未來互聯網網際層安全管控架構研究

邱修峰++劉建偉++王敏++章銀娥

摘 要：傳統互聯網體系結構初始設計未考慮內置安全性能，導致當前互聯網安全問題難以從根本上解決，因此內置安全性成為未來互聯網體系結構基本目標之一。論文為未來互聯網的核心層即網際層設計了一種安全管控架構，架構由管理面、控制面和數據面三個層級的安全功能組合構成。分析表明，該架構可為未來互聯網提供內置多級別多粒度安全性。

關鍵詞：未來互聯網；安全管控架構；多級別多粒度安全實體

中圖分類號： TP 309 文獻標識碼：A

1 引言

初始互聯網默認處于一個可信環境中，所以其設計之初并未考慮安全問題。但隨著互聯網社會化、商業化和民用化的深入以及各種網絡通信技術的發展，當前互聯網多樣化和差異化的網絡用戶、網絡硬件和軟件系統處于不可信異構環境中，網絡安全問題成為互聯網研究和設計人員不可避免的挑戰。個人隱私信息、企業和國家機密信息泄露等網絡安全事件層出不窮。過去解決網絡安全問題采用方法都是零散式修補式的，數十年的積累導致整個網絡系統越來越復雜，出現更多新問題，表明互聯網發展方向采用漸進式的改良演化路線值得反思，必須從根本上重新分析互聯網設計問題[1，2]。國內外研究人員和機構已展開各種項目試圖改進或重新設計未來互聯網，來取代當前互聯網以應對現在和未來網絡應用和服務多樣化差異化安全需求。

RFC1287[2]指出根據經驗除非開始將安全內置在體系結構中，否則很難再將安全性添加到協議棧，因此構建內置安全性的體系結構是未來互聯網基本問題。網際互聯是未來互聯網必須提供的核心功能，假設未來互聯網網際互聯核心層命名為網際層，本文為此網際層設計了一種安全管控架構，目標是實現未來互聯網體系結構內置多粒度多級別安全性，以滿足未來網絡差異化多樣化安全需求。

2 相關工作

傳統TCP/IP體系結構初始并未考慮安全問題，后來在發展過程中補丁式地為網際層設計了IPsec協議，傳輸層設計了SSL/TLS協議，以及多種應用層安全協議，主要解決網絡通信中的身份認證、數據完整性和機密性問題。

AKARI[3]設計的新一代網絡安全通用架構[3]描述了數據面和控制面中三個層面的安全需求，包括網絡服務安全、網絡設備安全和網絡基礎設施安全的安全需求。網絡安全服務包括隱私、機密性、完整性、不可否認性、身份管理和身份驗證，還包括可恢復性、可審計性、訪問控制和授權等。ISO 7498-2-1989[4]是闡述OSI參考模型安全體系結構的權威性文獻，提出設計安全信息系統的基礎架構中應該包含五類安全服務（認證、訪問控制、數據機密性、數據完整性和抗抵賴性）來保障網絡通信的（靜態）安全。

P2DR2信息安全模型[5]的安全策略、安全防護、安全檢測、安全響應和安全恢復機制共同構建完整安全體系來保障網絡信息通信的（動態）安全。Gartner提出一種自適應防護架構[6]具有預測、防御、檢測和回溯等安全功能，指出安全思維必須根本性切換，網絡安全解決方案必須從“應急響應”改變為“持續響應”。

3 問題提出

設計內置安全性的未來互聯網體系結構是保障未來網絡安全基本的挑戰之一。未考慮安全設計的初始TCP/IP體系結構導致當前互聯網安全問題從根本上難以得到解決。本文為未來互聯網的核心層-網際層設計安全架構內嵌在網絡體系結構中，實現未來互聯網的內置安全性，從根本上為未來網絡安全提供解決方案。

參考傳統路由器和新型網絡架構SDN[7]設計的理念，本文將未來互聯網網際層分為管理面、控制面和數據面三個層級，三個層面的安全功能相互協作。

（1）提供認證、訪問控制、數據機密性、數據完整性和抗抵賴性5類服務來保障網絡通信的靜態安全。

（2）構建安全預測、安全防護、安全檢測、安全響應和安全恢復機制來保障網絡通信的動態安全。

4 未來互聯網網際層安全管控架構

本節將網絡實體劃分為多種粒度和安全級別，然后為未來互聯網網際層設計了一個安全管控架構模型，并描述若干安全管控場景構建過程分析其可行性。

4.1 多粒度多級別安全實體

網絡實體可分為三大類：網絡、數據（或內容/信息）和用戶。網絡類實體包括域/子域、網絡節點/終端節點/中間節點、服務/應用程序等。因此整個網絡體系的實體可劃分為域/子域、網絡節點/終端節點/中間節點、服務/應用程序、數據/內容和用戶多種粒度。所有網絡實體可以依據文獻[8]等劃分為五種安全級別的實體和不含安全屬性的普通實體，如1-5級安全域或網絡節點和普通域或普通網絡節點等。安全級別越高實體安全性越高。所有數據/內容可以依據文獻[9]等劃分為五種機密性級別不同的數據/內容和不含機密的普通數據。所有用戶可根據其生成和訪問的數據與網絡相應劃分為1-5級安全機密用戶和普通用戶。不同級別安全需采用不同級別的密碼算法支撐實現。密碼算法強度對應劃分1-5級，參考NIST有關密鑰管理的建議[10]。

4.2 架構設計

為滿足不同機密安全級別用戶的差異化多樣化安全需求，在網絡安全管控方面的設計目標是內置多粒度多級別安全性。本文在未來網絡互聯核心層即網際層設計了一種安全管控架構模型如圖1所示，模型由松耦合的管理面、控制面和數據面三個層面組成，各層有關安全方面的功能描述有幾種。

4.2.1 數據面安全功能

數據面是各種安全規則的實施者，依據控制面發送的安全規則負責不同類型分組的安全發送、轉發與接收和收集安全狀態信息并反饋給控制層，需提供幾項基本安全服務功能。

（a）多粒度多級別安全身份認證和簽名。收到分組時依據分組首部攜帶的安全需求字段和分組發送者ID的編碼以及節點本身的安全策略，對分組進行域/節點/服務/用戶的1-5級安全多粒度多級別的身份認證；收到分組時依據分組首部攜帶的安全需求字段以及節點本身的安全和管控策略，用節點自身的私鑰對分組信息直接或預處理后進行1-5級的簽名（抗轉發抵賴）。endprint

（b）多粒度多級別數據加密/解密。收到分組時依據分組首部攜帶的安全需求字段和分組發送者ID的編碼以及節點本身的安全策略，對分組進行域/節點等粒度的1-5級安全級別的加密或解密。

（c）多粒度多級別數據完整性檢測碼生成和驗證。收到分組時依據首部攜帶的安全需求字段和分組發送者ID編碼以及節點本身安全策略，對分組進行域/節點等粒度1-5級安全級別數據完整性檢測碼生成和驗證。

（d）多粒度多級別安全和異常探測與處理。收到分組時依據分組首部攜帶的安全需求字段、分組發送者ID編碼和分組接收者ID編碼以及節點本身的安全策略，對分組進行域/節點/服務/用戶/內容等粒度的1-5級安全級別的分組安全過濾處理；當出現任何粒度任何級別的安全異常事件（如身份認證或完整性檢測異常等），依據安全策略將安全異常事件向控制面報告并進行應急或持續監控處理（如丟棄分組、生成安全日志、將分組轉發至入侵檢測系統、生成錯誤和異常響應分組并發送給鄰居節點或原分組發送者或域管控服務器）；其他安全有關的分組信息處理；接收和處理其他節點發送來的安全或異常消息分組并向控制面報告；修改節點的安全態勢有關參數（例如其他節點的安全信任值和安全等級值）；對各種靜態實體（如網絡接口、內存、處理器等）和動態實體（如進程、信息流等）實時安全態勢監控、對各種安全事件實時監控和域間安全協作監控。

4.2.2 控制面安全功能

控制面是數據面分組安全處理規則的生成和重構者，需要依據管理面生成的安全參數配置來運行各種安全管控算法和協議來產生各種安全規則，將安全規則發送給數據面，對數據面安全反饋信息實時處理和調控，因此控制面基本安全功能有幾個方面。

（a）多粒度多級別安全路由生成和重構。依據安全和管控策略生成和重構域/節點/服務/用戶/內容等不同粒度的路由表；依據分組安全需求、分組發送者ID的編碼和分組接收者ID的編碼以及安全和管控策略生成和重構不同安全或信任級別路由表；依據安全和管控策略將路由信息發送至數據面轉發表。

（b）多粒度多級別安全或信任策略生成和重構。動態調整和運行安全或信任策略算法，生成多粒度多級別安全或信任策略并發送至數據面；依據接收的管理面控制信息或數據面的監測信息，動態重構多粒度多級別安全或信任策略并發送至數據面。

（c）多粒度多級別安全和可信監控 接收并處理來自數據面的安全管控檢測信息和管理面的安全管控調整信息；生成和重構安全路由；動態調整安全或信任策略模型；依據安全態勢向數據面動態發送控制信息；依據安全態勢向控制面動態發送報告信息；生成安全日志。

4.2.3 管理面安全功能

管理面直接面向應用層和用戶，是安全策略的最終決策者，負責整個安全系統的初始化和參數配置、為控制面選擇各種生成安全規則的安全策略模型和算法和其他安全管理。因此管理面的基本安全功能有幾個方面。

（a）多粒度多級別安全或信任策略模型和算法管理。各種粒度和級別安全或信任策略模型和算法的選擇、查詢、修改、添加或刪除，包括安全預測、安全防護、安全檢測、安全響應和安全恢復等策略模型和算法管理。

（b）多粒度多級別安全和信任審計。依據安全日志對域/節點/服務/用戶/內容等粒度實體安全態勢統計分析；據安全日志對各種安全事件統計分析；據安全態勢分析結果和安全管控策略向控制面發出安全管控信息。

（c）多級別安全支撐算法管理。對支撐多級別安全的基礎算法如對稱/非對稱密碼算法和Hash算法的查詢、添加和刪除，各種密鑰或證書的查詢、生成和刪除。

（d）安全日志管理。安全日志的備份、查詢、添加和刪除，安全日志的分析和處理。

4.3 安全管控場景構建

4.3.1 單個網絡實體安全管控構建

單個網絡實體的安全是指單個網絡實體內所有的硬件設備、軟件系統和數據的安全。參考有關國家或國際標準，可以構建不同安全級別的網絡實體。例如在網絡節點安裝符合安全級別要求的軟件系統和硬件設備，安裝所需的安全策略模型和算法庫、安裝所需的支撐多級別安全的基礎算法庫（如對稱密碼算法、非對稱密碼算法和Hash算法）、向權威機構獲得各種安全強度級別的簽名密鑰和加密密鑰并由權威機構測評其安全等級。

4.3.2 兩個網絡實體之間傳輸安全管控端點構建

發送方和接收方可以是任意兩個網絡實體的組合，分組的安全處理主要包括身份認證、完整性和機密性防護，典型的構建算法包括發送方和接收方兩部分。

（1）符號說明

Ha：發送方主機，Hb：接收方主機；

Ra：發送方接入結點，Rb：接收方接入結點；

DSa：發送方域管控服務器， DSb：接收方域管控服務器；

APP：應用程序，FInterNL：未來互聯網網際層

（2）發送方實施算法

a）Ha的一個APP-ha提出安全需求發送至Ha的FInterNL-ha，要求提供安全服務。

b）FInterNL-ha檢測本地安全策略規則庫是否存在相關本地安全實施規則，若存在則通知App-ha發送應用數據，實施規則將應用程序數據分組封裝發送；若不存在，則將App-ha的安全需求發送至Ra的FInterNL-ra。

c）FInterNL-ra檢測本地的安全策略規則庫是否存在相關本地安全規則，若存在則通知App-ha發送應用數據，實施規則將應用程序數據分組封裝發送；若不存在則將App-ha安全需求轉發至DSa。

c）DSa依據APP-ha安全需求的類型與級別、域內/域間安全策略、Ha的資源（計算資源、存儲資源和帶寬資源等）、Ra的資源使用狀態選擇提供安全服務，DSa將被選擇的安全服務具體協議協商參數發送至DSb，DSa與DSb之間通過安全服務參數協商協議共同協商確定所需安全服務的具體協議參數。依據協商好的具體安全服務參數，DSa制定安全實施規則并將規則發送至相應FInterNL-ha或FInterNL-ra的本地安全策略規則庫。endprint

d）FInterNL-ha或FInterNL-ra接收到安全實施規則，向App-ha發出通知，APP-ha開始發送應用數據，應用數據首先到達FInterNL-ha，若已存在相關安全實施規則，實施規則將APP-ha數據分組封裝發送；若不存在則將應用數據發送至FInterNL-ra。

e）FInterNL-ra檢測本地的安全策略規則庫是否存在滿足條件的路由器本地安全規則，若存在，則實施規則將APP-ha數據分組封裝發送；若不存在，向APP-ha發出安全規則不存在警告，轉a）重新開始算法。

f）若因為資源（計算資源、存儲資源和帶寬資源等）匱乏或其它安全態勢異常引起無法繼續算法正常執行，轉a）重新開始算法。

（3）接收方實施算法

a）DSb收到DSa發送的安全服務協議協商參數（DSb也可以主動發起協商過程），依據安全策略、Hb與 Rb資源狀態、APP-hb安全需求以及APP-ha所需安全服務的類型，選擇FInterNL-ha或FInterNL-ra提供安全服務，選擇合適的安全協議參數返回DSa，制定相應的安全實施規則并發送到FInterNL-hb或FInterNL-rb的本地安全策略規則庫并通知APP-hb。

b）被選擇的FInterNL-hb或FInterNL-r接收到FInterNL-ha或FInterNL-ra發送來的數據分組，實施安全規則，檢測數據分組的安全性，如果符合，則將數據分組發送至APP-hb。如果數據分組的安全性異常，則將數據分組轉發至DSb。

c）DSb收到安全性異常數據分組，根據安全規則可能選擇進行如下操作：丟棄數據分組、更新安全日志、啟動追蹤溯源機制、向DSa發出安全錯誤通知信息包和向APP-ha與APP-hb發送安全錯誤信息警告。

d）若因為資源匱乏或其它安全態勢異常引起算法不可正常執行，轉a）重新開始算法。

4.3.3 兩個網絡實體之間傳輸安全管控全路徑構建

典型的構建算法包括發送方、中間節點和接收方三個部分。

（1）補充符號說明

Ri：網絡中間結點，RSi：當前網絡中間結點域管控服務器。

（2）中間節點實施算法

a）RSi通過多點安全服務參數協商協議和DSa與DSb一起協商安全服務具體實施參數，并形成安全實施規則發送給DSa、DSb、Ha、Hb、Ra和Rb。

b）Ri接收到數據分組，檢查是否存在相應的安全實施規則，若存在則對數據分組安全性檢測，若數據分組安全性合法則繼續轉發該數據分組，若數據分組安全性不合法，則將異常數據分組轉發至RSi；若無相應的安全實施規則，則依據安全策略執行默認操作，如直接轉發數據分組或將數據分組轉發到RSi。

c）RSi收到安全性異常數據分組，根據安全策略和規則選擇進行如下操作：丟棄數據分組、更新安全日志、啟動追蹤溯源機制、向DSa、DSb、Ha、Hb、Ra或Rb等發出安全錯誤通知信息包。

d）當Ri因為資源匱乏或其它安全態勢異常導致算法不能繼續執行，轉a）重新開始算法。

發送方與接收方實施算法和3.3.2節描述相似。

5 方案分析

5.1 安全性能分析

首先本架構為未來互聯網網際層在數據面提供了多粒度多級別安全身份認證、簽名、數據加密/解密以及數據完整性檢測碼生成和驗證等基本功能，可進一步為網絡通信提供認證、訪問控制、數據機密性、數據完整性和抗抵賴性等服務。

其次，本架構為未來互聯網網際層在數據面提供了多粒度多級別安全和異常探測與處理功能，在控制面提供了多粒度多級別安全路由生成和重構、多粒度多級別安全或信任策略生成和重構及多粒度多級別安全和可信監控等功能，在管理面提供了多粒度多級別安全或信任策略模型和算法管理及多粒度多級別安全和信任審計等功能，可進一步提供安全策略、安全防護、安全檢測、安全響應和安全恢復等機制保障網絡動態安全。

5.2 和其它方案比較分析

（a）傳統的TCP/IP網絡在網絡層和傳輸層最初沒有內置安全性，后來為 IP層設計了IPSec協議來保障兩個網絡節點（主機或路由器）之間信息通信的身份認證、數據機密性和完整性安全，為傳輸層設計了SSL/TSL協議來保障TCP連接的兩個端點之間信息通信身份認證、數據機密性和完整性安全，但是不能提供其它粒度的網絡實體之間的安全，也未考慮網絡通信的動態安全問題；而本文架構針對所有有關網絡安全問題的解決；

（b）XIA[11]考慮了用自證明地址[12]來提供網絡實體的身份認證作為安全保障的起點，并在控制層面保障可信域之間的域間路由安全，但并未涉及其核心層網際層的安全問題；而本文架構吸收XIA的所有安全機制且綜合考慮了其它安全問題；

（c）NDN[13]的安全方案僅僅將每個NDN分組名字用一個數字簽名和分組內容綁定，支持數據完整性和數據源認證，未涉及其它安全問題。

6 結束語

本文提出了一種未來互聯網網際層安全管控架構模型，論述了模型管理面、控制面和數據面三個層級的安全功能，并應用這些功能初步分析了典型安全管控過程場景，為未來互聯網體系結構提供了內置多級別多粒度安全性。本文下一步工作是構建仿真系統或原型系統來驗證模型的正確性，改進、完善和形式化模型的設計。

參考文獻

[1] David D. Clark， David L. Tennenhouse. Architectural considerations for a new generation of protocols. SIGCOMM Comput. Commun. Rev.， 1990，20（4）：200-208.endprint

[2] David D. Clark， Lyman Chapin， Vinton Cerf， Robert Braden， and Russ Hobby. Towards the future Internet architecture[R]. In Network Working Group Request for Comments： 1287， Dec 1991.

[3] Hiroaki Harai， Masugi Inoue， et al. AKARI Architecture Conceptual Design for New Generation Network [translated version 2.0]， English Edition May 2010[R]， http：//akari-project.nict.go.jp/eng/concept-design/AKARI_fulltext_e_preliminary_ver2.pdf.

[4] ISO 7498-2：1989， Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2： Security Architecture[S]. Feb. 1989.

[5] 劉建偉， 王育民. 網絡安全—技術與實踐[M]. 北京：清華大學出版社， 2017：22-29.

[6] N Macdonald，P Firstbrook. Designing an Adaptive Security Architecture for Protection From Advanced Attacks[R]. Gartner report.Jan.2016.

[7] 王蒙蒙，劉建偉，陳杰，等.軟件定義網絡：安全模型，機制及研究進展[J].軟件學報，2016， 27（4）： 969-992.

[8] 中國國家標準化管理委員會.GB/T 22239-2008信息安全技術-信息系統安全等級保護基本要求[S].北京：中國標準出版社，2008：1-52.

[9] 中國國家標準化管理委員會.GB/T 22240-2008信息安全技術-信息系統安全保護等級定級指南[S].北京：中國標準出版社，2008：1-12.

[10] NIST. Recommendation for Key Management – Part 1： General （Revision 3） NIST Special Publication 800-57[S]. July 2012.http：//www.nist.gov/manuscript-publication-search.cfm？pub_id=910342][2017-05-31].

[11] XIA[EB/OL]. http：//www.cs.cmu.edu/～xia/index.html

[12] David G. Andersen， Hari Balakrishnan， Nick Feamster， et al. Accountable Internet Protocol （AIP）[A]， Acm Sigcomm Conference on Applications[C]， 2008， 38（4）：339-350.

[13] NDN[EB/OL] [2017-05-31].http：//www.named-data.net.

邱修峰（1973-），男，漢族，江西興國人，畢業于北京航空航天大學，博士生；主要研究方向和關注領域：網絡安全、未來互聯網體系結構。

劉建偉（1964-），男，漢族，山東煙臺人，畢業于西安電子科技大學，博士，教授；主要研究方向和關注領域：信息安全。

王敏（1981-），男，漢族，江西興國人，畢業于同濟大學，博士，講師；主要研究方向和關注領域：物聯網技術與安全。

章銀娥（1974-），女，漢族，江西撫州人，畢業于東華理工大學，碩士，副教授；主要研究方向和關注領域：計算機仿真與網絡安全。endprint