王瀚洲/WANG Hanzhou，劉建偉/LIU Jianwei

（ 北京航空航天大學(xué)，中國 北京 100191 ）

隨著信息通信技術(shù)的迅猛發(fā)展，信息網(wǎng)絡(luò)系統(tǒng)已成為不可或缺的基礎(chǔ)設(shè)施。然而，與網(wǎng)絡(luò)發(fā)展相伴而生的網(wǎng)絡(luò)安全問題也被急劇推到前所未有的高度。網(wǎng)絡(luò)安全已經(jīng)成為社會發(fā)展、國家安全的基礎(chǔ)需求，也成為決定網(wǎng)絡(luò)能否發(fā)揮最大化潛能和價值的關(guān)鍵因素[1]。

在網(wǎng)絡(luò)架構(gòu)融合開放的發(fā)展趨勢下，網(wǎng)絡(luò)安全從過去主要由安全事件驅(qū)動的靜態(tài)被動式安全，到當前主要由等保合規(guī)驅(qū)動的動態(tài)主動式安全，正在向著下一階段由具體場景需求驅(qū)動的內(nèi)生智能安全演進。網(wǎng)絡(luò)安全領(lǐng)域逐步達成共識——“架構(gòu)決定安全”。也就是說，安全能力應(yīng)在網(wǎng)絡(luò)頂層設(shè)計構(gòu)建時就做出充分考慮。對此，以網(wǎng)絡(luò)系統(tǒng)的架構(gòu)、機制、場景、規(guī)律等先天構(gòu)建安全能力，并可后天自成長、自適應(yīng)的“內(nèi)生安全”理念應(yīng)運而生。

1 前內(nèi)生安全技術(shù)評析

網(wǎng)絡(luò)安全技術(shù)的發(fā)展具有明顯的代際發(fā)展效應(yīng)。在內(nèi)生安全技術(shù)之前的網(wǎng)絡(luò)安全發(fā)展主要經(jīng)歷了3個階段：以阻止入侵為目的的系統(tǒng)加固階段、以限制破壞為目的的檢測響應(yīng)階段、以系統(tǒng)頑存為目的的網(wǎng)絡(luò)容侵階段[2]。每一階段的安全技術(shù)都呼應(yīng)了其所面臨的安全問題。在網(wǎng)絡(luò)規(guī)模化部署中，這對已知特征和固化模式的攻擊具有重要防護意義，但各階段均以網(wǎng)絡(luò)攻防對抗為核心思路，缺乏安全的頂層結(jié)構(gòu)化設(shè)計，難以逃脫“道高一尺，魔高一丈”的安全困境[3]。

第1階段的安全技術(shù)主要通過劃分明確的網(wǎng)絡(luò)邊界，利用各種保護和隔離技術(shù)手段，例如用戶鑒權(quán)與認證、訪問控制、信息加解密、網(wǎng)絡(luò)隔離等，在網(wǎng)絡(luò)邊界上部署，防止外部非法入侵與信息泄露，達到系統(tǒng)加固的目的。此類技術(shù)在確保網(wǎng)絡(luò)系統(tǒng)的正常訪問、鑒別合法用戶身份和權(quán)限管理、機密數(shù)據(jù)信息安全方面有較強的防護作用，但這一階段技術(shù)對部分攻擊行為如用戶身份假冒、系統(tǒng)漏洞后門攻擊等顯得無能為力。

第2階段的安全防護融合了保護、檢測、響應(yīng)、恢復(fù)四大技術(shù)。此階段主要采用特征掃描、模式匹配等手段對系統(tǒng)狀態(tài)進行檢測與報警，尋找被植入的惡意代碼并進行查殺，找出導(dǎo)致惡意代碼可被植入的原因并用補丁的方式進行修補，發(fā)現(xiàn)不規(guī)范的蓄意行為和特征并加以抑制。此階段技術(shù)高度依賴檢測能力，且攻擊方發(fā)展出對應(yīng)的偽裝欺騙技術(shù)，導(dǎo)致不可能發(fā)現(xiàn)全部攻擊。

第3階段的安全防護在前兩階段的基礎(chǔ)上疊加了信息生存技術(shù)。此階段網(wǎng)絡(luò)在假設(shè)漏洞后門不可避免，攻擊和意外事故已然、必然發(fā)生的條件下，通過實時狀況感知與響應(yīng)，實時調(diào)整安全策略，采用自我診斷隔離、還原重構(gòu)等手段，仍可在限定時間內(nèi)完成全部關(guān)鍵使命。容侵技術(shù)可以作為網(wǎng)絡(luò)系統(tǒng)的最后一道防線，使攻擊侵犯的影響降到最低。但目前容侵技術(shù)主要基于門限密碼秘密共享理論的容侵模型設(shè)計，尚未達到規(guī)模化實用的程度，并且模型的建立依賴大量先驗知識與實際經(jīng)驗，對于未定義的攻擊行為仍然較難防范。

2 內(nèi)生安全概念

2.1 定義及特征

內(nèi)生安全最早于2013年由鄔江興院士提出。經(jīng)過學(xué)術(shù)界、產(chǎn)業(yè)界的持續(xù)關(guān)注，內(nèi)生安全概念與愿景逐步清晰——內(nèi)生安全是以網(wǎng)絡(luò)中各類網(wǎng)元設(shè)備自身的安全能力為基礎(chǔ)，利用系統(tǒng)架構(gòu)、算法、機制或場景等內(nèi)部因素獲得安全功能或安全屬性，協(xié)同配合構(gòu)建的綜合安全體系。內(nèi)生安全系統(tǒng)至少具有以下基本特征：（1）先天構(gòu)建。安全能力需要與網(wǎng)絡(luò)系統(tǒng)的設(shè)計與建設(shè)同步進行、同步建成，同時安全能力應(yīng)與網(wǎng)絡(luò)業(yè)務(wù)功能全面、緊密耦合。（2）后天成長。系統(tǒng)能夠通過與運行環(huán)境的交互作用，使自己能夠適應(yīng)環(huán)境，應(yīng)對安全事件，隨網(wǎng)絡(luò)環(huán)境變化動態(tài)提升安全能力[1,4]。

2.2 演進階段

在技術(shù)層面如何實現(xiàn)內(nèi)生安全，目前仍未形成統(tǒng)一的技術(shù)框架與構(gòu)建方案。內(nèi)生安全的演進需經(jīng)歷3個階段的技術(shù)與產(chǎn)品革新（如圖1所示），才能使真正具備內(nèi)生安全的網(wǎng)絡(luò)系統(tǒng)實現(xiàn)落地[1]。

▲圖1 網(wǎng)絡(luò)安全代際發(fā)展特征［5］與內(nèi)生安全發(fā)展階段

在內(nèi)生安全發(fā)展的初級階段——技術(shù)孕育階段，基于不同技術(shù)路線的內(nèi)生安全方案逐漸涌現(xiàn)。多樣的內(nèi)生安全方案被提出，并初步實現(xiàn)積累、融合。此階段的目標是構(gòu)建一個基本完備的、融合的內(nèi)生安全體，逐步由分散式的建設(shè)轉(zhuǎn)向統(tǒng)一架構(gòu)的、可規(guī)劃的建設(shè)。在網(wǎng)絡(luò)層面，該階段網(wǎng)絡(luò)架構(gòu)特征為端到端、分層網(wǎng)絡(luò)，但未形成統(tǒng)一的安全構(gòu)架。在技術(shù)層面，該階段基于擬態(tài)防御、零信任、可信計算等技術(shù)，初步構(gòu)建網(wǎng)絡(luò)內(nèi)生安全能力；基于DevSecOps、軟件安全開發(fā)周期等框架，初步實現(xiàn)網(wǎng)絡(luò)中軟件應(yīng)用安全；基于改良互聯(lián)網(wǎng)協(xié)議（IP）協(xié)議、軟件定義安全、網(wǎng)絡(luò)功能虛擬化（NFV）等技術(shù)，初步實現(xiàn)具備原子化安全能力的網(wǎng)元；基于密碼、量子密鑰分發(fā)（QKD）等技術(shù)，初步實現(xiàn)數(shù)據(jù)安全能力；基于安全管理、人工智能、威脅模型、關(guān)聯(lián)分析模型等，初步進行免疫能力構(gòu)建。

在內(nèi)生安全發(fā)展的中級階段——框架融合階段，內(nèi)生安全發(fā)展的主要形式是架構(gòu)的健全化與智能化。隨著對未來融合網(wǎng)絡(luò)架構(gòu)的研討，人們將形成內(nèi)生安全架構(gòu)的共識方案。在孕育期發(fā)展產(chǎn)生的各項成熟的安全技術(shù)之間并非競爭擇優(yōu)的關(guān)系，而是聯(lián)合協(xié)作的關(guān)系。單一封閉的技術(shù)實現(xiàn)方案將不適用于未來智能、融合、開放的網(wǎng)絡(luò)體系，各項安全技術(shù)將封裝為原子化安全能力。借助人工智能調(diào)配，為業(yè)務(wù)量身打造最適合、最安全的網(wǎng)絡(luò)，將有助于實現(xiàn)網(wǎng)絡(luò)適配業(yè)務(wù)。在網(wǎng)絡(luò)層面，該階段初步形成了功能開放的架構(gòu)底座，可為上層原子化安全能力提供支撐。在技術(shù)層面，原子化安全能力逐漸成熟，人工智能會逐步與網(wǎng)絡(luò)安全能力相結(jié)合以提升網(wǎng)絡(luò)免疫能力，此時邊界、網(wǎng)元、應(yīng)用、數(shù)據(jù)等安全能力將向智能化、協(xié)同化的方向發(fā)展。

在內(nèi)生安全發(fā)展的高級階段——體系成熟階段，網(wǎng)絡(luò)已具備健全的先天內(nèi)生安全體系和全網(wǎng)一體化的后天免疫。隨著與人工智能的進一步結(jié)合，網(wǎng)絡(luò)將實現(xiàn)安全的彈性自治。網(wǎng)絡(luò)的安全能力將形成高共識度的安全度量標準，網(wǎng)絡(luò)也將形成泛在的、系統(tǒng)化的內(nèi)生安全保障體系。

3 內(nèi)生安全研究現(xiàn)狀

解決現(xiàn)有網(wǎng)絡(luò)內(nèi)生安全問題的思路包含重新設(shè)計網(wǎng)絡(luò)架構(gòu)與進行增量式修補兩種鮮明路線，并兼存尋求折中的演進路線?？傮w而言，目前已提出的解決方案均在某種程度上具備內(nèi)生安全特性，實現(xiàn)內(nèi)生安全的技術(shù)方案處于“多強并進”的狀態(tài)。但目前內(nèi)生安全研究在硬件、軟件或協(xié)議層面均未達成足夠共識，缺乏將不同技術(shù)路線下的內(nèi)生安全解決方案整合起來的統(tǒng)一框架。各種內(nèi)生安全路線及其特征如表1所示。

▼表1 各種內(nèi)生安全路線特征

3.1 基于擬態(tài)防御的內(nèi)生安全路線

基于擬態(tài)防御的內(nèi)生安全最早由鄔江興院士提出。他認為帶來安全問題的漏洞與后門是未知且不可避免的，同時一切技術(shù)都存在內(nèi)生安全問題（包含伴生的顯式副作用或隱式暗功能）。例如，可信計算在目標對象行為不都是可知或可預(yù)期的情況下難以保證安全可信，零信任架構(gòu)難以消除分布式認證節(jié)點系統(tǒng)中的漏洞和后門威脅等。因此他提出一種結(jié)構(gòu)或算法。該算法能在不依賴先驗知識的條件下，將針對目標對象內(nèi)生安全的網(wǎng)絡(luò)威脅歸一化為由可靠性和魯棒性控制理論與方法能夠處理的未知擾動。擬態(tài)防御通過條件規(guī)避的方法讓攻擊者無法形成有效的攻擊，使必然存在的內(nèi)生安全問題不會成為系統(tǒng)的安全威脅[6]。擬態(tài)防御作為一種通用安全技術(shù)正在逐步實現(xiàn)應(yīng)用落地與產(chǎn)品化。基于擬態(tài)防御的云基礎(chǔ)設(shè)施、網(wǎng)絡(luò)切片防護方案、區(qū)塊鏈安全增強方案等層出不窮。擬態(tài)構(gòu)造的域名服務(wù)器、Web服務(wù)器等已經(jīng)部署投入使用。以擬態(tài)服務(wù)器為例，圖2展示了擬態(tài)防御與傳統(tǒng)安全技術(shù)相結(jié)合的部署架構(gòu)。

3.2 基于可信計算的可信網(wǎng)絡(luò)內(nèi)生安全路線

可信從行為預(yù)期的角度被可信計算組織（TCG）定義為：可信實體的行為總是以預(yù)期的方式，朝著預(yù)期的目標進行，產(chǎn)生的結(jié)果總是與預(yù)期一致?？尚庞嬎阒写嬖谝粋€由底層硬件確保安全性的信任根和一個在系統(tǒng)硬件層面上獨立于原宿主系統(tǒng)的可信子系統(tǒng)。可信節(jié)點以監(jiān)控者的身份，主動逐級從可信根向上層執(zhí)行安全策略，實施行為控制，并返回審計信息，建立由硬件結(jié)構(gòu)到操作系統(tǒng)、應(yīng)用系統(tǒng)的信任鏈。上層只有獲取底層信任后才能正常運行[7]。

可信計算僅提供設(shè)備層面的可信，在網(wǎng)絡(luò)層面以某個或多個可信網(wǎng)元為基礎(chǔ)，通過可信傳輸、身份認證、可信網(wǎng)絡(luò)連接等手段，構(gòu)建可信網(wǎng)絡(luò)連接架構(gòu)，將單個終端、網(wǎng)元的可信狀態(tài)，擴展到多個節(jié)點互聯(lián)的可信狀態(tài)。其核心的思路是對訪問者的身份、狀態(tài)、行為加以規(guī)定限制，以接入的自由性換取網(wǎng)絡(luò)其他節(jié)點的信任[8]。2004年TCG提出可信網(wǎng)絡(luò)連接（TNC）[9]。如圖3所示，2007年中國可信計算標準網(wǎng)絡(luò)組提出可信網(wǎng)絡(luò)連接架構(gòu)（TCA），并于2013年將其正式發(fā)布為國家標準GB/T 29828-2013《信息安全技術(shù) 可信計算規(guī)范 可信連接架構(gòu)》[10]。

▲圖3 TCA可信連接架構(gòu)部署示例

3.3 基于零信任架構(gòu)的內(nèi)生安全路線

零信任架構(gòu)最早由Forrester首席分析師J. KINDERVAG提出，是一種基于“永不信任，始終驗證”與最低權(quán)限原則的網(wǎng)絡(luò)安全體系，如圖4所示。它將網(wǎng)絡(luò)防御的邊界縮小到單個資源組，不再依據(jù)用戶所處網(wǎng)絡(luò)位置來決定是否安全可信，而是在對行為的精細化安全風(fēng)險評估的基礎(chǔ)上，強制性地通過動態(tài)認證和授權(quán)來重構(gòu)訪問控制的信任基礎(chǔ)，實現(xiàn)網(wǎng)絡(luò)系統(tǒng)內(nèi)生安全。零信任執(zhí)行以下3個基本原則：（1）所有用戶均需要基于訪問主體身份、網(wǎng)絡(luò)環(huán)境、終端狀態(tài)等盡可能多的信任要素進行持續(xù)驗證和動態(tài)授權(quán)；（2）所有授權(quán)的訪問均應(yīng)遵循最低權(quán)限原則按需授權(quán)；（3）所有的訪問請求都應(yīng)當被記錄和跟蹤[11]。零信任安全是安全策略從靜態(tài)向動態(tài)轉(zhuǎn)化的結(jié)果，對現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)進行了改良。相比于擬態(tài)防御，零信任架構(gòu)對網(wǎng)絡(luò)架構(gòu)的改動較少，得到了較為廣泛的應(yīng)用。

▲圖4 零信任安全架構(gòu)［11］

零信任是近年來互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全企業(yè)研究推進的熱點技術(shù)，并在發(fā)展中產(chǎn)生了不同的技術(shù)路線，例如Google的Beyond Corp模型、Beyond Prod模型，Gartner的持續(xù)自適應(yīng)風(fēng)險與信任評估（CARTA）模型、零信任網(wǎng)絡(luò)訪問（ZTNA）模型，F(xiàn)or‐rester的零信任架構(gòu)等[12]。遠程訪問是實施零信任的主要驅(qū)動與優(yōu)先選擇。零信任在企業(yè)專網(wǎng)安全保障場景下有較為廣泛的應(yīng)用，例如遠程辦公、遠程運維、遠程分支機構(gòu)接入、第三方協(xié)作等場景[13]。

3.4 基于DevSecOps的內(nèi)生安全路線

DevOps是一套將開發(fā)、運維、質(zhì)量保障相結(jié)合，通過實施自動化流程與高效溝通合作，使軟件開發(fā)整體過程更加快捷可靠的理念，如圖5所示。DevSecOps是DevOps概念的延續(xù)，它將安全無縫集成到軟件開發(fā)運維過程中，要求軟件開發(fā)團隊和運營團隊與安全團隊密切合作，人人參與軟件的安全治理，對DevOps周期中每個階段的安全負責(zé)。

▲圖5 將安全集成于開發(fā)運維的DevSecOps流程框架

DevSecOps是一種基于安全治理的應(yīng)用級內(nèi)生安全實施方案，在兩個層面上保障軟件開發(fā)全流程的內(nèi)生安全：（1）基于安全左移的理念，在軟件架構(gòu)設(shè)計階段充分考慮安全因素，并基于應(yīng)用運行自我保護（RASP）技術(shù)、軟件成分分析（SCA）技術(shù)、交互式應(yīng)用安全測試（IAST）技術(shù)等，在開發(fā)環(huán)節(jié)使軟件“天生”安全；（2）基于敏捷安全的理念，在運維過程中積極實施入侵與攻擊模擬（BAS）以及安全度量，通過自動化技術(shù)實現(xiàn)敏捷自適應(yīng)、軟件與網(wǎng)絡(luò)環(huán)境的共生進化。目前DevSecOps的應(yīng)用場景主要為軟件供應(yīng)鏈與云原生的安全保障。因能夠契合當前互聯(lián)網(wǎng)行業(yè)產(chǎn)品迭代的需求，該技術(shù)已在微軟、谷歌、騰訊等實現(xiàn)規(guī)模化應(yīng)用[14]。

3.5 基于物理層安全技術(shù)的內(nèi)生安全路線

隨著5G網(wǎng)絡(luò)的規(guī)?；l(fā)展，移動通信的網(wǎng)絡(luò)安全問題成為研究的重點。物理層安全技術(shù)的本質(zhì)是利用通信雙方無線信道的特征、無線終端的制造容差、目標用戶的地理位置等物理特征，經(jīng)過信號處理后，提取物理特征指紋，實現(xiàn)綁定于設(shè)備自身、通信信道上的身份識別、密鑰生成、安全傳輸。與上層安全技術(shù)相比，物理層安全技術(shù)由于具備輕量級、難復(fù)制的特點，可以解決高速率數(shù)據(jù)傳輸加密、鑒權(quán)認證增強、數(shù)據(jù)完整性保護等多方面的難題。

目前不少學(xué)者針對Wi-Fi、 ZigBee、 LoRa、 長 期 演進（LTE）等常見的無線通信協(xié)議進行了設(shè)備指紋提取的研究，典型的研究方法包括信號功率譜方法、差分星座軌跡圖方法等，但物理層安全技術(shù)并未得到規(guī)?；瘧?yīng)用[15-16]。

3.6 基于改進IP協(xié)議的內(nèi)生安全路線

現(xiàn)有的IP協(xié)議圍繞著開放、互聯(lián)、安全、可信的核心使命，具備無連接性、分組交換、盡力而為的轉(zhuǎn)發(fā)、基于IP地址的尋址等特點，并且經(jīng)過超半個世紀的補充與完善，形成了IPv6、IPsec、信息中心網(wǎng)絡(luò)（ICN）、命名數(shù)據(jù)網(wǎng)絡(luò)（NDN）等改進方案。這些方案以數(shù)千條請求評論（RFC）文檔的形式，為IP協(xié)議打補丁或增加附加功能。

當前人們對IP協(xié)議的具體批判主要針對盡力而為的轉(zhuǎn)發(fā)與基于IP地址的尋址，認為IP協(xié)議雖然完美地完成了開放與互聯(lián)的使命，但是在安全與可信上有所欠缺。這是因為：IP協(xié)缺乏內(nèi)生的可信和安全機制，無法保證用戶信息的完整性和不可篡改性； IP協(xié)議缺乏內(nèi)生的資源感知和管控能力。在B5G/6G、工業(yè)互聯(lián)網(wǎng)等場景下，現(xiàn)有基于IP協(xié)議的網(wǎng)絡(luò)體系已經(jīng)很難適應(yīng)未來的業(yè)務(wù)需求。因此，針對下一代網(wǎng)絡(luò)架構(gòu)的設(shè)計，如何在開放與互聯(lián)主題不變的條件下，實現(xiàn)安全與可信是IP協(xié)議的改進方向。IPv6、NewIP是兩項改進IP內(nèi)生安全性的熱門方案。

IPv6的初衷是為了解決IPv4地址枯竭的問題。相比于IPv4，IPv6的頭部長度從32位擴容到128位。地址擴容使得IPv6的安全性得到極大提升，這主要體現(xiàn)在以下幾方面：

（1）可溯源與防掃描。攻擊者若要實現(xiàn)像在IPv4條件下的網(wǎng)段主機地址掃描是極其困難的。同時IPv6終端之間可建立點對點連接，無需地址轉(zhuǎn)換，在攻擊發(fā)生后易于及時處置，因而系統(tǒng)能夠?qū)崿F(xiàn)高效的信息安全治理。

（2）IPv6默認支持IPsec協(xié)議。IPv6通過擴展認證報頭（AH）和封裝安全載荷報頭（ESP）實現(xiàn)加密和驗證功能，不需要額外對IPSec擴展包頭進行處理。

（3）IPv6支持真實源地址驗證體系結(jié)構(gòu)（SAVA）[17]（RFC5210）。相比于IPv4協(xié)議只基于目標地址進行路由選擇的轉(zhuǎn)發(fā)機制，IPv6可通過SAVA體系識別并阻止偽造的源地址報文被轉(zhuǎn)發(fā)，使每一個轉(zhuǎn)發(fā)分組的IP源地址都是真實的。與IPv4相比，IPv6在安全性方面進行了預(yù)先設(shè)計與考慮，但仍然存在一些難以解決的安全風(fēng)險。雖然使網(wǎng)絡(luò)的安全性有一定的提升，但IPv6的改進仍然是增量式的，內(nèi)生安全機制仍然是不完備的[18]。

New IP由華為網(wǎng)絡(luò)技術(shù)實驗室于2019年提出，旨在提供萬網(wǎng)互聯(lián)、萬物互聯(lián)的新連接能力、確定性傳輸及大吞吐量傳輸?shù)男路?wù)能力、安全可信及用戶可定義的新內(nèi)生安全能力，在保留原IP協(xié)議高生存性、高可達性、盡力而為的核心優(yōu)勢的前提下，提升確定性轉(zhuǎn)發(fā)、高互聯(lián)、內(nèi)生安全等新能力，實現(xiàn)能力的增強與擴展，滿足更高要求、更復(fù)雜的應(yīng)用業(yè)務(wù)需求。其基本實現(xiàn)思路是在包頭中增加服務(wù)標識與身份標識，使得網(wǎng)絡(luò)可以根據(jù)標識優(yōu)先級，實現(xiàn)更適配業(yè)務(wù)特征的資源調(diào)配及安全保障[19]。在內(nèi)生安全能力提升方面，New IP架構(gòu)主要提升了端到端通信業(yè)務(wù)安全與網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全兩大方面。New IP基于可信身份管理、真實身份認證、審計溯源、訪問控制、密鑰管理等安全模塊，構(gòu)建了由可信節(jié)點參與的、可審計的安全域。同時，New IP采用去中心化技術(shù)構(gòu)建網(wǎng)絡(luò)基礎(chǔ)設(shè)施，提供不依賴于根節(jié)點的證明，從而解決了美國根節(jié)點權(quán)限過大、單點失效等問題[20]。

3.7 基于伴生網(wǎng)絡(luò)對抗學(xué)習(xí)的內(nèi)生安全路線

伴生網(wǎng)絡(luò)是基于數(shù)字孿生技術(shù)將物理網(wǎng)絡(luò)在數(shù)字空間中映射出1∶1平行運行的數(shù)字化虛擬網(wǎng)絡(luò)。伴生網(wǎng)絡(luò)通過采集網(wǎng)絡(luò)設(shè)備實時數(shù)據(jù)，利用模型構(gòu)建、修正與融合技術(shù)，構(gòu)建與物理網(wǎng)絡(luò)一致的數(shù)據(jù)模型，進而可以實現(xiàn)低成本試錯與智能化預(yù)測。于全等提出類生物免疫機制的網(wǎng)絡(luò)安全架構(gòu)。該網(wǎng)絡(luò)架構(gòu)搭載了其自身的數(shù)字孿生體——平行伴生網(wǎng)絡(luò)，并在伴生網(wǎng)絡(luò)中加載高強度的人工智能攻擊，通過攻防對抗學(xué)習(xí)生成“網(wǎng)絡(luò)疫苗”，依靠強于攻擊者的超級算力動態(tài)構(gòu)成先于攻擊的防御策略，從而獲得網(wǎng)絡(luò)空間的對抗優(yōu)勢[21]。

然而，在機理上網(wǎng)絡(luò)空間的安全防護與生物體的免疫是否可以類比，目前仍然存在疑問。此外，基于目前人工智能的發(fā)展水平，人們尚未能構(gòu)建可以發(fā)現(xiàn)創(chuàng)造性的、超出現(xiàn)有人類認知的攻擊方式的框架，只能就某一維度的攻擊方式進行挖掘。因此，基于伴生網(wǎng)絡(luò)對抗學(xué)習(xí)的安全能力并不具有完備性，不能完全取代其他安全工具，而是起到相輔相成的作用。

4 內(nèi)生安全關(guān)鍵技術(shù)

當前網(wǎng)絡(luò)內(nèi)生安全仍處于技術(shù)孕育階段，因此梳理各發(fā)展路線上的關(guān)鍵技術(shù)，開展未來網(wǎng)絡(luò)內(nèi)生安全的關(guān)鍵技術(shù)識別，將有利于技術(shù)的融合與統(tǒng)一架構(gòu)的形成。本章將從技術(shù)層面對擬態(tài)防御、可信計算、零信任等路線的關(guān)鍵技術(shù)及其在內(nèi)生安全領(lǐng)域的作用加以介紹。

4.1 擬態(tài)防御關(guān)鍵技術(shù)

鄔江興院士等將移動目標防御（MTD）技術(shù)的動態(tài)性與N-變體系統(tǒng)的異構(gòu)冗余特性相結(jié)合，提出了基于動態(tài)異構(gòu)冗余的擬態(tài)防御模型[22]，如圖6所示。系統(tǒng)通過分發(fā)器將輸入復(fù)制N份，并通過動態(tài)選擇算法將相同或相異的組件組合成N個異構(gòu)執(zhí)行體（每個異構(gòu)執(zhí)行體分別獨立處理輸入），之后將N份執(zhí)行結(jié)果交給表決器處理。當至少有K個執(zhí)行體正常工作時（N=3、K=2的三模冗余架構(gòu)最為普遍），我們就可以認為整個系統(tǒng)是正常運行的。同時，系統(tǒng)具有動態(tài)切換機制，可根據(jù)運行過程中產(chǎn)生的告警/報錯信息（或在固定時間后），將舊的異構(gòu)執(zhí)行體替換為可信的新重構(gòu)的異構(gòu)執(zhí)行體，從而實現(xiàn)更高的動態(tài)性[23]。

▲圖6 動態(tài)異構(gòu)冗余架構(gòu)

將動態(tài)異構(gòu)冗余架構(gòu)應(yīng)用于網(wǎng)絡(luò)內(nèi)生安全的構(gòu)件后，鄔江興院士等提出全維可定義多模態(tài)智慧網(wǎng)絡(luò)[24]。該網(wǎng)絡(luò)系統(tǒng)的異構(gòu)資源池由平臺、系統(tǒng)、部件、模塊多層面上的網(wǎng)絡(luò)功能組成，包括異構(gòu)的網(wǎng)絡(luò)拓撲、尋址路由、交換模式、網(wǎng)元形態(tài)、傳輸協(xié)議等。網(wǎng)絡(luò)通過人工智能技術(shù)、智慧化網(wǎng)絡(luò)管理機制，從異構(gòu)資源池中選取不同層面上的網(wǎng)絡(luò)技術(shù)，組成不同模態(tài)的網(wǎng)絡(luò)執(zhí)行體集，實現(xiàn)網(wǎng)絡(luò)層面上的擬態(tài)防御。

4.2 可信網(wǎng)絡(luò)關(guān)鍵技術(shù)

在可信計算與可信網(wǎng)絡(luò)架構(gòu)TNC基礎(chǔ)上[9]，中國提出了具備主動免疫機制的TCA，如圖7所示。TCA三元三層網(wǎng)絡(luò)架構(gòu)由實體、層、組件和組件間接口組成。通過多步驟的鑒別、認證，TCA可以實現(xiàn)身份鑒別、平臺鑒別、完整性度量、策略管理、保密通信等功能。在鑒別身份、判斷被授權(quán)允許訪問網(wǎng)絡(luò)的基礎(chǔ)上，TCA還要檢查終端當前的完整性及其他安全屬性是否與網(wǎng)絡(luò)要求的安全策略一致，從而為網(wǎng)絡(luò)環(huán)境提供穩(wěn)定可靠的保證[10]。

▲圖7 可信網(wǎng)絡(luò)連接架構(gòu)關(guān)鍵流程

4.3 零信任關(guān)鍵技術(shù)

美國國家標準與技術(shù)研究院（NIST）將零信任的核心技術(shù)歸納為軟件定義邊界（SDP）、身份和訪問管理、微隔離[11]，如圖8所示。

▲圖8 基于軟件定義邊界、身份和訪問管理、微隔離三大關(guān)鍵技術(shù)的零信任網(wǎng)絡(luò)架構(gòu)

SDP基于安全策略可靈活創(chuàng)建邊界，用于將服務(wù)與不安全的網(wǎng)絡(luò)隔離開，提供按需、動態(tài)的網(wǎng)絡(luò)安全。區(qū)別于傳統(tǒng)傳輸控制協(xié)議（TCP）/IP網(wǎng)絡(luò)的默認允許連接，在沒有經(jīng)過身份驗證和授權(quán)之前，受保護的資源對于終端用戶是完全不可見。SDP主要由SDP控制器、SDP安全網(wǎng)關(guān)、SDP客戶端三大組件構(gòu)成。其中，SDP控制器用于認證和授權(quán)SDP客戶端，并配置SDP網(wǎng)關(guān)的連接；SDP網(wǎng)關(guān)與控制器通信并強制執(zhí)行策略，控制客戶端的訪問流量。

身份和訪問管理可確認訪問者身份的合法性，并為合法用戶在規(guī)定時間內(nèi)按照訪問權(quán)限來要求受保護資源提供一種安全的方法。身份和訪問管理技術(shù)的發(fā)展經(jīng)歷了從粗粒度到細粒度的轉(zhuǎn)變，實現(xiàn)了設(shè)備內(nèi)部不同端口之間的流量控制。此外，基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABAC）、基于任務(wù)的訪問控制（TBAC）等均各有側(cè)重。對于零信任網(wǎng)絡(luò)的身份與訪問控制（IAM），目前人們正在提升策略的動態(tài)性，并嘗試將已有技術(shù)的優(yōu)勢加以融合。

微隔離是一種細粒度的邊界安全管理策略，是邊界隔離不斷向受保護資源靠近的結(jié)果，主要以軟硬件結(jié)合的方式，通過虛擬化環(huán)境中劃分邏輯域來形成邏輯上的安全邊界，實現(xiàn)細粒度的流量監(jiān)測、訪問控制和安全審計功能。目前微隔離的實現(xiàn)方法主要分為物理安全設(shè)備（防火墻、IPS、IDS等）、主機代理、軟交換（Softswitch）和虛擬機監(jiān)視 器 （Hypervisor） 等方式[25]。

4.4 DevSecOps關(guān)鍵技術(shù)

DevSecOps將多項安全技術(shù)集成于軟件開發(fā)的整體流程中，其基本技術(shù)架構(gòu)如圖9所示。其中，云原生應(yīng)用程序保護平臺（CNAPP）是一個整合了安全和合規(guī)方法的功能集，作為云原生應(yīng)用安全開發(fā)的基礎(chǔ)設(shè)施保障與框架；應(yīng)用運行自我保護（RASP）內(nèi)置于應(yīng)用內(nèi)部，通過鉤子（Hook）關(guān)鍵函數(shù)，實時監(jiān)測應(yīng)用在運行時與其他系統(tǒng)的交互過程，可根據(jù)上下文環(huán)境識別并阻斷攻擊；交互式應(yīng)用安全測試技術(shù)（IAST）通過在軟件代碼運行的中間件上插入探針，自動識別和判斷應(yīng)用中的安全漏洞；軟件成分分析（SCA）通過對二進制軟件的組成部分進行分析，清點開源軟件的組件及其構(gòu)成和依賴關(guān)系，識別已知的安全漏洞或者潛在的許可證授權(quán)問題，并把這些風(fēng)險排查在應(yīng)用系統(tǒng)投產(chǎn)之前，也適用于應(yīng)用系統(tǒng)運行中的診斷分析；入侵與攻擊模擬（BAS）通過持續(xù)模擬針對企業(yè)資產(chǎn)進行攻擊的劇本及payload，驗證企業(yè)安全防御的有效性[14]。

▲圖9 DevSecOps安全技術(shù)棧架構(gòu)

4.5 其他內(nèi)生安全技術(shù)

4.5.1 增強的密碼技術(shù)

密碼技術(shù)是安全領(lǐng)域的基礎(chǔ)，主要基于傳統(tǒng)數(shù)學(xué)難題的諸多公鑰密碼體系。由于量子計算正面臨嚴峻的安全威脅，傳統(tǒng)密碼學(xué)又發(fā)展為兩種：利用量子力學(xué)性質(zhì)來保護數(shù)據(jù)的量子密碼學(xué)和能夠抵抗量子算法攻擊的經(jīng)典密碼學(xué)，其中后者又被稱為后量子密碼學(xué)。

量子密碼協(xié)議目前正處于量子密鑰分配協(xié)議遙遙領(lǐng)先、其他協(xié)議有待突破的狀態(tài)。量子密鑰分配是一種通信雙方通過傳輸量子態(tài)來建立密鑰的協(xié)議。最著名的BB84和E91協(xié)議通過量子態(tài)糾纏協(xié)商安全密鑰。如果攻擊者試圖讀出基于糾纏的量子態(tài)中的信息，量子態(tài)將不再處于疊加態(tài)，通信雙方將意識到攻擊者可能存在，即拋棄本次協(xié)商并重新進行新的協(xié)商[26]。

后量子密碼學(xué)算法的實現(xiàn)方法主要有4種：基于格、基于編碼、基于多變量、基于哈希。當參數(shù)選取適當時，目前還沒有已知的經(jīng)典算法和量子算法可以快速求解這些問題。

4.5.2 物理層安全關(guān)鍵技術(shù)

物理層安全技術(shù)是十分有前景的上層密碼學(xué)技術(shù)的替代/增強方案，主要包括物理層身份認證、物理層密鑰生成、物理層安全傳輸。

物理層身份認證技術(shù)利用無線終端設(shè)備在生產(chǎn)過程中不可避免的容差，針對設(shè)備發(fā)射信號的瞬態(tài)、穩(wěn)態(tài)部分，提取設(shè)備特異性的“指紋”，進而實現(xiàn)對海量終端的認證。物理層密鑰生成技術(shù)利用通信雙方私有的信道特征，提供實時生成、無需分發(fā)的快速密鑰更新手段，實現(xiàn)一次一密的完美加密效果。物理層安全傳輸技術(shù)則利用無線信道的差異設(shè)計與位置強關(guān)聯(lián)的信號傳輸和處理機制，使得只有在期望位置上的用戶才能正確解調(diào)信號，其他位置上的用戶解調(diào)后只能得到置亂加擾、不可恢復(fù)的信息[15-16]。

4.5.3 數(shù)字孿生網(wǎng)絡(luò)關(guān)鍵技術(shù)

數(shù)字孿生網(wǎng)絡(luò)是物理網(wǎng)絡(luò)的虛擬表示，基于數(shù)據(jù)和模型與物理網(wǎng)絡(luò)實時交互映射，從而提供診斷評估、決策分析、預(yù)測性運維等能力，新的安全技術(shù)可以更容易地在數(shù)字孿生網(wǎng)絡(luò)中得到測試與驗證。

數(shù)字孿生網(wǎng)絡(luò)架構(gòu)可以分為物理網(wǎng)絡(luò)層、孿生網(wǎng)絡(luò)層、網(wǎng)絡(luò)應(yīng)用層。物理網(wǎng)絡(luò)層主要包含構(gòu)成端到端網(wǎng)絡(luò)的物理實體，包括移動接入網(wǎng)、移動核心網(wǎng)、骨干網(wǎng)、數(shù)據(jù)中心網(wǎng)或端到端的跨域網(wǎng)絡(luò)等。物理網(wǎng)絡(luò)層通過接口實現(xiàn)與網(wǎng)絡(luò)孿生體的網(wǎng)絡(luò)數(shù)據(jù)和控制信息交互。孿生網(wǎng)絡(luò)層包含3個關(guān)鍵子系統(tǒng)：數(shù)據(jù)共享倉庫、服務(wù)映射模型和網(wǎng)絡(luò)孿生體管理，分別提供網(wǎng)絡(luò)數(shù)據(jù)采集和存儲及統(tǒng)一接口服務(wù)、數(shù)據(jù)模型實例、全生命周期管理和可視化呈現(xiàn)服務(wù)。網(wǎng)絡(luò)應(yīng)用層通過接口將需求輸入至孿生網(wǎng)絡(luò)層，同時進行業(yè)務(wù)部署。充分驗證后，孿生網(wǎng)絡(luò)層將控制更新下發(fā)至物理網(wǎng)絡(luò)層，以實現(xiàn)網(wǎng)絡(luò)創(chuàng)新技術(shù)和應(yīng)用低成本、高效率的快速部署[27]。

5 結(jié)束語

未來網(wǎng)絡(luò)應(yīng)具備內(nèi)生安全屬性已成為網(wǎng)絡(luò)安全領(lǐng)域的共識，但目前內(nèi)生安全概念的明確內(nèi)涵（建設(shè)什么樣的內(nèi)生安全）與內(nèi)生安全的技術(shù)路線（如何建設(shè)內(nèi)生安全）尚未形成一致性方案。為此，本文從網(wǎng)絡(luò)發(fā)展的角度分析了網(wǎng)絡(luò)內(nèi)生安全建設(shè)的必要性，討論了從當前多強并立狀態(tài)到網(wǎng)絡(luò)內(nèi)生安全完全建成的演進階段，簡要介紹了當前包括擬態(tài)防御、可信計算、零信任、物理層安全在內(nèi)的多條技術(shù)路線齊頭并進的研究現(xiàn)狀，并從架構(gòu)的層面概述了各路線的關(guān)鍵技術(shù)，嘗試梳理總結(jié)網(wǎng)絡(luò)內(nèi)生安全的現(xiàn)狀。