一種安全可信的網(wǎng)絡(luò)互聯(lián)協(xié)議（STiP）模型研究

蔣文保+朱國庫

【 摘 要 】 針對未來網(wǎng)絡(luò)對安全性和移動性的需求，論文基于身份標(biāo)識與地址定位分離的思想，提出一種安全可信的網(wǎng)絡(luò)互聯(lián)協(xié)議模型，簡稱STiP（Secure and Trusted internet Protocol）模型。STiP模型將傳統(tǒng)的IP地址雙重功能進行分離，同時通過引入報文簽名與驗證、地址/身份認證和去中心化密鑰管理等內(nèi)在安全機制，能從源頭上解決源地址欺騙、路由劫持、拒絕服務(wù)等網(wǎng)絡(luò)安全問題，從而有利于構(gòu)建自主可控、安全可信的互聯(lián)網(wǎng)環(huán)境。文中詳細探討了STiP模型的體系結(jié)構(gòu)、安全主機標(biāo)識與基于層次樹的名址映射解析系統(tǒng)、骨干網(wǎng)安全路由及去中心化的密鑰管理方案等關(guān)鍵技術(shù)。

【 關(guān)鍵詞 】 未來網(wǎng)絡(luò)；互聯(lián)網(wǎng)協(xié)議；網(wǎng)絡(luò)安全；可信網(wǎng)絡(luò)；地址安全；命名與尋址

Research on the Secure and Trusted Internet Protocol

Jiang Wen-bao Zhu Guo-ku

（School of Information Management， Beijing Information Science and Technology University Beijing 100192）

【 Abstract 】 To fullfill the requirements of security and mobility in the future network environment， a secure and trusted internet protocol based on locator and identifier separation is proposed in this paper，which is called STiP.STiP separates the traditional dual functions of IP address. Moreover， intrinsic security mechanisms are designed in STiP， including digital signature and authentication， address and identity validation and decentralized key management.With the help of STiP， the security problems of current Internet such as address spoofing， route hijacking and denial of service can be solved from the source， and these help to build a secure and reliableinternet environment with controllability. The architecture of STiP， secure host identifierand its hierarchical name system， the security routing of the backbone network and its decentralized scheme for key managementand some other key technologies are discussedin detail in the paper.

【 Keywords 】 future network； internet protocol； network security； trusted network； address security； naming and addressing

1 引言

目前，以TCP/IP協(xié)議為核心技術(shù)的Internet（因特網(wǎng)）得到了飛速發(fā)展，正在全面改變?nèi)藗兊纳a(chǎn)生活方式。網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，極大地促進了經(jīng)濟社會繁榮進步，同時也帶來了新的安全風(fēng)險和挑戰(zhàn)。地址和路由系統(tǒng)是當(dāng)前Internet體系結(jié)構(gòu)的核心，在安全性上，由于現(xiàn)有的TCP/IP協(xié)議不具備地址真實性鑒別等內(nèi)在的安全機制，導(dǎo)致攻擊源頭和攻擊者身份難以追查[6]。路由設(shè)備基于目的地址轉(zhuǎn)發(fā)分組，對數(shù)據(jù)包的來源不做驗證，大量基于地址偽造的攻擊行為無法跟蹤，造成源地址欺騙、路由劫持、拒絕服務(wù)等大量攻擊的發(fā)生，嚴(yán)重威脅網(wǎng)絡(luò)的安全。解決包括地址安全在內(nèi)的網(wǎng)絡(luò)命名安全問題[8]，構(gòu)建安全可信的互聯(lián)網(wǎng)環(huán)境，已成為亟待解決的重要課題。

無疑當(dāng)前的Internet體系結(jié)構(gòu)需要進行變革，以IPv6為代表的漸進式變革方案，為了最大程度維持已有的Internet體系結(jié)構(gòu)，其安全增強技術(shù)都是以修修補補的形式添加進來的，通常只能在局部范圍內(nèi)解決局部問題，難免出現(xiàn)安全漏洞、功能重疊、實現(xiàn)復(fù)雜、系統(tǒng)性不強等問題，不能從根本上保證網(wǎng)絡(luò)的安全。當(dāng)前國際上逐步興起的未來網(wǎng)絡(luò)技術(shù)研究，主張采用全新的互聯(lián)網(wǎng)體系結(jié)構(gòu)，創(chuàng)造出一個以全新的命名與尋址、新的路由和交換技術(shù)、新的安全機制等要素構(gòu)成的網(wǎng)絡(luò)空間。

在現(xiàn)有Internet體系結(jié)構(gòu)中，IP地址承載了端系統(tǒng)的身份標(biāo)識和地址定位的雙重作用，這是許多安全問題的癥結(jié)所在。當(dāng)終端主機需要移動時，IP地址作為地址定位符必須改變，但此時主機的身份并未變化。IP地址兼具身份和定位的語義過載特性帶來源地址和路由前綴兩個方面的安全威脅[6]。主機移動和多宿主引發(fā)了新的安全問題，主要有地址盜用和地址洪泛[7]。

為了解決這些安全問題，IETF提出了HIP（Host Identity Protocol）[1-2] 協(xié)議。HIP在網(wǎng)絡(luò)層和傳輸層之間插入主機標(biāo)識層，主機標(biāo)識符HI（Host Identity）提供主機身份標(biāo)識功能，由傳輸層使用，IP地址作為網(wǎng)絡(luò)層的定位標(biāo)識符，實現(xiàn)數(shù)據(jù)報的路由轉(zhuǎn)發(fā)。HIP在終端主機中實現(xiàn)名址分離，解決了移動性問題。同時，HI是非對稱密鑰體制中的公鑰，可利用HIT（Host Identity Tag）實現(xiàn)主機和消息鑒別，增強了安全性。但是，HIP只能用于主機之間的端到端身份鑒別，無法應(yīng)對地址前綴欺騙[8]。

LISP（Locator/Identifier Separator Protocol）[3-4] 協(xié)議是思科公司為了回應(yīng)IAB（Internet Architecture Board，Internet結(jié)構(gòu)委員會）路由與地址工作組的要求而提出的，它定義了兩個獨立的IP地址空間：終端標(biāo)識EID（Endpoint ID）和路由位置標(biāo)識RLOC（Routing Locator）。終端主機使用EID來標(biāo)識身份，路由器使用RLOC 來標(biāo)識。LISP 協(xié)議不需要對終端主機和中心路由器做任何改變，利用了成熟的隧道技術(shù)，邊緣路由器通過映射服務(wù)實現(xiàn)IP地址雙重身份的分離，實現(xiàn)了對移動性的支持，原有的TCP/IP網(wǎng)絡(luò)中的路由技術(shù)可以直接利用，可以盡快實現(xiàn)部署。但由于同樣沒有內(nèi)在的安全機制，相對于現(xiàn)有的網(wǎng)絡(luò)體系，LISP協(xié)議的安全性并沒有提高[5]。

本文借鑒HIP和LISP協(xié)議的有關(guān)名址分離思想，提出一種基于未來網(wǎng)絡(luò)架構(gòu)的安全可信的網(wǎng)絡(luò)互聯(lián)協(xié)議模型，簡稱STiP（Secure and Trusted internet Protocol）模型。STiP模型將IP地址雙重功能進行分離，在結(jié)構(gòu)上分為接入網(wǎng)和骨干網(wǎng)兩部分。同時，通過引入報文簽名與驗證、地址/身份認證和去中心化密鑰管理等內(nèi)在安全機制，STiP模型能從源頭上根本解決包括地址/身份安全在內(nèi)的網(wǎng)絡(luò)命名安全問題，從而有利于構(gòu)建安全可信的互聯(lián)網(wǎng)環(huán)境。

2 STiP模型體系結(jié)構(gòu)

2.1 總體框架

本文基于未來網(wǎng)絡(luò)設(shè)計思想，采用HIP和LISP協(xié)議將IP地址雙重功能進行分離的理念，引入報文簽名與驗證、地址/身份認證和去中心化密鑰管理等內(nèi)在安全機制，提出一種安全可信的互聯(lián)網(wǎng)協(xié)議模型，簡稱STiP模型。STiP模型將IP地址雙重功能進行分離，在結(jié)構(gòu)上分為接入網(wǎng)和骨干網(wǎng)兩部分，如圖1所示。

接入網(wǎng)完成終端主機的接入，主要包括接入認證服務(wù)器和終端主機等實體。STiP使用全局唯一的安全主機標(biāo)識符SHI（Secure Host Identifier）來標(biāo)識網(wǎng)絡(luò)中接入的每臺終端主機，主機標(biāo)識不參與全局路由。骨干網(wǎng)實現(xiàn)位置的管理與數(shù)據(jù)路由，主要包括入口隧道路由器ITR （Ingress Tunnel Router）、出口隧道路由器ETR （Egress Tunnel Router）、骨干路由器、名址映射解析服務(wù)器等實體。其中路由器位置使用RLOC（Routing Locator）來標(biāo)識，RLOC完成數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由，入口隧道路由器ITR和出口隧道路由器ETR實現(xiàn)接入網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)的隔離，ITR通過映射方式實現(xiàn)從SHI至RLOC的映射解析。

接入網(wǎng)與骨干網(wǎng)使用獨立的地址空間：接入網(wǎng)使用安全終端標(biāo)示符轉(zhuǎn)發(fā)數(shù)據(jù)，骨干網(wǎng)使用IP地址路由和轉(zhuǎn)發(fā)數(shù)據(jù)包。終端主機不能直接訪問路由器，可有效防止終端主機對路由器的攻擊。STiP接入網(wǎng)和骨干網(wǎng)分離架構(gòu)設(shè)計可保證未來終端接入技術(shù)與骨干網(wǎng)架構(gòu)分別獨立地演進。

在安全方面，STiP模型引入地址/身份認證、報文簽名與驗證和去中心化密鑰管理等內(nèi)在安全機制，能從源頭上根本解決地址/身份真實性問題。在接入網(wǎng)中，由接入認證服務(wù)器來驗證終端主機的真實性。映射服務(wù)器要為終端主機綁定一個主機標(biāo)識、一個所在區(qū)域的RLOC和一對公私鑰等信息，終端主機使用私鑰對報文進行簽名，接入認證服務(wù)器可以通過查詢映射服務(wù)器獲取和源主機標(biāo)識綁定的公鑰，對來自終端主機的數(shù)據(jù)包進行鑒別。在骨干網(wǎng)中，由于每一個RLOC都可能是接入網(wǎng)的骨干路由器，RLOC收到的數(shù)據(jù)包有可能來自于骨干網(wǎng)內(nèi)任何一個RLOC發(fā)送的數(shù)據(jù)包，每個RLOC都應(yīng)能獲取到骨干網(wǎng)上所有的RLOC的公鑰信息。STiP采用一種去中心化的密鑰管理方案來保證各RLOC上公鑰的一致性。

2.2 工作流程

根據(jù)圖1所示，在STiP模型中，當(dāng)一個站點的終端向另外一個站點的終端發(fā)送數(shù)據(jù)時，對端SHI在骨干網(wǎng)中沒有路由表項。當(dāng)數(shù)據(jù)到達ITR后，如果ITR在本地映射緩存表中沒有找到SHI-to-RLOC的映射表項，會向本地映射解析器LMR（Local Map Resolver）發(fā)送報文，請求獲取SHI-to-RLOC的映射關(guān)系；LMR收到ITR的請求后開始解析該請求報文，首先在本地查找SHI的映射信息，如果SHI記錄不存在，LMR會向根映射解析器RMR（Root Map Resolver）發(fā)起迭代查詢，本地映射解析器經(jīng)過根映射解析器、頂級映射解析器TMR（Top-level Map Resolver）和權(quán)限映射解析器AMR（Authoritative Map Resolver）的三次迭代查詢后從權(quán)限映射解析器得到ITR查詢的SHI的綁定信息，即SHI-Public Key-RLOC。在ITR接收到映射響應(yīng)報文后，解析出對端SHI綁定的RLOC地址，然后ITR以自己的RLOC為源地址，以對端SHI的RLOC為目的地址封裝報文。對端ETR接收到數(shù)據(jù)包后解封裝報文，再將報文發(fā)送到目的終端。ITR每次映射解析請求得到響應(yīng)后，會將響應(yīng)報文中攜帶的SHI-RLOC的映射關(guān)系保存在本地映射緩存表中，緩存中的SHI-RLOC的緩存記錄可以設(shè)置一個TTL（Time-To-Live）值，即一條映射記錄緩存的時間長度，在TTL內(nèi)對該目的SHI的訪問可直接封裝成STiP報文發(fā)送。32位或者128位的RLOC地址長度沒有增加基本報頭中地址的負載，其中的地址轉(zhuǎn)換、路由聚合等沿用現(xiàn)有體系結(jié)構(gòu)中的協(xié)議方案。

3 安全主機標(biāo)識與接入認證

3.1 安全主機標(biāo)識及基于層次樹的名址映射

ITR/ETR要依賴MR（Map Resolver）獲取映射關(guān)系后才能進行數(shù)據(jù)封裝和轉(zhuǎn)發(fā)。因此，SHI與RLOC的映射解析是STiP建模要核心解決的問題之一，包括映射關(guān)系的創(chuàng)建、更新和刪除。骨干網(wǎng)所有ITR查詢到的SHI-RLOC映射關(guān)系要保證一致性。如果采用泛洪協(xié)議算法，即將整個映射數(shù)據(jù)通告到網(wǎng)絡(luò)邊緣，將分散在各ITR內(nèi)的離散的映射關(guān)系擴散到每個ITR，在骨干網(wǎng)內(nèi)形成一致的映射關(guān)系庫。ITR在進行數(shù)據(jù)轉(zhuǎn)發(fā)的時候，不從MR中獲取映射表，而從本地映射關(guān)系庫獲取對端ETR的RLOC信息進行封裝。每個ITR都保存一份完整的映射關(guān)系庫，雖然可以控制查詢/響應(yīng)延遲，但增大了映射狀態(tài)規(guī)模，這種扁平的無結(jié)構(gòu)的名字空間顯然會在ITR上產(chǎn)生巨大的存儲和計算開銷。

另外，考慮到Socket編程通常使用Hostname來標(biāo)識通信對端的主機，本文參照域名系統(tǒng)DNS（Domain Name System）設(shè)計了一種有層次結(jié)構(gòu)的主機標(biāo)識命名方案和一種基于層次樹的名址映射解析系統(tǒng)。安全主機標(biāo)識符SHI是全局唯一的，為了增加骨干網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)包中源主機標(biāo)識符的私密性，具體實現(xiàn)中可以考慮在接入認證服務(wù)器使用哈希算法對不定長的安全主機標(biāo)識符生成固定長度的安全主機標(biāo)識標(biāo)簽SHIT（Secure Host Identifier Tag），然后將原始數(shù)據(jù)包中的源主機標(biāo)識符替換為該哈希值。

如圖2所示，基于層次樹的名址映射解析系統(tǒng)由根映射解析器、頂級映射解析器和權(quán)限映射解析器組成樹狀的拓撲結(jié)構(gòu)，圖中的A、B、C、D所示的根映射解析器組成了骨干區(qū)域，骨干區(qū)域以外的區(qū)域稱為非骨干區(qū)域。頂級映射解析器和權(quán)限映射解析器等節(jié)點組成了非骨干區(qū)域A，本文使用骨干區(qū)根節(jié)點名稱+“”的方式描述非骨干區(qū)域。骨干區(qū)內(nèi)的節(jié)點要維護頂級映射解析器的位置信息，包括位置信息的增、刪、改操作，任一骨干節(jié)點發(fā)起的操作請求都要獲得過半骨干節(jié)點的投票同意后才能提交，投票通過的操作請求會在各個骨干節(jié)點上完成事務(wù)的提交。

從頂至下的迭代查詢可保證每一次的映射解析都是最短搜索路徑，這樣既可以保證SHI的全局唯一性和聚合性，也可以控制每一層MR的映射表規(guī)模。最大限度地降低映射查詢延遲可以在主機移動后避免報文丟失。SHI名字結(jié)構(gòu)示例如下：

facility.scheme.bistu.edu.cn

解析facility. scheme.bistu.edu.cn的映射關(guān)系的迭代查詢步驟如下：

a） 本地MR服務(wù)器分析全名，確定需要對cn映射解析服務(wù)器具有權(quán)威性控制的服務(wù)器的位置，請求并獲取響應(yīng)；

b） 請求對cn映射解析服務(wù)器查詢獲取edu.cn服務(wù)器的參考信息；

c） 請求對edu.cn映射解析服務(wù)器查詢獲取bistu.edu.cn服務(wù)器的參考信息；

d） 請求bistu.edu.cn映射解析服務(wù)器，獲取 scheme.bistu.edu.cn的服務(wù)器的參考信息；

e） 請求scheme.bistu.edu.cn映射解析服務(wù)器，獲取facility.scheme.bistu.edu.cn的綁定信息響應(yīng)。

映射關(guān)系的更新頻率主要受終端位置移動和可達狀態(tài)的影響，本文建立的層次樹狀的名址映射解析系統(tǒng)可以快速響應(yīng)映射關(guān)系的注冊、更新、查詢和刪除請求，映射關(guān)系的更新頻率和更新消息的通信量不會成為MR的性能瓶頸，因為映射關(guān)系的維護是狀態(tài)收斂的，映射查詢延遲和映射狀態(tài)規(guī)模是可控的。另外，映射解析服務(wù)要考慮如何抵御DOS（Denial of Service）攻擊等安全問題。當(dāng)終端主機需要移動時，如圖3所示，終端A從接入網(wǎng)1移到接入網(wǎng)2。接入路由器2監(jiān)測到終端A的連接，接入網(wǎng)2首先驗證A是否是偽造或者冒充的，驗證通過后，接入路由器2向映射解析服務(wù)器發(fā)送映射更新消息。

假設(shè)終端A的主機標(biāo)識符為facility.scheme.bistu.edu.cn，更新facility. scheme.bistu.edu.cn與RLOC1的映射關(guān)系的步驟如下：

a） 本地MR服務(wù)器通過迭代查詢獲取到scheme.bistu.edu.cn服務(wù)器的參考信息；

b） 請求對scheme.bistu.edu.cn映射解析服務(wù)器更新facility.scheme.bistu.edu.cn的綁定RLOC信息；

c） 刷新本地緩存。

這里要考慮的是AMR上和SHI綁定的信息更新后，A主機的通信對端B所在的接入網(wǎng)3使用的LMR緩存失效引起的映射服務(wù)時效問題。如果A的位置相對比較固定，可以考慮由接入網(wǎng)2使用的LMR向接入路由器1發(fā)送綁定更新通知，接入路由器1再向A的通信對端主機綁定的接入路由器3發(fā)送綁定更新通知，接入路由器3向 LMR發(fā)送緩存失效的更新通知。當(dāng)有大量終端快速移動時，映射更新頻率變高，更新規(guī)模變大，可以考慮給這些節(jié)點的綁定信息設(shè)置較小的TTL值。

3.2 接入認證

STiP模型引入內(nèi)在的身份認證機制，接入網(wǎng)和骨干網(wǎng)建立不同的認證和授權(quán)機制。接入網(wǎng)和骨干網(wǎng)都使用點對點的方式來驗證通信對端的確是自己所要通信的對象。通信對端通過報文鑒別的方法來驗證報文是否是偽造的或者經(jīng)過篡改的。發(fā)送端把報文X經(jīng)過摘要運算后得到很短的報文摘要H1，再用自己的私鑰對H1進行D加密運算，即數(shù)字簽名。得出簽名D（H1）后，將其附加在報文X后面發(fā)送出去，接收方收到報文后首先把簽名D（H1）和報文X分離，再用發(fā)送方的公鑰對D（H1）進行E解密運算，得出報文摘要H1，再對報文X進行摘要運算，得出報文摘要H2。如果H1等于H2，接收方就能斷定收到的報文是真實的；否則就不是。

接入網(wǎng)要驗證接入的終端主機不是偽造和冒充的，本文設(shè)計接入認證服務(wù)器來驗證終端主機的真實性。名址映射解析服務(wù)器要為終端主機分配綁定的一個主機標(biāo)識和一對公私鑰，終端主機使用私鑰對報文簽名，接入認證服務(wù)器可以通過查詢名址映射解析服務(wù)器獲取源主機標(biāo)識綁定的公鑰，對來自終端主機的數(shù)據(jù)包進行鑒別。接入認證服務(wù)器將驗證通過的數(shù)據(jù)包發(fā)送給直接相連的ITR，ITR通過查詢名址映射解析系統(tǒng)獲取目的主機標(biāo)識綁定的RLOC信息。接入網(wǎng)內(nèi)終端主機A和接入認證服務(wù)器的身份認證示意如圖4。處理流程如下：

a） 終端主機A用保存的私鑰對源主機標(biāo)識符為SHIA和目的主機標(biāo)識符為SHIB的數(shù)據(jù)包簽名，再將簽名后的數(shù)據(jù)包交付給接入認證服務(wù)器；

b） 接入認證服務(wù)器收到數(shù)據(jù)包后，首先通過查詢名址映射解析系統(tǒng)獲取源主機標(biāo)識符綁定的公鑰，再用公鑰來驗證數(shù)據(jù)包的真?zhèn)?，若檢驗通過，則將數(shù)據(jù)包轉(zhuǎn)發(fā)給地址為RLOC1的接入路由器；若驗證失敗，則將數(shù)據(jù)包丟棄；

c） 接入路由器收到數(shù)據(jù)包后，首先查詢名址映射解析系統(tǒng)獲取目的主機標(biāo)識符綁定的RLOC信息，得到通信對端接入路由器的地址RLOC2，然后將源和目的RLOC封裝到數(shù)據(jù)包中，再把數(shù)據(jù)包交付給下一跳；

d） 對端接入路由器收到數(shù)據(jù)包后，首先將數(shù)據(jù)包解封裝，再將數(shù)據(jù)轉(zhuǎn)交給終端主機B。

由于接入網(wǎng)的終端主機需要通過接入認證服務(wù)器鑒別是否是偽造的或者冒充的，這里可能會引發(fā)一個新的問題，即接入認證服務(wù)器在驗證連入的終端主機身份時可能會產(chǎn)生的一個性能瓶頸，因為公鑰解密需要一定的計算和存儲開銷，但此處的瓶頸可以通過接入認證服務(wù)器集群的方式來解決性能上的瓶頸問題。

4 骨干網(wǎng)安全路由及密鑰管理

4.1 安全路由過程

骨干網(wǎng)內(nèi)的路由器要檢查數(shù)據(jù)包是否是偽造的或者經(jīng)過篡改的。接入路由器收到由接入認證服務(wù)器轉(zhuǎn)發(fā)的數(shù)據(jù)包后封裝源和目的RLOC地址，然后將簽名后的數(shù)據(jù)包路由轉(zhuǎn)發(fā)，并在本地緩存的映射表中加入源主機標(biāo)識符及其哈希值對應(yīng)關(guān)系。在通信對端主機綁定的ETR收到發(fā)送方的數(shù)據(jù)包后，在本地緩存的映射表中加入源主機標(biāo)識符的哈希值和與其綁定的RLOC的映射信息。當(dāng)發(fā)送方的主機發(fā)生移動，與源主機綁定的RLOC信息更新，ETR本地緩存的源主機標(biāo)識符的哈希值與RLOC的綁定信息也需要更新。骨干網(wǎng)路由器之間的安全可信的通信過程如圖5所示。處理流程如下：

a） 地址為RLOC1的接入路由器完成數(shù)據(jù)包的封裝后，用保存的私鑰對數(shù)據(jù)包簽名，再把簽名后的數(shù)據(jù)包交付給下一跳，經(jīng)過網(wǎng)絡(luò)傳遞后到對端接入路由器；

b） 對端接入路由器收到數(shù)據(jù)包后，首先將數(shù)據(jù)包解封裝，再查詢本地的表獲取與上一跳路由器綁定的公鑰，再用公鑰來驗證數(shù)據(jù)包的真?zhèn)?，若檢驗通過，則將數(shù)據(jù)轉(zhuǎn)交給終端主機B；若驗證失敗，則將數(shù)據(jù)包丟棄。

由于每一個RLOC都可能是接入網(wǎng)的骨干路由器，RLOC收到的數(shù)據(jù)包有可能來自于骨干區(qū)內(nèi)任何一個RLOC發(fā)送的數(shù)據(jù)包，每個RLOC都應(yīng)能獲取到骨干網(wǎng)上所有的RLOC的公鑰信息。自認證的方案是通過自身攜帶的公鑰來驗證自己的身份，每次公鑰的傳遞都會增加通信鏈路的負載。雖然未來網(wǎng)絡(luò)接入終端設(shè)備數(shù)量可能是無限增長的，但骨干路由器的數(shù)量應(yīng)該是有限的，因此在每個骨干路由器上保存和維護全局一致的RLOC地址和公鑰的綁定信息是可行的。本文考慮設(shè)計一種去中心化的密鑰管理方案來保證各個骨干路由器上RLOC地址和公鑰的綁定信息的一致性。

4.2 去中心化的密鑰管理方案

使用公鑰數(shù)字簽名一般需要依賴公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)，在PKI體系下通信雙方需要通過第三方權(quán)威機構(gòu)CA（Certificate Authority） 頒發(fā)的公鑰證書來驗證公鑰擁有者身份的真實性，但公鑰證書管理復(fù)雜、系統(tǒng)開銷大。本文提出一種去中心的密鑰管理方案，RLOC節(jié)點自己生成密鑰對，骨干網(wǎng)每個RLOC共同維護一個全局一致的<地址，公鑰>表，每個RLOC上的<地址，公鑰>數(shù)據(jù)都是一致的。

骨干網(wǎng)所有RLOC分為Leader和Follower兩種角色，Leader是對<地址，公鑰>記錄的所有操作提議的唯一調(diào)度者和處理者，在任一時刻不存在多于1個的Leader，Leader角色并不與某個骨干路由器永久綁定，在Leader無法連通后，骨干網(wǎng)會重新選舉出新的Leader。Follower是骨干網(wǎng)內(nèi)除Leader外存活的路由節(jié)點，可發(fā)起對<地址，公鑰>記錄的事務(wù)操作請求，并將請求轉(zhuǎn)發(fā)給Leader，還參與Leader發(fā)起的提議投票，在檢測不到Leader心跳后投票重選Leader。

當(dāng)有新的路由節(jié)點加入時，該節(jié)點首先會在本地生成一對密鑰，該節(jié)點的公鑰和RLOC地址會被提交到Leader，Leader會將添加<地址，公鑰>記錄的事務(wù)提議通知到全局的路由節(jié)點，并發(fā)起對該提議的投票，Leader收到過半投票后會通知全局的路由節(jié)點在本地提交該事務(wù)，新的路由節(jié)點成功加入到骨干網(wǎng)中。骨干網(wǎng)內(nèi)對<地址，公鑰>記錄的更新和刪除事務(wù)的執(zhí)行過程同上，如圖6所示。

5 結(jié)束語

為了滿足未來網(wǎng)絡(luò)對安全性和移動性的需求，本文基于身份標(biāo)識與位置定位分離的思想，提出了一種安全可信的網(wǎng)絡(luò)互聯(lián)協(xié)議（STiP）模型。遵循STiP模型構(gòu)建的未來網(wǎng)絡(luò)，在功能結(jié)構(gòu)上分為接入網(wǎng)和骨干網(wǎng)兩部分，接入網(wǎng)和骨干網(wǎng)各自使用獨立的地址空間，網(wǎng)絡(luò)體系結(jié)構(gòu)清晰。本文設(shè)計的基于層次樹的名址映射解析系統(tǒng)，能有效保證主機標(biāo)識符和地址定位符的轉(zhuǎn)換效率，分層的名字空間增加了主機標(biāo)識符的聚合性，與主機標(biāo)識符綁定的公鑰信息可以在終端接入時用于驗證主機的身份并鑒別數(shù)據(jù)包的真實性，為接入網(wǎng)提供了內(nèi)在的安全性。在STiP模型中，骨干網(wǎng)路由器之間也采用了報文簽名與驗證機制，該機制引入了一種去中心化的密鑰管理方案，這種內(nèi)在的安全機制保證了路由器之間的身份認證和信息的鑒別，能從源頭上根本解決地址欺騙、路由劫持、拒絕服務(wù)等網(wǎng)絡(luò)安全問題，從而有利于構(gòu)建自主可控、安全可信的公眾網(wǎng)絡(luò)環(huán)境。

參考文獻

[1] R. Moskowitz， P. Nikander， P. Jokela， and T. Henderson， “HostIdentity Protocol，” RFC 5201， IETF， Apr 2008.

[2] Moskowitz R， Hirschmann V， Jokela P， Henderson T. Host identity protocol version 2 （HIPv2）. 2013. https：//datatracker.ietf.org/doc/draft-ietf-hip-rfc5201-bis/ .

[3] D. Farinacci， V. Fuller， D. Oran， D.Meyer. Locator/ID Separation Protocol （LISP）. Internet draft， draft-farinaccilisp-03， IETF，Aug.2007.

[4] D. Lewis et al. “Locator/ID Separation Protocol （LISP），” draftietf-lisp-22， February 2012.

[5] 張宇，韓軍，汪倫偉，張來順.安全網(wǎng)絡(luò)模型研究[J].計算機安全，2009，07：4-6+32.

[6] 徐恪，朱亮，朱敏.互聯(lián)網(wǎng)地址安全體系與關(guān)鍵技術(shù)[J].軟件學(xué)報，2014，01：78-97.

[7] 昝風(fēng)彪，徐明偉，吳建平.主機標(biāo)識協(xié)議（HIP）研究綜述[J].小型微型計算機系統(tǒng)，2007，02：224-228.

[8] 陳鐘，孟宏偉，關(guān)志.未來互聯(lián)網(wǎng)體系結(jié)構(gòu)中的內(nèi)生安全研究[J].信息安全學(xué)報，2016，02：36-45.

[9] 任勇毛，李俊，錢華林.未來互聯(lián)網(wǎng)體系結(jié)構(gòu)研究進展[J].科研信息化技術(shù)與應(yīng)用，2012，03：3-11.

基金項目：

國家自然科學(xué)基金資助項目（61540020）：“基于多維證據(jù)的信任評估理論、模型與關(guān)鍵機制研究”。

作者簡介：

蔣文保（1969-），男，湖南人，畢業(yè)于清華大學(xué)，博士后，北京信息科技大學(xué)信息管理學(xué)院副院長，信息系統(tǒng)研究所副所長，教授，碩士生導(dǎo)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)與信息安全領(lǐng)域的科學(xué)研究、產(chǎn)品開發(fā)、教學(xué)和管理。

朱國庫（1992-），男，浙江人，碩士研究生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)與信息安全。