造成的影響。
根據(jù)以上3個(gè)特性,我們對(duì)“基于訪問控制的可信”和“基于密碼學(xué)的驗(yàn)證”兩種攻擊防御技術(shù)方案進(jìn)行對(duì)比,如表4所示。
▼表4 攻擊防御技術(shù)對(duì)比分析
在身份攻擊的防御能力方面,方案1從接入網(wǎng)、邊界、域間3個(gè)層面分別對(duì)源地址、地址前綴、域3個(gè)粒度進(jìn)行訪問控制,粒度相對(duì)較粗,在某些情況下存在一些防御難題(如業(yè)務(wù)面地址的真實(shí)性不足等);而方案2是一種直接確認(rèn)源主機(jī)位置/身份標(biāo)識(shí)所有權(quán)的方法,真實(shí)性程度高,防御準(zhǔn)確性好。方案1和方案2都可部署在第1跳接入路由器上,進(jìn)行近源防護(hù),實(shí)時(shí)性基本相同。方案1根據(jù)位置進(jìn)行追蹤,在移動(dòng)性及多宿主的場(chǎng)景下,無法直接定位身份;而方案2可依賴密鑰來關(guān)聯(lián)信息,進(jìn)而直接定位身份,追溯性較好。
從可部署性方面看,方案1無需擴(kuò)展協(xié)議,只需對(duì)交換機(jī)、路由器進(jìn)行少量軟件升級(jí)即可;而方案2需要擴(kuò)展地址和路由協(xié)議以及密碼體系的支持,實(shí)際部署難度大。
從開銷上看,方案1需要在接入和邊界路由器上建立過濾規(guī)則表,并依據(jù)源報(bào)文中的字段進(jìn)行過濾,不在源報(bào)文中增加新的字段,也不涉及復(fù)雜的運(yùn)算,故開銷較小;而方案2需要進(jìn)行密鑰管理,不僅要在報(bào)文中增加簽名或校驗(yàn)碼,還要在驗(yàn)證節(jié)點(diǎn)上進(jìn)行加解密的運(yùn)算,故系統(tǒng)開銷較大。
總體來說,基于密碼學(xué)驗(yàn)證機(jī)制的方案安全能力好,但部署難度和開銷都較大;基于訪問控制的方案可部署性好,開銷也較小,但安全能力相對(duì)較弱。就目前來看,很少有哪一種方案或技術(shù)能夠在各個(gè)方面都做得很優(yōu)秀。安全能力與部署能力的矛盾始終是一個(gè)巨大的挑戰(zhàn)。
針對(duì)上文提出的技術(shù)原則和技術(shù)方向,基于訪問控制和密碼學(xué)驗(yàn)證兩類技術(shù)的分析和比對(duì),兩類技術(shù)方向各有優(yōu)劣,適用于不同場(chǎng)景。未來網(wǎng)絡(luò)需要面臨多樣化的應(yīng)用場(chǎng)景,不僅需要滿足高帶寬、超高吞吐、超低時(shí)延的網(wǎng)絡(luò)需求,還要考慮海量資源受限的弱終端接入。未來網(wǎng)絡(luò)可信通信需要具備高效輕量化的可信驗(yàn)證和轉(zhuǎn)發(fā)機(jī)制。但由于未來網(wǎng)絡(luò)承載著高資產(chǎn)價(jià)值,因此也需要考慮高安全性的需求。本文中,我們?cè)谌缦聨讉€(gè)方面提出建議:
? 性能是未來網(wǎng)絡(luò)大部分應(yīng)用場(chǎng)景優(yōu)先考慮的因素。優(yōu)先選擇深度融合身份認(rèn)證與地址分配的基于訪問控制技術(shù),可以兼顧防御能力、易部署性和性能。
? 為了實(shí)現(xiàn)業(yè)務(wù)端到端安全可信通信,基于訪問控制的可信技術(shù)往往需要實(shí)現(xiàn)全系統(tǒng)部署。因此,當(dāng)應(yīng)用場(chǎng)景需要全網(wǎng)進(jìn)行防護(hù)但無法整網(wǎng)全面部署時(shí),或者需要高級(jí)別安全保障時(shí),可考慮基于密碼學(xué)的驗(yàn)證機(jī)制。
? 對(duì)于基于密碼學(xué)的兩大類機(jī)制(非對(duì)稱和對(duì)稱方案),雖然對(duì)稱算法需要借助控制面體系來輔助完成數(shù)據(jù)面的安全標(biāo)識(shí)和密鑰傳遞,但在路由轉(zhuǎn)發(fā)層面的驗(yàn)證性能優(yōu)勢(shì)顯著。結(jié)合網(wǎng)絡(luò)安全策略的按需檢驗(yàn)機(jī)制,可以構(gòu)建靈活高效驗(yàn)證轉(zhuǎn)發(fā)能力的通信體系,滿足未來網(wǎng)絡(luò)高吞吐高效傳輸演進(jìn)需求。因此,對(duì)于基于密碼學(xué)的驗(yàn)證機(jī)制而言,對(duì)稱算法的方案更值得推薦。
? 基于訪問控制的可信技術(shù)從是否屬于該網(wǎng)絡(luò)的合法信息方面來進(jìn)行判斷和控制?;诿艽a學(xué)的驗(yàn)證機(jī)制從身份真實(shí)性角度來判斷和保障。兩類技術(shù)方向分別解決不同場(chǎng)景的攻擊問題。在需要系統(tǒng)性高級(jí)別安全保障的情形中,兩類機(jī)制的融合可以實(shí)現(xiàn)全方位、全系統(tǒng)的安全防護(hù)。
未來網(wǎng)絡(luò)可信通信技術(shù)通過在IP網(wǎng)絡(luò)中構(gòu)建可信的網(wǎng)絡(luò)標(biāo)識(shí),建立以網(wǎng)絡(luò)為核心的端到端的可信關(guān)系,實(shí)現(xiàn)了域內(nèi)域間的信任傳遞,不僅能確保網(wǎng)絡(luò)標(biāo)識(shí)可驗(yàn)證、可追溯、不可篡改,還可有效提升網(wǎng)絡(luò)身份在端到端通信中的真實(shí)性交互能力,充分保障了業(yè)務(wù)和應(yīng)用未來的持續(xù)發(fā)展。本文中,我們?cè)谌娣治錾矸菁倜罢T發(fā)成因及其形成的若干典型安全攻擊的基礎(chǔ)上,針對(duì)現(xiàn)有可信通信技術(shù)系統(tǒng)性的不足,從身份標(biāo)識(shí)和位置標(biāo)識(shí)的角度,結(jié)合不同技術(shù)方向的維度,深入分析了各技術(shù)方向的適應(yīng)性,為未來網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)提出安全可信防護(hù)建議。
致謝
本研究得到中興通訊股份有限公司譚斌、王繼剛、黃兵、周繼華、馬彧、吳華強(qiáng)、彭少富等專家的幫助,謹(jǐn)致謝意!