网络5.0标识研究

2024-01-13李雪莹莫益军聂秀英郑秀丽

信息通信技术与政策 2023年12期

李雪莹莫益军聂秀英郑秀丽

(1.华中科技大学计算机科学与技术学院,武汉 430074;2.中国信息通信研究院技术与标准研究所,北京 100191;3.华为技术有限公司,深圳 518172)

0 引言

自通信网络产生以来,网络标识一直伴随着新的网络技术和网络应用的发展而不断发展,作为创新发展的第5代数据网络,为满足算力网络、5G承载网络、产业互联网以及全息通信对网络的新需求,网络5.0将提供内生安全可信、确定性服务质量、以网络为中心等新能力。为实现这些能力,网络5.0需要有与之相适应的标识。

1 网络标识分层

1.1 网络标识分层

通信网络中标识广泛存在于终端侧、网络侧和服务侧,其层次结构如图1所示[1]。终端侧标识包括用户身份标识、软硬件物理终端和传感器标识等;网络侧标识包括用户、终端、网络设备和服务在数据转发控制中相关的各类标识,如接入标识、位置标识、群组标识、网络标识、协议标识和连接标识等;服务侧标识则是网络层之上为用户提供服务和资源相关的标识,包括内容标识、资源标识和服务标识等。

图1 网络标识分层结构

1.2 终端侧标识

1.2.1 终端标识

终端标识用来在网络层对终端进行标识和管理,直接使用互联网协议(Internet Protocol,IP)地址无法解决其唯一性、隐私性和可信性等问题。网络层需承载的终端标识类型众多,包括蜂窝网终端标识、物联网终端标识和射频标识(Radio Frequency Identification,RFID)等。

蜂窝网络中的终端标识包括永久标识和临时标识,随着4G向5G演进,标识定义和编码方式也发生了变化,具体如表1所示。

表1 4G和5G用户终端标识

物联网终端标识体系包括由国家物联网基础标准工作组标识技术项目组提出的国家物联网标识管理与公共服务平台(简称Ecode)体系,可适用于一维条码、二维条码、射频标签和近场通信(Near Field Communication,NFC)标签。还包括由泛在身份证标识号(Identity Document,ID)中心提出的泛在识别码(Ubiquitous Identification Code,uCode),兼容日本商品编码(Japanese Article Number,JAN)、通用商品编码(Universal Product Code,UPC)、国际标准图书编码(International Standard Book Number,ISBN)、互联网协议第6版(Internet Protocol Version 6,IPv6)编码和电话号码编码。产品电子代码(Electronic Product Code,EPC)标准提出的适用于RFID的EPC编码。

1.2.2 用户身份标识

网络用户身份的保密与认证安全与数据安全密切相关,不安全的身份会导致窃听、篡改和身份仿冒等。欧盟委员会规划了公民网络电子身份标识(electronic Identity,eID)管理框架,在尊重隐私和保护数据安全的基础上,实现跨国域的电子身份体系。我国也制定了面向下一代互联网的eID安全体系。eID以公钥基础设施(Public Key Infrastructure,PKI)加密模式为基础,由用户身份证号码、用户姓名和128字节随机数的字串进行加密得出。

国际机构和企业积极开展身份服务。EduGAIN形成了全球范围的科研和教育服务身份联盟。线上快速身份验证(Fast Identity Online,FIDO) 联盟身份认证标准在2013年2月正式成立,美国和英国支持该标准实施,中国也开始关注,联想、阿里巴巴等是其理事单位。网络身份管理技术和标准发展迅速,包括开放式身份验证(OpenID)、安全断言标记语言(Security Assertion Markup Language,SAML)身份认证、互联网授权协议、FIDO 标准都不断地发生变化。

美国、韩国、英国、欧盟等国家和组织都制定了网络可信身份战略,各标准组织也分别制定了SAML、开放授权(Open Authorization,OAuth)、OpenID、FIDO 等不同的身份鉴别与授权相关规范和标准。

1.3 网络侧标识

网络侧标识可分为位置标识、接入标识、群组标识、网络标识和协议标识等。本文仅介绍现有电话网络和数据网中与寻址密切相关的网络地址这类网络标识。

1.3.1 国际E.164号码的分层结构

国际电信联盟电信标准分局(ITU-T)国际E.164号码[2]是在固定和移动电话网中实现全球寻址的基础。这些号码资源唯一地标识了用户-网络接口,如公共交换电话网络(Public Switched Telephone Network,PSTN)/综合业务数字网(Integrated Services Digital Network,ISDN)、移动终端和使用全球统一国际免费号码(Universal International Freephone Number,UIFN)的个人。如图2所示,ITU-T国际E.164号码具有分层结构,由国家码和其他必要的附加元素(NDC+SN、GSN、IC+SN或GIC+SN)组成。从图2中可以看出,国际E.164号码采用变长编码格式,信源地址长度与信宿地址长度可以不同。但对于最小范围的通信,在同一最小范围内(如本地网内)用户终端间使用等长的编号。对于不用用途的网络,E.164号码采用不同的编号格式,但对于同一个网络,所使用的号码编号规则是统一的。

图2 ITU-T国际E.164号码的分层结构

1.3.2 IP网络地址编码格式

IP网络地址标识经历了IPv4和IPv6两个阶段。其中,IPv4地址格式如图3所示。IPv6地址为解决IP地址空间不足被提出,采用128位的地址空间,面对不同的需求,其比特位的语义划分各不相同。IPv6具体的编码格式如图4所示。

图3 IPv4地址格式

图4 IPv6 地址编码格式

IETF RFC 3513和RFC 3587标准将128位的地址分为了全球路由前缀、子网ID和接口ID三部分,不同的是RFC3513的接口ID不固定,RFC 3587的接口ID固定为64位。RFC 3177标准则将128位的地址固定划分为3位、45位、16位和64位,其中3位为固定值、45位为全球路由前缀、16位为子网ID、64位为接口ID。

1.3.3 接入标识

接入标识用来代表接入终端的身份标识,接入终端通过接入标识接受网络层提供的普适服务。接入标识在终端或路由器移动过程中保持不变。各用户网络可采用自己定义的标识格式作为各自子网的接入标识。

1.3.4 位置标识

位置标识与之前提到的网络寻址不同,位置标识是对设备的物理位置信息进行标识,要求能够结合网络寻址信息对其网络通信和实际拓扑情况进行映射。

1.3.5 协议标识

协议标识的核心需求在于快速分辨标识对象所属协议,在协议繁多和协议迭代速度较快的数据网络流量中,协议标识有助于加快对标识对象的兼容并加速解析过程。

1.4 服务侧标识

1.4.1 服务标识

服务标识主要用于识别业务与服务,相对于通信标识,尽管表示的对象以及应用范畴有所不同,但在标识形式和标识需求上类似。从标识形式上来说,服务标识的格式应当不依赖于标识对象的位置与状态,不管服务的状态或者业务服务对象的位置发生了什么变化,通过相同的服务标识应当能接入并使用服务。对于服务标识,核心的需求是应具备可用于通信与寻址的能力,即在面对一个服务标识时,除要明确服务的业务服务以外,还要明确服务的通信属性,并可作为相对或绝对地址用于通信或寻址,以快速地与业务服务建立连接。

1.4.2 内容标识

内容标识是网络层之上,为用户提供内容和资源的标识。内容标识通过一定的算法来提取视频、音乐等内容本身所具有的某些特征信息(如亮度、颜色、频谱等),并对这些特征信息进行统计、组合,以形成唯一的指纹序列。内容标识和服务标识要为基于多标识的寻址提供服务,虽然终端节点和路由具备网络层及以下各层的协议,但是路由器无法直接实现服务和内容寻址路由。

1.5 标识耦合类型对网络性能的影响

互联网发展50多年间,面对越来越多安全性、低移动性、高能耗等问题和挑战。通过对当前互联网结构打各种补丁虽然能解决上述部分问题,但网络结构日趋复杂。互联网当前面临的问题究其根源是所谓的三重绑定问题,即资源/位置绑定、用户/网络绑定和控制/数据绑定。标识的不同耦合方式对网络性能的影响如表2所示。

表2 标识耦合类型对网络性能的影响

2 网络标识安全现状

现有传输控制协议(Transmission Control Protocol,TCP)/IP不具备地址标识真实性鉴别等内在安全机制,导致攻击源头和攻击者身份难以追查,容易导致地址伪造、源地址欺骗、路由劫持、拒绝服务等攻击,严重威胁网络的安全。虽然IPv6在地址空间有所扩展,安全方面以打补丁方式进行增强,局部范围内解决了安全问题,但IP地址同时具备身份和位置标识的语义过载问题带来了源地址和路由前缀安全威胁,主机移动和多宿主也引发了诸如地址盗用和泛洪等安全问题。

鉴于此,主机标识协议(Host Identity Protocol,HIP)在传输层引入主机标识和非对称密钥体制,解决了移动性和端到端身份鉴别问题,但无法解决地址前缀欺骗问题。安全可信网络协议在IP地址双重分离的基础上,将网络结构分为接入网和骨干网两部分,通过报文签名与验证、地址/身份认证和去中心化密钥管理等来解决网络命名安全问题,但对于移动性安全性支持仍需增强。网络标识相关内生安全与事件关联、身份隐私、地址扫描、非法接入、地址伪造和可信通信关系密切,其安全强度受接口标识生成和互联互通的策略影响较大。根据当前网络标识体系,若以网络标识为授信对象,存在信任冲突、信任传递和信任过当问题。

同一IP地址,因前缀方式不同,处于不同的子网下,某子网授信并非意味着其他子网授信,或在两个子网中同时授信,但授信内容不一致,这不可避免地会产生信任冲突。终端移动造成网络标识变化,在现有标识体系下,信任无法传递。在隧道互通方式下,某授信标识通过隧道时,信任无法被继承,若隧道授信导致两端网络的信任传递扩大了隧道内标识的授信范围,则会导致安全隐患。现有的网络标识体系未考虑上述问题,因此解决信任问题只能从应用层着手。

3 网络5.0标识研究

3.1 网络5.0的设计理念

时代的变革驱动了网络的变革。以往数据网络技术的超前发展和部署,造成了网络在技术革命中不会成为“瓶颈”的错觉;而面向数字经济、智能世界提出的全新要求和前所未有的挑战,网络能力亟待增强。

以往的网络技术发展长久保持“更快、更好”的无限责任思路。这种思路较为发散,问题与解决方案的集中度不高,难以得到业界共识,导致其差异化服务质量保证、确定性低时延、安全可信、移动性等问题愈发严重。

网络5.0[3]概念的出现即引入了无线领域的代际式发展与有限责任演进的思路,通过分代研究来真正推进数据网络的发展。按网络5.0产业和技术创新联盟的划分,以模拟通信系统为网络1.0时代、数字通信系统为网络2.0时代、异步传输模式(Asynchronous Transfer Mode, ATM)为网络3.0时代、IP为网络4.0时代。

网络5.0[4]聚焦四大目标场景,包括信息与通信技术(Information and Communications Technology,ICT)基础设施、产业互联网、移动承载和全息通信。ICT基础设施是未来信息社会的基础和技术发展的制高点,是信息行业争夺的产业“蓝海”。产业互联网的产生在于传统产业与网络基础设施的融合,例如工业互联网与制造业的融合将使能新的工业领域应用,主要体现在智能化生产、网络化协同、个性化定制和服务化延伸4方面智能化升级,这些新型业务对未来网络的功能需求包括定制、连接、标识和安全等方面。移动承载网需要满足低时延、移动性和大连接的需求,很多传统行业例如汽车、医疗、能源、市政等都将参与到电信生态环境的建设中。全息通信则可以解决远程医疗、移动办公、观光旅游、赛事直播以及游戏娱乐等应用场景中三维视觉信息的丢失问题,具有十分广阔的应用前景。

上述四大场景的确定,对数据网络提出了四大功能需求及四大性能指标需求[5]。前者包括内生的安全可信、网络可规划和性能可预期、大连接下的感知与管控、泛在移动支持;后者包括带宽、时延、抖动及丢包。

因此,网络5.0将基于现有IP网络协议基础,在演进思路上采取“分代目标、有限责任”的策略,通过打造新型IP网络体系,协同管理面、控制面和数据面,联通分散的计算、存储及网络等资源,构建一体化的ICT基础设施,向各相关产业提供网络能力、计算能力及数据能力服务。以解决万物互联的智能世界所需要的内生安全可信、网络可规划和性能可预期、大连接下的感知与控制、泛在移动性支持等需求,连通多种异构接入网络,实现万网互联,使能更多的新服务接入网络,丰富人们的沟通与生活。

网络5.0的顶层设计原则是从智能化、确定性、柔性、易用性、内生安全为核心的5个设计理念出发,推进网络架构的变革。智能化主要包括基础设施智能化、网络控制智能化和网络管理智能化;确定性主要包括确定性时延和无损传输;柔性主要包括网络功能组件化和网络服务定制化;易用性主要包括网络协议可编程和灵活动态传输;内生安全则意味着应从网络架构设计之初考虑安全,将安全作为网络的基因,从身份认证、网络安全、平台安全、数据安全以及业务安全等全方位构建端到端安全防护体系。

网络5.0基于新型IP网络体系,协同管理面、控制面和数据面,向各相关产业提供网络能力、计算能力及数据能力服务,并使其更加有效地满足万物互联、万物智能、万物感知的需求。其总体目标是连接新网元、探索新协议、构建新管控、支撑新业务。作为创新发展的第5代数据网络的代表,为满足算力网络、5G承载网络、产业互联网以及全息通信对网络的新需求,网络5.0将提供内生安全可信、确定性服务质量、以网络为中心等新能力。

3.2 网络5.0 对标识的需求

网络5.0的一系列关键使能技术包括确定性IP技术、内生安全机制、面向万物互联的新寻址与控制机制、新传输层、灵活可定制的差异化网络服务、面向服务的路由、基于意图的网络、温敏网络等。为实现这些能力,需研究网络5.0的地址和标识的格式和分配方式。而在数据通信网络中,标识广泛存在于终端侧、网络侧和服务侧。因此网络5.0需在终端侧、网络侧和服务侧研究标识。

终端侧需要对终端等设备进行标识和管理,以及对用户身份进行保密和安全验证。因此,在终端侧,标识需求包括终端标识、用户身份标识和传感器标识等。

网络侧需要对接入的终端进行身份验证,对设备的物理位置信息进行标识,并对协议进行解析。因此,在网络侧,标识需求包括接入标识、位置标识、群组标识、网络标识和协议标识等。

服务侧需要对业务与服务进行区分,对用户提供的内容和资源进行识别。因此,在服务侧,标识需求包括资源/服务标识和内容标识。

3.3 网络5.0相关标识

网络5.0标识与其内生安全能力、确定性保障能力、ICT支撑能力、路由寻址能力、算力资源等密切相关,包括域名服务标识、身份标识、位置符标识、安全可信标识和算力资源标识等主要标识。

网络5.0域名服务标识继承了第四代数通网络中域名标识便于记忆的特性,强化了对泛在物联网的支撑服务能力,具备自动配置、安全可信和位置感知等特性。身份标识和位置符标识是为解决第四代数通网络中IP地址语义过载存在的问题,基于身份位置分离机制将IP地址分化为服务于用户设备身份的唯一标识和服务于路由寻址的灵活可变长位置标识符。安全可信标识则是网络5.0中特有的用于保障设备身份接入安全和跨域安全信任传递的标识。算力资源标识是用于基于网络5.0的算力网络管理和提供算力资源服务时使用的标识。

3.4 网络5.0 网络标识

为实现以网络为中心各国拥有各自网络空间自主管辖权,同时支持包括物联网终端在内的各类终端对短地址的需求,网络5.0采用变长地址结构,源地址长度和目的地址长度可以不同,其编码结构如图5所示。

图5 网络5.0地址编码结构

源地址和目的地址前缀相同的用户工作区域称为有限域。在有限域内通信,只需要地址字段和最短前缀。地址采用变长结构,源地址和目的地址长度可不同。

3.5 网络5.0服务标识

3.5.1 可信标识

可信标识[6-7]用于标识网络中参与通信的节点身份标识,既包括主机终端、交换路由设备、物联网节点等物理节点的身份标识,也包括服务和资源等逻辑虚拟节点的身份标识。该可信标识依赖身份/位置分离的网络标识体系。可信标识的标识对象包含网络转发、设备接入和用户身份3个视角相关的对象。

为保障网络安全,实现身份和位置解耦。从网络转发视角来看,可信标识包含设备身份标识和可信位置符。其中设备身份标识是与设备、身份和接入域相关的加密标识,可信位置符则由路由明文前缀和加密主机后缀构成。从设备接入视角来看,可信标识源自厂家设备标识并由之生成可信标识,可用作转发视角的可信设备身份标识。用户身份与用户的账号、身份证号和手机号相关,从用户身份视角来看,网络5.0中的可信身份标识由用户账号、身份证号和手机号加密,且与可信设备标识绑定,可信用户身份标识无法单独存在。一个可信设备标识可以绑定多个可信用户身份标识,但一个可信用户身份标识在一段时间内仅能与一个可信设备标识绑定。

可信标识统一对物理和逻辑通信服务节点进行唯一标识,可信标识生成的管理和解析映射由网络层与传输层之间的实体负责,其垂直作用范围为应用层和传输层,此两层可直接访问。可信标识的水平作用范围由接入域管理维护,在可信网络域和非可信网络域间转发传递时,部分可信网络域参与可信标识验证。

可信标识兼顾节点身份隐私安全和授权状态下的审计追溯,其标识结构采用扁平化的加密编码结构,包括固定域和可变域两部分。可信标识的固定部分中保障了中长期标识唯一性、身份真实性以及随路鉴权安全性。固定部分编码内容包括标识类型、标识版本、标识/证书长度、机器/节点标识(物理节点为其机器标识,逻辑虚拟节点为其资源标识)。其中,标识类型包含设备类、身份类、算力类和服务类等。可变域与节点变动相关,可变部分适用于隐私性和移动性。可变域编码内容包括网络域标识和时间戳等,若标识编码通过非加密通道承载,可变域以指纹方式嵌入。

面向网络5.0的各种典型应用场景,可信标识的编码结构设计需要提供较高的灵活性,一方面要支持非功耗受限的各种高安全性需求场景,另一方面也要适用于功耗受限的物联网等场景。可信标识在编码结构设计上需提供对功耗受限场景下的极简编码支持,同时也要保证对非功耗受限场景下的各种功能的支持。

可信标识作为加密的唯一标识,其生成方式应能兼顾物理节点和资源服务的标识,并能满足编码结构要求。其框架支持集中生成方式、层次生成方式和去中心化生成方式。认证鉴权是可信标识的基础,为配合集中式、层次式和去中心化式等标识生成方式,其认证鉴权应支持代理鉴权认证和数据报文携带随路。

支持代理鉴权认证是指通过权限管理平台和可信代理控制服务的联动,实现对用户的权限鉴权,确认用户是否拥有正在鉴权确认的权限。而鉴权服务支持应用级、功能级、服务级、数据级的细粒度鉴权。在收到可信代理控制服务的鉴权请求后,结合用户的风险等级、应用业务的安全等级进行鉴权。

数据报文携带随路是指将标识作为代表设备身份的可信凭证,数据报文在链路上传输时,携带标识一起传输,因此数据报文必须通过安全的方式保存和处理。在设备侧,需要通过采用密码学技术的硬件芯片对标识进行存储和处理,或者采用其他方式确保标识信息不被篡改、窃取。接入认证首先发生在链路层,设备和网络边界(接入网关)建立可信隧道,实现可信标识认证。可信标识可通过链路层传递到网络层,以实现可信标识的跨域传递等先进安全特性。

在报文中携带可信标识后,通信的相关方(如目的节点或者中间路由器等)可通过对于可信标识的认证,验证通信数据的来源或通信数据的责任方,从而信任数据报文或对其可信度进行评估。在同一个可信域内,可以通过报文携带可信标识,审计和追溯数据报文的来源。在安全需求不那么严格,且事先清楚全部网络节点都是可信的情况下,数据报文也可以不携带可信标识,以提升通信的效率。跨可信域通信时,通信的相关方可以通过报文中的可信标识,实现跨域的、间接的可信关系建立,形成可信链条。可信标识的可信管理包括标识凭证管理、信任等级管理、隐私保护管理、绑定映射管理、信任传递管理、信任时效管理和审计追溯管理等。

可信标识需要存储在能够提供完整性、机密性保护的芯片或存储介质中,保证可信标识不被窃取和篡改。

3.5.2 统一资源标识

算力标识与互联网资源标识不同,互联网的资源标识是两段标识,即地址标识和业务内容属性标识,而算力网络的资源标识包括三段标识,即地址标识和两种算力资源属性标识。互联网的统一资源标识如图6所示,算力网络的统一算力资源标识如图7所示。

图6 互联网的统一资源标识

图7 算力网络的统一算力资源标识

统一资源标识符(Uniform Resource Identifier,URI)是用来标识抽象或物理资源的一个紧凑字符串,其I(Identifier)是统一资源标示符,可以唯一标识一个资源。URI由统一资源定位符(Uniform Resource Locator,URL)和统一资源名(Uniform Resource Name,URN)两个部分组成,URL是URI的子集,所以URL一定是URI,而URI不一定是URL。URL是一种定位资源的主要访问机制的字符串,其重点在于L(Locater)地址,提供找到该资源的确切路径。一个标准的URL必须包括protocol、host、port、path、parameter、anchor。URN通过特定命名空间中的唯一名称或ID来标识资源。互联网业务全部是OTT业务,所以互联网的资源标识无需通信属性。

统一算力资源标识符(Universal Suanli Resource Identifier,USRI)用来标识抽象或物理算力资源的一个紧凑字符串,其I(Identifier)是统一算力资源标识符,可以唯一标识一个算力资源。USRI由URL、统一算力IT资源名称(Universal Suanli IT Resource Name,USIRN)和统一算力CT资源名称(Universal Suanli CT Resource Name,USCRN)3个部分组成。其中,URL提供找到该资源的确切路径。USIRN通过特定命名空间中的唯一名称、算力IT属性或ID来标识资源。USCRN通过特定命名空间中的唯一名称、算力CT属性或ID来标识资源。