毛玉欣+郝振武+江家仁

中圖分類號：TN929.5 文獻標志碼：A 文章編號：1009-6868 （2017） 03-0058-004

摘要：提出了一種基于身份和位置分離思想的網絡架構，確保用戶身份標識的真實可信，并在結構上將用戶和核心網絡隔離，屏蔽用戶側攻擊，提升了網絡的安全性能。認為基于身份標識的網絡安全管理應用可以提高網絡的攻擊源識別能力和溯源效率，實現(xiàn)主動防御；同時，這種虛擬身份和可信身份的綁定，既能豐富互聯(lián)網應用，又有助于實現(xiàn)網絡信息的分級保護，凈化網絡環(huán)境。

關鍵詞：可信身份網絡；身份標識；位置標識；網絡安全

Abstract： A network architecture based on separation of location and identity is proposed in this paper. Under the architecture， user identity is trusted， isolation between user side and core network side is achieved. Thus， network attack from user side is avoided， the security performance is promoted. Additionally， security management applications based on the architecture can both improve the capability of attack source identification and boost the efficiency of source tracing. Meanwhile， it can not only enrich internet applications， but also realize the hierarchical protection of network information to clean network environment.

Key words： trusted identity network； access identifier； router identifier； network security

近年來，網絡技術的不斷升級以及智能終端的迅猛發(fā)展帶動了移動互聯(lián)網的迅速普及，越來越多的人通過各種移動終端接入到互聯(lián)網，獲取網絡資源。中國互聯(lián)網絡信息中心（CNNIC）的一項調查顯示[1]，截止2014年，中國網民總體規(guī)模達到6.49億，其中使用移動終端的網民就達到5.57億，占比85.8%。移動互聯(lián)網已成為社會活動不可缺少的部分。

1 互聯(lián)網安全現(xiàn)狀和分析

快速發(fā)展的移動互聯(lián)網給人們的生產和生活帶來了便利，也產生了很多安全威脅。2014年有46.3%的用戶遭遇過網絡安全問題，其中病毒木馬入侵、賬號密碼被盜情況最為嚴重，分別達到26.7%和25.9%，網絡欺詐比例為12.6%[1]。一方面，人們的生活正變得越來越離不開網絡；另一方面，使用人群中認為網絡非常不安全或者不太安全的也已接近半數。在網絡發(fā)展和使用不可逆轉的形勢下，改善網絡安全，增強網絡可信性是一項具有重大意義且亟待解決的課題。

通過對眾多網絡安全事件的剖析，發(fā)現(xiàn)虛擬性和匿名性[2]是引發(fā)網絡安全威脅的重要因素。如今的互聯(lián)網已經構建了一個龐大的虛擬空間，現(xiàn)實社會中的很多活動都可在其中進行，例如，網絡購物、網上支付、網絡理財、網絡聊天等。這一系列活動都以匿名方式進行，通信雙方和通信設備都無法獲知對方的真實身份。匿名給網絡攻擊提供了廣泛空間，攻擊者可通過模擬他人虛擬身份進行信息竊取、詐騙，虛假言論傳播等活動，給社會經濟造成巨大損失，而網絡監(jiān)管機構對此尚缺乏及時有效的管理和控制手段。

網絡信息安全管理存在缺陷主要表現(xiàn)在：

（1）用戶在網絡活動中以多個身份存在[3]。在網絡層通常以IP標識身份，在應用層通常以不同的用戶名標識身份，各身份標識之間缺乏有效的統(tǒng)一和關聯(lián)。這種用戶身份標識的不唯一、不統(tǒng)一給管理帶來了巨大困難。依據網絡身份溯源用戶真實身份的鏈條極長，機制極其復雜。一旦有安全事件發(fā)生，管理者很難及時、準確地追溯到攻擊源。

（2）用戶身份標識可隨時改變或被篡改、偽裝，對身份標識缺乏有效約束。IP地址作為用戶在網絡層的身份標識可隨時間、地點、接入方式的變化而改變；用戶的賬號信息也能輕易被攻擊者注冊或仿冒，這就勢必造成管理主體模糊，加大了網絡監(jiān)管難度。對身份標識缺乏約束，降低了標識信息的真實性，從而可能導致對某些安全事件根本無法實施溯源[4]。

（3）網絡安全防御措施跟不上安全事件的發(fā)展[5]，對于網絡安全事件的防御始終處于被動狀態(tài)。一旦有新的攻擊方式出現(xiàn)，通常需要投入大量的人力、物力分析查找原因，升級軟硬件，防御成本過高。這種攻防成本不對稱的狀況助長了各種安全事件頻出，嚴重影響到網絡的可信性。

應對上述安全缺陷的一種方式是推行網絡實名制管理[6]。實踐表明現(xiàn)有的一些實名制管理方式仍然面臨一些難題。例如：通過用戶上傳身份登記信息的方式實現(xiàn)身份實名，這種方式獲取的身份信息真?zhèn)坞y辨，無法判斷用戶自身上傳的信息是否真實可信[7]。又或是在網絡內容提供商（ICP）側推行應用層實名制，這種實現(xiàn)方式通過ICP保存用戶真實身份信息，但ICP本身也難以保證安全可靠，容易發(fā)生信息泄漏[8]。另外由于業(yè)務種類和ICP數量眾多，且新業(yè)務和新ICP層出不窮，這給實名制的管理維護也帶來了很大困難。

2 基于標識的可信身份網絡

設計

2.1 IP地址語義過載

互聯(lián)網使用傳輸控制/網絡通信協(xié)議（TCP/IP），IP在其中承載了雙重語義[9-10]：一方面IP地址充當了主機身份標識，用于在通信過程表示會話的端點；另一方面IP地址又作為位置標識，在路由系統(tǒng)中被用于數據包的尋址轉發(fā)。這種雙重語義在互聯(lián)網使用之初并沒有產生安全問題，因為最初的互聯(lián)網是面向科學研究，而非商業(yè)應用設計的，設計者認為使用互聯(lián)網的終端是靜止的、安全的、可信任的[11]。但隨著互聯(lián)網被推向商業(yè)社會，移動人群成為網絡的主流使用者，互聯(lián)網使用場景發(fā)生了變化，而TCP/IP卻沒有發(fā)生本質改變。移動互聯(lián)網時代，IP地址作為位置標識，在用戶位置改變時也要隨之改變，否則無法進行數據包的正確路由；作為用戶身份屬性，又要求無論用戶位置怎么改變其IP地址保持不變[12]。IP雙重語義引發(fā)的矛盾隨之凸顯，用IP標識用戶身份屬性也變得不再可信。

2.2 可信身份網絡設計

針對IP集成身份和位置雙重屬性的缺陷，設計了一種基于身份和位置分離思想[13-14]的可信身份網絡。可信身份網絡將用戶的身份標識和位置標識分別用接入標識（AID）和路由標識（RID）表示，網絡從功能上抽象為接入服務節(jié)點（ASN）和身份位置寄存器（ILR）兩部分。AID和RID的作用如下：

（1）AID在用戶開戶過程中由網絡管理者根據用戶真實身份分配、管理，作為用戶接入網絡的身份標識。AID與用戶身份信息綁定，作為開戶信息保持不變。用戶接入網絡時，通過基礎網絡的認證機制實現(xiàn)用戶合法性認證后，才能被賦予對應的AID，以保證AID作為身份標識可信。

（2）RID用于標識用戶當前接入位置。在用戶初始接入網絡或者移動過程中，由為用戶接入服務的ASN為用戶分配和管理RID。當用戶從一個ASN移動到新的ASN接入時，需要由新的ASN重新為用戶分配新的接入位置標識RID。

可信身份網絡架構中，ILR用于記錄用戶的（AID，RID）映射關系。多個ILR構成映射網絡，集中管理網絡中所有用戶的映射關系。用戶初始接入網絡時，ASN需要生成映射關系（AID，RID），并將映射關系上報給ILR。用戶移動過程中一旦發(fā)生RID更新，需要及時通知ILR更新映射關系，以保證映射網絡中每個用戶的（AID，RID）映射關系都能表示用戶當前的接入位置。

可信身份網絡架構下的通信過程如圖1所示：

用戶在發(fā)生跨ASN的移動時，ILR需要及時更新用戶的映射關系。例如用戶1初始通過ASN1接入網絡，ASN1需要將用戶1的映射關系（AID1，RID1）上報給ILR。當用戶1從ASN1接入移動到ASN3接入，ASN3需要將用戶1的最新映射關系（AID1，RID3）上報給ILR，ILR用最新的映射關系替代原有的映射關系，并通知ASN1解除用戶1的映射關系。用戶1向用戶2發(fā)起通信，只需知道用戶2的身份標識AID2，而不需要知道用戶2的當前接入位置，即用戶1無論在什么位置，發(fā)送的報文始終以源地址AID1，目的地址AID2封裝。假設用戶1從ASN1移動到ASN3接入，并向用戶2發(fā)起通信，ASN3接收用戶1的報文后，通過向ILR查詢獲知用戶2的映射關系（AID2，RID2）。ASN3在上述報文外層用源地址RID3目的地址RID2進行封裝。此后，路由系統(tǒng)根據目的地址RID2將所述報文路由轉發(fā)至用戶2當前接入所使用的ASN2，ASN2將報文作解封裝處理后發(fā)送給用戶2。

上述通信過程中的數據包在核心網絡中根據RID進行路由，AID僅標識用戶身份，不參與路由過程。用戶只有通過合法性認證才被賦予對應AID，保證身份標識的可信?？尚派矸菥W絡中的身份標識由運營商集中管理維護，可應用于所有互聯(lián)網業(yè)務。在通信實現(xiàn)過程中，AID、RID可以繼承基于IP的路由編號機制，使身份信息不易被用戶感知。

2.3 可信身份網絡的安全優(yōu)勢

可信身份網絡將身份屬性和位置屬性作了徹底分離，在基礎網絡層面建立了統(tǒng)一的身份標識體系，一定程度上解決了傳統(tǒng)網絡長久面臨的安全隱患。如圖2所示，可信身份網絡安全模式主要體現(xiàn)在：

（1）身份標識唯一真實可信。網絡為用戶在全網范圍內分配唯一的身份標識，且在開戶過程中就將其與用戶身份信息進行強關聯(lián)。用戶經過合法性認證后，才可使用身份標識開展業(yè)務。身份標識的唯一性、真實性、防冒用、防篡改保證了用戶從事網絡活動時身份的可信性。

（2）AID和RID的作用域使得用戶和核心網絡形成邏輯隔離。身份標識作用于用戶和ASN之間的接入網絡，位置標識作用于各ASN組成的核心網絡。AID和RID作用域的區(qū)分實現(xiàn)了網絡拓撲對用戶的隱藏。用戶只能使用身份標識發(fā)起通信，無法獲知位置標識，這就使得用戶無法直接訪問中間網絡設備，避免了網絡設備遭受用戶側直接攻擊。

（3）通信過程中每個數據包都攜帶身份標識AID，便于網絡管理。可信身份網絡中的每個數據包都封裝有AID標識，且實現(xiàn)端到端傳遞。無論用戶的接入時間、地點等接入條件是否改變，數據包攜帶的AID都不會發(fā)生變化，因此一旦網絡設備發(fā)現(xiàn)惡意用戶的攻擊，就可根據AID對其實施有效阻止，而不會影響到網內的其他用戶，便于網絡實施主動防御。

可信身份網絡使用身份標識AID實現(xiàn)網絡實名制，如表1所示，與現(xiàn)有網絡實名制體系[15]比較，這種實現(xiàn)機制存在眾多優(yōu)勢。

3 基于可信身份網絡的

安全應用

圖3給出了基于可信身份標識的安全管理應用。在可信身份網絡架構下，用戶和ICP在申請接入網絡時，都需要進行實名驗證。網絡運營商根據用戶和ICP提交的身份信息，向監(jiān)管中心提請身份驗證。監(jiān)管中心可根據用戶或ICP的誠信檔案、身份信息等對其進行合法性驗證。驗證通過之后，通知網絡為用戶或ICP分配身份標識AID，網絡將分配給用戶或ICP的AID同時報送給監(jiān)管中心，在監(jiān)管中心實現(xiàn)用戶或ICP的身份信息和AID的關聯(lián)。由于可信身份網絡架構中的每個通信數據包都攜帶AID，因此可以基于AID對用戶和ICP的網絡行為進行管控。一旦發(fā)現(xiàn)有非法或可疑行為，網絡可根據AID進行及時阻斷，并可進一步根據AID進行跟蹤溯源。

基于可信身份標識AID可開展一系列安全管理和應用，以改善網絡安全性能：

（1）數據報文接收方可根據身份標識判斷信息來源的可信性。網絡管理者也可根據數據流中的身份標識對網絡行為、網絡內容進行快速溯源，對于非法行為進行及時阻斷，快速識別攻擊源，改進追溯機制，提高網絡安全管理效率，壓縮網絡攻擊的實施空間，扭轉攻防成本不對稱的局面。另外一旦發(fā)現(xiàn)惡意攻擊，可直接屏蔽AID標識對應的攻擊源，而無需對整個區(qū)域網絡實施阻斷，減少攻擊處理所帶來的負面影響。

（2）實現(xiàn)內容分級保護?？尚派矸輼俗R在網絡中是全程全網傳遞，運營商和ICP可根據身份標識識別用戶的身份、年齡等特征，實現(xiàn)基于身份標識的內容分級提供，為不同的社會群體提供不同的網絡信息，有利于建立網絡社會秩序，凈化網絡環(huán)境，避免未成年人遭受不良信息的侵害。

（3）虛擬身份和可信身份綁定，豐富互聯(lián)網應用。可信身份網絡架構要求用戶開展各種應用都需攜帶統(tǒng)一的身份標識，這不利于互聯(lián)網應用的發(fā)展，用戶可能也難以接受。通過虛擬身份和可信身份綁定，虛擬身份被用戶和ICP在應用層使用，數據傳輸仍然攜帶可信身份標識，這種實現(xiàn)一方面延續(xù)了現(xiàn)有互聯(lián)網應用的虛擬和開放性，使得用戶仍可使用不同的虛擬身份開展不同的應用，便于應用不斷豐富，另一方面數據包攜帶身份標識也便于網絡監(jiān)管。

4 結束語

傳統(tǒng)互聯(lián)網由于IP的名址二義性以及標識用戶IP地址不固定的特點，造成了難以識別網絡訪問主體，使得網絡始終處于易攻擊、難防控的被動局面。文章通過設計一種可信身份網絡架構，實現(xiàn)了名、址徹底分離，用戶身份固定，用戶和核心網絡邏輯隔離，從結構上屏蔽了用戶側直接攻擊，提升了網絡安全性能?；诠潭ㄉ矸輼俗R開展的安全管理應用，有助于提高攻擊源的快速識別能力和溯源效率?？尚派矸菥W絡架構從技術手段上為網絡安全提供保障，同時也為互聯(lián)網應用的不斷發(fā)展豐富提供了安全可靠的網絡環(huán)境。

參考文獻

[1] 中國互聯(lián)網絡信息中心. 第35次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告[R/OL]. http：//cnnic.cn/hlwfzyj/hlwxzbg/

[2] 張再云，魏剛. 網絡匿名性問題初探[J]. 重慶社會科學， 2003， 32（2）：76-78

[3] 陳劍勇，吳桂華. 身份管理技術及其發(fā)展趨勢[J]. 電信科學， 2009， 25（2）：35-40

[4] 陳周國，蒲石，祝世雄. 匿名網絡追蹤溯源綜述[J]. 計算機研究與發(fā)展， 2012， 49（增刊）：111-117

[5] 伏曉，蔡圣聞，謝立. 網絡安全管理技術研究[J]. 計算機科學， 2009， 36（2）：15-19

[6] 高榮林. 網絡實名制可行性探討[J]. 前沿， 2010， 269（15）：74-76

[7] 陳兵，鄒翔，周國勇. 網絡身份管理發(fā)展趨勢研究[J]. 信息網絡安全， 2011， （3）：5-8

[8] 史亮，莊毅. 一種定量的網絡安全風險評估系統(tǒng)模型[J]. 計算機工程與應用， 2007， 43（18）：146-149

[9] 張宏科，蘇偉. 新網絡體系基礎研究—一體化網絡與普適服務[J]. 電子學報， 2007， 35（4）：593-598

[10] YAN Z， ZHOU H， ZHANG H. A Novel Mobility Management Mechanism Based on an Efficient Locator/ID Separation Scheme[C]// First International Conference on Future Information Networks. USA： IEEE， 2009：11-16. DOI：10.1109/ICFIN.2009.5339610

[11] 吳強，江華，符濤. 移動互聯(lián)網Naming網絡技術發(fā)展[J]. 電信科學， 2011， 27（4）：73-78

[12] 許東曉，蔣鈴鴿. 一種新型的位置標識與身份標識分離方法[J]. 計算機應用與軟件， 2010， 27（2）：233-236

[13] MOSKOWITZ R， NIKANDER P， JOKELA P， et al. Host Identity Protocol： IETF RFC 5201[S]. April， 2008

[14] KAFLE V P， OTUSUKL H， INOUE M. An ID/Locator Split Architecture for Future Networks[J]. IEEE Communications Magazine， 2010， 48（2）：138-144. DOI：10.1109/MCOM.2010.5402677

[15] 馬丁，李丹. 網絡"實名認證，網名上網"技術研究[J]. 通信技術， 2014， 47（1）：91-96