李雪瑩 莫益軍 聶秀英 鄭秀麗

(1.華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,武漢 430074;2.中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所,北京 100191;3.華為技術(shù)有限公司,深圳 518172)

0 引言

自通信網(wǎng)絡(luò)產(chǎn)生以來,網(wǎng)絡(luò)標(biāo)識(shí)一直伴隨著新的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展,作為創(chuàng)新發(fā)展的第5代數(shù)據(jù)網(wǎng)絡(luò),為滿足算力網(wǎng)絡(luò)、5G承載網(wǎng)絡(luò)、產(chǎn)業(yè)互聯(lián)網(wǎng)以及全息通信對(duì)網(wǎng)絡(luò)的新需求,網(wǎng)絡(luò)5.0將提供內(nèi)生安全可信、確定性服務(wù)質(zhì)量、以網(wǎng)絡(luò)為中心等新能力。為實(shí)現(xiàn)這些能力,網(wǎng)絡(luò)5.0需要有與之相適應(yīng)的標(biāo)識(shí)。

1 網(wǎng)絡(luò)標(biāo)識(shí)分層

1.1 網(wǎng)絡(luò)標(biāo)識(shí)分層

通信網(wǎng)絡(luò)中標(biāo)識(shí)廣泛存在于終端側(cè)、網(wǎng)絡(luò)側(cè)和服務(wù)側(cè),其層次結(jié)構(gòu)如圖1所示[1]。終端側(cè)標(biāo)識(shí)包括用戶身份標(biāo)識(shí)、軟硬件物理終端和傳感器標(biāo)識(shí)等;網(wǎng)絡(luò)側(cè)標(biāo)識(shí)包括用戶、終端、網(wǎng)絡(luò)設(shè)備和服務(wù)在數(shù)據(jù)轉(zhuǎn)發(fā)控制中相關(guān)的各類標(biāo)識(shí),如接入標(biāo)識(shí)、位置標(biāo)識(shí)、群組標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)、協(xié)議標(biāo)識(shí)和連接標(biāo)識(shí)等;服務(wù)側(cè)標(biāo)識(shí)則是網(wǎng)絡(luò)層之上為用戶提供服務(wù)和資源相關(guān)的標(biāo)識(shí),包括內(nèi)容標(biāo)識(shí)、資源標(biāo)識(shí)和服務(wù)標(biāo)識(shí)等。

圖1 網(wǎng)絡(luò)標(biāo)識(shí)分層結(jié)構(gòu)

1.2 終端側(cè)標(biāo)識(shí)

1.2.1 終端標(biāo)識(shí)

終端標(biāo)識(shí)用來在網(wǎng)絡(luò)層對(duì)終端進(jìn)行標(biāo)識(shí)和管理,直接使用互聯(lián)網(wǎng)協(xié)議(Internet Protocol,IP)地址無法解決其唯一性、隱私性和可信性等問題。網(wǎng)絡(luò)層需承載的終端標(biāo)識(shí)類型眾多,包括蜂窩網(wǎng)終端標(biāo)識(shí)、物聯(lián)網(wǎng)終端標(biāo)識(shí)和射頻標(biāo)識(shí)(Radio Frequency Identification,RFID)等。

蜂窩網(wǎng)絡(luò)中的終端標(biāo)識(shí)包括永久標(biāo)識(shí)和臨時(shí)標(biāo)識(shí),隨著4G向5G演進(jìn),標(biāo)識(shí)定義和編碼方式也發(fā)生了變化,具體如表1所示。

表1 4G和5G用戶終端標(biāo)識(shí)

物聯(lián)網(wǎng)終端標(biāo)識(shí)體系包括由國家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)準(zhǔn)工作組標(biāo)識(shí)技術(shù)項(xiàng)目組提出的國家物聯(lián)網(wǎng)標(biāo)識(shí)管理與公共服務(wù)平臺(tái)(簡(jiǎn)稱Ecode)體系,可適用于一維條碼、二維條碼、射頻標(biāo)簽和近場(chǎng)通信(Near Field Communication,NFC)標(biāo)簽。還包括由泛在身份證標(biāo)識(shí)號(hào)(Identity Document,ID)中心提出的泛在識(shí)別碼(Ubiquitous Identification Code,uCode),兼容日本商品編碼(Japanese Article Number,JAN)、通用商品編碼(Universal Product Code,UPC)、國際標(biāo)準(zhǔn)圖書編碼(International Standard Book Number,ISBN)、互聯(lián)網(wǎng)協(xié)議第6版(Internet Protocol Version 6,IPv6)編碼和電話號(hào)碼編碼。產(chǎn)品電子代碼(Electronic Product Code,EPC)標(biāo)準(zhǔn)提出的適用于RFID的EPC編碼。

1.2.2 用戶身份標(biāo)識(shí)

網(wǎng)絡(luò)用戶身份的保密與認(rèn)證安全與數(shù)據(jù)安全密切相關(guān),不安全的身份會(huì)導(dǎo)致竊聽、篡改和身份仿冒等。歐盟委員會(huì)規(guī)劃了公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)(electronic Identity,eID)管理框架,在尊重隱私和保護(hù)數(shù)據(jù)安全的基礎(chǔ)上,實(shí)現(xiàn)跨國域的電子身份體系。我國也制定了面向下一代互聯(lián)網(wǎng)的eID安全體系。eID以公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)加密模式為基礎(chǔ),由用戶身份證號(hào)碼、用戶姓名和128字節(jié)隨機(jī)數(shù)的字串進(jìn)行加密得出。

國際機(jī)構(gòu)和企業(yè)積極開展身份服務(wù)。EduGAIN形成了全球范圍的科研和教育服務(wù)身份聯(lián)盟。線上快速身份驗(yàn)證(Fast Identity Online,FIDO) 聯(lián)盟身份認(rèn)證標(biāo)準(zhǔn)在2013年2月正式成立,美國和英國支持該標(biāo)準(zhǔn)實(shí)施,中國也開始關(guān)注,聯(lián)想、阿里巴巴等是其理事單位。網(wǎng)絡(luò)身份管理技術(shù)和標(biāo)準(zhǔn)發(fā)展迅速,包括開放式身份驗(yàn)證(OpenID)、安全斷言標(biāo)記語言(Security Assertion Markup Language,SAML)身份認(rèn)證、互聯(lián)網(wǎng)授權(quán)協(xié)議、FIDO 標(biāo)準(zhǔn)都不斷地發(fā)生變化。

美國、韓國、英國、歐盟等國家和組織都制定了網(wǎng)絡(luò)可信身份戰(zhàn)略,各標(biāo)準(zhǔn)組織也分別制定了SAML、開放授權(quán)(Open Authorization,OAuth)、OpenID、FIDO 等不同的身份鑒別與授權(quán)相關(guān)規(guī)范和標(biāo)準(zhǔn)。

1.3 網(wǎng)絡(luò)側(cè)標(biāo)識(shí)

網(wǎng)絡(luò)側(cè)標(biāo)識(shí)可分為位置標(biāo)識(shí)、接入標(biāo)識(shí)、群組標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和協(xié)議標(biāo)識(shí)等。本文僅介紹現(xiàn)有電話網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)中與尋址密切相關(guān)的網(wǎng)絡(luò)地址這類網(wǎng)絡(luò)標(biāo)識(shí)。

1.3.1 國際E.164號(hào)碼的分層結(jié)構(gòu)

國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局(ITU-T)國際E.164號(hào)碼[2]是在固定和移動(dòng)電話網(wǎng)中實(shí)現(xiàn)全球?qū)ぶ返幕A(chǔ)。這些號(hào)碼資源唯一地標(biāo)識(shí)了用戶-網(wǎng)絡(luò)接口,如公共交換電話網(wǎng)絡(luò)(Public Switched Telephone Network,PSTN)/綜合業(yè)務(wù)數(shù)字網(wǎng)(Integrated Services Digital Network,ISDN)、移動(dòng)終端和使用全球統(tǒng)一國際免費(fèi)號(hào)碼(Universal International Freephone Number,UIFN)的個(gè)人。如圖2所示,ITU-T國際E.164號(hào)碼具有分層結(jié)構(gòu),由國家碼和其他必要的附加元素(NDC+SN、GSN、IC+SN或GIC+SN)組成。從圖2中可以看出,國際E.164號(hào)碼采用變長(zhǎng)編碼格式,信源地址長(zhǎng)度與信宿地址長(zhǎng)度可以不同。但對(duì)于最小范圍的通信,在同一最小范圍內(nèi)(如本地網(wǎng)內(nèi))用戶終端間使用等長(zhǎng)的編號(hào)。對(duì)于不用用途的網(wǎng)絡(luò),E.164號(hào)碼采用不同的編號(hào)格式,但對(duì)于同一個(gè)網(wǎng)絡(luò),所使用的號(hào)碼編號(hào)規(guī)則是統(tǒng)一的。

圖2 ITU-T國際E.164號(hào)碼的分層結(jié)構(gòu)

1.3.2 IP網(wǎng)絡(luò)地址編碼格式

IP網(wǎng)絡(luò)地址標(biāo)識(shí)經(jīng)歷了IPv4和IPv6兩個(gè)階段。其中,IPv4地址格式如圖3所示。IPv6地址為解決IP地址空間不足被提出,采用128位的地址空間,面對(duì)不同的需求,其比特位的語義劃分各不相同。IPv6具體的編碼格式如圖4所示。

圖3 IPv4地址格式

圖4 IPv6 地址編碼格式

IETF RFC 3513和RFC 3587標(biāo)準(zhǔn)將128位的地址分為了全球路由前綴、子網(wǎng)ID和接口ID三部分,不同的是RFC3513的接口ID不固定,RFC 3587的接口ID固定為64位。RFC 3177標(biāo)準(zhǔn)則將128位的地址固定劃分為3位、45位、16位和64位,其中3位為固定值、45位為全球路由前綴、16位為子網(wǎng)ID、64位為接口ID。

1.3.3 接入標(biāo)識(shí)

接入標(biāo)識(shí)用來代表接入終端的身份標(biāo)識(shí),接入終端通過接入標(biāo)識(shí)接受網(wǎng)絡(luò)層提供的普適服務(wù)。接入標(biāo)識(shí)在終端或路由器移動(dòng)過程中保持不變。各用戶網(wǎng)絡(luò)可采用自己定義的標(biāo)識(shí)格式作為各自子網(wǎng)的接入標(biāo)識(shí)。

1.3.4 位置標(biāo)識(shí)

位置標(biāo)識(shí)與之前提到的網(wǎng)絡(luò)尋址不同,位置標(biāo)識(shí)是對(duì)設(shè)備的物理位置信息進(jìn)行標(biāo)識(shí),要求能夠結(jié)合網(wǎng)絡(luò)尋址信息對(duì)其網(wǎng)絡(luò)通信和實(shí)際拓?fù)淝闆r進(jìn)行映射。

1.3.5 協(xié)議標(biāo)識(shí)

協(xié)議標(biāo)識(shí)的核心需求在于快速分辨標(biāo)識(shí)對(duì)象所屬協(xié)議,在協(xié)議繁多和協(xié)議迭代速度較快的數(shù)據(jù)網(wǎng)絡(luò)流量中,協(xié)議標(biāo)識(shí)有助于加快對(duì)標(biāo)識(shí)對(duì)象的兼容并加速解析過程。

1.4 服務(wù)側(cè)標(biāo)識(shí)

1.4.1 服務(wù)標(biāo)識(shí)

服務(wù)標(biāo)識(shí)主要用于識(shí)別業(yè)務(wù)與服務(wù),相對(duì)于通信標(biāo)識(shí),盡管表示的對(duì)象以及應(yīng)用范疇有所不同,但在標(biāo)識(shí)形式和標(biāo)識(shí)需求上類似。從標(biāo)識(shí)形式上來說,服務(wù)標(biāo)識(shí)的格式應(yīng)當(dāng)不依賴于標(biāo)識(shí)對(duì)象的位置與狀態(tài),不管服務(wù)的狀態(tài)或者業(yè)務(wù)服務(wù)對(duì)象的位置發(fā)生了什么變化,通過相同的服務(wù)標(biāo)識(shí)應(yīng)當(dāng)能接入并使用服務(wù)。對(duì)于服務(wù)標(biāo)識(shí),核心的需求是應(yīng)具備可用于通信與尋址的能力,即在面對(duì)一個(gè)服務(wù)標(biāo)識(shí)時(shí),除要明確服務(wù)的業(yè)務(wù)服務(wù)以外,還要明確服務(wù)的通信屬性,并可作為相對(duì)或絕對(duì)地址用于通信或?qū)ぶ?以快速地與業(yè)務(wù)服務(wù)建立連接。

1.4.2 內(nèi)容標(biāo)識(shí)

內(nèi)容標(biāo)識(shí)是網(wǎng)絡(luò)層之上,為用戶提供內(nèi)容和資源的標(biāo)識(shí)。內(nèi)容標(biāo)識(shí)通過一定的算法來提取視頻、音樂等內(nèi)容本身所具有的某些特征信息(如亮度、顏色、頻譜等),并對(duì)這些特征信息進(jìn)行統(tǒng)計(jì)、組合,以形成唯一的指紋序列。內(nèi)容標(biāo)識(shí)和服務(wù)標(biāo)識(shí)要為基于多標(biāo)識(shí)的尋址提供服務(wù),雖然終端節(jié)點(diǎn)和路由具備網(wǎng)絡(luò)層及以下各層的協(xié)議,但是路由器無法直接實(shí)現(xiàn)服務(wù)和內(nèi)容尋址路由。

1.5 標(biāo)識(shí)耦合類型對(duì)網(wǎng)絡(luò)性能的影響

互聯(lián)網(wǎng)發(fā)展50多年間,面對(duì)越來越多安全性、低移動(dòng)性、高能耗等問題和挑戰(zhàn)。通過對(duì)當(dāng)前互聯(lián)網(wǎng)結(jié)構(gòu)打各種補(bǔ)丁雖然能解決上述部分問題,但網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜?；ヂ?lián)網(wǎng)當(dāng)前面臨的問題究其根源是所謂的三重綁定問題,即資源/位置綁定、用戶/網(wǎng)絡(luò)綁定和控制/數(shù)據(jù)綁定。標(biāo)識(shí)的不同耦合方式對(duì)網(wǎng)絡(luò)性能的影響如表2所示。

表2 標(biāo)識(shí)耦合類型對(duì)網(wǎng)絡(luò)性能的影響

2 網(wǎng)絡(luò)標(biāo)識(shí)安全現(xiàn)狀

現(xiàn)有傳輸控制協(xié)議(Transmission Control Protocol,TCP)/IP不具備地址標(biāo)識(shí)真實(shí)性鑒別等內(nèi)在安全機(jī)制,導(dǎo)致攻擊源頭和攻擊者身份難以追查,容易導(dǎo)致地址偽造、源地址欺騙、路由劫持、拒絕服務(wù)等攻擊,嚴(yán)重威脅網(wǎng)絡(luò)的安全。雖然IPv6在地址空間有所擴(kuò)展,安全方面以打補(bǔ)丁方式進(jìn)行增強(qiáng),局部范圍內(nèi)解決了安全問題,但I(xiàn)P地址同時(shí)具備身份和位置標(biāo)識(shí)的語義過載問題帶來了源地址和路由前綴安全威脅,主機(jī)移動(dòng)和多宿主也引發(fā)了諸如地址盜用和泛洪等安全問題。

鑒于此,主機(jī)標(biāo)識(shí)協(xié)議(Host Identity Protocol,HIP)在傳輸層引入主機(jī)標(biāo)識(shí)和非對(duì)稱密鑰體制,解決了移動(dòng)性和端到端身份鑒別問題,但無法解決地址前綴欺騙問題。安全可信網(wǎng)絡(luò)協(xié)議在IP地址雙重分離的基礎(chǔ)上,將網(wǎng)絡(luò)結(jié)構(gòu)分為接入網(wǎng)和骨干網(wǎng)兩部分,通過報(bào)文簽名與驗(yàn)證、地址/身份認(rèn)證和去中心化密鑰管理等來解決網(wǎng)絡(luò)命名安全問題,但對(duì)于移動(dòng)性安全性支持仍需增強(qiáng)。網(wǎng)絡(luò)標(biāo)識(shí)相關(guān)內(nèi)生安全與事件關(guān)聯(lián)、身份隱私、地址掃描、非法接入、地址偽造和可信通信關(guān)系密切,其安全強(qiáng)度受接口標(biāo)識(shí)生成和互聯(lián)互通的策略影響較大。根據(jù)當(dāng)前網(wǎng)絡(luò)標(biāo)識(shí)體系,若以網(wǎng)絡(luò)標(biāo)識(shí)為授信對(duì)象,存在信任沖突、信任傳遞和信任過當(dāng)問題。

同一IP地址,因前綴方式不同,處于不同的子網(wǎng)下,某子網(wǎng)授信并非意味著其他子網(wǎng)授信,或在兩個(gè)子網(wǎng)中同時(shí)授信,但授信內(nèi)容不一致,這不可避免地會(huì)產(chǎn)生信任沖突。終端移動(dòng)造成網(wǎng)絡(luò)標(biāo)識(shí)變化,在現(xiàn)有標(biāo)識(shí)體系下,信任無法傳遞。在隧道互通方式下,某授信標(biāo)識(shí)通過隧道時(shí),信任無法被繼承,若隧道授信導(dǎo)致兩端網(wǎng)絡(luò)的信任傳遞擴(kuò)大了隧道內(nèi)標(biāo)識(shí)的授信范圍,則會(huì)導(dǎo)致安全隱患?，F(xiàn)有的網(wǎng)絡(luò)標(biāo)識(shí)體系未考慮上述問題,因此解決信任問題只能從應(yīng)用層著手。

3 網(wǎng)絡(luò)5.0標(biāo)識(shí)研究

3.1 網(wǎng)絡(luò)5.0的設(shè)計(jì)理念

時(shí)代的變革驅(qū)動(dòng)了網(wǎng)絡(luò)的變革。以往數(shù)據(jù)網(wǎng)絡(luò)技術(shù)的超前發(fā)展和部署,造成了網(wǎng)絡(luò)在技術(shù)革命中不會(huì)成為“瓶頸”的錯(cuò)覺;而面向數(shù)字經(jīng)濟(jì)、智能世界提出的全新要求和前所未有的挑戰(zhàn),網(wǎng)絡(luò)能力亟待增強(qiáng)。

以往的網(wǎng)絡(luò)技術(shù)發(fā)展長(zhǎng)久保持“更快、更好”的無限責(zé)任思路。這種思路較為發(fā)散,問題與解決方案的集中度不高,難以得到業(yè)界共識(shí),導(dǎo)致其差異化服務(wù)質(zhì)量保證、確定性低時(shí)延、安全可信、移動(dòng)性等問題愈發(fā)嚴(yán)重。

網(wǎng)絡(luò)5.0[3]概念的出現(xiàn)即引入了無線領(lǐng)域的代際式發(fā)展與有限責(zé)任演進(jìn)的思路,通過分代研究來真正推進(jìn)數(shù)據(jù)網(wǎng)絡(luò)的發(fā)展。按網(wǎng)絡(luò)5.0產(chǎn)業(yè)和技術(shù)創(chuàng)新聯(lián)盟的劃分,以模擬通信系統(tǒng)為網(wǎng)絡(luò)1.0時(shí)代、數(shù)字通信系統(tǒng)為網(wǎng)絡(luò)2.0時(shí)代、異步傳輸模式(Asynchronous Transfer Mode, ATM)為網(wǎng)絡(luò)3.0時(shí)代、IP為網(wǎng)絡(luò)4.0時(shí)代。

網(wǎng)絡(luò)5.0[4]聚焦四大目標(biāo)場(chǎng)景,包括信息與通信技術(shù)(Information and Communications Technology,ICT)基礎(chǔ)設(shè)施、產(chǎn)業(yè)互聯(lián)網(wǎng)、移動(dòng)承載和全息通信。ICT基礎(chǔ)設(shè)施是未來信息社會(huì)的基礎(chǔ)和技術(shù)發(fā)展的制高點(diǎn),是信息行業(yè)爭(zhēng)奪的產(chǎn)業(yè)“藍(lán)?！薄．a(chǎn)業(yè)互聯(lián)網(wǎng)的產(chǎn)生在于傳統(tǒng)產(chǎn)業(yè)與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的融合,例如工業(yè)互聯(lián)網(wǎng)與制造業(yè)的融合將使能新的工業(yè)領(lǐng)域應(yīng)用,主要體現(xiàn)在智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制和服務(wù)化延伸4方面智能化升級(jí),這些新型業(yè)務(wù)對(duì)未來網(wǎng)絡(luò)的功能需求包括定制、連接、標(biāo)識(shí)和安全等方面。移動(dòng)承載網(wǎng)需要滿足低時(shí)延、移動(dòng)性和大連接的需求,很多傳統(tǒng)行業(yè)例如汽車、醫(yī)療、能源、市政等都將參與到電信生態(tài)環(huán)境的建設(shè)中。全息通信則可以解決遠(yuǎn)程醫(yī)療、移動(dòng)辦公、觀光旅游、賽事直播以及游戲娛樂等應(yīng)用場(chǎng)景中三維視覺信息的丟失問題,具有十分廣闊的應(yīng)用前景。

上述四大場(chǎng)景的確定,對(duì)數(shù)據(jù)網(wǎng)絡(luò)提出了四大功能需求及四大性能指標(biāo)需求[5]。前者包括內(nèi)生的安全可信、網(wǎng)絡(luò)可規(guī)劃和性能可預(yù)期、大連接下的感知與管控、泛在移動(dòng)支持;后者包括帶寬、時(shí)延、抖動(dòng)及丟包。

因此,網(wǎng)絡(luò)5.0將基于現(xiàn)有IP網(wǎng)絡(luò)協(xié)議基礎(chǔ),在演進(jìn)思路上采取“分代目標(biāo)、有限責(zé)任”的策略,通過打造新型IP網(wǎng)絡(luò)體系,協(xié)同管理面、控制面和數(shù)據(jù)面,聯(lián)通分散的計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)等資源,構(gòu)建一體化的ICT基礎(chǔ)設(shè)施,向各相關(guān)產(chǎn)業(yè)提供網(wǎng)絡(luò)能力、計(jì)算能力及數(shù)據(jù)能力服務(wù)。以解決萬物互聯(lián)的智能世界所需要的內(nèi)生安全可信、網(wǎng)絡(luò)可規(guī)劃和性能可預(yù)期、大連接下的感知與控制、泛在移動(dòng)性支持等需求,連通多種異構(gòu)接入網(wǎng)絡(luò),實(shí)現(xiàn)萬網(wǎng)互聯(lián),使能更多的新服務(wù)接入網(wǎng)絡(luò),豐富人們的溝通與生活。

網(wǎng)絡(luò)5.0的頂層設(shè)計(jì)原則是從智能化、確定性、柔性、易用性、內(nèi)生安全為核心的5個(gè)設(shè)計(jì)理念出發(fā),推進(jìn)網(wǎng)絡(luò)架構(gòu)的變革。智能化主要包括基礎(chǔ)設(shè)施智能化、網(wǎng)絡(luò)控制智能化和網(wǎng)絡(luò)管理智能化;確定性主要包括確定性時(shí)延和無損傳輸;柔性主要包括網(wǎng)絡(luò)功能組件化和網(wǎng)絡(luò)服務(wù)定制化;易用性主要包括網(wǎng)絡(luò)協(xié)議可編程和靈活動(dòng)態(tài)傳輸;內(nèi)生安全則意味著應(yīng)從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)之初考慮安全,將安全作為網(wǎng)絡(luò)的基因,從身份認(rèn)證、網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全以及業(yè)務(wù)安全等全方位構(gòu)建端到端安全防護(hù)體系。

網(wǎng)絡(luò)5.0基于新型IP網(wǎng)絡(luò)體系,協(xié)同管理面、控制面和數(shù)據(jù)面,向各相關(guān)產(chǎn)業(yè)提供網(wǎng)絡(luò)能力、計(jì)算能力及數(shù)據(jù)能力服務(wù),并使其更加有效地滿足萬物互聯(lián)、萬物智能、萬物感知的需求。其總體目標(biāo)是連接新網(wǎng)元、探索新協(xié)議、構(gòu)建新管控、支撐新業(yè)務(wù)。作為創(chuàng)新發(fā)展的第5代數(shù)據(jù)網(wǎng)絡(luò)的代表,為滿足算力網(wǎng)絡(luò)、5G承載網(wǎng)絡(luò)、產(chǎn)業(yè)互聯(lián)網(wǎng)以及全息通信對(duì)網(wǎng)絡(luò)的新需求,網(wǎng)絡(luò)5.0將提供內(nèi)生安全可信、確定性服務(wù)質(zhì)量、以網(wǎng)絡(luò)為中心等新能力。

3.2 網(wǎng)絡(luò)5.0 對(duì)標(biāo)識(shí)的需求

網(wǎng)絡(luò)5.0的一系列關(guān)鍵使能技術(shù)包括確定性IP技術(shù)、內(nèi)生安全機(jī)制、面向萬物互聯(lián)的新尋址與控制機(jī)制、新傳輸層、靈活可定制的差異化網(wǎng)絡(luò)服務(wù)、面向服務(wù)的路由、基于意圖的網(wǎng)絡(luò)、溫敏網(wǎng)絡(luò)等。為實(shí)現(xiàn)這些能力,需研究網(wǎng)絡(luò)5.0的地址和標(biāo)識(shí)的格式和分配方式。而在數(shù)據(jù)通信網(wǎng)絡(luò)中,標(biāo)識(shí)廣泛存在于終端側(cè)、網(wǎng)絡(luò)側(cè)和服務(wù)側(cè)。因此網(wǎng)絡(luò)5.0需在終端側(cè)、網(wǎng)絡(luò)側(cè)和服務(wù)側(cè)研究標(biāo)識(shí)。

終端側(cè)需要對(duì)終端等設(shè)備進(jìn)行標(biāo)識(shí)和管理,以及對(duì)用戶身份進(jìn)行保密和安全驗(yàn)證。因此,在終端側(cè),標(biāo)識(shí)需求包括終端標(biāo)識(shí)、用戶身份標(biāo)識(shí)和傳感器標(biāo)識(shí)等。

網(wǎng)絡(luò)側(cè)需要對(duì)接入的終端進(jìn)行身份驗(yàn)證,對(duì)設(shè)備的物理位置信息進(jìn)行標(biāo)識(shí),并對(duì)協(xié)議進(jìn)行解析。因此,在網(wǎng)絡(luò)側(cè),標(biāo)識(shí)需求包括接入標(biāo)識(shí)、位置標(biāo)識(shí)、群組標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和協(xié)議標(biāo)識(shí)等。

服務(wù)側(cè)需要對(duì)業(yè)務(wù)與服務(wù)進(jìn)行區(qū)分,對(duì)用戶提供的內(nèi)容和資源進(jìn)行識(shí)別。因此,在服務(wù)側(cè),標(biāo)識(shí)需求包括資源/服務(wù)標(biāo)識(shí)和內(nèi)容標(biāo)識(shí)。

3.3 網(wǎng)絡(luò)5.0相關(guān)標(biāo)識(shí)

網(wǎng)絡(luò)5.0標(biāo)識(shí)與其內(nèi)生安全能力、確定性保障能力、ICT支撐能力、路由尋址能力、算力資源等密切相關(guān),包括域名服務(wù)標(biāo)識(shí)、身份標(biāo)識(shí)、位置符標(biāo)識(shí)、安全可信標(biāo)識(shí)和算力資源標(biāo)識(shí)等主要標(biāo)識(shí)。

網(wǎng)絡(luò)5.0域名服務(wù)標(biāo)識(shí)繼承了第四代數(shù)通網(wǎng)絡(luò)中域名標(biāo)識(shí)便于記憶的特性,強(qiáng)化了對(duì)泛在物聯(lián)網(wǎng)的支撐服務(wù)能力,具備自動(dòng)配置、安全可信和位置感知等特性。身份標(biāo)識(shí)和位置符標(biāo)識(shí)是為解決第四代數(shù)通網(wǎng)絡(luò)中IP地址語義過載存在的問題,基于身份位置分離機(jī)制將IP地址分化為服務(wù)于用戶設(shè)備身份的唯一標(biāo)識(shí)和服務(wù)于路由尋址的靈活可變長(zhǎng)位置標(biāo)識(shí)符。安全可信標(biāo)識(shí)則是網(wǎng)絡(luò)5.0中特有的用于保障設(shè)備身份接入安全和跨域安全信任傳遞的標(biāo)識(shí)。算力資源標(biāo)識(shí)是用于基于網(wǎng)絡(luò)5.0的算力網(wǎng)絡(luò)管理和提供算力資源服務(wù)時(shí)使用的標(biāo)識(shí)。

3.4 網(wǎng)絡(luò)5.0 網(wǎng)絡(luò)標(biāo)識(shí)

為實(shí)現(xiàn)以網(wǎng)絡(luò)為中心各國擁有各自網(wǎng)絡(luò)空間自主管轄權(quán),同時(shí)支持包括物聯(lián)網(wǎng)終端在內(nèi)的各類終端對(duì)短地址的需求,網(wǎng)絡(luò)5.0采用變長(zhǎng)地址結(jié)構(gòu),源地址長(zhǎng)度和目的地址長(zhǎng)度可以不同,其編碼結(jié)構(gòu)如圖5所示。

圖5 網(wǎng)絡(luò)5.0地址編碼結(jié)構(gòu)

源地址和目的地址前綴相同的用戶工作區(qū)域稱為有限域。在有限域內(nèi)通信,只需要地址字段和最短前綴。地址采用變長(zhǎng)結(jié)構(gòu),源地址和目的地址長(zhǎng)度可不同。

3.5 網(wǎng)絡(luò)5.0服務(wù)標(biāo)識(shí)

3.5.1 可信標(biāo)識(shí)

可信標(biāo)識(shí)[6-7]用于標(biāo)識(shí)網(wǎng)絡(luò)中參與通信的節(jié)點(diǎn)身份標(biāo)識(shí),既包括主機(jī)終端、交換路由設(shè)備、物聯(lián)網(wǎng)節(jié)點(diǎn)等物理節(jié)點(diǎn)的身份標(biāo)識(shí),也包括服務(wù)和資源等邏輯虛擬節(jié)點(diǎn)的身份標(biāo)識(shí)。該可信標(biāo)識(shí)依賴身份/位置分離的網(wǎng)絡(luò)標(biāo)識(shí)體系?？尚艠?biāo)識(shí)的標(biāo)識(shí)對(duì)象包含網(wǎng)絡(luò)轉(zhuǎn)發(fā)、設(shè)備接入和用戶身份3個(gè)視角相關(guān)的對(duì)象。

為保障網(wǎng)絡(luò)安全,實(shí)現(xiàn)身份和位置解耦。從網(wǎng)絡(luò)轉(zhuǎn)發(fā)視角來看,可信標(biāo)識(shí)包含設(shè)備身份標(biāo)識(shí)和可信位置符。其中設(shè)備身份標(biāo)識(shí)是與設(shè)備、身份和接入域相關(guān)的加密標(biāo)識(shí),可信位置符則由路由明文前綴和加密主機(jī)后綴構(gòu)成。從設(shè)備接入視角來看,可信標(biāo)識(shí)源自廠家設(shè)備標(biāo)識(shí)并由之生成可信標(biāo)識(shí),可用作轉(zhuǎn)發(fā)視角的可信設(shè)備身份標(biāo)識(shí)。用戶身份與用戶的賬號(hào)、身份證號(hào)和手機(jī)號(hào)相關(guān),從用戶身份視角來看,網(wǎng)絡(luò)5.0中的可信身份標(biāo)識(shí)由用戶賬號(hào)、身份證號(hào)和手機(jī)號(hào)加密,且與可信設(shè)備標(biāo)識(shí)綁定,可信用戶身份標(biāo)識(shí)無法單獨(dú)存在。一個(gè)可信設(shè)備標(biāo)識(shí)可以綁定多個(gè)可信用戶身份標(biāo)識(shí),但一個(gè)可信用戶身份標(biāo)識(shí)在一段時(shí)間內(nèi)僅能與一個(gè)可信設(shè)備標(biāo)識(shí)綁定。

可信標(biāo)識(shí)統(tǒng)一對(duì)物理和邏輯通信服務(wù)節(jié)點(diǎn)進(jìn)行唯一標(biāo)識(shí),可信標(biāo)識(shí)生成的管理和解析映射由網(wǎng)絡(luò)層與傳輸層之間的實(shí)體負(fù)責(zé),其垂直作用范圍為應(yīng)用層和傳輸層,此兩層可直接訪問。可信標(biāo)識(shí)的水平作用范圍由接入域管理維護(hù),在可信網(wǎng)絡(luò)域和非可信網(wǎng)絡(luò)域間轉(zhuǎn)發(fā)傳遞時(shí),部分可信網(wǎng)絡(luò)域參與可信標(biāo)識(shí)驗(yàn)證。

可信標(biāo)識(shí)兼顧節(jié)點(diǎn)身份隱私安全和授權(quán)狀態(tài)下的審計(jì)追溯,其標(biāo)識(shí)結(jié)構(gòu)采用扁平化的加密編碼結(jié)構(gòu),包括固定域和可變域兩部分?？尚艠?biāo)識(shí)的固定部分中保障了中長(zhǎng)期標(biāo)識(shí)唯一性、身份真實(shí)性以及隨路鑒權(quán)安全性。固定部分編碼內(nèi)容包括標(biāo)識(shí)類型、標(biāo)識(shí)版本、標(biāo)識(shí)/證書長(zhǎng)度、機(jī)器/節(jié)點(diǎn)標(biāo)識(shí)(物理節(jié)點(diǎn)為其機(jī)器標(biāo)識(shí),邏輯虛擬節(jié)點(diǎn)為其資源標(biāo)識(shí))。其中,標(biāo)識(shí)類型包含設(shè)備類、身份類、算力類和服務(wù)類等?？勺冇蚺c節(jié)點(diǎn)變動(dòng)相關(guān),可變部分適用于隱私性和移動(dòng)性。可變域編碼內(nèi)容包括網(wǎng)絡(luò)域標(biāo)識(shí)和時(shí)間戳等,若標(biāo)識(shí)編碼通過非加密通道承載,可變域以指紋方式嵌入。

面向網(wǎng)絡(luò)5.0的各種典型應(yīng)用場(chǎng)景,可信標(biāo)識(shí)的編碼結(jié)構(gòu)設(shè)計(jì)需要提供較高的靈活性,一方面要支持非功耗受限的各種高安全性需求場(chǎng)景,另一方面也要適用于功耗受限的物聯(lián)網(wǎng)等場(chǎng)景?？尚艠?biāo)識(shí)在編碼結(jié)構(gòu)設(shè)計(jì)上需提供對(duì)功耗受限場(chǎng)景下的極簡(jiǎn)編碼支持,同時(shí)也要保證對(duì)非功耗受限場(chǎng)景下的各種功能的支持。

可信標(biāo)識(shí)作為加密的唯一標(biāo)識(shí),其生成方式應(yīng)能兼顧物理節(jié)點(diǎn)和資源服務(wù)的標(biāo)識(shí),并能滿足編碼結(jié)構(gòu)要求。其框架支持集中生成方式、層次生成方式和去中心化生成方式。認(rèn)證鑒權(quán)是可信標(biāo)識(shí)的基礎(chǔ),為配合集中式、層次式和去中心化式等標(biāo)識(shí)生成方式,其認(rèn)證鑒權(quán)應(yīng)支持代理鑒權(quán)認(rèn)證和數(shù)據(jù)報(bào)文攜帶隨路。

支持代理鑒權(quán)認(rèn)證是指通過權(quán)限管理平臺(tái)和可信代理控制服務(wù)的聯(lián)動(dòng),實(shí)現(xiàn)對(duì)用戶的權(quán)限鑒權(quán),確認(rèn)用戶是否擁有正在鑒權(quán)確認(rèn)的權(quán)限。而鑒權(quán)服務(wù)支持應(yīng)用級(jí)、功能級(jí)、服務(wù)級(jí)、數(shù)據(jù)級(jí)的細(xì)粒度鑒權(quán)。在收到可信代理控制服務(wù)的鑒權(quán)請(qǐng)求后,結(jié)合用戶的風(fēng)險(xiǎn)等級(jí)、應(yīng)用業(yè)務(wù)的安全等級(jí)進(jìn)行鑒權(quán)。

數(shù)據(jù)報(bào)文攜帶隨路是指將標(biāo)識(shí)作為代表設(shè)備身份的可信憑證,數(shù)據(jù)報(bào)文在鏈路上傳輸時(shí),攜帶標(biāo)識(shí)一起傳輸,因此數(shù)據(jù)報(bào)文必須通過安全的方式保存和處理。在設(shè)備側(cè),需要通過采用密碼學(xué)技術(shù)的硬件芯片對(duì)標(biāo)識(shí)進(jìn)行存儲(chǔ)和處理,或者采用其他方式確保標(biāo)識(shí)信息不被篡改、竊取。接入認(rèn)證首先發(fā)生在鏈路層,設(shè)備和網(wǎng)絡(luò)邊界(接入網(wǎng)關(guān))建立可信隧道,實(shí)現(xiàn)可信標(biāo)識(shí)認(rèn)證。可信標(biāo)識(shí)可通過鏈路層傳遞到網(wǎng)絡(luò)層,以實(shí)現(xiàn)可信標(biāo)識(shí)的跨域傳遞等先進(jìn)安全特性。

在報(bào)文中攜帶可信標(biāo)識(shí)后,通信的相關(guān)方(如目的節(jié)點(diǎn)或者中間路由器等)可通過對(duì)于可信標(biāo)識(shí)的認(rèn)證,驗(yàn)證通信數(shù)據(jù)的來源或通信數(shù)據(jù)的責(zé)任方,從而信任數(shù)據(jù)報(bào)文或?qū)ζ淇尚哦冗M(jìn)行評(píng)估。在同一個(gè)可信域內(nèi),可以通過報(bào)文攜帶可信標(biāo)識(shí),審計(jì)和追溯數(shù)據(jù)報(bào)文的來源。在安全需求不那么嚴(yán)格,且事先清楚全部網(wǎng)絡(luò)節(jié)點(diǎn)都是可信的情況下,數(shù)據(jù)報(bào)文也可以不攜帶可信標(biāo)識(shí),以提升通信的效率。跨可信域通信時(shí),通信的相關(guān)方可以通過報(bào)文中的可信標(biāo)識(shí),實(shí)現(xiàn)跨域的、間接的可信關(guān)系建立,形成可信鏈條?？尚艠?biāo)識(shí)的可信管理包括標(biāo)識(shí)憑證管理、信任等級(jí)管理、隱私保護(hù)管理、綁定映射管理、信任傳遞管理、信任時(shí)效管理和審計(jì)追溯管理等。

可信標(biāo)識(shí)需要存儲(chǔ)在能夠提供完整性、機(jī)密性保護(hù)的芯片或存儲(chǔ)介質(zhì)中,保證可信標(biāo)識(shí)不被竊取和篡改。

3.5.2 統(tǒng)一資源標(biāo)識(shí)

算力標(biāo)識(shí)與互聯(lián)網(wǎng)資源標(biāo)識(shí)不同,互聯(lián)網(wǎng)的資源標(biāo)識(shí)是兩段標(biāo)識(shí),即地址標(biāo)識(shí)和業(yè)務(wù)內(nèi)容屬性標(biāo)識(shí),而算力網(wǎng)絡(luò)的資源標(biāo)識(shí)包括三段標(biāo)識(shí),即地址標(biāo)識(shí)和兩種算力資源屬性標(biāo)識(shí)?；ヂ?lián)網(wǎng)的統(tǒng)一資源標(biāo)識(shí)如圖6所示,算力網(wǎng)絡(luò)的統(tǒng)一算力資源標(biāo)識(shí)如圖7所示。

圖6 互聯(lián)網(wǎng)的統(tǒng)一資源標(biāo)識(shí)

圖7 算力網(wǎng)絡(luò)的統(tǒng)一算力資源標(biāo)識(shí)

統(tǒng)一資源標(biāo)識(shí)符(Uniform Resource Identifier,URI)是用來標(biāo)識(shí)抽象或物理資源的一個(gè)緊湊字符串,其I(Identifier)是統(tǒng)一資源標(biāo)示符,可以唯一標(biāo)識(shí)一個(gè)資源。URI由統(tǒng)一資源定位符(Uniform Resource Locator,URL)和統(tǒng)一資源名(Uniform Resource Name,URN)兩個(gè)部分組成,URL是URI的子集,所以URL一定是URI,而URI不一定是URL。URL是一種定位資源的主要訪問機(jī)制的字符串,其重點(diǎn)在于L(Locater)地址,提供找到該資源的確切路徑。一個(gè)標(biāo)準(zhǔn)的URL必須包括protocol、host、port、path、parameter、anchor。URN通過特定命名空間中的唯一名稱或ID來標(biāo)識(shí)資源?；ヂ?lián)網(wǎng)業(yè)務(wù)全部是OTT業(yè)務(wù),所以互聯(lián)網(wǎng)的資源標(biāo)識(shí)無需通信屬性。

統(tǒng)一算力資源標(biāo)識(shí)符(Universal Suanli Resource Identifier,USRI)用來標(biāo)識(shí)抽象或物理算力資源的一個(gè)緊湊字符串,其I(Identifier)是統(tǒng)一算力資源標(biāo)識(shí)符,可以唯一標(biāo)識(shí)一個(gè)算力資源。USRI由URL、統(tǒng)一算力IT資源名稱(Universal Suanli IT Resource Name,USIRN)和統(tǒng)一算力CT資源名稱(Universal Suanli CT Resource Name,USCRN)3個(gè)部分組成。其中,URL提供找到該資源的確切路徑。USIRN通過特定命名空間中的唯一名稱、算力IT屬性或ID來標(biāo)識(shí)資源。USCRN通過特定命名空間中的唯一名稱、算力CT屬性或ID來標(biāo)識(shí)資源。

4 結(jié)束語

網(wǎng)絡(luò)標(biāo)識(shí)的編碼格式與分配原則需要充分考慮網(wǎng)絡(luò)自身的特點(diǎn)并方便網(wǎng)絡(luò)功能的實(shí)現(xiàn),網(wǎng)絡(luò)5.0繼承了IP網(wǎng)絡(luò)的優(yōu)點(diǎn)和能力,同時(shí)增強(qiáng)了網(wǎng)絡(luò)內(nèi)生安全、確定性服務(wù)質(zhì)量保證、滿足萬物互聯(lián)對(duì)網(wǎng)絡(luò)的不同需求。