網絡空間公共基礎設施體系及安全策略研究

邱潔，韓瑞，魏志豐，王志洋

（1. 中國互聯網絡信息中心，北京 100190；2. 中國五洲工程設計集團有限公司，北京 100053）

1 引言

根據2021年2月中國互聯網絡信息中心發布的第47次《中國互聯網絡發展狀況統計報告》顯示，截至2020年12月，我國網民規模已達9.89億人，約占世界互聯網用戶總量的20%，互聯網普及率達70.4%，超出全球平均水平6.2%[1]。

網絡技術發展方面，基于IPv6的下一代互聯網極大提高了網絡的容量、效率、速度，推動了許多相關的技術創新，給各行業帶來了顛覆性影響[2-3]。國際發展環境方面，美國于2018年發布了《國家網絡戰略》，明確將投資5G網絡等下一代基礎設施[4]。日本于2019年發布《信息通信白皮書》，重點強調了將基于ICT的改革作為其建設數字經濟社會的核心內容，包括移動IP、5G等基礎設施建設內容[5]。歐盟于2019年正式啟動了新一輪“數字歐洲計劃”，以促進歐洲關鍵領域的數字基礎設施建設和發展[6]，并陸續發布了《歐洲新產業戰略》等強調網絡信息技術重要性的文件[7-8]。

面對網絡技術和國際環境的快速發展和變化，網絡空間面臨著諸多挑戰。一方面是網絡空間連接規模的挑戰[9]。根據2018年Gartner的預測，到2023年，全球物聯網連接設備的數量預計將增加至430億，各類物聯網設備將成為網絡空間的重要參與對象。另一方面是網絡空間治理相關的挑戰。隨著全球物聯網的建設和發展，從物理層、網絡層到應用層均需要在傳統互聯網的基礎上進行創新和提升，涉及物聯網設備、對象標識及網絡協議等領域。如何高效地構建兼容多種用戶類型、異構網絡協議、多樣化管理要求的智慧應用場景，以及如何開展支撐智慧應用場景的各類基礎設施管理更成為物聯網未來發展亟須解決的關鍵問題[10]。

與此同時，網絡安全的重要性日益突出。網絡安全不僅關系著網絡的日常運轉，更是國家安全的重要組成部分。各國雖然互聯網發展階段不同、面臨的現實挑戰不同，但應對網絡安全挑戰的述求是一致的，加強網絡空間治理的需求也是一致的。

傳統的網絡安全管理通常是指網絡空間中設備、系統、數據、應用等存在的安全問題。面向未來的網絡空間安全管理不僅需要包含上述的管理內容，更需要面對物聯網中新出現及未來可能出現的新要素和活動進行開放性的安全規劃和設計。以對象要素為切入點，綜合考慮網絡空間不同資源的本體安全、系統安全、數據安全、行為安全等方面需求，可以更好地支撐網絡空間公共基礎設施體系的設計。

本文從網絡空間載體、資源、主體和操作等網絡空間基本組成要素出發，充分借鑒城市公共基礎設施體系設計和管理的方法，重點針對網絡空間公共基礎設施的定義和體系構建進行研究，提出了一種與社會發展相適應的網絡空間公共基礎設施體系，并結合網絡空間公共基礎設施的安全發展需求，給出了相應的網絡對象管理和身份認證安全策略和方法建議。

2 網絡空間公共基礎設施及安全相關研究

以城市數字治理為背景，隨著網絡技術的快速發展和各類對象在網絡交往實踐中的積極參與，網絡空間已經作為一種新的社會空間形態，引起人們的廣泛關注。總體來看，網絡空間是一種社會空間的體現形式，網絡空間的構成是由各種社會力量相互作用而形成的，是現實社會的一種數字表現，其本質是一種社會物理空間的體現形式[11]。

研究人員針對網絡空間及公共基礎設施的概念展開了深入的研究工作，目前已形成較為普遍性的認可，但對于網絡空間公共基礎設施的概念及體系性研究尚不多見。同時，隨著物聯網的快速發展，傳統互聯網的信息安全體系同樣面臨著較大的安全風險挑戰，各國圍繞物聯網環境的發展相關的安全策略均在有序推進，尤其是圍繞網絡對象和身份管理的研究，網絡空間公共基礎設施作為重要的網絡對象也需要開展相應的研究工作。

2.1 圍繞網絡空間公共基礎設施的概念研究

2.1.1公共基礎設施的概念性研究

為了更好地分析公共基礎設施的概念，本文選取較為成熟的城市公共基礎設施進行參考性分析。在相關研究領域，被行業研究普遍認可的城市公共基礎設施釋義是基于世界銀行的城市基礎設施理論[12-13]：城市公共基礎設施應具有準公共物品特性。以公共基礎設施作為準公共物品的屬性特點為基礎，學術界從社會空間和組織的維度對公共基礎設施進行了定義，通常包含能源、給排水、道路交通、通信、生態環境和抗災6個方面。

在城市公共基礎設施的準公共產品定位的基礎上，文獻[14]提出，公共基礎設施是指出于公共目的而建立的，為生產、生活提供公共服務的，能夠起到促進社會經濟活動、改善生存環境、實現資源共享等作用的各種物質技術條件的總和。

因此，公共基礎設施作為所有社會活動和服務的生產所必不可少的要素可按照資源共享、對象的經濟活動和生存環境3個維度進行分類。

2.1.2網絡空間的概念性研究

文獻[15]較為全面地對網絡空間概念進行了定義，認為網絡空間是創造、存儲、調整、交換、共享、提取、使用和消除信息與分散的物質資源的全球動態領域。我國國家重點研發計劃“網絡空間測繪”中提出，網絡空間可被定義為是構建在信息通信技術基礎設施之上的一種人造空間，用以支撐人們在該空間中開展各類信息通信技術相關的真實活動[16]。

針對網絡空間的關鍵資源，國內有學者提出，網絡空間是“載體”“信息”“主體”等各類要素的總和，因此網絡空間資源不僅包括通信基礎設施、應用支撐系統等互聯網基礎設施實體資源，還包括承載在實體設施之上的內容信息、用戶信息等虛擬資源[17-18]。方濱興[19]進一步將網絡空間的組成要素分為4種類型：載體、信息、主體和操作。綜上所述，網絡空間的資源和組成要素主要包含載體、信息、主體、操作（創造、存儲、調整、交換、共享、提取、使用和消除等）等方面，其對于社會物理空間有促進作用。網絡空間的構成如圖1所示。

圖1 網絡空間的構成Figure 1 The composition of cyberspace

在明確了網絡空間的基礎構成后，進一步結合公共基礎設施的特征，可以有助于網絡空間公共基礎設施的概念分析和定義。本文通過社會物理空間?網絡空間的映射關系，從網絡空間的基礎資源、活動工具和生存環境3個方面進行類比分析。

2.2 圍繞網絡空間安全的關鍵技術研究

全球物聯網的快速發展對網絡安全的許多領域提出了挑戰。

一方面，物聯網設備和應用安全問題尤為突出。物聯網中的海量設備需要合理的安全管控機制，其運行和應用活動中會產生大量安全隱私數據，對異構網絡的攻擊防御問題更加重要。具體到物聯網安全接入和控制方面。指出了從互聯網到物聯網的轉變過程中可能會面臨的一系列安全問題，并重點強調了普遍存在的資源訪問控制問題，針對這些問題相關的安全對策包括：加密機制和密鑰管理、感知層鑒別機制、安全路由機制、訪問控制機制等[20]。有研究人員針對物聯網感知節點易遭受攻擊等物聯網安全問題展開了認證和評估方面的研究。目前針對物聯網安全認證和訪問控制方面的研究包含網絡對象的分級管理及基于網絡身份的層次化認證等方向[21]。

另一方面，關鍵信息基礎設施作為國家重要的網絡基礎設施，其安全受到各國的廣泛關注。各國紛紛提出相應的發展戰略，將其納入最高等級的安全保護范圍。但在此基礎上針對更通用范圍的公共基礎設施的安全管理機制和規范化研究尚未深入。

2.2.1網絡對象及身份管理相關技術

將分級分類的方法應用到網絡用戶管理中，對網絡身份的可信度及網絡身份服務提供商實行等級化管理，已逐漸成為網絡對象管理重要的實施方法。鄒凱等[22]提出的智慧城市信息安全風險影響因素體系框架（如圖2所示）中，將城市信息安全按照環境維度、邏輯維度和組織維度進行了分析。其中組織維度主要是針對網絡對象和訪問活動進行的分類分析，提出了組織對象的分類等級示例，明確不同的等級應進行不同的權限和活動管理。

圖2 智慧城市信息安全風險影響因素體系框架Figure 2 The framework of information security influencing factors system in smart city

國際標準化組織 ISO/IEC等較早開始了關于網絡身份管理相關的研究工作，并嘗試從風險角度對身份管理的可信等級進行規范，陸續發布了《實體鑒別保障框架》(ISO/IEC 29115-2013)[23]、《身份核驗規范》(ISO/IEC TS 29003:2018)[24]等標準。該系列標準面向電子商務等活動中的身份管理需求，重點針對身份鑒別過程中與實體身份相關的處理程序、管理活動和技術的可信度進行管理，將身份的可信程度分為3個等級（高、中、低），并規定了4個實體認證保障等別（一級、二級、三級、四級）。ISO/IEC網絡身份管理方案的突出特點是其面向的網絡管理對象不限于人、組織等傳統網絡用戶，還包含設備、軟件及應用等新的物聯網要素。此外，美國、英國等重點針對電子政務管理活動中的身份管理和認證需求相繼發布了相關的國家戰略[16]，亞洲各國以電子簽名應用技術為基礎，圍繞電子商務及政府活動中的認證服務陸續開展了相關標準規范的研究工作。相關執行情況如表1所示。

表1 網絡用戶分級管理情況Table 1 The level management of network users

基于網絡身份的層次化認證方面，在對無線傳感器網中基于身份的密碼體制（IBC，identitybased cryptography）的網絡身份認證方案優化的研究中，董發志等[25]結合無線傳感器網的特性，針對IBC中存在的密鑰托管、算法安全性等問題，提出了基于身份的分簇認證算法（IDC，

identity-based dynamic clustering authentication algorithm），這是一種分層分級處理，一次完成（解）簽密的網絡身份認證方法，能夠降低管理節點的計算量和存儲量。危蓉等[26]提出了采用層簇式密鑰管理方式進行無線傳感網絡會話密鑰的管理，該方法采用分層結構將各群體分為不同（區或層）的簇群，如將系統分為簇首層和內部層，由所在基站為每一個簇首統一編發ID號，再由簇首層管理下層節點的身份信息矩陣編號。在分層結構的基礎上，有針對性地采用了分級處理，針對簇首、普通節點的功能差異，采用兩種不同的公鑰生成算法。

在移動物聯網場景中，移動IPv6方案也可通過移動錨點來實現對移動節點（MN，mobile node）的分級認證管理。MN認證信息通常存放在家鄉網絡中，為優化MN的接入認證過程中與家鄉網絡認證服務器的頻繁交互過程，田野等[27]根據 IBC密碼方案的實現原理，提出了一種基于身份簽名的層次化認證機制，使用HIBS（hierarchical identity-based signature）機制替代傳統的基于公鑰證書的方式，采用分級的身份標識作為每個節點的公鑰。系統由一個根PKG（public key generator）、若干第1層PKG（mobility anchor points和home agent）和若干第2層用戶（access routers和MN等）組成。標識作為每個節點的公鑰進行使用，公鑰采用多級NAI（network accessidentifier）標識，第1層是PKG身份ID，第2層是用戶身份ID。通過采用分級的身份，該方法可以擴展到更多層的認證結構設計中。

此外，在區塊鏈技術結合網絡空間安全研究方面，張彬等[28]提出了基于智能合約的無線Mesh網絡安全架構，無線網絡架構被分為若干區域（如一個園區由多個企業或者一個企業由多個部門共同建立無線網絡），劃分區域的目的是便于分級管理，在每個區域內選擇較可靠的路由節點作為管理節點，它可以是一個管理節點或多個管理節點構成的管理鏈，在該管理節點上部署智能合約，管理所在區域內所有路由節點的公鑰，并實現公鑰更新和公鑰撤銷功能。所有節點共同建立一個聯盟合約，用于記錄所有管理節點地址及其上的智能合約地址。該無線網絡架構能夠較為靈活地實現特定區域內網絡服務安全性管理的拓展。

2.2.2 國家關鍵信息基礎設施安全機制

各國面向本國關鍵信息基礎設施的安全管理，提出了相關的安全管理戰略[29]。美國形成了相對完整的關鍵信息基礎設施安全政策和戰略，并隨著形勢的變化不斷進行優化調整[30]。歐盟制定了一系列政策，強調協調成員國加強關鍵基礎設施的網絡安全保護方面的重要性[31-32]。我國國家互聯網信息辦公室于2017發布《關鍵信息基礎設施安全保護條例》，明確了關鍵信息基礎設施的范圍和相關保護要求，并陸續展開了各類安全保護研究工作[33]，但針對更大范圍的公共基礎設施的安全管理機制和規范化研究尚未深入[34]。此外，關于網絡空間公共基礎設施的定義和安全管理方面，尚未有較成熟和統一的研究成果。

綜上所述，從國家關鍵信息技術設施到其他網絡基礎設施，均已開展系統的安全防護體系研究工作，本文重點從網絡空間公共基礎設施的管理視角出發，研究其系統定義和安全管理。圍繞關鍵的資源、結構和要素，對網絡空間的相關內容和定義進行類比分析，進而提出網絡空間公共基礎設施體系的架構和內容。同時，針對物聯網復雜異構環境帶來的網絡空間的安全問題，本文將公共基礎設施作為網絡空間內的典型和關鍵要素，重點從設施本身及服務對象的身份管理和認證等方面提出一些相應的策略和建議。

3 網絡空間公共基礎設施體系設計

3.1 基本構成

結合相關研究情況，通過社會物理空間?網絡空間的映射，可以從網絡空間的基礎資源、活動工具和生存環境3個方面進行類比分析，得出網絡空間公共基礎設施的基本構成，如圖3所示。

圖3 網絡空間公共基礎設施類比分析Figure 3 The analogical analysis of public infrastructure in cyberspace

其中，網絡空間的基礎資源主要指網絡空間中“載體”“信息”“主體”等各類要素的總和，因此可以將網絡資源進一步細分為標識資源、存儲資源、傳輸資源和計算資源。其中傳輸資源同時屬于網絡空間的活動工具。標識資源對應“主體”要素，相關基礎設施包含域名系統、IP系統、全聯網統一標識系統、工業互聯網標識系統等公共標識服務系統；存儲資源對應“信息”要素，相關基礎設施包含各級的數據中心、數據庫和數據平臺等；計算資源則可以類比為網絡空間的基礎能力資源，主要支撐對象的相關活動，相關基礎設施包含公共計算中心、各級計算節點、云計算中心、邊緣計算節點、智能終端等。

針對網絡空間的活動工具，主要是支撐信息在網絡空間中的“交換”“共享”和“使用”活動所需要的工具，對應的相關基礎設施主要是網絡通道和資源接口。其中網絡通道為傳統的互聯網通道，主要包含無線網絡和有線網絡通道兩方面。資源接口則主要包含數據接口和設備接口兩個部分，數據接口是通過統一平臺和相關的應用系統來實現采集接入，設備接口是通過相對統一的網關或網絡交換設備來實現。

針對網絡空間的環境要素，基于物理空間的公共基礎設施屬性分析方法，網絡空間的環境可以分為生態環境和安全環境兩方面，網絡空間的生態環境主要包含網絡輿論環境、數據環境、用戶環境等方面，安全環境方面結合能源互聯網的安全架構研究[35]，綜合參考GB/T 25070-2019《信息安全技術 網絡安全等級保護安全設計技術要求》及GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》中對網絡安全架構及安全保護對象的定義，主要包含資源層安全和服務層安全兩方面。其中，資源層安全主要對應網絡空間資源中的載體、信息和主體，保護對象為基礎信息網絡、物聯網、大數據資源、用戶身份/標識等；服務層安全主要對應網絡空間中的存儲、交換、共享、使用等操作活動，保護對象為操作系統、區塊鏈交易系統、云計算平臺/系統、大數據平臺/系統、工業控制系統、移動應用系統等網絡活動的支撐系統。為構建更高效的網絡空間運行環境，對于網絡空間內安全保護對象的具體保護要求還需要兼顧GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》中的等級保護要求（五級）進行設計。

3.2 概念定義

在網絡空間公共基礎設施的基本構成分析的基礎上，根據網絡空間的服務內容和屬性要求，可以將網絡空間公共基礎設施定義為：出于公共目的而建立的，為網絡空間內生產、生活提供公共服務的，能夠起到促進網絡空間數字經濟活動、改善網絡運行環境、實現網絡資源共享等作用的各種軟硬件設施及技術條件的總和，是維持網絡空間高效穩定運行的基礎。根據以上定義，可以對網絡空間公共基礎設施的內容進行識別，明確網絡空間公共基礎設施的范圍邊界。

3.3 關鍵特點

（1）準公共物品性

大部分網絡空間的公共基礎設施具有準公共物品性。一部分人對網絡空間內基礎設施資源的消費或使用不影響他人的消費或使用。

（2）服務社會的公共性

為網絡空間全范圍提供公共的、無處不在的基礎服務，供應對象全方位開放，供應能力按需配置。

（3）經營管理的準集中性

對于關鍵性的公共基礎設施進行高度集中化的管理，對于常規的公共基礎設施可以進行分層級分類型的準集中化管理。

（4）整體架構的系統性

所有網絡空間的公共基礎設施是一個完整的運行系統，資源、工具和環境要素相互之間通過數據或操作活動相互影響，并不斷循環優化和調整形成動態的網絡空間。

（5）配套建設的先行性和基礎性

網絡空間的公共基礎設施是國家網絡體系建設的先行和基礎工程，應充分考慮與5G、區塊鏈、人工智能等新一代網絡技術、前沿信息技術的兼容性和應用拓展性。

3.4 架構設計

網絡空間公共基礎設施服務和面向的空間為公共基礎空間，是維持網絡空間高效穩定運行的基礎，因此在建設模式和管理方式上具有一定的集中性。

在集中性管理基礎上，為提高設施運行及綜合管理效率，可參考關鍵信息基礎設施[36]及針對網絡用戶的分級管理方法，如從高到低的分區設計[37]，即管理要求等級最高的公共基礎設施為核心區（如關鍵基礎設施），服務于網絡空間公共服務、基礎經濟運行活動（如公共數據中心、數據庫、城市大腦等）的設施為公共區，面向其他網絡空間公共服務的基礎設施為更具靈活性的開放區。網絡空間公共基礎設施體系結構如圖4所示。

圖4 網絡空間公共基礎設施體系結構Figure 4 The architecture of public infrastructure system in cyberspace

（1）核心區

公共基礎設施中與國家安全密切相關的基礎設施可以納入國家關鍵信息基礎設施體系進行統籌考慮，在網絡空間管理角度該區域為網絡空間核心區，如國防、能源、交通、電信等行業的關鍵信息基礎設施。具體內容可以圍繞資源、環境和工具進行識別，目前已基本納入國家關鍵信息基礎設施的管理范疇，在具體執行方面需重點針對注冊和認證進行管控，因此在本文的體系架構中其注冊管理和認證權限也應為最高級。

（2）公共區

面向城市公共行業或網絡空間內基礎經濟運行活動而提供的基礎設施納入公共區管理范圍，其通常在特定區域內具有較強的公共服務屬性，在管理上通常由地方政府、行業主管部門或授權機構執行，因此注冊管理和認證須由相應級別的管理方授權進行，劃分為網絡空間公共區。

（3）開放區

公共基礎設施中具有部分公共基礎設施屬性或為網絡空間內部分對象提供其他各類基礎服務的基礎設施構成了網絡空間的開放區環境，該區域內的公共基礎設施通常呈現體量大、品類多的特點，因此考慮到實施效率等因素，該區域在建設模式和管理方式上可以更為靈活，注冊管理和認證也可以更為自主可控，如可以在分布式的終端管理節點進行。

為保障公共基礎設施穩定高效運營，底層需要由5G、全聯網（物聯網/工業互聯網）、下一代互聯網等新一代網絡技術，及區塊鏈、云計算、邊緣計算、人工智能等前沿信息技術提供全面的技術支撐。

3.5 發展目標

基于網絡空間公共基礎設施的分區規劃設計，能夠實現我國網絡建設和服務方面的提升。

（1）網絡建設方面

更開放：通過開放區為服務對象、服務范圍及未來技術發展提供更開放的接入環境和發展空間。

更經濟：通過對網絡空間公共基礎設施的統一規劃、統籌設計，提高設施在公共服務層面的使用效率，提高設施管理和維護的綜合效率。

更穩定：通過分區的公共基礎設施空間設計，保障核心區的關鍵網絡空間需求，有利于納入國家網絡空間發展的重要內容。

（2）網絡服務方面

更靈活：網絡空間公共基礎設施可以從對象的環境、工具和資源需求等方面進行效益評估和使用配置，提供更靈活的面向對象服務。

更高效：將網絡空間公共基礎設施進行集中式+分布式的網絡服務構架設計，能夠高效利用網絡空間內的各類已有基礎資源，實現兼容且不斷演進。

更安全：將網絡空間內具有公共屬性的工具和資源進行統一管理，并重點對對象的認證和訪問控制進行優化，有助于構建更加安全的網絡空間，實現健康的發展和利用。

4 網絡空間公共基礎設施安全策略研究

在網絡空間公共基礎設施體系安全環境建設中，既要注重管理政策的規劃引導，關注網絡空間公共基礎設施資源的安全共享機制建設，也要在技術上支撐資源共享活動/設備中的各類用戶管理、訪問控制等安全保障需求[38]。

目前針對我國信息化建設的信息系統安全等級保護相關標準規范是實施較為廣泛的網絡安全規范體系之一。《信息系統安全等級保護基本要求》（GB/T 22239-2008）、《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）明確的5個等級安全保護設計對不同等級的安全管理要求，主要從訪問控制、身份鑒別、標記、數據防篡改、系統可重置、審計、可信路徑/恢復等方面進行詳細的配置要求，如表2所示。其中，訪問控制、身份鑒別、標記等方面是重點圍繞主體用戶控制管理進行的內容設計。

表2 計算機信息系統安全保護等級劃分準則Table 2 The criteria for security protection level of computer information system

本文充分借鑒網絡空間安全相關研究工作基礎，以分級的對象管理和認證方法為切入點，提出了與網絡空間公共基礎設施體系相適應的用戶認證和訪問控制管理機制建議。

4.1 支持區塊鏈應用的層次化認證管理思路

《計算機信息系統安全保護等級劃分準則》將訪問控制分為自主訪問控制和強制訪問控制兩個層級。自主訪問控制是根據用戶指定方式進行授權用戶的訪問控制。強制訪問控制是為用戶主體和客體指定統一的敏感標記，該敏感標記是按等級進行的分類，任何訪問操作均需要與用戶和客體的等級匹配后方可進行訪問。

因此，針對現有的訪問控制架構進行優化時，可以利用區塊鏈技術在安全性、不可逆、不易篡改性和透明性等方面的優勢，在不同的訪問控制層采用區塊鏈的形式對認證控制（含身份認證和功能認證）服務系統進行組織。例如，頂級訪問控制層可以由各行業控制節點按照聯盟鏈結構進行組織，通過智能合約等方式保障信息的準確性，提高身份認證和訪問控制的權威性和安全性。

此外，根據實際應用需求還可以在對應層級進行管理節點和普通節點的綜合設計，選取某一個或多個服務節點作為管理節點，不同節點按照特定的共識機制和不同的公鑰生成/加密方法進行差異化管理。管理節點可以承擔用戶注冊和與上一層級進行認證的交互，以及在本區域內智能合約的管理。其他服務節點為普通節點，僅提供向下的用戶注冊認證管理服務。

因此，通過去中心化的服務模式可以提高層次化認證架構中身份管理和認證的效率。

4.2 基于區塊鏈架構的管理＋功能雙重認證機制

以認證管理架構設計為基礎，可以將網絡空間用戶主體和客體的概念拓展到公共基礎設施對象上。本文建議公共基礎設施以全面的訪問控制作為基本要求進行執行，將身份屬性驗證納入訪問控制消息范圍，并進一步將敏感標記的設計根據公共基礎設施的管理分配機制納入應用控制的認證機制中。例如，在接入認證方面，可以對核心區、公共區的公共基礎設施按照頂級、行業級和區域級進行設計；在訪問控制方面，考慮與區塊鏈及邊緣計算技術的結合，通過敏感標記的優化設計綜合考慮分級管理的訪問權限與城市規劃單元中的功能區?街區?地塊相結合的組合應用，設置3+3的管理控制和功能控制雙重認證機制。

在訪問控制管理方面，建議核心區設施由國家指定的業務部門或授權機構執行審核，稱為國家網絡安全的中心管理節點；公共區由相應的行業主管部門或授權機構執行審核，稱為對應的行業管理節點（如電力、電信管理部門等），管理節點可以進一步采用聯盟鏈的形式進行建設。在訪問應用服務時則通過識別敏感標記中的權限定義信息，將對應區內設施納入到區域級的功能節點進行管理，提高管理效率。網絡空間訪問控制管理架構如圖5所示。

進一步，可以將網絡空間公共基礎設施的訪問用戶按照相應的控制等級及標記要求進行分類對應。例如，核心區關鍵基礎設施的認證對應頂級訪問控制節點，其服務對應用戶敏感標記中相適應的功能節點。公共區基礎設施的管理對應行業控制節點及相應的功能節點，開放區對應區域自主訪問控制節點，用戶的高、中、低級也可分別與之對應，或者根據實際需求進行更細化的分類。

4.3 雙重認證訪問控制流程的相關說明

在層次化訪問控制設計框架下，對應級別的設施在進行注冊和維護管理時，需要向其所對應級別的管理節點進行申請和認證，在進行功能應用時需要向其對應的功能節點進行認證，層次化管理和去中心化服務模式能夠較好地滿足在服務效率和安全性方面的多重要求。

處于公共區的公共基礎設施在注冊時，需要依次向區域層及行業層提出申請，其交互流程如圖6所示。

圖6 用戶交互流程Figure 6 The process of user interaction

終端設施提出注冊申請后，區域控制功能節點向行業訪問控制管理節點申請核驗身份信息，核驗通過后，統一認證服務系統將為其生成唯一的網絡身份ID和敏感標記，并根據節點的類型和等級，采用矩陣運算或哈希函數運算等方法生成基于身份的公鑰信息，返回給終端及對應的功能控制節點。

用戶申請公共基礎設施的網絡連接和應用服務前，需獲得自身的網絡身份ID，其訪問某對象的申請流程為：獲得對應級別管理節點的身份認證和敏感標記信息，管理節點將其申請轉接對應功能節點的應用認證。例如，某電力公司管理員申請訪問城市大數據中心的某項環境監測系統信息，需要通過與城市大數據中心對應行業訪問控制節點的認證，并與區域節點進行功能認證后，方可進行網絡連接，用戶認證流程如圖7所示。

圖7 用戶認證流程Figure 7 The process of user authentication

用戶首先通過認證服務系統客戶端驗證和查詢對應的區域節點地址，根據反饋情況向區域功能節點發起認證申請，可以陸續基于其公鑰信息在區域自主控制功能節點及行業控制管理節點進行客戶端合約認證和認證服務系統側訪問認證等安全控制操作，并通過其敏感標記信息完成與訪問對象的區域功能節點的功能認證后，實現目標設備的訪問。

在上述管理模式的基礎上，公共基礎設施及用戶還可以通過統一的網絡空間身份編碼進行標識，將敏感標記中其對應的用戶身份級別和類型信息納入其中，也可以將該標識作為公鑰在身份認證過程中進行使用，以提高密鑰管理和身份認證過程的效率。

5 結束語

本文充分借鑒了城市公共基礎設施體系的相關理論和設計方法，分析了公共基礎設施作為準公共物品屬性，在網絡空間內的基礎資源、活動工具、運行環境等方面應該覆蓋的內容和邊界；明確了網絡空間公共基礎設施的內涵，并基于此提出了網絡空間公共基礎設施體系分區化管理的概念，在總體架構中按照核心區、公共區和開放區進行分區分層的設計。此外，本文從網絡空間安全管理的角度出發，重點針對網絡空間安全中的組織安全管理需求，在網絡空間公共基礎設施層次化管理架構和認證流程設計等方面提出了一些具體的組織方法和建議，具有較強的可實施性和應用拓展性。