网络5.0内生安全可信体系

摘要

网络5.0是面向未来的数据网络通信架构,该网络架构的最基本特征之一是具备网络内生安全能力。围绕该技术特征,论述了网络安全威胁现状以及传统网络安全防护模式存在的不足,分析梳理了网络5.0主要应用场景的安全需求,提出了网络5.0安全可信体系架构及实现机制,论述了网络5.0安全可信典型关键技术,介绍了当前业界已经开展的相关实践,并针对后续重点研究方向提出了建议。

关键词： 网络5.0; 内生安全; 可信接入; 可信标识

0 引言

网络5.0是由网络5.0产业和技术创新联盟在2018年提出的面向未来网络演进的数据通信网络架构。经过近几年的发展,网络5.0基于新应用与新业务的接入和承载需求,在继承网际互连协议(Internet Protocol,IP)优势的基础上,协同管理面、控制面和数据面,连接分散的计算、网络和存储等资源,构建一体化的新型信息与通信技术(Information and Communications Technology,ICT)基础设施,向各相关产业提供网络能力、计算能力及数据能力服务,并使其更加有效地满足万物互联、万物智能、万物感知的需求[1]。

传统网络追求的是“尽力而为”的转发能力,并没有把安全可信作为内生的能力,导致应对日益严重的网络安全威胁非常吃力。网络5.0中规划的海量连接、广域覆盖、低时延、高带宽等能力的提升,也为攻击者实施更大规模、更高强度的攻击提供了可能。因此,网络5.0需要针对新业务应用场景、新技术提供更强的安全防护能力。

鉴于此,网络5.0提出了内生安全可信体系,通过可信标识、可信接入、信任传递和主动防御等内生可信机制,从终端身份真实性、路径可信性、服务合法性等方面构建流量实时高效检测控制的安全防护系统,全方位赋予网络可信通信能力,满足新型信任关系、网络边界和威胁模型下的泛在网络安全需求。

本文将对网络5.0的内生安全可信体系进行解读,并介绍当前的一些落地方案进展。

1 网络安全现状

现有IP协议的设计,是中间由路由器、交换机等网络设备组成的网络,只做简单的二层交换或者三层路由,而复杂的四层及以上的业务,则由网络的端节点去完成。由于IP技术具有简单、开放的特性,能够以低成本提供高带宽、低时延的服务,极大地促进了互联网的发展,但是同时由于缺乏对安全性足够的关注,也导致当前网络中安全漏洞越来越多,并且难以得到根治。

随着通信技术的发展和普及,原来只有极少数技术人员掌握的通信安全知识也越来越大众化,加上攻击方式的自动化和工具化,针对数据网络进行安全攻击的技术难度越来越小,网络攻击的频度和力度都越来越大,给个人、企业乃至国家造成越发严重的损失。同时网络作为数据的载体,也面临着日益增加的安全风险,特别是在ICT技术跨界发展推动技术融合以后,网络作为业务与应用的入口在安全可信领域面临着更多的挑战。

2 传统网络安全防护机制的不足

网络的安全可信是网络可靠运行及业务开展的基本保障。传统的网络安全防护重点关注边界的安全防护,一般是在现有网络架构基础上叠加安全防护功能,其安全防护效果已经不能适应飞速变化的网络应用需求。

由于IP网络在设计之初重点关注连通性而忽视了安全性,致使现有的网络安全系统一直以来只能通过增加防火墙等安全专用设备给予“补丁式”修补的被动防御,以及通过用户认证、通道加密等手段,进行基本底线防御来完成安全防护。然而,在网络中,IP地址伪造、隐私泄露、中间人攻击、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、基于系统漏洞的攻击、未知威胁攻击等顽固安全问题依然层出不穷,基于外部系统和叠加技术实现的加密、隧道、感知等技术来实现安全防护功能越来越难,对持续产生的安全问题难以根治[2]。

为了从根本上提升网络的安全能力,内生安全可信成为未来网络5.0的关键需求。

3 网络5.0内生安全可信需求

网络5.0的广泛覆盖连接和可靠的网络能力,将使其进一步成为社会信息化的基础设施,实现真正的万物互联。网络5.0承载业务应用价值的提升,