作者简介
马铮
中国联合网络通信有限公司研究院正高级工程师,长期从事网络与信息安全等方面的研究工作。
闫新成
中兴通讯股份有限公司安全平台部高级工程师,长期从事网络安全、安全产品等方面的研究工作。
周继华
中兴通讯股份有限公司有线规划部高级工程师,长期从事产品安全治理、安全标准等方面的研究工作。
蒋林涛
中国信息通信研究院科技委主任,长期从事多媒体、数据通信、互联网等方面的研究和开发工作,国家“863”通信主题多媒体专业专家组一、二、三届成员;国家下一代互联网专家委员会第一、二届委员;1992年获国务院颁发的政府特殊津贴;1996年获“中华人民共和国有突出贡献的中青年科学技术专家”称号。
论文引用格式:
马铮, 闫新成, 周继华, 等. 网络5.0内生安全可信体系[J]. 信息通信技术与政策, 2023, 49(12): 40-47.
网络5.0内生安全可信体系
马铮1 闫新成2 周继华2 蒋林涛3
(1.中国联合网络通信有限公司研究院,北京 100048;2.中兴通讯股份有限公司,深圳 518057;3.中国信息通信研究院,北京 100191)
摘要:网络5.0是面向未来的数据网络通信架构,该网络架构的最基本特征之一是具备网络内生安全能力。围绕该技术特征,论述了网络安全威胁现状以及传统网络安全防护模式存在的不足,分析梳理了网络5.0主要应用场景的安全需求,提出了网络5.0安全可信体系架构及实现机制,论述了网络5.0安全可信典型关键技术,介绍了当前业界已经开展的相关实践,并针对后续重点研究方向提出了建议。
关键词:网络5.0;内生安全;可信接入;可信标识
0 引言
网络5.0是由网络5.0产业和技术创新联盟在2018年提出的面向未来网络演进的数据通信网络架构。经过近几年的发展,网络5.0基于新应用与新业务的接入和承载需求,在继承网际互连协议(Internet Protocol,IP)优势的基础上,协同管理面、控制面和数据面,连接分散的计算、网络和存储等资源,构建一体化的新型信息与通信技术(Information and Communications Technology,ICT)基础设施,向各相关产业提供网络能力、计算能力及数据能力服务,并使其更加有效地满足万物互联、万物智能、万物感知的需求[1]。
传统网络追求的是“尽力而为”的转发能力,并没有把安全可信作为内生的能力,导致应对日益严重的网络安全威胁非常吃力。网络5.0中规划的海量连接、广域覆盖、低时延、高带宽等能力的提升,也为攻击者实施更大规模、更高强度的攻击提供了可能。因此,网络5.0需要针对新业务应用场景、新技术提供更强的安全防护能力。
鉴于此,网络5.0提出了内生安全可信体系,通过可信标识、可信接入、信任传递和主动防御等内生可信机制,从终端身份真实性、路径可信性、服务合法性等方面构建流量实时高效检测控制的安全防护系统,全方位赋予网络可信通信能力,满足新型信任关系、网络边界和威胁模型下的泛在网络安全需求。
本文将对网络5.0的内生安全可信体系进行解读,并介绍当前的一些落地方案进展。
1 网络安全现状
现有IP协议的设计,是中间由路由器、交换机等网络设备组成的网络,只做简单的二层交换或者三层路由,而复杂的四层及以上的业务,则由网络的端节点去完成。由于IP技术具有简单、开放的特性,能够以低成本提供高带宽、低时延的服务,极大地促进了互联网的发展,但是同时由于缺乏对安全性足够的关注,也导致当前网络中安全漏洞越来越多,并且难以得到根治。
随着通信技术的发展和普及,原来只有极少数技术人员掌握的通信安全知识也越来越大众化,加上攻击方式的自动化和工具化,针对数据网络进行安全攻击的技术难度越来越小,网络攻击的频度和力度都越来越大,给个人、企业乃至国家造成越发严重的损失。同时网络作为数据的载体,也面临着日益增加的安全风险,特别是在ICT技术跨界发展推动技术融合以后,网络作为业务与应用的入口在安全可信领域面临着更多的挑战。
2 传统网络安全防护机制的不足
网络的安全可信是网络可靠运行及业务开展的基本保障。传统的网络安全防护重点关注边界的安全防护,一般是在现有网络架构基础上叠加安全防护功能,其安全防护效果已经不能适应飞速变化的网络应用需求。
由于IP网络在设计之初重点关注连通性而忽视了安全性,致使现有的网络安全系统一直以来只能通过增加防火墙等安全专用设备给予“补丁式”修补的被动防御,以及通过用户认证、通道加密等手段,进行基本底线防御来完成安全防护。然而,在网络中,IP地址伪造、隐私泄露、中间人攻击、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、基于系统漏洞的攻击、未知威胁攻击等顽固安全问题依然层出不穷,基于外部系统和叠加技术实现的加密、隧道、感知等技术来实现安全防护功能越来越难,对持续产生的安全问题难以根治[2]。
为了从根本上提升网络的安全能力,内生安全可信成为未来网络5.0的关键需求。
3 网络5.0内生安全可信需求
网络5.0的广泛覆盖连接和可靠的网络能力,将使其进一步成为社会信息化的基础设施,实现真正的万物互联。网络5.0承载业务应用价值的提升,对受利益驱动的攻击者无疑具有更大的吸引力。海量连接、广域覆盖、低时延、高带宽等能力的提升,也为实施更大规模、更高强度的攻击提供了可能,网络5.0需要针对新业务应用场景、新技术提供更强的安全防护能力[3]。
网络5.0典型场景的安全风险和需求如下。
(1)泛在连接:当前网络发展正在从“人—人”互联向“物—物”互联以及“人—物”互联发展,全球连接数量将达到成百上千亿规模,网络的范围将从现在遍布大陆逐渐向海洋、天空甚至外太空发展,越来越多未知类型的业务资源可能会不断出现。泛在的连接创造了更多的攻击条件,可进行身份伪造的攻击点也愈发增多[4]。
(2)开放性:网络5.0打破了传统的安全防护边界,网络架构虚拟化、多种网络异构互联、技术体制多样化、数据跨域传输、多系统多协议栈融合、高并发访问、动态赋能、业务下沉到边缘侧,使得网络更加开放。网络的开放性使得网络信任关系发生了一定程度的变化,风险延伸至产业内或者异构域,通信端的身份更容易被仿冒,应加强对身份可信保障机制的考虑。
(3)终端异构:在网络5.0中,终端更加多样化,不仅要提升网络覆盖的广度,还要提升覆盖的连接密度,小数据包、低功耗、低成本、海量连接的终端便于大量部署。多样化、海量的终端更容易被攻击者利用或假冒。
(4)算力提升:未来网络中,为了有效实现数字世界与物理世界的交互,网络对算力的需求将持续提升。伴随算力提升,单位时间内的数据量也将持续提升,数据本地处理需求不断增多,导致各类攻击(包含因身份假冒而引发的攻击)将不断加剧。
在网络5.0的新型架构和融合业务场景下,网络的软硬件系统复杂,网络设备的安全暴露面增多,身份假冒、地址欺骗等多种安全风险也会更大。因此,新的网络体系需要确保网络设备的身份可信,确保网络设备在运行过程中的行为可预期,能够及时发现并上报异常行为。同时,可以通过唯一性标识的方法确保网络传输过程的完整性、保密性以及可追溯性。
4 网络5.0内生安全可信架构
基于网络5.0的应用场景、网络架构、网络特征的描述和分析,不难发现网络5.0的开放性、泛在连接等特性均从不同层面催生出新的安全需求。尤其网络5.0中存在海量多元的通信端设备,对于低功耗、低成本的弱终端,虽然提升了网络覆盖密度,但是设备本身的低配置也限制了其安全能力,如缺少防火墙功能,无法进行状态监控、异常行为上报、阻断等,且设备软件更新缓慢,用户及厂商通常无法及时发现或修复漏洞,进行安全加固,所以弱终端的身份真实性显得尤为重要,有效识别和检测终端将减少终端身份假冒带来的攻击。同时,网络5.0的算力提升、确定性时延等特性导致中间人攻击、DDoS攻击等攻击加剧。为了增强网络5.0内生防御能力设计,弥补网络架构、协议设计方面的不足,需要确保网络节点的身份真实性,提升端到端通信安全能力。
传统“补丁式”“保镖式”的安全设计模式缺乏内生安全的设计,存在结构僵化、“后知后觉”、缺乏协同等问题,堆叠、加固的安全架构依赖于先验知识的被动防护模式以及孤立防护的安全设备,难以满足多样化应用场景的泛在网络安全需求,严重制约网络5.0的发展与应用,成为融合、开放、智能的新型网络需求的负担和障碍。例如,虽然网络中采用了802.1X等终端接入认证技术,但并未将认证、地址分配和业务控制绑定,无法实现基于终端网络真实身份的控制;传输安全方面通常都是部分路径采用了加密传输,但在安全通道协商过程中仍然存在由于身份假冒导致的中间人攻击的风险,而且还增加了整个数据报文验证的开销。同时,现有网络采用的逐段检查机制也会在网络边界处存在身份假冒的安全隐患。
网络5.0是以网络为中心的新型网络,网络不仅是数据传输的通道,更是网络安全的能力中心,是网络安全的核心锚点。网络5.0构造了一套可信可行的安全防护体系,探索了更高效的安全技术路径,从身份、数据、网络等需求层面,进行了系统安全设计,实现了可设计、可度量、可演进的网络安全,从而满足了网络5.0的安全需求。
网络5.0内生安全可信体系架构如图1所示,在终端侧具备设备可信标识,确保网络设备的可信性。在终端接入网络时,根据终端的设备可信标识,进行网络地址和设备可信标识的绑定,在进行转发时,数据面可以基于设备可信标识和网络地址关联的可信过滤表进行检查,从而实现业务报文的可信安全控制。网络5.0内生安全可信体系结合“端—边—云”协同,建立网络传输通道的统一可信模型,实现了全过程可信验证与转发。从终端、路由节点以及服务端等多角色角度设计内生安全可信方案,实现全系统的可信保障。
图1 网络5.0内生安全可信体系架构
在这种机制下,作为网络安全的基础锚点,网络设备的可信身份标识携带了构建安全防护与行为预测的必要信息,支持安全架构的创建与管理;具备时效性与广泛的横纵向兼容性,并具备结构化、层次化的设计;同时在性能、可扩展性等诸多方面也能满足要求。网络设备基于设备可信标识,发起可信接入认证请求,而相关服务器则根据身份可信标识分配用户合法地址,并且将用户网络地址和设备可信标识进行关联,从而将设备可信标识引入到网络转发中。之后可信接入网关设备将基于接入控制列表,验证源地址的可信性,从而使非可信地址无法接入网络。在保证可信接入的基础上,通过基于可信标识的域间信任传递,实现不同运营商或者是运营商和企业网络之间的信任传递,从而实现整体网络通信的可信保障。同时,立足于全局视角的攻击主动防御技术,防患于未然,在网络受到攻击之前,提前识别异常的网络数据流量,缓解网络攻击造成的危害。最后,网络5.0中存在海量的轻量化终端,网络5.0使用轻量化的加密技术,在满足安全可信要求的前提下,降低终端在安全加密方的资源要求,实现增强级的身份认证和轻量级的能耗要求。
总而言之,网络5.0内生安全可信体系,以可信为基础,实现接入域的源地址真实性保障、服务域的服务防控和网络端到端的协同防护。
5 网络5.0内生安全可信架构关键技术
5.1 设备可信标识
传统的数据网络中,网络地址具有身份和位置二义性,存在信任难以管理、无法追溯审计等问题,网络5.0的网络架构专门将身份与位置分离,在数据包报头中增设设备可信标识来表征通信端身份,具有唯一性、防篡改、可追溯的特性,可以包含密钥参数、证书类型、用户标识、业务标识、终端标识、核心硬件串号等机密身份信息,并根据统一转化规则进行归一化处理。位置标识是路由寻址的基础,可以随着位置变化而变化。网络5.0中身份标识和位置标识的分离,可以有效防止地址欺骗和地址仿冒等网络攻击,也为网络5.0的可控制、可管理奠定了基础。
设备可信标识作为代表设备身份的可信凭证,必须通过安全的方式保存和处理。在设备侧,需要通过采用密码学技术的硬件芯片对标识进行存储和处理,或者采用其他方式确保标识信息不被篡改、窃取。设备可信身份标识可以在出厂时植入设备,设备也可以从可信安全服务平台(运营商、第三方安全组织、企业管理平台等)获取可信身份标识。企业终端可以从企业管理平台获取可信身份标识,再由企业管理平台与运营商或第三方安全组织等可信安全服务平台之间建立信任传递关系。
当设备用于首次接入时,有可能涉及第三方认证,具有设备可信标识的设备基于入网注册过程,可在无人工参与的情况下,实现自动化的设备入网注册,并自动获取新环境下的可信身份和相关配置。
5.2 可信网络接入认证
如图2所示,网络5.0安全架构支持终端设备从可信安全服务平台获取可信身份标识及相关配置后,实现基于可信认证的安全入网认证。基于入网注册阶段获取的可信身份标识,网络设备(如接入路由器)可对数据包进行真实性验证,如果不能通过验证,网络设备丢弃数据包;如果通过验证,便可以向动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)服务器请求相关配置,提升设备接入效率。
图2 网络5.0内生安全可信接入认证
接入路由器的DHCP服务器可以根据引入的设备可信标识,对设备可信标识和分配网络地址进行映射或绑定,从而实现从实体空间中的设备可信标识到网络空间中的可信网络地址的转变。
存储在设备的可信硬件中的设备可信标识,通过认证协议被携带到认证服务器,认证成功后,就建立基于身份的报文控制表,并阻止未经过认证就申请网络地址的非法用户;在网络地址生成时,与设备可信标识绑定,通过证明身份可信,进而证明终端用户设备可信。
具体步骤如下,用户设备连接到接入设备,接入设备通过验证、授权和记账(Authentication,Authorization,Accounting,AAA)客户端功能与认证服务器进行交互。
(1)用户设备发起认证请求,通过接入设备与认证服务器进行用户设备身份认证。认证服务器基于可信标识确定该用户设备采用传输层安全性(Transport Layer Security,TLS)协议认证后,启动并执行相关认证流程。与此同时,认证服务器获得用户设备可信标识。
(2)用户设备发送DHCP的Discovery报文,在报文中携带用户名、密码和用会话密钥加密的设备可信标识等。
(3)接入路由器,使用会话密钥解密接收的报文信息,进行用户信息的匹配。
(4)携带用户名、密码、设备可信标识通过加密隧道到认证服务器进行认证。
(5)认证通过。
(6)接入服务器回应DHCP Offer报文(分配网络地址使用会话密钥进行加密,并根据可信标识进行映射和绑定)。
(7)用户设备使用会话密钥解密DHCP Offer报文,并用分配的网络地址进行响应。
(8)接入服务器根据用户的设备可信标识查找地址分配信息:如果相同,则服务器端响应ACK报文,用户成功上线;如果不同,则服务器端回应NAK报文,用户重新发起Discovery请求 [5]。
用户上线期间,使用会话密钥,在用户设备和接入路由器之间进行数据加解密。
在网络5.0内生安全可信接入模式下,设备可信标识可以映射到设备可信网络地址中,并基于真实的设备可信标识及合法的设备网络地址生成增强控制表、可信过滤表,建立可信控制通道。
在考虑设备可信标识可能存在用户隐私信息泄露风险的情况下,也可以通过加密手段对可信身份标识进行加密后进行映射,或者映射后进行加密。
5.3 信任传递
信任传递是可信通信的重要基础。通过信任传递,可以认证通信数据的发送方、责任方、审计方,也可以使得原本没有直接信任关系的双方或者多方建立起信任关系,从而保障通信的可信。
信任传递的重要方式是基于可信标识。通过在报文当中携带可信标识,通信的相关方(如目的节点或者中间路由器等)通过对于可信标识的认证,可以验证通信数据的来源或者通信数据的责任方,进而信任数据报文或对其可信度进行评估。基于可信标识的信任传递体系如图3所示。
图3 网络5.0信任传递体系
在同一个可信域内,可以通过报文携带可信标识,审计和追溯数据报文的来源。在安全要求较低,且事先清楚全部网络节点都是可信的场景下,数据报文也可以不携带可信标识,以提升通信的效率。
在跨可信域通信的时候,通信的相关方可以通过传递报文中的可信标识,实现跨域的、间接的可信关系建立,形成一个可信链条。例如,对于需要跨域传输的网络流量,当数据包从源端发送后,源自治域的可信标识验证节点都会对其流出流量进行验证,保障其可信性,进而在报文中打上域间的可信标识。当域间流量到达目的自治域时,目的端的边界路由器根据域间共享的密钥,基于域间可信标识及信任传递对流入流量进行验证,从而让跨域传输流量的可信性通过信任传递得以保障,并保证可信标识的可验证、可追溯、不可篡改。
运营商网络之间的通信,一般都属于跨可信域通信,源域边界路由器对流出流量加上域标识,并采用对称密码学算法为域标识生成验证码,将两者随数据包携带,目的域边界路由器基于数据包携带的域标识及验证码信息对源域进行可信验证。如果验证通过,则说明数据包来自可信邻居域,按路由规则转发数据包,实现域间信任传递;如果验证不通过,说明数据包来自一个不信任邻居域,则丢弃数据包。
5.4 攻击主动防御
不同于传统网络“补丁式”修补的被动防御,网络5.0立足于全局视角,以设备可信标识为基础,在可信网络接入认证和信任传递的加持下,通过对安全防御的系统性考虑,做到了在不依赖于攻击先验知识的前提下,保证在应用被攻击之前能主动识别到异常的通信数据流,从而降低网络攻击造成的系统危害。
网络5.0攻击主动防御技术主要包含以下技术要求。
一是源地址真实性。传统网络中IP地址伪造、假冒等通常是网络攻击的前奏,网络5.0以设备可信标识为基础,通过对通信发起端设备的可信网络接入认证,以及轻量级的加密技术,加强了源地址真实性校验,使得网络通信的可信度从源头就得到了提升。
二是服务授权访问。在满足源地址真实性要求之后,端到端通信业务可以根据在可信接入认证中被赋予的访问级别和业务授权,通过轻量级的加密机制对合法报文进行识别,确保只有获得目的端认证和授权的可信终端才能对服务进行访问,从而实施服务可访问控制,阻止非法终端发起网络攻击。
三是近源防护。在满足可信网络接入认证和信任传递的基础上,网络5.0攻击主动防御可以在报文发起源和中间域入口等接近攻击者的位置检测数据报文的合法性,从而更加高效地阻断攻击,降低网络攻击对网络整体的影响。
四是数据防重放。网络5.0中,为了防止攻击者通过窃听、截取等方式获取到合法可验证信息进而发起重放攻击,可以借助轻量级加密技术,在可验证信息中添加时间校验子、序列号等动态信息,便于接入网关在用户设备发起业务流程时,及时对数据包基于动态信息实现重放报文的识别和控制,起到主动防御的作用。
五是兼容性。网络5.0的泛在连接和开放性特征,使得网络5.0中存在海量的异构终端和传统设备,因此攻击主动防御技术对传统终端、网络以及传输设备都会提供兼容性支持。
网络5.0攻击主动防御还从实时性、高效性和系统性这三个方面进行了安全可信的机制设计,从而提供全面系统的主动防御能力。在实时性方面,主要是依靠网络5.0网络本身,在接入域、传输域和目的域,为业务提供多点防御,实现近源防护。在高效性方面,依靠多点防御的近源特征,对攻击流高效阻断,减少了网络冲击,为网络5.0带来了精准高效低代价的攻击检测能力。在系统性方面,网络5.0的内生安全可信设计,使得主动攻击防御可以在网络整体上构建攻击防护方案,并且通过系统性的信任传递机制,全面立体地提供服务节点的可信可控防护能力。
5.5 轻量级加密技术
网络5.0中有大量的智慧家庭、智慧城市、车载网、工业控制网络等场景,这些场景往往需要部署轻量化终端,这些终端存在着技术栈异构、低成本、资源受限等特点,难以加载较强的自身安全防护能力。因此,网络5.0专门提出了轻量级加密认证技术,面向端到端认证,简化密钥协商参数、密钥派生与使用机制,通过双向单维无状态的会话复用机制,通过单侧维护状态,减轻另一侧的安全开销,在端到端传输过程中,引入分块传输的自适应验证机制,优化传输中的安全开销。
6 网络5.0内生安全可信实践总结
网络5.0内生安全可信通信样机已经在2023年年初在未来网络试验设施即中国网络创新试验环境(China Environment for Network Innovations,CENI)深圳分系统上开展了首发应用试验,在北京和南京两地跨域验证了源地址真实性和服务动态防控等技术(见图4)。试验表明,通过对现有算力网络设备进行软件升级,可有效防御地址假冒和非法算力访问导致的反射、泛洪、扫描类攻击,全面解决算力网络攻击问题。同时,无需额外部署专用安全设备,不会带来流量迂回和建设运营成本增加等问题,后续还将围绕轻量级安全可信技术、异构网络可信交互技术、工业互联网安全解决方案等方向开展进一步研究。
图4 网络5.0可信服务试验网架构
7 结束语
网络5.0作为面向未来的新型基础设施网络架构,内生安全可信是其主要能力特征,也是推动网络5.0发展的最大动力。本文对网络5.0内生安全可信体系进行了初步解读,介绍了该体系的系统架构和部分关键技术的实现方案。整个网络5.0内生安全可信体系仍在不断发展和完善中,后续还需要做进一步的研究和分析,更加清晰明确地将整个网络5.0内生安全可信体系呈现出来。
Endogenous security and trust architecture of Network 5.0
MA Zheng 1, YAN Xincheng 2, ZHOU Jihua 2, JIANG Lintao 3
(1. Research Institute of China United Network Communications Corporation Limited, Beijing 100048, China; 2. Security Platform Department, ZTE Corporation, Shenzhen 518057, China; 3. China Academy of Information and Communications Technology, Beijing 100191, China)
Abstract: Network 5.0 is a future-oriented data network communication architecture. One of the most basic features of this network architecture is the ability of ensuring endogenous security and trust. Based on this technical feature, this paper first discusses the current situation of network security threats and the shortcomings of traditional network security protection models. Then, it analyzes and sorts out the security requirements of major application scenarios of Network 5.0. It also proposes the security and trust architecture and implementation mechanism for Network 5.0, and discusses the typical key technologies for security of Network 5.0. Finally, it introduces the relevant practices carried out in the field of Network 5.0, and proposes suggestions for future research directions.
Keywords: Network 5.0; endogenous security; trusted access; trusted identity
本文刊于《信息通信技术与政策》2023年 第12期
声明:本文来自信息通信技术与政策,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。