馬錚 閆新成 周繼華 蔣林濤

(1. 中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司研究院,北京 100048;2. 中興通訊股份有限公司,深圳 518057;3. 中國(guó)信息通信研究院,北京 100191)

0 引言

網(wǎng)絡(luò)5.0是由網(wǎng)絡(luò)5.0產(chǎn)業(yè)和技術(shù)創(chuàng)新聯(lián)盟在2018年提出的面向未來(lái)網(wǎng)絡(luò)演進(jìn)的數(shù)據(jù)通信網(wǎng)絡(luò)架構(gòu)。經(jīng)過(guò)近幾年的發(fā)展,網(wǎng)絡(luò)5.0基于新應(yīng)用與新業(yè)務(wù)的接入和承載需求,在繼承網(wǎng)際互連協(xié)議(Internet Protocol,IP)優(yōu)勢(shì)的基礎(chǔ)上,協(xié)同管理面、控制面和數(shù)據(jù)面,連接分散的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)等資源,構(gòu)建一體化的新型信息與通信技術(shù)(Information and Communications Technology,ICT)基礎(chǔ)設(shè)施,向各相關(guān)產(chǎn)業(yè)提供網(wǎng)絡(luò)能力、計(jì)算能力及數(shù)據(jù)能力服務(wù),并使其更加有效地滿(mǎn)足萬(wàn)物互聯(lián)、萬(wàn)物智能、萬(wàn)物感知的需求[1]。

傳統(tǒng)網(wǎng)絡(luò)追求的是“盡力而為”的轉(zhuǎn)發(fā)能力,并沒(méi)有把安全可信作為內(nèi)生的能力,導(dǎo)致應(yīng)對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全威脅非常吃力。網(wǎng)絡(luò)5.0中規(guī)劃的海量連接、廣域覆蓋、低時(shí)延、高帶寬等能力的提升,也為攻擊者實(shí)施更大規(guī)模、更高強(qiáng)度的攻擊提供了可能。因此,網(wǎng)絡(luò)5.0需要針對(duì)新業(yè)務(wù)應(yīng)用場(chǎng)景、新技術(shù)提供更強(qiáng)的安全防護(hù)能力。

鑒于此,網(wǎng)絡(luò)5.0提出了內(nèi)生安全可信體系,通過(guò)可信標(biāo)識(shí)、可信接入、信任傳遞和主動(dòng)防御等內(nèi)生可信機(jī)制,從終端身份真實(shí)性、路徑可信性、服務(wù)合法性等方面構(gòu)建流量實(shí)時(shí)高效檢測(cè)控制的安全防護(hù)系統(tǒng),全方位賦予網(wǎng)絡(luò)可信通信能力,滿(mǎn)足新型信任關(guān)系、網(wǎng)絡(luò)邊界和威脅模型下的泛在網(wǎng)絡(luò)安全需求。

本文將對(duì)網(wǎng)絡(luò)5.0的內(nèi)生安全可信體系進(jìn)行解讀,并介紹當(dāng)前的一些落地方案進(jìn)展。

1 網(wǎng)絡(luò)安全現(xiàn)狀

現(xiàn)有IP協(xié)議的設(shè)計(jì),是中間由路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備組成的網(wǎng)絡(luò),只做簡(jiǎn)單的二層交換或者三層路由,而復(fù)雜的四層及以上的業(yè)務(wù),則由網(wǎng)絡(luò)的端節(jié)點(diǎn)去完成。由于IP技術(shù)具有簡(jiǎn)單、開(kāi)放的特性,能夠以低成本提供高帶寬、低時(shí)延的服務(wù),極大地促進(jìn)了互聯(lián)網(wǎng)的發(fā)展,但是同時(shí)由于缺乏對(duì)安全性足夠的關(guān)注,也導(dǎo)致當(dāng)前網(wǎng)絡(luò)中安全漏洞越來(lái)越多,并且難以得到根治。

隨著通信技術(shù)的發(fā)展和普及,原來(lái)只有極少數(shù)技術(shù)人員掌握的通信安全知識(shí)也越來(lái)越大眾化,加上攻擊方式的自動(dòng)化和工具化,針對(duì)數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行安全攻擊的技術(shù)難度越來(lái)越小,網(wǎng)絡(luò)攻擊的頻度和力度都越來(lái)越大,給個(gè)人、企業(yè)乃至國(guó)家造成越發(fā)嚴(yán)重的損失。同時(shí)網(wǎng)絡(luò)作為數(shù)據(jù)的載體,也面臨著日益增加的安全風(fēng)險(xiǎn),特別是在ICT技術(shù)跨界發(fā)展推動(dòng)技術(shù)融合以后,網(wǎng)絡(luò)作為業(yè)務(wù)與應(yīng)用的入口在安全可信領(lǐng)域面臨著更多的挑戰(zhàn)。

2 傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)機(jī)制的不足

網(wǎng)絡(luò)的安全可信是網(wǎng)絡(luò)可靠運(yùn)行及業(yè)務(wù)開(kāi)展的基本保障。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)重點(diǎn)關(guān)注邊界的安全防護(hù),一般是在現(xiàn)有網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上疊加安全防護(hù)功能,其安全防護(hù)效果已經(jīng)不能適應(yīng)飛速變化的網(wǎng)絡(luò)應(yīng)用需求。

由于IP網(wǎng)絡(luò)在設(shè)計(jì)之初重點(diǎn)關(guān)注連通性而忽視了安全性,致使現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)一直以來(lái)只能通過(guò)增加防火墻等安全專(zhuān)用設(shè)備給予“補(bǔ)丁式”修補(bǔ)的被動(dòng)防御,以及通過(guò)用戶(hù)認(rèn)證、通道加密等手段,進(jìn)行基本底線(xiàn)防御來(lái)完成安全防護(hù)。然而,在網(wǎng)絡(luò)中,IP地址偽造、隱私泄露、中間人攻擊、分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊、基于系統(tǒng)漏洞的攻擊、未知威脅攻擊等頑固安全問(wèn)題依然層出不窮,基于外部系統(tǒng)和疊加技術(shù)實(shí)現(xiàn)的加密、隧道、感知等技術(shù)來(lái)實(shí)現(xiàn)安全防護(hù)功能越來(lái)越難,對(duì)持續(xù)產(chǎn)生的安全問(wèn)題難以根治[2]。

為了從根本上提升網(wǎng)絡(luò)的安全能力,內(nèi)生安全可信成為未來(lái)網(wǎng)絡(luò)5.0的關(guān)鍵需求。

3 網(wǎng)絡(luò)5.0內(nèi)生安全可信需求

網(wǎng)絡(luò)5.0的廣泛覆蓋連接和可靠的網(wǎng)絡(luò)能力,將使其進(jìn)一步成為社會(huì)信息化的基礎(chǔ)設(shè)施,實(shí)現(xiàn)真正的萬(wàn)物互聯(lián)。網(wǎng)絡(luò)5.0承載業(yè)務(wù)應(yīng)用價(jià)值的提升,對(duì)受利益驅(qū)動(dòng)的攻擊者無(wú)疑具有更大的吸引力。海量連接、廣域覆蓋、低時(shí)延、高帶寬等能力的提升,也為實(shí)施更大規(guī)模、更高強(qiáng)度的攻擊提供了可能,網(wǎng)絡(luò)5.0需要針對(duì)新業(yè)務(wù)應(yīng)用場(chǎng)景、新技術(shù)提供更強(qiáng)的安全防護(hù)能力[3]。

網(wǎng)絡(luò)5.0典型場(chǎng)景的安全風(fēng)險(xiǎn)和需求如下。

(1)泛在連接:當(dāng)前網(wǎng)絡(luò)發(fā)展正在從“人-人”互聯(lián)向“物-物”互聯(lián)以及“人-物”互聯(lián)發(fā)展,全球連接數(shù)量將達(dá)到成百上千億規(guī)模,網(wǎng)絡(luò)的范圍將從現(xiàn)在遍布大陸逐漸向海洋、天空甚至外太空發(fā)展,越來(lái)越多未知類(lèi)型的業(yè)務(wù)資源可能會(huì)不斷出現(xiàn)。泛在的連接創(chuàng)造了更多的攻擊條件,可進(jìn)行身份偽造的攻擊點(diǎn)也愈發(fā)增多[4]。

(2)開(kāi)放性:網(wǎng)絡(luò)5.0打破了傳統(tǒng)的安全防護(hù)邊界,網(wǎng)絡(luò)架構(gòu)虛擬化、多種網(wǎng)絡(luò)異構(gòu)互聯(lián)、技術(shù)體制多樣化、數(shù)據(jù)跨域傳輸、多系統(tǒng)多協(xié)議棧融合、高并發(fā)訪(fǎng)問(wèn)、動(dòng)態(tài)賦能、業(yè)務(wù)下沉到邊緣側(cè),使得網(wǎng)絡(luò)更加開(kāi)放。網(wǎng)絡(luò)的開(kāi)放性使得網(wǎng)絡(luò)信任關(guān)系發(fā)生了一定程度的變化,風(fēng)險(xiǎn)延伸至產(chǎn)業(yè)內(nèi)或者異構(gòu)域,通信端的身份更容易被仿冒,應(yīng)加強(qiáng)對(duì)身份可信保障機(jī)制的考慮。

(3)終端異構(gòu):在網(wǎng)絡(luò)5.0中,終端更加多樣化,不僅要提升網(wǎng)絡(luò)覆蓋的廣度,還要提升覆蓋的連接密度,小數(shù)據(jù)包、低功耗、低成本、海量連接的終端便于大量部署。多樣化、海量的終端更容易被攻擊者利用或假冒。

(4)算力提升:未來(lái)網(wǎng)絡(luò)中,為了有效實(shí)現(xiàn)數(shù)字世界與物理世界的交互,網(wǎng)絡(luò)對(duì)算力的需求將持續(xù)提升。伴隨算力提升,單位時(shí)間內(nèi)的數(shù)據(jù)量也將持續(xù)提升,數(shù)據(jù)本地處理需求不斷增多,導(dǎo)致各類(lèi)攻擊(包含因身份假冒而引發(fā)的攻擊)將不斷加劇。

在網(wǎng)絡(luò)5.0的新型架構(gòu)和融合業(yè)務(wù)場(chǎng)景下,網(wǎng)絡(luò)的軟硬件系統(tǒng)復(fù)雜,網(wǎng)絡(luò)設(shè)備的安全暴露面增多,身份假冒、地址欺騙等多種安全風(fēng)險(xiǎn)也會(huì)更大。因此,新的網(wǎng)絡(luò)體系需要確保網(wǎng)絡(luò)設(shè)備的身份可信,確保網(wǎng)絡(luò)設(shè)備在運(yùn)行過(guò)程中的行為可預(yù)期,能夠及時(shí)發(fā)現(xiàn)并上報(bào)異常行為。同時(shí),可以通過(guò)唯一性標(biāo)識(shí)的方法確保網(wǎng)絡(luò)傳輸過(guò)程的完整性、保密性以及可追溯性。

4 網(wǎng)絡(luò)5.0內(nèi)生安全可信架構(gòu)

基于網(wǎng)絡(luò)5.0的應(yīng)用場(chǎng)景、網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)特征的描述和分析,不難發(fā)現(xiàn)網(wǎng)絡(luò)5.0的開(kāi)放性、泛在連接等特性均從不同層面催生出新的安全需求。尤其網(wǎng)絡(luò)5.0中存在海量多元的通信端設(shè)備,對(duì)于低功耗、低成本的弱終端,雖然提升了網(wǎng)絡(luò)覆蓋密度,但是設(shè)備本身的低配置也限制了其安全能力,如缺少防火墻功能,無(wú)法進(jìn)行狀態(tài)監(jiān)控、異常行為上報(bào)、阻斷等,且設(shè)備軟件更新緩慢,用戶(hù)及廠(chǎng)商通常無(wú)法及時(shí)發(fā)現(xiàn)或修復(fù)漏洞,進(jìn)行安全加固,所以弱終端的身份真實(shí)性顯得尤為重要,有效識(shí)別和檢測(cè)終端將減少終端身份假冒帶來(lái)的攻擊。同時(shí),網(wǎng)絡(luò)5.0的算力提升、確定性時(shí)延等特性導(dǎo)致中間人攻擊、DDoS攻擊等攻擊加劇。為了增強(qiáng)網(wǎng)絡(luò)5.0內(nèi)生防御能力設(shè)計(jì),彌補(bǔ)網(wǎng)絡(luò)架構(gòu)、協(xié)議設(shè)計(jì)方面的不足,需要確保網(wǎng)絡(luò)節(jié)點(diǎn)的身份真實(shí)性,提升端到端通信安全能力。

傳統(tǒng)“補(bǔ)丁式”“保鏢式”的安全設(shè)計(jì)模式缺乏內(nèi)生安全的設(shè)計(jì),存在結(jié)構(gòu)僵化、“后知后覺(jué)”、缺乏協(xié)同等問(wèn)題,堆疊、加固的安全架構(gòu)依賴(lài)于先驗(yàn)知識(shí)的被動(dòng)防護(hù)模式以及孤立防護(hù)的安全設(shè)備,難以滿(mǎn)足多樣化應(yīng)用場(chǎng)景的泛在網(wǎng)絡(luò)安全需求,嚴(yán)重制約網(wǎng)絡(luò)5.0的發(fā)展與應(yīng)用,成為融合、開(kāi)放、智能的新型網(wǎng)絡(luò)需求的負(fù)擔(dān)和障礙。例如,雖然網(wǎng)絡(luò)中采用了802.1X等終端接入認(rèn)證技術(shù),但并未將認(rèn)證、地址分配和業(yè)務(wù)控制綁定,無(wú)法實(shí)現(xiàn)基于終端網(wǎng)絡(luò)真實(shí)身份的控制;傳輸安全方面通常都是部分路徑采用了加密傳輸,但在安全通道協(xié)商過(guò)程中仍然存在由于身份假冒導(dǎo)致的中間人攻擊的風(fēng)險(xiǎn),而且還增加了整個(gè)數(shù)據(jù)報(bào)文驗(yàn)證的開(kāi)銷(xiāo)。同時(shí),現(xiàn)有網(wǎng)絡(luò)采用的逐段檢查機(jī)制也會(huì)在網(wǎng)絡(luò)邊界處存在身份假冒的安全隱患。

網(wǎng)絡(luò)5.0是以網(wǎng)絡(luò)為中心的新型網(wǎng)絡(luò),網(wǎng)絡(luò)不僅是數(shù)據(jù)傳輸?shù)耐ǖ?更是網(wǎng)絡(luò)安全的能力中心,是網(wǎng)絡(luò)安全的核心錨點(diǎn)。網(wǎng)絡(luò)5.0構(gòu)造了一套可信可行的安全防護(hù)體系,探索了更高效的安全技術(shù)路徑,從身份、數(shù)據(jù)、網(wǎng)絡(luò)等需求層面,進(jìn)行了系統(tǒng)安全設(shè)計(jì),實(shí)現(xiàn)了可設(shè)計(jì)、可度量、可演進(jìn)的網(wǎng)絡(luò)安全,從而滿(mǎn)足了網(wǎng)絡(luò)5.0的安全需求。

網(wǎng)絡(luò)5.0內(nèi)生安全可信體系架構(gòu)如圖1所示,在終端側(cè)具備設(shè)備可信標(biāo)識(shí),確保網(wǎng)絡(luò)設(shè)備的可信性。在終端接入網(wǎng)絡(luò)時(shí),根據(jù)終端的設(shè)備可信標(biāo)識(shí),進(jìn)行網(wǎng)絡(luò)地址和設(shè)備可信標(biāo)識(shí)的綁定,在進(jìn)行轉(zhuǎn)發(fā)時(shí),數(shù)據(jù)面可以基于設(shè)備可信標(biāo)識(shí)和網(wǎng)絡(luò)地址關(guān)聯(lián)的可信過(guò)濾表進(jìn)行檢查,從而實(shí)現(xiàn)業(yè)務(wù)報(bào)文的可信安全控制。網(wǎng)絡(luò)5.0內(nèi)生安全可信體系結(jié)合“端-邊-云”協(xié)同,建立網(wǎng)絡(luò)傳輸通道的統(tǒng)一可信模型,實(shí)現(xiàn)了全過(guò)程可信驗(yàn)證與轉(zhuǎn)發(fā)。從終端、路由節(jié)點(diǎn)以及服務(wù)端等多角色角度設(shè)計(jì)內(nèi)生安全可信方案,實(shí)現(xiàn)全系統(tǒng)的可信保障。

圖1 網(wǎng)絡(luò)5.0內(nèi)生安全可信體系架構(gòu)

在這種機(jī)制下,作為網(wǎng)絡(luò)安全的基礎(chǔ)錨點(diǎn),網(wǎng)絡(luò)設(shè)備的可信身份標(biāo)識(shí)攜帶了構(gòu)建安全防護(hù)與行為預(yù)測(cè)的必要信息,支持安全架構(gòu)的創(chuàng)建與管理;具備時(shí)效性與廣泛的橫縱向兼容性,并具備結(jié)構(gòu)化、層次化的設(shè)計(jì);同時(shí)在性能、可擴(kuò)展性等諸多方面也能滿(mǎn)足要求。網(wǎng)絡(luò)設(shè)備基于設(shè)備可信標(biāo)識(shí),發(fā)起可信接入認(rèn)證請(qǐng)求,而相關(guān)服務(wù)器則根據(jù)身份可信標(biāo)識(shí)分配用戶(hù)合法地址,并且將用戶(hù)網(wǎng)絡(luò)地址和設(shè)備可信標(biāo)識(shí)進(jìn)行關(guān)聯(lián),從而將設(shè)備可信標(biāo)識(shí)引入到網(wǎng)絡(luò)轉(zhuǎn)發(fā)中。之后可信接入網(wǎng)關(guān)設(shè)備將基于接入控制列表,驗(yàn)證源地址的可信性,從而使非可信地址無(wú)法接入網(wǎng)絡(luò)。在保證可信接入的基礎(chǔ)上,通過(guò)基于可信標(biāo)識(shí)的域間信任傳遞,實(shí)現(xiàn)不同運(yùn)營(yíng)商或者是運(yùn)營(yíng)商和企業(yè)網(wǎng)絡(luò)之間的信任傳遞,從而實(shí)現(xiàn)整體網(wǎng)絡(luò)通信的可信保障。同時(shí),立足于全局視角的攻擊主動(dòng)防御技術(shù),防患于未然,在網(wǎng)絡(luò)受到攻擊之前,提前識(shí)別異常的網(wǎng)絡(luò)數(shù)據(jù)流量,緩解網(wǎng)絡(luò)攻擊造成的危害。最后,網(wǎng)絡(luò)5.0中存在海量的輕量化終端,網(wǎng)絡(luò)5.0使用輕量化的加密技術(shù),在滿(mǎn)足安全可信要求的前提下,降低終端在安全加密方的資源要求,實(shí)現(xiàn)增強(qiáng)級(jí)的身份認(rèn)證和輕量級(jí)的能耗要求。

總而言之,網(wǎng)絡(luò)5.0內(nèi)生安全可信體系,以可信為基礎(chǔ),實(shí)現(xiàn)接入域的源地址真實(shí)性保障、服務(wù)域的服務(wù)防控和網(wǎng)絡(luò)端到端的協(xié)同防護(hù)。

5 網(wǎng)絡(luò)5.0內(nèi)生安全可信架構(gòu)關(guān)鍵技術(shù)

5.1 設(shè)備可信標(biāo)識(shí)

傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)中,網(wǎng)絡(luò)地址具有身份和位置二義性,存在信任難以管理、無(wú)法追溯審計(jì)等問(wèn)題,網(wǎng)絡(luò)5.0的網(wǎng)絡(luò)架構(gòu)專(zhuān)門(mén)將身份與位置分離,在數(shù)據(jù)包報(bào)頭中增設(shè)設(shè)備可信標(biāo)識(shí)來(lái)表征通信端身份,具有唯一性、防篡改、可追溯的特性,可以包含密鑰參數(shù)、證書(shū)類(lèi)型、用戶(hù)標(biāo)識(shí)、業(yè)務(wù)標(biāo)識(shí)、終端標(biāo)識(shí)、核心硬件串號(hào)等機(jī)密身份信息,并根據(jù)統(tǒng)一轉(zhuǎn)化規(guī)則進(jìn)行歸一化處理。位置標(biāo)識(shí)是路由尋址的基礎(chǔ),可以隨著位置變化而變化。網(wǎng)絡(luò)5.0中身份標(biāo)識(shí)和位置標(biāo)識(shí)的分離,可以有效防止地址欺騙和地址仿冒等網(wǎng)絡(luò)攻擊,也為網(wǎng)絡(luò)5.0的可控制、可管理奠定了基礎(chǔ)。

設(shè)備可信標(biāo)識(shí)作為代表設(shè)備身份的可信憑證,必須通過(guò)安全的方式保存和處理。在設(shè)備側(cè),需要通過(guò)采用密碼學(xué)技術(shù)的硬件芯片對(duì)標(biāo)識(shí)進(jìn)行存儲(chǔ)和處理,或者采用其他方式確保標(biāo)識(shí)信息不被篡改、竊取。設(shè)備可信身份標(biāo)識(shí)可以在出廠(chǎng)時(shí)植入設(shè)備,設(shè)備也可以從可信安全服務(wù)平臺(tái)(運(yùn)營(yíng)商、第三方安全組織、企業(yè)管理平臺(tái)等)獲取可信身份標(biāo)識(shí)。企業(yè)終端可以從企業(yè)管理平臺(tái)獲取可信身份標(biāo)識(shí),再由企業(yè)管理平臺(tái)與運(yùn)營(yíng)商或第三方安全組織等可信安全服務(wù)平臺(tái)之間建立信任傳遞關(guān)系。

當(dāng)設(shè)備用于首次接入時(shí),有可能涉及第三方認(rèn)證,具有設(shè)備可信標(biāo)識(shí)的設(shè)備基于入網(wǎng)注冊(cè)過(guò)程,可在無(wú)人工參與的情況下,實(shí)現(xiàn)自動(dòng)化的設(shè)備入網(wǎng)注冊(cè),并自動(dòng)獲取新環(huán)境下的可信身份和相關(guān)配置。

5.2 可信網(wǎng)絡(luò)接入認(rèn)證

如圖2所示,網(wǎng)絡(luò)5.0安全架構(gòu)支持終端設(shè)備從可信安全服務(wù)平臺(tái)獲取可信身份標(biāo)識(shí)及相關(guān)配置后,實(shí)現(xiàn)基于可信認(rèn)證的安全入網(wǎng)認(rèn)證。基于入網(wǎng)注冊(cè)階段獲取的可信身份標(biāo)識(shí),網(wǎng)絡(luò)設(shè)備(如接入路由器)可對(duì)數(shù)據(jù)包進(jìn)行真實(shí)性驗(yàn)證,如果不能通過(guò)驗(yàn)證,網(wǎng)絡(luò)設(shè)備丟棄數(shù)據(jù)包;如果通過(guò)驗(yàn)證,便可以向動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)服務(wù)器請(qǐng)求相關(guān)配置,提升設(shè)備接入效率。

圖2 網(wǎng)絡(luò)5.0內(nèi)生安全可信接入認(rèn)證

接入路由器的DHCP服務(wù)器可以根據(jù)引入的設(shè)備可信標(biāo)識(shí),對(duì)設(shè)備可信標(biāo)識(shí)和分配網(wǎng)絡(luò)地址進(jìn)行映射或綁定,從而實(shí)現(xiàn)從實(shí)體空間中的設(shè)備可信標(biāo)識(shí)到網(wǎng)絡(luò)空間中的可信網(wǎng)絡(luò)地址的轉(zhuǎn)變。

存儲(chǔ)在設(shè)備的可信硬件中的設(shè)備可信標(biāo)識(shí),通過(guò)認(rèn)證協(xié)議被攜帶到認(rèn)證服務(wù)器,認(rèn)證成功后,就建立基于身份的報(bào)文控制表,并阻止未經(jīng)過(guò)認(rèn)證就申請(qǐng)網(wǎng)絡(luò)地址的非法用戶(hù);在網(wǎng)絡(luò)地址生成時(shí),與設(shè)備可信標(biāo)識(shí)綁定,通過(guò)證明身份可信,進(jìn)而證明終端用戶(hù)設(shè)備可信。

具體步驟如下,用戶(hù)設(shè)備連接到接入設(shè)備,接入設(shè)備通過(guò)驗(yàn)證、授權(quán)和記賬(Authentication,Authorization,Accounting,AAA)客戶(hù)端功能與認(rèn)證服務(wù)器進(jìn)行交互。

(1)用戶(hù)設(shè)備發(fā)起認(rèn)證請(qǐng)求,通過(guò)接入設(shè)備與認(rèn)證服務(wù)器進(jìn)行用戶(hù)設(shè)備身份認(rèn)證。認(rèn)證服務(wù)器基于可信標(biāo)識(shí)確定該用戶(hù)設(shè)備采用傳輸層安全性(Transport Layer Security,TLS)協(xié)議認(rèn)證后,啟動(dòng)并執(zhí)行相關(guān)認(rèn)證流程。與此同時(shí),認(rèn)證服務(wù)器獲得用戶(hù)設(shè)備可信標(biāo)識(shí)。

(2)用戶(hù)設(shè)備發(fā)送DHCP的Discovery報(bào)文,在報(bào)文中攜帶用戶(hù)名、密碼和用會(huì)話(huà)密鑰加密的設(shè)備可信標(biāo)識(shí)等。

(3)接入路由器,使用會(huì)話(huà)密鑰解密接收的報(bào)文信息,進(jìn)行用戶(hù)信息的匹配。

(4)攜帶用戶(hù)名、密碼、設(shè)備可信標(biāo)識(shí)通過(guò)加密隧道到認(rèn)證服務(wù)器進(jìn)行認(rèn)證。

(5)認(rèn)證通過(guò)。

(6)接入服務(wù)器回應(yīng)DHCP Offer報(bào)文(分配網(wǎng)絡(luò)地址使用會(huì)話(huà)密鑰進(jìn)行加密,并根據(jù)可信標(biāo)識(shí)進(jìn)行映射和綁定)。

(7)用戶(hù)設(shè)備使用會(huì)話(huà)密鑰解密DHCP Offer報(bào)文,并用分配的網(wǎng)絡(luò)地址進(jìn)行響應(yīng)。

(8)接入服務(wù)器根據(jù)用戶(hù)的設(shè)備可信標(biāo)識(shí)查找地址分配信息:如果相同,則服務(wù)器端響應(yīng)ACK報(bào)文,用戶(hù)成功上線(xiàn);如果不同,則服務(wù)器端回應(yīng)NAK報(bào)文,用戶(hù)重新發(fā)起Discovery請(qǐng)求[5]。

用戶(hù)上線(xiàn)期間,使用會(huì)話(huà)密鑰,在用戶(hù)設(shè)備和接入路由器之間進(jìn)行數(shù)據(jù)加解密。

在網(wǎng)絡(luò)5.0內(nèi)生安全可信接入模式下,設(shè)備可信標(biāo)識(shí)可以映射到設(shè)備可信網(wǎng)絡(luò)地址中,并基于真實(shí)的設(shè)備可信標(biāo)識(shí)及合法的設(shè)備網(wǎng)絡(luò)地址生成增強(qiáng)控制表、可信過(guò)濾表,建立可信控制通道。

在考慮設(shè)備可信標(biāo)識(shí)可能存在用戶(hù)隱私信息泄露風(fēng)險(xiǎn)的情況下,也可以通過(guò)加密手段對(duì)可信身份標(biāo)識(shí)進(jìn)行加密后進(jìn)行映射,或者映射后進(jìn)行加密。

5.3 信任傳遞

信任傳遞是可信通信的重要基礎(chǔ)。通過(guò)信任傳遞,可以認(rèn)證通信數(shù)據(jù)的發(fā)送方、責(zé)任方、審計(jì)方,也可以使得原本沒(méi)有直接信任關(guān)系的雙方或者多方建立起信任關(guān)系,從而保障通信的可信。

信任傳遞的重要方式是基于可信標(biāo)識(shí)。通過(guò)在報(bào)文當(dāng)中攜帶可信標(biāo)識(shí),通信的相關(guān)方(如目的節(jié)點(diǎn)或者中間路由器等)通過(guò)對(duì)于可信標(biāo)識(shí)的認(rèn)證,可以驗(yàn)證通信數(shù)據(jù)的來(lái)源或者通信數(shù)據(jù)的責(zé)任方,進(jìn)而信任數(shù)據(jù)報(bào)文或?qū)ζ淇尚哦冗M(jìn)行評(píng)估?；诳尚艠?biāo)識(shí)的信任傳遞體系如圖3所示。

圖3 網(wǎng)絡(luò)5.0信任傳遞體系

在同一個(gè)可信域內(nèi),可以通過(guò)報(bào)文攜帶可信標(biāo)識(shí),審計(jì)和追溯數(shù)據(jù)報(bào)文的來(lái)源。在安全要求較低,且事先清楚全部網(wǎng)絡(luò)節(jié)點(diǎn)都是可信的場(chǎng)景下,數(shù)據(jù)報(bào)文也可以不攜帶可信標(biāo)識(shí),以提升通信的效率。

在跨可信域通信的時(shí)候,通信的相關(guān)方可以通過(guò)傳遞報(bào)文中的可信標(biāo)識(shí),實(shí)現(xiàn)跨域的、間接的可信關(guān)系建立,形成一個(gè)可信鏈條。例如,對(duì)于需要跨域傳輸?shù)木W(wǎng)絡(luò)流量,當(dāng)數(shù)據(jù)包從源端發(fā)送后,源自治域的可信標(biāo)識(shí)驗(yàn)證節(jié)點(diǎn)都會(huì)對(duì)其流出流量進(jìn)行驗(yàn)證,保障其可信性,進(jìn)而在報(bào)文中打上域間的可信標(biāo)識(shí)。當(dāng)域間流量到達(dá)目的自治域時(shí),目的端的邊界路由器根據(jù)域間共享的密鑰,基于域間可信標(biāo)識(shí)及信任傳遞對(duì)流入流量進(jìn)行驗(yàn)證,從而讓跨域傳輸流量的可信性通過(guò)信任傳遞得以保障,并保證可信標(biāo)識(shí)的可驗(yàn)證、可追溯、不可篡改。

運(yùn)營(yíng)商網(wǎng)絡(luò)之間的通信,一般都屬于跨可信域通信,源域邊界路由器對(duì)流出流量加上域標(biāo)識(shí),并采用對(duì)稱(chēng)密碼學(xué)算法為域標(biāo)識(shí)生成驗(yàn)證碼,將兩者隨數(shù)據(jù)包攜帶,目的域邊界路由器基于數(shù)據(jù)包攜帶的域標(biāo)識(shí)及驗(yàn)證碼信息對(duì)源域進(jìn)行可信驗(yàn)證。如果驗(yàn)證通過(guò),則說(shuō)明數(shù)據(jù)包來(lái)自可信鄰居域,按路由規(guī)則轉(zhuǎn)發(fā)數(shù)據(jù)包,實(shí)現(xiàn)域間信任傳遞;如果驗(yàn)證不通過(guò),說(shuō)明數(shù)據(jù)包來(lái)自一個(gè)不信任鄰居域,則丟棄數(shù)據(jù)包。

5.4 攻擊主動(dòng)防御

不同于傳統(tǒng)網(wǎng)絡(luò)“補(bǔ)丁式”修補(bǔ)的被動(dòng)防御,網(wǎng)絡(luò)5.0立足于全局視角,以設(shè)備可信標(biāo)識(shí)為基礎(chǔ),在可信網(wǎng)絡(luò)接入認(rèn)證和信任傳遞的加持下,通過(guò)對(duì)安全防御的系統(tǒng)性考慮,做到了在不依賴(lài)于攻擊先驗(yàn)知識(shí)的前提下,保證在應(yīng)用被攻擊之前能主動(dòng)識(shí)別到異常的通信數(shù)據(jù)流,從而降低網(wǎng)絡(luò)攻擊造成的系統(tǒng)危害。

網(wǎng)絡(luò)5.0攻擊主動(dòng)防御技術(shù)主要包含以下技術(shù)要求。

一是源地址真實(shí)性。傳統(tǒng)網(wǎng)絡(luò)中IP地址偽造、假冒等通常是網(wǎng)絡(luò)攻擊的前奏,網(wǎng)絡(luò)5.0以設(shè)備可信標(biāo)識(shí)為基礎(chǔ),通過(guò)對(duì)通信發(fā)起端設(shè)備的可信網(wǎng)絡(luò)接入認(rèn)證,以及輕量級(jí)的加密技術(shù),加強(qiáng)了源地址真實(shí)性校驗(yàn),使得網(wǎng)絡(luò)通信的可信度從源頭就得到了提升。

二是服務(wù)授權(quán)訪(fǎng)問(wèn)。在滿(mǎn)足源地址真實(shí)性要求之后,端到端通信業(yè)務(wù)可以根據(jù)在可信接入認(rèn)證中被賦予的訪(fǎng)問(wèn)級(jí)別和業(yè)務(wù)授權(quán),通過(guò)輕量級(jí)的加密機(jī)制對(duì)合法報(bào)文進(jìn)行識(shí)別,確保只有獲得目的端認(rèn)證和授權(quán)的可信終端才能對(duì)服務(wù)進(jìn)行訪(fǎng)問(wèn),從而實(shí)施服務(wù)可訪(fǎng)問(wèn)控制,阻止非法終端發(fā)起網(wǎng)絡(luò)攻擊。

三是近源防護(hù)。在滿(mǎn)足可信網(wǎng)絡(luò)接入認(rèn)證和信任傳遞的基礎(chǔ)上,網(wǎng)絡(luò)5.0攻擊主動(dòng)防御可以在報(bào)文發(fā)起源和中間域入口等接近攻擊者的位置檢測(cè)數(shù)據(jù)報(bào)文的合法性,從而更加高效地阻斷攻擊,降低網(wǎng)絡(luò)攻擊對(duì)網(wǎng)絡(luò)整體的影響。

四是數(shù)據(jù)防重放。網(wǎng)絡(luò)5.0中,為了防止攻擊者通過(guò)竊聽(tīng)、截取等方式獲取到合法可驗(yàn)證信息進(jìn)而發(fā)起重放攻擊,可以借助輕量級(jí)加密技術(shù),在可驗(yàn)證信息中添加時(shí)間校驗(yàn)子、序列號(hào)等動(dòng)態(tài)信息,便于接入網(wǎng)關(guān)在用戶(hù)設(shè)備發(fā)起業(yè)務(wù)流程時(shí),及時(shí)對(duì)數(shù)據(jù)包基于動(dòng)態(tài)信息實(shí)現(xiàn)重放報(bào)文的識(shí)別和控制,起到主動(dòng)防御的作用。

五是兼容性。網(wǎng)絡(luò)5.0的泛在連接和開(kāi)放性特征,使得網(wǎng)絡(luò)5.0中存在海量的異構(gòu)終端和傳統(tǒng)設(shè)備,因此攻擊主動(dòng)防御技術(shù)對(duì)傳統(tǒng)終端、網(wǎng)絡(luò)以及傳輸設(shè)備都會(huì)提供兼容性支持。

網(wǎng)絡(luò)5.0攻擊主動(dòng)防御還從實(shí)時(shí)性、高效性和系統(tǒng)性這三個(gè)方面進(jìn)行了安全可信的機(jī)制設(shè)計(jì),從而提供全面系統(tǒng)的主動(dòng)防御能力。在實(shí)時(shí)性方面,主要是依靠網(wǎng)絡(luò)5.0網(wǎng)絡(luò)本身,在接入域、傳輸域和目的域,為業(yè)務(wù)提供多點(diǎn)防御,實(shí)現(xiàn)近源防護(hù)。在高效性方面,依靠多點(diǎn)防御的近源特征,對(duì)攻擊流高效阻斷,減少了網(wǎng)絡(luò)沖擊,為網(wǎng)絡(luò)5.0帶來(lái)了精準(zhǔn)高效低代價(jià)的攻擊檢測(cè)能力。在系統(tǒng)性方面,網(wǎng)絡(luò)5.0的內(nèi)生安全可信設(shè)計(jì),使得主動(dòng)攻擊防御可以在網(wǎng)絡(luò)整體上構(gòu)建攻擊防護(hù)方案,并且通過(guò)系統(tǒng)性的信任傳遞機(jī)制,全面立體地提供服務(wù)節(jié)點(diǎn)的可信可控防護(hù)能力。

5.5 輕量級(jí)加密技術(shù)

網(wǎng)絡(luò)5.0中有大量的智慧家庭、智慧城市、車(chē)載網(wǎng)、工業(yè)控制網(wǎng)絡(luò)等場(chǎng)景,這些場(chǎng)景往往需要部署輕量化終端,這些終端存在著技術(shù)棧異構(gòu)、低成本、資源受限等特點(diǎn),難以加載較強(qiáng)的自身安全防護(hù)能力。因此,網(wǎng)絡(luò)5.0專(zhuān)門(mén)提出了輕量級(jí)加密認(rèn)證技術(shù),面向端到端認(rèn)證,簡(jiǎn)化密鑰協(xié)商參數(shù)、密鑰派生與使用機(jī)制,通過(guò)雙向單維無(wú)狀態(tài)的會(huì)話(huà)復(fù)用機(jī)制,通過(guò)單側(cè)維護(hù)狀態(tài),減輕另一側(cè)的安全開(kāi)銷(xiāo),在端到端傳輸過(guò)程中,引入分塊傳輸?shù)淖赃m應(yīng)驗(yàn)證機(jī)制,優(yōu)化傳輸中的安全開(kāi)銷(xiāo)。

6 網(wǎng)絡(luò)5.0內(nèi)生安全可信實(shí)踐總結(jié)

網(wǎng)絡(luò)5.0內(nèi)生安全可信通信樣機(jī)已經(jīng)在2023年年初在未來(lái)網(wǎng)絡(luò)試驗(yàn)設(shè)施即中國(guó)網(wǎng)絡(luò)創(chuàng)新試驗(yàn)環(huán)境(China Environment for Network Innovations,CENI)深圳分系統(tǒng)上開(kāi)展了首發(fā)應(yīng)用試驗(yàn),在北京和南京兩地跨域驗(yàn)證了源地址真實(shí)性和服務(wù)動(dòng)態(tài)防控等技術(shù)(見(jiàn)圖4)。試驗(yàn)表明,通過(guò)對(duì)現(xiàn)有算力網(wǎng)絡(luò)設(shè)備進(jìn)行軟件升級(jí),可有效防御地址假冒和非法算力訪(fǎng)問(wèn)導(dǎo)致的反射、泛洪、掃描類(lèi)攻擊,全面解決算力網(wǎng)絡(luò)攻擊問(wèn)題。同時(shí),無(wú)需額外部署專(zhuān)用安全設(shè)備,不會(huì)帶來(lái)流量迂回和建設(shè)運(yùn)營(yíng)成本增加等問(wèn)題,后續(xù)還將圍繞輕量級(jí)安全可信技術(shù)、異構(gòu)網(wǎng)絡(luò)可信交互技術(shù)、工業(yè)互聯(lián)網(wǎng)安全解決方案等方向開(kāi)展進(jìn)一步研究。

圖4 網(wǎng)絡(luò)5.0可信服務(wù)試驗(yàn)網(wǎng)架構(gòu)

7 結(jié)束語(yǔ)

網(wǎng)絡(luò)5.0作為面向未來(lái)的新型基礎(chǔ)設(shè)施網(wǎng)絡(luò)架構(gòu),內(nèi)生安全可信是其主要能力特征,也是推動(dòng)網(wǎng)絡(luò)5.0發(fā)展的最大動(dòng)力。本文對(duì)網(wǎng)絡(luò)5.0內(nèi)生安全可信體系進(jìn)行了初步解讀,介紹了該體系的系統(tǒng)架構(gòu)和部分關(guān)鍵技術(shù)的實(shí)現(xiàn)方案。整個(gè)網(wǎng)絡(luò)5.0內(nèi)生安全可信體系仍在不斷發(fā)展和完善中,后續(xù)還需要做進(jìn)一步的研究和分析,更加清晰明確地將整個(gè)網(wǎng)絡(luò)5.0內(nèi)生安全可信體系呈現(xiàn)出來(lái)。