邱修峰++刘建伟++王敏++章银娥

摘 要：传统互联网体系结构初始设计未考虑内置安全性能，导致当前互联网安全问题难以从根本上解决，因此内置安全性成为未来互联网体系结构基本目标之一。论文为未来互联网的核心层即网际层设计了一种安全管控架构，架构由管理面、控制面和数据面三个层级的安全功能组合构成。分析表明，该架构可为未来互联网提供内置多级别多粒度安全性。

关键词：未来互联网；安全管控架构；多级别多粒度安全实体

中图分类号： TP 309 文献标识码：A

1 引言

初始互联网默认处于一个可信环境中，所以其设计之初并未考虑安全问题。但随着互联网社会化、商业化和民用化的深入以及各种网络通信技术的发展，当前互联网多样化和差异化的網络用户、网络硬件和软件系统处于不可信异构环境中，网络安全问题成为互联网研究和设计人员不可避免的挑战。个人隐私信息、企业和国家机密信息泄露等网络安全事件层出不穷。过去解决网络安全问题采用方法都是零散式修补式的，数十年的积累导致整个网络系统越来越复杂，出现更多新问题，表明互联网发展方向采用渐进式的改良演化路线值得反思，必须从根本上重新分析互联网设计问题[1，2]。国内外研究人员和机构已展开各种项目试图改进或重新设计未来互联网，来取代当前互联网以应对现在和未来网络应用和服务多样化差异化安全需求。

RFC1287[2]指出根据经验除非开始将安全内置在体系结构中，否则很难再将安全性添加到协议栈，因此构建内置安全性的体系结构是未来互联网基本问题。网际互联是未来互联网必须提供的核心功能，假设未来互联网网际互联核心层命名为网际层，本文为此网际层设计了一种安全管控架构，目标是实现未来互联网体系结构内置多粒度多级别安全性，以满足未来网络差异化多样化安全需求。

2 相关工作

传统TCP/IP体系结构初始并未考虑安全问题，后来在发展过程中补丁式地为网际层设计了IPsec协议，传输层设计了SSL/TLS协议，以及多种应用层安全协议，主要解决网络通信中的身份认证、数据完整性和机密性问题。

AKARI[3]设计的新一代网络安全通用架构[3]描述了数据面和控制面中三个层面的安全需求，包括网络服务安全、网络设备安全和网络基础设施安全的安全需求。网络安全服务包括隐私、机密性、完整性、不可否认性、身份管理和身份验证，还包括可恢复性、可审计性、访问控制和授权等。ISO 7498-2-1989[4]是阐述OSI参考模型安全体系结构的权威性文献，提出设计安全信息系统的基础架构中应该包含五类安全服务（认证、访问控制、数据机密性、数据完整性和抗抵赖性）来保障网络通信的（静态）安全。

P2DR2信息安全模型[5]的安全策略、安全防护、安全检测、安全响应和安全恢复机制共同构建完整安全体系来保障网络信息通信的（动态）安全。Gartner提出一种自适应防护架构[6]具有预测、防御、检测和回溯等安全功能，指出安全思维必须根本性切换，网络安全解决方案必须从“应急响应”改变为“持续响应”。

3 问题提出

设计内置安全性的未来互联网体系结构是保障未来网络安全基本的挑战之一。未考虑安全设计的初始TCP/IP体系结构导致当前互联网安全问题从根本上难以得到解决。本文为未来互联网的核心层-网际层设计安全架构内嵌在网络体系结构中，实现未来互联网的内置安全性，从根本上为未来网络安全提供解决方案。

参考传统路由器和新型网络架构SDN[7]设计的理念，本文将未来互联网网际层分为管理面、控制面和数据面三个层级，三个层面的安全功能相互协作。

（1）提供认证、访问控制、数据机密性、数据完整性和抗抵赖性5类服务来保障网络通信的静态安全。

（2）构建安全预测、安全防护、安全检测、安全响应和安全恢复机制来保障网络通信的动态安全。

4 未来互联网网际层安全管控架构

本节将网络实体划分为多种粒度和安全级别，然后为未来互联网网际层设计了一个安全管控架构模型，并描述若干安全管控场景构建过程分析其可行性。

4.1 多粒度多级别安全实体

网络实体可分为三大类：网络、数据（或内容/信息）和用户。网络类实体包括域/子域、网络节点/终端节点/中间节点、服务/应用程序等。因此整个网络体系的实体可划分为域/子域、网络节点/终端节点/中间节点、服务/应用程序、数据/内容和用户多种粒度。所有网络实体可以依据文献[8]等划分为五种安全级别的实体和不含安全属性的普通实体，如1-5级安全域或网络节点和普通域或普通网络节点等。安全级别越高实体安全性越高。所有数据/内容可以依据文献[9]等划分为五种机密性级别不同的数据/内容和不含机密的普通数据。所有用户可根据其生成和访问的数据与网络相应划分为1-5级安全机密用户和普通用户。不同级别安全需采用不同级别的密码算法支撑实现。密码算法强度对应划分1-5级，参考NIST有关密钥管理的建议[10]。

4.2 架构设计

为满足不同机密安全级别用户的差异化多样化安全需求，在网络安全管控方面的设计目标是内置多粒度多级别安全性。本文在未来网络互联核心层即网际层设计了一种安全管控架构模型如图1所示，模型由松耦合的管理面、控制面和数据面三个层面组成，各层有关安全方面的功能描述有几种。

4.2.1 数据面安全功能

数据面是各种安全规则的实施者，依据控制面发送的安全规则负责不同类型分组的安全发送、转发与接收和收集安全状态信息并反馈给控制层，需提供几项基本安全服务功能。

（a）多粒度多级别安全身份认证和签名。收到分组时依据分组首部携带的安全需求字段和分组发送者ID的编码以及节点本身的安全策略，对分组进行域/节点/服务/用户的1-5级安全多粒度多级别的身份认证；收到分组时依据分组首部携带的安全需求字段以及节点本身的安全和管控策略，用节点自身的私钥对分组信息直接或预处理后进行1-5级的签名（抗转发抵赖）。endprint

（b）多粒度多级别数据加密/解密。收到分组时依据分组首部携带的安全需求字段和分组发送者ID的编码以及节点本身的安全策略，对分组进行域/节点等粒度的1-5级安全级别的加密或解密。

（c）多粒度多级别数据完整性检测码生成和验证。收到分组时依据首部携带的安全需求字段和分组发送者ID编码以及节点本身安全策略，对分组进行域/节点等粒度1-5级安全级别数据完整性检测码生成和验证。

（d）多粒度多级别安全和异常探测与处理。收到分组时依据分组首部携带的安全需求字段、分组发送者ID编码和分组接收者ID编码以及节点本身的安全策略，对分组进行域/节点/服务/用户/内容等粒度的1-5级安全级别的分组安全过滤处理；当出现任何粒度任何级别的安全异常事件（如身份认证或完整性检测异常等），依据安全策略将安全异常事件向控制面报告并进行应急或持续监控处理（如丢弃分组、生成安全日志、将分组转发至入侵检测系统、生成错误和异常响应分组并发送给邻居节点或原分组发送者或域管控服务器）；其他安全有关的分组信息处理；接收和处理其他节点发送来的安全或异常消息分组并向控制面报告；修改节点的安全态势有关参数（例如其他节点的安全信任值和安全等级值）；对各种静态实体（如网络接口、内存、处理器等）和动态实体（如进程、信息流等）实时安全态势监控、对各种安全事件实时监控和域间安全协作监控。

4.2.2 控制面安全功能

控制面是数据面分组安全处理规则的生成和重构者，需要依据管理面生成的安全参数配置来运行各种安全管控算法和协议来产生各种安全规则，将安全规则发送给数据面，对数据面安全反馈信息实时处理和调控，因此控制面基本安全功能有几个方面。

（a）多粒度多级别安全路由生成和重构。依据安全和管控策略生成和重構域/节点/服务/用户/内容等不同粒度的路由表；依据分组安全需求、分组发送者ID的编码和分组接收者ID的编码以及安全和管控策略生成和重构不同安全或信任级别路由表；依据安全和管控策略将路由信息发送至数据面转发表。

（b）多粒度多级别安全或信任策略生成和重构。动态调整和运行安全或信任策略算法，生成多粒度多级别安全或信任策略并发送至数据面；依据接收的管理面控制信息或数据面的监测信息，动态重构多粒度多级别安全或信任策略并发送至数据面。

（c）多粒度多级别安全和可信监控 接收并处理来自数据面的安全管控检测信息和管理面的安全管控调整信息；生成和重构安全路由；动态调整安全或信任策略模型；依据安全态势向数据面动态发送控制信息；依据安全态势向控制面动态发送报告信息；生成安全日志。

4.2.3 管理面安全功能

管理面直接面向应用层和用户，是安全策略的最终决策者，负责整个安全系统的初始化和参数配置、为控制面选择各种生成安全规则的安全策略模型和算法和其他安全管理。因此管理面的基本安全功能有几个方面。

（a）多粒度多级别安全或信任策略模型和算法管理。各种粒度和级别安全或信任策略模型和算法的选择、查询、修改、添加或删除，包括安全预测、安全防护、安全检测、安全响应和安全恢复等策略模型和算法管理。

（b）多粒度多级别安全和信任审计。依据安全日志对域/节点/服务/用户/内容等粒度实体安全态势统计分析；据安全日志对各种安全事件统计分析；据安全态势分析结果和安全管控策略向控制面发出安全管控信息。

（c）多级别安全支撑算法管理。对支撑多级别安全的基础算法如对称/非对称密码算法和Hash算法的查询、添加和删除，各种密钥或证书的查询、生成和删除。

（d）安全日志管理。安全日志的备份、查询、添加和删除，安全日志的分析和处理。

4.3 安全管控场景构建

4.3.1 单个网络实体安全管控构建

单个网络实体的安全是指单个网络实体内所有的硬件设备、软件系统和数据的安全。参考有关国家或国际标准，可以构建不同安全级别的网络实体。例如在网络节点安装符合安全级别要求的软件系统和硬件设备，安装所需的安全策略模型和算法库、安装所需的支撑多级别安全的基础算法库（如对称密码算法、非对称密码算法和Hash算法）、向权威机构获得各种安全强度级别的签名密钥和加密密钥并由权威机构测评其安全等级。

4.3.2 两个网络实体之间传输安全管控端点构建

发送方和接收方可以是任意两个网络实体的组合，分组的安全处理主要包括身份认证、完整性和机密性防护，典型的构建算法包括发送方和接收方两部分。

（1）符号说明

Ha：发送方主机，Hb：接收方主机；

Ra：发送方接入结点，Rb：接收方接入结点；

DSa：发送方域管控服务器， DSb：接收方域管控服务器；

APP：应用程序，FInterNL：未来互联网网际层

（2）发送方实施算法

a）Ha的一个APP-ha提出安全需求发送至Ha的FInterNL-ha，要求提供安全服务。

b）FInterNL-ha检测本地安全策略规则库是否存在相关本地安全实施规则，若存在则通知App-ha发送应用数据，实施规则将应用程序数据分组封装发送；若不存在，则将App-ha的安全需求发送至Ra的FInterNL-ra。

c）FInterNL-ra检测本地的安全策略规则库是否存在相关本地安全规则，若存在则通知App-ha发送应用数据，实施规则将应用程序数据分组封装发送；若不存在则将App-ha安全需求转发至DSa。

c）DSa依据APP-ha安全需求的类型与级别、域内/域间安全策略、Ha的资源（计算资源、存储资源和带宽资源等）、Ra的资源使用状态选择提供安全服务，DSa将被选择的安全服务具体协议协商参数发送至DSb，DSa与DSb之间通过安全服务参数协商协议共同协商确定所需安全服务的具体协议参数。依据协商好的具体安全服务参数，DSa制定安全实施规则并将规则发送至相应FInterNL-ha或FInterNL-ra的本地安全策略规则库。endprint

d）FInterNL-ha或FInterNL-ra接收到安全实施规则，向App-ha发出通知，APP-ha开始发送应用数据，应用数据首先到达FInterNL-ha，若已存在相关安全实施规则，实施规则将APP-ha数据分组封装发送；若不存在则将应用数据发送至FInterNL-ra。

e）FInterNL-ra检测本地的安全策略规则库是否存在满足条件的路由器本地安全规则，若存在，则实施规则将APP-ha数据分组封装发送；若不存在，向APP-ha发出安全规则不存在警告，转a）重新开始算法。

f）若因为资源（计算资源、存储资源和带宽资源等）匮乏或其它安全态势异常引起无法继续算法正常执行，转a）重新开始算法。

（3）接收方实施算法

a）DSb收到DSa发送的安全服务协议协商参数（DSb也可以主动发起协商过程），依据安全策略、Hb与 Rb资源状态、APP-hb安全需求以及APP-ha所需安全服务的类型，选择FInterNL-ha或FInterNL-ra提供安全服务，选择合适的安全协议参数返回DSa，制定相应的安全实施规则并发送到FInterNL-hb或FInterNL-rb的本地安全策略规则库并通知APP-hb。

b）被选择的FInterNL-hb或FInterNL-r接收到FInterNL-ha或FInterNL-ra发送来的数据分组，实施安全规则，检测数据分组的安全性，如果符合，则将数据分组发送至APP-hb。如果数据分组的安全性异常，则将数据分组转发至DSb。

c）DSb收到安全性异常数据分组，根据安全规则可能选择进行如下操作：丢弃数据分组、更新安全日志、启动追踪溯源机制、向DSa发出安全错误通知信息包和向APP-ha与APP-hb发送安全错误信息警告。

d）若因为资源匮乏或其它安全态势异常引起算法不可正常执行，转a）重新开始算法。

4.3.3 两个网络实体之间传输安全管控全路径构建

典型的构建算法包括发送方、中间节点和接收方三个部分。

（1）补充符号说明

Ri：网络中间结点，RSi：当前网络中间结点域管控服务器。

（2）中间节点实施算法

a）RSi通过多点安全服务参数协商协议和DSa与DSb一起协商安全服务具体实施参数，并形成安全实施规则发送给DSa、DSb、Ha、Hb、Ra和Rb。

b）Ri接收到数据分组，检查是否存在相应的安全实施规则，若存在则对数据分组安全性检测，若数据分组安全性合法则继续转发该数据分组，若数据分组安全性不合法，则将异常数据分组转发至RSi；若无相应的安全实施规则，则依据安全策略执行默认操作，如直接转发数据分组或将数据分组转发到RSi。

c）RSi收到安全性异常数据分组，根据安全策略和规则选择进行如下操作：丢弃数据分组、更新安全日志、启动追踪溯源机制、向DSa、DSb、Ha、Hb、Ra或Rb等发出安全错误通知信息包。

d）当Ri因为资源匮乏或其它安全态势异常导致算法不能继续执行，转a）重新开始算法。

发送方与接收方实施算法和3.3.2节描述相似。

5 方案分析

5.1 安全性能分析

首先本架构为未来互联网网际层在数据面提供了多粒度多级别安全身份认证、签名、数据加密/解密以及数据完整性检测码生成和验证等基本功能，可进一步为网络通信提供认证、访问控制、数据机密性、数据完整性和抗抵赖性等服务。

其次，本架构为未来互联网网际层在数据面提供了多粒度多级别安全和异常探测与处理功能，在控制面提供了多粒度多级别安全路由生成和重构、多粒度多级别安全或信任策略生成和重构及多粒度多级别安全和可信监控等功能，在管理面提供了多粒度多级别安全或信任策略模型和算法管理及多粒度多级别安全和信任审计等功能，可进一步提供安全策略、安全防护、安全检测、安全响应和安全恢复等机制保障网络动态安全。

5.2 和其它方案比较分析

（a）传统的TCP/IP网络在网络层和传输层最初没有内置安全性，后来为 IP层设计了IPSec协议来保障两个网络节点（主机或路由器）之间信息通信的身份认证、数据机密性和完整性安全，为传输层设计了SSL/TSL协议来保障TCP连接的两个端点之间信息通信身份认证、数据机密性和完整性安全，但是不能提供其它粒度的网络实体之间的安全，也未考虑网络通信的动态安全问题；而本文架构针对所有有关网络安全问题的解决；

（b）XIA[11]考虑了用自证明地址[12]来提供网络实体的身份认证作为安全保障的起点，并在控制层面保障可信域之间的域间路由安全，但并未涉及其核心层网际层的安全问题；而本文架构吸收XIA的所有安全机制且综合考虑了其它安全问题；

（c）NDN[13]的安全方案仅仅将每个NDN分组名字用一个数字签名和分组内容绑定，支持数据完整性和数据源认证，未涉及其它安全问题。

6 结束语

本文提出了一种未来互联网网际层安全管控架构模型，论述了模型管理面、控制面和数据面三个层级的安全功能，并应用这些功能初步分析了典型安全管控过程场景，为未来互联网体系结构提供了内置多级别多粒度安全性。本文下一步工作是构建仿真系统或原型系统来验证模型的正确性，改进、完善和形式化模型的设计。

参考文獻

[1] David D. Clark， David L. Tennenhouse. Architectural considerations for a new generation of protocols. SIGCOMM Comput. Commun. Rev.， 1990，20（4）：200-208.endprint

[2] David D. Clark， Lyman Chapin， Vinton Cerf， Robert Braden， and Russ Hobby. Towards the future Internet architecture[R]. In Network Working Group Request for Comments： 1287， Dec 1991.

[3] Hiroaki Harai， Masugi Inoue， et al. AKARI Architecture Conceptual Design for New Generation Network [translated version 2.0]， English Edition May 2010[R]， http：//akari-project.nict.go.jp/eng/concept-design/AKARI_fulltext_e_preliminary_ver2.pdf.

[4] ISO 7498-2：1989， Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2： Security Architecture[S]. Feb. 1989.

[5] 刘建伟， 王育民. 网络安全—技术与实践[M]. 北京：清华大学出版社， 2017：22-29.

[6] N Macdonald，P Firstbrook. Designing an Adaptive Security Architecture for Protection From Advanced Attacks[R]. Gartner report.Jan.2016.

[7] 王蒙蒙，刘建伟，陈杰，等.软件定义网络：安全模型，机制及研究进展[J].软件学报，2016， 27（4）： 969-992.

[8] 中国国家标准化管理委员会.GB/T 22239-2008信息安全技术-信息系统安全等级保护基本要求[S].北京：中国标准出版社，2008：1-52.

[9] 中国国家标准化管理委员会.GB/T 22240-2008信息安全技术-信息系统安全保护等级定级指南[S].北京：中国标准出版社，2008：1-12.

[10] NIST. Recommendation for Key Management – Part 1： General （Revision 3） NIST Special Publication 800-57[S]. July 2012.http：//www.nist.gov/manuscript-publication-search.cfm？pub_id=910342][2017-05-31].

[11] XIA[EB/OL]. http：//www.cs.cmu.edu/～xia/index.html

[12] David G. Andersen， Hari Balakrishnan， Nick Feamster， et al. Accountable Internet Protocol （AIP）[A]， Acm Sigcomm Conference on Applications[C]， 2008， 38（4）：339-350.

[13] NDN[EB/OL] [2017-05-31].http：//www.named-data.net.

邱修峰（1973-），男，汉族，江西兴国人，毕业于北京航空航天大学，博士生；主要研究方向和关注领域：网络安全、未来互联网体系结构。

刘建伟（1964-），男，汉族，山东烟台人，毕业于西安电子科技大学，博士，教授；主要研究方向和关注领域：信息安全。

王敏（1981-），男，漢族，江西兴国人，毕业于同济大学，博士，讲师；主要研究方向和关注领域：物联网技术与安全。

章银娥（1974-），女，汉族，江西抚州人，毕业于东华理工大学，硕士，副教授；主要研究方向和关注领域：计算机仿真与网络安全。endprint