2021年 11 月 CHINESE JOURNAL OF COMPUTERS Nov. 2021
收稿日期:2020-03-20;在线发布日期:2020-09-02. 本课题得到国家重点研发计划课题(2018YFB0803405)、国家杰出青年科学基金 (61825204)、国家自然科学基金(61932016, 61802222)、北京高校卓越青年科学家计划项目(BJJWZYJH01201910003011)、国家研究中心 项目(BNR2019RC01011)、鹏城实验室大湾区未来网络试验与应用环境项目(LZC0019)、华为技术有限公司委托项目(HF2019015003)资 助 . 徐 恪 ( 通 信 作 者 ) , 博 士 , 教 授 , 博 士 生 导 师 , 主 要 研 究 领 域 为 新 一 代 互 联 网 、 区 块 链 系 统 、 物 联 网 和 网 络 安 全 .E-mail:
[email protected]. 付松涛,博士研究生,主要研究领域为网络体系结构、网络安全. 李 琦,博士,副教授,主要研究方向 为网络安全、隐私保护、大数据安全. 刘冰洋,博士,主要研究方向为网络架构、网络安全及可信、路由和命名解析、确定性网络等. 江 伟玉,博士,主要研究方向为网络安全、可信身份管理、隐私与IoT安全. 吴 波,博士,主要研究方向为网络体系结构、网络安全.
冯学伟,博士研究生,主要研究方向为网络体系结构、网络安全.
互联网内生安全体系结构研究进展
徐 恪 1,2,3) 付松涛 1,2) 李 琦 2,4) 刘冰洋 5) 江伟玉 5) 吴 波 5) 冯学伟 1,2)
1)(清华大学计算机科学与技术系 北京 100084)
2)(北京信息科学与技术国家研究中心 北京 100084)
3)(鹏城实验室 深圳 518000)
4)(清华大学网络科学与网络空间研究院 北京 100084)
5)(华为技术有限公司 2012 实验室 北京 100085)
摘 要 随着互联网不断发展,网络功能逐步走向万物互联下自动交互与控制,大数据、云计算、边缘计算等技 术不断深入应用,传统网络面临的源地址欺骗、DDoS 攻击、路由劫持等安全问题仍然存在,新的应用场景使用 户面临更严重的安全问题,现有互联网体系结构面向性能的设计难以承担网络安全的需求. 互联网安全问题的根 源在于体系结构设计时没有考虑安全需求,缺乏用户与网络的信任根基,由于体系结构设计缺失带来的问题应该 从体系结构设计本身寻找解决方案. 设计自带安全属性和安全能力的体系结构,通过内生的方式提供网络安全,
能够从根本上提升网络安全性能. 本文深入研究和总结了近年来针对互联网安全问题提出的各类解决方案,对方 案的安全特性进行了分析,在此基础上提出了构建互联网内生安全体系结构的思路.
关键词 互联网;内生安全;互联网体系结构
中图法分类号 TP391 DOI 号 10.11897/SP.J.1016.2021.02149
The Research Progress on Intrinsic Internet Security Architecture
XU Ke
1,2,3)
FU Song-Tao1,2)
LI Qi2,4)
LIU Bing-Yang5)
JIANG Wei-Yu5)
WU Bo5)
FENG Xue-Wei1,2)
1)(Department of Computer Science and Technology, Tsinghua University, Beijing 100084)
2)(Beijing National Research Center for Information Science and Technology, Beijing 100084)
3)(Peng Cheng Laboratory, Shenzhen 518000)
4)(Institute for Network Science and Cyberspace, Tsinghua University, Beijing 100084)
5)(2012 Labs, Huawei Technology Co. Ltd., Beijing 100085)
Abstract With the development of the Internet, the functionality of the network extends to the automatic
interaction and control under the interconnection of things. The security problems of the traditional network such as Source Spoofing, DDoS attack, and Route Hijacking still exist. At the same time, the technology of Big Data, Cloud Computing, as well as Edge Computing is applied to the Internet, brings new security problems. Therefore, the user in the network faced more security problems. The traditional Internet architecture, which is designed towards performance and lacks the foundation of trust between the usersand network, is not enough to meet the security requirements of the network. To improve network security performance, there have been many different ideas for constructing the future Internet architecture, which mainly including the following designs: (1) The way repaired the problems of the network for incremental deployment to the existing Internet architecture; (2)The clean-slate design which abandons the existing Internet architecture, redesigns the network in a revolutionary way; (3) The evolutionary way which aims to resolve the existing or emerging problems of the Internet, while keep the backward compatibility as well as the incremental deployment, and eventually towards a new Internet architecture. We believe that only through the repaired way can't solve the inherent problems of the existing Internet architecture, while the clean-slate design, which is difficult to achieve incremental deployment, at least so far, have not shown instances of new applications or services that can be directly or indirectly deployed in the current Internet.
The evolutionary way, which change the Internet as an evolving ecosystem, could not only achieve a stable transition but also bring innovations to meet the evolving requirements. We maintain that the evolutionary way can be adopted by the current Internet architecture and bring positive impact on the ecosystem which many millions of people live, work, and communicate. To achieve the evolutionary way, we need to study and understand the current state of the Internet, predict where it is heading and the problems it might soon face, and eventually find the root cause of the existing Internet security problems. We insist that the root cause of the existing Internet security problems lies in the Internet architecture, and the security performance should be fundamentally improved by designing network architecture with intrinsic security attributes and capabilities. The intrinsic security architecture of the Internet embeds security functions as a basic element to the Internet, forming a “security gene”, which ensures that the basic communication units of the network and the users who access the network are trustworthy without the help of external forces (security software, firewalls, etc.). In general, the intrinsic security architecture should have the following two characteristics: (1) Autonomous immunity. The security function is embedded with the network protocol to form a “security gene”. It does not rely on external equipment to solve security problems and can dynamically improve security capabilities with changes in the network environment. (2) Reliable as well as controllable. The trustworthiness among the terminals, infrastructure and application services, achieve the control of network basic communication units, users, and the network application services. This paper deeply studies various kinds of designs against the Internet security problems in recent years, analyzes the intrinsic security characteristics of these designs, and proposes our design idea of building intrinsic Internet security architecture.
Keywords Internet; Intrinsic Security; Internet Architecture
1 引 言
传统互联网体系结构面向性能的设计导致其面 临严重安全威胁,如互联网缺乏真实地址鉴别能力,
无 法 验 证 数 据 来 源 , 带 来 源 地 址 欺 骗 ( Source Spoofing)、拒绝服务(Denial-of-Service)、路由劫 持(Route Hijacking)等攻击[1][2],给互联网及相关 经济、社会和军事系统带来极大破坏. 到目前为止,
各类安全解决方案不能从根本上解决网络面对的各 种威胁[3].
Zave和 Rexford 认为互联网缺乏信任基础,网
络组件和服务被攻击,甚至网络本身对用户非法监 视或审查,这些安全问题应该在网络中解决[4]. 针对 传统互联网完全不可信的假设,Google 设计了基于 信任等级访问控制的零信任模型 BeyondCorp[5][6], 实现以身份为中心的动态访问控制,通过对用户行为 和设备状态的分析管控构建新的安全互联网环境.
陈钟等人认为网络安全目标是使终端、网元、
协议和应用具备先天防疫能力,摆脱网络安全被动 跟随网络架构的束缚[7]. 于涵等人基于免疫网络理 论,引入免疫系统监控和管理信息传输系统行为,
建立动态的网络模型防止网络入侵[8]. 中国工程院
于全院士从生物免疫系统角度,通过借鉴生物免疫 系统带来的启示,提出依靠群体协作与对抗学习的 网络安全防御类免疫动态安全架构[9]. 中国工程院 邬江兴院士认为,带来安全问题的漏洞或后门是未 知的,通过生物拟态现象造成攻击者认知困境,形 成内生的主动防御,从“构造决定安全”公理中寻 求破解安全问题之路[10].
构建未来互联网体系结构,一直以来存在多种 不同的思路,主要包括以下三种思路:(1)针对现 有互联网体系结构不足进行增量式修补的改良式路 线;(2)放弃现有互联网体系结构,重新设计的革 命式路线;(3)寻求折中的演进式路线. 仅通过改 良式路线不能解决现有互联网体系结构固有弊端,
而革命式路线脱离当前互联网得以滋生、创新和发 展的既有体系结构,难以实现增量式部署. 通过演 进式路线,既能实现稳定过渡又能满足不断发展的 应用需求[11]. 我们认为,演进式路线在继承互联网 体系结构基本设计原则和保证增量部署前提下进行 革新,通过内生安全的互联网体系结构,既保证体 系结构稳定过渡,又具备解决网络安全问题的能力.
互联网内生安全体系结构将安全功能作为基本要素 耦合到体系结构,形成“安全基因”,在不借助外力
(安全软件、防火墙等)情况下,确保网络各通信 基础单元及接入网络用户真实可信. 总体说来,内 生安全应当具有以下两个特征:
(1)自主免疫. 安全功能与网络协议紧密耦合,
形成“安全基因”,不借助外部设备解决安全问题,
能够随网络环境变化动态提升安全能力.
(2)可信可控. 真实可信范围涵盖终端、基础 设施到应用服务,实现网络各通信基础单元、接入 网络用户及网络应用服务整体可信可控.
本文包括 5 个部分,第 2 部分分析了构建互联 网内生安全体系结构面临的问题和挑战,第 3 部分 对当前互联网具有一定内生安全能力的解决方案进 行分析和比较,并对方案可部署性进行分析,第 4 部分提出了一个互联网内生安全体系结构框架,最 后对本文进行了总结.
2 问题与挑战
互联网诞生之初,用户数量相对较少,且用户 主要来自教育科研结构,用户与网络存在信任基础.
随着互联网不断发展,用户数量达到十亿规模并持 续增长,数据中心、云计算、边缘计算等技术广泛 应用于互联网[12][13][14],用户与网络的交互更复杂,
网络面临更严重的安全问题. 随着物联网的发展,
互联网应用场景逐步走向人与万物互联[15],伴随物 联网发展的是巨大的安全隐患. 彻底解决网络安全 问题,需要探究网络问题产生的根源,网络安全问 题产生的根源在于互联网现有体系结构面向性能的 设计导致网络空间与用户空间缺乏信任机制,这种 信任机制缺乏主要表现在:
(1)地址标识不可信. 地址标识是互联网体系 结构的基本载体,但没有成为真实可信的端设备标 识. 互联网现有开放、易伪造的 IP 地址,严重破坏 了通信真实性,由于没有源地址认证机制,导致 IP 地址可以被假冒、仿造、劫持,且难以溯源.
(2)路由体系不可信. 路由体系是互联网数据 传输的核心,当前存在数据传输实际路径与宣告路 径不一致,BGP 缺乏对宣告消息合法性的验证能力,
导致路由被劫持和假冒,发送者无法得到数据包沿 预定路径传输的保证. 此外,网络中时常发生大规 模分布式拒绝服务(Distributed Denial of Service,
DDoS)攻击等问题[16].
(3)应用服务和基础设施不可信. 为用户提供 应用服务是互联网的目标,缺乏可信的用户身份认 证机制造成数据访问隐私泄露,网络应用发布和运 行监管缺失,大量针对应用漏洞的攻击带来严重安 全问题. 现有中心化的公钥基础设施(Public Key Infrastructure,PKI)作为互联网的信任支撑,存在 仿冒伪造及单点故障,易遭受攻击引起虚假身份等 问题[17].
此外,互联网处于动态、开放的网络环境,安 全问题解决方案还需要考虑部署成本问题. 因此,
通过体系结构设计从根本上解决网络安全问题,需 要将安全问题作为一个整体考虑,综合考虑方案的 可部署性,将真实可信作为基本属性嵌入体系结构,
建立网络和用户的信任机制. 我们认为,设计互联 网内生安全体系结构面临如下挑战:
(1)建立多类型端设备接入条件下的终端设备 地址标识管理机制. 如何综合权衡互通、成本、安 全和兼容性,确保网络具备验证终端设备地址真实 性的能力.
(2)大规模网络路径真实性和路由节点行为的 有效管控. 如何基于分组的差异化需求,保证分组 传输过程实际路径与宣告路径一致,在分布式场景 下有效管控路由节点行为,确保网络传输与路由控 制“可信、可靠、可验证”.
(3)跨域应用场景下数据访问和应用服务管
控与监测. 如何在复杂应用场景下实现全局身份 认证,改变全球网络基础设施不可信现状,确保用 户身份和网络行为,以及应用服务“可信、可审计、
可追溯”.
3 现有解决方案分析
本节从端设备地址、传输路径、网络服务安全,
以及新型体系结构设计等方面分析现有网络安全问 题解决方案及其可部署性. 我们整理了当前具有一 定代表性的网络安全问题解决方案,如表 1 所示,
这些方案包括对现有互联网的改良或革命性设计,
具备一定内生安全特性,对构建互联网内生安全体 系结构具有借鉴和参考意义.
3.1 端设备地址安全
大量研究从源地址安全的角度改进互联网开放 接入带来的各类安全问题,从提升 IP 地址真实可信 能力和保护隐私等方面提升安全性. 此外,一些研 究基于无线通信设备物理层特征提升设备接入的安 全性,这些特征可以与端设备地址绑定,从而提供 适应于更多应用场景的安全能力.
表 1 现有安全问题解决方案
类型 现有问题 解决方案 目标
SAVA[18]/SAVI[19]/ SPM [20]/ Passport[21]/ APPA [22]/
Hidasav[23]/DISCS[24]/RISP[25]/ IPsec[26]/ HIP[27]/APIP[28]/AIP[29]/ APNA[30]
实现源地址真实性鉴别,提供地 址审计能力和用户隐私保护 端设备
地址
缺乏端设 备地址验
证机制 RFID鉴别[31]/ ZigBee鉴别[32]/802.11网卡鉴别[33] 基于设备物理特征实现认证
Pi[34]/ stackPi [35]/ ICING[36]/SNAPP[37]/ OPT[38]/OSP[39]/ PPV[40]/ ShortMAC[41]/ Faultprints[42]/RFL[43]/ TrueNet[44]/VeriDP[45]/ NetSight[46]/ DynaFL[47]/ DFL[48]//DYNAPFV[49]/ MINOS[50] SNP[51]/ SPP[52]/ Zeno[53]/ Confluo[54]
分组转发层面实现路径行为一致 性验证、错误定位与网络诊断 传输
路径
路由体系
信任缺失 OA[55]/ Argus[56]/ DISCO[57]/SPV[58]/S-BGP[59]/ So-BGP[60]/ psBGP[61]/ IRV[62]/ BGPsec[63]/Path-End Validation[64]/ eOTC[65]/RLP[66]/ Listen and Whisper[67]/Consensus Routing[68]/NetReview[69]/ TBGP[70]/ Pathlet[71]/ SCION[72]/ Internet Blockchain[73]
解决 BGP 前缀劫持、路径劫持、
路由泄露等问题
Riverbed[74]/ Ghostor[75]/IotSan[76]/ IOTGUARD[77] 数据访问安全
Hydra[78]/ SmartCrowd[79]/SmartRetro[80] 应用发布和运行阶段安全 网络
服务
数据访问、
应用服务 和基础设
施不可信 ARPKI[81]/IKP[82]/ CertChain[83]/ BlockPKI[84] 提升 PKI 等基础设施安全能力
新型体系结构设计 XIA[85]/ MobilityFirst[86]/ NDN[87]/ SAINT[88]/ Compositional Architecture[89]/ PINet[90]
建立解决互联网现有问题的新型 体系结构
3.1.1 源地址安全
源地址安全包括源地址验证和源地址保护,源 地址验证确保源地址真实可信,源地址保护在确保 可审计性的前提下保护源地址不被伪造,且有效防 止隐私泄露.
(1)源地址验证
源地址验证的目标是通过验证过滤含有非法源 地址的数据包. 如图 1 所示,RFC 5210[18]中提出源 地 址 验 证 体 系 结 构 ( Source Address Validation Architecture,SAVA),将源地址验证划分为三层,
在接入网、自治域(Autonomous System,AS)内、
自 治 域 间 实 现 源 地 址 验 证 及 过 滤 三 层 框 架 . 在 CNGI- CERNET2( 中 国 下 一 代 互 联 网 示 范 工 程 CNGI核心网之一)中对 SAVA 进行了部署实现[91].
① 接入网验证
RFC7039[19]提出了接入网源地址验证增强技术
(Source Address Validation Improvement,SAVI),
能 够 在 第 一 跳 交 换 机 实 现 主 机 粒 度 源 地 址 验 证 .
SAVI中所有主机统一管理,采用方案符合本地接入 子网地址分配和管理策略,通过交换机端口和真实 源 IP 地址,或 MAC 地址、源 IP 地址和交换机端口 动态绑定验证交换机端口的数据包合法性.
图 1 SAVA 架构图
② 域内验证
域内验证用于过滤域内用户发起的伪造报文,
与接入网验证共同构建完整的域内防御体系. 与接 入网验证一样,网络设备处于同一管理权限下,通 过构建过滤表,将路由器每个传入接口与一组有效 的地址前缀关联. 但域内验证只能约束域内用户行
为,无法对外域攻击建立防御基础. 实际部署后,
域内源地址验证仅能约束域内用户不向外发送伪造 报文使互联网受益,对“外部”数据包源地址验证 能力不强,难以实现“谁部署谁受益”,导致缺乏部 署激励[92].
③ 域间验证
相对域内验证而言,域间验证实现较为复杂.
自治域之间达成共识是实现域间验证的有效方式.
SPM(Spoofing Prevention Method)[20]建立自 治域安全联盟,联盟内发送端与目的端事先协商好 标签并添加于发送报文中,目的端验证源地址真实 性. SPM 能够在接收端部署使部署者受益,以激励 网络维护者部署,但 SPM 不能保护外部用户免受反 射 攻 击 , 且 密 钥 更 新 较 慢 降 低 了 系 统 安 全 性 . Passport[21]通过 AS 间分享对称密钥,源端边界路由 器为出向流量增加消息认证码,经过每个自治域时 依次对当前 AS 对应的消息认证码进行验证,直到 到达目的端,Passport 的不足是传输路径改变时无 法实现验证,对拓扑的依赖影响了可部署性.
APPA(Automatic Peer-to-Peer Anti-spoofing)[22]
实现了自治域内和自治域间两级过滤,自治域内
(intra-AS)签名在网关验证;自治域间(inter-AS)
源边界路由器标记签名,目的边界路由器实现验证,
通过自动状态机改变签名,基于状态机实现 AS 粒 度前缀验证. 但扁平化的域间验证体系导致边界路 由器维护状态机数量过大,增加了路由器开销和状 态机同步难度. Hidasav(Hierarchical Inter-Domain Authenticated Source Address Validation)[23]提出一 种分层级建立联盟的域间源地址验证体系,AS 联盟 分为多个层级,每一层级联盟可作为成员参加更高 层级联盟. 同一联盟内最低层级之间源地址验证通 过联盟内状态机实现;跨联盟源地址验证时,源 AS 所在联盟各层级边界路由器作为跨联盟数据报文交 互的“中继代理”自下而上替换标签,目的 AS 所 在联盟各层级边界路由器自上而下替换标签,直到 到达目的 AS. Hidasav 能够降低通信、存储及计算开 销,建立自治域间的信任关系,并能在互联网增量 部署,实现“先部署先受益”.
为 提 升 域 间 源 地 址 验 证 的 灵 活 性 , DISCS
(DIStributed Collaboration System)[24]将互联网划 分为多个防御联盟,联盟内提供与 SPM 类似的防 御,仅在受到攻击时根据攻击类型按需调用联盟成 员提供的防御函数. DISCS 提升了效率,其不足是可 靠性依赖于 BGP 的安全性,这种依赖影响了方案的 自 主 安 全 性 . 同 样 依 赖 可 信 第 三 方 的 还 有 基 于
RPKI(Resource Public Key Infrastructure)[93]提供源 地址域间通信保护机制的 RISP[25],通过 RISP 联盟 中心、RISP 服务器和自治系统边界路由器共同完成 出向和入向 流量过滤. 该方法的不 足是过于依 赖 RPKI,RPKI 实际部署速度很慢,在 BGP 宣告的 IP 前缀中只有少量受到 RPKI 保护,限制了其性能.
此外,还有方案基于分组路由信息实现过滤,
在路由器转发端口建立合法源地址绑定表,分组传 输过程中过滤绑定表以外的源地址报文[94]. 但建立 绑定表需要获取自治域合法地址前缀及源端路由选 择信息,实际部署性较差.
总体说来,现有源地址真实性验证方案将验证 功能与网络功能耦合,提供了一定的内生安全能力,
但域内验证方案缺乏部署激励,域间验证方案存在 带宽、计算资源开销过大等不足,影响数据传输性 能,部分方案对第三方设施存在依赖. 建立互联网 高效、可靠的地址验证体系,还需进一步探索.
(2)源地址保护
源地址保护在保证源地址可审计性基础上,保 护源地址不被别的主机用于伪造身份,以及保护源 地址隐私.
① 源地址伪造保护
IPsec[26]能够借助加密技术同时保护源地址和 目的地址,但存在开销大、可扩展性低等不足. 为 保护网络主机移动后 IP 地址不被其他主机用来伪造 身份发送数据包, HIP(Host Identity Protocol)[27]
在 L3.5 层设计主机标识,IP 地址只用于路由. 主机 标识符 HI(Host Identity)标识用户身份,主机移动 造成 IP 地址发生变化时对通信不存在影响,对端节 点可以通过 HI 识别用户身份. HI 使用公钥哈希得到 128 位 HIT(Host Identity Tag)作为主机标识. HIP 通过增加标识,在不依赖对 IP 地址审计的前提下解 决移动性问题,安全功能与正常功能紧密耦合,提 供内生安全支持,但需要 IPsec 增强数据安全性,
开销较大,且交换过程容易引入 DoS 攻击,同时只 能用于身份识别,不能防御地址前缀欺骗.
② 源地址隐私保护
Naylor 等人认为增强 IP 地址可审计性的同时需 要提供隐私保护,提出兼顾可审计性与隐私保护的 APIP(Accountable and Private Internet Protocol)[28]. APIP将源 IP 分成两部分,对审计地址(Accountability Address)和回传地址(Return Address)分别管理. 作 者在 AIP(Accountable Internet Protocol)协议[29]源地 址审计机制基础上设计了保护用户隐私前提下可审计 策 略 . 借 鉴 AIP 中 委 托审 计 ( Delegated Account
ability),将地址分为两部分,每个数据包携带多个 地 址 , 用 于 传 输 数 据 的 目 的 地 址 ( Destination Address),和用于识别的审计地址.
APIP传输过程如图 2 所示,其传输过程包括:
A:发送端携带审计地址发送;B:发送端向审计委 托方发送数据包摘要;C:路由器或接收端向审计 委托方确认数据包是否来自其委托的客户端;D:
如果接收端确定数据包属于恶意流,则使用审计地 址向委托审计方报告;E:接收方使用回传地址向发 送方发出响应. APIP 能够确保只有委托审计方知道 发送方发送了数据包,从而改进隐私保护问题,同 时在处理恶意流的方式上有了更长效和明确的方 案. 但安全功能并没有与正常协议功能紧密耦合,
源端可以不报告或否认数据包.
图 2 APIP 传输示意图
APNA(Accountable and Private Network Arch- itecture)[30]在可审计性和隐私保护方面对 APIP 做 了提升,AS 通过向所属范围内的主机分配临时 ID
(Ephemeral Identifiers,EphIDs)用于通信,保护 主 机 IP 地 址 隐 私 , ISP 仅 对 认 证 后 的 主 机 发放 EphIDs,EphIDs 与主机公私钥对关联,通信时源端 和目的端通过与 EphIDs 关联的证书和公私钥协商 通信对称密钥,所有数据加密通信. 目的端可以向 审计代理(Accountability Agent,AA)发送中断通 信请求,AA 审计通过后终止源端流量. APNA 通过 安全功能和协议功能的耦合提供了一定的内生安全 性,但没有提供证书安全发放的手段,影响了整体 安全性.
基于 IP 地址的命名与解析策略作为网络传输 的核心承载机制,其设计对互联网影响至关重要,
朱 亮 等 人 在 文 献 [95]中 提 出 了 一 种 通 用 的 地 址 框 架,在文献[96]中提出了一种形式化的互联网地址 机制通用框架,并进一步在文献[97]中创新命名机 制,提出基于 xml 的通用命名服务,支持在体系结 构中动态引入命名空间、协议实体以及对应解析机 制,对应用透明的同时保证原有体系结构的兼容性
及可理解性,可以作为构建具有内生安全能力互联 网体系结构的参考和借鉴.
3.1.2 物理层鉴别
随着物联网的发展应用,大量设备/传感器通过 网络互联,由于无线信道开放性引入的窃听、篡改 或攻击,物理层鉴别(Physical-Layer Identification,
PLI)作为传统基于密码的无线通信的补充,在阻止 非授权用户截获、窃听数据方面具有一定优势. 大 量关于物理层鉴别的研究表明,硬件设备在调制方 式、瞬态转变等方面存在一定区别,由此可形成端 节点“指纹”特征,具有自认证特点.
Danev等人[31]提出射频识别设备(Radio Frequency Identification Devices,RFID)鉴别方式,基于 RFID 应答机响应信号的调制形状和频谱特征差别识别不 同 RFID,为防止克隆设备伪造相同 RFID 指纹,通 过在授权方使用数字签名将 RFID 指纹绑定到文档 ID,验证签名有效后,授权方将存储指纹与测量指 纹进行比较,确保不受伪造设备影响. 此外,Danev 等人还通过 ZigBee 设备在数据包开始传送到实际 数据传送短暂的瞬态特征不同对节点进行鉴别[32]. 但瞬态特征提取对设备要求极高,此外,攻击者可 以通过爬山(Hill-climbing)算法试出被攻击者特征 从而假冒被攻击者,也很容易制造噪声造成阻塞,
影响了其实用性.
Polak 等人对 802.11 网卡的信号发射特征进行 分析,认为这些信号差异即便可通过精确的制造工 艺和质量控制来解决,但花费成本过高,可以通过 无线网卡特征进行鉴别[33]. Henrik 等人分析了机器 通信(Machine-type Communication,MTC) 网络 中 接 入 点 与 物 联 网 节 点 的 物 理 层 认 证 ( Physical Layer Authentication,PLA)协议,以及附近存在攻 击者实施数据注入、解除关联、女巫攻击对 PLA 的 影响,证明了 PLA 协议在 MTC 关键任务应用中面 对三种攻击的可用性[98].
总体说来,如表 2 所示,在源地址真实可信方 面,以 SAVA 为代表的源地址认证技术具备一定内 生安全性,但域间验证存在开销大及对第三方设施 依赖等不足. 源地址保护方面,现有解决方案还不 具备同时保护用户隐私和实现可审计性的内生安全 能力. 现有物联网设备安全解决方案基于设备自身 特性,具有一定自主内生安全性. 但随着软件无线 电技术的发展,伪造这些特性并不困难,解决方案 能否随攻击能力提升安全能力尚不明确;同时方案 只适合小规模用户场景,如网关对本域内节点验证.
这些方案可作为锚在接入网内与 IP 地址绑定,为构
建适用于异构网络节点接入的内生安全体系结构提 供基础和参考.
表 2 端设备地址安全方案小结
类型 策略 优点 不足
源地址 真实性
SAVA[18]/SAV[19]/ SPM[20]/ Passport[21]/ APPA[22]/ Hidasav[23]/ DISCS[24]/RISP[25]
提供域内自 律验证、域 间安全审计
域内缺乏部署激 励,域间开销大或 依赖第三方设施 源地址
保护
IPsec[26]/HIP[27]/ APIP[28]/ AIP[29]/APNA[30]
提供审计能 力和用户隐 私保护
开销大,源端可避 开审计或对第三 方存在依赖
物理层 鉴别
RFID鉴别[31]/ ZigBee 鉴别[32]/ 802.11网卡 鉴别[33]
基于设备自 身特性验证
适合小规模场景,
是否具备自我提 升安全能力还需 进一步验证
3.2 传输路径安全
确保数据传输链路从源地址到目的地址全链路 生命周期安全是网络安全的重要组成部分. 我们从 传输路径数据面和控制面分别分析相关解决方案.
3.2.1 传输路径数据面安全
传输路径数据面解决方案力求用最小的开销提 供路径验证能力,并通过错误定位方案检测传输链路 上的错误位置,甚至准确分析故障原因,从而制定网 络策略. 传输路径验证(Path Verification Mechanism,
PVM)主要关注路径一致和遵从性(Path Consent and Path Compliance),确保接收端和路径上的节点 能够验证传输路径是否符合要求,现有基于标识验 证、可信硬件、集中式验证和设定路由规范等解决 方案,将安全功能与常规功能耦合,具备一定的内 生安全能力. 此外,网络诊断系统能够针对网络故 障提供诊断功能,对构建互联网内生安全体系结构 具有借鉴和参考意义.
(1)基于标识验证
基于标识验证方面,通过在 IP 分组头部添加标 识判断恶意流量以保护接收端的方案有:Savage 等 人[99]提出的基于随机标识辅助接收端判断恶意流量 的机制;确保接收端能够通过数据包转发路径确定 错误位置的 Pi(Path Identifier)机制 [34] ;以及基 于栈的概念,中间节点将标识信息依次写入栈中,
接 收 端 根 据 栈 中 信 息 判 断 转 发 路 径 是 否 安 全 的 stackPi 机制[35]. 这些方式可以通过标识追溯路由 节点行为,有效保护目的节点免遭 DDoS 攻击,但 由于没有从根本上解决中间节点受到恶意攻击时有 效防范问题,同时 IP 头部可以利用的标识符长度有 限(通常不超过 16 位),假冒者可以学习标识添加 方法,难以实现精确定位.
SNAPP(Stateless Network-Authenticated Path Pinning)[37]的目标是通过路径一致在分组交换路由 上实现电路交换性能,发送端和路由器依次添加消 息完整性验证码(Message-Integrity Code,MIC),
下一跳路由器及目的端依次验证,具备较高的验证 效率,但由于缺乏对数据包转发过程的防护,导致 其应对攻击能力较弱.
ICING 机制[36]在每个中间节点部署验证服务 器,对接收数据包进行安全验证,提供了较高的安 全保障. 但是其不足也十分明显,首先其复杂的验 证过程带来网络传输时延明显增加,其次中间节点 验证属于有状态操作,大大增加了存储开销,同时 需要部署用于验证的专用服务器,削弱了实际部署 可能性. OPT(Origin and Path Trace)方案[38]设计了 一种轻量级的源地址和路径验证策略,发送端在数 据包头设置数据包转发路径上所有节点的标识,中 间节点(路由器)及接收端依次在路径上接收相应 标 识 . OPT 的 中 间 节 点 只 执 行 两 次 消 息 认 证 码
(Message Authentication Code,MAC)操作,提升 了效率,但是需要所有节点都部署验证能力,同时仍 然无法解决中间节点受到攻击产生恶意丢包的行为.
此外,由于 OPT、ICING 等认证码对加密方案的依 赖,在数据包较多时带来较大的加密和验证开销.
通过源端和路由器使用正交序列作为证书,
OSP(Orthogonal Sequence based Protocol)[39] 传输 数据时,源端向提供商请求证书,提供商向相应的 路由器下发证书,由于源端证书中包含与路由器证 书正交的序列,路由器节点能够验证包的源地址和 路径. OSP 提高了路由器存储和验证效率,其不足是 每个节点都需要提供商下发验证信息,增加了管理 开销.
为进一步提高效率与可靠性,Wu 等人提出了 中间路由节点以一定概率对数据包进行标识的 PPV 机制[40],可以减少分组头部额外的通信开销和安全 验证的延时开销,从而提高源地址和路径验证的效 率. 在 13 跳的情况下,PPV 将 OPT 所需的近 300 Bytes通信开销降至 64 Bytes,并在目的端提供错误 定位功能,同时基于随机标识方式更易在互联网增 量部署.
通过在数据包头部新增标识字段,使发送端能 够根据回传信息实现错误定位的策略有 ShortMAC 机制[41]、Faultprints 机制[42]等. ShortMAC 在发送端 增加标识字段,传输路径上各节点识别标识字段并 验证,节点记录正确和错误的数据包数量,并将记 录回传到发送端. 发送端接收数据包传输记录后,
确定传输过程中异常发生的位置. ShortMAC 需要为 每个源端存储对称密钥,对路由器存储资源消耗过 大,无法用于域间通信. Faultprints 机制实现了域间 路由转发错误定位. 其基本原理如下:发端发送数 据时,按照一定规则设置数据包头,数据传输路径 上各节点对数据包进行验证和采样,发送端接收来 自传输路径的采样并定位异常节点. 由于设计了硬 件加速方法,Faultprints 具有较高的验证效率. 它们 共同的不足是如果路径上有节点受到干扰,传来错误 采样信息,发送端无法判断真伪,降低了可靠性.
Wu等人[100]提出了一种鲁棒性的轻量级错误节
点定位机制,在此基础上,进一步在文献[43]中提 出高鲁棒性错误定位机制(Robust Fault Localization,
RFL). 该机制中,每个路由节点随机采样数据包信 息,源端接收这些回传信息. 通过高鲁棒性的密钥 分发,轻量级的源地址和路径验证,实现高效可靠 的错误定位. 如图 3 所示,ReqKey 和 AckKey 表示 对称密钥分发的请求和反馈,ReqProb 和 AckProb 表示采样信息回传的请求与反馈. 经过对称密钥分 发、源地址与路径验证到实现错误定位,由于采用 了随机采样方式,降低了开销. 但 RFL 机制仍然不 能保障回传信息不被篡改,基于传输路径不能假设 为可靠信道这一前提,仍然没有策略能够解决恶意 行为对中间节点的攻击,提供自主的内生安全性.
图 3 RFL 机制工作流程
(2)基于可信硬件
基于可信硬件方面,TrueNet 机制[44]引入了可 信计算模块(Trusted Computing Base,TCB)收集 网络状态,可信计算模块安装于发送端、传输路径 节点、接收端,不同实体间的可信计算模块通过安 全信息交互确定恶意链路位置. TrueNet 中可信计算 模块的可信度直接影响了网络安全性,但可信模块 本身并不是方案设计的一部分,方案的自主安全性 受到可信模块的限制.
(3)集中式控制
集中式控制通过软件定义网络(Network Defined Software,SDN)技术,以集中方式对源地址真实性 和路径一致性进行验证,能够提高验证效率和准确 性. 如 VeriDP 机制[45]通过合理的控制层策略对数据 传输进行验证,保证数据传输路径一致. NetSight[46]
通过控制器收集传输路径上位于交换机的数据包相 关信息,并通过这些信息恢复实际传输路径,从而 判断网络行为,准确性更高. DynaFL(Dynamic Fault Localization) 机 制[47] 和 DFL( DFL: Secure and Practical Fault Localization for Datacenter Networks)
机制[48]集中收集传输路径上的节点验证信息,通过 节点间相互采样提供适应动态变化网络的能力,适 用于数据中心网络 (Data Center Network,DCN),
但容易带来单点故障问题,且在互联网中部署存在 困难.
DYNAPFV(Dynamic Packet Forwarding Verifi- cation)[49]在 SDN 内实现了一种高鲁棒性轻量级数 据包传输验证方案,通过检测数据包和流统计信息 以验证数据包真实性和传输行为. DYNAPFV 采用 N-PFV(Novel Packet Forwarding Verification)验证 机制,所有交换机出入口生成 packet_in 数据包向控 制器传送,控制器基于随机间隔从交换机得到流统 计信息,验证路径上传输数据包数目. 通过出入口 交换机传送数据包对比,N-PFV 能够捕获包丢弃攻 击,通过对比从相应交换机得到的信息,能够识别 统计信息出现的错误,并能在出口和入口交换机包 不 匹 配 情 况 下 捕 获 对 包 的 篡 改 和 一 些 复 杂 攻 击 . DYNAPFV的特点是仅在 SDN 控制器部署,不需要 对交换机做任何改动,具有较好的可部署性.
(4)路由器规范验证
路由器规范验证方面,Xu 等人提出 MINOS[50], 与以往通过加密认证等确保路由操作真实性不同,
MINOS从数据层面规范路由器,确保路由操作真实 性. MINOS 通过中央管理器(Centralized Manager)
验证路由器数据层面操作,在运行环境下动态规范 路由器行为. 通过设定 8bit 的路由器组件识别符
(Component Identifier,CID)和由组件识别符序列 组成的操作识别符(Action Identifier,AID),采用 中央管理器的控制,识别数据包克隆、非法读取、
丢弃等行为,从而规范路由行为. 作者基于 Click 路 由器证实了 MINOS 的有效性和可靠性. MINOS 在 数据层面实现了实时的路由规范,安全功能和路由 功能紧密耦合,提供了内生安全性,但需要中央管 理器管理正常行为,与集中式控制方式一样难以直
接应用于互联网.
(5)网络诊断系统
基于网络诊断系统分析网络行为实现网络故障 诊断,能够提供更符合用户需求的安全性能. 文献 [51]中 建 立 了 一 种 网 络 安 全 溯 源 机 制 ( Secure Network Provenance,SNP),在发现恶意行为时找 出产生该问题的根本原因. 基于记录数据相关性的 数据起源图和记录节点行为证据的防伪日志,作者 设计了 SNooPy 系统,将图的变化放在日志中,使 用哈希保证其防篡改特性,利用对日志的微查询检 验路由信息.
文献[52]中设计了一种新的网络诊断架构,作 者认为现有网络故障检测,无论是借用 ICMP 等机 制实现,还是增加协议字段、开发新协议等,都存 在弊端,且与现有安全机制不兼容. 作者在 IP 层获 取数据,通过网络记录包传输等事件及原因,为故 障诊断提供帮助. 为了实现这种安全原语,作者定 义了起源图模型,并基于该模型开发了安全数据包 起源(Secure Packet Provenance,SPP)协议. 起源 图中顶点代表事件,边代表事件之间的因果关系,
每个节点记录与维护部分起源图,相邻节点交叉验 证. SPP 协议在不改变现有协议条件下提供诊断功 能,引入的额外通信流量也很小,同时考虑了不改 变现有协议的增量部署方式,但目前并没有大规模 实验验证.
Wu 等人认为常规方法通过分布式日志记录并 分析故障位置,不能得到故障产生的本质原因,无 法从根本上解决故障. 为了找到网络故障的真实原 因,作者提出了 Zeno[53],引入了临时起源(Temporal Provenance)概念,找到故障产生的本质,从而解 决故障. Zeno 能够发现故障产生原因,甚至能分析 一些离线原因,提升了网络故障诊断能力.
为提升高速网络(速度高于 10Gbps)的数据包 分析能力,Confluo[54]着眼于高速网络中尽可能减少 CPU使用前提下,对所有数据包进行监测,改善了 现有情况下支持速率低、一致性差等问题. Confluo 设计了原子多重日志(Atomic MultiLogs)数据结构,
通过保持处理过的头部信息不变以及采用定长记录 捕获数据包头的方法,提升了高并发条件下读写操 作能力,可通过 Hypervisor 对部署在端主机上的多 台 VM 进行监控管理,但整个系统端主机之间无法 分享监控资源.
综上所述,当前路径验证方案通过安全功能与 正常协议功能耦合,提供了一定的内生安全性能,
其不足是无法保证不可信传输路径上遇到攻击时的
防范能力. 故障诊断系统提供了一定的故障诊断能 力,但仍然无法提供较高的离线故障分析能力,且安 全功能没有与正常功能耦合,不具备内生安全特性,
但可以作为解决路径传输安全问题的参考和借鉴.
3.2.2 传输路径控制面安全
传输路径控制面安全主要解决 BGP 前缀劫持、
路径劫持和路由泄露方面存在的安全问题. 其安全 解决方案采用的策略与路径验证存在相似之处,如 可通过添加标签或签名实现验证,但其解决的问题 有所不同,BGP 安全更关注路由计算. 现有解决方 案包括部分或全部解决 BGP 前缀劫持、路径劫持和 路由泄露问题方案,以及新型方案设计.
(1)部分解决方案
解决前缀劫持的方案有 OA(Origin Authenti- cation)[55],新增 OAT(Origin Authentication Tags)
标识,OAT 在路径上传递,直至到达目的端,该机 制 无 法 保 证 OAT 字 段 在 传 递 过 程 中 不 受 篡 改 . Argus[56]通过检测系统检测控制面和数据面相关系 数实现快速检测前缀劫持异常,并在互联网实际部 署 验 证 其 低 时 延 , 高 可 靠 的 前 缀 劫 持 检 测 能 力 . RPKI基于数字签名和证书实现路由起源认证,有效 防范前缀劫持,但由于缺乏部署激励导致其在互联 网部署进度缓慢. DISCO[57]是基于 RPKI 基础设施部 署进展慢这一实际情况设计的基于分布式信任的路 由起源认证系统,系统通过分布于各 AS 的代理
(Agent)发布前缀和公钥绑定信息,分布式登记服 务器(Registrar)收集 BGP 宣告信息,在一定时间 间隔(Certification Interval)收到的绑定信息超过阈 值时,则认为该 AS 与公钥之间绑定关系真实可信,
登记服务器签名认证后向公共数据库(Repository)
发布. 公共数据库收集到一定数量登记服务器对相 同绑定关系的认证后,发布真实可信的前缀及公钥 绑定关系,可供全局查询. DISCO 通过分布式检测 机制降低了源认证的部署难度,但检测方案如何嵌 入体系结构内部,以及如何与路径劫持、路由泄露 等安全问题结合,形成内生的安全机制,还需进一 步探索.
解 决 路 径 劫 持 的 方 案 有 SPV( Security Path Vector)[58],SPV 在提高效率、减少密钥管理复杂 度方面性能较好,其不足是无法抵御前缀劫持. 同 样只关注路径劫持的还有 Signature Amortization[101]
和 Reference Locality[102],由于只针对路径劫持,算 法应用场景有限.
同 时 针 对 前 缀 和 路 径 劫 持 的 方 案 中 , S-BGP
(Secure BGP)[59]首次基于 BGP 安全问题建立了体
系化解决策略,利用洋葱路由特性,签名采用洋葱 格式,加强地址前缀及传输路径保护. S-BGP 的不足 是提升了对路由器能力的需求,通过集中方式实现 认证,采用非对称加密验证签名,计算开销和时延 较大,存在扩展性问题. 为解决 S-BGP 的扩展性问 题,So-BGP[60]设计了一种分布式认证解决方案,提 高实际环境中部署能力. 但 So-BGP 的路径验证功 能不足,尤其对 BGP 中 AS_PATH 不能提供保护,
限制了实用性. 另一种借助邻居 AS 协同证明的方 案,psBGP(Pretty Secure BGP)[61]提升了路径验证 能力,但仍然无法抵抗合谋攻击,且由于 AS 可能 从不同的 ISP 获取 IP 地址,使得方案难以在实际中 部署.
IRV(Interdomain Route Validation)机制[62]在 每个 AS 部署一个 IRV 服务器,服务器在域间交互 信息验证各 AS 宣告信息,提升地址前缀和路径劫 持防护能力. IRV 能够提升验证效率和可靠性,但需 要部署新设备,增加了维护管理难度.
在 RPKI 基础上,通过相邻 AS 授权的 BGPsec[63]
在每个 AS 收到宣告路由后,验证每个 BGPsec 签名,
确保宣告路径的可靠性,但开销较大,且在部分部 署时难以提升整体安全性能. 基于 RPKI 设计的路 径-终端验证(Path-End Validation) 协议[64]提供了 一种部分部署下实现安全性能整体提升的方案,AS 使用 RPKI 授权私钥签名“路径-终端”记录,包括
支持的邻接 AS 列表等. 这些记录来自不同的 AS,
可基于记录提供离线过滤,同时保护其后面没有部 署的 AS 免受恶意路由传播影响,在部分部署情况 下提供较强的防护能力. 当然,BGPsec 全面部署后 的安全性仍然需要进一步验证,文献[103]分析了即 便 BGPsec 完全部署后仍然存在漏洞,如合谋 AS 可 以构造虫洞攻击,假路由更新也能得到有效签名.
针对路由泄露问题,RFC 7908[104]中对路由泄露 产生原因及分类进行了分析,阐明 BGP 协议路由器 配置错误是产生泄露的主因. 基于此,一些方案通 过降低路由器错误配置提高安全性. 其中,相邻 AS 间的关系通过 eOTC(external Only To Customer)[65]
属性记录并传递,eOTC 属性设置的规则包括:对 没有设置 eOTC 属性的发送方,如果其角色是提供 商(Provider)或对等方(Peer),则必须添加发送 方编号为 eOTC 属性;对设置了 eOTC 属性的接收 方,如果其角色是提供商或对等方,若 eOTC 值不 是相邻 AS 的编号,则存在路由泄漏,给予较低的 本地优先级或被丢弃. 通过 eOTC 属性传递能够提 供域内和域间防护,如图 4 所示. 另一种实现策略 RLP (Route Leak Protection)[66]在 BGP 中增加了 DO(Down Only)、L(Leak detected)两种属性判 断是否发生泄露,与 eOTC 相较,RLP 可达能力更 强. eOTC 和 RLP 的不足之处在于可能泄露自治域间 的商业关系,有的关系显然属于隐私范畴.
图 4 eOTC 路由泄露防护机制原理图
以上 BGP 安全方案将安全功能与正常协议功 能整合,具备一定的内生安全能力,部分方案需 RPKI支持,需要整合 RPKI 才能实现自主的内生安 全能力,其不足是方案在实际部署中抗攻击能力有 限,同时部分方案牺牲了 AS 间的隐私关系.
(2)整体解决方案
基于整体解决 BGP 安全问题的方案中,文献 [67]提出了 Listen and Whisper 协议. 通过 Listen 在
数据面探测并检查到不同目的网络的潜在路径,
Whisper在控制面检查伪造的路由宣告,二者结合消 除路由器配置错误,降低恶意攻击的危害. 作者认 为 PKI 基础设施花费巨大且不可信,因此采用了不 需要 PKI 支持的策略. Listen 在数据面完成路由可 达性验证,Whisper 对传播无效路由的路由器发出警 告,并检查宣告多条无效路由的恶意路由器,降低 无效路由带来的危害. Whisper 包括弱分岔(Weak
Split)和强分岔(Strong Split)两个等级验证路由 一致性,其中弱分岔采用哈希链方式验证,强分岔 采用非对称加密机制验证,并通过改进策略大幅度 降低合谋攻击的危害. 在可部署性上,Listen 可以在 现有 BGP 上实现增量部署,Whisper 虽然能够在不 改变数据包格式的前提下与现有 BGP 整合,检测所 有交换路由宣告潜在的异常,但其检测能力较弱,
影响了其实用性.
John 等人认为 BGP 协议注重响应度而忽视一 致性,不仅牺牲了网络可用性,使路由环路、黑洞、
丢包等现象大量出现,更造成了协议行为复杂与不 可 预 测 性 . 针 对 这 一 问 题 提 出 了 路 由 共 识
(Consensus Routing)[68],实现路由一致性与网络 高可用性. Consensus Routing 使用稳态与瞬态模式 分别保证路由一致性与可用性. 稳态模式下,所有 路由器参与到一个分布式合作算法中,计算稳态转 发表(SFTs). 算法要求一个路由更新只有在被所 有路由器知晓后才应用到 SFTs 中,保证了 SFTs 的 一致性. 稳态路由未达到共识时转向瞬态模式,瞬 态模式主要整合 3 种已有方案:路由偏转、路由绕 道与备用路由. 保证在链路故障、协议更改等情况 下,所有 AS 依然可达,实现了比 R-BGP[105]更通用 和有效的链路故障适应能力,提供了网络高可用性.
但该机制实验评估不全面,难以保证真实场景下实 际效果.
Haeberlen等人提出了 NetReview[69],作者通过 BGP错误检测系统检测路由问题,并定位造成该问 题的 AS. NetReview 设计了防篡改日志和规范语言,
边界路由器在防篡改日志中记录所有 BGP 消息,邻 居间周期性地互相审计日志. 防篡改日志保证对条 目的修改、删除或伪造等行为可被检测,日志组织 为哈希链形式,记录所有发送与接收的路由消息,
每个消息包含签名信息,接收者对每个消息发送确 认. 采用规范语言描述每个 AS 的 BGP 期望行为,
通过几个简单规则检测路由问题,包括源配置错误、
引入路由扩展错误、路由重分发攻击、路径长度不 一致等. 在实现上,NetReview 不需要 PKI 支持,支 持增量部署,但作者并没有针对检测故障提出解决 策略.
TBGP(Trusted BGP)[70]通过建立可传递的信 任关系降低计算开销和网络资源. 可传递信任关系 的核心依赖于前缀所有者使用私钥对路由进行的签 名. 在路由器入口和出口过滤器上引入路由验证服 务保证路由没有被错误配置或恶意修改. 路由器出 口过滤器成功验证路由通告后签名,邻居路由器在
入口过滤器验证该路由签名并更新自己的路由表,
并将路由信息通告给它的邻居,通过可传递信任关 系防止虚假路由扩散. 但是,TBGP 不解决配置冲 突,同时基于可信计算模块提升安全性,可信计算 模块的安全性是 TBGP 安全的基础.
以上方案通过增量式部署提升 BGP 安全性能,
安全功能与正常功能耦合,具备一定的内生安全能 力,但方案没有大规模部署,实际可部署性还需要 进一步验证.
(3)新型解决方案
新型解决方案基于现有安全问题重新建立路由 与转发认证策略,提供更高的安全性能.
Pathlet[71]可 以 实 现 粒 度 更 细 的 路 由 与 转 发 . Pathlet包含不同的 AS,每个 AS 内由众多节点组成 多条转发路径(Pathlet),AS 将这些 Pathlet 对外宣 告,发送方在发送消息的时候,基于发送要求灵活 选择 Pathlet. 这样,从发送端到接收端由多条 Pathlet 组成了一条转发路径,通过该路径可以实现端到端 传输. 这种方式能提高转发效率,同时提高传输可 靠性. 其不足是各 AS 对 Pathlet 的宣告,以及发送 端对 Pathlet 的选择,不但引入额外通信开销,也带 来控制层面复杂度提升.
SCION(Scalability,Control,and Isolation On Next-Generation Network)[72]在网络中建立隔离域
(Isolation Domain,ISD),每个隔离域由多个 AS 构成. 每个隔离域设置一个核(ISD Core),用于管 理本隔离域. 不同的隔离域之间通过核交换信息,
同时通过可信根配置(Trust Root Configuration)实 现全网安全管理. 数据传输时,SCION 各隔离域通 过核交互传输路径. SCION 在交互过程中及时发现 不可靠 AS,并避开这些 AS. 其不足是核之间的信 息交互带来大量额外开销,影响转发效率. Pathlet 和 SCION 等新型设计提供了自主安全能力,具有较 高的内生安全特性,但是对互联网改动较大,难以 实现增量式部署.
由于区块链能够在分布式环境下建立信任机 制,一些域间路由安全协议通过区块链实现对 IP 地 址前缀及路径信息的认证. Internet Blockchain[73]首 次利用区块链建立分布式信任框架,将 IP 前缀认证 和路由通告认证交易通过区块链发布,形成防篡改 的交易记录. 作者提出了互联网增量部署方案,逐 步扩大资源和地域保护范围. 资源保护范围方面,
按照 IP 前缀认证,BGP 交易认证等逐步扩大资源保 护范围;地域范围方面,首先通过企业内部或数据 中心内部区块链发布路由交易,如基于 BGP 的 SDN
控制器之间,逐步扩大应用范围至互联网. 后续工 作如 BGPcoin[106]等在此基础上进行了 IP 前缀认证 的验证测试工作. 尽管区块链可作为解决分布式信 任问题的有效手段,但目前相关研究仍然处于初步 测试和可行性验证阶段.
此外,一些独特的 BGP 解决方案通过巧妙设计 为解决安全问题提供了新思路,如针对 DDoS 攻击,
文献[107]中提出了一种 DDoS 缓解系统 Nyx,在拥 塞点附近选择备用路由,不借助合作或网络重设计 情况下缓解 DDoS 攻击,将 DDoS 攻击缓解转化为 简单的路由问题,不依赖外部设备提供安全性能.
转化攻击的思想作为疏导攻击的有效策略,可以作 为构建互联网内生安全体系结构的参考.
如表 3 所示,传输路径数据面,现有方案在路 径验证、错误定位等方面难以抵御中间节点合谋攻 击. 传输路径控制面安全方案存在安全能力不足和 缺乏可部署性等问题.
表 3 传输路径安全方案小结
类型 策略 优点 不足
Pi[34]/ stackPi[35]/ ICING[36]/ SNAPP[37]/ OPT[38]/ OSP[39]/ PPV[40]/ ShortMAC[41]/ Faultprints[42]/ RFL[43]
增加一定开销 实现源地址和 路径验证
难以抵御中间 节点合谋或回 传信息被篡改 等攻击
TrueNet[44] 定位精度高 依赖可信计算
模块 VeriDP[45]/
NetSight[46]/ DynaFL[47]/ DFL[48]/ DYNAPFV[49]
集中制方式定 位故障
易出现单点 故障
MINOS[50] 规范或检测路
由行为
需中央管理器 管理 传输路
径数据 面安全
SNP[51]/ SPP[52]/ Zeno[53]/ Confluo[54]
具备一定故障 诊断能力
难以发现离线 故障 OA[55]/ Argus[56]/
DISCO[57]/ SPV[58]/ S-BGP[59]/ So-BGP[60]/ psBGP[61]/IRV[62]/ BGPsec[63]/ Path-End Validation[64]/ eOTC[65]/RLP[66]
部分解决前缀 劫持、路径劫 持、路由泄露 问题
抗攻击能力有 限、部分方案需 第三方支持或 开销较大、泄露
AS间商业关系
Listen and
Whisper[67]/Consensus Routing[68]/
NetReview[69]/ TBGP[70]
提供较全面的 解决方案
方案实际部署 性未得到验证 传输路
径控制 面安全
Pathlet[71]/ SCION[72]/ Internet Blockchain[73]
提供更彻底的 解决方案
需进一步探索 互联网增量部 署机制
3.3 网络服务安全
网络服务安全主要包括数据访问和网络应用安 全,以及支撑大量互联网应用的 PKI 等基础设施安
全. 由于数据和应用直接面向用户,这类安全威胁 可能会直接关系到用户财产甚至生命安全.
3.3.1 数据访问安全
实现云计算等场景下用户数据的保护,确保用 户 对 数 据 的 控 制 权 . 文 献 [108] 通 过 信 息 流 控 制
(Information Flow Control,IFC)为进程或管道分 配标签实现敏感数据安全保护. 由于传统 IFC 太过 繁重,无法在大型云端直接使用,文献[74]中提出 了 Riverbed,为用户提供验证服务器端代码运行在 隐私保护环境的机制. Riverbed 架构如图 5 所示,其 中白色部分为原来的组件,灰色部分为新增组件.
用户可以使用预定义模板文件定义信息流策略. 当 用户产生一个 HTTP 请求,web 代理在用户端增加 相应的数据流策略并发送. 在数据中心,Riverbed 使用关联的用户策略标记,仅在用户策略允许情况 下执行. 相同数据流策略在 Riverbed 中称为一个集 合(Universe),同一集合允许相同类型的数据操作.
作者对 Riverbed 性能进行了实验验证,在最坏情况下 一些实际应用的速度仅仅降低了 10%. 但 Riverbed 需 要用户端安装代理,实际用户体验和安全性需要进 一步验证,且 Riverbed 的安全性依赖于可信硬件设 施,如果要具备自主内生安全性,需与可信硬件进 一步整合.
图 5 Riverbed 架构
Ghostor(Ghosts accessing the storage)[75]基于 区块链实现用户匿名访问共享数据,确保数据操作 的一致性,对敏感数据(如健康档案)访问提供保 护. Ghostor 包括服务端和客户端,服务端处理客户 端请求并在时间片结束后向区块链发布存储对象最 新摘要及时间片信息,客户端接收应用访问请求,
通过密钥获得相应的数据访问权并在每个时间片结
束时验证区块链上发布的信息. Ghostor 提供了更全 面的用户隐私保护,但区块链性能是否满足实际应 用访问效率还需进一步验证,同时系统对 IP 地址的 隐私保护采用匿名网络,影响了自主内生安全性.
物联网应用场景对数据访问提出更高安全要 求. He 等人提出一种智慧家庭访问控制和认证策 略,提高 IoT 设备认证能力[109]. IotSan[76]通过对 IoT 系统“传感器—应用—执行”链检测信息泄露、错 误配置等隐患. IOTGUARD[77]通过收集应用运行信 息,动态存储运行行为,确保设备运行安全. 但这 些方案主要解决物联网域内访问安全问题,不能应 用于大规模网络跨域访问.
3.3.2 网络应用安全
由于网络攻击或自身故障引发的应用安全问 题,可采用一些技术手段和策略提升应用安全性,
如运行时随机化(RUNTIMEASLR)[110]技术通过地 址空间布局随机化提高程序运行安全性. 同时大量 应用漏洞研究和修补提升了应用安全性,如文献 [111]中对浏览器扩展漏洞进行调研并提出建议. 文 献 [112] 中 提 出 检 测 高 级 持 续 性 威 胁 ( Advanced persistent threat,APT)的系统,为构建可信网络应 用服务提供了辅助手段. 但构建可信网络应用服务 环境需要建立及时发现并修补漏洞的机制. 现行漏 洞发现方式主要是技术人员发现漏洞后上报,应用 提供商检测通过后支付赏金,不仅存在滞后性,应 用提供商的违约问题也无法得到监管,应用提供商 与检测者难以建立信任. 一些方案通过去中心化机 制建立应用提供商和检测者之间的信任关系.
Hydra[78]是一种具有标准化赏金机制和抗漏洞 利用的智能合约. 作者提出了传统 N 版本编程的变 种 NNVP(N-of-N-Version Programming),通过独立 编写一种功能的多种实现版本同时运行,只有所有 版本输出结果相同时才正常运行. 当出现一个版本 的运行结果不一致时,可以判定出现了漏洞,自动 产生赏金,黑客通过上报漏洞领取. 作者建立了一 套赏金体系标准,激励漏洞发现者选择上报漏洞,
避免漏洞利用攻击.
物联网作为一种大型分布式系统,去中心化网 络特征和设备能力受限导致物联网面临更严重的安 全威胁. 增强物联网生态中应用服务安全成为急需 解决的难题[113]. 为提供安全物联网应用服务,Wu 等人[79]引入智能合约,设计了基于区块链的物联网 系统漏洞检测平台 SmartCrowd. 物联网提供商提供 保证金作为漏洞检测奖励,约束其提供更安全的应 用,激励分布式检测者积极参与,构建可靠的物联
网应用环境. 如图 6 所示,SmartCrowd 通过物联网 服务提供商、物联网检测者、物联网设备与用户组 成. 提供商发布应用时提供保证金,检测者检索区 块链并下载应用,发现漏洞后向平台发送检测报告,
提供商之间建立区块链,达成共识后触发智能合约,
奖励检测者一定金额作为激励. 物联网用户通过检 索区块链,根据报告选择更安全的应用. SmartCrowd 通过智能合约自动触发交易,在激励检测者参与的 同时约束物联网应用提供商的行为,促使其发布更 安全的应用. 在应用执行阶段, SmartRetro[80]针对 物联网安全采用去中心化激励,用于回顾性检测,
吸引分布式检测者参加安全检测,提供安全的网络 应用.
图 6 SmartCrowd 机制示意图
去中心化方案在建立用户与网络应用信任关系 上具有一定优势,但方案实际安全性还需要进一步 验证. 此外,如何将检测功能内生于互联网体系结 构,仍然需要进一步探索.
3.3.3 PKI 安全
PKI通过证书颁发机构(Certificate Authority,
CA)实现证书管理等功能,为用户提供安全保护.
CA 受到攻击后会带来非法撤销或颁发假证书等问 题,大量研究致力于缓解和避免针对 CA 的攻击,
主要包括多重验证方案和去中心化方案两大类.
(1)多重验证方案
Henry等人[114]对现有 PKI 及 CA 漏洞攻击进行 分析,认为 CA 证书颁发机制易受到攻击,并通过 实验证实了攻击者可利用 BGP 漏洞成功实施攻击,
通过劫持发往受害者的流量骗取 CA 颁发虚假证书.
作者提出 CA 通过多个节点(Vantage Point)验证,
或采用 BGP 监控系统检测可疑路由等方式避免攻 击者成功劫持验证过程流量,提升 PKI 安全性. 但
