网络安全框架白皮书讲述(兼容内生的自信任安全网络简介)
网络安全框架白皮书讲述(兼容内生的自信任安全网络简介)以上两类安全可信网络和自信任安全网络的技术特点。为了解决这两类安全网络机制存在的问题,自主可控的安全网络需要支持多种异构网络标识和密码管理融合的自验证网络标识,无须依赖第三方证书信任系统;需要实现协议带内密码安全的网络路由、传输和管理等基础协议,安全机制轻量级,性能损耗低;需要兼容现有TCP/IP网络,可信标识和安全协议机制简单,支持高可用性和可扩展性。面向国家下一代自主可信安全网络的重大需求,我国学者提出了兼容内生的自信任安全网络(Self-Trustworthy Network,STN),STN网络的核心思想是:(1)自信任网络标识,现有的异构网络标识(如:IP地址、前缀、域号、路由器名、URL等)保持不变,而网络标识主体的公钥由网络标识直接得到(标识公钥=标识),从而将密码安全语义(公私钥)编进网络名字和标识,从根本上实现网络和密码安全的融合;(2)内生安全,基于现有网络基础设施和协
互联网设计之初没有考虑密码安全的需求,导致现有网络的标识编址、协议和管理控制自身不支持密码安全,无法保证网络标识可信、数据传输可信以及控制管理可信。控制平面的路由通告缺乏密码认证,前缀地址劫持和篡改等攻击可造成网络瘫痪;数据平面IP协议缺乏对报文的认证和完整性保护,导致报文篡改、源地址欺骗成为诸多网络攻击的源头;管理平面的名录更新及解析缺乏密码保护,面临着名录欺骗及污染等攻击。因此亟待解决网络基础设施和服务的安全可信问题。
为了实现可信网络标识(密码认证的标识)以及可信网络数据传输和控制管理(签名验签的网络数据和控制),现有解决方案大都基于第三方证书信任系统完成网络标识及密码的绑定,进而基于证书和密码对网络行为进行认证和保护。例如路由协议S-BGP使用X.509扩展证书来验证AS号码和IP地址前缀,数据传输互联网安全协议(IPSec协议)基于证书和带外应用层因特网密钥交换协议(IKE协议)实现报文的机密性和完整性保护,名录管理DNS安全扩展(DNSSec)协议基于证书实现DNS数据的验证。
基于第三方证书的安全网络先有网络,再基于证书体系在网络协议带外增加密码安全补丁(证书认证、秘钥协商、签名、验证等),是一种分离式安全补丁增强方案。这种网络管理和密码证书管理分离并行 协议带外安全的机制,导致网络可信标识和安全机制复杂,网络性能损耗大,严重限制了其可扩展性和可部署性。如IPSec为发送一个报文,须在此前发送14个应用层安全协议数据包用于认证和密钥协商;IP协议仅由一个RFC定义,而IPSec核心协议至少包括12个RFC。另外该方案依赖复杂的第三方PKI(Public Key Infrastructure,公开密钥基础设施)证书系统,但由于证书链有效性和时效性验证的代价较高,目前世界上还没能成功应用一个含多个层次、多个信任域且能够适应动态高强度证书认证的PKI系统。
为了解决分离式补丁安全带来的管理、性能和可扩展性问题,下一代网络设计大都采用自验证标识可信网络技术,如RFC3972提出的CGA(Cryptographically Generated Addresses)、RFC4423提出的HIP(Host Identity Protocol)以及安德森(D.G.Andersen)等人提出的AIP(Accountable Internet Protocol)。自验证标识根据网络主体的公钥直接计算得到网络元素的标识,无须第三方证书来绑定网络元素的公钥及其标识,大大简化了可信标识机制的复杂性。但自验证标识不支持层次标识语义和带字符的网络名字等标识,因此只能支持部分网络标识和密码的融合。另外,自验证标识需要将IP地址改为扁平无语义的地址,对现有网络体系结构和基础协议进行彻底修改,无法兼容现有TCPP网络,且会严重影响网络的路由性能。
以上两类安全可信网络和自信任安全网络的技术特点。为了解决这两类安全网络机制存在的问题,自主可控的安全网络需要支持多种异构网络标识和密码管理融合的自验证网络标识,无须依赖第三方证书信任系统;需要实现协议带内密码安全的网络路由、传输和管理等基础协议,安全机制轻量级,性能损耗低;需要兼容现有TCP/IP网络,可信标识和安全协议机制简单,支持高可用性和可扩展性。
面向国家下一代自主可信安全网络的重大需求,我国学者提出了兼容内生的自信任安全网络(Self-Trustworthy Network,STN),STN网络的核心思想是:(1)自信任网络标识,现有的异构网络标识(如:IP地址、前缀、域号、路由器名、URL等)保持不变,而网络标识主体的公钥由网络标识直接得到(标识公钥=标识),从而将密码安全语义(公私钥)编进网络名字和标识,从根本上实现网络和密码安全的融合;(2)内生安全,基于现有网络基础设施和协议实现自信任网络标识密钥的管理,设计协议带内安全自证明的网络传输、路由控制、名录管理等基础协议,将密码安全内嵌到网络协议,彻底改变现有补丁式安全机制的种种弊端。
自信任安全网络给现有网络ID/地址增加了密码安全语义,将密码编码内嵌到网络命名编址,极大地简化了可信标识的管理;基于现有网络基础设施完成自信任标识及密码管理,将密码管理内嵌到网络管理,无须依赖第三方证书信任系统在线伴行;将密码安全机制(签名、认证、加密)内嵌到网络协议,无须协议带外安全,极大地增强了安全协议的可用性和可扩展性,且机会加解密签名验签机制能兼容现有TCP/IP网络;将密码审计、验证、过滤内嵌到网络设备,安全机制轻量高效。通过网络命名编址、协议和设备与密码安全的体系融合内嵌,能够支持网络数据、控制和管理平面的全时段全ID实名认证、全报文签名验签、全事务认证验证。在网络零信任的假设前提下,让网络能持续主动地监控自己,在线发现并抑制异常,从而让网络内生密码安全基因。
