邱修峰++劉建偉++王敏++章銀娥

摘 要：傳統(tǒng)互聯(lián)網(wǎng)體系結(jié)構(gòu)初始設(shè)計(jì)未考慮內(nèi)置安全性能，導(dǎo)致當(dāng)前互聯(lián)網(wǎng)安全問(wèn)題難以從根本上解決，因此內(nèi)置安全性成為未來(lái)互聯(lián)網(wǎng)體系結(jié)構(gòu)基本目標(biāo)之一。論文為未來(lái)互聯(lián)網(wǎng)的核心層即網(wǎng)際層設(shè)計(jì)了一種安全管控架構(gòu)，架構(gòu)由管理面、控制面和數(shù)據(jù)面三個(gè)層級(jí)的安全功能組合構(gòu)成。分析表明，該架構(gòu)可為未來(lái)互聯(lián)網(wǎng)提供內(nèi)置多級(jí)別多粒度安全性。

關(guān)鍵詞：未來(lái)互聯(lián)網(wǎng)；安全管控架構(gòu)；多級(jí)別多粒度安全實(shí)體

中圖分類(lèi)號(hào)： TP 309 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

初始互聯(lián)網(wǎng)默認(rèn)處于一個(gè)可信環(huán)境中，所以其設(shè)計(jì)之初并未考慮安全問(wèn)題。但隨著互聯(lián)網(wǎng)社會(huì)化、商業(yè)化和民用化的深入以及各種網(wǎng)絡(luò)通信技術(shù)的發(fā)展，當(dāng)前互聯(lián)網(wǎng)多樣化和差異化的網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)硬件和軟件系統(tǒng)處于不可信異構(gòu)環(huán)境中，網(wǎng)絡(luò)安全問(wèn)題成為互聯(lián)網(wǎng)研究和設(shè)計(jì)人員不可避免的挑戰(zhàn)。個(gè)人隱私信息、企業(yè)和國(guó)家機(jī)密信息泄露等網(wǎng)絡(luò)安全事件層出不窮。過(guò)去解決網(wǎng)絡(luò)安全問(wèn)題采用方法都是零散式修補(bǔ)式的，數(shù)十年的積累導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)越來(lái)越復(fù)雜，出現(xiàn)更多新問(wèn)題，表明互聯(lián)網(wǎng)發(fā)展方向采用漸進(jìn)式的改良演化路線值得反思，必須從根本上重新分析互聯(lián)網(wǎng)設(shè)計(jì)問(wèn)題[1，2]。國(guó)內(nèi)外研究人員和機(jī)構(gòu)已展開(kāi)各種項(xiàng)目試圖改進(jìn)或重新設(shè)計(jì)未來(lái)互聯(lián)網(wǎng)，來(lái)取代當(dāng)前互聯(lián)網(wǎng)以應(yīng)對(duì)現(xiàn)在和未來(lái)網(wǎng)絡(luò)應(yīng)用和服務(wù)多樣化差異化安全需求。

RFC1287[2]指出根據(jù)經(jīng)驗(yàn)除非開(kāi)始將安全內(nèi)置在體系結(jié)構(gòu)中，否則很難再將安全性添加到協(xié)議棧，因此構(gòu)建內(nèi)置安全性的體系結(jié)構(gòu)是未來(lái)互聯(lián)網(wǎng)基本問(wèn)題。網(wǎng)際互聯(lián)是未來(lái)互聯(lián)網(wǎng)必須提供的核心功能，假設(shè)未來(lái)互聯(lián)網(wǎng)網(wǎng)際互聯(lián)核心層命名為網(wǎng)際層，本文為此網(wǎng)際層設(shè)計(jì)了一種安全管控架構(gòu)，目標(biāo)是實(shí)現(xiàn)未來(lái)互聯(lián)網(wǎng)體系結(jié)構(gòu)內(nèi)置多粒度多級(jí)別安全性，以滿足未來(lái)網(wǎng)絡(luò)差異化多樣化安全需求。

2 相關(guān)工作

傳統(tǒng)TCP/IP體系結(jié)構(gòu)初始并未考慮安全問(wèn)題，后來(lái)在發(fā)展過(guò)程中補(bǔ)丁式地為網(wǎng)際層設(shè)計(jì)了IPsec協(xié)議，傳輸層設(shè)計(jì)了SSL/TLS協(xié)議，以及多種應(yīng)用層安全協(xié)議，主要解決網(wǎng)絡(luò)通信中的身份認(rèn)證、數(shù)據(jù)完整性和機(jī)密性問(wèn)題。

AKARI[3]設(shè)計(jì)的新一代網(wǎng)絡(luò)安全通用架構(gòu)[3]描述了數(shù)據(jù)面和控制面中三個(gè)層面的安全需求，包括網(wǎng)絡(luò)服務(wù)安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的安全需求。網(wǎng)絡(luò)安全服務(wù)包括隱私、機(jī)密性、完整性、不可否認(rèn)性、身份管理和身份驗(yàn)證，還包括可恢復(fù)性、可審計(jì)性、訪問(wèn)控制和授權(quán)等。ISO 7498-2-1989[4]是闡述OSI參考模型安全體系結(jié)構(gòu)的權(quán)威性文獻(xiàn)，提出設(shè)計(jì)安全信息系統(tǒng)的基礎(chǔ)架構(gòu)中應(yīng)該包含五類(lèi)安全服務(wù)（認(rèn)證、訪問(wèn)控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和抗抵賴性）來(lái)保障網(wǎng)絡(luò)通信的（靜態(tài)）安全。

P2DR2信息安全模型[5]的安全策略、安全防護(hù)、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)機(jī)制共同構(gòu)建完整安全體系來(lái)保障網(wǎng)絡(luò)信息通信的（動(dòng)態(tài)）安全。Gartner提出一種自適應(yīng)防護(hù)架構(gòu)[6]具有預(yù)測(cè)、防御、檢測(cè)和回溯等安全功能，指出安全思維必須根本性切換，網(wǎng)絡(luò)安全解決方案必須從“應(yīng)急響應(yīng)”改變?yōu)椤俺掷m(xù)響應(yīng)”。

3 問(wèn)題提出

設(shè)計(jì)內(nèi)置安全性的未來(lái)互聯(lián)網(wǎng)體系結(jié)構(gòu)是保障未來(lái)網(wǎng)絡(luò)安全基本的挑戰(zhàn)之一。未考慮安全設(shè)計(jì)的初始TCP/IP體系結(jié)構(gòu)導(dǎo)致當(dāng)前互聯(lián)網(wǎng)安全問(wèn)題從根本上難以得到解決。本文為未來(lái)互聯(lián)網(wǎng)的核心層-網(wǎng)際層設(shè)計(jì)安全架構(gòu)內(nèi)嵌在網(wǎng)絡(luò)體系結(jié)構(gòu)中，實(shí)現(xiàn)未來(lái)互聯(lián)網(wǎng)的內(nèi)置安全性，從根本上為未來(lái)網(wǎng)絡(luò)安全提供解決方案。

參考傳統(tǒng)路由器和新型網(wǎng)絡(luò)架構(gòu)SDN[7]設(shè)計(jì)的理念，本文將未來(lái)互聯(lián)網(wǎng)網(wǎng)際層分為管理面、控制面和數(shù)據(jù)面三個(gè)層級(jí)，三個(gè)層面的安全功能相互協(xié)作。

（1）提供認(rèn)證、訪問(wèn)控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和抗抵賴性5類(lèi)服務(wù)來(lái)保障網(wǎng)絡(luò)通信的靜態(tài)安全。

（2）構(gòu)建安全預(yù)測(cè)、安全防護(hù)、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)機(jī)制來(lái)保障網(wǎng)絡(luò)通信的動(dòng)態(tài)安全。

4 未來(lái)互聯(lián)網(wǎng)網(wǎng)際層安全管控架構(gòu)

本節(jié)將網(wǎng)絡(luò)實(shí)體劃分為多種粒度和安全級(jí)別，然后為未來(lái)互聯(lián)網(wǎng)網(wǎng)際層設(shè)計(jì)了一個(gè)安全管控架構(gòu)模型，并描述若干安全管控場(chǎng)景構(gòu)建過(guò)程分析其可行性。

4.1 多粒度多級(jí)別安全實(shí)體

網(wǎng)絡(luò)實(shí)體可分為三大類(lèi)：網(wǎng)絡(luò)、數(shù)據(jù)（或內(nèi)容/信息）和用戶。網(wǎng)絡(luò)類(lèi)實(shí)體包括域/子域、網(wǎng)絡(luò)節(jié)點(diǎn)/終端節(jié)點(diǎn)/中間節(jié)點(diǎn)、服務(wù)/應(yīng)用程序等。因此整個(gè)網(wǎng)絡(luò)體系的實(shí)體可劃分為域/子域、網(wǎng)絡(luò)節(jié)點(diǎn)/終端節(jié)點(diǎn)/中間節(jié)點(diǎn)、服務(wù)/應(yīng)用程序、數(shù)據(jù)/內(nèi)容和用戶多種粒度。所有網(wǎng)絡(luò)實(shí)體可以依據(jù)文獻(xiàn)[8]等劃分為五種安全級(jí)別的實(shí)體和不含安全屬性的普通實(shí)體，如1-5級(jí)安全域或網(wǎng)絡(luò)節(jié)點(diǎn)和普通域或普通網(wǎng)絡(luò)節(jié)點(diǎn)等。安全級(jí)別越高實(shí)體安全性越高。所有數(shù)據(jù)/內(nèi)容可以依據(jù)文獻(xiàn)[9]等劃分為五種機(jī)密性級(jí)別不同的數(shù)據(jù)/內(nèi)容和不含機(jī)密的普通數(shù)據(jù)。所有用戶可根據(jù)其生成和訪問(wèn)的數(shù)據(jù)與網(wǎng)絡(luò)相應(yīng)劃分為1-5級(jí)安全機(jī)密用戶和普通用戶。不同級(jí)別安全需采用不同級(jí)別的密碼算法支撐實(shí)現(xiàn)。密碼算法強(qiáng)度對(duì)應(yīng)劃分1-5級(jí)，參考NIST有關(guān)密鑰管理的建議[10]。

4.2 架構(gòu)設(shè)計(jì)

為滿足不同機(jī)密安全級(jí)別用戶的差異化多樣化安全需求，在網(wǎng)絡(luò)安全管控方面的設(shè)計(jì)目標(biāo)是內(nèi)置多粒度多級(jí)別安全性。本文在未來(lái)網(wǎng)絡(luò)互聯(lián)核心層即網(wǎng)際層設(shè)計(jì)了一種安全管控架構(gòu)模型如圖1所示，模型由松耦合的管理面、控制面和數(shù)據(jù)面三個(gè)層面組成，各層有關(guān)安全方面的功能描述有幾種。

4.2.1 數(shù)據(jù)面安全功能

數(shù)據(jù)面是各種安全規(guī)則的實(shí)施者，依據(jù)控制面發(fā)送的安全規(guī)則負(fù)責(zé)不同類(lèi)型分組的安全發(fā)送、轉(zhuǎn)發(fā)與接收和收集安全狀態(tài)信息并反饋給控制層，需提供幾項(xiàng)基本安全服務(wù)功能。

（a）多粒度多級(jí)別安全身份認(rèn)證和簽名。收到分組時(shí)依據(jù)分組首部攜帶的安全需求字段和分組發(fā)送者ID的編碼以及節(jié)點(diǎn)本身的安全策略，對(duì)分組進(jìn)行域/節(jié)點(diǎn)/服務(wù)/用戶的1-5級(jí)安全多粒度多級(jí)別的身份認(rèn)證；收到分組時(shí)依據(jù)分組首部攜帶的安全需求字段以及節(jié)點(diǎn)本身的安全和管控策略，用節(jié)點(diǎn)自身的私鑰對(duì)分組信息直接或預(yù)處理后進(jìn)行1-5級(jí)的簽名（抗轉(zhuǎn)發(fā)抵賴）。endprint

（b）多粒度多級(jí)別數(shù)據(jù)加密/解密。收到分組時(shí)依據(jù)分組首部攜帶的安全需求字段和分組發(fā)送者ID的編碼以及節(jié)點(diǎn)本身的安全策略，對(duì)分組進(jìn)行域/節(jié)點(diǎn)等粒度的1-5級(jí)安全級(jí)別的加密或解密。

（c）多粒度多級(jí)別數(shù)據(jù)完整性檢測(cè)碼生成和驗(yàn)證。收到分組時(shí)依據(jù)首部攜帶的安全需求字段和分組發(fā)送者ID編碼以及節(jié)點(diǎn)本身安全策略，對(duì)分組進(jìn)行域/節(jié)點(diǎn)等粒度1-5級(jí)安全級(jí)別數(shù)據(jù)完整性檢測(cè)碼生成和驗(yàn)證。

（d）多粒度多級(jí)別安全和異常探測(cè)與處理。收到分組時(shí)依據(jù)分組首部攜帶的安全需求字段、分組發(fā)送者ID編碼和分組接收者ID編碼以及節(jié)點(diǎn)本身的安全策略，對(duì)分組進(jìn)行域/節(jié)點(diǎn)/服務(wù)/用戶/內(nèi)容等粒度的1-5級(jí)安全級(jí)別的分組安全過(guò)濾處理；當(dāng)出現(xiàn)任何粒度任何級(jí)別的安全異常事件（如身份認(rèn)證或完整性檢測(cè)異常等），依據(jù)安全策略將安全異常事件向控制面報(bào)告并進(jìn)行應(yīng)急或持續(xù)監(jiān)控處理（如丟棄分組、生成安全日志、將分組轉(zhuǎn)發(fā)至入侵檢測(cè)系統(tǒng)、生成錯(cuò)誤和異常響應(yīng)分組并發(fā)送給鄰居節(jié)點(diǎn)或原分組發(fā)送者或域管控服務(wù)器）；其他安全有關(guān)的分組信息處理；接收和處理其他節(jié)點(diǎn)發(fā)送來(lái)的安全或異常消息分組并向控制面報(bào)告；修改節(jié)點(diǎn)的安全態(tài)勢(shì)有關(guān)參數(shù)（例如其他節(jié)點(diǎn)的安全信任值和安全等級(jí)值）；對(duì)各種靜態(tài)實(shí)體（如網(wǎng)絡(luò)接口、內(nèi)存、處理器等）和動(dòng)態(tài)實(shí)體（如進(jìn)程、信息流等）實(shí)時(shí)安全態(tài)勢(shì)監(jiān)控、對(duì)各種安全事件實(shí)時(shí)監(jiān)控和域間安全協(xié)作監(jiān)控。

4.2.2 控制面安全功能

控制面是數(shù)據(jù)面分組安全處理規(guī)則的生成和重構(gòu)者，需要依據(jù)管理面生成的安全參數(shù)配置來(lái)運(yùn)行各種安全管控算法和協(xié)議來(lái)產(chǎn)生各種安全規(guī)則，將安全規(guī)則發(fā)送給數(shù)據(jù)面，對(duì)數(shù)據(jù)面安全反饋信息實(shí)時(shí)處理和調(diào)控，因此控制面基本安全功能有幾個(gè)方面。

（a）多粒度多級(jí)別安全路由生成和重構(gòu)。依據(jù)安全和管控策略生成和重構(gòu)域/節(jié)點(diǎn)/服務(wù)/用戶/內(nèi)容等不同粒度的路由表；依據(jù)分組安全需求、分組發(fā)送者ID的編碼和分組接收者ID的編碼以及安全和管控策略生成和重構(gòu)不同安全或信任級(jí)別路由表；依據(jù)安全和管控策略將路由信息發(fā)送至數(shù)據(jù)面轉(zhuǎn)發(fā)表。

（b）多粒度多級(jí)別安全或信任策略生成和重構(gòu)。動(dòng)態(tài)調(diào)整和運(yùn)行安全或信任策略算法，生成多粒度多級(jí)別安全或信任策略并發(fā)送至數(shù)據(jù)面；依據(jù)接收的管理面控制信息或數(shù)據(jù)面的監(jiān)測(cè)信息，動(dòng)態(tài)重構(gòu)多粒度多級(jí)別安全或信任策略并發(fā)送至數(shù)據(jù)面。

（c）多粒度多級(jí)別安全和可信監(jiān)控 接收并處理來(lái)自數(shù)據(jù)面的安全管控檢測(cè)信息和管理面的安全管控調(diào)整信息；生成和重構(gòu)安全路由；動(dòng)態(tài)調(diào)整安全或信任策略模型；依據(jù)安全態(tài)勢(shì)向數(shù)據(jù)面動(dòng)態(tài)發(fā)送控制信息；依據(jù)安全態(tài)勢(shì)向控制面動(dòng)態(tài)發(fā)送報(bào)告信息；生成安全日志。

4.2.3 管理面安全功能

管理面直接面向應(yīng)用層和用戶，是安全策略的最終決策者，負(fù)責(zé)整個(gè)安全系統(tǒng)的初始化和參數(shù)配置、為控制面選擇各種生成安全規(guī)則的安全策略模型和算法和其他安全管理。因此管理面的基本安全功能有幾個(gè)方面。

（a）多粒度多級(jí)別安全或信任策略模型和算法管理。各種粒度和級(jí)別安全或信任策略模型和算法的選擇、查詢、修改、添加或刪除，包括安全預(yù)測(cè)、安全防護(hù)、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)等策略模型和算法管理。

（b）多粒度多級(jí)別安全和信任審計(jì)。依據(jù)安全日志對(duì)域/節(jié)點(diǎn)/服務(wù)/用戶/內(nèi)容等粒度實(shí)體安全態(tài)勢(shì)統(tǒng)計(jì)分析；據(jù)安全日志對(duì)各種安全事件統(tǒng)計(jì)分析；據(jù)安全態(tài)勢(shì)分析結(jié)果和安全管控策略向控制面發(fā)出安全管控信息。

（c）多級(jí)別安全支撐算法管理。對(duì)支撐多級(jí)別安全的基礎(chǔ)算法如對(duì)稱/非對(duì)稱密碼算法和Hash算法的查詢、添加和刪除，各種密鑰或證書(shū)的查詢、生成和刪除。

（d）安全日志管理。安全日志的備份、查詢、添加和刪除，安全日志的分析和處理。

4.3 安全管控場(chǎng)景構(gòu)建

4.3.1 單個(gè)網(wǎng)絡(luò)實(shí)體安全管控構(gòu)建

單個(gè)網(wǎng)絡(luò)實(shí)體的安全是指單個(gè)網(wǎng)絡(luò)實(shí)體內(nèi)所有的硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)的安全。參考有關(guān)國(guó)家或國(guó)際標(biāo)準(zhǔn)，可以構(gòu)建不同安全級(jí)別的網(wǎng)絡(luò)實(shí)體。例如在網(wǎng)絡(luò)節(jié)點(diǎn)安裝符合安全級(jí)別要求的軟件系統(tǒng)和硬件設(shè)備，安裝所需的安全策略模型和算法庫(kù)、安裝所需的支撐多級(jí)別安全的基礎(chǔ)算法庫(kù)（如對(duì)稱密碼算法、非對(duì)稱密碼算法和Hash算法）、向權(quán)威機(jī)構(gòu)獲得各種安全強(qiáng)度級(jí)別的簽名密鑰和加密密鑰并由權(quán)威機(jī)構(gòu)測(cè)評(píng)其安全等級(jí)。

4.3.2 兩個(gè)網(wǎng)絡(luò)實(shí)體之間傳輸安全管控端點(diǎn)構(gòu)建

發(fā)送方和接收方可以是任意兩個(gè)網(wǎng)絡(luò)實(shí)體的組合，分組的安全處理主要包括身份認(rèn)證、完整性和機(jī)密性防護(hù)，典型的構(gòu)建算法包括發(fā)送方和接收方兩部分。

（1）符號(hào)說(shuō)明

Ha：發(fā)送方主機(jī)，Hb：接收方主機(jī)；

Ra：發(fā)送方接入結(jié)點(diǎn)，Rb：接收方接入結(jié)點(diǎn)；

DSa：發(fā)送方域管控服務(wù)器， DSb：接收方域管控服務(wù)器；

APP：應(yīng)用程序，F(xiàn)InterNL：未來(lái)互聯(lián)網(wǎng)網(wǎng)際層

（2）發(fā)送方實(shí)施算法

a）Ha的一個(gè)APP-ha提出安全需求發(fā)送至Ha的FInterNL-ha，要求提供安全服務(wù)。

b）FInterNL-ha檢測(cè)本地安全策略規(guī)則庫(kù)是否存在相關(guān)本地安全實(shí)施規(guī)則，若存在則通知App-ha發(fā)送應(yīng)用數(shù)據(jù)，實(shí)施規(guī)則將應(yīng)用程序數(shù)據(jù)分組封裝發(fā)送；若不存在，則將App-ha的安全需求發(fā)送至Ra的FInterNL-ra。

c）FInterNL-ra檢測(cè)本地的安全策略規(guī)則庫(kù)是否存在相關(guān)本地安全規(guī)則，若存在則通知App-ha發(fā)送應(yīng)用數(shù)據(jù)，實(shí)施規(guī)則將應(yīng)用程序數(shù)據(jù)分組封裝發(fā)送；若不存在則將App-ha安全需求轉(zhuǎn)發(fā)至DSa。

c）DSa依據(jù)APP-ha安全需求的類(lèi)型與級(jí)別、域內(nèi)/域間安全策略、Ha的資源（計(jì)算資源、存儲(chǔ)資源和帶寬資源等）、Ra的資源使用狀態(tài)選擇提供安全服務(wù)，DSa將被選擇的安全服務(wù)具體協(xié)議協(xié)商參數(shù)發(fā)送至DSb，DSa與DSb之間通過(guò)安全服務(wù)參數(shù)協(xié)商協(xié)議共同協(xié)商確定所需安全服務(wù)的具體協(xié)議參數(shù)。依據(jù)協(xié)商好的具體安全服務(wù)參數(shù)，DSa制定安全實(shí)施規(guī)則并將規(guī)則發(fā)送至相應(yīng)FInterNL-ha或FInterNL-ra的本地安全策略規(guī)則庫(kù)。endprint

d）FInterNL-ha或FInterNL-ra接收到安全實(shí)施規(guī)則，向App-ha發(fā)出通知，APP-ha開(kāi)始發(fā)送應(yīng)用數(shù)據(jù)，應(yīng)用數(shù)據(jù)首先到達(dá)FInterNL-ha，若已存在相關(guān)安全實(shí)施規(guī)則，實(shí)施規(guī)則將APP-ha數(shù)據(jù)分組封裝發(fā)送；若不存在則將應(yīng)用數(shù)據(jù)發(fā)送至FInterNL-ra。

e）FInterNL-ra檢測(cè)本地的安全策略規(guī)則庫(kù)是否存在滿足條件的路由器本地安全規(guī)則，若存在，則實(shí)施規(guī)則將APP-ha數(shù)據(jù)分組封裝發(fā)送；若不存在，向APP-ha發(fā)出安全規(guī)則不存在警告，轉(zhuǎn)a）重新開(kāi)始算法。

f）若因?yàn)橘Y源（計(jì)算資源、存儲(chǔ)資源和帶寬資源等）匱乏或其它安全態(tài)勢(shì)異常引起無(wú)法繼續(xù)算法正常執(zhí)行，轉(zhuǎn)a）重新開(kāi)始算法。

（3）接收方實(shí)施算法

a）DSb收到DSa發(fā)送的安全服務(wù)協(xié)議協(xié)商參數(shù)（DSb也可以主動(dòng)發(fā)起協(xié)商過(guò)程），依據(jù)安全策略、Hb與 Rb資源狀態(tài)、APP-hb安全需求以及APP-ha所需安全服務(wù)的類(lèi)型，選擇FInterNL-ha或FInterNL-ra提供安全服務(wù)，選擇合適的安全協(xié)議參數(shù)返回DSa，制定相應(yīng)的安全實(shí)施規(guī)則并發(fā)送到FInterNL-hb或FInterNL-rb的本地安全策略規(guī)則庫(kù)并通知APP-hb。

b）被選擇的FInterNL-hb或FInterNL-r接收到FInterNL-ha或FInterNL-ra發(fā)送來(lái)的數(shù)據(jù)分組，實(shí)施安全規(guī)則，檢測(cè)數(shù)據(jù)分組的安全性，如果符合，則將數(shù)據(jù)分組發(fā)送至APP-hb。如果數(shù)據(jù)分組的安全性異常，則將數(shù)據(jù)分組轉(zhuǎn)發(fā)至DSb。

c）DSb收到安全性異常數(shù)據(jù)分組，根據(jù)安全規(guī)則可能選擇進(jìn)行如下操作：丟棄數(shù)據(jù)分組、更新安全日志、啟動(dòng)追蹤溯源機(jī)制、向DSa發(fā)出安全錯(cuò)誤通知信息包和向APP-ha與APP-hb發(fā)送安全錯(cuò)誤信息警告。

d）若因?yàn)橘Y源匱乏或其它安全態(tài)勢(shì)異常引起算法不可正常執(zhí)行，轉(zhuǎn)a）重新開(kāi)始算法。

4.3.3 兩個(gè)網(wǎng)絡(luò)實(shí)體之間傳輸安全管控全路徑構(gòu)建

典型的構(gòu)建算法包括發(fā)送方、中間節(jié)點(diǎn)和接收方三個(gè)部分。

（1）補(bǔ)充符號(hào)說(shuō)明

Ri：網(wǎng)絡(luò)中間結(jié)點(diǎn)，RSi：當(dāng)前網(wǎng)絡(luò)中間結(jié)點(diǎn)域管控服務(wù)器。

（2）中間節(jié)點(diǎn)實(shí)施算法

a）RSi通過(guò)多點(diǎn)安全服務(wù)參數(shù)協(xié)商協(xié)議和DSa與DSb一起協(xié)商安全服務(wù)具體實(shí)施參數(shù)，并形成安全實(shí)施規(guī)則發(fā)送給DSa、DSb、Ha、Hb、Ra和Rb。

b）Ri接收到數(shù)據(jù)分組，檢查是否存在相應(yīng)的安全實(shí)施規(guī)則，若存在則對(duì)數(shù)據(jù)分組安全性檢測(cè)，若數(shù)據(jù)分組安全性合法則繼續(xù)轉(zhuǎn)發(fā)該數(shù)據(jù)分組，若數(shù)據(jù)分組安全性不合法，則將異常數(shù)據(jù)分組轉(zhuǎn)發(fā)至RSi；若無(wú)相應(yīng)的安全實(shí)施規(guī)則，則依據(jù)安全策略執(zhí)行默認(rèn)操作，如直接轉(zhuǎn)發(fā)數(shù)據(jù)分組或?qū)?shù)據(jù)分組轉(zhuǎn)發(fā)到RSi。

c）RSi收到安全性異常數(shù)據(jù)分組，根據(jù)安全策略和規(guī)則選擇進(jìn)行如下操作：丟棄數(shù)據(jù)分組、更新安全日志、啟動(dòng)追蹤溯源機(jī)制、向DSa、DSb、Ha、Hb、Ra或Rb等發(fā)出安全錯(cuò)誤通知信息包。

d）當(dāng)Ri因?yàn)橘Y源匱乏或其它安全態(tài)勢(shì)異常導(dǎo)致算法不能繼續(xù)執(zhí)行，轉(zhuǎn)a）重新開(kāi)始算法。

發(fā)送方與接收方實(shí)施算法和3.3.2節(jié)描述相似。

5 方案分析

5.1 安全性能分析

首先本架構(gòu)為未來(lái)互聯(lián)網(wǎng)網(wǎng)際層在數(shù)據(jù)面提供了多粒度多級(jí)別安全身份認(rèn)證、簽名、數(shù)據(jù)加密/解密以及數(shù)據(jù)完整性檢測(cè)碼生成和驗(yàn)證等基本功能，可進(jìn)一步為網(wǎng)絡(luò)通信提供認(rèn)證、訪問(wèn)控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和抗抵賴性等服務(wù)。

其次，本架構(gòu)為未來(lái)互聯(lián)網(wǎng)網(wǎng)際層在數(shù)據(jù)面提供了多粒度多級(jí)別安全和異常探測(cè)與處理功能，在控制面提供了多粒度多級(jí)別安全路由生成和重構(gòu)、多粒度多級(jí)別安全或信任策略生成和重構(gòu)及多粒度多級(jí)別安全和可信監(jiān)控等功能，在管理面提供了多粒度多級(jí)別安全或信任策略模型和算法管理及多粒度多級(jí)別安全和信任審計(jì)等功能，可進(jìn)一步提供安全策略、安全防護(hù)、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)等機(jī)制保障網(wǎng)絡(luò)動(dòng)態(tài)安全。

5.2 和其它方案比較分析

（a）傳統(tǒng)的TCP/IP網(wǎng)絡(luò)在網(wǎng)絡(luò)層和傳輸層最初沒(méi)有內(nèi)置安全性，后來(lái)為 IP層設(shè)計(jì)了IPSec協(xié)議來(lái)保障兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)（主機(jī)或路由器）之間信息通信的身份認(rèn)證、數(shù)據(jù)機(jī)密性和完整性安全，為傳輸層設(shè)計(jì)了SSL/TSL協(xié)議來(lái)保障TCP連接的兩個(gè)端點(diǎn)之間信息通信身份認(rèn)證、數(shù)據(jù)機(jī)密性和完整性安全，但是不能提供其它粒度的網(wǎng)絡(luò)實(shí)體之間的安全，也未考慮網(wǎng)絡(luò)通信的動(dòng)態(tài)安全問(wèn)題；而本文架構(gòu)針對(duì)所有有關(guān)網(wǎng)絡(luò)安全問(wèn)題的解決；

（b）XIA[11]考慮了用自證明地址[12]來(lái)提供網(wǎng)絡(luò)實(shí)體的身份認(rèn)證作為安全保障的起點(diǎn)，并在控制層面保障可信域之間的域間路由安全，但并未涉及其核心層網(wǎng)際層的安全問(wèn)題；而本文架構(gòu)吸收XIA的所有安全機(jī)制且綜合考慮了其它安全問(wèn)題；

（c）NDN[13]的安全方案僅僅將每個(gè)NDN分組名字用一個(gè)數(shù)字簽名和分組內(nèi)容綁定，支持?jǐn)?shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證，未涉及其它安全問(wèn)題。

6 結(jié)束語(yǔ)

本文提出了一種未來(lái)互聯(lián)網(wǎng)網(wǎng)際層安全管控架構(gòu)模型，論述了模型管理面、控制面和數(shù)據(jù)面三個(gè)層級(jí)的安全功能，并應(yīng)用這些功能初步分析了典型安全管控過(guò)程場(chǎng)景，為未來(lái)互聯(lián)網(wǎng)體系結(jié)構(gòu)提供了內(nèi)置多級(jí)別多粒度安全性。本文下一步工作是構(gòu)建仿真系統(tǒng)或原型系統(tǒng)來(lái)驗(yàn)證模型的正確性，改進(jìn)、完善和形式化模型的設(shè)計(jì)。

參考文獻(xiàn)

[1] David D. Clark， David L. Tennenhouse. Architectural considerations for a new generation of protocols. SIGCOMM Comput. Commun. Rev.， 1990，20（4）：200-208.endprint

[2] David D. Clark， Lyman Chapin， Vinton Cerf， Robert Braden， and Russ Hobby. Towards the future Internet architecture[R]. In Network Working Group Request for Comments： 1287， Dec 1991.

[3] Hiroaki Harai， Masugi Inoue， et al. AKARI Architecture Conceptual Design for New Generation Network [translated version 2.0]， English Edition May 2010[R]， http：//akari-project.nict.go.jp/eng/concept-design/AKARI_fulltext_e_preliminary_ver2.pdf.

[4] ISO 7498-2：1989， Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2： Security Architecture[S]. Feb. 1989.

[5] 劉建偉， 王育民. 網(wǎng)絡(luò)安全—技術(shù)與實(shí)踐[M]. 北京：清華大學(xué)出版社， 2017：22-29.

[6] N Macdonald，P Firstbrook. Designing an Adaptive Security Architecture for Protection From Advanced Attacks[R]. Gartner report.Jan.2016.

[7] 王蒙蒙，劉建偉，陳杰，等.軟件定義網(wǎng)絡(luò)：安全模型，機(jī)制及研究進(jìn)展[J].軟件學(xué)報(bào)，2016， 27（4）： 969-992.

[8] 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22239-2008信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008：1-52.

[9] 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22240-2008信息安全技術(shù)-信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008：1-12.

[10] NIST. Recommendation for Key Management – Part 1： General （Revision 3） NIST Special Publication 800-57[S]. July 2012.http：//www.nist.gov/manuscript-publication-search.cfm？pub_id=910342][2017-05-31].

[11] XIA[EB/OL]. http：//www.cs.cmu.edu/～xia/index.html

[12] David G. Andersen， Hari Balakrishnan， Nick Feamster， et al. Accountable Internet Protocol （AIP）[A]， Acm Sigcomm Conference on Applications[C]， 2008， 38（4）：339-350.

[13] NDN[EB/OL] [2017-05-31].http：//www.named-data.net.

邱修峰（1973-），男，漢族，江西興國(guó)人，畢業(yè)于北京航空航天大學(xué)，博士生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、未來(lái)互聯(lián)網(wǎng)體系結(jié)構(gòu)。

劉建偉（1964-），男，漢族，山東煙臺(tái)人，畢業(yè)于西安電子科技大學(xué)，博士，教授；主要研究方向和關(guān)注領(lǐng)域：信息安全。

王敏（1981-），男，漢族，江西興國(guó)人，畢業(yè)于同濟(jì)大學(xué)，博士，講師；主要研究方向和關(guān)注領(lǐng)域：物聯(lián)網(wǎng)技術(shù)與安全。

章銀娥（1974-），女，漢族，江西撫州人，畢業(yè)于東華理工大學(xué)，碩士，副教授；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)仿真與網(wǎng)絡(luò)安全。endprint