未來網(wǎng)絡可信通信技術

閆新成/YAN Xincheng周娜/ZHOU Na蔣志紅/JIANG Zhihong

（1.移動網(wǎng)絡和移動多媒體技術國家重點實驗室，中國 深圳 518057；2.中興通訊股份有限公司，中國 深圳 518057）

(1.State Key Laboratory of Mobile Network and Mobile Multimedia Technology, Shenzhen 518057,China;2.ZTE Corporation, Shenzhen 518057, China)

互聯(lián)網(wǎng)協(xié)議（IP）地址是當前IP網(wǎng)絡體系結構的核心，擁有網(wǎng)絡身份和路由位置兩種屬性[1]。其中，網(wǎng)絡身份屬性用來標識通信對象，而路由位置屬性則代表拓撲位置，是路由尋址的基礎。地址欺騙可能會造成非法訪問服務、分布式拒絕服務（DDoS）攻擊、事件難以追溯等一系列安全問題，因而IP地址的安全性是構建可信任網(wǎng)絡的基礎[2-3]。攻擊者通過偽造IP地址來隱藏自己的真實身份，有時也會將報文引向非法位置。RFC 6959[4]（互聯(lián)網(wǎng)工程任務組發(fā)布的征求意見稿）列舉的10類攻擊都與IP地址真實性相關。麻省理工學院的研究表明，互聯(lián)網(wǎng)中至少有半數(shù)以上的網(wǎng)絡可以產生一種類型的IP地址偽造攻擊[5]。據(jù)CAIDA的統(tǒng)計，互聯(lián)網(wǎng)中平均每天有3萬起偽造源地址的攻擊事件發(fā)生[6]。

IP地址真實性是未來網(wǎng)絡可信通信的核心要素，而當前傳統(tǒng)的IP網(wǎng)絡體系并不具備對IP地址真實性驗證的內在機制。解決IP地址的欺騙問題，保障地址網(wǎng)絡身份的唯一性以及路由位置的真實性，并確保IP地址所標識的身份和位置信息在通信過程中不被篡改和偽造，是未來網(wǎng)絡可信通信所要解決的關鍵問題。

學術界對可信通信的研究相對較早。早在2003年，以麻省理工學院為代表的學術團體就推出了下一代互聯(lián)網(wǎng)的新架構NewArch[7]，明確了IP地址具有位置和身份的雙重屬性，同時強調了對IP地址進行安全保障的必要性。清華大學吳建平院士針對新一代互聯(lián)網(wǎng)體系提出需要保障互聯(lián)網(wǎng)地址身份及其位置屬性真實可信的觀點[8]。

產業(yè)界近年也掀起了可信通信的熱潮。國際移動通信（IMT）-2030（6G）、中國通信標準化協(xié)會（CCSA）等均開展了大量對未來網(wǎng)絡安全方面的研究工作。中國網(wǎng)絡5.0產業(yè)和技術創(chuàng)新聯(lián)盟[9]更是將IP網(wǎng)絡的安全體系，尤其是IP地址真實性保障，作為未來網(wǎng)絡內生安全的重要目標。

當前產業(yè)界緣何要興起可信通信的熱潮？可信通信要解決什么問題？當前方案存在哪些不足，又該如何改進？針對這些問題，本文結合學術研究和產業(yè)應用，闡述和分析了可信通信的產業(yè)驅動力，提出了可信通信的必要條件和基本策略，對可信通信的主要技術方向進行了對比分析，并給出了技術應用建議。

1 未來網(wǎng)絡可信通信需求和挑戰(zhàn)

未來網(wǎng)絡具備泛連接、廣覆蓋和高可靠的網(wǎng)絡能力，深度融合了5G、云計算、邊緣計算、大數(shù)據(jù)、人工智能、衛(wèi)星通信等一系列新興技術，現(xiàn)階段正飛速發(fā)展，將深入經濟社會各個領域，為社會帶來全方位、深層次的影響，并將引領我們步入一個高度互聯(lián)、內生智能、萬物感知的世界。然而，未來網(wǎng)絡在提升業(yè)務應用價值、使能社會高度信息化的同時，也為利益驅動的攻擊者創(chuàng)造了有利條件，為其實施更大規(guī)模、更高強度的攻擊提供了可能。

1.1 網(wǎng)絡可信通信需要適應新的業(yè)務模式

新技術驅動智慧醫(yī)療、工業(yè)互聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、算網(wǎng)融合、天地一體化等多個場景持續(xù)發(fā)展與創(chuàng)新，并帶來諸多新的業(yè)務特征。本節(jié)將重點分析這些業(yè)務特征給網(wǎng)絡可信通信帶來的需求和挑戰(zhàn)。

? 泛在連接。網(wǎng)絡連接模式從“人-人”互聯(lián)向“物-物”互聯(lián)以及“人-物”互聯(lián)發(fā)展。泛在連接不僅包括連接數(shù)量的指數(shù)級增長和空天地海的廣域覆蓋，更重要的是，還包括無處不在的連接、算力的下沉和通信節(jié)點間的自主連接。車聯(lián)網(wǎng)、傳感器網(wǎng)絡等新型業(yè)務模式，促使通信從單一客戶端／服務器的請求服務模式向多元化的對等通信模式演變。當前服務器認證終端用戶的方式不再普遍適用，可信通信架構需要進行重構。

? 網(wǎng)絡開放。云計算、邊緣計算、天地一體化都使得網(wǎng)絡更加開放，需要在開放的物理環(huán)境下構建一個相對安全可信的邏輯網(wǎng)絡。更重要的是，企業(yè)信息化和數(shù)字化轉型打破了原有生產領域的封閉性。生產網(wǎng)絡IP化、終端的智能化均使得生產領域面臨域內、域間的雙重威脅，因此不能僅僅關注來自辦公領域的橫向滲透。如何保障數(shù)字化生產領域的域內安全，構建安全可信的內部通信網(wǎng)絡，是企業(yè)數(shù)字化轉型時需要重點考慮的安全問題。

? 海量終端。未來網(wǎng)絡不僅要提升網(wǎng)絡覆蓋的廣度，還要提升覆蓋的連接密度。類型多樣、數(shù)量龐大的終端將使得網(wǎng)絡的攻擊面進一步擴大。尤其是低功耗、低成本的弱終端，缺乏自我防護能力，存在漏洞修復困難問題，更易于被攻擊者利用或假冒。因而網(wǎng)絡需要增強對通信終端的控制力，尤其要增強對通信節(jié)點真實性的保障。

? 算力增強。伴隨著算力提升，單位時間內的數(shù)據(jù)量也將持續(xù)增長，攻擊者更容易獲取攻擊所需的算力。網(wǎng)絡資產（尤其是一些高價值的資產）將更容易遭受到攻擊，例如衛(wèi)星節(jié)點遭受DDoS攻擊。避免算力因素對通信節(jié)點假冒攻擊的放大效應，提升對通信節(jié)點真實性的保障。

未來網(wǎng)絡的安全挑戰(zhàn)包括兩個方面：一方面，隨著網(wǎng)絡承載的資產價值增大，攻擊程度在加深，風險也隨之變大；另一方面，業(yè)務模型的多樣化使得通信模式發(fā)生改變，通信安全架構需要進行再設計。未來網(wǎng)絡需要進行安全設計，以便在新業(yè)務應用場景中為新型網(wǎng)絡體系架構賦予最基礎而又有效的可信通信能力，為未來業(yè)務的持續(xù)創(chuàng)新和廣泛應用提供必要條件。

1.2 未來網(wǎng)絡需要在網(wǎng)絡層構建可信通信技術

在傳統(tǒng)網(wǎng)絡中，由于網(wǎng)絡缺乏安全設計，通信安全問題需要由應用層來解決。例如，在對身份的真實性進行驗證時，由于網(wǎng)絡身份缺乏唯一性和確定性表達，通常由應用層對用戶身份進行驗證。長此以往，人們甚至會認為，安全問題應該僅由應用層來解決。然而，應用層的“補丁式”防護，不但效能低下，而且難以在未來網(wǎng)絡的諸多新興場景中應用。本節(jié)圍繞身份真實性問題，對比分析了網(wǎng)絡層IP地址真實性與應用層用戶身份真實性的防護能力與效果，同時論述了在網(wǎng)絡層構建可信通信技術的必要性。

（1）網(wǎng)絡層的身份真實性防護機制比用戶層具有更高的系統(tǒng)效能。

圖1展示了一個用戶訪問網(wǎng)絡的典型模型，其中圖的上半部分展示的是只進行應用身份真實性防護的情況。當前，大部分應用都會在向用戶提供服務之前對用戶身份進行驗證，因而非法用戶（黑色用戶圖標）如果不能通過身份驗證，則無法訪問該應用服務。但是，對用戶身份進行驗證是一項很復雜的工作，中間件和操作系統(tǒng)層通常不具備這項能力。例如，“永恒之藍”[10]之所以可以廣泛傳播，就是因為借助了Windows的445開放端口服務。同時，應用層雖然可以阻止非法用戶的訪問，卻難以有效防范DDoS攻擊。

▲圖1 用戶互聯(lián)網(wǎng)場景下的防護模式對比

圖1的下半部分展示的是同時進行網(wǎng)絡層身份真實性防護的情況。如果加入基本的網(wǎng)絡準入機制，網(wǎng)絡就會首先拒絕非法用戶（黑色用戶圖標）的接入，可以有效減少非法用戶對應用節(jié)點和其他網(wǎng)絡節(jié)點的攻擊。雖然網(wǎng)絡準入不能替代應用層的身份驗證，卻可以極大地降低應用層遭受攻擊的風險。

基于應用層的用戶身份真實性防護機制，只能為單個服務提供保護，無法保障整個系統(tǒng)的安全；而基于網(wǎng)絡層的身份真實性防護機制，卻可以提供更低風險、更“干凈”的通信環(huán)境。同時，網(wǎng)絡身份的唯一性具有不可否認屬性。不論是非法用戶還是合法用戶，在網(wǎng)絡攻擊發(fā)生后，均可以被溯源和審計，而應用層身份不具備普遍追溯的能力。因此，網(wǎng)絡層的身份真實性防護至少具備兩個優(yōu)勢：為封閉網(wǎng)絡提供準入機制，為開放網(wǎng)絡提供溯源能力。

（2）應用層的用戶身份真實性防護機制難以在新的業(yè)務模型和通信模式下應用。

如圖 2上半部分所示，當前的工業(yè)互聯(lián)網(wǎng)生產線上使用了控制器局域網(wǎng)（CAN）、以太網(wǎng)控制自動化技術（EtherCAT）等各種現(xiàn)場總線協(xié)議。接入到總線上的各通信節(jié)點，通常屬于對等通信體，即按需臨時分配主從節(jié)點。對等通信模式在越來越多的領域中得到應用，例如車聯(lián)網(wǎng)、傳感器網(wǎng)絡等。此外，這種模式在云內容器間通信、5G服務化架構（SBA）網(wǎng)絡中也開始應用。

▲圖2 產業(yè)互聯(lián)網(wǎng)場景下的防護模式對比

此外，工業(yè)領域也紛紛開始了網(wǎng)絡的IP化改造。由圖 2可知，將總線抽象為IP網(wǎng)絡交換機，對原有的業(yè)務模型和通信模式影響最小。在原有的業(yè)務模型下，工業(yè)節(jié)點可以即插即用，通信身份通常由總線進行標識。相應地，在IP改造后的通信模式下，新的身份通過網(wǎng)絡來標識比通過應用來標識更具兼容性。在原有的通信模式下，工業(yè)節(jié)點可以對等訪問。如果采用應用層身份來標識，就需要每個通信節(jié)點都啟用應用層身份驗證機制。這將大大增加系統(tǒng)改造的代價。

工業(yè)領域生產現(xiàn)場的安全性很大程度上依賴于物理隔離、技術與產業(yè)的封閉性。但在完成IP化改造后，網(wǎng)絡風險將顯著增大。攻擊者可以利用一部手機或者其他智能終端，通過交換機或者Wi-Fi，很容易進入現(xiàn)場網(wǎng)絡，從而實施攻擊。因此，生產領域的域內風險是工業(yè)數(shù)字化需要重點考慮的安全問題。在新的通信模式下，尤其是在物-物對等通信的場景下，基于網(wǎng)絡層的可信通信更具兼容性和經濟性，更加有利于工廠的產業(yè)數(shù)字化改造。

互聯(lián)網(wǎng)和通信網(wǎng)絡的高速發(fā)展，極大地提振了人們對社會信息化和數(shù)字化的信心。人們希望基于成熟的IP網(wǎng)絡架構和網(wǎng)絡生態(tài)來構建新型的基礎設施，促使更多的社會資產和服務基于IP網(wǎng)絡進行互聯(lián)互通。由上述分析可知，網(wǎng)絡的安全問題并不一定全都由新的業(yè)務模型和攻擊手段引入。從圖2中工業(yè)生產領域的例子可以看出，網(wǎng)絡的開放性不僅包括基礎設施共享和網(wǎng)絡邊界的模糊，還包括信息化和數(shù)字化本身。未來網(wǎng)絡對安全的需求，從某種角度講，不是因為網(wǎng)絡變得復雜了，而是因為網(wǎng)絡變得太簡單了。

對于網(wǎng)絡中新的使用者來講，網(wǎng)絡提供基本的安全保障和“接入即安全、通信即安全”的安全能力是生產領域快速實現(xiàn)數(shù)字化轉型的一個必要條件。這種能力是傳統(tǒng)網(wǎng)絡體系所不具備的。未來網(wǎng)絡應該構建網(wǎng)絡的可信通信能力，幫助業(yè)務實現(xiàn)高效、便捷和安全的信息化和數(shù)字化改造。

2 IP地址欺騙攻擊分析

未來網(wǎng)絡的可信通信應該首先聚焦于網(wǎng)絡安全的原初問題，即如何解決IP地址的欺騙問題，以保障網(wǎng)絡身份和位置的真實性。本節(jié)將重點分析基于身份和位置的攻擊對網(wǎng)絡的影響，以便為后續(xù)地址真實性技術方向的研究提供依據(jù)。表1列出了目前IP網(wǎng)絡中存在的幾種典型攻擊，這些攻擊都與IP地址欺騙相關[3]。其中，身份假冒和地址假冒均可單獨引發(fā)IP地址欺騙攻擊。

▼表1 互聯(lián)網(wǎng)協(xié)議地址欺騙攻擊列表

為了避免被溯源和審計，或者達成某些攻擊目的，攻擊者往往將自己的網(wǎng)絡身份和位置進行隱藏，假冒他人身份（或在非法的位置）進行攻擊。網(wǎng)絡地址在網(wǎng)絡系統(tǒng)中有身份位置合一、身份位置分離兩種典型表達。當前的網(wǎng)絡系統(tǒng)采用身份位置合一的方式。IP地址兼具身份位置雙重含義。在大部分情況下，攻擊者對報文中的IP地址進行偽造，既是對身份的假冒，也是對位置的假冒。

一些改進的網(wǎng)絡系統(tǒng)采用了身份和位置分離的方式。通信端的身份標識與位置標識采用不同的報文字段來表達。身份和位置可以被獨立假冒和攻擊：

? 身份假冒。身份假冒缺少了身份真實性保障。通信雙方難以獲知通信對象的真假，很容易發(fā)生會話劫持或假冒，從而導致通信數(shù)據(jù)被進一步篡改和竊取。同時身份的假冒可以使攻擊者避免追溯，也可以使攻擊事件被否認。因而身份的真實性是可信通信重點保障的目標。

? 位置假冒。位置真實性保障是通信中很容易被忽略的因素。如果網(wǎng)絡只保障身份真實性，而不保障位置真實性，位置假冒的報文就仍然可以在網(wǎng)絡中傳輸。這會給通信節(jié)點的可用性帶來極大風險。如圖3所示，Alice發(fā)送報文給Bob，報文被攻擊者截獲。攻擊者將報文源位置標識修改為攻擊對象Charlie的位置信息。接收者Bob如果只驗證Alice身份信息而忽略其位置信息，會將應答報文回傳給Charlie，從而導致對Charlie的反射式攻擊。

▲圖3 位置假冒導致反射攻擊的案例

由此可見，通過單獨偽造身份標識或位置標識均可以引發(fā)網(wǎng)絡攻擊。攻擊者不僅可以假冒身份標識，偽造通信方身份并發(fā)送非法報文，竊取、偽造和破壞通信數(shù)據(jù)，還可以假冒和篡改位置標識信息，破壞網(wǎng)絡服務。很顯然，身份和位置兩者同時被假冒的情形，也同樣能夠引發(fā)上述典型攻擊。為了避免身份偽造形成的多種攻擊，未來網(wǎng)絡需要同時考慮對身份與位置的保護。

3 可信通信現(xiàn)有方案分析

基于IP地址欺騙的網(wǎng)絡攻擊給網(wǎng)絡安全帶來了巨大挑戰(zhàn)。業(yè)界在不斷探索針對IP地址欺騙的防范機制，并針對不同的防護思路推出了多種技術方案。由于IP地址具有位置和身份的雙重含義，因此這些方案也可以分為兩大技術方向：對位置的真實性防護和對身份的真實性防護。同時，網(wǎng)絡體系本身也在演進發(fā)展。除了現(xiàn)有的網(wǎng)絡體系外，還存在改良型和革新型的網(wǎng)絡體系。這些體系對IP地址的真實性保障，主要體現(xiàn)在對身份的真實性保障上，是在新的網(wǎng)絡體系基礎上開展的。按技術方向和網(wǎng)絡體系，表2給出當前典型的地址可信技術方案。

▼表2 地址可信技術總覽

可以看出，基于位置的真實性防護主要借助路由表來實現(xiàn)對源地址真實性的反向驗證。我們將其稱之為基于位置的訪問控制技術。這種方式適應性較強，可以適應于各種以IP路由為基礎的網(wǎng)絡體系。為了實現(xiàn)對身份真實性的防護，典型的方式是采用密碼學技術。通過通告其他節(jié)點不可獲知的私密信息（如基于密鑰的簽名）可證實本節(jié)點擁有的唯一身份。我們將其稱為基于身份的可信驗證技術。在身份真實性保障技術方案中，有基于當前IP體系進行增強的，也有基于身份位置分離架構設計的。革新型的網(wǎng)絡體系方案涉及較大的體系架構調整，使之前對于IP地址的分析不完全適用。

表3給出了現(xiàn)有地址可信技術的對比?？梢钥闯?，雖然目前位置標識和身份標識均存在相應的防護技術，但都存在一定程度的不足?；谖恢玫脑L問控制技術雖然可以利用路由表和地址列表實現(xiàn)輕量化的位置真實性檢查，但由于不對身份真實性進行保障，缺乏地址來源的合法性檢查，并不能覆蓋IP地址欺騙的所有場景。而基于身份的可信驗證技術則普遍存在性能較低、兼容性差和不夠系統(tǒng)化等問題，難以廣泛應用。單純的身份假冒和位置假冒都可能造成IP地址欺騙攻擊，因而如果只保障其中一個方面，則無法有效防范所有攻擊。

▼表3 現(xiàn)有地址可信技術對比分析

4 可信通信的技術體系與關鍵技術

互聯(lián)網(wǎng)地址體系不具備地址真實性驗證機制。網(wǎng)絡中存在的各種IP地址欺騙的攻擊給互聯(lián)網(wǎng)環(huán)境造成了極大危害。解決身份真實性問題是構建真實可信的互聯(lián)網(wǎng)環(huán)境的基礎和前提。在當前IP同時包含身份與位置屬性的場景下，對身份的攻擊往往從地址攻擊中表現(xiàn)出來。在未來身份與位置分離的情況下，對身份的攻擊可以表現(xiàn)為身份標識的欺騙和位置標識的欺騙?，F(xiàn)有技術雖然針對身份標識和位置標識都采取了一定程度的保護機制，但并未徹底解決問題。

圖4給出了可信通信的問題與技術路線。從互聯(lián)網(wǎng)可信通信的安全問題、技術需求、防范機制來看，可信通信包含身份保護和位置保護兩大技術路線。這兩條技術路線同時又存在各自的技術缺陷。

▲圖4 可信通信的問題與技術路線

4.1 技術體系和原則

如果要實現(xiàn)廣泛應用，可信通信的技術方案應該是一套健全、完善的解決方案。該方案不僅能在網(wǎng)絡標識保護過程中融入真實性保障，還可滿足高性能系統(tǒng)需求。從目前的技術方案來看，這仍是一個長期而艱巨的挑戰(zhàn)?；趯尚磐ㄐ偶夹g需求和方案的分析，我們先給出未來網(wǎng)絡可信通信的基本原則。

（1）可信通信有兩個需求維度：身份真實性與位置真實性。這兩個需求維度需要被同時滿足，即無論采取何種技術方案，都需要對身份和位置同時進行防護。遺漏任何一項都會造成技術方案的不足。

（2）可信通信有兩類典型的技術方向：訪問控制和密碼學。兩類技術與身份、位置等網(wǎng)絡特性結合，各具優(yōu)勢。綜合考慮性能、安全性、兼容性等因素，選擇若干技術進行組合，可以有效地實現(xiàn)網(wǎng)絡的可信通信。

圖5給出了基于這一原則的可信通信矩陣。為了給未來網(wǎng)絡提供完整而又全面的保護，需要同時從身份和位置層面來考慮訪問控制可信技術及密碼學驗證機制，以滿足全方位安全可信保障需求。然而，當前的可信通信方案側重于對位置的訪問控制和對身份的密碼學驗證兩個技術領域，忽略了對另外兩個技術領域的探索。基于訪問控制的身份驗證技術，在與當前基于訪問控制的位置驗證技術結合后，既可以彌補當前訪問控制技術的不足，又可以在一定程度替代基于密碼學的身份驗證技術。

▲圖5 可信通信技術矩陣

4.2 訪問控制技術

通過檢查并過濾IP報文的源位置標識或者源身份標識，基于訪問控制的可信技術可以阻止攜帶假標識的非法報文通過。整個基于訪問控制的可信技術體系包含三層技術框架：接入網(wǎng)控制、域內網(wǎng)絡控制和域間網(wǎng)絡控制。構建多層、系統(tǒng)化的身份可信體系可以保障整個業(yè)務通信過程的合法性。

? 接入網(wǎng)驗證可通過深度融合身份認證與地址分配功能，基于動態(tài)主機配置協(xié)議（DHCP） Snooping等來構建源信息合法性校驗機制（ID Filtering），并增強接入設備中過濾表的真實有效性，以實現(xiàn)近源端防御，進而在數(shù)據(jù)報文的首跳節(jié)點扼制攻擊的形成與傳播。借助高可信的身份認證和輕量級的訪問控制技術，可以實現(xiàn)身份和位置的雙重保護。提供高效的源節(jié)點真實性驗證機制可以解決現(xiàn)有技術中低性能和真實性缺失的問題。

? 域內驗證采用地址過濾表方式。在同一管理域下的路由設備，可在設備上構建過濾表，并將路由前綴與設備的入端口進行關聯(lián)。源域的邊緣路由器可以通過該過濾表對收到的報文進行前綴驗證，從而防止主機假冒任意地址。域內驗證與接入網(wǎng)驗證結合能夠實現(xiàn)完整的域內可信防護機制。

? 域間驗證可以通過在邊界路由器上構建一個驗證規(guī)則表，將路由器的每個入口與一組有效的源地址塊或者域信息相關聯(lián)，以用于過濾偽造的報文。

4.3 密碼學驗證技術

針對身份與位置的密碼學驗證技術主要包括基于對稱密鑰的驗證技術和基于非對稱密鑰的驗證技術。

（1）對稱密鑰方案

在基于對稱密鑰進行驗證的方案中，通信雙方通過密鑰協(xié)商或預共享的方式生成系統(tǒng)的共享密鑰。源端使用共享密鑰生成驗證碼，同時驗證端使用共享密鑰驗證源端身份。將對稱密鑰驗證方案應用于端到端系統(tǒng)的多點驗證時，借助報文路徑上多個節(jié)點與源節(jié)點協(xié)商生成的對稱秘鑰，源主機在發(fā)送報文前會針對身份或位置產生校驗碼，在報文到達中間節(jié)點時對身份、位置進行可信驗證。該方案無須改變TCP/IP，與現(xiàn)有系統(tǒng)兼容，可以從不同層面增強系統(tǒng)的防御控制能力。首先，該方案可通過源域節(jié)點實現(xiàn)對源端的驗證，并通過目的域對源端進行校驗，可以全方位提供報文來源真實性保障；其次，該方案不僅對身份標識進行驗證，還考慮了基于位置的密碼學防護（IP Verification），從驗證對象層面改善現(xiàn)有技術的不足，實現(xiàn)了最終應用或業(yè)務的全面保護。

（2）非對稱密鑰方案

基于非對稱密鑰的驗證技術利用公私鑰管理技術，在轉發(fā)面上通過私鑰進行簽名，同時通過公鑰進行驗簽。該方案主要包括兩類分支：基于數(shù)字證書機制和基于自認證的密鑰管理機制。類似于對稱密鑰方案，非對稱密鑰方案也擁有實現(xiàn)全系統(tǒng)的多點驗證機制。該方案在報文中添加針對身份或位置的簽名信息，由報文途經的多個節(jié)點對報文的發(fā)起端依次進行身份、位置驗證，最終可實現(xiàn)近源防護、目的節(jié)點保護等多重安全保障，具備較好的系統(tǒng)性防御效果。

4.4 技術對比分析

一種理想的身份可信技術方案應盡可能優(yōu)化以下幾個特性。

（1）身份或位置欺騙防御能力：鑒別偽造身份/位置（前綴）的能力,包括準確性、實時性等（還應結合追溯定位技術為審計追查提供基礎）。

（2）可部署性：針對當前網(wǎng)絡基礎設施應具備良好的兼容性,支持增量部署,為運營商提供部署激勵。

（3）開銷：包括方案的存儲開銷、計算開銷、帶寬開銷等，也包括對網(wǎng)絡性能造成的影響。

根據(jù)以上3個特性，我們對“基于訪問控制的可信”和“基于密碼學的驗證”兩種攻擊防御技術方案進行對比，如表4所示。

▼表4 攻擊防御技術對比分析

在身份攻擊的防御能力方面，方案1從接入網(wǎng)、邊界、域間3個層面分別對源地址、地址前綴、域3個粒度進行訪問控制，粒度相對較粗，在某些情況下存在一些防御難題（如業(yè)務面地址的真實性不足等）；而方案2是一種直接確認源主機位置/身份標識所有權的方法，真實性程度高，防御準確性好。方案1和方案2都可部署在第1跳接入路由器上，進行近源防護，實時性基本相同。方案1根據(jù)位置進行追蹤，在移動性及多宿主的場景下，無法直接定位身份；而方案2可依賴密鑰來關聯(lián)信息，進而直接定位身份，追溯性較好。

從可部署性方面看，方案1無需擴展協(xié)議，只需對交換機、路由器進行少量軟件升級即可；而方案2需要擴展地址和路由協(xié)議以及密碼體系的支持,實際部署難度大。

從開銷上看，方案1需要在接入和邊界路由器上建立過濾規(guī)則表，并依據(jù)源報文中的字段進行過濾，不在源報文中增加新的字段，也不涉及復雜的運算，故開銷較小；而方案2需要進行密鑰管理，不僅要在報文中增加簽名或校驗碼，還要在驗證節(jié)點上進行加解密的運算，故系統(tǒng)開銷較大。

總體來說，基于密碼學驗證機制的方案安全能力好，但部署難度和開銷都較大；基于訪問控制的方案可部署性好，開銷也較小，但安全能力相對較弱。就目前來看,很少有哪一種方案或技術能夠在各個方面都做得很優(yōu)秀。安全能力與部署能力的矛盾始終是一個巨大的挑戰(zhàn)。

5 技術應用建議

針對上文提出的技術原則和技術方向，基于訪問控制和密碼學驗證兩類技術的分析和比對，兩類技術方向各有優(yōu)劣，適用于不同場景。未來網(wǎng)絡需要面臨多樣化的應用場景，不僅需要滿足高帶寬、超高吞吐、超低時延的網(wǎng)絡需求，還要考慮海量資源受限的弱終端接入。未來網(wǎng)絡可信通信需要具備高效輕量化的可信驗證和轉發(fā)機制。但由于未來網(wǎng)絡承載著高資產價值，因此也需要考慮高安全性的需求。本文中，我們在如下幾個方面提出建議：

? 性能是未來網(wǎng)絡大部分應用場景優(yōu)先考慮的因素。優(yōu)先選擇深度融合身份認證與地址分配的基于訪問控制技術，可以兼顧防御能力、易部署性和性能。

? 為了實現(xiàn)業(yè)務端到端安全可信通信，基于訪問控制的可信技術往往需要實現(xiàn)全系統(tǒng)部署。因此，當應用場景需要全網(wǎng)進行防護但無法整網(wǎng)全面部署時，或者需要高級別安全保障時，可考慮基于密碼學的驗證機制。

? 對于基于密碼學的兩大類機制（非對稱和對稱方案），雖然對稱算法需要借助控制面體系來輔助完成數(shù)據(jù)面的安全標識和密鑰傳遞，但在路由轉發(fā)層面的驗證性能優(yōu)勢顯著。結合網(wǎng)絡安全策略的按需檢驗機制，可以構建靈活高效驗證轉發(fā)能力的通信體系，滿足未來網(wǎng)絡高吞吐高效傳輸演進需求。因此，對于基于密碼學的驗證機制而言，對稱算法的方案更值得推薦。

? 基于訪問控制的可信技術從是否屬于該網(wǎng)絡的合法信息方面來進行判斷和控制?；诿艽a學的驗證機制從身份真實性角度來判斷和保障。兩類技術方向分別解決不同場景的攻擊問題。在需要系統(tǒng)性高級別安全保障的情形中，兩類機制的融合可以實現(xiàn)全方位、全系統(tǒng)的安全防護。

6 結束語

未來網(wǎng)絡可信通信技術通過在IP網(wǎng)絡中構建可信的網(wǎng)絡標識，建立以網(wǎng)絡為核心的端到端的可信關系，實現(xiàn)了域內域間的信任傳遞，不僅能確保網(wǎng)絡標識可驗證、可追溯、不可篡改，還可有效提升網(wǎng)絡身份在端到端通信中的真實性交互能力，充分保障了業(yè)務和應用未來的持續(xù)發(fā)展。本文中，我們在全面分析身份假冒誘發(fā)成因及其形成的若干典型安全攻擊的基礎上，針對現(xiàn)有可信通信技術系統(tǒng)性的不足，從身份標識和位置標識的角度，結合不同技術方向的維度，深入分析了各技術方向的適應性，為未來網(wǎng)絡架構的設計提出安全可信防護建議。

致謝

本研究得到中興通訊股份有限公司譚斌、王繼剛、黃兵、周繼華、馬彧、吳華強、彭少富等專家的幫助，謹致謝意！