未來互聯(lián)網(wǎng)網(wǎng)際層安全管控架構(gòu)研究

邱修峰++劉建偉++王敏++章銀娥

摘 要：傳統(tǒng)互聯(lián)網(wǎng)體系結(jié)構(gòu)初始設(shè)計未考慮內(nèi)置安全性能，導(dǎo)致當(dāng)前互聯(lián)網(wǎng)安全問題難以從根本上解決，因此內(nèi)置安全性成為未來互聯(lián)網(wǎng)體系結(jié)構(gòu)基本目標(biāo)之一。論文為未來互聯(lián)網(wǎng)的核心層即網(wǎng)際層設(shè)計了一種安全管控架構(gòu)，架構(gòu)由管理面、控制面和數(shù)據(jù)面三個層級的安全功能組合構(gòu)成。分析表明，該架構(gòu)可為未來互聯(lián)網(wǎng)提供內(nèi)置多級別多粒度安全性。

關(guān)鍵詞：未來互聯(lián)網(wǎng)；安全管控架構(gòu)；多級別多粒度安全實體

中圖分類號： TP 309 文獻標(biāo)識碼：A

1 引言

初始互聯(lián)網(wǎng)默認處于一個可信環(huán)境中，所以其設(shè)計之初并未考慮安全問題。但隨著互聯(lián)網(wǎng)社會化、商業(yè)化和民用化的深入以及各種網(wǎng)絡(luò)通信技術(shù)的發(fā)展，當(dāng)前互聯(lián)網(wǎng)多樣化和差異化的網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)硬件和軟件系統(tǒng)處于不可信異構(gòu)環(huán)境中，網(wǎng)絡(luò)安全問題成為互聯(lián)網(wǎng)研究和設(shè)計人員不可避免的挑戰(zhàn)。個人隱私信息、企業(yè)和國家機密信息泄露等網(wǎng)絡(luò)安全事件層出不窮。過去解決網(wǎng)絡(luò)安全問題采用方法都是零散式修補式的，數(shù)十年的積累導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)越來越復(fù)雜，出現(xiàn)更多新問題，表明互聯(lián)網(wǎng)發(fā)展方向采用漸進式的改良演化路線值得反思，必須從根本上重新分析互聯(lián)網(wǎng)設(shè)計問題[1，2]。國內(nèi)外研究人員和機構(gòu)已展開各種項目試圖改進或重新設(shè)計未來互聯(lián)網(wǎng)，來取代當(dāng)前互聯(lián)網(wǎng)以應(yīng)對現(xiàn)在和未來網(wǎng)絡(luò)應(yīng)用和服務(wù)多樣化差異化安全需求。

RFC1287[2]指出根據(jù)經(jīng)驗除非開始將安全內(nèi)置在體系結(jié)構(gòu)中，否則很難再將安全性添加到協(xié)議棧，因此構(gòu)建內(nèi)置安全性的體系結(jié)構(gòu)是未來互聯(lián)網(wǎng)基本問題。網(wǎng)際互聯(lián)是未來互聯(lián)網(wǎng)必須提供的核心功能，假設(shè)未來互聯(lián)網(wǎng)網(wǎng)際互聯(lián)核心層命名為網(wǎng)際層，本文為此網(wǎng)際層設(shè)計了一種安全管控架構(gòu)，目標(biāo)是實現(xiàn)未來互聯(lián)網(wǎng)體系結(jié)構(gòu)內(nèi)置多粒度多級別安全性，以滿足未來網(wǎng)絡(luò)差異化多樣化安全需求。

2 相關(guān)工作

傳統(tǒng)TCP/IP體系結(jié)構(gòu)初始并未考慮安全問題，后來在發(fā)展過程中補丁式地為網(wǎng)際層設(shè)計了IPsec協(xié)議，傳輸層設(shè)計了SSL/TLS協(xié)議，以及多種應(yīng)用層安全協(xié)議，主要解決網(wǎng)絡(luò)通信中的身份認證、數(shù)據(jù)完整性和機密性問題。

AKARI[3]設(shè)計的新一代網(wǎng)絡(luò)安全通用架構(gòu)[3]描述了數(shù)據(jù)面和控制面中三個層面的安全需求，包括網(wǎng)絡(luò)服務(wù)安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的安全需求。網(wǎng)絡(luò)安全服務(wù)包括隱私、機密性、完整性、不可否認性、身份管理和身份驗證，還包括可恢復(fù)性、可審計性、訪問控制和授權(quán)等。ISO 7498-2-1989[4]是闡述OSI參考模型安全體系結(jié)構(gòu)的權(quán)威性文獻，提出設(shè)計安全信息系統(tǒng)的基礎(chǔ)架構(gòu)中應(yīng)該包含五類安全服務(wù)（認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性和抗抵賴性）來保障網(wǎng)絡(luò)通信的（靜態(tài)）安全。

P2DR2信息安全模型[5]的安全策略、安全防護、安全檢測、安全響應(yīng)和安全恢復(fù)機制共同構(gòu)建完整安全體系來保障網(wǎng)絡(luò)信息通信的（動態(tài)）安全。Gartner提出一種自適應(yīng)防護架構(gòu)[6]具有預(yù)測、防御、檢測和回溯等安全功能，指出安全思維必須根本性切換，網(wǎng)絡(luò)安全解決方案必須從“應(yīng)急響應(yīng)”改變?yōu)椤俺掷m(xù)響應(yīng)”。

3 問題提出

設(shè)計內(nèi)置安全性的未來互聯(lián)網(wǎng)體系結(jié)構(gòu)是保障未來網(wǎng)絡(luò)安全基本的挑戰(zhàn)之一。未考慮安全設(shè)計的初始TCP/IP體系結(jié)構(gòu)導(dǎo)致當(dāng)前互聯(lián)網(wǎng)安全問題從根本上難以得到解決。本文為未來互聯(lián)網(wǎng)的核心層-網(wǎng)際層設(shè)計安全架構(gòu)內(nèi)嵌在網(wǎng)絡(luò)體系結(jié)構(gòu)中，實現(xiàn)未來互聯(lián)網(wǎng)的內(nèi)置安全性，從根本上為未來網(wǎng)絡(luò)安全提供解決方案。

參考傳統(tǒng)路由器和新型網(wǎng)絡(luò)架構(gòu)SDN[7]設(shè)計的理念，本文將未來互聯(lián)網(wǎng)網(wǎng)際層分為管理面、控制面和數(shù)據(jù)面三個層級，三個層面的安全功能相互協(xié)作。

（1）提供認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性和抗抵賴性5類服務(wù)來保障網(wǎng)絡(luò)通信的靜態(tài)安全。

（2）構(gòu)建安全預(yù)測、安全防護、安全檢測、安全響應(yīng)和安全恢復(fù)機制來保障網(wǎng)絡(luò)通信的動態(tài)安全。

4 未來互聯(lián)網(wǎng)網(wǎng)際層安全管控架構(gòu)

本節(jié)將網(wǎng)絡(luò)實體劃分為多種粒度和安全級別，然后為未來互聯(lián)網(wǎng)網(wǎng)際層設(shè)計了一個安全管控架構(gòu)模型，并描述若干安全管控場景構(gòu)建過程分析其可行性。

4.1 多粒度多級別安全實體

網(wǎng)絡(luò)實體可分為三大類：網(wǎng)絡(luò)、數(shù)據(jù)（或內(nèi)容/信息）和用戶。網(wǎng)絡(luò)類實體包括域/子域、網(wǎng)絡(luò)節(jié)點/終端節(jié)點/中間節(jié)點、服務(wù)/應(yīng)用程序等。因此整個網(wǎng)絡(luò)體系的實體可劃分為域/子域、網(wǎng)絡(luò)節(jié)點/終端節(jié)點/中間節(jié)點、服務(wù)/應(yīng)用程序、數(shù)據(jù)/內(nèi)容和用戶多種粒度。所有網(wǎng)絡(luò)實體可以依據(jù)文獻[8]等劃分為五種安全級別的實體和不含安全屬性的普通實體，如1-5級安全域或網(wǎng)絡(luò)節(jié)點和普通域或普通網(wǎng)絡(luò)節(jié)點等。安全級別越高實體安全性越高。所有數(shù)據(jù)/內(nèi)容可以依據(jù)文獻[9]等劃分為五種機密性級別不同的數(shù)據(jù)/內(nèi)容和不含機密的普通數(shù)據(jù)。所有用戶可根據(jù)其生成和訪問的數(shù)據(jù)與網(wǎng)絡(luò)相應(yīng)劃分為1-5級安全機密用戶和普通用戶。不同級別安全需采用不同級別的密碼算法支撐實現(xiàn)。密碼算法強度對應(yīng)劃分1-5級，參考NIST有關(guān)密鑰管理的建議[10]。

4.2 架構(gòu)設(shè)計

為滿足不同機密安全級別用戶的差異化多樣化安全需求，在網(wǎng)絡(luò)安全管控方面的設(shè)計目標(biāo)是內(nèi)置多粒度多級別安全性。本文在未來網(wǎng)絡(luò)互聯(lián)核心層即網(wǎng)際層設(shè)計了一種安全管控架構(gòu)模型如圖1所示，模型由松耦合的管理面、控制面和數(shù)據(jù)面三個層面組成，各層有關(guān)安全方面的功能描述有幾種。

4.2.1 數(shù)據(jù)面安全功能

數(shù)據(jù)面是各種安全規(guī)則的實施者，依據(jù)控制面發(fā)送的安全規(guī)則負責(zé)不同類型分組的安全發(fā)送、轉(zhuǎn)發(fā)與接收和收集安全狀態(tài)信息并反饋給控制層，需提供幾項基本安全服務(wù)功能。

（a）多粒度多級別安全身份認證和簽名。收到分組時依據(jù)分組首部攜帶的安全需求字段和分組發(fā)送者ID的編碼以及節(jié)點本身的安全策略，對分組進行域/節(jié)點/服務(wù)/用戶的1-5級安全多粒度多級別的身份認證；收到分組時依據(jù)分組首部攜帶的安全需求字段以及節(jié)點本身的安全和管控策略，用節(jié)點自身的私鑰對分組信息直接或預(yù)處理后進行1-5級的簽名（抗轉(zhuǎn)發(fā)抵賴）。endprint

（b）多粒度多級別數(shù)據(jù)加密/解密。收到分組時依據(jù)分組首部攜帶的安全需求字段和分組發(fā)送者ID的編碼以及節(jié)點本身的安全策略，對分組進行域/節(jié)點等粒度的1-5級安全級別的加密或解密。

（c）多粒度多級別數(shù)據(jù)完整性檢測碼生成和驗證。收到分組時依據(jù)首部攜帶的安全需求字段和分組發(fā)送者ID編碼以及節(jié)點本身安全策略，對分組進行域/節(jié)點等粒度1-5級安全級別數(shù)據(jù)完整性檢測碼生成和驗證。

（d）多粒度多級別安全和異常探測與處理。收到分組時依據(jù)分組首部攜帶的安全需求字段、分組發(fā)送者ID編碼和分組接收者ID編碼以及節(jié)點本身的安全策略，對分組進行域/節(jié)點/服務(wù)/用戶/內(nèi)容等粒度的1-5級安全級別的分組安全過濾處理；當(dāng)出現(xiàn)任何粒度任何級別的安全異常事件（如身份認證或完整性檢測異常等），依據(jù)安全策略將安全異常事件向控制面報告并進行應(yīng)急或持續(xù)監(jiān)控處理（如丟棄分組、生成安全日志、將分組轉(zhuǎn)發(fā)至入侵檢測系統(tǒng)、生成錯誤和異常響應(yīng)分組并發(fā)送給鄰居節(jié)點或原分組發(fā)送者或域管控服務(wù)器）；其他安全有關(guān)的分組信息處理；接收和處理其他節(jié)點發(fā)送來的安全或異常消息分組并向控制面報告；修改節(jié)點的安全態(tài)勢有關(guān)參數(shù)（例如其他節(jié)點的安全信任值和安全等級值）；對各種靜態(tài)實體（如網(wǎng)絡(luò)接口、內(nèi)存、處理器等）和動態(tài)實體（如進程、信息流等）實時安全態(tài)勢監(jiān)控、對各種安全事件實時監(jiān)控和域間安全協(xié)作監(jiān)控。

4.2.2 控制面安全功能

控制面是數(shù)據(jù)面分組安全處理規(guī)則的生成和重構(gòu)者，需要依據(jù)管理面生成的安全參數(shù)配置來運行各種安全管控算法和協(xié)議來產(chǎn)生各種安全規(guī)則，將安全規(guī)則發(fā)送給數(shù)據(jù)面，對數(shù)據(jù)面安全反饋信息實時處理和調(diào)控，因此控制面基本安全功能有幾個方面。

（a）多粒度多級別安全路由生成和重構(gòu)。依據(jù)安全和管控策略生成和重構(gòu)域/節(jié)點/服務(wù)/用戶/內(nèi)容等不同粒度的路由表；依據(jù)分組安全需求、分組發(fā)送者ID的編碼和分組接收者ID的編碼以及安全和管控策略生成和重構(gòu)不同安全或信任級別路由表；依據(jù)安全和管控策略將路由信息發(fā)送至數(shù)據(jù)面轉(zhuǎn)發(fā)表。

（b）多粒度多級別安全或信任策略生成和重構(gòu)。動態(tài)調(diào)整和運行安全或信任策略算法，生成多粒度多級別安全或信任策略并發(fā)送至數(shù)據(jù)面；依據(jù)接收的管理面控制信息或數(shù)據(jù)面的監(jiān)測信息，動態(tài)重構(gòu)多粒度多級別安全或信任策略并發(fā)送至數(shù)據(jù)面。

（c）多粒度多級別安全和可信監(jiān)控 接收并處理來自數(shù)據(jù)面的安全管控檢測信息和管理面的安全管控調(diào)整信息；生成和重構(gòu)安全路由；動態(tài)調(diào)整安全或信任策略模型；依據(jù)安全態(tài)勢向數(shù)據(jù)面動態(tài)發(fā)送控制信息；依據(jù)安全態(tài)勢向控制面動態(tài)發(fā)送報告信息；生成安全日志。

4.2.3 管理面安全功能

管理面直接面向應(yīng)用層和用戶，是安全策略的最終決策者，負責(zé)整個安全系統(tǒng)的初始化和參數(shù)配置、為控制面選擇各種生成安全規(guī)則的安全策略模型和算法和其他安全管理。因此管理面的基本安全功能有幾個方面。

（a）多粒度多級別安全或信任策略模型和算法管理。各種粒度和級別安全或信任策略模型和算法的選擇、查詢、修改、添加或刪除，包括安全預(yù)測、安全防護、安全檢測、安全響應(yīng)和安全恢復(fù)等策略模型和算法管理。

（b）多粒度多級別安全和信任審計。依據(jù)安全日志對域/節(jié)點/服務(wù)/用戶/內(nèi)容等粒度實體安全態(tài)勢統(tǒng)計分析；據(jù)安全日志對各種安全事件統(tǒng)計分析；據(jù)安全態(tài)勢分析結(jié)果和安全管控策略向控制面發(fā)出安全管控信息。

（c）多級別安全支撐算法管理。對支撐多級別安全的基礎(chǔ)算法如對稱/非對稱密碼算法和Hash算法的查詢、添加和刪除，各種密鑰或證書的查詢、生成和刪除。

（d）安全日志管理。安全日志的備份、查詢、添加和刪除，安全日志的分析和處理。

4.3 安全管控場景構(gòu)建

4.3.1 單個網(wǎng)絡(luò)實體安全管控構(gòu)建

單個網(wǎng)絡(luò)實體的安全是指單個網(wǎng)絡(luò)實體內(nèi)所有的硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)的安全。參考有關(guān)國家或國際標(biāo)準(zhǔn)，可以構(gòu)建不同安全級別的網(wǎng)絡(luò)實體。例如在網(wǎng)絡(luò)節(jié)點安裝符合安全級別要求的軟件系統(tǒng)和硬件設(shè)備，安裝所需的安全策略模型和算法庫、安裝所需的支撐多級別安全的基礎(chǔ)算法庫（如對稱密碼算法、非對稱密碼算法和Hash算法）、向權(quán)威機構(gòu)獲得各種安全強度級別的簽名密鑰和加密密鑰并由權(quán)威機構(gòu)測評其安全等級。

4.3.2 兩個網(wǎng)絡(luò)實體之間傳輸安全管控端點構(gòu)建

發(fā)送方和接收方可以是任意兩個網(wǎng)絡(luò)實體的組合，分組的安全處理主要包括身份認證、完整性和機密性防護，典型的構(gòu)建算法包括發(fā)送方和接收方兩部分。

（1）符號說明

Ha：發(fā)送方主機，Hb：接收方主機；

Ra：發(fā)送方接入結(jié)點，Rb：接收方接入結(jié)點；

DSa：發(fā)送方域管控服務(wù)器， DSb：接收方域管控服務(wù)器；

APP：應(yīng)用程序，F(xiàn)InterNL：未來互聯(lián)網(wǎng)網(wǎng)際層

（2）發(fā)送方實施算法

a）Ha的一個APP-ha提出安全需求發(fā)送至Ha的FInterNL-ha，要求提供安全服務(wù)。

b）FInterNL-ha檢測本地安全策略規(guī)則庫是否存在相關(guān)本地安全實施規(guī)則，若存在則通知App-ha發(fā)送應(yīng)用數(shù)據(jù)，實施規(guī)則將應(yīng)用程序數(shù)據(jù)分組封裝發(fā)送；若不存在，則將App-ha的安全需求發(fā)送至Ra的FInterNL-ra。

c）FInterNL-ra檢測本地的安全策略規(guī)則庫是否存在相關(guān)本地安全規(guī)則，若存在則通知App-ha發(fā)送應(yīng)用數(shù)據(jù)，實施規(guī)則將應(yīng)用程序數(shù)據(jù)分組封裝發(fā)送；若不存在則將App-ha安全需求轉(zhuǎn)發(fā)至DSa。

c）DSa依據(jù)APP-ha安全需求的類型與級別、域內(nèi)/域間安全策略、Ha的資源（計算資源、存儲資源和帶寬資源等）、Ra的資源使用狀態(tài)選擇提供安全服務(wù)，DSa將被選擇的安全服務(wù)具體協(xié)議協(xié)商參數(shù)發(fā)送至DSb，DSa與DSb之間通過安全服務(wù)參數(shù)協(xié)商協(xié)議共同協(xié)商確定所需安全服務(wù)的具體協(xié)議參數(shù)。依據(jù)協(xié)商好的具體安全服務(wù)參數(shù)，DSa制定安全實施規(guī)則并將規(guī)則發(fā)送至相應(yīng)FInterNL-ha或FInterNL-ra的本地安全策略規(guī)則庫。endprint

d）FInterNL-ha或FInterNL-ra接收到安全實施規(guī)則，向App-ha發(fā)出通知，APP-ha開始發(fā)送應(yīng)用數(shù)據(jù)，應(yīng)用數(shù)據(jù)首先到達FInterNL-ha，若已存在相關(guān)安全實施規(guī)則，實施規(guī)則將APP-ha數(shù)據(jù)分組封裝發(fā)送；若不存在則將應(yīng)用數(shù)據(jù)發(fā)送至FInterNL-ra。

e）FInterNL-ra檢測本地的安全策略規(guī)則庫是否存在滿足條件的路由器本地安全規(guī)則，若存在，則實施規(guī)則將APP-ha數(shù)據(jù)分組封裝發(fā)送；若不存在，向APP-ha發(fā)出安全規(guī)則不存在警告，轉(zhuǎn)a）重新開始算法。

f）若因為資源（計算資源、存儲資源和帶寬資源等）匱乏或其它安全態(tài)勢異常引起無法繼續(xù)算法正常執(zhí)行，轉(zhuǎn)a）重新開始算法。

（3）接收方實施算法

a）DSb收到DSa發(fā)送的安全服務(wù)協(xié)議協(xié)商參數(shù)（DSb也可以主動發(fā)起協(xié)商過程），依據(jù)安全策略、Hb與 Rb資源狀態(tài)、APP-hb安全需求以及APP-ha所需安全服務(wù)的類型，選擇FInterNL-ha或FInterNL-ra提供安全服務(wù)，選擇合適的安全協(xié)議參數(shù)返回DSa，制定相應(yīng)的安全實施規(guī)則并發(fā)送到FInterNL-hb或FInterNL-rb的本地安全策略規(guī)則庫并通知APP-hb。

b）被選擇的FInterNL-hb或FInterNL-r接收到FInterNL-ha或FInterNL-ra發(fā)送來的數(shù)據(jù)分組，實施安全規(guī)則，檢測數(shù)據(jù)分組的安全性，如果符合，則將數(shù)據(jù)分組發(fā)送至APP-hb。如果數(shù)據(jù)分組的安全性異常，則將數(shù)據(jù)分組轉(zhuǎn)發(fā)至DSb。

c）DSb收到安全性異常數(shù)據(jù)分組，根據(jù)安全規(guī)則可能選擇進行如下操作：丟棄數(shù)據(jù)分組、更新安全日志、啟動追蹤溯源機制、向DSa發(fā)出安全錯誤通知信息包和向APP-ha與APP-hb發(fā)送安全錯誤信息警告。

d）若因為資源匱乏或其它安全態(tài)勢異常引起算法不可正常執(zhí)行，轉(zhuǎn)a）重新開始算法。

4.3.3 兩個網(wǎng)絡(luò)實體之間傳輸安全管控全路徑構(gòu)建

典型的構(gòu)建算法包括發(fā)送方、中間節(jié)點和接收方三個部分。

（1）補充符號說明

Ri：網(wǎng)絡(luò)中間結(jié)點，RSi：當(dāng)前網(wǎng)絡(luò)中間結(jié)點域管控服務(wù)器。

（2）中間節(jié)點實施算法

a）RSi通過多點安全服務(wù)參數(shù)協(xié)商協(xié)議和DSa與DSb一起協(xié)商安全服務(wù)具體實施參數(shù)，并形成安全實施規(guī)則發(fā)送給DSa、DSb、Ha、Hb、Ra和Rb。

b）Ri接收到數(shù)據(jù)分組，檢查是否存在相應(yīng)的安全實施規(guī)則，若存在則對數(shù)據(jù)分組安全性檢測，若數(shù)據(jù)分組安全性合法則繼續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)分組，若數(shù)據(jù)分組安全性不合法，則將異常數(shù)據(jù)分組轉(zhuǎn)發(fā)至RSi；若無相應(yīng)的安全實施規(guī)則，則依據(jù)安全策略執(zhí)行默認操作，如直接轉(zhuǎn)發(fā)數(shù)據(jù)分組或?qū)?shù)據(jù)分組轉(zhuǎn)發(fā)到RSi。

c）RSi收到安全性異常數(shù)據(jù)分組，根據(jù)安全策略和規(guī)則選擇進行如下操作：丟棄數(shù)據(jù)分組、更新安全日志、啟動追蹤溯源機制、向DSa、DSb、Ha、Hb、Ra或Rb等發(fā)出安全錯誤通知信息包。

d）當(dāng)Ri因為資源匱乏或其它安全態(tài)勢異常導(dǎo)致算法不能繼續(xù)執(zhí)行，轉(zhuǎn)a）重新開始算法。

發(fā)送方與接收方實施算法和3.3.2節(jié)描述相似。

5 方案分析

5.1 安全性能分析

首先本架構(gòu)為未來互聯(lián)網(wǎng)網(wǎng)際層在數(shù)據(jù)面提供了多粒度多級別安全身份認證、簽名、數(shù)據(jù)加密/解密以及數(shù)據(jù)完整性檢測碼生成和驗證等基本功能，可進一步為網(wǎng)絡(luò)通信提供認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性和抗抵賴性等服務(wù)。

其次，本架構(gòu)為未來互聯(lián)網(wǎng)網(wǎng)際層在數(shù)據(jù)面提供了多粒度多級別安全和異常探測與處理功能，在控制面提供了多粒度多級別安全路由生成和重構(gòu)、多粒度多級別安全或信任策略生成和重構(gòu)及多粒度多級別安全和可信監(jiān)控等功能，在管理面提供了多粒度多級別安全或信任策略模型和算法管理及多粒度多級別安全和信任審計等功能，可進一步提供安全策略、安全防護、安全檢測、安全響應(yīng)和安全恢復(fù)等機制保障網(wǎng)絡(luò)動態(tài)安全。

5.2 和其它方案比較分析

（a）傳統(tǒng)的TCP/IP網(wǎng)絡(luò)在網(wǎng)絡(luò)層和傳輸層最初沒有內(nèi)置安全性，后來為 IP層設(shè)計了IPSec協(xié)議來保障兩個網(wǎng)絡(luò)節(jié)點（主機或路由器）之間信息通信的身份認證、數(shù)據(jù)機密性和完整性安全，為傳輸層設(shè)計了SSL/TSL協(xié)議來保障TCP連接的兩個端點之間信息通信身份認證、數(shù)據(jù)機密性和完整性安全，但是不能提供其它粒度的網(wǎng)絡(luò)實體之間的安全，也未考慮網(wǎng)絡(luò)通信的動態(tài)安全問題；而本文架構(gòu)針對所有有關(guān)網(wǎng)絡(luò)安全問題的解決；

（b）XIA[11]考慮了用自證明地址[12]來提供網(wǎng)絡(luò)實體的身份認證作為安全保障的起點，并在控制層面保障可信域之間的域間路由安全，但并未涉及其核心層網(wǎng)際層的安全問題；而本文架構(gòu)吸收XIA的所有安全機制且綜合考慮了其它安全問題；

（c）NDN[13]的安全方案僅僅將每個NDN分組名字用一個數(shù)字簽名和分組內(nèi)容綁定，支持數(shù)據(jù)完整性和數(shù)據(jù)源認證，未涉及其它安全問題。

6 結(jié)束語

本文提出了一種未來互聯(lián)網(wǎng)網(wǎng)際層安全管控架構(gòu)模型，論述了模型管理面、控制面和數(shù)據(jù)面三個層級的安全功能，并應(yīng)用這些功能初步分析了典型安全管控過程場景，為未來互聯(lián)網(wǎng)體系結(jié)構(gòu)提供了內(nèi)置多級別多粒度安全性。本文下一步工作是構(gòu)建仿真系統(tǒng)或原型系統(tǒng)來驗證模型的正確性，改進、完善和形式化模型的設(shè)計。

參考文獻

[1] David D. Clark， David L. Tennenhouse. Architectural considerations for a new generation of protocols. SIGCOMM Comput. Commun. Rev.， 1990，20（4）：200-208.endprint

[2] David D. Clark， Lyman Chapin， Vinton Cerf， Robert Braden， and Russ Hobby. Towards the future Internet architecture[R]. In Network Working Group Request for Comments： 1287， Dec 1991.

[3] Hiroaki Harai， Masugi Inoue， et al. AKARI Architecture Conceptual Design for New Generation Network [translated version 2.0]， English Edition May 2010[R]， http：//akari-project.nict.go.jp/eng/concept-design/AKARI_fulltext_e_preliminary_ver2.pdf.

[4] ISO 7498-2：1989， Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2： Security Architecture[S]. Feb. 1989.

[5] 劉建偉， 王育民. 網(wǎng)絡(luò)安全—技術(shù)與實踐[M]. 北京：清華大學(xué)出版社， 2017：22-29.

[6] N Macdonald，P Firstbrook. Designing an Adaptive Security Architecture for Protection From Advanced Attacks[R]. Gartner report.Jan.2016.

[7] 王蒙蒙，劉建偉，陳杰，等.軟件定義網(wǎng)絡(luò)：安全模型，機制及研究進展[J].軟件學(xué)報，2016， 27（4）： 969-992.

[8] 中國國家標(biāo)準(zhǔn)化管理委員會.GB/T 22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級保護基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008：1-52.

[9] 中國國家標(biāo)準(zhǔn)化管理委員會.GB/T 22240-2008信息安全技術(shù)-信息系統(tǒng)安全保護等級定級指南[S].北京：中國標(biāo)準(zhǔn)出版社，2008：1-12.

[10] NIST. Recommendation for Key Management – Part 1： General （Revision 3） NIST Special Publication 800-57[S]. July 2012.http：//www.nist.gov/manuscript-publication-search.cfm？pub_id=910342][2017-05-31].

[11] XIA[EB/OL]. http：//www.cs.cmu.edu/～xia/index.html

[12] David G. Andersen， Hari Balakrishnan， Nick Feamster， et al. Accountable Internet Protocol （AIP）[A]， Acm Sigcomm Conference on Applications[C]， 2008， 38（4）：339-350.

[13] NDN[EB/OL] [2017-05-31].http：//www.named-data.net.

邱修峰（1973-），男，漢族，江西興國人，畢業(yè)于北京航空航天大學(xué)，博士生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、未來互聯(lián)網(wǎng)體系結(jié)構(gòu)。

劉建偉（1964-），男，漢族，山東煙臺人，畢業(yè)于西安電子科技大學(xué)，博士，教授；主要研究方向和關(guān)注領(lǐng)域：信息安全。

王敏（1981-），男，漢族，江西興國人，畢業(yè)于同濟大學(xué)，博士，講師；主要研究方向和關(guān)注領(lǐng)域：物聯(lián)網(wǎng)技術(shù)與安全。

章銀娥（1974-），女，漢族，江西撫州人，畢業(yè)于東華理工大學(xué)，碩士，副教授；主要研究方向和關(guān)注領(lǐng)域：計算機仿真與網(wǎng)絡(luò)安全。endprint