未來網絡內生安全通信技術

閆新成/YAN Xincheng，周娜/ZHOU Na，蔣志紅/JIANG Zhihong

（1. 移動網絡和移動多媒體技術國家重點實驗室，中國 深圳 518055；2. 中興通訊股份有限公司，中國 深圳 518057 ）

1 未來網絡的安全挑戰

網絡的演進是一個開放性和動態性不斷增加的過程。5G/5G-A 面向醫療、交通、工業等領域，促進通信技術（CT）與信息技術（IT）/運營技術（OT）的融合；6G網絡與算力融合，嘗試對網絡服務進行感知，實現泛在的接入和服務訪問。未來的網絡除了要提供更快的傳輸速率、更精準的服務、更智能的連接外，還需要提供更安全可信的傳輸能力。這就不僅需要安全適應網絡，解決由開放性和靈活性所造成的安全問題[1]，還要使網絡具備內生的安全能力，基于網絡的新特性，更好地發揮網絡的安全潛能。

1.1 安全需求

隨著網絡的演進和發展，融合體系、通信模式和防護主體都發生了變化，這也促使了網絡安全架構的發展。

首先，新的網絡融合體系對傳統互聯網協議（IP）安全體系提出了挑戰。數字經濟發展需要云邊端協同的強大算力和廣泛覆蓋的網絡連接做支撐，算網融合已成為重要趨勢。算網融合衍生出新的網絡結構，但角色多樣泛在化、連接多變動態化、信任關系多元復雜化等特點為攻擊提供了更多的條件，這會嚴重加劇攻擊程度，因此需要人們重新審視算力網絡的安全防護架構與能力[2]。由于IP缺乏安全設計，未來網絡需要從架構上解決IP安全問題[3]。

其次，新的網絡通信模式對以網絡服務為主體的傳統防護模型提出了挑戰。園區生產網絡采用工業總線技術，經IP化改造后，將普遍采用L2/L3 層點對點（D2D）的通信模式[4-5]。由于傳統的OT網絡通信協議缺乏嚴格的權限管理和驗證機制，IP化改造后基于靜態配置的網絡訪問控制策略難以奏效，攻擊者可能會假冒合法用戶身份進行越權訪問[6]，并利用系統漏洞發起網絡攻擊。現有的IT 安全以保護客戶端-服務端（C-S）通信模式為主，難以解決OT局域網IP化后訪問不受控的問題。

最后，防護主體的變化對傳統孤立的防護模式提出了挑戰。協同制造使移動通信網絡與先進制造技術深度融合：園區內OT設備通過多種方式混合接入企業生產制造網絡，園區外不同企業間通過廣域網動態構建專網進行協同生產。園區內的局域應用向廣域化轉變，網絡風險由消費領域向產業領域持續滲透，這需要進行多信任主體間的協同防護。行業終端和邊緣節點因安全能力不足，也需要端到端地設計安全方案，提供多點多域的協同防護機制。由于網絡廣域互聯、攻擊各個層面容易擴散，海量異構節點存在安全能力差異，針對行業應用的惡意攻擊也將不斷增加[5]。

在網絡架構融合開放的發展趨勢下，傳統外掛式、補丁式的被動安全防御機制已無法有效支撐未來網絡安全性需求，因此需要基于網絡“內生安全”的理念去解決網絡安全問題[7-9]。目前業界對網絡內生安全的研究主要包括網絡通信的可信和網絡基礎設施的可信兩方面。本文中的研究主要聚焦于前者，簡稱為可信通信，即將安全功能作為基本要素耦合到體系結構中，在不借助外力（安全軟件、防火墻等）的情況下，實現對網絡通信的攻擊防范和內生安全保障[15]。

當前業界非常重視網絡內生安全技術研究[10]：科技部專項研究《1.3 內生安全支撐的新型網絡體系結構與關鍵技術》涵蓋了網絡體系結構內生安全機理、未知網絡攻擊免疫方法等內容；產業界也在近年來開展了IP網絡內生安全的研究，網絡5.0產業聯盟在《網絡5.0技術白皮書》[11]中提出網絡需要具備可信管理、可信接入以及可信路由能力等可信通信能力，并強調了抗網絡攻擊的網絡內生安全能力需求；全球標準組織積極研究和制定攻擊防御技術相關安全標準；運營商一致認同網絡安全可信的重要性，并針對攻擊問題提出內生安全能力需求。

1.2 網絡攻擊分析

網絡安全架構設計的目的是建立一個安全的網絡環境，保護網絡系統免受攻擊。要達成網絡可信通信的目標，需要先分析網絡攻擊。傳統的IP 網絡體系設計以設備間通信互聯為導向，難以在網絡層實現針對網絡攻擊的檢測控制。未來網的典型攻擊的特征和原理分析如表1所示。

▼表1 未來網絡典型攻擊分析

基于網絡業務安全需求和所面臨的攻擊風險的綜合分析，我們提出了未來網絡可信通信技術需求，如圖1 所示。為及時、高效、系統地實現可信通信，需要網絡盡早檢查終端源地址的真實性，并有效驗證終端用戶訪問應用的合法性，確保只有真實終端得到合法授權才能被允許訪問行業應用。與此同時，還應考慮跨域場景下的協同防護機制，針對報文重放攻擊的防范機制以及對傳統終端和網絡的兼容性方案，全方位、多角度增強系統安全可信通信能力。

▲圖1 未來網絡可信通信技術需求

2 可信通信的設計原則與技術體系

網絡可信通信（NISC）體系是專門針對未來網絡的關鍵安全需求及現有技術的缺陷而構建的。基于可信的網絡架構和IP 協議，NISC 應具備近源協同防護、無狀態隨路驗證等特征，無須依賴攻擊先驗知識，能及時、主動識別控制異常的通信數據流，減輕攻擊造成的系統危害。在設計可信通信機制時，為了提供體系化的可信通信能力，應考慮具有以下特性的安全防御機制：

1）實時性：借助網絡層為業務提供接入域、傳輸域、目的域等多點防范，盡可能實現自動化接入和靠近攻擊源的防護。

2）高效性：打造高效防御阻斷系統，減少業務沖擊，為未來網絡賦予高性價比、精準化攻擊檢測能力。

3）系統性：面向全系統構建攻擊防護方案，設計系統性的信任鏈傳遞機制，多維度、多層次、多位置提供服務節點可信可控防護機制。

基于上述設計原則，NISC技術具體應滿足下列要求：

1）源地址真實性要求。針對因IP地址假冒所引發的攻擊問題，需要對通信發起端的身份或標識，通過輕量化訪問控制技術、密碼算法技術進行真實性校驗。這樣能夠增強網絡業務通信的可信度，彌補端到端安全訪問能力方面存在的不足。

2）服務授權訪問要求。在地址真實性得以保障的基礎上，端到端通信業務應根據業務認證與訪問授權情況，借助密碼學機制識別合法報文并實施服務可訪問控制，確保業務獲取目的端的認證和授權，從而阻止網絡攻擊行為的發生。

3）協同防護要求。對于通信業務經過不同信任主體的情況，可以基于密鑰派生、認證信息共享等機制來實現安全域間的互信傳輸，并盡量在靠近報文發起源、目標域檢測數據報文的合法性，保障多信任主體場景的高效攻擊阻斷、端到端系統性防御。

4）報文抗重放要求。系統應基于時間校驗子、序列號等動態因子對重放報文進行輕量化主動識別和檢查，有效避免因非法截獲報文引起的重放攻擊。

5）兼容性要求。可信通信技術應對傳統終端、網絡以及傳輸設備提供兼容性支持。

圖2為NISC可信通信體系架構，包括控制面和轉發面，分別實現網絡可信身份和基于憑證的可信轉發。控制面負責用戶設備認證、業務授權、網絡可信身份生成、可信憑證分配等管理功能，并作為通信系統信任錨點，為轉發面源端身份可信檢驗及業務可訪問控制等提供驗證依據。轉發面基于控制面傳遞的可信憑證，負責全系統通信過程中的數據隨路識別、驗證和控制。通過控制面和轉發面的信任關聯，NISC 為未來網絡系統安全可信通信提供了系統性保障。

▲圖2 網絡可信通信體系架構

1）控制面包含目標域認證服務器、授權服務器、接入認證服務器等網元：

a）目標域認證服務器由企業或目的應用方部署，對用戶設備進行認證并生成驗證信息，實現自動化可信企業接入認證，為用戶設備安全接入企業應用提供保障。

b）授權服務器也由企業或目的應用方部署，基于細粒度的服務防控策略對成功認證的用戶進行服務訪問授權，并控制授權有效期，避免因永久授權造成的安全攻擊隱患。

c）接入認證服務器由接入網絡運營商部署，對用戶設備接入網絡進行認證，提供源地址真實性驗證和抗重放驗證依據。

2）轉發面除了用戶設備、應用以外，還包含接入網關、服務網關和路由器等傳輸節點：

a）接入網關所涉及的功能：用戶設備的地址真實性驗證；按照運營商或企業需求，針對業務的可訪問性執行授權、驗證和控制功能；提供通信流量的抗重放驗證，從近源端有效避免攻擊者因非法截獲或惡意構造報文所導致的重放威脅。

b）服務網關控制用戶對企業的訪問行為：識別并控制服務授權請求報文；按照運營商或企業需求，針對業務的可訪問性執行授權、驗證和控制功能。

c）路由器針對業務的可訪問性實現授權、驗證和控制功能：該項功能無須通信路徑中所有路由器參與，需要根據業務需求、運營商需求以及網絡能力在域邊界路由器上部署并啟動。

針對跨域通信的情況，除了在接入網關和服務網關執行數據流驗證功能以外，中間域也可在其邊界路由器部署、啟用數據流驗證功能，對域間發生的攻擊場景形成安全屏障，從而減輕目的端網關處理負擔。

面向業務的網絡層可信通信通過終端業務身份認證、服務授權、服務訪問控制機制全方位構建目標域可訪問能力，利用驗證信息的統一化生成、動態更新管理以及輕量化抗重放機制，為業務訪問提供高效的合法性驗證依據，增強網絡自身抵御攻擊的能力。同時，在網絡層面實現近源以及近目的的多點攻擊防范，及時阻止無合法訪問權限的真實地址用戶非法訪問業務行為，達成流量實時高效檢測控制的安全防護系統。

3 可信通信關鍵技術

網絡可信通信關鍵技術包括源地址真實性檢查、服務動態授權機制、跨域協同防護、重放攻擊主動檢測、終端兼容性，如圖3所示。

▲圖3 網絡可信通信的關鍵技術

3.1 源地址真實性檢查

傳統IP 網絡缺乏基本的安全性設計，因此仿冒源地址引發的攻擊層出不窮，而現有的可信通信技術驗證開銷大，保護機制不夠健全，難以滿足多樣化應用、海量終端的泛在網絡安全需求，因而需要考慮如何系統性地構建高效的業務真實源驗證安全機制[12]。

作為信息隱私保護的一種典型技術，基于對稱密鑰的驗證機制具有統一信任錨點，可以利用控制面集中生成或多方協商、派生出具有私密屬性的共享密鑰，具體如圖4 所示。統一信任錨點借助該共享密鑰對需要驗證的信息進行密碼學運算，生成相關的通信驗證憑證，再下發給報文發起端。發起端在每報文中攜帶通信驗證憑證。收到業務報文之后，轉發面驗證節點基于事先獲取的共享密鑰和報文中待驗證信息，利用與信任錨點一致的密碼學算法生成通信驗證憑證，以此對報文合法性進行識別和區分。相對于非對稱密鑰，對稱密鑰運算性能更好，可提供更高效的驗證和控制機制。

▲圖4 基于對稱密鑰的真實性驗證機制

在用戶設備接入網絡執行認證的過程中，接入認證服務器基于該設備的標識信息（ID）對用戶進行認證，采用散列消息認證碼（HMAC）算法，并根據共享密鑰生成驗證碼，之后再返回給用戶設備。經過地址可信分配后，用戶設備獲取含有設備標識的地址信息。在業務通信過程中，每數據報文將攜帶驗證碼信息，然后由接入網關根據事先獲得的共享密鑰以及報文中的標識和驗證碼信息執行用戶設備的源地址校驗。

基于業務源IP 的真實性控制機制提供了面向用戶可信身份的認證增強、基于密碼學的接入網驗證技術，避免因地址假冒引發的網絡攻擊、信息非法獲取等異常操作，實現用戶接入云網系統時的輕量化實時驗證和網絡安全可信傳輸。

3.2 服務動態授權機制

為了及時阻止未經許可的流量惡意注入，避免非法訪問對應用系統帶來的不利影響，在充分保證終端用戶源地址真實的同時，目標應用系統的可訪問性也應得到關注。端到端通信業務中如何確保終端用戶獲取目的端訪問授權、如何高效識別數據報文的合法與否等問題均值得深入研究[13]。

服務動態授權全方位構建了目標域鑒權、授權和網絡驗證機制。如圖5所示，服務端基于終端的信任度、應用系統資源占用情況、應用訪問控制列表等策略，對合法訪問應用的終端進行動態授權，并在數據轉發層面由網絡節點對其業務流量進行合法性驗證，及時阻止無合法訪問權限的真實地址用戶非法訪問業務的惡意行為，實現對應用系統的有效防護。服務動態授權利用驗證信息的統一化生成、一致性表達、動態更新管理機制，為用戶訪問業務提供高效的合法性驗證依據，構建流量實時高效檢測控制的安全防護系統。該機制兼具動態授權和無狀態過濾的優點，既能主動防范針對主機身份的網絡攻擊，又能有效抵御反射性攻擊、泛洪攻擊和中間人攻擊等各種分布式拒絕服務（DDoS）攻擊，增強了系統主動抵御攻擊的可信通信能力。

▲圖5 服務動態授權機制

3.3 跨域協同防護

在傳統防護模式中，當終端用戶訪問企業應用系統時，運營商網絡對用戶進行接入認證，并作為管道承載用戶與應用間的業務認證。當運營商網絡與企業應用系統處于不同信任域時，用戶和接入網絡、用戶和應用系統分別建立信任關系，獨立進行認證、授權和驗證。這種基于二元信任的攻擊防御模式[14]傳輸開銷大，驗證效率低。這種攻擊防御架構無法盡早在接入網絡對針對應用系統的攻擊進行近源檢測和防護，因此防護效果滯后，給應用側的防御系統帶來較大壓力。

跨域協同防護機制的工作原理如圖6 所示。該機制通過不同信任域間的信任協商，以運營商網絡為錨點派生出企業的驗證密鑰。以此為基礎，企業網絡在用戶業務認證時，派生出用戶的企業應用會話密鑰。終端用戶基于終端身份、企業身份及企業會話密鑰生成驗證碼，并在運營商網絡、企業網絡中對用戶訪問企業應用進行多點隨路驗證，以從近源端抵御對企業應用的攻擊。其中，密鑰派生和驗證碼生成機制如圖7所示。

▲圖6 跨域協同防護機制

▲圖7 密鑰派生和驗證碼生成機制

協同防護方法通過在不同信任域間建立信任協同機制，共享認證結果，協商信任憑證，構建基于用戶、網絡和應用的跨信任域協同防護和無狀態隨路驗證機制。一套憑證即可驗證用戶身份與訪問合法性，實現多點驗證、近源防護，提高了防護系統的實時性、高效性與系統性。

3.4 重放攻擊主動檢測

在可驗證信息中添加時間校驗子、序列號等動態信息，便于接入網關在用戶設備發起業務流程時，及時基于動態信息對數據包進行檢查與控制，有效抵御報文重放攻擊。

在如圖8 所示的重放攻擊主動檢測機制中，用戶設備向接入認證服務器發起接入認證請求。認證成功后，接入認證服務器為用戶設備分配終端密鑰和系統時間，接入網關記錄該系統時間，并結合網關本地時間計算、保存時間差。用戶設備根據系統時間和設備本地時間計算時間差。當發送報文時，用戶設備先根據時間差和設備本地時間生成時間校驗子，再根據獲取的終端密鑰、時間校驗子、序列號等生成校驗碼，最后發送數據包，包括校驗碼、時間校驗子和序列號等信息。接入網關接收到用戶設備發送的數據包后，根據保存的時間差和網關本地時間來確定系統時間，然后檢驗數據包中動態信息與校驗碼，以此識別、控制因重放攻擊引發的非法報文。

▲圖8 重放攻擊主動檢測機制

3.5 終端兼容性

未來網絡中海量終端、產業弱終端均為攻擊者提供了更多的攻擊條件，嚴重加劇攻擊程度，因此需要考慮終端兼容的可信通信機制，以減弱對性能差、安全能力不足或者傳統終端所造成的影響。在終端無須感知的情況下，可考慮由接入網關代替終端完成可信通信相關安全功能：一方面需驗證報文所經接入網關的真實可信；另一方面，對終端是否可訪問服務進行控制。

當終端經傳輸設備發出報文時，接入網關應確定待轉發數據報文的類型。如果是服務授權請求報文，則使用接入網關的密鑰對接入網關的信息進行密碼學計算并生成驗證值，這便于后續的傳輸設備對報文的源身份進行驗證。在保障身份真實性的基礎上，后續設備為該報文生成預授權，并轉發該報文。給用戶設備返回的服務授權響應報文應攜帶授權檢驗信息。接入網關代替用戶設備存儲相關的授權檢驗信息。如果傳輸設備確定待轉發的數據報文類型是服務請求報文，則對該報文添加存儲的授權檢驗信息。接入網關之后的傳輸設備對數據報文攜帶的授權檢驗信息進行驗證。若驗證通過，則轉發該數據報文。

4 技術應用實例

基于NISC 體系，中興通訊進行了原型研制，并在中國信息通信研究院的協助下，在未來網絡試驗設施（CENI）深圳分系統開展了源地址真實性和服務動態授權技術跨域試驗。

如圖9所示，在NISC技術試驗中，接入網關為用戶設備提供源地址真實性檢查功能，服務網關和授權服務器提供業務動態授權防御功能。整個系統利用認證服務器進行基于用戶設備標識的認證，實現自主式便捷身份可信認證；支持基于對稱密碼學的身份可信機制，實現增強型高效地址真實性驗證，以及面向應用業務的可信通信功能。經驗證，本防御體系可實時檢測并防范未認證用戶，非法地址終端導致的泛洪、反射、中間人、越權訪問等網絡攻擊，有效增強內生的系統性可信通信能力，實現未來云網系統的高效可信。通過對現有路由器和交換機等網絡設備進行軟件升級，可以有效防御絕大多數典型網絡攻擊，避免因額外部署流量清洗系統或防火墻等專用安全設備所帶來的網絡復雜、流量迂回和資本性支出（CAPEX）、運營成本（OPEX）增加等問題，可以在簡化網絡部署和運營的前提下實現網絡安全性能的提升。

▲圖9 網絡可信通信技術試驗

5 結束語

網絡安全已成為社會發展、國家安全的基礎需求。隨著未來網絡的不斷發展，基于先驗知識的被動防御模式已無法滿足新型信任關系下的安全需求。因此，本文分析了未來網絡面臨的安全挑戰，探討了網絡內生安全的技術要求和設計原則，提出了NISC 技術。該技術具備近源協同防護、無狀態隨路驗證等特征。未來，我們將繼續探索分布式服務授權和精細化防控方案，促進可信通信技術在實際應用中的發展，如服務感知網絡、園區生產網絡、協同制造網絡等。

致謝

本研究得到中興通訊股份有限公司譚斌、羅鑒、周繼華、宋琳、武天元等專家的幫助，在此表示感謝！