閆新成/YAN Xincheng，周娜/ZHOU Na，蔣志紅/JIANG Zhihong

（1. 移動(dòng)網(wǎng)絡(luò)和移動(dòng)多媒體技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，中國 深圳 518055；2. 中興通訊股份有限公司，中國 深圳 518057 ）

1 未來網(wǎng)絡(luò)的安全挑戰(zhàn)

網(wǎng)絡(luò)的演進(jìn)是一個(gè)開放性和動(dòng)態(tài)性不斷增加的過程。5G/5G-A 面向醫(yī)療、交通、工業(yè)等領(lǐng)域，促進(jìn)通信技術(shù)（CT）與信息技術(shù)（IT）/運(yùn)營技術(shù)（OT）的融合；6G網(wǎng)絡(luò)與算力融合，嘗試對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行感知，實(shí)現(xiàn)泛在的接入和服務(wù)訪問。未來的網(wǎng)絡(luò)除了要提供更快的傳輸速率、更精準(zhǔn)的服務(wù)、更智能的連接外，還需要提供更安全可信的傳輸能力。這就不僅需要安全適應(yīng)網(wǎng)絡(luò)，解決由開放性和靈活性所造成的安全問題[1]，還要使網(wǎng)絡(luò)具備內(nèi)生的安全能力，基于網(wǎng)絡(luò)的新特性，更好地發(fā)揮網(wǎng)絡(luò)的安全潛能。

1.1 安全需求

隨著網(wǎng)絡(luò)的演進(jìn)和發(fā)展，融合體系、通信模式和防護(hù)主體都發(fā)生了變化，這也促使了網(wǎng)絡(luò)安全架構(gòu)的發(fā)展。

首先，新的網(wǎng)絡(luò)融合體系對(duì)傳統(tǒng)互聯(lián)網(wǎng)協(xié)議（IP）安全體系提出了挑戰(zhàn)。數(shù)字經(jīng)濟(jì)發(fā)展需要云邊端協(xié)同的強(qiáng)大算力和廣泛覆蓋的網(wǎng)絡(luò)連接做支撐，算網(wǎng)融合已成為重要趨勢(shì)。算網(wǎng)融合衍生出新的網(wǎng)絡(luò)結(jié)構(gòu)，但角色多樣泛在化、連接多變動(dòng)態(tài)化、信任關(guān)系多元復(fù)雜化等特點(diǎn)為攻擊提供了更多的條件，這會(huì)嚴(yán)重加劇攻擊程度，因此需要人們重新審視算力網(wǎng)絡(luò)的安全防護(hù)架構(gòu)與能力[2]。由于IP缺乏安全設(shè)計(jì)，未來網(wǎng)絡(luò)需要從架構(gòu)上解決IP安全問題[3]。

其次，新的網(wǎng)絡(luò)通信模式對(duì)以網(wǎng)絡(luò)服務(wù)為主體的傳統(tǒng)防護(hù)模型提出了挑戰(zhàn)。園區(qū)生產(chǎn)網(wǎng)絡(luò)采用工業(yè)總線技術(shù)，經(jīng)IP化改造后，將普遍采用L2/L3 層點(diǎn)對(duì)點(diǎn)（D2D）的通信模式[4-5]。由于傳統(tǒng)的OT網(wǎng)絡(luò)通信協(xié)議缺乏嚴(yán)格的權(quán)限管理和驗(yàn)證機(jī)制，IP化改造后基于靜態(tài)配置的網(wǎng)絡(luò)訪問控制策略難以奏效，攻擊者可能會(huì)假冒合法用戶身份進(jìn)行越權(quán)訪問[6]，并利用系統(tǒng)漏洞發(fā)起網(wǎng)絡(luò)攻擊。現(xiàn)有的IT 安全以保護(hù)客戶端-服務(wù)端（C-S）通信模式為主，難以解決OT局域網(wǎng)IP化后訪問不受控的問題。

最后，防護(hù)主體的變化對(duì)傳統(tǒng)孤立的防護(hù)模式提出了挑戰(zhàn)。協(xié)同制造使移動(dòng)通信網(wǎng)絡(luò)與先進(jìn)制造技術(shù)深度融合：園區(qū)內(nèi)OT設(shè)備通過多種方式混合接入企業(yè)生產(chǎn)制造網(wǎng)絡(luò)，園區(qū)外不同企業(yè)間通過廣域網(wǎng)動(dòng)態(tài)構(gòu)建專網(wǎng)進(jìn)行協(xié)同生產(chǎn)。園區(qū)內(nèi)的局域應(yīng)用向廣域化轉(zhuǎn)變，網(wǎng)絡(luò)風(fēng)險(xiǎn)由消費(fèi)領(lǐng)域向產(chǎn)業(yè)領(lǐng)域持續(xù)滲透，這需要進(jìn)行多信任主體間的協(xié)同防護(hù)。行業(yè)終端和邊緣節(jié)點(diǎn)因安全能力不足，也需要端到端地設(shè)計(jì)安全方案，提供多點(diǎn)多域的協(xié)同防護(hù)機(jī)制。由于網(wǎng)絡(luò)廣域互聯(lián)、攻擊各個(gè)層面容易擴(kuò)散，海量異構(gòu)節(jié)點(diǎn)存在安全能力差異，針對(duì)行業(yè)應(yīng)用的惡意攻擊也將不斷增加[5]。

在網(wǎng)絡(luò)架構(gòu)融合開放的發(fā)展趨勢(shì)下，傳統(tǒng)外掛式、補(bǔ)丁式的被動(dòng)安全防御機(jī)制已無法有效支撐未來網(wǎng)絡(luò)安全性需求，因此需要基于網(wǎng)絡(luò)“內(nèi)生安全”的理念去解決網(wǎng)絡(luò)安全問題[7-9]。目前業(yè)界對(duì)網(wǎng)絡(luò)內(nèi)生安全的研究主要包括網(wǎng)絡(luò)通信的可信和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可信兩方面。本文中的研究主要聚焦于前者，簡稱為可信通信，即將安全功能作為基本要素耦合到體系結(jié)構(gòu)中，在不借助外力（安全軟件、防火墻等）的情況下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)通信的攻擊防范和內(nèi)生安全保障[15]。

當(dāng)前業(yè)界非常重視網(wǎng)絡(luò)內(nèi)生安全技術(shù)研究[10]：科技部專項(xiàng)研究《1.3 內(nèi)生安全支撐的新型網(wǎng)絡(luò)體系結(jié)構(gòu)與關(guān)鍵技術(shù)》涵蓋了網(wǎng)絡(luò)體系結(jié)構(gòu)內(nèi)生安全機(jī)理、未知網(wǎng)絡(luò)攻擊免疫方法等內(nèi)容；產(chǎn)業(yè)界也在近年來開展了IP網(wǎng)絡(luò)內(nèi)生安全的研究，網(wǎng)絡(luò)5.0產(chǎn)業(yè)聯(lián)盟在《網(wǎng)絡(luò)5.0技術(shù)白皮書》[11]中提出網(wǎng)絡(luò)需要具備可信管理、可信接入以及可信路由能力等可信通信能力，并強(qiáng)調(diào)了抗網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)內(nèi)生安全能力需求；全球標(biāo)準(zhǔn)組織積極研究和制定攻擊防御技術(shù)相關(guān)安全標(biāo)準(zhǔn)；運(yùn)營商一致認(rèn)同網(wǎng)絡(luò)安全可信的重要性，并針對(duì)攻擊問題提出內(nèi)生安全能力需求。

1.2 網(wǎng)絡(luò)攻擊分析

網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)的目的是建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境，保護(hù)網(wǎng)絡(luò)系統(tǒng)免受攻擊。要達(dá)成網(wǎng)絡(luò)可信通信的目標(biāo)，需要先分析網(wǎng)絡(luò)攻擊。傳統(tǒng)的IP 網(wǎng)絡(luò)體系設(shè)計(jì)以設(shè)備間通信互聯(lián)為導(dǎo)向，難以在網(wǎng)絡(luò)層實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)控制。未來網(wǎng)的典型攻擊的特征和原理分析如表1所示。

▼表1 未來網(wǎng)絡(luò)典型攻擊分析

基于網(wǎng)絡(luò)業(yè)務(wù)安全需求和所面臨的攻擊風(fēng)險(xiǎn)的綜合分析，我們提出了未來網(wǎng)絡(luò)可信通信技術(shù)需求，如圖1 所示。為及時(shí)、高效、系統(tǒng)地實(shí)現(xiàn)可信通信，需要網(wǎng)絡(luò)盡早檢查終端源地址的真實(shí)性，并有效驗(yàn)證終端用戶訪問應(yīng)用的合法性，確保只有真實(shí)終端得到合法授權(quán)才能被允許訪問行業(yè)應(yīng)用。與此同時(shí)，還應(yīng)考慮跨域場(chǎng)景下的協(xié)同防護(hù)機(jī)制，針對(duì)報(bào)文重放攻擊的防范機(jī)制以及對(duì)傳統(tǒng)終端和網(wǎng)絡(luò)的兼容性方案，全方位、多角度增強(qiáng)系統(tǒng)安全可信通信能力。

▲圖1 未來網(wǎng)絡(luò)可信通信技術(shù)需求

2 可信通信的設(shè)計(jì)原則與技術(shù)體系

網(wǎng)絡(luò)可信通信（NISC）體系是專門針對(duì)未來網(wǎng)絡(luò)的關(guān)鍵安全需求及現(xiàn)有技術(shù)的缺陷而構(gòu)建的。基于可信的網(wǎng)絡(luò)架構(gòu)和IP 協(xié)議，NISC 應(yīng)具備近源協(xié)同防護(hù)、無狀態(tài)隨路驗(yàn)證等特征，無須依賴攻擊先驗(yàn)知識(shí)，能及時(shí)、主動(dòng)識(shí)別控制異常的通信數(shù)據(jù)流，減輕攻擊造成的系統(tǒng)危害。在設(shè)計(jì)可信通信機(jī)制時(shí)，為了提供體系化的可信通信能力，應(yīng)考慮具有以下特性的安全防御機(jī)制：

1）實(shí)時(shí)性：借助網(wǎng)絡(luò)層為業(yè)務(wù)提供接入域、傳輸域、目的域等多點(diǎn)防范，盡可能實(shí)現(xiàn)自動(dòng)化接入和靠近攻擊源的防護(hù)。

2）高效性：打造高效防御阻斷系統(tǒng)，減少業(yè)務(wù)沖擊，為未來網(wǎng)絡(luò)賦予高性價(jià)比、精準(zhǔn)化攻擊檢測(cè)能力。

3）系統(tǒng)性：面向全系統(tǒng)構(gòu)建攻擊防護(hù)方案，設(shè)計(jì)系統(tǒng)性的信任鏈傳遞機(jī)制，多維度、多層次、多位置提供服務(wù)節(jié)點(diǎn)可信可控防護(hù)機(jī)制。

基于上述設(shè)計(jì)原則，NISC技術(shù)具體應(yīng)滿足下列要求：

1）源地址真實(shí)性要求。針對(duì)因IP地址假冒所引發(fā)的攻擊問題，需要對(duì)通信發(fā)起端的身份或標(biāo)識(shí)，通過輕量化訪問控制技術(shù)、密碼算法技術(shù)進(jìn)行真實(shí)性校驗(yàn)。這樣能夠增強(qiáng)網(wǎng)絡(luò)業(yè)務(wù)通信的可信度，彌補(bǔ)端到端安全訪問能力方面存在的不足。

2）服務(wù)授權(quán)訪問要求。在地址真實(shí)性得以保障的基礎(chǔ)上，端到端通信業(yè)務(wù)應(yīng)根據(jù)業(yè)務(wù)認(rèn)證與訪問授權(quán)情況，借助密碼學(xué)機(jī)制識(shí)別合法報(bào)文并實(shí)施服務(wù)可訪問控制，確保業(yè)務(wù)獲取目的端的認(rèn)證和授權(quán)，從而阻止網(wǎng)絡(luò)攻擊行為的發(fā)生。

3）協(xié)同防護(hù)要求。對(duì)于通信業(yè)務(wù)經(jīng)過不同信任主體的情況，可以基于密鑰派生、認(rèn)證信息共享等機(jī)制來實(shí)現(xiàn)安全域間的互信傳輸，并盡量在靠近報(bào)文發(fā)起源、目標(biāo)域檢測(cè)數(shù)據(jù)報(bào)文的合法性，保障多信任主體場(chǎng)景的高效攻擊阻斷、端到端系統(tǒng)性防御。

4）報(bào)文抗重放要求。系統(tǒng)應(yīng)基于時(shí)間校驗(yàn)子、序列號(hào)等動(dòng)態(tài)因子對(duì)重放報(bào)文進(jìn)行輕量化主動(dòng)識(shí)別和檢查，有效避免因非法截獲報(bào)文引起的重放攻擊。

5）兼容性要求?？尚磐ㄐ偶夹g(shù)應(yīng)對(duì)傳統(tǒng)終端、網(wǎng)絡(luò)以及傳輸設(shè)備提供兼容性支持。

圖2為NISC可信通信體系架構(gòu)，包括控制面和轉(zhuǎn)發(fā)面，分別實(shí)現(xiàn)網(wǎng)絡(luò)可信身份和基于憑證的可信轉(zhuǎn)發(fā)?？刂泼尕?fù)責(zé)用戶設(shè)備認(rèn)證、業(yè)務(wù)授權(quán)、網(wǎng)絡(luò)可信身份生成、可信憑證分配等管理功能，并作為通信系統(tǒng)信任錨點(diǎn)，為轉(zhuǎn)發(fā)面源端身份可信檢驗(yàn)及業(yè)務(wù)可訪問控制等提供驗(yàn)證依據(jù)。轉(zhuǎn)發(fā)面基于控制面?zhèn)鬟f的可信憑證，負(fù)責(zé)全系統(tǒng)通信過程中的數(shù)據(jù)隨路識(shí)別、驗(yàn)證和控制。通過控制面和轉(zhuǎn)發(fā)面的信任關(guān)聯(lián)，NISC 為未來網(wǎng)絡(luò)系統(tǒng)安全可信通信提供了系統(tǒng)性保障。

▲圖2 網(wǎng)絡(luò)可信通信體系架構(gòu)

1）控制面包含目標(biāo)域認(rèn)證服務(wù)器、授權(quán)服務(wù)器、接入認(rèn)證服務(wù)器等網(wǎng)元：

a）目標(biāo)域認(rèn)證服務(wù)器由企業(yè)或目的應(yīng)用方部署，對(duì)用戶設(shè)備進(jìn)行認(rèn)證并生成驗(yàn)證信息，實(shí)現(xiàn)自動(dòng)化可信企業(yè)接入認(rèn)證，為用戶設(shè)備安全接入企業(yè)應(yīng)用提供保障。

b）授權(quán)服務(wù)器也由企業(yè)或目的應(yīng)用方部署，基于細(xì)粒度的服務(wù)防控策略對(duì)成功認(rèn)證的用戶進(jìn)行服務(wù)訪問授權(quán)，并控制授權(quán)有效期，避免因永久授權(quán)造成的安全攻擊隱患。

c）接入認(rèn)證服務(wù)器由接入網(wǎng)絡(luò)運(yùn)營商部署，對(duì)用戶設(shè)備接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，提供源地址真實(shí)性驗(yàn)證和抗重放驗(yàn)證依據(jù)。

2）轉(zhuǎn)發(fā)面除了用戶設(shè)備、應(yīng)用以外，還包含接入網(wǎng)關(guān)、服務(wù)網(wǎng)關(guān)和路由器等傳輸節(jié)點(diǎn)：

a）接入網(wǎng)關(guān)所涉及的功能：用戶設(shè)備的地址真實(shí)性驗(yàn)證；按照運(yùn)營商或企業(yè)需求，針對(duì)業(yè)務(wù)的可訪問性執(zhí)行授權(quán)、驗(yàn)證和控制功能；提供通信流量的抗重放驗(yàn)證，從近源端有效避免攻擊者因非法截獲或惡意構(gòu)造報(bào)文所導(dǎo)致的重放威脅。

b）服務(wù)網(wǎng)關(guān)控制用戶對(duì)企業(yè)的訪問行為：識(shí)別并控制服務(wù)授權(quán)請(qǐng)求報(bào)文；按照運(yùn)營商或企業(yè)需求，針對(duì)業(yè)務(wù)的可訪問性執(zhí)行授權(quán)、驗(yàn)證和控制功能。

c）路由器針對(duì)業(yè)務(wù)的可訪問性實(shí)現(xiàn)授權(quán)、驗(yàn)證和控制功能：該項(xiàng)功能無須通信路徑中所有路由器參與，需要根據(jù)業(yè)務(wù)需求、運(yùn)營商需求以及網(wǎng)絡(luò)能力在域邊界路由器上部署并啟動(dòng)。

針對(duì)跨域通信的情況，除了在接入網(wǎng)關(guān)和服務(wù)網(wǎng)關(guān)執(zhí)行數(shù)據(jù)流驗(yàn)證功能以外，中間域也可在其邊界路由器部署、啟用數(shù)據(jù)流驗(yàn)證功能，對(duì)域間發(fā)生的攻擊場(chǎng)景形成安全屏障，從而減輕目的端網(wǎng)關(guān)處理負(fù)擔(dān)。

面向業(yè)務(wù)的網(wǎng)絡(luò)層可信通信通過終端業(yè)務(wù)身份認(rèn)證、服務(wù)授權(quán)、服務(wù)訪問控制機(jī)制全方位構(gòu)建目標(biāo)域可訪問能力，利用驗(yàn)證信息的統(tǒng)一化生成、動(dòng)態(tài)更新管理以及輕量化抗重放機(jī)制，為業(yè)務(wù)訪問提供高效的合法性驗(yàn)證依據(jù)，增強(qiáng)網(wǎng)絡(luò)自身抵御攻擊的能力。同時(shí)，在網(wǎng)絡(luò)層面實(shí)現(xiàn)近源以及近目的的多點(diǎn)攻擊防范，及時(shí)阻止無合法訪問權(quán)限的真實(shí)地址用戶非法訪問業(yè)務(wù)行為，達(dá)成流量實(shí)時(shí)高效檢測(cè)控制的安全防護(hù)系統(tǒng)。

3 可信通信關(guān)鍵技術(shù)

網(wǎng)絡(luò)可信通信關(guān)鍵技術(shù)包括源地址真實(shí)性檢查、服務(wù)動(dòng)態(tài)授權(quán)機(jī)制、跨域協(xié)同防護(hù)、重放攻擊主動(dòng)檢測(cè)、終端兼容性，如圖3所示。

▲圖3 網(wǎng)絡(luò)可信通信的關(guān)鍵技術(shù)

3.1 源地址真實(shí)性檢查

傳統(tǒng)IP 網(wǎng)絡(luò)缺乏基本的安全性設(shè)計(jì)，因此仿冒源地址引發(fā)的攻擊層出不窮，而現(xiàn)有的可信通信技術(shù)驗(yàn)證開銷大，保護(hù)機(jī)制不夠健全，難以滿足多樣化應(yīng)用、海量終端的泛在網(wǎng)絡(luò)安全需求，因而需要考慮如何系統(tǒng)性地構(gòu)建高效的業(yè)務(wù)真實(shí)源驗(yàn)證安全機(jī)制[12]。

作為信息隱私保護(hù)的一種典型技術(shù)，基于對(duì)稱密鑰的驗(yàn)證機(jī)制具有統(tǒng)一信任錨點(diǎn)，可以利用控制面集中生成或多方協(xié)商、派生出具有私密屬性的共享密鑰，具體如圖4 所示。統(tǒng)一信任錨點(diǎn)借助該共享密鑰對(duì)需要驗(yàn)證的信息進(jìn)行密碼學(xué)運(yùn)算，生成相關(guān)的通信驗(yàn)證憑證，再下發(fā)給報(bào)文發(fā)起端。發(fā)起端在每報(bào)文中攜帶通信驗(yàn)證憑證。收到業(yè)務(wù)報(bào)文之后，轉(zhuǎn)發(fā)面驗(yàn)證節(jié)點(diǎn)基于事先獲取的共享密鑰和報(bào)文中待驗(yàn)證信息，利用與信任錨點(diǎn)一致的密碼學(xué)算法生成通信驗(yàn)證憑證，以此對(duì)報(bào)文合法性進(jìn)行識(shí)別和區(qū)分。相對(duì)于非對(duì)稱密鑰，對(duì)稱密鑰運(yùn)算性能更好，可提供更高效的驗(yàn)證和控制機(jī)制。

▲圖4 基于對(duì)稱密鑰的真實(shí)性驗(yàn)證機(jī)制

在用戶設(shè)備接入網(wǎng)絡(luò)執(zhí)行認(rèn)證的過程中，接入認(rèn)證服務(wù)器基于該設(shè)備的標(biāo)識(shí)信息（ID）對(duì)用戶進(jìn)行認(rèn)證，采用散列消息認(rèn)證碼（HMAC）算法，并根據(jù)共享密鑰生成驗(yàn)證碼，之后再返回給用戶設(shè)備。經(jīng)過地址可信分配后，用戶設(shè)備獲取含有設(shè)備標(biāo)識(shí)的地址信息。在業(yè)務(wù)通信過程中，每數(shù)據(jù)報(bào)文將攜帶驗(yàn)證碼信息，然后由接入網(wǎng)關(guān)根據(jù)事先獲得的共享密鑰以及報(bào)文中的標(biāo)識(shí)和驗(yàn)證碼信息執(zhí)行用戶設(shè)備的源地址校驗(yàn)。

基于業(yè)務(wù)源IP 的真實(shí)性控制機(jī)制提供了面向用戶可信身份的認(rèn)證增強(qiáng)、基于密碼學(xué)的接入網(wǎng)驗(yàn)證技術(shù)，避免因地址假冒引發(fā)的網(wǎng)絡(luò)攻擊、信息非法獲取等異常操作，實(shí)現(xiàn)用戶接入云網(wǎng)系統(tǒng)時(shí)的輕量化實(shí)時(shí)驗(yàn)證和網(wǎng)絡(luò)安全可信傳輸。

3.2 服務(wù)動(dòng)態(tài)授權(quán)機(jī)制

為了及時(shí)阻止未經(jīng)許可的流量惡意注入，避免非法訪問對(duì)應(yīng)用系統(tǒng)帶來的不利影響，在充分保證終端用戶源地址真實(shí)的同時(shí)，目標(biāo)應(yīng)用系統(tǒng)的可訪問性也應(yīng)得到關(guān)注。端到端通信業(yè)務(wù)中如何確保終端用戶獲取目的端訪問授權(quán)、如何高效識(shí)別數(shù)據(jù)報(bào)文的合法與否等問題均值得深入研究[13]。

服務(wù)動(dòng)態(tài)授權(quán)全方位構(gòu)建了目標(biāo)域鑒權(quán)、授權(quán)和網(wǎng)絡(luò)驗(yàn)證機(jī)制。如圖5所示，服務(wù)端基于終端的信任度、應(yīng)用系統(tǒng)資源占用情況、應(yīng)用訪問控制列表等策略，對(duì)合法訪問應(yīng)用的終端進(jìn)行動(dòng)態(tài)授權(quán)，并在數(shù)據(jù)轉(zhuǎn)發(fā)層面由網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)其業(yè)務(wù)流量進(jìn)行合法性驗(yàn)證，及時(shí)阻止無合法訪問權(quán)限的真實(shí)地址用戶非法訪問業(yè)務(wù)的惡意行為，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的有效防護(hù)。服務(wù)動(dòng)態(tài)授權(quán)利用驗(yàn)證信息的統(tǒng)一化生成、一致性表達(dá)、動(dòng)態(tài)更新管理機(jī)制，為用戶訪問業(yè)務(wù)提供高效的合法性驗(yàn)證依據(jù)，構(gòu)建流量實(shí)時(shí)高效檢測(cè)控制的安全防護(hù)系統(tǒng)。該機(jī)制兼具動(dòng)態(tài)授權(quán)和無狀態(tài)過濾的優(yōu)點(diǎn)，既能主動(dòng)防范針對(duì)主機(jī)身份的網(wǎng)絡(luò)攻擊，又能有效抵御反射性攻擊、泛洪攻擊和中間人攻擊等各種分布式拒絕服務(wù)（DDoS）攻擊，增強(qiáng)了系統(tǒng)主動(dòng)抵御攻擊的可信通信能力。

▲圖5 服務(wù)動(dòng)態(tài)授權(quán)機(jī)制

3.3 跨域協(xié)同防護(hù)

在傳統(tǒng)防護(hù)模式中，當(dāng)終端用戶訪問企業(yè)應(yīng)用系統(tǒng)時(shí)，運(yùn)營商網(wǎng)絡(luò)對(duì)用戶進(jìn)行接入認(rèn)證，并作為管道承載用戶與應(yīng)用間的業(yè)務(wù)認(rèn)證。當(dāng)運(yùn)營商網(wǎng)絡(luò)與企業(yè)應(yīng)用系統(tǒng)處于不同信任域時(shí)，用戶和接入網(wǎng)絡(luò)、用戶和應(yīng)用系統(tǒng)分別建立信任關(guān)系，獨(dú)立進(jìn)行認(rèn)證、授權(quán)和驗(yàn)證。這種基于二元信任的攻擊防御模式[14]傳輸開銷大，驗(yàn)證效率低。這種攻擊防御架構(gòu)無法盡早在接入網(wǎng)絡(luò)對(duì)針對(duì)應(yīng)用系統(tǒng)的攻擊進(jìn)行近源檢測(cè)和防護(hù)，因此防護(hù)效果滯后，給應(yīng)用側(cè)的防御系統(tǒng)帶來較大壓力。

跨域協(xié)同防護(hù)機(jī)制的工作原理如圖6 所示。該機(jī)制通過不同信任域間的信任協(xié)商，以運(yùn)營商網(wǎng)絡(luò)為錨點(diǎn)派生出企業(yè)的驗(yàn)證密鑰。以此為基礎(chǔ)，企業(yè)網(wǎng)絡(luò)在用戶業(yè)務(wù)認(rèn)證時(shí)，派生出用戶的企業(yè)應(yīng)用會(huì)話密鑰。終端用戶基于終端身份、企業(yè)身份及企業(yè)會(huì)話密鑰生成驗(yàn)證碼，并在運(yùn)營商網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)中對(duì)用戶訪問企業(yè)應(yīng)用進(jìn)行多點(diǎn)隨路驗(yàn)證，以從近源端抵御對(duì)企業(yè)應(yīng)用的攻擊。其中，密鑰派生和驗(yàn)證碼生成機(jī)制如圖7所示。

▲圖6 跨域協(xié)同防護(hù)機(jī)制

▲圖7 密鑰派生和驗(yàn)證碼生成機(jī)制

協(xié)同防護(hù)方法通過在不同信任域間建立信任協(xié)同機(jī)制，共享認(rèn)證結(jié)果，協(xié)商信任憑證，構(gòu)建基于用戶、網(wǎng)絡(luò)和應(yīng)用的跨信任域協(xié)同防護(hù)和無狀態(tài)隨路驗(yàn)證機(jī)制。一套憑證即可驗(yàn)證用戶身份與訪問合法性，實(shí)現(xiàn)多點(diǎn)驗(yàn)證、近源防護(hù)，提高了防護(hù)系統(tǒng)的實(shí)時(shí)性、高效性與系統(tǒng)性。

3.4 重放攻擊主動(dòng)檢測(cè)

在可驗(yàn)證信息中添加時(shí)間校驗(yàn)子、序列號(hào)等動(dòng)態(tài)信息，便于接入網(wǎng)關(guān)在用戶設(shè)備發(fā)起業(yè)務(wù)流程時(shí)，及時(shí)基于動(dòng)態(tài)信息對(duì)數(shù)據(jù)包進(jìn)行檢查與控制，有效抵御報(bào)文重放攻擊。

在如圖8 所示的重放攻擊主動(dòng)檢測(cè)機(jī)制中，用戶設(shè)備向接入認(rèn)證服務(wù)器發(fā)起接入認(rèn)證請(qǐng)求。認(rèn)證成功后，接入認(rèn)證服務(wù)器為用戶設(shè)備分配終端密鑰和系統(tǒng)時(shí)間，接入網(wǎng)關(guān)記錄該系統(tǒng)時(shí)間，并結(jié)合網(wǎng)關(guān)本地時(shí)間計(jì)算、保存時(shí)間差。用戶設(shè)備根據(jù)系統(tǒng)時(shí)間和設(shè)備本地時(shí)間計(jì)算時(shí)間差。當(dāng)發(fā)送報(bào)文時(shí)，用戶設(shè)備先根據(jù)時(shí)間差和設(shè)備本地時(shí)間生成時(shí)間校驗(yàn)子，再根據(jù)獲取的終端密鑰、時(shí)間校驗(yàn)子、序列號(hào)等生成校驗(yàn)碼，最后發(fā)送數(shù)據(jù)包，包括校驗(yàn)碼、時(shí)間校驗(yàn)子和序列號(hào)等信息。接入網(wǎng)關(guān)接收到用戶設(shè)備發(fā)送的數(shù)據(jù)包后，根據(jù)保存的時(shí)間差和網(wǎng)關(guān)本地時(shí)間來確定系統(tǒng)時(shí)間，然后檢驗(yàn)數(shù)據(jù)包中動(dòng)態(tài)信息與校驗(yàn)碼，以此識(shí)別、控制因重放攻擊引發(fā)的非法報(bào)文。

▲圖8 重放攻擊主動(dòng)檢測(cè)機(jī)制

3.5 終端兼容性

未來網(wǎng)絡(luò)中海量終端、產(chǎn)業(yè)弱終端均為攻擊者提供了更多的攻擊條件，嚴(yán)重加劇攻擊程度，因此需要考慮終端兼容的可信通信機(jī)制，以減弱對(duì)性能差、安全能力不足或者傳統(tǒng)終端所造成的影響。在終端無須感知的情況下，可考慮由接入網(wǎng)關(guān)代替終端完成可信通信相關(guān)安全功能：一方面需驗(yàn)證報(bào)文所經(jīng)接入網(wǎng)關(guān)的真實(shí)可信；另一方面，對(duì)終端是否可訪問服務(wù)進(jìn)行控制。

當(dāng)終端經(jīng)傳輸設(shè)備發(fā)出報(bào)文時(shí)，接入網(wǎng)關(guān)應(yīng)確定待轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的類型。如果是服務(wù)授權(quán)請(qǐng)求報(bào)文，則使用接入網(wǎng)關(guān)的密鑰對(duì)接入網(wǎng)關(guān)的信息進(jìn)行密碼學(xué)計(jì)算并生成驗(yàn)證值，這便于后續(xù)的傳輸設(shè)備對(duì)報(bào)文的源身份進(jìn)行驗(yàn)證。在保障身份真實(shí)性的基礎(chǔ)上，后續(xù)設(shè)備為該報(bào)文生成預(yù)授權(quán)，并轉(zhuǎn)發(fā)該報(bào)文。給用戶設(shè)備返回的服務(wù)授權(quán)響應(yīng)報(bào)文應(yīng)攜帶授權(quán)檢驗(yàn)信息。接入網(wǎng)關(guān)代替用戶設(shè)備存儲(chǔ)相關(guān)的授權(quán)檢驗(yàn)信息。如果傳輸設(shè)備確定待轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文類型是服務(wù)請(qǐng)求報(bào)文，則對(duì)該報(bào)文添加存儲(chǔ)的授權(quán)檢驗(yàn)信息。接入網(wǎng)關(guān)之后的傳輸設(shè)備對(duì)數(shù)據(jù)報(bào)文攜帶的授權(quán)檢驗(yàn)信息進(jìn)行驗(yàn)證。若驗(yàn)證通過，則轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文。

4 技術(shù)應(yīng)用實(shí)例

基于NISC 體系，中興通訊進(jìn)行了原型研制，并在中國信息通信研究院的協(xié)助下，在未來網(wǎng)絡(luò)試驗(yàn)設(shè)施（CENI）深圳分系統(tǒng)開展了源地址真實(shí)性和服務(wù)動(dòng)態(tài)授權(quán)技術(shù)跨域試驗(yàn)。

如圖9所示，在NISC技術(shù)試驗(yàn)中，接入網(wǎng)關(guān)為用戶設(shè)備提供源地址真實(shí)性檢查功能，服務(wù)網(wǎng)關(guān)和授權(quán)服務(wù)器提供業(yè)務(wù)動(dòng)態(tài)授權(quán)防御功能。整個(gè)系統(tǒng)利用認(rèn)證服務(wù)器進(jìn)行基于用戶設(shè)備標(biāo)識(shí)的認(rèn)證，實(shí)現(xiàn)自主式便捷身份可信認(rèn)證；支持基于對(duì)稱密碼學(xué)的身份可信機(jī)制，實(shí)現(xiàn)增強(qiáng)型高效地址真實(shí)性驗(yàn)證，以及面向應(yīng)用業(yè)務(wù)的可信通信功能。經(jīng)驗(yàn)證，本防御體系可實(shí)時(shí)檢測(cè)并防范未認(rèn)證用戶，非法地址終端導(dǎo)致的泛洪、反射、中間人、越權(quán)訪問等網(wǎng)絡(luò)攻擊，有效增強(qiáng)內(nèi)生的系統(tǒng)性可信通信能力，實(shí)現(xiàn)未來云網(wǎng)系統(tǒng)的高效可信。通過對(duì)現(xiàn)有路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行軟件升級(jí)，可以有效防御絕大多數(shù)典型網(wǎng)絡(luò)攻擊，避免因額外部署流量清洗系統(tǒng)或防火墻等專用安全設(shè)備所帶來的網(wǎng)絡(luò)復(fù)雜、流量迂回和資本性支出（CAPEX）、運(yùn)營成本（OPEX）增加等問題，可以在簡化網(wǎng)絡(luò)部署和運(yùn)營的前提下實(shí)現(xiàn)網(wǎng)絡(luò)安全性能的提升。

▲圖9 網(wǎng)絡(luò)可信通信技術(shù)試驗(yàn)

5 結(jié)束語

網(wǎng)絡(luò)安全已成為社會(huì)發(fā)展、國家安全的基礎(chǔ)需求。隨著未來網(wǎng)絡(luò)的不斷發(fā)展，基于先驗(yàn)知識(shí)的被動(dòng)防御模式已無法滿足新型信任關(guān)系下的安全需求。因此，本文分析了未來網(wǎng)絡(luò)面臨的安全挑戰(zhàn)，探討了網(wǎng)絡(luò)內(nèi)生安全的技術(shù)要求和設(shè)計(jì)原則，提出了NISC 技術(shù)。該技術(shù)具備近源協(xié)同防護(hù)、無狀態(tài)隨路驗(yàn)證等特征。未來，我們將繼續(xù)探索分布式服務(wù)授權(quán)和精細(xì)化防控方案，促進(jìn)可信通信技術(shù)在實(shí)際應(yīng)用中的發(fā)展，如服務(wù)感知網(wǎng)絡(luò)、園區(qū)生產(chǎn)網(wǎng)絡(luò)、協(xié)同制造網(wǎng)絡(luò)等。

致謝

本研究得到中興通訊股份有限公司譚斌、羅鑒、周繼華、宋琳、武天元等專家的幫助，在此表示感謝！