互联网劫持检测

计算机学报2020CHINESEJOURNALOFCOMPUTERSOnline本课题得到国家重点研发计划课题(2018YFB0803405)、国家杰出青年科学基金(61825204)、国家自然科学基金(61932016,61802222)、北京高校卓越青年科学家计划项目(BJJWZYJH01201910003011)、国家研究中心项目(BNR2019RC01011)、鹏城实验室大湾区未来网络试验与应用环境项目(LZC0019)、华为技术有限公司委托项目(HF2019015003)资助.
(tel:13001081658)徐恪(通信作者),男,1974年生,博士,教授,博士生导师,主要研究领域为新一代互联网、区块链系统、物联网和网络安全.
E-mail:xuke@mail.
tsinghua.
edu.
cn.
付松涛,男,1982年生,博士研究生,主要研究领域为网络体系结构、网络安全.
李琦,男,1979年生,博士,副教授,主要研究方向为网络安全、隐私保护、大数据安全.
刘冰洋,男,1985年生,博士,主要研究方向为网络架构、网络安全及可信、路由和命名解析、确定性网络等.
江伟玉,女,1987年生,博士,主要研究方向为网络安全、可信身份管理、隐私与IoT安全.
吴波,男,1990年生,博士,主要研究方向为网络体系结构、网络安全.
冯学伟,男,1985年生,博士研究生,主要研究方向为网络体系结构、网络安全.
互联网内生安全体系结构研究进展徐恪1,2,3)付松涛1,2)李琦2,4)刘冰洋5)江伟玉5)吴波5)冯学伟1,2)1)(清华大学计算机科学与技术系北京100084)2)(北京信息科学与技术国家研究中心北京100084)3)(鹏城实验室深圳518000)4)(清华大学网络科学与网络空间研究院北京100084)5)(华为技术有限公司2012实验室北京100085)摘要随着互联网不断发展,网络功能逐步走向万物互联下自动交互与控制,大数据、云计算、边缘计算等技术不断深入应用,传统网络面临的源地址欺骗、DDoS攻击、路由劫持等安全问题仍然存在,新的应用场景使用户面临更严重的安全问题,现有互联网体系结构面向性能的设计难以承担网络安全的需求.
互联网安全问题的根源在于体系结构设计时没有考虑安全需求,缺乏用户与网络的信任根基,由于体系结构设计缺失带来的问题应该从体系结构设计本身寻找解决方案.
设计自带安全属性和安全能力的体系结构,通过内生的方式提供网络安全,能够从根本上提升网络安全性能.
本文深入研究和总结了近年来针对互联网安全问题提出的各类解决方案,对方案的安全特性进行了分析,在此基础上提出了构建互联网内生安全体系结构的思路.
关键词互联网;内生安全;互联网体系结构中图法分类号TP393TheResearchProgressonIntrinsicInternetSecurityArchitectureXUKe1,2,3)FUSong-Tao1,2)LIQi2,4)LIUBing-Yang5)JIANGWei-Yu5)WUBo5)FENGXue-Wei1,2)1)(DepartmentofComputerScienceandTechnology,TsinghuaUniversity,Beijing100084)2)(BeijingNationalResearchCenterforInformationScienceandTechnology,Beijing100084)3)(PengChengLaboratory,Shenzhen,518000)4)(InstituteforNetworkScienceandCyberspace,TsinghuaUniversity,Beijing100084)5)(2012Labs,HuaweiTechnologyCo.
Ltd.
,Beijing100085)AbstractWiththedevelopmentoftheInternet,thefunctionalityofthenetworkextendstotheautomaticinteractionandcontrolundertheinterconnectionofthings.
ThesecurityproblemsofthetraditionalnetworksuchasSourceSpoofing,DDoSattack,andRouteHijackingstillexist.
Atthesametime,thetechnologyofBigData,CloudComputing,aswellasEdgeComputingisappliedtotheInternet,bringsnewsecurityproblems.
Therefore,theuserinthenetworkfacedmoresecurityproblems.
ThetraditionalInternetarchitecture,whichisdesignedtowardsperformanceandlacksthefoundationoftrustbetweentheusersandnetwork,isnotenoughtomeetthesecurityrequirementsofthenetwork.
Toimprovenetworksecurityperformance,therehavebeenmanydifferentideasforconstructingthefutureInternetarchitecture,whichmainlyincludingthefollowingdesigns:(1)ThewayrepairedtheproblemsofthenetworkforincrementaldeploymenttotheexistingInternetarchitecture;(2)Theclean-slatedesignwhichabandonstheexistingInternetarchitecture,redesignsthenetworkinarevolutionaryway;(3)TheevolutionarywaywhichaimstoresolvetheexistingoremergingproblemsoftheInternet,whilekeepthebackwardcompatibilityaswellastheincrementaldeployment,andeventuallytowardsanewInternetarchitecture.
Webelievethatonlythroughtherepairedwaycan'tsolvetheinherentproblemsoftheexistingInternetarchitecture,whiletheclean-slatedesign,whichisdifficulttoachieveincrementaldeployment,atleastsofar,2计算机学报2020年havenotshowninstancesofnewapplicationsorservicesthatcanbedirectlyorindirectlydeployedinthecurrentInternet.
Theevolutionaryway,whichchangetheInternetasanevolvingecosystem,couldnotonlyachieveastabletransitionbutalsobringinnovationstomeettheevolvingrequirements.
WemaintainthattheevolutionarywaycanbeadoptedbythecurrentInternetarchitectureandbringpositiveimpactontheecosystemwhichmanymillionsofpeoplelive,work,andcommunicate.
Toachievetheevolutionaryway,weneedtostudyandunderstandthecurrentstateoftheInternet,predictwhereitisheadingandtheproblemsitmightsoonface,andeventuallyfindtherootcauseoftheexistingInternetsecurityproblems.
WeinsistthattherootcauseoftheexistingInternetsecurityproblemsliesintheInternetarchitecture,andthesecurityperformanceshouldbefundamentallyimprovedbydesigningnetworkarchitecturewithintrinsicsecurityattributesandcapabilities.
TheintrinsicsecurityarchitectureoftheInternetembedssecurityfunctionsasabasicelementtotheInternet,forminga"securitygene",whichensuresthatthebasiccommunicationunitsofthenetworkandtheuserswhoaccessthenetworkaretrustworthywithoutthehelpofexternalforces(securitysoftware,firewalls,etc.
).
Ingeneral,theintrinsicsecurityarchitectureshouldhavethefollowingtwocharacteristics:(1)Autonomousimmunity.
Thesecurityfunctionisembeddedwiththenetworkprotocoltoforma"securitygene".
Itdoesnotrelyonexternalequipmenttosolvesecurityproblemsandcandynamicallyimprovesecuritycapabilitieswithchangesinthenetworkenvironment.
(2)Reliableaswellascontrollable.
Thetrustworthinessamongtheterminals,infrastructureandapplicationservices,achievethecontrolofnetworkbasiccommunicationunits,users,andthenetworkapplicationservices.
ThispaperdeeplystudiesvariouskindsofdesignsagainsttheInternetsecurityproblemsinrecentyears,analyzestheintrinsicsecuritycharacteristicsofthesedesigns,andproposesourdesignideaofbuildingintrinsicInternetsecurityarchitecture.
KeywordsInternet;IntrinsicSecurity;InternetArchitecture1引言传统互联网体系结构面向性能的设计导致其面临严重安全威胁,如互联网缺乏真实地址鉴别能力,无法验证数据来源,带来源地址欺骗(SourceSpoofing)、拒绝服务(Denial-of-Service)、路由劫持(RouteHijacking)等攻击[1][2],给互联网及相关经济、社会和军事系统带来极大破坏.
到目前为止,各类安全解决方案不能从根本上解决网络面对的各种威胁[3].
Zave和Rexford认为互联网缺乏信任基础,网络组件和服务被攻击,甚至网络本身对用户非法监视或审查,这些安全问题应该在网络中解决[4].
针对传统互联网完全不可信的假设,Google设计了基于信任等级访问控制的零信任模型BeyondCorp[5][6],实现以身份为中心的动态访问控制,通过对用户行为和设备状态的分析管控构建新的安全互联网环境.
陈钟等人认为网络安全目标是使终端、网元、协议和应用具备先天防疫能力,摆脱网络安全被动跟随网络架构的束缚[7].
于涵等人基于免疫网络理论,引入免疫系统监控和管理信息传输系统行为,建立动态的网络模型防止网络入侵[8].
中国工程院于全院士从生物免疫系统角度,通过借鉴生物免疫系统带来的启示,提出依靠群体协作与对抗学习的网络安全防御类免疫动态安全架构[9].
中国工程院邬江兴院士认为,带来安全问题的漏洞或后门是未知的,通过生物拟态现象造成攻击者认知困境,形成内生的主动防御,从"构造决定安全"公理中寻求破解安全问题之路[10].
构建未来互联网体系结构,一直以来存在多种不同的思路,主要包括以下三种思路:(1)针对现有互联网体系结构不足进行增量式修补的改良式路线;(2)放弃现有互联网体系结构,重新设计的革命式路线;(3)寻求折中的演进式路线.
仅通过改良式路线不能解决现有互联网体系结构固有弊端,而革命式路线脱离当前互联网得以滋生、创新和发展的既有体系结构,难以实现增量式部署.
通过演进式路线,既能实现稳定过渡又能满足不断发展的应用需求[11].
我们认为,演进式路线在继承互联网体系结构基本设计原则和保证增量部署前提下进行革新,通过内生安全的互联网体系结构,既保证体系结构稳定过渡,又具备解决网络安全问题的能力.
互联网内生安全体系结构将安全功能作为基本要素耦合到体系结构,形成"安全基因",在不借助外力(安全软件、防火墙等)情况下,确保网络各通信基础单元及接入网络用户真实可信.
总体说来,内生安全应当具有以下两个特征:(1)自主免疫.
安全功能与网络协议紧密耦合,形成"安全基因",不借助外部设备解决安全问题,能够随网络环境变化动态提升安全能力.
(2)可信可控.
真实可信范围涵盖终端、基础设施到应用服务,实现网络各通信基础单元、接入网络用户及网络应用服务整体可信可控.
本文包括5个部分,第2部分分析了构建互联网内生安全体系结构面临的问题和挑战,第3部分对当前互联网具有一定内生安全能力的解决方案进行分析和比较,并对方案可部署性进行分析,第4部分提出了一个互联网内生安全体系结构框架,最后对本文进行了总结.
Online徐恪等:互联网内生安全体系结构研究进展32问题与挑战互联网诞生之初,用户数量相对较少,且用户主要来自教育科研结构,用户与网络存在信任基础.
随着互联网不断发展,用户数量达到十亿规模并持续增长,数据中心、云计算、边缘计算等技术广泛应用于互联网[12][13][14],用户与网络的交互更复杂,网络面临更严重的安全问题.
随着物联网的发展,互联网应用场景逐步走向人与万物互联[15][16],伴随物联网发展的是巨大的安全隐患.
彻底解决网络安全问题,需要探究网络问题产生的根源,网络安全问题产生的根源在于互联网现有体系结构面向性能的设计导致网络空间与用户空间缺乏信任机制,这种信任机制缺乏主要表现在:(1)地址标识不可信.
地址标识是互联网体系结构的基本载体,但没有成为真实可信的端设备标识.
互联网现有开放、易伪造的IP地址,严重破坏了通信真实性,由于没有源地址认证机制,导致IP地址可以被假冒、仿造、劫持,且难以溯源.
(2)路由体系不可信.
路由体系是互联网数据传输的核心,当前存在数据传输实际路径与宣告路径不一致,BGP缺乏对宣告消息合法性的验证能力,导致路由被劫持和假冒,发送者无法得到数据包沿预定路径传输的保证.
此外,网络中时常发生大规模分布式拒绝服务(DistributedDenialofService,DDoS)攻击等问题[17].
(3)应用服务和基础设施不可信.
为用户提供应用服务是互联网的目标,缺乏可信的用户身份认证机制造成数据访问隐私泄露,网络应用发布和运行监管缺失,大量针对应用漏洞的攻击带来严重安全问题.
现有中心化的公钥基础设施(PublicKeyInfrastructure,PKI)作为互联网的信任支撑,存在仿冒伪造及单点故障,易遭受攻击引起虚假身份等问题[18].
此外,互联网处于动态、开放的网络环境,安全问题解决方案还需要考虑部署成本问题.
因此,通过体系结构设计从根本上解决网络安全问题,需要将安全问题作为一个整体考虑,综合考虑方案的可部署性,将真实可信作为基本属性嵌入体系结构,建立网络和用户的信任机制.
我们认为,设计互联网内生安全体系结构面临如下挑战:(1)建立多类型端设备接入条件下的终端设备地址标识管理机制.
如何综合权衡互通、成本、安全和兼容性,确保网络具备验证终端设备地址真实性的能力.
(2)大规模网络路径真实性和路由节点行为的有效管控.
如何基于分组的差异化需求,保证分组传输过程实际路径与宣告路径一致,在分布式场景下有效管控路由节点行为,确保网络传输与路由控制"可信、可靠、可验证".
(3)跨域应用场景下数据访问和应用服务管控与监测.
如何在复杂应用场景下实现全局身份认证,改变全球网络基础设施不可信现状,确保用户身份和网络行为,以及应用服务"可信、可审计、可追溯".
3现有解决方案分析本节从端设备地址、传输路径、网络服务安全,以及新型体系结构设计等方面分析现有网络安全问题解决方案及其可部署性.
我们整理了当前具有一定代表性的网络安全问题解决方案,如表1所示,这些方案包括对现有互联网的改良或革命性设计,具备一定内生安全特性,对构建互联网内生安全体系结构具有借鉴和参考意义.
表1现有安全问题解决方案类型现有问题解决方案目标端设备地址缺乏端设备地址验证机制SAVA[19]/SAVI[20]/SPM[23]/Passport[24]/APPA[25]/Hidasav[26]/DISCS[27]/RISP[29]/IPsec[31]/HIP[32]/APIP[33]/AIP[34]/APNA[35]实现源地址真实性鉴别,提供地址审计能力和用户隐私保护RFID鉴别[39]/ZigBee鉴别[40]/802.
11网卡鉴别[41]基于设备物理特征实现认证传输路径路由体系信任缺失Pi[44]/stackPi[45]/SNAPP[46]/OPT[48]/OSP[49]/PPV[50]/ShortMAC[51]/Faultprints[52]/RFL[54]/TrueNet[55]/VeriDP[56]/NetSight[57]/DynaFL[58]/DFL[59]//DYNAPFV[60]/MINOS[61]SNP[62]/SPP[63]/Zeno[64]/Confluo[65]分组转发层面实现路径行为一致性验证、错误定位与网络诊断OA[66]/Argus[67]/DISCO[68]/SPV[69]/S-BGP[72]/So-BGP[73]/psBGP[74]/IRV[75]/BGPsec[76]/Path-EndValidation[77]/eOTC[80]/RLP[81]/ListenandWhisper[82]/ConsensusRouting[83]/NetReview[85]/TBGP[86]/Pathlet[87]/SCION[88]解决BGP前缀劫持、路径劫持、路由泄露等问题网络服务数据访问、应用服务和基础设施不可信Riverbed[93]/Ghostor[94]/IotSan[96]/IOTGUARD[97]数据访问安全Hydra[101]/SmartCrowd[103]/SmartRetro[104]应用发布和运行阶段安全ARPKI[106]/IKP[107]/CertChain[108]/BlockPKI[109]提升PKI等基础设施安全能力4计算机学报2020年新型体系结构设计XIA[110]/MobilityFirst[111]/NDN[112]/SAINT[113]/CompositionalArchitecture[116]/PINet[117]建立解决互联网现有问题的新型体系结构3.
1端设备地址安全大量研究从源地址安全的角度改进互联网开放接入带来的各类安全问题,从提升IP地址真实可信能力和保护隐私等方面提升安全性.
此外,一些研究基于无线通信设备物理层特征提升设备接入的安全性,这些特征可以与端设备地址绑定,从而提供适应于更多应用场景的安全能力.
3.
1.
1源地址安全源地址安全包括源地址验证和源地址保护,源地址验证确保源地址真实可信,源地址保护在确保可审计性的前提下保护源地址不被伪造,且有效防止隐私泄露.
(1)源地址验证源地址验证的目标是通过验证过滤含有非法源地址的数据包.
如图1所示,RFC5210[19]中提出源地址验证体系结构(SourceAddressValidationArchitecture,SAVA),将源地址验证划分为三层,在接入网、自治域(AutonomousSystem,AS)内、自治域间实现源地址验证及过滤三层框架.
在CNGI-CERNET2(中国下一代互联网示范工程CNGI核心网之一)中对SAVA进行了部署实现[20].
图1SAVA架构图①接入网验证RFC7039[21]提出了接入网源地址验证增强技术(SourceAddressValidationImprovement,SAVI),能够在第一跳交换机实现主机粒度源地址验证.
SAVI中所有主机统一管理,采用方案符合本地接入子网地址分配和管理策略,通过交换机端口和真实源IP地址,或MAC地址、源IP地址和交换机端口动态绑定验证交换机端口的数据包合法性.
②域内验证域内验证用于过滤域内用户发起的伪造报文,与接入网验证共同构建完整的域内防御体系.
与接入网验证一样,网络设备处于同一管理权限下,通过构建过滤表,将路由器每个传入接口与一组有效的地址前缀关联.
但域内验证只能约束域内用户行为,无法对外域攻击建立防御基础.
实际部署后,域内源地址验证仅能约束域内用户不向外发送伪造报文使互联网受益,对"外部"数据包源地址验证能力不强,难以实现"谁部署谁受益",导致缺乏部署激励[22].
③域间验证相对域内验证而言,域间验证实现较为复杂.
自治域之间达成共识是实现域间验证的有效方式.
SPM(SpoofingPreventionMethod)[23]建立自治域安全联盟,联盟内发送端与目的端事先协商好标签并添加于发送报文中,目的端验证源地址真实性.
SPM能够在接收端部署使部署者受益,以激励网络维护者部署,但SPM不能保护外部用户免受反射攻击,且密钥更新较慢降低了系统安全性.
Passport[24]通过AS间分享对称密钥,源端边界路由器为出向流量增加消息认证码,经过每个自治域时依次对当前AS对应的消息认证码进行验证,直到到达目的端,Passport的不足是传输路径改变时无法实现验证,对拓扑的依赖影响了可部署性.
APPA(AutomaticPeer-to-PeerAnti-spoofing)[25]实现了自治域内和自治域间两级过滤,自治域内(intra-AS)签名在网关验证;自治域间(inter-AS)源边界路由器标记签名,目的边界路由器实现验证,通过自动状态机改变签名,基于状态机实现AS粒度前缀验证.
但扁平化的域间验证体系导致边界路由器维护状态机数量过大,增加了路由器开销和状态机同步难度.
Hidasav(HierarchicalInter-DomainAuthenticatedSourceAddressValidation)[26]提出一种分层级建立联盟的域间源地址验证体系,AS联盟分为多个层级,每一层级联盟可作为成员参加更高层级联盟.
同一联盟内最低层级之间源地址验证通过联盟内状态机实现;跨联盟源地址验证时,源AS所在联盟各层级边界路由器作为跨联盟数据报文交互的"中继代理"自下而上替换标签,目的AS所在联盟各层级边界路由器自上而下替换标签,直到到达目的AS.
Hidasav能够降低通信、存储及计算开销,建立自治域间的信任关系,并能在互联网增量部署,实现"先部署先受益".
为提升域间源地址验证的灵活性,DISCS(DIStributedCollaborationSystem)[27]将互联网划分为多个防御联盟,联盟内提供与SPM类似的防御,仅在受到攻击时根据攻击类型按需调用联盟成员提供的防御函数.
DISCS提升了效率,其不足是可靠性依赖于BGP的安全性,这种依赖影响了方案的自主安全性.
同样依赖可信第三方的还有基于RPKI(ResourcePublicKeyInfrastructure)[28]提供源地址域间通信保护机制的RISP[29],通过RISP联盟中心、RISP服务器和自治系统边界路由器共同完成出向和入向流量过滤.
该方法的不足是过于依赖RPKI,RPKI实际部署速度很慢,在BGP宣告的IP前缀中只有少量受到RPKI保护,限制了其性能.
此外,还有方案基于分组路由信息实现过滤,在路由器转发端口建立合法源地址绑定表,分组传Online徐恪等:互联网内生安全体系结构研究进展5输过程中过滤绑定表以外的源地址报文[30].
但建立绑定表需要获取自治域合法地址前缀及源端路由选择信息,实际部署性较差.
总体说来,现有源地址真实性验证方案将验证功能与网络功能耦合,提供了一定的内生安全能力,但域内验证方案缺乏部署激励,域间验证方案存在带宽、计算资源开销过大等不足,影响数据传输性能,部分方案对第三方设施存在依赖.
建立互联网高效、可靠的地址验证体系,还需进一步探索.
(2)源地址保护源地址保护在保证源地址可审计性基础上,保护源地址不被别的主机用于伪造身份,以及保护源地址隐私.
①源地址伪造保护IPsec[31]能够借助加密技术同时保护源地址和目的地址,但存在开销大、可扩展性低等不足.
为保护网络主机移动后IP地址不被其他主机用来伪造身份发送数据包,HIP(HostIdentityProtocol)[32]在L3.
5层设计主机标识,IP地址只用于路由.
主机标识符HI(HostIdentity)标识用户身份,主机移动造成IP地址发生变化时对通信不存在影响,对端节点可以通过HI识别用户身份.
HI使用公钥哈希得到128位HIT(HostIdentityTag)作为主机标识.
HIP通过增加标识,在不依赖对IP地址审计的前提下解决移动性问题,安全功能与正常功能紧密耦合,提供内生安全支持,但需要IPsec增强数据安全性,开销较大,且交换过程容易引入DoS攻击,同时只能用于身份识别,不能防御地址前缀欺骗.
②源地址隐私保护Naylor等人认为增强IP地址可审计性的同时需要提供隐私保护,提出兼顾可审计性与隐私保护的APIP(AccountableandPrivateInternetProtocol)[33].
APIP将源IP分成两部分,对审计地址(AccountabilityAddress)和回传地址(ReturnAddress)分别管理.
作者在AIP(AccountableInternetProtocol)协议[34]源地址审计机制基础上设计了保护用户隐私前提下可审计策略.
借鉴AIP中委托审计(DelegatedAccountability),将地址分为两部分,每个数据包携带多个地址,用于传输数据的目的地址(DestinationAddress),和用于识别的审计地址.
APIP传输过程如图2所示,其传输过程包括:A:发送端携带审计地址发送;B:发送端向审计委托方发送数据包摘要;C:路由器或接收端向审计委托方确认数据包是否来自其委托的客户端;D:如果接收端确定数据包属于恶意流,则使用审计地址向委托审计方报告;E:接收方使用回传地址向发送方发出响应.
APIP能够确保只有委托审计方知道发送方发送了数据包,从而改进隐私保护问题,同时在处理恶意流的方式上有了更长效和明确的方案.
但安全功能并没有与正常协议功能紧密耦合,源端可以不报告或否认数据包.
图2APIP传输示意图APNA(AccountableandPrivateNetworkArchitecture)[35]在可审计性和隐私保护方面对APIP做了提升,AS通过向所属范围内的主机分配临时ID(EphemeralIdentifiers,EphIDs)用于通信,保护主机IP地址隐私,ISP仅对认证后的主机发放EphIDs,EphIDs与主机公私钥对关联,通信时源端和目的端通过与EphIDs关联的证书和公私钥协商通信对称密钥,所有数据加密通信.
目的端可以向审计代理(AccountabilityAgent,AA)发送中断通信请求,AA审计通过后终止源端流量.
APNA通过安全功能和协议功能的耦合提供了一定的内生安全性,但没有提供证书安全发放的手段,影响了整体安全性.
基于IP地址的命名与解析策略作为网络传输的核心承载机制,其设计对互联网影响至关重要,朱亮等人在文献[36]中提出了一种通用的地址框架,在文献[37]中提出了一种形式化的互联网地址机制通用框架,并进一步在文献[38]中创新命名机制,提出基于xml的通用命名服务,支持在体系结构中动态引入命名空间、协议实体以及对应解析机制,对应用透明的同时保证原有体系结构的兼容性及可理解性,可以作为构建具有内生安全能力互联网体系结构的参考和借鉴.
3.
1.
2物理层鉴别随着物联网的发展应用,大量设备/传感器通过网络互联,由于无线信道开放性引入的窃听、篡改或攻击,物理层鉴别(Physical-LayerIdentication,PLI)作为传统基于密码的无线通信的补充,在阻止非授权用户截获、窃听数据方面具有一定优势.
大量关于物理层鉴别的研究表明,硬件设备在调制方式、瞬态转变等方面存在一定区别,由此可形成端节点"指纹"特征,具有自认证特点.
Danev等人[39]提出射频识别设备(RadioFrequencyIdentificationDevices,RFID)鉴别方式,基于RFID应答机响应信号的调制形状和频谱特征差别识别不同RFID,为防止克隆设备伪造相同6计算机学报2020年RFID指纹,通过在授权方使用数字签名将RFID指纹绑定到文档ID,验证签名有效后,授权方将存储指纹与测量指纹进行比较,确保不受伪造设备影响.
此外,Danev等人还通过ZigBee设备在数据包开始传送到实际数据传送短暂的瞬态特征不同对节点进行鉴别[40].
但瞬态特征提取对设备要求极高,此外,攻击者可以通过爬山(Hill-climbing)算法试出被攻击者特征从而假冒被攻击者,也很容易制造噪声造成阻塞,影响了其实用性.
Polak等人对802.
11网卡的信号发射特征进行分析,认为这些信号差异即便可通过精确的制造工艺和质量控制来解决,但花费成本过高,可以通过无线网卡特征进行鉴别[41].
Henrik等人分析了机器通信(Machine-typeCommunication,MTC)网络中接入点与物联网节点的物理层认证(PhysicalLayerAuthentication,PLA)协议,以及附近存在攻击者实施数据注入、解除关联、女巫攻击对PLA的影响,证明了PLA协议在MTC关键任务应用中面对三种攻击的可用性[42].
总体说来,如表2所示,在源地址真实可信方面,以SAVA为代表的源地址认证技术具备一定内生安全性,但域间验证存在开销大及对第三方设施依赖等不足.
源地址保护方面,现有解决方案还不具备同时保护用户隐私和实现可审计性的内生安全能力.
现有物联网设备安全解决方案基于设备自身特性,具有一定自主内生安全性.
但随着软件无线电技术的发展,伪造这些特性并不困难,解决方案能否随攻击能力提升安全能力尚不明确;同时方案只适合小规模用户场景,如网关对本域内节点验证.
这些方案可作为锚在接入网内与IP地址绑定,为构建适用于异构网络节点接入的内生安全体系结构提供基础和参考.
表2端设备地址安全方案小结类型策略优点不足源地址真实性SAVA[19]/SAVI[21]/SPM[23]/Passport[24]/APPA[25]/Hidasav[26]/DISCS[27]/RISP[29]提供域内自律验证、域间安全审计域内缺乏部署激励,域间开销大或依赖第三方设施源地址保护IPsec[31]/HIP[32]/APIP[33]/AIP[34]/APNA[35]提供审计能力和用户隐私保护开销大,源端可避开审计或对第三方存在依赖物理层鉴别RFID鉴别[39]/ZigBee鉴别[40]/802.
11网卡鉴别[41]基于设备自身特性验证适合小规模场景,是否具备自我提升安全能力还需进一步验证3.
2传输路径安全确保数据传输链路从源地址到目的地址全链路生命周期安全是网络安全的重要组成部分.
我们从传输路径数据面和控制面分别分析相关解决方案.
3.
2.
1传输路径数据面安全传输路径数据面解决方案力求用最小的开销提供路径验证能力,并通过错误定位方案检测传输链路上的错误位置,甚至准确分析故障原因,从而制定网络策略.
传输路径验证(PathVericationMechanism,PVM)主要关注路径一致和遵从性(PathConsentandPathCompliance),确保接收端和路径上的节点能够验证传输路径是否符合要求,现有基于标识验证、可信硬件、集中式验证和设定路由规范等解决方案,将安全功能与常规功能耦合,具备一定的内生安全能力.
此外,网络诊断系统能够针对网络故障提供诊断功能,对构建互联网内生安全体系结构具有借鉴和参考意义.
(1)基于标识验证基于标识验证方面,通过在IP分组头部添加标识判断恶意流量以保护接收端的方案有:Savage等人[43]提出的基于随机标识辅助接收端判断恶意流量的机制;确保接收端能够通过数据包转发路径确定错误位置的Pi(PathIdentifier)机制[44];以及基于栈的概念,中间节点将标识信息依次写入栈中,接收端根据栈中信息判断转发路径是否安全的stackPi机制[45].
这些方式可以通过标识追溯路由节点行为,有效保护目的节点免遭DDoS攻击,但由于没有从根本上解决中间节点受到恶意攻击时有效防范问题,同时IP头部可以利用的标识符长度有限(通常不超过16位),假冒者可以学习标识添加方法,难以实现精确定位.
SNAPP(StatelessNetwork-AuthenticatedPathPinning)[46]的目标是通过路径一致在分组交换路由上实现电路交换性能,发送端和路由器依次添加消息完整性验证码(Message-IntegrityCode,MIC),下一跳路由器及目的端依次验证,具备较高的验证效率,但由于缺乏对数据包转发过程的防护,导致其应对攻击能力较弱.
ICING机制[47]在每个中间节点部署验证服务器,对接收数据包进行安全验证,提供了较高的安全保障.
但是其不足也十分明显,首先其复杂的验证过程带来网络传输时延明显增加,其次中间节点验证属于有状态操作,大大增加了存储开销,同时需要部署用于验证的专用服务器,削弱了实际部署可能性.
OPT(OriginandPathTrace)方案[48]设计了一种轻量级的源地址和路径验证策略,发送端在数据包头设置数据包转发路径上所有节点的标识,中间节点(路由器)及接收端依次在路径上接收相应标识.
OPT的中间节点只执行两次消息认证码(MessageAuthenticationCode,MAC)操作,提升了效率,但是需要所有节点都部署验证能力,同时仍然无法解决中间节点受到攻击产生恶意丢包的行为.
此外,由于OPT、ICING等认证码对加密方Online徐恪等:互联网内生安全体系结构研究进展7案的依赖,在数据包较多时带来较大的加密和验证开销.
通过源端和路由器使用正交序列作为证书,OSP(OrthogonalSequencebasedProtocol)[49]传输数据时,源端向提供商请求证书,提供商向相应的路由器下发证书,由于源端证书中包含与路由器证书正交的序列,路由器节点能够验证包的源地址和路径.
OSP提高了路由器存储和验证效率,其不足是每个节点都需要提供商下发验证信息,增加了管理开销.
为进一步提高效率与可靠性,Wu等人提出了中间路由节点以一定概率对数据包进行标识的PPV机制[50],可以减少分组头部额外的通信开销和安全验证的延时开销,从而提高源地址和路径验证的效率.
在13跳的情况下,PPV将OPT所需的近300Bytes通信开销降至64Bytes,并在目的端提供错误定位功能,同时基于随机标识方式更易在互联网增量部署.
通过在数据包头部新增标识字段,使发送端能够根据回传信息实现错误定位的策略有ShortMAC机制[51]、Faultprints机制[52]等.
ShortMAC在发送端增加标识字段,传输路径上各节点识别标识字段并验证,节点记录正确和错误的数据包数量,并将记录回传到发送端.
发送端接收数据包传输记录后,确定传输过程中异常发生的位置.
ShortMAC需要为每个源端存储对称密钥,对路由器存储资源消耗过大,无法用于域间通信.
Faultprints机制实现了域间路由转发错误定位.
其基本原理如下:发端发送数据时,按照一定规则设置数据包头,数据传输路径上各节点对数据包进行验证和采样,发送端接收来自传输路径的采样并定位异常节点.
由于设计了硬件加速方法,Faultprints具有较高的验证效率.
它们共同的不足是如果路径上有节点受到干扰,传来错误采样信息,发送端无法判断真伪,降低了可靠性.
Wu等人[53]提出了一种鲁棒性的轻量级错误节点定位机制,在此基础上,进一步在文献[54]中提出高鲁棒性错误定位机制(RobustFaultLocalization,RFL).
该机制中,每个路由节点随机采样数据包信息,源端接收这些回传信息.
通过高鲁棒性的密钥分发,轻量级的源地址和路径验证,实现高效可靠的错误定位.
如图3所示,ReqKey和AckKey表示对称密钥分发的请求和反馈,ReqProb和AckProb表示采样信息回传的请求与反馈.
经过对称密钥分发、源地址与路径验证到实现错误定位,由于采用了随机采样方式,降低了开销.
但RFL机制仍然不能保障回传信息不被篡改,基于传输路径不能假设为可靠信道这一前提,仍然没有策略能够解决恶意行为对中间节点的攻击,提供自主的内生安全性.
图3RFL机制工作流程(2)基于可信硬件基于可信硬件方面,TrueNet机制[55]引入了可信计算模块(TrustedComputingBase,TCB)收集网络状态,可信计算模块安装于发送端、传输路径节点、接收端,不同实体间的可信计算模块通过安全信息交互确定恶意链路位置.
TrueNet中可信计算模块的可信度直接影响了网络安全性,但可信模块本身并不是方案设计的一部分,方案的自主安全性受到可信模块的限制.
(3)集中式控制集中式控制通过软件定义网络(SoftwareDefinedNetwork,SDN)技术,以集中方式对源地址真实性和路径一致性进行验证,能够提高验证效率和准确性.
如VeriDP机制[56]通过合理的控制层策略对数据传输进行验证,保证数据传输路径一致.
NetSight[57]通过控制器收集传输路径上位于交换机的数据包相关信息,并通过这些信息恢复实际传输路径,从而判断网络行为,准确性更高.
DynaFL(DynamicFaultLocalization)机制[58]和DFL(DFL:SecureandPracticalFaultLocalizationforDatacenterNetworks)机制[59]集中收集传输路径上的节点验证信息,通过节点间相互采样提供适应动态变化网络的能力,适用于数据中心网络(DataCenterNetwork,DCN),但容易带来单点故障问题,且在互联网中部署存在困难.
DYNAPFV(DynamicPacketForwardingVerification)[60]在SDN内实现了一种高鲁棒性轻量级数据包传输验证方案,通过检测数据包和流统计信息以验证数据包真实性和传输行为.
DYNAPFV采用N-PFV(NovelPacketForwardingVerification)验证机制,所有交换机出入口生成packet_in数据包向控制器传送,控制器基于随机间隔从交换机得到流统计信息,验证路径上传输数据包数目.
通过出入口交换机传送数据包对比,N-PFV能够捕获包丢弃攻击,通过对比从相应交换机得到的信息,能够8计算机学报2020年识别统计信息出现的错误,并能在出口和入口交换机包不匹配情况下捕获对包的篡改和一些复杂攻击.
DYNAPFV的特点是仅在SDN控制器部署,不需要对交换机做任何改动,具有较好的可部署性.
(4)路由器规范验证路由器规范验证方面,Xu等人提出MINOS[61],与以往通过加密认证等确保路由操作真实性不同,MINOS从数据层面规范路由器,确保路由操作真实性.
MINOS通过中央管理器(CentralizedManager)验证路由器数据层面操作,在运行环境下动态规范路由器行为.
通过设定8bit的路由器组件识别符(ComponentIdentifier,CID)和由组件识别符序列组成的操作识别符(ActionIdentifier,AID),采用中央管理器的控制,识别数据包克隆、非法读取、丢弃等行为,从而规范路由行为.
作者基于Click路由器证实了MINOS的有效性和可靠性.
MINOS在数据层面实现了实时的路由规范,安全功能和路由功能紧密耦合,提供了内生安全性,但需要中央管理器管理正常行为,与集中式控制方式一样难以直接应用于互联网.
(5)网络诊断系统基于网络诊断系统分析网络行为实现网络故障诊断,能够提供更符合用户需求的安全性能.
文献[62]中建立了一种网络安全溯源机制(SecureNetworkProvenance,SNP),在发现恶意行为时找出产生该问题的根本原因.
基于记录数据相关性的数据起源图和记录节点行为证据的防伪日志,作者设计了SNooPy系统,将图的变化放在日志中,使用哈希保证其防篡改特性,利用对日志的微查询检验路由信息.
文献[63]中设计了一种新的网络诊断架构,作者认为现有网络故障检测,无论是借用ICMP等机制实现,还是增加协议字段、开发新协议等,都存在弊端,且与现有安全机制不兼容.
作者在IP层获取数据,通过网络记录包传输等事件及原因,为故障诊断提供帮助.
为了实现这种安全原语,作者定义了起源图模型,并基于该模型开发了安全数据包起源(SecurePacketProvenance,SPP)协议.
起源图中顶点代表事件,边代表事件之间的因果关系,每个节点记录与维护部分起源图,相邻节点交叉验证.
SPP协议在不改变现有协议条件下提供诊断功能,引入的额外通信流量也很小,同时考虑了不改变现有协议的增量部署方式,但目前并没有大规模实验验证.
Wu等人认为常规方法通过分布式日志记录并分析故障位置,不能得到故障产生的本质原因,无法从根本上解决故障.
为了找到网络故障的真实原因,作者提出了Zeno[64],引入了临时起源(TemporalProvenance)概念,找到故障产生的本质,从而解决故障.
Zeno能够发现故障产生原因,甚至能分析一些离线原因,提升了网络故障诊断能力.
为提升高速网络(速度高于10Gbps)的数据包分析能力,Confluo[65]着眼于高速网络中尽可能减少CPU使用前提下,对所有数据包进行监测,改善了现有情况下支持速率低、一致性差等问题.
Confluo设计了原子多重日志(AtomicMultiLogs)数据结构,通过保持处理过的头部信息不变以及采用定长记录捕获数据包头的方法,提升了高并发条件下读写操作能力,可通过Hypervisor对部署在端主机上的多台VM进行监控管理,但整个系统端主机之间无法分享监控资源.
综上所述,当前路径验证方案通过安全功能与正常协议功能耦合,提供了一定的内生安全性能,其不足是无法保证不可信传输路径上遇到攻击时的防范能力.
故障诊断系统提供了一定的故障诊断能力,但仍然无法提供较高的离线故障分析能力,且安全功能没有与正常功能耦合,不具备内生安全特性,但可以作为解决路径传输安全问题的参考和借鉴.
3.
2.
2传输路径控制面安全传输路径控制面安全主要解决BGP前缀劫持、路径劫持和路由泄露方面存在的安全问题.
其安全解决方案采用的策略与路径验证存在相似之处,如可通过添加标签或签名实现验证,但其解决的问题有所不同,BGP安全更关注路由计算.
现有解决方案包括部分或全部解决BGP前缀劫持、路径劫持和路由泄露问题方案,以及新型方案设计.
(1)部分解决方案解决前缀劫持的方案有OA(OriginAuthentication)[66],新增OAT(OriginAuthenticationTags)标识,OAT在路径上传递,直至到达目的端,该机制无法保证OAT字段在传递过程中不受篡改.
Argus[67]通过检测系统检测控制面和数据面相关系数实现快速检测前缀劫持异常,并在互联网实际部署验证其低时延,高可靠的前缀劫持检测能力.
RPKI基于数字签名和证书实现路由起源认证,有效防范前缀劫持,但由于缺乏部署激励导致其在互联网部署进度缓慢.
DISCO[68]是基于RPKI基础设施部署进展慢这一实际情况设计的基于分布式信任的路由起源认证系统,系统通过分布于各AS的代理(Agent)发布前缀和公钥绑定信息,分布式登记服务器(Registrar)收集BGP宣告信息,在一定时间间隔(CertificationInterval)收到的绑定信息超过阈值时,则认为该AS与公钥之间绑定关系真实可信,登记服务器签名认证后向公共数据库(Repository)发布.
公共数据库收集到一定数量登记服务器对相同绑定关系的认证后,发布真实可信的前缀及公钥绑定关系,可供全局查询.
DISCO通Online徐恪等:互联网内生安全体系结构研究进展9过分布式检测机制降低了源认证的部署难度,但检测方案如何嵌入体系结构内部,以及如何与路径劫持、路由泄露等安全问题结合,形成内生的安全机制,还需进一步探索.
解决路径劫持的方案有SPV(SecurityPathVector)[69],SPV在提高效率、减少密钥管理复杂度方面性能较好,其不足是无法抵御前缀劫持.
同样只关注路径劫持的还有SignatureAmortization[70]和ReferenceLocality[71],由于只针对路径劫持,算法应用场景有限.
同时针对前缀和路径劫持的方案中,S-BGP(SecureBGP)[72]首次基于BGP安全问题建立了体系化解决策略,利用洋葱路由特性,签名采用洋葱格式,加强地址前缀及传输路径保护.
S-BGP的不足是提升了对路由器能力的需求,通过集中方式实现认证,采用非对称加密验证签名,计算开销和时延较大,存在扩展性问题.
为解决S-BGP的扩展性问题,So-BGP[73]设计了一种分布式认证解决方案,提高实际环境中部署能力.
但So-BGP的路径验证功能不足,尤其对BGP中AS_PATH不能提供保护,限制了实用性.
另一种借助邻居AS协同证明的方案,psBGP(PrettySecureBGP)[74]提升了路径验证能力,但仍然无法抵抗合谋攻击,且由于AS可能从不同的ISP获取IP地址,使得方案难以在实际中部署.
IRV(InterdomainRouteValidation)机制[75]在每个AS部署一个IRV服务器,服务器在域间交互信息验证各AS宣告信息,提升地址前缀和路径劫持防护能力.
IRV能够提升验证效率和可靠性,但需要部署新设备,增加了维护管理难度.
在RPKI基础上,通过相邻AS授权的BGPsec[76]在每个AS收到宣告路由后,验证每个BGPsec签名,确保宣告路径的可靠性,但开销较大,且在部分部署时难以提升整体安全性能.
基于RPKI设计的路径-终端验证(Path-EndValidation)协议[77]提供了一种部分部署下实现安全性能整体提升的方案,AS使用RPKI授权私钥签名"路径-终端"记录,包括支持的邻接AS列表等.
这些记录来自不同的AS,可基于记录提供离线过滤,同时保护其后面没有部署的AS免受恶意路由传播影响,在部分部署情况下提供较强的防护能力.
当然,BGPsec全面部署后的安全性仍然需要进一步验证,文献[78]分析了即便BGPsec完全部署后仍然存在漏洞,如合谋AS可以构造虫洞攻击,假路由更新也能得到有效签名.
针对路由泄露问题,RFC7908[79]中对路由泄露产生原因及分类进行了分析,阐明BGP协议路由器配置错误是产生泄露的主因.
基于此,一些方案通过降低路由器错误配置提高安全性.
其中,相邻AS间的关系通过eOTC(externalOnlyToCustomer)[80]属性记录并传递,eOTC属性设置的规则包括:对没有设置eOTC属性的发送方,如果其角色是提供商(Provider)或对等方(Peer),则必须添加发送方编号为eOTC属性;对设置了eOTC属性的接收方,如果其角色是提供商或对等方,若eOTC值不是相邻AS的编号,则存在路由泄漏,给予较低的本地优先级或被丢弃.
通过eOTC属性传递能够提供域内和域间防护,如图4所示.
另一种实现策略RLP(RouteLeakProtection)[81]在BGP中增加了DO(DownOnly)、L(Leakdetected)两种属性判断是否发生泄露,与eOTC相较,RLP可达能力更强.
eOTC和RLP的不足之处在于可能泄露自治域间的商业关系,有的关系显然属于隐私范畴.
图4eOTC路由泄露防护机制原理图以上BGP安全方案将安全功能与正常协议功能整合,具备一定的内生安全能力,部分方案需RPKI支持,需要整合RPKI才能实现自主的内生安全能力,其不足是方案在实际部署中抗攻击能力有限,同时部分方案牺牲了AS间的隐私关系.
(2)整体解决方案基于整体解决BGP安全问题的方案中,文献[82]提出了ListenandWhisper协议.
通过Listen在数据面探测并检查到不同目的网络的潜在路径,Whisper在控制面检查伪造的路由宣告,二者结合消除路由器配置错误,降低恶意攻击的危害.
作者认为PKI基础设施花费巨大且不可信,因此采用了不需要PKI支持的策略.
Listen在数据面完成路由可达性验证,Whisper对传播无效路由的路由器发出警告,并检查宣告多条无效路由的恶意路由器,降低无效路由带来的危害.
Whisper包括弱分岔(WeakSplit)和强分岔(StrongSplit)两个等级验证路由一致性,其中弱分岔采用哈希链方式验证,强分岔采用非对称加密机制验证,并通过改进策略大幅度降低合谋攻击的危害.
在可部署性上,Listen可以在现有BGP上实现增量部署,Whisper虽然能够在不改变数据包格式的前提下与现有BGP整合,检测所有交换路由宣告潜在的异常,但其检测能力较弱,影响了其实用性.
John等人认为BGP协议注重响应度而忽视一致性,不仅牺牲了网络可用性,使路由环路、黑洞、10计算机学报2020年丢包等现象大量出现,更造成了协议行为复杂与不可预测性.
针对这一问题提出了路由共识(ConsensusRouting)[83],实现路由一致性与网络高可用性.
ConsensusRouting使用稳态与瞬态模式分别保证路由一致性与可用性.
稳态模式下,所有路由器参与到一个分布式合作算法中,计算稳态转发表(SFTs).
算法要求一个路由更新只有在被所有路由器知晓后才应用到SFTs中,保证了SFTs的一致性.
稳态路由未达到共识时转向瞬态模式,瞬态模式主要整合3种已有方案:路由偏转、路由绕道与备用路由.
保证在链路故障、协议更改等情况下,所有AS依然可达,实现了比R-BGP[84]更通用和有效的链路故障适应能力,提供了网络高可用性.
但该机制实验评估不全面,难以保证真实场景下实际效果.
Haeberlen等人提出了NetReview[85],作者通过BGP错误检测系统检测路由问题,并定位造成该问题的AS.
NetReview设计了防篡改日志和规范语言,边界路由器在防篡改日志中记录所有BGP消息,邻居间周期性地互相审计日志.
防篡改日志保证对条目的修改、删除或伪造等行为可被检测,日志组织为哈希链形式,记录所有发送与接收的路由消息,每个消息包含签名信息,接收者对每个消息发送确认.
采用规范语言描述每个AS的BGP期望行为,通过几个简单规则检测路由问题,包括源配置错误、引入路由扩展错误、路由重分发攻击、路径长度不一致等.
在实现上,NetReview不需要PKI支持,支持增量部署,但作者并没有针对检测故障提出解决策略.
TBGP(TrustedBGP)[86]通过建立可传递的信任关系降低计算开销和网络资源.
可传递信任关系的核心依赖于前缀所有者使用私钥对路由进行的签名.
在路由器入口和出口过滤器上引入路由验证服务保证路由没有被错误配置或恶意修改.
路由器出口过滤器成功验证路由通告后签名,邻居路由器在入口过滤器验证该路由签名并更新自己的路由表,并将路由信息通告给它的邻居,通过可传递信任关系防止虚假路由扩散.
但是,TBGP不解决配置冲突,同时基于可信计算模块提升安全性,可信计算模块的安全性是TBGP安全的基础.
以上方案通过增量式部署提升BGP安全性能,安全功能与正常功能耦合,具备一定的内生安全能力,但方案没有大规模部署,实际可部署性还需要进一步验证.
(3)新型解决方案新型解决方案基于现有安全问题重新建立路由与转发认证策略,提供更高的安全性能.
Pathlet[87]可以实现粒度更细的路由与转发.
Pathlet包含不同的AS,每个AS内由众多节点组成多条转发路径(Pathlet),AS将这些Pathlet对外宣告,发送方在发送消息的时候,基于发送要求灵活选择Pathlet.
这样,从发送端到接收端由多条Pathlet组成了一条转发路径,通过该路径可以实现端到端传输.
这种方式能提高转发效率,同时提高传输可靠性.
其不足是各AS对Pathlet的宣告,以及发送端对Pathlet的选择,不但引入额外通信开销,也带来控制层面复杂度提升.
SCION(Scalability,Control,andIsolationOnNext-GenerationNetwork)[88]在网络中建立隔离域(IsolationDomain,ISD),每个隔离域由多个AS构成.
每个隔离域设置一个核(ISDCore),用于管理本隔离域.
不同的隔离域之间通过核交换信息,同时通过可信根配置(TrustRootConfiguration)实现全网安全管理.
数据传输时,SCION各隔离域通过核交互传输路径.
SCION在交互过程中及时发现不可靠AS,并避开这些AS.
其不足是核之间的信息交互带来大量额外开销,影响转发效率.
Pathlet和SCION等新型设计提供了自主安全能力,具有较高的内生安全特性,但是对互联网改动较大,难以实现增量式部署.
由于区块链能够在分布式环境下建立信任机制,一些域间路由安全协议通过区块链实现对IP地址前缀及路径信息的认证.
InternetBlockchain[89]首次利用区块链建立分布式信任框架,将IP前缀认证和路由通告认证交易通过区块链发布,形成防篡改的交易记录.
作者提出了互联网增量部署方案,逐步扩大资源和地域保护范围.
资源保护范围方面,按照IP前缀认证,BGP交易认证等逐步扩大资源保护范围;地域范围方面,首先通过企业内部或数据中心内部区块链发布路由交易,如基于BGP的SDN控制器之间,逐步扩大应用范围至互联网.
后续工作如BGPcoin[90]等在此基础上进行了IP前缀认证的验证测试工作.
尽管区块链可作为解决分布式信任问题的有效手段,但目前相关研究仍然处于初步测试和可行性验证阶段.
此外,一些独特的BGP解决方案通过巧妙设计为解决安全问题提供了新思路,如针对DDoS攻击,文献[91]中提出了一种DDoS缓解系统Nyx,在拥塞点附近选择备用路由,不借助合作或网络重设计情况下缓解DDoS攻击,将DDoS攻击缓解转化为简单的路由问题,不依赖外部设备提供安全性能.
转化攻击的思想作为疏导攻击的有效策略,可以作为构建互联网内生安全体系结构的参考.
如表3所示,传输路径数据面,现有方案在路径验证、错误定位等方面难以抵御中间节点合谋攻击.
传输路径控制面安全方案存在安全能力不足和缺乏可部署性等问题.
表3传输路径安全方案小结Online徐恪等:互联网内生安全体系结构研究进展11类型策略优点不足传输路径数据面安全Pi[44]/stackPi[45]/SNAPP[46]/ICING[47]/OPT[48]/OSP[49]/PPV[50]/ShortMAC[51]/Faultprints[52]/RFL[54]增加一定开销实现源地址和路径验证难以抵御中间节点合谋或回传信息被篡改等攻击TrueNet[55]定位精度高依赖可信计算模块VeriDP[56]/NetSight[57]/DynaFL[58]/DFL[59]/DYNAPFV[60]集中制方式定位故障易出现单点故障MINOS[61]规范或检测路由行为需中央管理器管理SNP[62]/SPP[63]/Zeno[64]/Confluo[65]具备一定故障诊断能力难以发现离线故障传输路径控制面安全OA[66]/Argus[67]/DISCO[68]/SPV[69]/S-BGP[72]/So-BGP[73]/psBGP[74]/IRV[75]/BGPsec[76]/Path-EndValidation[77]/eOTC[80]/RLP[81]部分解决前缀劫持、路径劫持、路由泄露问题抗攻击能力有限、部分方案需第三方支持或开销较大、泄露AS间商业关系ListenandWhisper[82]/ConsensusRouting[83]/NetReview[85]/TBGP[86]提供较全面的解决方案方案实际部署性未得到验证Pathlet[87]/SCION[88]/InternetBlockchain[89]提供更彻底的解决方案需进一步探索互联网增量部署机制3.
3网络服务安全网络服务安全主要包括数据访问和网络应用安全,以及支撑大量互联网应用的PKI等基础设施安全.
由于数据和应用直接面向用户,这类安全威胁可能会直接关系到用户财产甚至生命安全.
3.
3.
1数据访问安全实现云计算等场景下用户数据的保护,确保用户对数据的控制权.
文献[92]通过信息流控制(InformationFlowControl,IFC)为进程或管道分配标签实现敏感数据安全保护.
由于传统IFC太过繁重,无法在大型云端直接使用,文献[93]中提出了Riverbed,为用户提供验证服务器端代码运行在隐私保护环境的机制.
Riverbed架构如图5所示,其中白色部分为原来的组件,灰色部分为新增组件.
用户可以使用预定义模板文件定义信息流策略.
当用户产生一个HTTP请求,web代理在用户端增加相应的数据流策略并发送.
在数据中心,Riverbed使用关联的用户策略标记,仅在用户策略允许情况下执行.
相同数据流策略在Riverbed中称为一个集合(Universe),同一集合允许相同类型的数据操作.
作者对Riverbed性能进行了实验验证,在最坏情况下一些实际应用的速度仅仅降低了10%.
但Riverbed需要用户端安装代理,实际用户体验和安全性需要进一步验证,且Riverbed的安全性依赖于可信硬件设施,如果要具备自主内生安全性,需与可信硬件进一步整合.
图5Riverbed架构Ghostor(Ghostsaccessingthestorage)[94]基于区块链实现用户匿名访问共享数据,确保数据操作的一致性,对敏感数据(如健康档案)访问提供保护.
Ghostor包括服务端和客户端,服务端处理客户端请求并在时间片结束后向区块链发布存储对象最新摘要及时间片信息,客户端接收应用访问请求,通过密钥获得相应的数据访问权并在每个时间片结束时验证区块链上发布的信息.
Ghostor提供了更全面的用户隐私保护,但区块链性能是否满足实际应用访问效率还需进一步验证,同时系统对IP地址的隐私保护采用匿名网络,影响了自主内生安全性.
物联网应用场景对数据访问提出更高安全要求.
He等人提出一种智慧家庭访问控制和认证策略,提高IoT设备认证能力[95].
IotSan[96]通过对IoT系统"传感器—应用—执行"链检测信息泄露、错误配置等隐患.
IOTGUARD[97]通过收集应用运行信息,动态存储运行行为,确保设备运行安全.
但这些方案主要解决物联网域内访问安全问题,不能应用于大规模网络跨域访问.
3.
3.
2网络应用安全由于网络攻击或自身故障引发的应用安全问题,可采用一些技术手段和策略提升应用安全性,如运行时随机化(RUNTIMEASLR)[98]技术通过地址空间布局随机化提高程序运行安全性.
同时大量应用漏洞研究和修补提升了应用安全性,如文献[99]中对浏览器扩展漏洞进行调研并提出建议.
文献[100]中提出检测高级持续性威胁(Advancedpersistentthreat,APT)的系统,为构建可信网络应用服务提供了辅助手段.
但构建可信网络应用服务环境需要建立及时发现并修补漏洞的机制.
现行漏洞发现方式主要是技术人员发现漏洞后上报,应用提供商检测通过后支付赏金,不仅存在滞后性,应用提供商的违约问题也无法得到监管,应用提供商与检测者难以建立信任.
一些方案通过去中心化机12计算机学报2020年制建立应用提供商和检测者之间的信任关系.
Hydra[101]是一种具有标准化赏金机制和抗漏洞利用的智能合约.
作者提出了传统N版本编程的变种NNVP(N-of-N-VersionProgramming),通过独立编写一种功能的多种实现版本同时运行,只有所有版本输出结果相同时才正常运行.
当出现一个版本的运行结果不一致时,可以判定出现了漏洞,自动产生赏金,黑客通过上报漏洞领取.
作者建立了一套赏金体系标准,激励漏洞发现者选择上报漏洞,避免漏洞利用攻击.
物联网作为一种大型分布式系统,去中心化网络特征和设备能力受限导致物联网面临更严重的安全威胁.
增强物联网生态中应用服务安全成为急需解决的难题[102].
为提供安全物联网应用服务,Wu等人[103]引入智能合约,设计了基于区块链的物联网系统漏洞检测平台SmartCrowd.
物联网提供商提供保证金作为漏洞检测奖励,约束其提供更安全的应用,激励分布式检测者积极参与,构建可靠的物联网应用环境.
如图6所示,SmartCrowd通过物联网服务提供商、物联网检测者、物联网设备与用户组成.
提供商发布应用时提供保证金,检测者检索区块链并下载应用,发现漏洞后向平台发送检测报告,提供商之间建立区块链,达成共识后触发智能合约,奖励检测者一定金额作为激励.
物联网用户通过检索区块链,根据报告选择更安全的应用.
SmartCrowd通过智能合约自动触发交易,在激励检测者参与的同时约束物联网应用提供商的行为,促使其发布更安全的应用.
在应用执行阶段,SmartRetro[104]针对物联网安全采用去中心化激励,用于回顾性检测,吸引分布式检测者参加安全检测,提供安全的网络应用.
图6SmartCrowd机制示意图去中心化方案在建立用户与网络应用信任关系上具有一定优势,但方案实际安全性还需要进一步验证.
此外,如何将检测功能内生于互联网体系结构,仍然需要进一步探索.
3.
3.
3PKI安全PKI通过证书颁发机构(CertificateAuthority,CA)实现证书管理等功能,为用户提供安全保护.
CA受到攻击后会带来非法撤销或颁发假证书等问题,大量研究致力于缓解和避免针对CA的攻击,主要包括多重验证方案和去中心化方案两大类.
(1)多重验证方案Henry等人[105]对现有PKI及CA漏洞攻击进行分析,认为CA证书颁发机制易受到攻击,并通过实验证实了攻击者可利用BGP漏洞成功实施攻击,通过劫持发往受害者的流量骗取CA颁发虚假证书.
作者提出CA通过多个节点(VantagePoint)验证,或采用BGP监控系统检测可疑路由等方式避免攻击者成功劫持验证过程流量,提升PKI安全性.
但现有CA的脆弱性不仅表现在验证机制被攻击,CA本身的可信性也需要得到验证.
为更大程度提升证书颁发过程可靠性,多重验证方案通过多个实体监督验证提升安全性.
Basin等人[106]通过多重实体互相监督的方式,在可审计密钥设施(AccountableKeyInfrastructure,AKI)基础上设计了抗攻击PKI(Attack-ResilientPublic-KeyInfrastructure,ARPKI).
通过n个实体互相监督保证当n-1个实体被攻击时安全运行.
n个实体包括n-1个CA和1个可信日志服务器(IntegrityLogServer,ILS).
实际运行中,域名A首先向CAs和ILSs注册证书(ARCert),CAs不但在域名拥有者注册证书时检查拥有者的身份,更重要的是检查ARCert中来自不同CAs的证书,以及从ILSs下载所有接受申请并验证ILSs行为.
通过CAs和ILSs的监督,提供了较强的安全性能,但由于CAs之间依次传递消息,n个实体都需要处理注册、确认和更新操作,当n的数量较大时,系统效率会降低,n较小时系统抗攻击能力较弱.
(2)去中心化方案去中心化方案通过激励各方参与恶意行为检举促进CA主动重视自身安全.
IKP(InstantKarmaPKI)[107]利用区块链共识和智能合约,从以下两个方面建立激励机制:一是通过分布式检测者参与CA证书发放检测过程,激励检测者提高检测可靠性;二是通过惩罚激励CA正确执行证书发放.
实际运行中,CA在系统缴纳注册费完成注册,费用放入CA余额,余额越多,说明CA赔偿能力越高,用户可选择余额较多的CA颁发证书.
域名持有者选择自己信任的CA申请证书,并在注册域名时指定信任CA.
检测者上报恶意证书后,自动从CA赔付余额中得到一定金额.
CA违约信息作为后续用户选择的参考,使CA更谨慎的投入安全维护.
IKP的不足是没有考虑CA私钥被盗时,攻击者发布恶意证书,巨大的赔付额给CA带来严重损失.
Online徐恪等:互联网内生安全体系结构研究进展13同时,作为保管金钱的平台,IKP本身的安全性也值得商榷.
CertChain[108]通过去中心化方式对CA进行监督.
作者分析指出,现阶段引入日志服务器来记录证书的发布及操作信息容易受到单点攻击.
为了确保日志服务器的一致性和安全性,作者提出一种基于可靠性排名的共识机制,设计了支持可追溯证书转发的数据结构,及基于双计数布隆过滤器(DualCountingBloomFilter,DCBF)消除假阳性的方法,实现对证书状态高效查询.
CertChain包括数据层、网络层、扩展层以及应用层.
数据层基于区块链设计高效检索机制,通过数据结构解决效率问题.
网络层设计了基于P2P和洪范的策略,提高可靠性.
扩展层设计了可靠性排名基础上的共识和激励,根据CA发布证书量和执行过的恶意行为对其历史行为排名,排名越高,区块产生概率就越高,这种激励方式有利于CA持续保证行为正常性;应用层设计了证书的注册、更新、撤销和验证,直接为用户提供服务.
BlockPKI[109]通过智能合约构建了一种去中心化PKI,提出了自动对多个CA支付的框架,通过多个CA执行提供更高安全性.
作者在以太坊上进行了测试验证,在CA数量达到20时,客户端验证签名的时间约为0.
102ms,密钥绑定的时间约为0.
052ms,这个增加对用户带来的影响几乎可以忽略不计,一定程度上证实了去中心化PKI的可行性.
IKP、CertChain、BlockPKI等去中心化方案具备了一定内生安全性能,但方案本身存在一定不足,如证书历史查询对用户隐私保护不足,CA私钥或平台被攻击可能引发资金风险.
此外,去中心化方案的实际运行效率能否满足用户体验是方案能否实际部署的关键.
如表4所示,数据访问和应用服务安全方面,还没有内生的安全机制建立应用和用户的信任.
解决PKI出现的安全问题,去中心化基础设施在提供安全性上具有优势,但现有方案存在一定风险,且尚未验证效率是否满足用户实际需求.
因此,实现用户与应用间的信任机理,形成真实可信的网络应用环境,还需要更深入的研究.
表4网络服务安全方案小结类型策略优点不足数据访问安全Riverbed[93]/Ghostor[94]云场景下安全访问存在第三方依赖IotSan[96]/IOTGUARD[97]物联网应用场景下安全访问仅支持域内小范围访问网络应用安全Hydra[101]/SmartCrowd[103]/SmartRetro[104]通过去中心化方式激励用户参与营造安全网络环境安全性还需进一步验证,检测功能没有内生于应用PKI安全ARPKI[106]多重实体验证提供容错能力实体数量不足时安全性较低,过大时效率不足IKP[107]/CertChain[108]/BlockPKI[109]去中心化方式提升PKI安全能力隐私保护不足,CA私钥或平台被攻击可能引发资金风险,尚未验证实际运行效率3.
4新型网络体系结构设计新型网络体系结构方案采用全新设计解决互联网现有或可能遇到的各类问题,如通过自认证特性提供内生安全功能,从根本上解决网络安全问题.
XIA(eXpressiveInternetArchitecture)[110]核心是将内生的安全标识用于通信.
XIA使用标识和地址分离设计,NID(NetworkID)代表网络域或子网,用来定位网络地址,HID(HostID)代表主机标识.
路由器通过NID标识找到网络,然后由HID标识转发数据到主机.
XIA支持主机和域鉴别源地址真实性,在第一跳路由器验证主机源地址真实性,各网络自治域边界路由器依次检查上一跳是否合法.
网络标识符(NID和HID)能够与公钥绑定提供自认证方式,但作为通信主体的用户(主机名称、域名)需要通过PKI实现用户标识符与公钥绑定,影响了其自主内生安全性能.
为支持网络移动性和可信性,MobilityFirst[111]使用标识与位置分离的机制,认为逻辑上集中的全局名称服务可增强移动性和安全性.
MobilityFirst标识包括用户标识符(Name)、全局唯一标识(GloballyUniqueIdentifier,GUID)和网络地址(NetworkAddress,NA).
Name用于标识用户、内容或群组等名称.
GUID采用通信实体的公钥哈希值,提供自认证能力,具备一定的内生安全性.
NA作为路由,与GUID动态绑定.
每个通信实体拥有一个Name和对应GUID,但每个Name/GUID可设置多个网络地址NA.
MobilityFirst通过用户标识证书解析服务(NameCertificate&ResolutionService,NCRS)绑定Name和GUID.
全局用户标识解析服务(GlobalNameResolutionService,GNRS)存储并更新GUID和NA的映射关系,并利用GUID公钥对更新进行鉴别.
由于GUID的自认证特性,MobilityFirst可以摆脱IP地址缺乏源地址认证带来的劫持、假冒等现有互联网问题.
其不足是大量节点频繁移动时,需要两次查询"Name-GUID-NA"得到对端网络地址,对系统能力提出了较高要求;通过PKI分发公钥证书,用户量过大时可能存在证书管理能力不足问题.
此外,与XIA一样,MobilityFirst同样存在对PKI的依赖.
NDN(NamedDataNetworking)[112]是由ZhangLixia等人提出的一种新型网络体系结构.
NDN摒弃了以IP为中心的路由设计,以内容名称(Name)为基础设计路由.
使用者交换两种类型数据包:兴趣包和数据包(InterestandData).
两种类型的数据14计算机学报2020年包都带有一个名称,使用者将所需数据段名称放入兴趣包中,发送到网络.
兴趣包到达具有请求数据的节点,节点将返回一个包含名称和内容的数据包,以及绑定两者的提供商密钥签名.
和URL相似,NDN命名采用的结构如/ucla/videos/demo.
mpg所示,这个命名可以和/ucla/videos/demo.
mpg/1/3共同聚合于/ucla,通过层次化保证路由快速收敛.
NDN由数据本身加密保证安全,与互联网通过端节点保证安全相比,可以防范欺骗和篡改;通过名称实现路由,避免了地址空间耗尽、NAT穿透、地址管理等问题;在用户鉴别方面,NDN将用户标识符和网络标识符合并,通过内容命名与公钥绑定实现用户鉴别,提高安全性,但NDN对用户的鉴别需要第三方(如PKI)提供证书验证.
可扩展的下一代认证基础设施(ScalableAuthenticationInfrastructureforNext-generationTrust,SAINT)[113]将现有信任机制分为三个方面:用于路由认证的BGPsec,用于域名认证的DNSSEC[114],以及用于端到端认证的TLS[115],并进一步将这种信任关系划分为路由信任和服务信任(包括域名和端到端信任).
作者认为现有三种信任机制并没有形成一个整体,同时存在如过于中心化的域名服务、BGPsec效率低下,CA权力难以有效监督等问题,无法为用户提供充分的信任机制.
作者基于SCION实现全局认证、域内授权,设计了兼具灵活性、高效率和透明性的认证机制,其核心为每个ISD配置一个信任根,通过信任根配置文件(TrustRootConfigurationFiles,TRCFiles)为用户提供快速查询和更新信息,通过跨ISD签名机制建立全局信任.
用户选择自己的ISD作为信任锚,在不同ISD移动时为用户提供灵活的全局信任机制.
实际使用中,SAINT建议以国家作为信任机制的分界,每个国家配置一个ISD,AS和服务器均采用公私钥认证,确保用户通过TRCFiles得到全局可信任服务.
作者通过模拟测试和基于SCION的实际部署验证了SAINT比现有信任机制更具有效性和可靠性,但同时也存在如以国家建立ISD是否可行,TRCFiles的初始发布如何保证安全性等问题.
总体说来,XIA、MobilityFirst、NDN将安全功能与协议功能耦合,提供了一定的内生安全能力,但仍然无法实现用户标识符、网络标识符和公钥的天然绑定,需要通过PKI提供公私钥对,从而不能提供自主的内生安全能力.
陈钟等人通过基于组合公钥密码体制的自认证标识命名方案[3],用于标识安全绑定,为XIA、MobilityFirst和NDN中支持身份或地址鉴别的方法提供了更强的自主安全性.
SAINT建立了全局的信任机制,但与现有机制相比,其建立和验证过程过于繁琐,同时其ISD机制能否适用于互联网还需进一步验证.
Zave和Rexford在文献[116]中提出,互联网面临安全问题急剧增长,以及应用场景不断变化(如终端移动性、云计算大量发展、电信和娱乐基础设施向互联网迁移),如MobilityFirst、NDN等新架构既无法彼此统一,在解决互联网问题时所采取的方式也过于复杂.
作者认为Internet由大量自治网络组成,基于组合架构(CompositionalArchitecture)模型的研究可能是建立兼具灵活性和可管理性网络体系结构的关键.
新模型中,互联网由可组合网络灵活组合,每个可组合网络都具有名称空间、路由、转发协议、会话协议和目录等机制.
由于网络用途、地理范围、成员资格不同,这些机制可能各不相同,但同一类型网络可以实现模式重用.
同时,组合网络模型可以验证可信赖服务,因为可信赖服务在网络间接口处定义,通常取决于多个网络的交互.
组合网络基于互联网实际应用在更高的抽象层次上对互联网现有结构进行研究,希望找到真正满足可预见需求,甚至可以适应不可预见需求的体系结构,提供了基于互联网现状通过分析工具和推理技术进行形式化验证的手段.
全维可定义多模态智慧网络(PINet)[117]从网络构造的角度,自底向上定义,通过细粒度组织方式动态重构网络,扩展网络功能和效用.
全维可定义技术对开放架构下基础网络软硬件、协议、接口、芯片等进行定义,支持IP、内容标识、身份标识、地理空间标识等多模态标识共存与协同,突破传统网络IP"窄腰"结构制约,通过基于动态异构冗余的内生安全结构扰乱攻击链,获得网络内生安全效应.
另一方面,大量研究致力于新型网络体系结构在互联网增量部署,以在实际应用中验证新型网络体系结构的能力,Trotsky[118]是其中一种具备可行性的方案.
Trotsky的前提是现有互联网存在固有缺点,同时却又根深蒂固,需要一种既能从根本上解决问题,又能在现有网络增量部署的方案.
作者认为网络安全问题包括通信双方的可用性(Availability)和身份可认证性(Identity)、数据的来源(Provenance)和真实性(Authenticity)、隐私性(Privacy),除了Availability外,都可以通过加密等方法在端节点进行处理,而Availability需要在网络层解决,以抵御DDoS等攻击.
Trotsky本身并不解决安全问题,而是为更安全的网络层协议提供框架.
同时,立足SDN/NFV技术及边缘计算技术的应用,以及基于自治域架构组成互联网这一现实,在L3层上设计了L3.
5层,并在域的边缘(DomainEdges)设置处理器(Trotsky-Processors,TPs),通过TPs为端到端的连接建立逻辑管道(LogicalPipe).
基于Trotsky框架作者整合了Online徐恪等:互联网内生安全体系结构研究进展15NDN、XIA等协议,验证了Trotsky框架在现有互联网基础上提供"革命性"设计的能力,也为诸如Pathlet、AIP、SCION等设计实现提供了平台(由于代码库等原因作者并没有移植这些协议到Trotsky框架).
可部署性方面,实验环境下通过软件处理10Tbps数据,需要投入约200,000美元.
随着应用的拓展和深入,如采用硬件支持,能够进一步提高效率.
Trotsky框架在现有互联网上提供了高效且向后兼容的L3.
5层处理方式,降低了新架构实现的门槛,但其部署还需要运营商的支持.
总体说来,Trotsky为现有互联网架构演进提供了新的思路和实践,使得不断改变互联网直至实现内生安全体系结构成为可能.
当然,解决方案在互联网具有可部署性仅仅是能够部署的前提,实际部署还受多种因素影响.
首先是方案解决安全问题的能力,如在针对入侵检测系统(IntrusionDetectionSystem,IDS)性能提升上,IDS标准化器[119]能否具备满足用户需求的能力将直接影响部署者积极性.
同时还需考虑用户接受能力和体验,如HTTPS加入了安全性能较高的传输层安全协议TLS,然而其部署并不令人满意,文献[120]中分析了由于客户端时钟不正确、中间件能力不足影响用户体验,导致用户真正遭受攻击时对警告无动于衷.
文献[121]中对HTTPS终端用户和管理者分别进行调研,发现两者对信息加密及HTTPS都存在误解.
终端用户低估了HTTPS的益处,经常忽略安全提醒,管理者不理解功能协议组件的相互作用.
因此,解决方案在互联网中的可部署性,不仅是一个技术问题,也关系到用户能力和心态等多种因素,构建互联网内生安全体系结构,需要分析并考虑这些影响因素.
4构建互联网内生安全体系结构互联网体系结构需要兼顾网络可服务性、可扩展性、可部署性、可演化性和可信性,选取最适合的协议或机制[122].
在不改变TCP/IP基础架构前提下,为构建互联网内生安全体系结构,同时满足"自主免疫"和"可信可控"要求,解决大规模网络实体和网络行为各关联要素可验证、可管控、可追溯等真实可信核心问题,我们从以下三个方面建立网络和用户之间的信任关系:(1)建立支持多类型端设备接入的真实可信地址命名机制及验证体系,解决端设备地址信任问题.
(2)建立支持路径验证及错误定位的路由行为检测体系,解决转发路径和转发行为不可信问题.
(3)建立支持真实可信应用的基础设施,解决单一节点安全脆弱性与信任失效等问题,构建真实可信的网络应用生态.
如图7所示,我们引入了区块链作为建立信任关系的基础[123],体系结构具备分层分级(接入网、域内、域间)的源地址验证能力,分组转发过程的可信验证和错误定位能力,网络用户行为的可信追溯能力,以及应用服务安全增强能力,建立用户与网络的信任机制.
图7真实可信新一代互联网体系结构4.
1端设备地址真实可信为实现端设备地址真实可信,我们综合权衡地址标识体系的互通、成本、安全和兼容性,将设备真实地址与身份相互融合,基于真实可信地址标识,建立接入网、域内和域间真实可信地址验证体系.
(1)设计真实可信的地址标识.
考虑地址的安全性与可验证性,标识的类别和形式,通过分离IP地址定位符空间与标识符空间,我们将设备真实身份与真实地址相互融合,实现地址格式的平滑革新.
地址标识遵循IPv6地址格式,在IPv6地址后64位嵌入身份标识,增加标识符语义.
身份标识由用户组织、编号、时间戳等构成,通过哈希截短、加密等方式编码,带有自认证特性,并随时间动态变化,实现终端设备身份动态标识和隐私保护.
(2)建立真实可信地址验证体系.
如图8所示,基于SAVA体系架构,结合真实身份机制,实现接入网、自治域内、自治域间分层级的真实源地址验证,确保端设备地址真实可信.
接入网验证功能由地址生成服务器、身份管理服务器、身份追溯服务器及接入验证交换机共同实现.
身份管理服务器通过802.
1x协议查证申请接入的端节点身份,并将验证结果告知地址生成服务器,由其为端设备生成携带真实身份标识的合法IPv6地址.
具备SAVI功能的接入交换机监听地址生成过程并建立地址与端口绑定关系,IP地址发送分组时,接入交换机查证绑定关系实现主机粒度的源地址验证.
对于物联网等异构网络,接入网关基于设备指纹等特征完成节点设备认证.
自治域内管理服务器管理域内地址前缀,将域内路由器的每个入口与一组有效的源地址前缀关联,实现IP前缀粒度源地址验证及过滤.
自16计算机学报2020年治域间由AS组建信任联盟,实现自治域粒度的源地址验证.
信任联盟成员边界路由器为通过AS级别源地址前缀检查的本域发往其它联盟成员的报文添加带有可验证标签的扩展报文头,保证源自本AS的报文源地址真实可信,目的端边界路由器对收到的报文进行标签验证,确保AS地址前缀未被篡改.
AS信任联盟的成员通过动态更新的状态机保持一致,AS前缀及标签初始状态通过去中心化方式将信息摘要及链接存储于区块链,确保AS地址前缀及状态可追溯、可验证.
图8真实可信地址验证体系4.
2传输路径真实可信为实现数据分组传输路径真实可信,在数据传输全生命周期,数据面通过路径验证实现路由节点过滤恶意流量,端节点验证数据真实传输路径;控制面基于分布式共识和信任度建立域间路由安全策略,实现通信服务"可信、可靠、可验证".
(1)传输路径数据面真实可信方面,我们重点从效率和鲁棒性上设计解决问题的思路,既提供路由节点过滤能力,又提供端节点真实路径验证能力.
采用基于信任联盟的标签解决共享密钥问题,采用随机标识方式减少数据包头部标识长度,改变逐跳逐包的验证方式,卸载验证能力至端节点,以降低计算及通信开销.
路径验证过程如图9所示,发送分组前,源端发送请求数据包,路由器节点与目的端同步各路由器节点针对本次会话的共享密钥(标签),源端发送请求数据包,路由节点依次添加信任联盟标签,目的端验证后存储对应标签,作为与路由节点的共享密钥.
目的端向源端发送应答数据包,源端验证后存储对应标签.
数据传输过程中,路由节点通过随机方式完成恶意流量过滤及路由节点标识添加,标识包括路由器链路信息、剩余跳数,以及由共享密钥和以上信息经哈希计算生成的验证码;源端采用随机标识的方式,等概率为路由节点计算标识,对应路由节点验证标识,过滤标识不一致的恶意流量;同时,路由节点也通过随机方式等概率添加标识.
目的端收到数据包后,首先验证源端及路由节点验证码的正确性,随后根据标识中路由器连接关系,恢复数据流实际转发路径,与目的端拥有的本次会话期望路径比较,实现路径验证和错误定位,并将异常结果告知源端.
此外,对网络异常行为采用去中心化方式形成共识,提供可追溯能力.
方案尽可能降低路由节点处理能力,路由节点仅需少量哈希计算,适应互联网"核心简单,边缘复杂"的实际情况,提供可增量部署的互联网传输路径验证能力.
图9数据面路径验证流程(2)传输路径控制面真实可信方面,如图10所示,通过区块链记录AS号、前缀、AS邻居关系及路由器公共参数等信息,通过真实存储建立分布式共识,提供全局可验证能力.
路由决策前,通过形成分布式共识的真实AS号与前缀绑定关系识别前缀劫持;通过真实邻居关系识别AS虚假路径宣告.
为提供可信路由决策,基于路由器节点交互行为及攻击特征,建立分级可信的节点行为信任度,在路由通告路径上,基于信任度建立可传递的信任关系,提升路由决策安全性.
图10真实可信路由计算4.
3网络服务真实可信建立互联网数据访问与应用服务信任机理,提供真实可信的云/边缘计算数据访问,以及应用发布和运行阶段的有效管控和监测.
我们将区块链作为解决复杂跨域应用下信任问题的有效手段,通过去中心化基础设施,解决中心节点安全脆弱性与信任Online徐恪等:互联网内生安全体系结构研究进展17失效等问题.
(1)数据访问真实可信方面,以真实身份为信任锚点,去中心化基础设施为信任支撑,实现基于去中心化密钥管理架构的身份认证与行为追溯.
去中心化密钥管理架构由网关、CA、主链和局域网子链组成.
内部端设备证书由网关进行签发,生成局域网子链,控制访问权限.
重要设备(如网关)证书通过主链达成共识,如图11所示,拥有真实地址的终端根据身份ID由终端生成公私钥,向CA提交身份证明、IP地址、公钥和签名,CA对申请真实性进行验证后,生成包含CA签名的数字证书,将终端地址、公钥、证书等信息发送到区块链主链,通过共识机制形成在用公钥数据库.
对敏感服务请求,访问端进行数据访问时通过私钥附带签名,目的端接收访问端数据签名,通过区块链查询到访问端公钥,对数据包签名进行认证,认证通过后响应终端访问请求,实现跨域协同的身份认证.
此外,用户访问行为通过去中心化方式形成分布式共识,实现全局可查证可追溯,确保数据访问真实可信.
图11去中心化密钥管理设施(2)应用服务真实可信方面,基于应用提供商、用户、检测者真实身份,引入智能合约,形成对应用漏洞兼具效率和可靠性的检测.
如图12所示,以真实身份为基础,应用提供商和需要提供漏洞报告的用户提供保证金,作为对漏洞检测者的奖励.
用户通过智能合约发布需要检测的应用,检测者检测到漏洞后触发智能合约,经过应用提供商检测通过后写入区块链.
智能合约建立内置问责机制,从应用提供商保证金自动为漏洞检测者提供相应的奖励,约束应用提供商发布更安全的应用,同时,智能合约能够根据区块链记录对用户进行反馈,自动将用户的部分保证金用于激励检测者,激励检测者积极参与应用运行阶段监测.
应用提供商、用户和检测者通过智能合约建立应用漏洞检测机制,实现全局"可协同、可验证、可追溯",推动形成安全、可信的应用服务生态系统.
图12去中心化应用漏洞检测机制综上,我们提出的互联网内生安全体系结构通过可信身份标识和源地址验证体系实现端设备地址真实可信,通过路径验证与错误定位、域间路由安全实现数据转发过程真实可信,并通过身份验证与行为追溯实现数据安全访问,提供应用发布与运行阶段安全监管能力,建立彼此信任的用户空间及网络空间,实现内生于网络的安全保障.
5结论本文从端设备地址、传输路径和网络服务安全,以及新型体系结构设计等方面分析了现有互联网安全问题解决方案及其内生安全特性,并对各类安全方案的可部署性进行了分析.
总体说来,现有互联网安全问题解决方案,无论是针对安全问题的修补,还是全新架构设计,已有大量具备一定内生安全特性的解决方案,但目前缺乏将这些解决方案整合起来的体系结构,即没有设计从硬件、软件到协议完整的内生安全解决方案,很难从根本上解决安全问题.
网络安全与个人乃至国家安全息息相关,构建互联网内生安全体系结构,需要在借鉴互联网发展经验和教训的基础上,准确分析网络面对的安全威胁,综合运用最新技术成果,科学设计网络协议和实现,同时考虑系统的可部署性,为用户构建安全、高效的网络环境.
本文提出了构建互联网内生安全体系结构的思路和方向,希望能够为后续研究者提供建议和参考.
参考文献[1]WuJianping,LiuYing,WuQian.
AdvancesinNewGenerationInternetArchitectureTheory[J].
ScienceinChina(SeriesE:InformationSciences),2008,38(10):1540-1564.
(inChinese)(吴建平,刘莹,吴茜.
新一代互联网体系结构理论研究进展[J].
中国科学(E辑:信息科学),2008,38(10):1540~1564.
)[2]XuKe,ZhuLiang,ZhuMin.
ArchitectureandKeyTechnologiesof18计算机学报2020年InternetAddressSecurity[J].
JournalofSoftware,2014,25(1):7897.
(inChinese)(徐恪,朱亮,朱敏.
互联网地址安全体系与关键技术[J].
软件学报,2014,25(1):7897.
)[3]ChenZhong,MengHongwei,GuanZhi.
ResearchonIntrinsicSecurityinFutureInternetArchitecture[J].
JournalofCyberSecurity,Vol.
1,No.
2,April,2016:36-45.
(inChinese)(陈钟,孟宏伟,关志.
未来互联网体系结构中的内生安全研究[J].
信息安全学报,2016,1(2):36-45.
)[4]PamelaZave,JenniferRexford.
PatternsandInteractionsinNetworkSecurity[J].
ComputerResearchRepository(CoRR),2019,abs/1912.
13371:1-68.
[5]RoryWard,BetsyBeyer.
BeyondCorp:ANewApproachtoEnterpriseSecurity[J].
ThemagazineofUSENIX&SAGE,2014,39(6):6–11.
[6]BarclayOsborn,JustinMcWilliams,BetsyBeyer,MaxSaltonstall.
BeyondCorp:DesigntoDeploymentatGoogle[J].
loginUsenixMag.
,2016,41(1):28–35.
[7]ChenZhong,GuanZhi,MengHongwei,andMengZiqian.
AsurveyofFutureInternetArchitectureandSecurityDesign[J].
JournalofInformationSecurityResearch,Vol.
1No.
1Oct.
2015:9-18.
(inChinese)(陈钟,关志,孟宏伟,孟子骞.
未来网络体系结构及安全设计综述[J].
信息安全研究,2015,1(01):9-18.
)[8]YuHan,WangYi,ShenChang-xiang.
ANewModelofInformationSecuritySystemBasedonImmuneSystem[J].
ActaElectronicaSinica,Vol.
34No.
12ADec.
2006:2455-2457.
(inChinese)(于涵,王毅,沈昌祥.
一种基于免疫系统原理的信息安全系统新模型[J].
电子学报,2006,034(12A):2455-2457.
)[9]QuanYu,JingRen,JiyanZhang,SiyangLiu,YinjinFu,YingLi,LinruMa,JianJing,WeiZhang.
AnImmunology-InspiredNetworkSecurityArchitecture[J].
CoRRabs/2001.
09273.
2020.
[10]JiangxingWu.
CyberspaceMimicDefense:GeneralizedRobustControlAndEndogenousSecurity[M].
Springer.
2019.
[11]WuJianping,LinSong,XuKe,etal.
AdvancesinEvolvableNewGenerationInternetArchitecture[J].
ChineseJournalofComputers,2012,35(6):1094-1108.
(inChinese)(吴建平,林嵩,徐恪,etal.
可演进的新一代互联网体系结构研究进展[J].
计算机学报,2012,35(6):1094-1108.
)[12]LiangLv,YuchaoZhang,YusenLi,KeXu,DanWang,WenlongWang,MinghuiLi,XuanCao,QingqingLiang.
Communication-awareContainerPlacementandReassignmentinLarge-scaleInternetDataCenters[J],IEEEJournalonSelectedAreasinCommunications,2019,37(3):540-555.
[13]FeiChen,HaitaoLi,JiangchuanLiu,BoLi,KeXu,YueminHu.
Migratingbigvideodatatocloud:apeer-assistedapproachforVoD,Peer-to-PeerNetworkingandApplications[J],vol.
11,no.
5,2018:1060–1074.
[14]TongLi,KezhiWang,KeXu,KunYang,ChathuraSarathchandraMagurawalage,HaiyangWang.
Communicationandcomputationcooperationincloudradioaccessnetworkwithmobileedgecomputing[J],CCFTransactionsonNetworking2019(2):43–56.
[15]KevinAshton.
That'InternetofThings'Thing[J].
RFIDJournal,vol.
22,no.
7,2009:97–114.
[16]KeXu,YiQu,KunYang.
ATutorialonInternetofThings:FromAHeterogeneousNetworkIntegrationPerspective[J].
IEEENetwork,2015,30(2):102-108.
[17]TaoPeng,ChristopherLeckie,KotagiriRamamohanarao.
SurveyofNetwork-BasedDefenseMechanismsCounteringtheDoSandDDoSProblems[J].
ACMComputingSurveys,2007,39(1):1-42.
[18]TiffanyHyun-JinKim,Lin-ShungHuang,AdrianPerrig,CollinJackson,VirgilD.
Gligor.
Accountablekeyinfrastructure(AKI):aproposalforapublic-keyvalidationinfrastructure[C]//InProceedingsof22ndInternationalWorldWideWebConference.
RiodeJaneiro,Brazil,May13-17,2013:679–690.
[19]WuJianping,BiJun,LiXing,etal.
Asourceaddressvalidationarchitecture(SAVA)testbedanddeploymentexperience[J].
RFC5210.
2008,https://www.
rfc-editor.
org/info/rfc5210.
[20]WuJianping,RenGang,LiXing.
SourceAddressValidation:ArchitectureandProtocolDesign[C]//IEEEInternationalConferenceonNetworkProtocols,Beijing,China.
2007:276-283.
[21]WuJianping,BiJun,BagnuloM,etal.
SourceAddressValidationImprovement(SAVI)Framework[J].
RFC7039.
2013.
http://www.
rfc-editor.
org/info/rfc7039.
[22]JiaYihao,RenGang,LiuYing.
ReviewofInternetInter-DomainIPSourceAddressValidationTechnology[J].
JournalofSoftware,2018,29(01):176-195.
(inChinese)(贾溢豪,任罡,刘莹.
互联网自治域间IP源地址验证技术综述[J].
软件学报,2018,29(01):176-195.
)[23]AnatBremler-Barr,HanochLevy.
Spoofingpreventionmethod[C]//24thAnnualJointConferenceoftheIEEEComputerandCommunicationsSocieties,INFOCOM2005,Miami,FL,USA,13-17March2005:536-547.
[24]XinLiu,AngLi,XiaoweiYang,DavidWetherall.
Passport:Secureandadoptablesourceauthentication[C]//5thUSENIXSymposiumonNetworkedSystemsDesign&Implementation,NSDI2008,SanFrancisco,CA,USA,April16-18,2008:365–376.
[25]BiJun,LiuBingyang,WuJianping,ShenYan.
PreventingIPSourceAddressSpoofing:ATwo-Level,StateMachine-BasedMethod[J].
TsinghuaScienceandTechnology,2009,14(4):413-422.
[26]LiJie,WuJianping,XuKe,etal.
Anhierarchicalinter-domainauthenticatedsourceaddressvalidationsolution[J].
ChineseJournalofComputers,2012,35(1):85–100.
(inChinese)(李杰,吴建平,徐恪,等.
Hidasav:一种层次化的域间真实源地址验证方法[J].
计算机学报,2012,35(1):85–100.
)[27]LiuBingyang,BiJun.
DISCS:aDIStributedCollaborationSystemforInter-ASSpoofingDefense[C]//the44thIEEEInternationalOnline徐恪等:互联网内生安全体系结构研究进展19ConferenceonParallelProcessing(ICPP15).
Beijing,China,September1-4,2015:160-169.
[28]M.
Lepinski,S.
Kent.
AnInfrastructuretoSupportSecureInternetRouting[J].
RFC6480,2012:1–24.
https://doi.
org/10.
17487/RFC6480.
[29]JiaYihao,LiuYing,etal.
RISP:AnRPKI-BasedInter-ASSourceProtectionMechanism[J].
TsinghuaScienceandTechnology,February2018,23(1):1–12.
[30]KihongPark,HeejoLee.
OntheEffectivenessofRoute-BasedPacketFilteringforDistributedDoSAttackPreventioninPower-LawInternets[C]//ProceedingsoftheACMSIGCOMM2001ConferenceonApplications,Technologies,Architectures,andProtocolsforComputerCommunication,SanDiego,California,USA.
August27-31,2001:15-26.
[31]S.
Kent,K.
Seo.
SecurityArchitecturefortheInternetProtocol[J].
RFC4301,2005,https://www.
rfc-editor.
org/rfc/pdfrfc/rfc4301.
txt.
pdf.
[32]R.
Moskowitz,P.
Nikander,P.
Jokela,andT.
Henderson.
HostIdentityProtocol[J].
RFC5201,Apr2008.
https://tools.
ietf.
org/html/rfc5201.
[33]DavidNaylor,MatthewK.
Mukerjee,PeterSteenkiste.
BalancingAccountabilityandPrivacyintheNetwork[C]//SIGCOMM'14,Chicago,IL,USA,August17–22,2014:75-86.
[34]DavidG.
Andersen,HariBalakrishnan,NickFeamster,etal.
Accountableinternetprotocol(AIP)[C]//SIGCOMM'08,Seattle,WA,USA,August17-22,2008:339-350.
[35]TaehoLee,ChristosPappas,DavidBarrera,PawelSzalachowski,AdrianPerrig.
SourceAccountabilitywithDomain-brokeredPrivacy[C]//Proceedingsofthe12thInternationalonConferenceonemergingNetworkingEXperimentsandTechnologies,CoNEXT2016,Irvine,CA,USA.
December12–15,2016:345-358.
[36]ZhuLiang,XuKe.
AGeneralFrameworkofInternetAddressMechanisms[J].
JournalofXi'anJiaotongUniversity,2017,51(2):8-16.
(inChinese)(朱亮,徐恪.
互联网通用地址体系框架[J].
西安交通大学学报,2017,51(2):8-16.
)[37]ZhuLiang,XuKe,XuLei.
AFormalGeneralFrameworkofInternetAddressMechanisms[J].
JournalofComputerResearchandDevelopment,2017,54(05):940-951.
(inChinese)(朱亮,徐恪,徐磊.
一种形式化的互联网地址机制通用框架[J].
计算机研究与发展,2017,54(05):940-951.
)[38]ZhuLiang,XuKe,FengMei.
ADynamicServiceofInternetNamingandResolving[J].
ActaElectronicaSinica.
Vol.
46No.
5,May2018:1089-1094.
(inChinese)(朱亮,徐恪,冯梅.
互联网动态地址命名与解析服务[J].
电子学报,2018,46(05):1089-1094.
)[39]BorisDanev,ThomasS.
Heydt-Benjamin,SrdjanCapkun.
Physical-layerIdentificationofRFIDDevices[C]//18thUSENIXSecuritySymposium,Montreal,Canada,August10-14,2009:199-214.
[40]BorisDanev,SrdjanCapkun.
Transient-basedIdentificationofWirelessSensorNodes[C]//Proceedingsofthe8thInternationalConferenceonInformationProcessinginSensorNetworks,IPSN'09,SanFrancisco,California,USA,April15–18,2009:25-36.
[41]AdamC.
Polak,DennisL.
Goeckel.
IdentificationofWirelessDevicesofUsersWhoActivelyFakeTheirRFFingerprintswithArtificialDataDistortion[J].
IEEETransactionsonWirelessCommunications,2015,14(11):5889-5899.
[42]HenrikForssell,RagnarThobaben,HusseinAl-Zubaidy,andJamesGross.
PhysicalLayerAuthenticationinMission-CriticalMTCNetworks:ASecurityandDelayPerformanceAnalysis[J].
IEEEJournalonSelectedAreasinCommunications,2019,37(4):795-808.
[43]StefanSavage,DavidWetherall,AnnaR.
Karlin,ThomasE.
Anderson.
NetworkSupportforIPTraceback[J].
IEEE/ACMTransactionsonNetworking(ToN),2001,9(3):226–237.
[44]AbrahamYaar,AdrianPerrig,DawnSong.
Pi:APathIdenticationMechanismtoDefendagainstDDoSAttacks[C]//2003IEEESymposiumonSecurityandPrivacy,Oakland,California,USA,May11-14,2003:93–107.
[45]AbrahamYaar,AdrianPerrig,DawnSong.
StackPi:NewPacketMarkingandFilteringMechanismsforDDoSandIPSpoofingDefense[J].
IEEEJournalonSelectedAreasinCommunications,2006,24(10):1853–1863.
[46]BryanParno,AdrianPerrig,DaveAndersen.
SNAPP:StatelessNetwork-AuthenticatedPathPinning[C]//Proceedingsofthe2008ACMSymposiumonInformation,ComputerandCommunicationsSecurity,ASIACCS2008,Tokyo,Japan,March18-20,2008:168–178.
[47]JadNaous,MichaelWalfish,AntonioNicolosi,etal.
VerifyingandEnforcingNetworkPathswithICING[C]//Proceedingsofthe2011ConferenceonEmergingNetworkingExperimentsandTechnologies,Co-NEXT'11,Tokyo,Japan,December6-9,2011:1-12.
[48]TiffanyHyun-JinKim,CristinaBasescu,LiminJia,etal.
LightweightSourceAuthenticationandPathValidation[C]//ACMSIGCOMM2014Conference,SIGCOMM'14,Chicago,IL,USA,August17-22,2014:271–282.
[49]HaoCai,TilmanWolf.
SourceAuthenticationandPathValidationwithOrthogonalNetworkCapabilities[C]//2015IEEEConferenceonComputerCommunicationsWorkshops,INFOCOMWorkshops,HongKong,China,April26-May1,2015:111–112.
[50]BoWu,KeXu,QiLi,ZhuotaoLiu,Yih-ChunHu,etal.
EnablingEfficientSourceandPathVerificationviaProbabilisticPacketMarking[C]//IEEE/ACMInternationalSymposiumonQualityofService(IWQoS),Banff,AB,Canada,June4-6,2018:1-10.
[51]XinZhang,ZongweiZhou,Hsu-ChunHsiao,TiffanyHyun-JinKim,AdrianPerrig,PatrickTague.
ShortMAC:EfficientData-PlaneFaultLocalization[C]//19thAnnualNetworkandDistributedSystemSecuritySymposium,NDSS2012,SanDiego,California,USA,February5-8,2012:1-14.
[52]CristinaBasescu,Yue-HsunLin,HaomingZhang,AdrianPerrig.
High-speedinter-domainfaultlocalization[C]//IEEESymposiumon20计算机学报2020年SecurityandPrivacy,SP2016,SanJose,CA,USA,May22-26,2016:859–877.
[53]BoWu,KeXu,QiLi,FanYang.
Robustandlightweightfaultlocalization[C]//IEEEInternationalPerformanceComputingandCommunicationsConference(IPCCC),SanDiego,CA,USA,December10-12,2017:1-8.
[54]BoWu,KeXu,QiLi,BingyangLiu,ShoushouRen,etal.
RFL:RobustFaultLocalizationonUnreliableCommunicationChannels[J].
JournalofComputerNetworks,2019(158):158-174.
[55]XinZhang,ZongweiZhou,GeoffreyHasker,AdrianPerrig,VirgilD.
Gligor.
NetworkfaultlocalizationwithsmallTCB[C]//Proceedingsofthe19thannualIEEEInternationalConferenceonNetworkProtocols,ICNP2011,Vancouver,BC,Canada,October17-20,2011:143–154.
[56]PengZhang,HaoLi,ChengchenHu,LiujiaHu,LeiXiong,RuilongWang,YuemeiZhang.
MindtheGap:MonitoringtheControl-DataPlaneConsistencyinSoftwareDefinedNetworks[C]//the12thInternationalConferenceonEmergingNetworkingEXperimentsandTechnologies,CoNEXT'16,Irvine,CA,USA,December12-15,2016:19-33.
[57]NikhilHandigol,BrandonHeller,VimalkumarJeyakumar,etal.
IKnowWhatYourPacketDidLastHop:UsingPacketHistoriestoTroubleshootNetworks[C]//Proceedingsofthe11thUSENIXSymposiumonNetworkedSystemsDesignandImplementation,NSDI2014,Seattle,WA,USA,April2-4,2014:71–85.
[58]XinZhang,ChangLan,AdrianPerrig.
SecureandScalableFaultLocalizationunderDynamicTrafficPatterns[C]//IEEESymposiumonSecurityandPrivacy,SP2012,SanFrancisco,California,USA,21-23May2012:317–331.
[59]XinZhang,FanfuZhou,XinyuZhu,etal.
DFL:SecureandPracticalFaultLocalizationforDatacenterNetworks[J].
IEEE/ACMTransactionsonNetworking(ToN),2014,22(4):1218–1231.
[60]QiLi,XiaoyueZou,QunHuang,etal.
DynamicPacketForwardingVerificationinSDN[J].
IEEETransactionsonDependableandSecureComputing,2019,16(6):915-929.
[61]LeiXu,KeXu,MengShen,KuiRen,JingyuanFan,ChaowenGuan,Wen-LongChen.
MINOS:regulatingrouterdataplaneactionsindynamicruntimeenvironments[C]//ProceedingsoftheACMTuring50thCelebrationConference-China,Shanghai,China,May12-14,2017:1-10.
[62]WenchaoZhou,QiongFei,ArjunNarayan,etal.
SecureNetworkProvenance[C]//Proceedingsofthe23rdACMSymposiumonOperatingSystemsPrinciples2011,SOSP2011,Cascais,Portugal,October23-26,2011:295-310.
[63]AngChen,AndreasHaeberlen,WenchaoZhou,BoonThauLoo.
OnePrimitivetoDiagnoseThemAll:ArchitecturalSupportforInternetDiagnostics[C]//ProceedingsoftheTwelfthEuropeanConferenceonComputerSystems,EuroSys2017,Belgrade,Serbia,April23-26,2017:374-388.
[64]YangWu,AngChen,LinhThiXuanPhan.
Zeno:DiagnosingPerformanceProblemswithTemporalProvenance[C]//16thUSENIXSymposiumonNetworkedSystemsDesignandImplementation(NSDI'19).
Boston,MA,USA.
February26–28,2019:395-420.
[65]AnuragKhandelwal,RachitAgarwal,IonStoica.
Confluo:DistributedMonitoringandDiagnosisStackforHigh-speedNetworks[C]//16thUSENIXSymposiumonNetworkedSystemsDesignandImplementation(NSDI'19),Boston,MA,USA,February26–28,2019:421-436.
[66]WilliamAiello,JohnIoannidis,PatrickD.
McDaniel.
OriginAuthenticationinInterdomainRouting[C]//Proceedingsofthe10thACMConferenceonComputerandCommunicationsSecurity,CCS2003,Washington,DC,USA,October27-30,2003:165–178.
[67]XingangShi,YangXiang,ZhiliangWang,XiaYin,JianpingWu.
Detectingprefixhijackingsintheinternetwithargus.
[C]//InternetMeasurementConference2012,Boston,MA,USA,November14-16,2012:15-28.
[68]TomasHlavaceky,ItaloCunhaz,YossiGilad.
etal.
DISCO:SidesteppingRPKI'sDeploymentBarriers[C]//NetworkandDistributedSystemsSecurity(NDSS)Symposium,SanDiego,CA,USA,February2020:1-17.
[69]Yih-ChunHu,AdrianPerrig,MarvinA.
Sirbu.
SPV:SecurePathVectorRoutingforSecuringBGP[C]//ProceedingsoftheACMSIGCOMM2004ConferenceonApplications,Technologies,Architectures,andProtocolsforComputerCommunication,Portland,Oregon,USA,August30-September3,2004:179–192.
[70]MeiyuanZhao,SeanW.
Smith,DavidM.
Nicol.
AggregatedPathAuthenticationforEfcientBGPSecurity[C]//Proceedingsofthe12thACMConferenceonComputerandCommunicationsSecurity,CCS2005,Alexandria,VA,USA,November7-11,2005:128–138.
[71]KevinR.
B.
Butler,PatrickD.
McDaniel,WilliamAiello.
OptimizingBGPSecuritybyExploitingPathStability[C]//Proceedingsofthe13thACMConferenceonComputerandCommunicationsSecurity,CCS2006,Alexandria,VA,USA,October30-November3,2006:298–310.
[72]StephenT.
Kent,CharlesLynn,KarenSeo.
SecureBorderGatewayProtocol(S-BGP)[J].
IEEEJournalonSelectedAreasinCommunications,2000,18(4):582–592.
[73]RussWhite.
SecuringBGPthroughsecureoriginBGP(soBGP)[J].
BusinessCommunicationsReview,2003,33(5):15-22.
[74]TaoWan,EvangelosKranakis,PaulC.
vanOorschot.
PrettySecureBGP(psBGP)[C]//ProceedingsoftheNetworkandDistributedSystemSecuritySymposium,NDSS2005,SanDiego,California,USA,2005:1-16.
[75]GeoffreyGoodell,WilliamAiello,TimothyGriffin,etal.
WorkingAroundBGP:AnIncrementalApproachtoImprovingSecurityandAccuracyofInterdomainRouting[C]//ProceedingsoftheNetworkandDistributedSystemSecuritySymposium,NDSS2003,SanDiego,Online徐恪等:互联网内生安全体系结构研究进展21California,USA,2003:1-11.
[76]LepinskiM,SriramK.
BGPsecProtocolSpecification[J].
RFC8205,2017:1–45.
https://doi.
org/10.
17487/RFC8205.
[77]AvichaiCohen,YossiGilad,AmirHerzberg,MichaelSchapira.
JumpstartingBGPSecuritywithPath-EndValidation[C]//SIGCOMM'16,Florianopolis,Brazil,August22–26,2016:342-355.
[78]QiLi,JiajiaLiu,Yih-ChunHu,MingweiXu,JianpingWu.
BGPwithBGPsec:AttacksandCountermeasures[J].
IEEENetwork,2019,33(4):194-200.
[79]SriramK,MontgomeryD,McPhersonD,etal.
ProblemDefinitionandClassificationofBGPRouteLeaks[J].
RFC7908,2016,7908:1–11.
https://doi.
org/10.
17487/RFC7908.
[80]AzimovA,BogomazovE,BushR.
RouteLeakDetectionandFilteringusingRolesinUpdateandOpenmessages[EB/OL],2018.
https://tools.
ietf.
org/id/draft-ymbk-idr-bgp-eotr-policy-02.
html.
[81]SriramK,MontgomeryD,DicksonB,etal.
MethodsforDetectionandMitigationofBGPRouteLeaks[EB/OL],2018.
https://sandbox.
ietf.
org/doc/draft-ietf-idr-route-leak-detection-mitigation.
[82]LakshminarayananSubramanian,VolkerRoth,IonStoica,ScottShenker,RandyH.
Katz.
ListenandWhisper:SecurityMechanismsforBGP[C]//1stSymposiumonNetworkedSystemsDesignandImplementation,NSDI2004,SanFrancisco,California,USA,March29-31,2004:127-140.
[83]JohnP.
John,EthanKatz-Bassett,ArvindKrishnamurthy,ThomasE.
Anderson,ArunVenkataramani.
ConsensusRouting:TheInternetasaDistributedSystem[C]//5thUSENIXSymposiumonNetworkedSystemsDesign&Implementation,NSDI2008,SanFrancisco,CA,USA,April16-18,2008:351-364.
[84]NateKushman,SrikanthKandula,DinaKatabi,BruceM.
Maggs.
R-BGP:StayingConnectedinaConnectedWorld[C]//4thUSENIXSymposiumonNetworkedSystemsDesign&ImplementationNSDI2007,Cambridge,Massachusetts,USA,April11-13,2007:341-354.
[85]AndreasHaeberlen,IoannisC.
Avramopoulos,JenniferRexford,PeterDruschel.
NetReview:DetectingWhenInterdomainRoutingGoesWrong[C]//Proceedingsofthe6thUSENIXSymposiumonNetworkedSystemsDesignandImplementation,NSDI2009,Boston,MA,USA.
April22-24,2009:437-452.
[86]QiLi,MingweiXu,JianpingWu,XinwenZhang,PatrickP.
C.
Lee,KeXu.
EnhancingtheTrustofInternetRoutingwithLightweightRouteAttestation.
IntheProceedingsofASIACCS'11,HongKong,China,March22–24,2011:1-10.
[87]BrightenGodfrey,IgorGanichev,ScottShenker,IonStoica.
PathletRouting[C]//ProceedingsoftheACMSIGCOMM2009ConferenceonApplications,Technologies,Architectures,andProtocolsforComputerCommunications,Barcelona,Spain,August16-21,2009:111–122.
[88]XinZhang,Hsu-ChunHsiao,GeoffreyHasker,etal.
SCION:Scalability,Control,andIsolationOnNext-GenerationNetwork[C]//32ndIEEESymposiumonSecurityandPrivacy,S&P2011,Berkeley,California,USA,22-25May2011:212–227.
[89]HariA,LakshmanTV.
TheInternetblockchain:Adistributed,tamper-resistanttransactionframeworkfortheInternet[C]//Proceedingsofthe15thACMWorkshoponHotTopicsinNetworks,HotNets,Atlanta,GA,USA,November9-10,2016:204-210.
[90]QianqianXing,BaoshengWang,XiaofengWang.
POSTER:BGPCoin:ATrustworthyBlockchain-basedResourceManagementSolutionforBGPSecurity[C]//Proceedingsofthe2017ACMSIGSACConferenceonComputerandCommunicationsSecurity,CCS2017,Dallas,TX,USA,October30-November03,2017:2591-2593.
[91]JaredM.
Smith,MaxSchuchard.
RoutingAroundCongestion:DefeatingDDoSAttacksandAdverseNetworkConditionsviaReactiveBGPRouting[C]//2018IEEESymposiumonSecurityandPrivacy(SP).
SanFrancisco,CA,USA,21-23May,2018:599-617.
[92]DanielHedin,AndreiSabelfeld.
APerspectiveonInformation-FlowControl[J].
SoftwareSafetyandSecurity,Volume33,2012:319-347.
[93]FrankWang,RonnyKo,JamesMickens.
Riverbed:EnforcingUser-definedPrivacyConstraintsinDistributedWebServices[C]//16thUSENIXSymposiumonNetworkedSystemsDesignandImplementation(NSDI'19),Boston,MA,USA,February26–28,2019:615-629.
[94]YuncongHu,SamKumar,andRalucaAdaPopa.
Ghostor:TowardaSecureData-SharingSystemfromDecentralizedTrust[C]//17thUSENIXSymposiumonNetworkedSystemsDesignandImplementation(NSDI'20),SantaClara,CA,USA,February25–27,2020:851-877.
[95]WeijiaHe,MaximilianGolla,RoshniPadhi,JordanOfek,MarkusD¨urmuth,EarlenceFernandes,BlaseUr.
RethinkingAccessControlandAuthenticationfortheHomeInternetofThings(IoT)[C]//27thUSENIXSecuritySymposium,Baltimore,MD,USA,August15–17,2018:255-272.
[96]DangTuNguyen,ChengyuSong,ZhiyunQian,SrikanthV.
Krishnamurthy,EdwardJ.
M.
Colbert,andPatrickMcDaniel.
IotSan:FortifyingtheSafetyofIoTSystems[C]//Proceedingsofthe14thInternationalConferenceonemergingNetworkingEXperimentsandTechnologies,CoNEXT'18,Heraklion,Greece,December4–7,2018:191-203.
[97]Z.
BerkayCelik,GangTan,andPatrickMcDaniel.
IOTGUARD:DynamicEnforcementofSecurityandSafetyPolicyinCommodityIoT[C]//NetworkandDistributedSystemsSecurity(NDSS)Symposium2019,SanDiego,CA,USA,24-27February2019:61-66.
[98]KangjieLu,StefanNurnberger,MichaelBackes,andWenkeLee.
HowtoMakeASLRWintheCloneWars:RuntimeRe-Randomization[C]//NetworkandDistributedSystemsSecurity(NDSS)Symposium2016,SanDiego,CA,USA,21-24February2016:1-15.
[99]DolièreFrancisSomé.
EmPoWeb:EmpoweringWebApplicationswithBrowserExtensions[C]//40thIEEESymposiumonSecurityandPrivacy,SanFrancisco,CA,USA,May19-23,2019:227-245.
22计算机学报2020年[100]ZhaoGuodong,XuKe,XuLei,WuBo.
DetectingAPTMalwareInfectionsBasedonMaliciousDNSandTrafficAnalysis[J].
IEEEAccess,2015,3:1132-1142.
[101]LorenzBreidenbach,PhilipDaian,FlorianTramèr,AriJuels.
Enterthehydra:TowardsPrincipledBugBountiesandExploit-resistantSmartContracts[C]//27thUSENIXSecuritySymposium.
Baltimore,MD,USA,August15-17,2018:1335-1352.
[102]XuKe,WuBo,ShenMeng.
Blockchain:ANewVisionforIoTSecurity[J].
ZTETechnologyJournal,2018,24(6):52-55.
(inChinese)(徐恪,吴波,沈蒙.
区块链:描绘物联网安全新愿景[J].
中兴通讯,第24卷,第6期,2018:52-55.
)[103]BoWu,KeXu,QiLi,ZhuotaoLiu,Yih-ChunHu,ZhichaoZhang,XinleDu,BingyangLiu,ShoushouRen.
SmartCrowd:DecentralizedandAutomatedIncentivesforDistributedIoTSystemDetection[C]//39thIEEEInternationalConferenceonDistributedComputingSystems,Texas,USA,2019:387-398.
[104]BoWu,QiLi,KeXu,RuoyuLi,ZhuotaoLiu.
SmartRetro:Blockchain-BasedIncentivesforDistributedIoTRetrospectiveDetection[C]//15thIEEEInternationalConferenceonMobileAdHocandSensorSystems,MASS2018,Chengdu,China,October9-12,2018:308–316.
[105]HenryBirge-Lee,YixinSun,AnneEdmundson,JenniferRexford,PrateekMittal.
BamboozlingCertificateAuthoritieswithBGP[C]//27thUSENIXSecuritySymposium.
Baltimore,MD,USA.
August15–17,2018:833-849.
[106]DavidA.
Basin,CasCremers,TiffanyHyun-JinKim,AdrianPerrig,RalfSasse,PawelSzalachowski.
Design,Analysis,andImplementationofARPKI:AnAttack-ResilientPublic-KeyInfrastructure[J].
IEEETransactionsonDependableandSecureComputing,2018,15(3):393-408.
[107]StephanosMatsumoto,RaphaelM.
Reischuk.
IKP:TurningaPKIAroundwithDecentralizedAutomatedIncentives[C]//2017IEEESymposiumonSecurityandPrivacy,SP2017,SanJose,CA,USA,May22-26,2017,2017:410–426.
[108]JingChen,ShixiongYao,QuanYuan,KunHe,ShoulingJi,RuiyingDu.
CertChain:PublicandEfficientCertificateAuditBasedonBlockchainforTLSConnections[C]//2018IEEEConferenceonComputerCommunications,INFOCOM2018,Honolulu,HI,USA,April16-19,2018:2060-2068.
[109]LukaszDykcik,LaurentChuat,PawelSzalachowski,AdrianPerrig.
BlockPKI:AnAutomated,Resilient,andTransparentPublic-KeyInfrastructure[C]//2018IEEEInternationalConferenceonDataMiningWorkshops(ICDMW).
Singapore,November17-20,2018:105-114.
[110]DongsuHan,AshokAnand,FahadR.
Dogar,etal.
XIA:EfficientSupportforEvolvableInternetworking[C]//The9thUSENIXSymposiumonNetworkedSystemsDesignandImplementation(NSDI'12),SanJose,CA,USA,April25-27,2012:309-322.
[111]DipankarRaychaudhuri,KiranNagaraja,ArunVenkataramani.
MobilityFirst:ARobustandTrustworthyMobilityCentricArchitecturefortheFutureInternet[J].
MobileComputingandCommunicationsReview,2012,16(3):2-13.
[112]LixiaZhang,AlexanderAfanasyev,JeffBurke,etal.
NamedDataNetworking[J].
ACMSIGCOMMComputerCommunicationReview(CCR),2014,44(3):66-73.
[113]StephanosMatsumoto,RaphaelM.
Reischuk,PawelSzalachowski,TiffanyHyun-JinKim,AdrianPerrig.
AuthenticationChallengesinaGlobalEnvironment[J].
ACMTransactionsonPrivacyandSecurity,2017,20(1):1-34.
[114]R.
Arends,R.
Austein,M.
Larson,D.
Massey,andS.
Rose.
DNSSecurityIntroductionandRequirements[J].
RFC4033.
https://www.
ietf.
org/rfc/rfc4033.
txt.
[115]E.
Rescorla.
TheTransportLayerSecurity(TLS)ProtocolVersion1.
3[J].
RFC8446,2018.
https://www.
rfc-editor.
org/rfc/pdfrfc/rfc8446.
txt.
pdf.
[116]PamelaZave,JenniferRexford.
Thecompositionalarchitectureoftheinternet[J].
COMMUNICATIONSOFTHEACM,2019,62(3):78-87.
[117]HuYuxiang,YiPeng,SunPenghao,WuJiangxing.
Researchonthefull-dimensionaldefinedpolymorphicsmartnetwork[J].
JournalonCommunications,2019,40(8):1-12.
(inChinese)(胡宇翔,伊鹏,孙鹏浩,邬江兴.
全维可定义的多模态智慧网络体系研究[J].
通信学报,2019,40(8):1-12.
)[118]JamesMcCauley,YotamHarchol,AurojitPanda,BarathRaghavan,ScottShenker.
EnablingaPermanentRevolutioninInternetArchitecture[C]//ProceedingsoftheACMSpecialInterestGrouponDataCommunication,SIGCOMM2019,Beijing,China,August19-23,2019:1-14.
[119]MarkHandley,VernPaxson,ChristianKreibich.
NetworkIntrusionDetection:Evasion,TrafcNormalization,andEnd-to-EndProtocolSemantics[C]//Proceedingsofthe10thUSENIXSecuritySymposium.
Washington,D.
C.
,USA,August13–17,2001:1-17.
[120]MustafaEmreAcer,EmilyStark,AdriennePorterFelt,etal.
WheretheWildWarningsAre:RootCausesofChromeHTTPSCertificateErrors[C]//Proceedingsofthe2017ConferenceonComputerandCommunicationsSecurity,CCS2017,Dallas,TX,USA,October30-November03,2017:1407-1420.
[121]KatharinaKrombholz,KarolineBusse,KatharinaPfeffer,etal.
IfHTTPSWereSecure,IWouldn'tNeed2FA-EndUserandAdministratorMentalModelsofHTTPS[C]//Proceedingsofthe40thIEEESymposiumonSecurityandPrivacy,SANFRANCISCO,CA,USA,May19-23,2019:246—263.
[122]XuKe,ZHUMin,LinChuang.
InternetArchitectureEvaluationModels,MechanismsandMethods[J].
ChineseJournalofComputers,2012,35(10):1985-2006.
(inChinese)(徐恪,朱敏,林闯.
互联网体系结构评估模型、机制及方法研究综述[J].
计算机学报,2012,35(10):1985-2006.
)Online徐恪等:互联网内生安全体系结构研究进展23[123]XuKe,XuSong-Song,LiQi.
DecentralizedtrustedInternetinfrastructurebasedonblockchain[J].
CommunicationsoftheCCF.
2020,16(2):29-34.
(inChinese)(徐恪,徐松松,李琦.
基于区块链的去中心化可信互联网基础设施[J].
中国计算机学会通讯.
2020,16(2):29-34.
)XUKe,bornin1974,Ph.
D.
,professor,Ph.
D.
supervisor.
Hisresearchinterestsincludenext-generationInternet,Blockchainsystems,InternetofThings,andnetworksecurity.
FUSong-Tao,bornin1982,Ph.
D.
candidate.
HisresearchinterestsincludeInternetarchitecture,networksecurity.
LIQi,bornin1979,Ph.
D.
associateprofessor.
Hisresearchinterestsincludenetworksecurity,privacypreserving,bigdatasecurity.
LIUBing-Yang,bornin1985,Ph.
D.
HisresearchinterestsincludeInternetarchitecture,networksecurityandtrust,routingandnamingresolution,deterministicnetwork.
JIANGWei-Yu,bornin1987,Ph.
D.
Herresearchinterestsincludenetworksecurity,trustedidentitymanagement,privacyandIoTsecurity.
WUBo,bornin1990,Ph.
D.
HisresearchinterestsincludeInternetarchitecture,networksecurity.
FENGXue-Wei,bornin1985,Ph.
D.
candidate.
HisresearchinterestsincludeInternetarchitecture,networksecurity.
BackgroundThetraditionalInternetarchitecturedesignedtowardsperformancelacksthefoundationoftrustbetweentheusersandnetwork,resultsserioussecurityissues,suchasSourceSpoofing,DDoSattack,andRouteHijacking.
WiththedevelopmentoftheInternet,thefunctionalityofthenetworkextendstotheautomaticinteractionandcontrolundertheinterconnectionofthings,ahigherrequirementofnetworksecurityhasbeenbroughtforward.
Designingarchitecturewithintrinsicsecurityattributesandcapabilitiescouldfundamentallyimprovethenetworksecurityperformance.
TheevolutionarywaywhichaimstoresolvetheexistingoremergingproblemsoftheInternet,whilekeepthebackwardcompatibilityaswellastheincrementaldeployment,andeventuallytowardsanewInternetarchitecture,couldnotonlyachieveastabletransitionbutalsobringinnovationstomeettheevolvingrequirementsofbuildingtheInternetintrinsicsecurityarchitecture.
ThispaperdeeplystudiesvariouskindsofdesignsagainsttheInternetsecurityproblemsinrecentyears,analyzestheintrinsicsecuritycharacteristicsofthesedesigns,andproposesthedesignideaofbuildingintrinsicInternetsecurityarchitecture.
TheInternetintrinsicsecurityarchitecturehasthe"securitygene",whichsolvessecurityproblemswithoutexternalforce(securitysoftware,firewall,etc.
),ensurethesecurityofthenetworkcommunicationaswellastheauthenticityoftheusers.
Ingeneral,theintrinsicsecurityarchitecturehasthetwocharacteristics,autonomousimmunity,reliableaswellascontrollable.
Itcouldbuildthetrustworthinessamongtheterminals,infrastructureandapplicationservices,achievethecontrolofnetworkbasiccommunicationunits,users,andthenetworkapplicationservices.
ThisworkwasinpartsupportedbytheNationalKeyR&DProgramofChinawithNo.
2018YFB0803405,NationalScienceFoundationforDistinguishedYoungScholarsofChinawithNo.
61825204,NationalNaturalScienceFoundationofChinawithNo.
61932016,No.
61802222,BeijingOutstandingYoungScientistProgramwithNo.
BJJWZYJH01201910003011andBeijingNationalResearchCenterforInformationScienceandTechnology(BNRist)withNo.
BNR2019RC01011,PCLFutureGreater-BayAreaNetworkFacilitiesforLargescaleExperimentsandApplications(LZC0019),theprojectofHuaweiTechnologyCo.
Ltd.
withNo.
HF2019015003.
第一作者照片(高清照片)