基于安全基片的可重構(gòu)網(wǎng)絡(luò)安全管控機制*

陳 杰，劉建偉，王蒙蒙，何雙羽，毛 劍

（北京航空航天大學電子信息工程學院 北京100191）

1 引言

作為目前的基礎(chǔ)網(wǎng)絡(luò)體系，互聯(lián)網(wǎng)是迄今為止運行經(jīng)驗最為豐富的網(wǎng)絡(luò)，也是全球投資最大的網(wǎng)絡(luò)。互聯(lián)網(wǎng)以其網(wǎng)絡(luò)的開放性、技術(shù)的創(chuàng)新性、信息傳播的交互性而廣泛滲透到社會各個領(lǐng)域。隨著人們對互聯(lián)網(wǎng)的規(guī)模、功能和性能等方面的需求越來越高，以IPv4為核心技術(shù)的互聯(lián)網(wǎng)面臨著日趨嚴峻的挑戰(zhàn)[1]。由于當前網(wǎng)絡(luò)內(nèi)在的能力與結(jié)構(gòu)對業(yè)務(wù)需求的適應(yīng)性差，導致其對融合、泛在、質(zhì)量、安全、擴展、可管可控、移動等的支持能力低下，不能從根本上滿足提供泛在的信息服務(wù)、支持多樣化和全方位的網(wǎng)絡(luò)業(yè)務(wù)、保證高質(zhì)量的通信效果、確保信息交互的安全可信、實施有效的管理控制等迫切需求[2]。

互聯(lián)網(wǎng)從誕生到現(xiàn)在已經(jīng)發(fā)展了40多年，在設(shè)計之初，由于當時各種背景所限，其體系結(jié)構(gòu)的設(shè)計基礎(chǔ)是“分組交換”技術(shù)、“端到端透明”和“最大努力交付”等理念[3]。同時因為誕生之初的互聯(lián)網(wǎng)應(yīng)用于一個封閉的可信環(huán)境，所以根本沒考慮現(xiàn)在開放的不可信環(huán)境的安全問題。目前互聯(lián)網(wǎng)的安全問題十分突出，主要表現(xiàn)為：中間節(jié)點對傳輸數(shù)據(jù)分組的來源不驗證、不審計，導致地址、身份被假冒，垃圾信息泛濫，大量的入侵和攻擊行為無法跟蹤，難以溯源；用戶個人信息或者關(guān)鍵數(shù)據(jù)在網(wǎng)絡(luò)上存儲和傳輸都會面臨風險，互聯(lián)網(wǎng)中的數(shù)據(jù)系統(tǒng)、業(yè)務(wù)系統(tǒng)常常遭到攻擊，各層漏洞層出不窮。這些安全脆弱性出現(xiàn)在互聯(lián)網(wǎng)的設(shè)計、實現(xiàn)、運行和管理的各個環(huán)節(jié)。為了從根本上解決這些問題，下一代互聯(lián)網(wǎng)絡(luò)及其應(yīng)用的研究引起了世界各國的普遍關(guān)注，相繼啟動了一系列的重大研究計劃與項目。研究人員希望在下一代互聯(lián)網(wǎng)中解決目前互聯(lián)網(wǎng)在擴展性、高性能、實時性、移動性、安全性、易管理和經(jīng)濟性等方面存在的重大技術(shù)問題。參加文獻[4]指出下一代互聯(lián)網(wǎng)的研究應(yīng)該充分體現(xiàn)可控、可信、可管的特點。參考文獻[5]認為可信的下一代互聯(lián)網(wǎng)應(yīng)具有如下特性：

·實現(xiàn)系統(tǒng)和信息的保密性、完整性、可用性；

·真實性，即用戶身份、信息來源、信息內(nèi)容的真實性；

·可審計性，即網(wǎng)絡(luò)實體發(fā)起的任何行為都可追蹤到實體本身；

·私密性，即用戶的隱私是受到保護的，某些應(yīng)用是可匿名的；

·抗毀性，在系統(tǒng)故障、惡意攻擊的環(huán)境中，能夠提供有效的服務(wù)；

·可控性，指對違反網(wǎng)絡(luò)安全政策的行為具有控制能力。

國家科學技術(shù)部于2012年部署國家重點基礎(chǔ)研究發(fā)展計劃（“973”計劃）項目“可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究”，用于研究基于可重構(gòu)技術(shù)的新型網(wǎng)絡(luò)體系架構(gòu)，其中一項重要的研究內(nèi)容就是針對可重構(gòu)網(wǎng)絡(luò)的安全管控機理與結(jié)構(gòu)的研究與設(shè)計。下面將圍繞可重構(gòu)網(wǎng)絡(luò)安全管控機制展開詳細介紹。

2 下一代互聯(lián)網(wǎng)設(shè)計中的安全管控機制

在過去的10年中，為了解決現(xiàn)有網(wǎng)絡(luò)的不足之處，美國、歐盟、日本以及我國的研究機構(gòu)在政府的大力推動下，紛紛開展未來網(wǎng)絡(luò)體系架構(gòu)的研究，其中比較有影響力并且在安全管控方面涉及較多的主要有以下幾個項目。

2.1 NDN

NDN（named data networking）（2010-2013年）[6～8]是由美國國家科學基金會（NSF）FIA（future internet architecture）項目資助，由加州大學洛杉磯分校、帕羅奧多研究中心（PARC）、華盛頓大學、伊利諾大學香檳分校等12個組織合作研究。NDN項目致力于使互聯(lián)網(wǎng)可以不考慮內(nèi)容存儲所在的物理位置，直接提供面向內(nèi)容的功能。NDN將通信模式從關(guān)注“在哪里”，如地址、服務(wù)器、端系統(tǒng)，轉(zhuǎn)變?yōu)殛P(guān)注“是什么”，即用戶和應(yīng)用關(guān)注的內(nèi)容。

根據(jù)NDN體系結(jié)構(gòu)遵循的設(shè)計原則：所謂的“細腰”結(jié)構(gòu)是原互聯(lián)網(wǎng)爆炸式增長的關(guān)鍵因素，NDN將保持沙漏型的體系結(jié)構(gòu)，但其安全性必須內(nèi)置在體系結(jié)構(gòu)中，這與當前互聯(lián)網(wǎng)安全采用事后補救式的機制不同，后者并不能滿足當前敵意持續(xù)增長的環(huán)境。傳統(tǒng)網(wǎng)絡(luò)聚焦網(wǎng)絡(luò)連接的安全，關(guān)注連接到何處和如何連接，而NDN則是基于內(nèi)容的安全。內(nèi)容的發(fā)布者在發(fā)布內(nèi)容時產(chǎn)生一個映射M(N,C,sign(N,C))，接收者則可驗證內(nèi)容和映射。在NDN體系結(jié)構(gòu)的安全和隱私屬性保護機制中，每個NDN分組的名字用一個數(shù)字簽名和分組的內(nèi)容綁定。這個基礎(chǔ)特性提供數(shù)據(jù)完整性和原始認證，支持信任和起源通過分組簽名者和它的源（例如個人和組織）之間的映射。命名和簽名的內(nèi)容也為構(gòu)建安全應(yīng)用打下堅實的基礎(chǔ)，但是這引出了兩個核心安全需求：實現(xiàn)具有良好成本效益的細粒度簽名操作和設(shè)計功能性的有效的信任管理基礎(chǔ)模型。NDN雖然提供了新的、基礎(chǔ)的且強有力的機制來驗證內(nèi)容和確定起源，但是惡意的和有害的內(nèi)容如垃圾郵件（例如來自惡意軟件），也可能起源于一個合法的內(nèi)容源且擁有合法的數(shù)字簽名。

2.2 XIA

XIA（expressive internet architecture）[9,10]是由NSF FIA項目資助，由卡內(nèi)基梅隆大學、威斯康星大學麥迪遜分校、波士頓大學、杜克大學合作研究。XIA項目致力于構(gòu)建一種未來互聯(lián)網(wǎng)體系結(jié)構(gòu)，具有以下特點：可信、支持長期演化的多種應(yīng)用模型、支持長期的技術(shù)革新、支持不同網(wǎng)絡(luò)參與方的顯示接口。XIA體系結(jié)構(gòu)具有內(nèi)在安全性、支持豐富的通信實體集和保持當前網(wǎng)絡(luò)的“細腰”結(jié)構(gòu)。參考文獻[11]中首次提出支持路由控制、路由失效隔離、端到端通信的信息顯式可信的互聯(lián)網(wǎng)體系結(jié)構(gòu)SCION（scalability,control,and isolation on next-generation network）。SCION的設(shè)計原則是：基于域的隔離機制，劃分路由控制平面為不同的獨立域；交互、可控的路由選擇，源和目的地之間聯(lián)合選擇路徑；端到端通信的顯式信任和小可信計算基（small trusted computing base）。

SCION定義了自治域（autonomous domain，AD）作為自管理的單元，包括傳輸自治域和端自治域。基于地理拓撲或管理關(guān)系的大型的核心網(wǎng)絡(luò)可以被劃分成若干個自治域。SCION將自治域劃分為層次結(jié)構(gòu)的可信域（trust domain，TD），提供基于域的隔離屬性。一個可信域可以是數(shù)個共享相同的商業(yè)契約、文化、法律法規(guī)和技術(shù)協(xié)議的自治域的集合，具有一致的信任根、公共路由策略和自治域間的互審計性。可信域的內(nèi)核也可作為其所包含的所有自治域的信任根，基于該信任根可以在可信域內(nèi)各自治域之間執(zhí)行一致的安全策略。良好的設(shè)計原則使SCION具有較強的安全性和可生存性等內(nèi)在特質(zhì)，進而避免了像當前互聯(lián)網(wǎng)這樣通過使用零散式的補充協(xié)議作為安全補丁的方式。同時SCION假設(shè)作為在可信域中信任錨點的少數(shù)頂層的互聯(lián)網(wǎng)服務(wù)提供商（ISP）數(shù)量并不太多，達到了小可信計算基的設(shè)計目標，降低了系統(tǒng)的復雜度。

2.3 AKARI

AKARI項目是由日本通信技術(shù)國家研究所（national institute of communication technology，NICT）發(fā)起和研究的。AKARI中關(guān)于網(wǎng)絡(luò)安全的定義是：保護網(wǎng)絡(luò)通信、設(shè)備、信息、服務(wù)和資源，以抵抗各種惡意行為如未授權(quán)的修改、破壞、信息泄露、干擾、偽造和假冒。AKARI項目研究人員提出的下一代網(wǎng)絡(luò)安全通用架構(gòu)[12,13]中，將安全需求在數(shù)據(jù)平面和控制平面中分為3個級別：設(shè)備安全、基礎(chǔ)設(shè)施安全和服務(wù)安全。一個網(wǎng)絡(luò)應(yīng)該提供的安全服務(wù)包括身份管理、身份驗證、機密性、完整性、隱私、不可否認性、可審計性、訪問控制、可恢復性和授權(quán)等，其中AKARI項目研究人員認為身份管理、隱私和可恢復性對下一代網(wǎng)絡(luò)是必不可少的。

2.4 SDN

2007 年，作為斯坦福大學Clean State在企業(yè)網(wǎng)安全方面的一個子項，斯坦福大學的Casado M等人提出了SANE網(wǎng)絡(luò)架構(gòu)和Ethane網(wǎng)絡(luò)架構(gòu)，用于提供企業(yè)網(wǎng)絡(luò)中的安全管理[14]。后來由于這種技術(shù)本身的優(yōu)勢和相應(yīng)的技術(shù)推廣，這種網(wǎng)絡(luò)架構(gòu)不斷發(fā)展，而后被重新命名為軟件定義網(wǎng)絡(luò)（software defined networking，SDN），并被認為是替代傳統(tǒng)層次網(wǎng)絡(luò)架構(gòu)、解決當前和未來網(wǎng)絡(luò)爆炸性需求的一種革新技術(shù)。SDN基于控制和轉(zhuǎn)發(fā)相分離的思路，實現(xiàn)了網(wǎng)絡(luò)和業(yè)務(wù)的可編程，促進了網(wǎng)絡(luò)的虛擬化和IT化以及硬件的歸一化，為降低建設(shè)成本、運維難度和業(yè)務(wù)響應(yīng)時間奠定了基礎(chǔ)。目前產(chǎn)業(yè)界成立了中立的開放網(wǎng)絡(luò)基金會（Open Networking Foundation，ONF），包括德國電信、Facebook、Google、微軟、Verizon、Yahoo等在內(nèi)的41家公司參與推動SDN有關(guān)的產(chǎn)品、標準化和市場形成。

對SDN的架構(gòu)[15]進行分析可知，SDN中的安全問題[16]主要集中在控制平面和應(yīng)用平面及其中間的接口。

（1）控制平面

集中化的控制平面承載著網(wǎng)絡(luò)環(huán)境中的所有控制流，是網(wǎng)絡(luò)服務(wù)的中樞機構(gòu)，其安全性直接關(guān)系著網(wǎng)絡(luò)服務(wù)的可用性、可靠性和數(shù)據(jù)安全性，是SDN安全首先要解決的問題。控制平面的安全問題包括網(wǎng)絡(luò)監(jiān)聽、地址欺騙、DDoS攻擊和病毒、蠕蟲及木馬攻擊。

（2）應(yīng)用平面

應(yīng)用平面將通過應(yīng)用提供各種復雜的網(wǎng)絡(luò)服務(wù)，安全問題也將隨之而來。應(yīng)用平面的主要安全問題包括應(yīng)用的授權(quán)、認證、隔離以及策略沖突的消解[17]。

綜上，雖然上述幾個影響力較大的下一代網(wǎng)絡(luò)設(shè)計項目都取得了初步的成果，其或多或少也針對網(wǎng)絡(luò)安全管控方面有所考量，但由于未來網(wǎng)絡(luò)的安全機制和網(wǎng)絡(luò)需求與架構(gòu)密切相關(guān)，所以目前還并沒有產(chǎn)生具體的安全管控機制或安全參考模型。

3 可重構(gòu)網(wǎng)絡(luò)安全管控

3.1 可重構(gòu)網(wǎng)絡(luò)體系結(jié)構(gòu)

當前信息網(wǎng)絡(luò)依賴的基礎(chǔ)互聯(lián)傳輸能力是制約整個信息網(wǎng)絡(luò)總體功能的結(jié)構(gòu)性瓶頸，當前網(wǎng)絡(luò)內(nèi)在的能力與結(jié)構(gòu)對業(yè)務(wù)需求的適應(yīng)性差，導致其對融合、泛在、質(zhì)量、安全、擴展、可管可控、移動等的支持能力低下，使得業(yè)務(wù)需求與網(wǎng)絡(luò)基礎(chǔ)能力之間的差距愈發(fā)顯著。以應(yīng)對上述挑戰(zhàn)為切入點，信息工程大學的蘭巨龍等人[18]提出了“可重構(gòu)網(wǎng)絡(luò)”思想并建立可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系，在此基礎(chǔ)上提出網(wǎng)絡(luò)元能力理論、多態(tài)尋址路由機制、網(wǎng)絡(luò)重構(gòu)機理和安全可管可控機理，以達到支持目前業(yè)務(wù)和未來新業(yè)務(wù)的不同服務(wù)質(zhì)量需求，功能靈活擴展，滿足泛在互聯(lián)、融合異構(gòu)、可信可管可擴需求。其網(wǎng)絡(luò)體系功能結(jié)構(gòu)如圖1所示。

可重構(gòu)網(wǎng)絡(luò)的核心特征是其內(nèi)在結(jié)構(gòu)的時變性，即由時變的結(jié)構(gòu)驅(qū)動時變的服務(wù)能力，最終實現(xiàn)網(wǎng)絡(luò)服務(wù)對應(yīng)用要求和特征的動態(tài)適配，從“一致滿足”應(yīng)用要求的時變信道出發(fā)，具有包含“漸變跟隨”、“著眼整體”、“隱性隔離”和“自主驅(qū)動”特征的柔性可重構(gòu)重要內(nèi)涵[19]。

可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系設(shè)計采用自頂向下方法，將泛在互聯(lián)、服務(wù)質(zhì)量保證、融合異構(gòu)、安全可信、可管可擴等功能內(nèi)嵌到網(wǎng)絡(luò)體系結(jié)構(gòu)中，以達到為不同業(yè)務(wù)提供滿足其根本需求的、可定制的基礎(chǔ)網(wǎng)絡(luò)服務(wù)的目的，主要技術(shù)手段是通過增強OSI 7層網(wǎng)絡(luò)參考模型中網(wǎng)絡(luò)層和傳輸層的功能以解決目前IP網(wǎng)絡(luò)層的功能瓶頸。

圖1 可重構(gòu)網(wǎng)絡(luò)體系功能參考模型[18]

3.2 可重構(gòu)網(wǎng)絡(luò)安全挑戰(zhàn)

可重構(gòu)網(wǎng)絡(luò)繼承了目前互聯(lián)網(wǎng)所面臨的一些安全威脅，包括地址欺騙、身份偽造、拒絕服務(wù)攻擊、非法入侵以及惡意代碼等各種攻擊。但是由于可重構(gòu)網(wǎng)絡(luò)與目前互聯(lián)網(wǎng)有著網(wǎng)絡(luò)體系結(jié)構(gòu)上的不同，解決可重構(gòu)網(wǎng)絡(luò)安全可管可控問題面臨著不同的挑戰(zhàn)。

（1）網(wǎng)絡(luò)集中管控的結(jié)構(gòu)增加了中心節(jié)點被攻擊的風險

可重構(gòu)網(wǎng)絡(luò)是以增加網(wǎng)絡(luò)體系結(jié)構(gòu)的復雜度來提高網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)傳輸能力，其對網(wǎng)絡(luò)的管控方式更加靈活、管控能力更強，但這種復雜度的增加必然需要集中的決策和優(yōu)化，這在增加網(wǎng)絡(luò)的管控開銷的同時也會形成大大小小的功能節(jié)點。通過這些中心節(jié)點能實現(xiàn)網(wǎng)絡(luò)功能的集中管控，但也面臨著更多的風險。這里更多的風險，一方面是指攻擊者會更愿意攻擊中心節(jié)點；另一方面是指一旦中心節(jié)點被攻破，造成的破壞更大。

（2）動態(tài)變化的網(wǎng)絡(luò)結(jié)構(gòu)破壞了傳統(tǒng)安全域的邊界

可重構(gòu)網(wǎng)絡(luò)通過網(wǎng)絡(luò)結(jié)構(gòu)的自組織、功能的自調(diào)節(jié)和業(yè)務(wù)的自適配更好地適配承載業(yè)務(wù)的需求，其網(wǎng)絡(luò)結(jié)構(gòu)具有內(nèi)在時變性，這意味著可重構(gòu)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、節(jié)點狀態(tài)、安全策略都是動態(tài)變化的，在這種情況下，傳統(tǒng)的構(gòu)建于具有明確邊界的安全域之上的安全機制將不再適用。所以在可重構(gòu)網(wǎng)絡(luò)體系中，需要設(shè)計新的符合可重構(gòu)網(wǎng)絡(luò)特征的安全機制。

（3）安全即服務(wù)的模式要求安全管控機制具備更高的頑健性

不同于傳統(tǒng)互聯(lián)網(wǎng)零散、修補式的解決安全管控問題的思路，可重構(gòu)網(wǎng)絡(luò)在設(shè)計之初就考慮要將安全管控機制內(nèi)嵌到網(wǎng)絡(luò)體系之中，這使得安全機制可以作為網(wǎng)絡(luò)的基本服務(wù)提供給網(wǎng)絡(luò)的使用者，即安全即服務(wù)模式。安全即服務(wù)的優(yōu)點是極大地提高了可重構(gòu)網(wǎng)絡(luò)的安全性，可以為網(wǎng)絡(luò)業(yè)務(wù)提供充分適配且全面的安全服務(wù)。傳統(tǒng)互聯(lián)網(wǎng)中常常通過部署第三方安全設(shè)備來實現(xiàn)一些安全機制，即使網(wǎng)絡(luò)可用性被破壞，這些安全機制仍可能有效；而在可重構(gòu)網(wǎng)絡(luò)中一旦網(wǎng)絡(luò)服務(wù)的可用性被破壞，比如受到拒絕服務(wù)攻擊則會造成安全管控機制的失效。所以需要可重構(gòu)網(wǎng)絡(luò)安全管控機制具備更高的頑健性，難以輕易被破壞。

3.3 可重構(gòu)網(wǎng)絡(luò)安全目標

可重構(gòu)網(wǎng)絡(luò)安全管控在于解決安全功能簡單疊加、不能滿足系統(tǒng)復雜安全要求的問題，創(chuàng)立基于重構(gòu)的安全基片邏輯，構(gòu)建面向業(yè)務(wù)應(yīng)用、內(nèi)嵌的基于安全基片的安全管控機制，一方面使可重構(gòu)網(wǎng)絡(luò)為用戶提供具有內(nèi)置安全的網(wǎng)絡(luò)服務(wù)；另一方面使可重構(gòu)網(wǎng)絡(luò)從體系架構(gòu)設(shè)計層面支撐可管可控安全需求。

可重構(gòu)網(wǎng)絡(luò)安全管控的基本思路基于以下幾點。

（1）提供充分且適配的安全服務(wù)的能力

目前的網(wǎng)絡(luò)業(yè)務(wù)由于沒有細分安全性需求，從而導致或者完全忽略可能存在的安全問題，或者盲目追求高安全性而耗費大量網(wǎng)絡(luò)資源，最終都違背了為用戶提供安全、有效服務(wù)的網(wǎng)絡(luò)設(shè)計初衷。因此，構(gòu)建針對不同應(yīng)用場景和用戶需求、具有多級安全強度的安全服務(wù)，以實現(xiàn)網(wǎng)絡(luò)安全需求的充分滿足與合理適配，是設(shè)計可重構(gòu)網(wǎng)絡(luò)安全管控機制的關(guān)鍵。

（2）基于全局一致性的安全管控能力

可重構(gòu)網(wǎng)絡(luò)需要進行全局性的規(guī)劃和優(yōu)化，有利于實現(xiàn)對網(wǎng)絡(luò)的一致控制，提高網(wǎng)絡(luò)資源利用效率以及網(wǎng)絡(luò)的安全性。可重構(gòu)網(wǎng)絡(luò)還需要提供更方便、靈活的管理手段，對網(wǎng)絡(luò)運行的各個方面實施全面、高效的管理，并無縫、高效地解決可控性問題。

即除信息安全外，還可以綜合考慮網(wǎng)絡(luò)應(yīng)用性能、負載均衡等多方面的需求。SDN提供了將信息安全與網(wǎng)絡(luò)可用性、容災(zāi)備份等統(tǒng)一考慮的技術(shù)手段。

（3）具備安全態(tài)勢分析和動態(tài)調(diào)整的能力

從理論上講，根本上消除網(wǎng)絡(luò)的脆弱性、企圖設(shè)計并實現(xiàn)一個絕對安全的網(wǎng)絡(luò)體系結(jié)構(gòu)是不切實際的。既需要從可重構(gòu)網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計上考慮足夠的能應(yīng)對已知安全威脅的安全機制，如必須提供可信任的網(wǎng)絡(luò)服務(wù)，確保網(wǎng)絡(luò)地址及其位置的真實可信、網(wǎng)絡(luò)對象可識別和已知的網(wǎng)絡(luò)攻擊可防范等，也需要具備必要的容錯機制，實現(xiàn)入侵容忍、網(wǎng)絡(luò)恢復、攻擊源追蹤定位等功能。

4 基于安全基片的可重構(gòu)網(wǎng)絡(luò)安全管控機制

4.1 安全基片

安全基片的概念及其構(gòu)建機理是安全管控體系設(shè)計的核心環(huán)節(jié)，基于安全基片可以構(gòu)造針對不同應(yīng)用場景和用戶需求、具有多級安全強度的安全服務(wù)，以實現(xiàn)網(wǎng)絡(luò)安全需求的充分滿足與合理適配。下面介紹可重構(gòu)網(wǎng)絡(luò)安全基片及相關(guān)概念的定義。

（1）安全基片（security substrate，SS）是針對共性安全與管控特征要求而構(gòu)造的基本安全要素和功能的總和，是實現(xiàn)網(wǎng)絡(luò)安全管控機制動態(tài)可重構(gòu)的功能基礎(chǔ)，基于安全基片構(gòu)造多級安全等級安全服務(wù)，進而更加靈活地滿足具體的安全業(yè)務(wù)的不同安全需求。

（2）安全元能力（security atomic capability，SAC）是指能提供基本安全要素和功能的實體單元，通過安全元能力的有序重組可以為構(gòu)建安全服務(wù)提供功能單位。通過對現(xiàn)有網(wǎng)絡(luò)安全機制中所涉及的具體安全技術(shù)進行分析歸納，同時結(jié)合可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)的特性，將形成安全元能力的安全要素的粒度確定在能獨立完成一定安全功能的安全協(xié)議一級，如認證協(xié)議、密鑰分配協(xié)議、密鑰協(xié)商協(xié)議和具體的加密算法等。

（3）安全元服務(wù)（security atomic service，SAS）是指由多種安全元能力聚類為一種“安全機制”，并由這些安全機制來保障提供的“安全服務(wù)”。

（4）安全服務(wù)鏈（security service chain，SSC），節(jié)點上的安全元能力動態(tài)有序地組合成具有一定順序的安全元能力序列，當這些有序組合在一起的安全元能力能夠供具體的安全時，即稱為安全服務(wù)鏈。安全服務(wù)鏈是節(jié)點提供安全服務(wù)的邏輯和功能結(jié)構(gòu)。安全服務(wù)鏈是一類特殊的服務(wù)鏈，其功能和結(jié)構(gòu)與其他業(yè)務(wù)服務(wù)鏈相似，由公共部分和特定部分組成，公共部分是使用該服務(wù)鏈的安全業(yè)務(wù)都要使用相同的安全元能力；特定部分則由于業(yè)務(wù)安全需求的不同，服務(wù)鏈的構(gòu)建過程中或考慮元能力的參數(shù)不同，或考慮組合順序不同等原因，出現(xiàn)多個不同分支。

（5）安全服務(wù)路徑（security service pathway，SSP），根據(jù)上層業(yè)務(wù)的不同，安全需求網(wǎng)絡(luò)可定制安全服務(wù)路徑，安全服務(wù)路徑是一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)，其依據(jù)節(jié)點上安全基片可提供的安全元能力是否能滿足相應(yīng)的業(yè)務(wù)安全需求，結(jié)合路由和安全服務(wù)鏈構(gòu)建一條最優(yōu)路徑，滿足上層業(yè)務(wù)的安全需求。

4.2 基于安全基片動態(tài)構(gòu)建安全服務(wù)

安全服務(wù)構(gòu)建機制需要能滿足可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)的差異化業(yè)務(wù)、多級安全需求、動態(tài)結(jié)構(gòu)重組和安全功能動態(tài)重構(gòu)的性能要求，以實現(xiàn)“服務(wù)承載網(wǎng)業(yè)務(wù)承載需求充分滿足、網(wǎng)絡(luò)安全需求合理適配”的構(gòu)建目標。作為基礎(chǔ)通信網(wǎng)絡(luò)，不同承載業(yè)務(wù)的安全需求以及網(wǎng)絡(luò)的安全態(tài)勢和網(wǎng)絡(luò)資源使用情況皆在動態(tài)變化，因此可重構(gòu)基礎(chǔ)網(wǎng)絡(luò)中的安全服務(wù)也必須是動態(tài)可重構(gòu)的，借鑒現(xiàn)有信息系統(tǒng)安全模型由安全策略、防護、檢測、響應(yīng)和恢復共同構(gòu)成完整安全體系的思想，并基于安全基片作為功能基礎(chǔ)，將安全服務(wù)的構(gòu)建過程設(shè)計為動態(tài)調(diào)整的迭代過程，并在此過程中融合了業(yè)務(wù)安全需求分析、網(wǎng)絡(luò)安全態(tài)勢感知、安全方案適配、可信路徑構(gòu)建、安全服務(wù)鏈構(gòu)建、安全服務(wù)動態(tài)調(diào)整等機制，以實現(xiàn)可重構(gòu)網(wǎng)絡(luò)安全服務(wù)的動態(tài)構(gòu)建需求。

在融合了業(yè)務(wù)安全需求分析、網(wǎng)絡(luò)安全態(tài)勢感知、安全方案適配、可信路徑構(gòu)建、安全服務(wù)鏈構(gòu)建、安全服務(wù)動態(tài)調(diào)整等機制的基礎(chǔ)上，設(shè)計安全服務(wù)構(gòu)建流程，如圖2所示，將可重構(gòu)網(wǎng)絡(luò)安全服務(wù)構(gòu)建過程劃分為5個步驟。

圖2 安全服務(wù)構(gòu)建流程

（1）確定安全需求

為了實現(xiàn)針對上層安全服務(wù)提供充分且適度的安全服務(wù)，首先需要準確描述安全服務(wù)的安全需求，業(yè)務(wù)安全需求由網(wǎng)絡(luò)智能感知和業(yè)務(wù)需求驅(qū)動共同確定。對上層業(yè)務(wù)安全需求和網(wǎng)絡(luò)安全態(tài)勢的智能感知是可重構(gòu)網(wǎng)絡(luò)的一項基本特性，是實現(xiàn)安全服務(wù)可重構(gòu)、資源自配置、能力自調(diào)整的前提，包括業(yè)務(wù)類型分析和網(wǎng)絡(luò)安全態(tài)勢分析等，業(yè)務(wù)類型可通過協(xié)議解析、數(shù)據(jù)流量分析獲得；安全態(tài)勢分析需運用網(wǎng)絡(luò)流量分析、入侵檢測、安全審計等技術(shù)。在網(wǎng)絡(luò)智能感知的基礎(chǔ)上，業(yè)務(wù)需求驅(qū)動同樣重要，從用戶角度判斷用戶信息資產(chǎn)的“價值”，由用戶主動定制其對數(shù)據(jù)機密性、完整性或隱私保護等安全機制的需求會較為準確。

（2）制定安全方案

基于具體業(yè)務(wù)安全需求和當前網(wǎng)絡(luò)安全態(tài)勢，根據(jù)網(wǎng)絡(luò)安全策略庫，決定提供何種安全服務(wù)以及該安全服務(wù)的安全等級級別，進而確定所需要的具體安全機制和安全技術(shù)。選擇何種安全服務(wù)以及各安全服務(wù)的強度級別需要綜合考慮業(yè)務(wù)的安全需求和當前網(wǎng)絡(luò)安全態(tài)勢，即所確定的安全方案需要在應(yīng)對當前網(wǎng)絡(luò)安全威脅的基礎(chǔ)上滿足業(yè)務(wù)安全需求。針對業(yè)務(wù)相同的安全需求，如果當前網(wǎng)絡(luò)面臨的安全風險較大，則需選擇更高安全等級級別的安全服務(wù)；反之，則可以適度選擇較低安全等級級別的安全服務(wù)，節(jié)約網(wǎng)絡(luò)資源。

（3）確定安全服務(wù)路徑

根據(jù)安全方案的具體要求，結(jié)合路由策略、網(wǎng)絡(luò)節(jié)點安全基片狀態(tài)和可用資源等信息綜合決策，確定提供安全服務(wù)的安全服務(wù)路徑，確定安全服務(wù)路徑經(jīng)過的所有節(jié)點及需要其提供的安全服務(wù)。安全方案中規(guī)定了構(gòu)建安全服務(wù)所必需的安全技術(shù)及其具體配置，接下來需要確定由哪些節(jié)點來提供這些安全服務(wù)，這個過程可以理解為是在對網(wǎng)絡(luò)節(jié)點可提供的安全元能力和可用資源（計算資源、存儲資源、帶寬資源）進行認知、分析的基礎(chǔ)上，綜合考慮數(shù)據(jù)分組轉(zhuǎn)發(fā)可達性以及網(wǎng)絡(luò)節(jié)點行為的信任值等約束條件的路由建立過程。

（4）構(gòu)建安全服務(wù)鏈

安全服務(wù)路徑經(jīng)過的所有節(jié)點根據(jù)安全方案重構(gòu)安全基片，構(gòu)建安全元服務(wù)進而構(gòu)建安全服務(wù)鏈，建立安全服務(wù)路徑。確定某網(wǎng)絡(luò)節(jié)點是安全服務(wù)路徑中的節(jié)點，則開始根據(jù)該節(jié)點的實時資源使用情況進行安全元服務(wù)的重構(gòu)。

重構(gòu)分為以下幾種情況：

·具備所需安全元能力，則直接構(gòu)建安全服務(wù)鏈；

·目前不具備所需安全元能力，但通過重構(gòu)可以具備該元能力且可用資源滿足實現(xiàn)重構(gòu)的條件，執(zhí)行安全元能力的重構(gòu)過程，進而構(gòu)建安全服務(wù)鏈；

·目前不具備所需安全元能力，雖然通過重構(gòu)可以具備該元能力但目前節(jié)點資源不滿足實現(xiàn)的條件，則通過網(wǎng)絡(luò)級的重構(gòu)，釋放該節(jié)點部分資源以滿足重構(gòu)條件，執(zhí)行安全元能力的重構(gòu)過程，進而構(gòu)建安全服務(wù)鏈。

（5）安全服務(wù)動態(tài)調(diào)整

考慮到可重構(gòu)網(wǎng)絡(luò)的動態(tài)特征，在安全業(yè)務(wù)執(zhí)行過程中，可能出現(xiàn)網(wǎng)絡(luò)拓撲的動態(tài)變化、安全態(tài)勢的動態(tài)變化、網(wǎng)絡(luò)資源的動態(tài)變化，需要對這些變化進行感知，并反映到網(wǎng)絡(luò)控制層面，必要時須對安全方案進行調(diào)整，重新進行第（2）～（4）步。需要實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知、網(wǎng)絡(luò)資源變化感知以及節(jié)點資源的釋放，網(wǎng)絡(luò)資源變化感知需要確定安全業(yè)務(wù)承載過程中網(wǎng)絡(luò)資源的變化情況，比如是否有網(wǎng)絡(luò)節(jié)點宕機，是否出現(xiàn)網(wǎng)絡(luò)流量擁塞，是否有新的資源加入網(wǎng)絡(luò)而且利用新的資源可以更好地提供安全服務(wù)等。節(jié)點資源釋放是指在某一項安全服務(wù)執(zhí)行完成后的一段時間內(nèi)，節(jié)點上的某些元能力不再被其他安全服務(wù)所需要，則釋放該元能力所占用的資源，優(yōu)化網(wǎng)絡(luò)資源的利用情況。

5 結(jié)束語

本文對下一代互聯(lián)網(wǎng)尤其是可重構(gòu)網(wǎng)絡(luò)的安全管控機制的目標和構(gòu)建機制進行了研究探討。具體通過研究分析下一代互聯(lián)網(wǎng)體系架構(gòu)設(shè)計中安全管控的重要性，對已有的幾個下一代互聯(lián)網(wǎng)體系設(shè)計項目中的安全管控機制進行分析總結(jié)。重點研究可重構(gòu)網(wǎng)絡(luò)體系架構(gòu)的特點及其面臨的安全挑戰(zhàn)，對可重構(gòu)網(wǎng)絡(luò)體系的安全目標進行了界定，并對安全基片、多級安全強度的安全服務(wù)、安全服務(wù)路徑等概念進行了定義。最后提出了基于安全基片的可重構(gòu)網(wǎng)絡(luò)安全管控機制，并詳細說明了多級安全強度安全服務(wù)構(gòu)造和基于安全基片構(gòu)建多級安全強度安全服務(wù)的流程。本文提出的安全服務(wù)構(gòu)建流程能夠滿足可重構(gòu)網(wǎng)絡(luò)動態(tài)、充分、適配地支持網(wǎng)絡(luò)業(yè)務(wù)的差異性的安全需求，為應(yīng)對構(gòu)建可重構(gòu)網(wǎng)絡(luò)安全管控機制的安全挑戰(zhàn)提供了一種可行的方案。

1 吳建平,吳茜,徐恪.下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)基礎(chǔ)研究及探索.計算機學報,2008,31(9):1536～1548

2 蘭巨龍,邢池強,胡宇翔等.可重構(gòu)技術(shù)與未來網(wǎng)絡(luò)體系架構(gòu).電信科學,2013,29(8):16～23

3 Day J.Patterns in Network Architecture:A Return to Fundamentals,Edition I.Prentice Hall,2007

4 林闖,任豐原.可控可信可擴展的新一代互聯(lián)網(wǎng).軟件學報,2004(12):1815～1821

5 Jain R.Internet 3.0:ten problems with current internet architecture and solutions for the next generation.Proceedings of Military Communications Conference(MILCOM 2006),Washington,DC,USA,2006

6 Named data networking.http://www.named-data.net/,2012

7 The NDN Project Team.Named Data Networking(NDN)Project.NDN Technical Report NDN-0001,October 2010

8 DiBenedetto S,Gasti P,Tsudik G,et al.ANDaNA:anonymous named data networking application.Proceedings of 19th Annual Network & Distributed System Security Symposium,San Diego,CA,USA,February 2012

9 Han D S,Anand A,Dogar F,et al.XIA:efficient support for evolvable internetworking.Proceedings of NSDI’12,San Jose,CA,USA,April 2012

10 Anand A,Dogar F,Han D S,et al.XIA:an architecture for an evolvable and trustworthy internet.Proceedings of the Tenth ACM Workshop on Hot Topics in Networks(HotNets-X),Cambridge,MA,USA,November 2011

11 Zhang X,Hsiao H C,Hasker G,et al.SCION:scalability,control,and isolation on next-generation networks.Proceedings of IEEE Symposium on Security and Privacy,Oakland,USA,May 2011

12 Hirabaru M,Inoue M,Harai H,et al.AKARI architecture conceptual design for new generation network.NICT AKARI Project Report.http://www.nict.go.jp/en/photonic_nw/archi/akari/4otfsk00000dgfsp-att/4otfsk00000dggcj.pdf,2007

13 Teraoka F.Redesigning layered network architecture for new generation networks.Proceedings of FutureNetⅡ,GLOBECOM’09,Honolulu,Hawaii,December 2009

14 Casado M.Architectural support for security management inenterprise networks.Doctoral Dissertation,Stanford University,2007

15 ONF.Software-Defined Networking:the New Norm for Networks.ONF White Paper,2012

16 王淑玲,李濟漢,張云勇等.SDN架構(gòu)及安全性研究.電信科學,2013,29(3):117～122

17 Hartman S,Wasserman M,Zhang D.Security Requirements in the Software Defined Networking Model.IETF Draft(drafthartman-sdnsec-requirements),2013

18 蘭巨龍,程東年,胡宇翔.可重構(gòu)信息通信基礎(chǔ)網(wǎng)絡(luò)體系研究.通信學報,2014,35(1):128～139

19 程東年,汪斌強,王保進等.網(wǎng)絡(luò)結(jié)構(gòu)自調(diào)整的柔性內(nèi)涵初探.通信學報,2012(8):214～222