基于可編程技術的一體化內生安全架構設計

賈慧燕 陳振杰 王寶寶 王立昆

摘要：隨著數字化時代的發展，業務結構與業務需求的快速變化對網絡安全性的要求越來越高，現有的安全防護體系以外掛、被動的縱深防御體系為主，難以支持網絡和安全運維的智能化和自動化需求。分析了國內外內生安全的技術理念，結合新技術，新理念，創新地提出了基于可編程技術的一體化內生安全架構，利用SDN/P4的可編程優勢構建內生的網絡安全環境，達到協同聯動的內生安全的效能，提升體系化防御能力。

關鍵詞：縱深防御；內生安全；可編程

中圖分類號：TP文獻標志碼：A文章編號：1008-1739（2022）22-59-4

0引言

隨著數字經濟時代的到來，社會生產生活涉及到的信息安全幾乎包含了現代社會的各行各業和方方面面。業務和數據的安全性成了重中之重。并且伴隨著日趨復雜的國際環境，各國對網絡空間的競爭博弈日趨激烈，網絡空間安全日益與國家安全息息相關，網絡安全產業是否壯大已經成為衡量國家網絡安全綜合實力的重要標準。當前網絡的安全性主要依賴基于“補丁式”“外掛式”設計思想的防御方案，由于網絡設計的缺陷以及新技術的發展，現有的網絡雖然有可靠性設計，但這種方式是局部的和針對單點的，而不是徹底的和全面的。這種“局部整改”為主的安全建設模式，導致網絡本身缺乏抗攻擊能力，網絡與安全協同能力差。同時，隨著數字化時代的發展，業務結構與業務需求的快速變化將成為企業經營的常態，這就要求信息化系統不斷根據業務需求進行快速調整。而網絡環境瞬息萬變，安全與網絡策略必須能夠適應業務變化與威脅變化。因此，探索研究更有效的網絡安全新型防御體系，以內生安全的建設思想為指導，充分考慮安全問題，深植網絡安全能力，具有重大的現實意義。

1內生安全的理念

針對現有安全防護方法的缺陷，采取不同的技術發展內生安全，現在主流內生安全研究可以歸納為3種解決方案：

安全與網絡一體化設計（Design-In Security）：其設計理念為從網絡架構設計之初考慮安全，將安全作為網絡的DNA，從身份認證、網絡安全、平臺安全、數據安全以及業務安全等全方位構建端到端安全防護體系。其典型應用為網絡5.0技術中的內生安全架構[1]。

安全內嵌網絡（Built-In Security）：通過增強計算機系統、網絡設備內部的安全防范能力，使攻擊不可能發生。其典型應用為WIN-T嵌入式安全[2]、思科自防御網絡戰略[3]等。

本質安全（Native Security）：依靠網絡自身構造因素產生的安全功效，通過網絡隨機化/動態化/多樣化等手段實現安全的目標。其典型應用為移動目標防御MTD[4]、擬態防御[5]。

當前的縱深防御體系是邊界防御的進一步發展，在網絡系統上實施遞進、層次化的防御。其主要是以人、技術和運行維護作為信息保障的核心要素，在網絡基礎設施、網絡邊界、計算環境和支撐性基礎設施等信息系統重要區域部署安全措施；根據網絡的層次化體系結構，實施分層部署防護和檢測措施，形成層次化的安全配置，應對已知攻擊有較大把握，防范信息竊密有較強措施，防止系統癱瘓有一定能力[6]。

但是立足當前網絡空間安全發展現狀，網絡安全防御仍面臨嚴峻的形勢和挑戰：

①目前通信網絡安全防護建設仍然采用了“外掛式”附加安全設備的方式，安全功能靜態化，使用維護復雜、成本較高，同時安全設備的加入也引入了新的網絡開銷，對網絡攻擊的及時阻斷能力較弱，無法做到對近攻擊源的攻擊阻斷。因此將網絡與安全融為一體，實現協同聯動的主動防御，對于贏得網絡空間斗爭主動權具有重要的現實意義[7]。

②海量設備接入網絡，傳統安全防護體系面臨新的挑戰，同時隨著網絡技術從SDN控制面可編程到P4數據面靈活可編程地演進，用戶擺脫了網絡數據平面的束縛，能夠自上而下地定義數據包的完整處理流程，為安全機制內生于網絡數據面帶來新的機遇。

③由于數字化時代的發展要求，業務結構的多樣化，對通信業務體驗的追求也不斷提升。網絡故障的及時排除、服務質量端到端的保障、面向不同的業務需求、網絡安全策略的動態一致性調整等，都需要網絡和安全運維的智能化和自動化，當前網絡和安全分離的策略控制體制，已無法適應快速變化的業務需求。

因此，只有構建一張集網絡與安全一體的智能化網絡，利用SDN/P4的可編程優勢構建內生的網絡安全環境，實現架構、設備、運維的全方面簡化，推動網絡安全的全生命周期自動化，提高整個信息化系統環境控制的靈活性，提升體系化防御能力，變外掛為內生，變被動為主動，才能為未來網絡作戰提供強有力的后臺支撐。

2基于可編程技術的一體化內生安全架構設計

2.1可編程的網絡和安全一體化技術體系

借鑒SDN的軟件定義架構，瞄準在“數據轉發”“流量采集”“策略控制”等方面實現網絡與安全深度融合的SDN與安全一體化體系架構，如圖1所示，從邏輯上共分為4層：數據平面層、服務抽象層、控制平面層和應用層。

①數據平面層

主要包括一體化數據面可編程交換機。接受上層網絡安全監測一體化可編程控制器的控制，集成數據轉發、短狀態防火墻、低存儲非采樣流量統計測量以及基于INT的傳輸路徑測量等功能，并集成基于P4語言的FPGA可編程平臺，接收網絡安全監測一體化可編程控制器下發的策略，同時向網絡安全監測一體化可編程控制器上報測量結果。

②服務抽象層

服務抽象層實現對各類測量、安全和網絡等功能的基本信息、配置、策略、日志等接口的標準化，實現控制與數據的分離。

③控制平面層

控制平面層主要是網絡安全監測一體化可編程控制器。為應用層“數據轉發網絡與安全一體”集成一體化監控以及安全應用，提供網絡控制面編程接口，控制面與數據面配合完成防火墻、入侵檢測和抗DDoS攻擊等安全應用，實現安全與網絡轉發的融合嵌入，從而在網絡轉發時第一時間識別并阻斷異常事件；對應用層提供Restful和Web接口，實現各種采集測量功能的一體化，以及彈性伸縮和故障遷移等增值能力。

④應用層

基于控制平面提供的Restful接口，實現網絡和安全一體化編程。策略控制系統能夠自動提取與解析控制層的安全應用以及一體化監測應用、網絡安全監測一體化可編程控制器以及一體化數據面可編程交換機等的配置、策略、日志信息，形成全網安全拓撲，自動梳理及智能優化策略，自動分析與展示安全路徑及攻擊面，實現網絡和安全策略可視化以及全局策略一致性檢測與沖突智能消解。能夠根據任務需求，自動生成全局網絡安全策略，基于Restful編程接口統籌驅動內嵌安全應用的網絡安全監測一體化可編程控制器、一體化數據面可編程交換機等動態調整、部屬網絡和安全資源以及下發策略。具備數據路徑及攻擊面自動分析的能力。

2.2可編程的網絡和安全一體化融合框架

可編程的網絡和安全一體化融合框架如圖2所示。整個框架主要由一體化數據面可編程交換機、網絡安全監測一體化可編程控制器以及多級安全策略全局控制系統等組成。

①多級安全策略全局控制系統

多級安全策略全局控制系統是整個可編程的網絡和安全一體化融合框架的控制中心，它能夠根據用戶意圖自動生成編排策略，基于軟件定義方式統籌調度全網網絡和安全資源，以滿足面向特定任務網絡快速靈活規劃的需求，支持分級部署和管理，如圖3所示。該系統能夠實現全網網絡安全基礎架構的可視化，展示全網安全域劃分、安全域內網絡、安全設備節點、網絡邏輯連接關系和網絡安全訪問關系等信息。能夠根據下層一體化數據面可編程交換機、網絡安全監測一體化可編程控制器等上報的安全事件、安全態勢、安全資源、流信息、網絡資源、網絡拓撲、業務突發、丟包率和網絡時延等信息，實現全局網絡和安全策略的一致性檢測與沖突消解，能夠自動對特定流量在全網的數據路徑和攻擊面進行分析和預警。

②網絡安全監測一體化可編程控制器

網絡安全監測一體化可編程控制器，實現對可編程網絡、安全、監測資源的統一抽象，能夠編譯、解釋來自多級安全策略全局控制系統的網絡和安全策略模型程序（CNSPM），集成單通道狀態防火墻等安全應用以及路由錯誤等一體化監測應用，并通過一體化數據面可編程交換機提供的Restful接口，將具體策略下發到網絡和安全資源，同時接收一體化數據面可編程交換機上報的測量結果，網絡安全監測一體化可編程控制器集成的單通道狀態防火墻等安全應用以及路由錯誤等一體化監測應用根據測量結果進行判斷并采取操作，實現網絡和安全資源的統籌調度以及控制面與數據面的協作測量。另外，該控制器對上提供北向控制平面API，支持對全局策略和資源進行動態調整和控制，以實現網絡安全一體化的全局策略優化和部署。

③一體化數據面可編程交換機

該SDN交換機為協議無關轉發架構交換機，支持基于P4語言對數據面編程，集成交換芯片與FPGA結合的可編程平臺，通過與上層控制器協作，實現數據轉發的同時實現低存儲非采樣流量統計測量、短狀態防火墻以及基于INT的傳輸路徑測量等功能，通過編譯器加載相應P4程序到可編程平臺中實現一體化網絡安全測量。

2.3可編程的網絡和安全一體化編程模型

可編程的網絡和安全一體化編程模型如圖4所示。

具體描述如下：

①用戶或任務子系統基于多級安全策略全局控制系統的UI或Restful接口，輸入由“高級策略抽象圖”形式化描述的網絡和安全資源統籌編排模型。

②多級安全策略全局控制系統收到步驟①的意圖輸入后，基于本地策略庫、信息庫和知識庫等信息，對用戶/任務子系統的意圖進行智能分析，生成內部編排策略。

③多級安全策略全局控制系統的意圖翻譯模塊將內部編排策略翻譯為CNSPM程序。

④網絡安全監測一體化可編程控制器對CNSPM程序進行編譯和解釋執行，并通過下層提供的北向Restful接口，將具體策略下發到一體化數據面可編程交換機。

⑤一體化數據面可編程交換機對全流量進行采樣測量后，將測量結果上報給網絡安全監測一體化可編程控制器，控制器中生成的一體化監測應用以及安全應用根據測量結果向多級安全策略全局控制系統上報安全事件、安全態勢、安全資源、流信息、網絡資源、網絡拓撲、業務突發、丟包率和延遲等信息。

⑥多級安全策略全局控制系統根據這些信息更新本地策略庫和信息庫，自動分析數據路徑及攻擊面等，分析評估網絡與安全策略模型的執行情況，進行全局策略一致性檢測、沖突消解以及攻擊面自動分析等。

3結束語

基于可編程技術的一體化網絡安全模型借鑒SDN思想，在“數據轉發”“流量采集”“策略控制”等多方面實現網絡與安全功能的深度和高效融合，極大提高網絡和安全資源的集約化水平和管理運維水平，支持以軟件定義的方式根據用戶意圖實現對全局網絡和安全資源、策略的自動控制和優化部署，滿足由網絡、安全和業務變化引起的全網網絡安全基礎架構快速調整需求，實現網絡與安全能力的自適應提供。該架構能夠有效應用在下一代網絡體系設計中，在數據面、控制面和應用策略層全面提升網絡安全效能。

參考文獻

[1]網絡5.0產業和技術創新聯盟.網絡5.0技術白皮書[R/OL].（2019-06-20）[2022-08-14]. http：//www.doc88. com/ p-99229254578739.html.

[2] IBM.嵌入式安全子系統[EB/OL].[2022-08-14].http：//www. pc.ibm.com/us/security/index.html.

[3] Cisco.The Cisco Self-Defending Network[EB/OL].[2022-08-14].http：//www.cisco.com/en/US/netsol/ns340ns394/ ns171/ns413/networking_solutions_package.html.

[4] JAJODIA S， GHOSH A K， SWARUP V， et al. Moving Target Defense： Creating Asymmetric Uncertainty for Cyber Threats[M]. Berlin： Springer， 2011.

[5]鄔江興.擬態計算與擬態安全防御的原意和愿景[J].電信科學，2014，30（7）：2-7.

[6]孟丹，侯悅，于愛民，等.網絡空間內置式主動防御[M]北京：科學出版社，2021.

[7]郭麗紅，張謙，梅強，等.美軍信息通信系統發展研究[J].無線電通信技術，2017，43（3） ：13-20.