網絡內生安全研究現狀與關鍵技術

王瀚洲/WANG Hanzhou，劉建偉/LIU Jianwei

（ 北京航空航天大學，中國 北京 100191 ）

隨著信息通信技術的迅猛發展，信息網絡系統已成為不可或缺的基礎設施。然而，與網絡發展相伴而生的網絡安全問題也被急劇推到前所未有的高度。網絡安全已經成為社會發展、國家安全的基礎需求，也成為決定網絡能否發揮最大化潛能和價值的關鍵因素[1]。

在網絡架構融合開放的發展趨勢下，網絡安全從過去主要由安全事件驅動的靜態被動式安全，到當前主要由等保合規驅動的動態主動式安全，正在向著下一階段由具體場景需求驅動的內生智能安全演進。網絡安全領域逐步達成共識——“架構決定安全”。也就是說，安全能力應在網絡頂層設計構建時就做出充分考慮。對此，以網絡系統的架構、機制、場景、規律等先天構建安全能力，并可后天自成長、自適應的“內生安全”理念應運而生。

1 前內生安全技術評析

網絡安全技術的發展具有明顯的代際發展效應。在內生安全技術之前的網絡安全發展主要經歷了3個階段：以阻止入侵為目的的系統加固階段、以限制破壞為目的的檢測響應階段、以系統頑存為目的的網絡容侵階段[2]。每一階段的安全技術都呼應了其所面臨的安全問題。在網絡規模化部署中，這對已知特征和固化模式的攻擊具有重要防護意義，但各階段均以網絡攻防對抗為核心思路，缺乏安全的頂層結構化設計，難以逃脫“道高一尺，魔高一丈”的安全困境[3]。

第1階段的安全技術主要通過劃分明確的網絡邊界，利用各種保護和隔離技術手段，例如用戶鑒權與認證、訪問控制、信息加解密、網絡隔離等，在網絡邊界上部署，防止外部非法入侵與信息泄露，達到系統加固的目的。此類技術在確保網絡系統的正常訪問、鑒別合法用戶身份和權限管理、機密數據信息安全方面有較強的防護作用，但這一階段技術對部分攻擊行為如用戶身份假冒、系統漏洞后門攻擊等顯得無能為力。

第2階段的安全防護融合了保護、檢測、響應、恢復四大技術。此階段主要采用特征掃描、模式匹配等手段對系統狀態進行檢測與報警，尋找被植入的惡意代碼并進行查殺，找出導致惡意代碼可被植入的原因并用補丁的方式進行修補，發現不規范的蓄意行為和特征并加以抑制。此階段技術高度依賴檢測能力，且攻擊方發展出對應的偽裝欺騙技術，導致不可能發現全部攻擊。

第3階段的安全防護在前兩階段的基礎上疊加了信息生存技術。此階段網絡在假設漏洞后門不可避免，攻擊和意外事故已然、必然發生的條件下，通過實時狀況感知與響應，實時調整安全策略，采用自我診斷隔離、還原重構等手段，仍可在限定時間內完成全部關鍵使命。容侵技術可以作為網絡系統的最后一道防線，使攻擊侵犯的影響降到最低。但目前容侵技術主要基于門限密碼秘密共享理論的容侵模型設計，尚未達到規模化實用的程度，并且模型的建立依賴大量先驗知識與實際經驗，對于未定義的攻擊行為仍然較難防范。

2 內生安全概念

2.1 定義及特征

內生安全最早于2013年由鄔江興院士提出。經過學術界、產業界的持續關注，內生安全概念與愿景逐步清晰——內生安全是以網絡中各類網元設備自身的安全能力為基礎，利用系統架構、算法、機制或場景等內部因素獲得安全功能或安全屬性，協同配合構建的綜合安全體系。內生安全系統至少具有以下基本特征：（1）先天構建。安全能力需要與網絡系統的設計與建設同步進行、同步建成，同時安全能力應與網絡業務功能全面、緊密耦合。（2）后天成長。系統能夠通過與運行環境的交互作用，使自己能夠適應環境，應對安全事件，隨網絡環境變化動態提升安全能力[1,4]。

2.2 演進階段

在技術層面如何實現內生安全，目前仍未形成統一的技術框架與構建方案。內生安全的演進需經歷3個階段的技術與產品革新（如圖1所示），才能使真正具備內生安全的網絡系統實現落地[1]。

▲圖1 網絡安全代際發展特征［5］與內生安全發展階段

在內生安全發展的初級階段——技術孕育階段，基于不同技術路線的內生安全方案逐漸涌現。多樣的內生安全方案被提出，并初步實現積累、融合。此階段的目標是構建一個基本完備的、融合的內生安全體，逐步由分散式的建設轉向統一架構的、可規劃的建設。在網絡層面，該階段網絡架構特征為端到端、分層網絡，但未形成統一的安全構架。在技術層面，該階段基于擬態防御、零信任、可信計算等技術，初步構建網絡內生安全能力；基于DevSecOps、軟件安全開發周期等框架，初步實現網絡中軟件應用安全；基于改良互聯網協議（IP）協議、軟件定義安全、網絡功能虛擬化（NFV）等技術，初步實現具備原子化安全能力的網元；基于密碼、量子密鑰分發（QKD）等技術，初步實現數據安全能力；基于安全管理、人工智能、威脅模型、關聯分析模型等，初步進行免疫能力構建。

在內生安全發展的中級階段——框架融合階段，內生安全發展的主要形式是架構的健全化與智能化。隨著對未來融合網絡架構的研討，人們將形成內生安全架構的共識方案。在孕育期發展產生的各項成熟的安全技術之間并非競爭擇優的關系，而是聯合協作的關系。單一封閉的技術實現方案將不適用于未來智能、融合、開放的網絡體系，各項安全技術將封裝為原子化安全能力。借助人工智能調配，為業務量身打造最適合、最安全的網絡，將有助于實現網絡適配業務。在網絡層面，該階段初步形成了功能開放的架構底座，可為上層原子化安全能力提供支撐。在技術層面，原子化安全能力逐漸成熟，人工智能會逐步與網絡安全能力相結合以提升網絡免疫能力，此時邊界、網元、應用、數據等安全能力將向智能化、協同化的方向發展。

在內生安全發展的高級階段——體系成熟階段，網絡已具備健全的先天內生安全體系和全網一體化的后天免疫。隨著與人工智能的進一步結合，網絡將實現安全的彈性自治。網絡的安全能力將形成高共識度的安全度量標準，網絡也將形成泛在的、系統化的內生安全保障體系。

3 內生安全研究現狀

解決現有網絡內生安全問題的思路包含重新設計網絡架構與進行增量式修補兩種鮮明路線，并兼存尋求折中的演進路線。總體而言，目前已提出的解決方案均在某種程度上具備內生安全特性，實現內生安全的技術方案處于“多強并進”的狀態。但目前內生安全研究在硬件、軟件或協議層面均未達成足夠共識，缺乏將不同技術路線下的內生安全解決方案整合起來的統一框架。各種內生安全路線及其特征如表1所示。

▼表1 各種內生安全路線特征

3.1 基于擬態防御的內生安全路線

基于擬態防御的內生安全最早由鄔江興院士提出。他認為帶來安全問題的漏洞與后門是未知且不可避免的，同時一切技術都存在內生安全問題（包含伴生的顯式副作用或隱式暗功能）。例如，可信計算在目標對象行為不都是可知或可預期的情況下難以保證安全可信，零信任架構難以消除分布式認證節點系統中的漏洞和后門威脅等。因此他提出一種結構或算法。該算法能在不依賴先驗知識的條件下，將針對目標對象內生安全的網絡威脅歸一化為由可靠性和魯棒性控制理論與方法能夠處理的未知擾動。擬態防御通過條件規避的方法讓攻擊者無法形成有效的攻擊，使必然存在的內生安全問題不會成為系統的安全威脅[6]。擬態防御作為一種通用安全技術正在逐步實現應用落地與產品化。基于擬態防御的云基礎設施、網絡切片防護方案、區塊鏈安全增強方案等層出不窮。擬態構造的域名服務器、Web服務器等已經部署投入使用。以擬態服務器為例，圖2展示了擬態防御與傳統安全技術相結合的部署架構。

3.2 基于可信計算的可信網絡內生安全路線

可信從行為預期的角度被可信計算組織（TCG）定義為：可信實體的行為總是以預期的方式，朝著預期的目標進行，產生的結果總是與預期一致。可信計算中存在一個由底層硬件確保安全性的信任根和一個在系統硬件層面上獨立于原宿主系統的可信子系統。可信節點以監控者的身份，主動逐級從可信根向上層執行安全策略，實施行為控制，并返回審計信息，建立由硬件結構到操作系統、應用系統的信任鏈。上層只有獲取底層信任后才能正常運行[7]。

可信計算僅提供設備層面的可信，在網絡層面以某個或多個可信網元為基礎，通過可信傳輸、身份認證、可信網絡連接等手段，構建可信網絡連接架構，將單個終端、網元的可信狀態，擴展到多個節點互聯的可信狀態。其核心的思路是對訪問者的身份、狀態、行為加以規定限制，以接入的自由性換取網絡其他節點的信任[8]。2004年TCG提出可信網絡連接（TNC）[9]。如圖3所示，2007年中國可信計算標準網絡組提出可信網絡連接架構（TCA），并于2013年將其正式發布為國家標準GB/T 29828-2013《信息安全技術 可信計算規范 可信連接架構》[10]。

▲圖3 TCA可信連接架構部署示例

3.3 基于零信任架構的內生安全路線

零信任架構最早由Forrester首席分析師J. KINDERVAG提出，是一種基于“永不信任，始終驗證”與最低權限原則的網絡安全體系，如圖4所示。它將網絡防御的邊界縮小到單個資源組，不再依據用戶所處網絡位置來決定是否安全可信，而是在對行為的精細化安全風險評估的基礎上，強制性地通過動態認證和授權來重構訪問控制的信任基礎，實現網絡系統內生安全。零信任執行以下3個基本原則：（1）所有用戶均需要基于訪問主體身份、網絡環境、終端狀態等盡可能多的信任要素進行持續驗證和動態授權；（2）所有授權的訪問均應遵循最低權限原則按需授權；（3）所有的訪問請求都應當被記錄和跟蹤[11]。零信任安全是安全策略從靜態向動態轉化的結果，對現有網絡安全架構進行了改良。相比于擬態防御，零信任架構對網絡架構的改動較少，得到了較為廣泛的應用。

▲圖4 零信任安全架構［11］

零信任是近年來互聯網、網絡安全企業研究推進的熱點技術，并在發展中產生了不同的技術路線，例如Google的Beyond Corp模型、Beyond Prod模型，Gartner的持續自適應風險與信任評估（CARTA）模型、零信任網絡訪問（ZTNA）模型，For‐rester的零信任架構等[12]。遠程訪問是實施零信任的主要驅動與優先選擇。零信任在企業專網安全保障場景下有較為廣泛的應用，例如遠程辦公、遠程運維、遠程分支機構接入、第三方協作等場景[13]。

3.4 基于DevSecOps的內生安全路線

DevOps是一套將開發、運維、質量保障相結合，通過實施自動化流程與高效溝通合作，使軟件開發整體過程更加快捷可靠的理念，如圖5所示。DevSecOps是DevOps概念的延續，它將安全無縫集成到軟件開發運維過程中，要求軟件開發團隊和運營團隊與安全團隊密切合作，人人參與軟件的安全治理，對DevOps周期中每個階段的安全負責。

▲圖5 將安全集成于開發運維的DevSecOps流程框架

DevSecOps是一種基于安全治理的應用級內生安全實施方案，在兩個層面上保障軟件開發全流程的內生安全：（1）基于安全左移的理念，在軟件架構設計階段充分考慮安全因素，并基于應用運行自我保護（RASP）技術、軟件成分分析（SCA）技術、交互式應用安全測試（IAST）技術等，在開發環節使軟件“天生”安全；（2）基于敏捷安全的理念，在運維過程中積極實施入侵與攻擊模擬（BAS）以及安全度量，通過自動化技術實現敏捷自適應、軟件與網絡環境的共生進化。目前DevSecOps的應用場景主要為軟件供應鏈與云原生的安全保障。因能夠契合當前互聯網行業產品迭代的需求，該技術已在微軟、谷歌、騰訊等實現規模化應用[14]。

3.5 基于物理層安全技術的內生安全路線

隨著5G網絡的規模化發展，移動通信的網絡安全問題成為研究的重點。物理層安全技術的本質是利用通信雙方無線信道的特征、無線終端的制造容差、目標用戶的地理位置等物理特征，經過信號處理后，提取物理特征指紋，實現綁定于設備自身、通信信道上的身份識別、密鑰生成、安全傳輸。與上層安全技術相比，物理層安全技術由于具備輕量級、難復制的特點，可以解決高速率數據傳輸加密、鑒權認證增強、數據完整性保護等多方面的難題。

目前不少學者針對Wi-Fi、 ZigBee、 LoRa、 長 期 演進（LTE）等常見的無線通信協議進行了設備指紋提取的研究，典型的研究方法包括信號功率譜方法、差分星座軌跡圖方法等，但物理層安全技術并未得到規模化應用[15-16]。

3.6 基于改進IP協議的內生安全路線

現有的IP協議圍繞著開放、互聯、安全、可信的核心使命，具備無連接性、分組交換、盡力而為的轉發、基于IP地址的尋址等特點，并且經過超半個世紀的補充與完善，形成了IPv6、IPsec、信息中心網絡（ICN）、命名數據網絡（NDN）等改進方案。這些方案以數千條請求評論（RFC）文檔的形式，為IP協議打補丁或增加附加功能。

當前人們對IP協議的具體批判主要針對盡力而為的轉發與基于IP地址的尋址，認為IP協議雖然完美地完成了開放與互聯的使命，但是在安全與可信上有所欠缺。這是因為：IP協缺乏內生的可信和安全機制，無法保證用戶信息的完整性和不可篡改性； IP協議缺乏內生的資源感知和管控能力。在B5G/6G、工業互聯網等場景下，現有基于IP協議的網絡體系已經很難適應未來的業務需求。因此，針對下一代網絡架構的設計，如何在開放與互聯主題不變的條件下，實現安全與可信是IP協議的改進方向。IPv6、NewIP是兩項改進IP內生安全性的熱門方案。

IPv6的初衷是為了解決IPv4地址枯竭的問題。相比于IPv4，IPv6的頭部長度從32位擴容到128位。地址擴容使得IPv6的安全性得到極大提升，這主要體現在以下幾方面：

（1）可溯源與防掃描。攻擊者若要實現像在IPv4條件下的網段主機地址掃描是極其困難的。同時IPv6終端之間可建立點對點連接，無需地址轉換，在攻擊發生后易于及時處置，因而系統能夠實現高效的信息安全治理。

（2）IPv6默認支持IPsec協議。IPv6通過擴展認證報頭（AH）和封裝安全載荷報頭（ESP）實現加密和驗證功能，不需要額外對IPSec擴展包頭進行處理。

（3）IPv6支持真實源地址驗證體系結構（SAVA）[17]（RFC5210）。相比于IPv4協議只基于目標地址進行路由選擇的轉發機制，IPv6可通過SAVA體系識別并阻止偽造的源地址報文被轉發，使每一個轉發分組的IP源地址都是真實的。與IPv4相比，IPv6在安全性方面進行了預先設計與考慮，但仍然存在一些難以解決的安全風險。雖然使網絡的安全性有一定的提升，但IPv6的改進仍然是增量式的，內生安全機制仍然是不完備的[18]。

New IP由華為網絡技術實驗室于2019年提出，旨在提供萬網互聯、萬物互聯的新連接能力、確定性傳輸及大吞吐量傳輸的新服務能力、安全可信及用戶可定義的新內生安全能力，在保留原IP協議高生存性、高可達性、盡力而為的核心優勢的前提下，提升確定性轉發、高互聯、內生安全等新能力，實現能力的增強與擴展，滿足更高要求、更復雜的應用業務需求。其基本實現思路是在包頭中增加服務標識與身份標識，使得網絡可以根據標識優先級，實現更適配業務特征的資源調配及安全保障[19]。在內生安全能力提升方面，New IP架構主要提升了端到端通信業務安全與網絡基礎設施安全兩大方面。New IP基于可信身份管理、真實身份認證、審計溯源、訪問控制、密鑰管理等安全模塊，構建了由可信節點參與的、可審計的安全域。同時，New IP采用去中心化技術構建網絡基礎設施，提供不依賴于根節點的證明，從而解決了美國根節點權限過大、單點失效等問題[20]。

3.7 基于伴生網絡對抗學習的內生安全路線

伴生網絡是基于數字孿生技術將物理網絡在數字空間中映射出1∶1平行運行的數字化虛擬網絡。伴生網絡通過采集網絡設備實時數據，利用模型構建、修正與融合技術，構建與物理網絡一致的數據模型，進而可以實現低成本試錯與智能化預測。于全等提出類生物免疫機制的網絡安全架構。該網絡架構搭載了其自身的數字孿生體——平行伴生網絡，并在伴生網絡中加載高強度的人工智能攻擊，通過攻防對抗學習生成“網絡疫苗”，依靠強于攻擊者的超級算力動態構成先于攻擊的防御策略，從而獲得網絡空間的對抗優勢[21]。

然而，在機理上網絡空間的安全防護與生物體的免疫是否可以類比，目前仍然存在疑問。此外，基于目前人工智能的發展水平，人們尚未能構建可以發現創造性的、超出現有人類認知的攻擊方式的框架，只能就某一維度的攻擊方式進行挖掘。因此，基于伴生網絡對抗學習的安全能力并不具有完備性，不能完全取代其他安全工具，而是起到相輔相成的作用。

4 內生安全關鍵技術

當前網絡內生安全仍處于技術孕育階段，因此梳理各發展路線上的關鍵技術，開展未來網絡內生安全的關鍵技術識別，將有利于技術的融合與統一架構的形成。本章將從技術層面對擬態防御、可信計算、零信任等路線的關鍵技術及其在內生安全領域的作用加以介紹。

4.1 擬態防御關鍵技術

鄔江興院士等將移動目標防御（MTD）技術的動態性與N-變體系統的異構冗余特性相結合，提出了基于動態異構冗余的擬態防御模型[22]，如圖6所示。系統通過分發器將輸入復制N份，并通過動態選擇算法將相同或相異的組件組合成N個異構執行體（每個異構執行體分別獨立處理輸入），之后將N份執行結果交給表決器處理。當至少有K個執行體正常工作時（N=3、K=2的三模冗余架構最為普遍），我們就可以認為整個系統是正常運行的。同時，系統具有動態切換機制，可根據運行過程中產生的告警/報錯信息（或在固定時間后），將舊的異構執行體替換為可信的新重構的異構執行體，從而實現更高的動態性[23]。

▲圖6 動態異構冗余架構

將動態異構冗余架構應用于網絡內生安全的構件后，鄔江興院士等提出全維可定義多模態智慧網絡[24]。該網絡系統的異構資源池由平臺、系統、部件、模塊多層面上的網絡功能組成，包括異構的網絡拓撲、尋址路由、交換模式、網元形態、傳輸協議等。網絡通過人工智能技術、智慧化網絡管理機制，從異構資源池中選取不同層面上的網絡技術，組成不同模態的網絡執行體集，實現網絡層面上的擬態防御。

4.2 可信網絡關鍵技術

在可信計算與可信網絡架構TNC基礎上[9]，中國提出了具備主動免疫機制的TCA，如圖7所示。TCA三元三層網絡架構由實體、層、組件和組件間接口組成。通過多步驟的鑒別、認證，TCA可以實現身份鑒別、平臺鑒別、完整性度量、策略管理、保密通信等功能。在鑒別身份、判斷被授權允許訪問網絡的基礎上，TCA還要檢查終端當前的完整性及其他安全屬性是否與網絡要求的安全策略一致，從而為網絡環境提供穩定可靠的保證[10]。

▲圖7 可信網絡連接架構關鍵流程

4.3 零信任關鍵技術

美國國家標準與技術研究院（NIST）將零信任的核心技術歸納為軟件定義邊界（SDP）、身份和訪問管理、微隔離[11]，如圖8所示。

▲圖8 基于軟件定義邊界、身份和訪問管理、微隔離三大關鍵技術的零信任網絡架構

SDP基于安全策略可靈活創建邊界，用于將服務與不安全的網絡隔離開，提供按需、動態的網絡安全。區別于傳統傳輸控制協議（TCP）/IP網絡的默認允許連接，在沒有經過身份驗證和授權之前，受保護的資源對于終端用戶是完全不可見。SDP主要由SDP控制器、SDP安全網關、SDP客戶端三大組件構成。其中，SDP控制器用于認證和授權SDP客戶端，并配置SDP網關的連接；SDP網關與控制器通信并強制執行策略，控制客戶端的訪問流量。

身份和訪問管理可確認訪問者身份的合法性，并為合法用戶在規定時間內按照訪問權限來要求受保護資源提供一種安全的方法。身份和訪問管理技術的發展經歷了從粗粒度到細粒度的轉變，實現了設備內部不同端口之間的流量控制。此外，基于角色的訪問控制（RBAC）、基于屬性的訪問控制（ABAC）、基于任務的訪問控制（TBAC）等均各有側重。對于零信任網絡的身份與訪問控制（IAM），目前人們正在提升策略的動態性，并嘗試將已有技術的優勢加以融合。

微隔離是一種細粒度的邊界安全管理策略，是邊界隔離不斷向受保護資源靠近的結果，主要以軟硬件結合的方式，通過虛擬化環境中劃分邏輯域來形成邏輯上的安全邊界，實現細粒度的流量監測、訪問控制和安全審計功能。目前微隔離的實現方法主要分為物理安全設備（防火墻、IPS、IDS等）、主機代理、軟交換（Softswitch）和虛擬機監視 器 （Hypervisor） 等方式[25]。

4.4 DevSecOps關鍵技術

DevSecOps將多項安全技術集成于軟件開發的整體流程中，其基本技術架構如圖9所示。其中，云原生應用程序保護平臺（CNAPP）是一個整合了安全和合規方法的功能集，作為云原生應用安全開發的基礎設施保障與框架；應用運行自我保護（RASP）內置于應用內部，通過鉤子（Hook）關鍵函數，實時監測應用在運行時與其他系統的交互過程，可根據上下文環境識別并阻斷攻擊；交互式應用安全測試技術（IAST）通過在軟件代碼運行的中間件上插入探針，自動識別和判斷應用中的安全漏洞；軟件成分分析（SCA）通過對二進制軟件的組成部分進行分析，清點開源軟件的組件及其構成和依賴關系，識別已知的安全漏洞或者潛在的許可證授權問題，并把這些風險排查在應用系統投產之前，也適用于應用系統運行中的診斷分析；入侵與攻擊模擬（BAS）通過持續模擬針對企業資產進行攻擊的劇本及payload，驗證企業安全防御的有效性[14]。

▲圖9 DevSecOps安全技術棧架構

4.5 其他內生安全技術

4.5.1 增強的密碼技術

密碼技術是安全領域的基礎，主要基于傳統數學難題的諸多公鑰密碼體系。由于量子計算正面臨嚴峻的安全威脅，傳統密碼學又發展為兩種：利用量子力學性質來保護數據的量子密碼學和能夠抵抗量子算法攻擊的經典密碼學，其中后者又被稱為后量子密碼學。

量子密碼協議目前正處于量子密鑰分配協議遙遙領先、其他協議有待突破的狀態。量子密鑰分配是一種通信雙方通過傳輸量子態來建立密鑰的協議。最著名的BB84和E91協議通過量子態糾纏協商安全密鑰。如果攻擊者試圖讀出基于糾纏的量子態中的信息，量子態將不再處于疊加態，通信雙方將意識到攻擊者可能存在，即拋棄本次協商并重新進行新的協商[26]。

后量子密碼學算法的實現方法主要有4種：基于格、基于編碼、基于多變量、基于哈希。當參數選取適當時，目前還沒有已知的經典算法和量子算法可以快速求解這些問題。

4.5.2 物理層安全關鍵技術

物理層安全技術是十分有前景的上層密碼學技術的替代/增強方案，主要包括物理層身份認證、物理層密鑰生成、物理層安全傳輸。

物理層身份認證技術利用無線終端設備在生產過程中不可避免的容差，針對設備發射信號的瞬態、穩態部分，提取設備特異性的“指紋”，進而實現對海量終端的認證。物理層密鑰生成技術利用通信雙方私有的信道特征，提供實時生成、無需分發的快速密鑰更新手段，實現一次一密的完美加密效果。物理層安全傳輸技術則利用無線信道的差異設計與位置強關聯的信號傳輸和處理機制，使得只有在期望位置上的用戶才能正確解調信號，其他位置上的用戶解調后只能得到置亂加擾、不可恢復的信息[15-16]。

4.5.3 數字孿生網絡關鍵技術

數字孿生網絡是物理網絡的虛擬表示，基于數據和模型與物理網絡實時交互映射，從而提供診斷評估、決策分析、預測性運維等能力，新的安全技術可以更容易地在數字孿生網絡中得到測試與驗證。

數字孿生網絡架構可以分為物理網絡層、孿生網絡層、網絡應用層。物理網絡層主要包含構成端到端網絡的物理實體，包括移動接入網、移動核心網、骨干網、數據中心網或端到端的跨域網絡等。物理網絡層通過接口實現與網絡孿生體的網絡數據和控制信息交互。孿生網絡層包含3個關鍵子系統：數據共享倉庫、服務映射模型和網絡孿生體管理，分別提供網絡數據采集和存儲及統一接口服務、數據模型實例、全生命周期管理和可視化呈現服務。網絡應用層通過接口將需求輸入至孿生網絡層，同時進行業務部署。充分驗證后，孿生網絡層將控制更新下發至物理網絡層，以實現網絡創新技術和應用低成本、高效率的快速部署[27]。

5 結束語

未來網絡應具備內生安全屬性已成為網絡安全領域的共識，但目前內生安全概念的明確內涵（建設什么樣的內生安全）與內生安全的技術路線（如何建設內生安全）尚未形成一致性方案。為此，本文從網絡發展的角度分析了網絡內生安全建設的必要性，討論了從當前多強并立狀態到網絡內生安全完全建成的演進階段，簡要介紹了當前包括擬態防御、可信計算、零信任、物理層安全在內的多條技術路線齊頭并進的研究現狀，并從架構的層面概述了各路線的關鍵技術，嘗試梳理總結網絡內生安全的現狀。