原创《未来互联网网际层安全管控架构》:本论文为免费优秀的关于管控论文范文资料,可用于相关论文写作参考。
摘 要:传统互联网体系结构初始设计未考虑内置安全性能,导致当前互联网安全问题难以从根本上解决,因此内置安全性成为未来互联网体系结构基本目标之一.论文为未来互联网的核心层即网际层设计了一种安全管控架构,架构由管理面、控制面和数据面三个层级的安全功能组合构成.分析表明,该架构可为未来互联网提供内置多级别多粒度安全性.
关键词:未来互联网;安全管控架构;多级别多粒度安全实体
中图分类号: TP 309 文献标识码:A
1 引言
初始互联网默认处于一个可信环境中,所以其设计之初并未考虑安全问题.但随着互联网社会化、商业化和民用化的深入以及各种网络通信技术的发展,当前互联网多样化和差异化的網络用户、网络硬件和软件系统处于不可信异构环境中,网络安全问题成为互联网研究和设计人员不可避免的挑战.个人隐私信息、企业和国家机密信息泄露等网络安全事件层出不穷.过去解决网络安全问题采用方法都是零散式修补式的,数十年的积累导致整个网络系统越来越复杂,出现更多新问题,表明互联网发展方向采用渐进式的改良演化路线值得反思,必须从根本上重新分析互联网设计问题[1,2].国内外研究人员和机构已展开各种项目试图改进或重新设计未来互联网,来取代当前互联网以应对现在和未来网络应用和服务多样化差异化安全需求.
RFC1287[2]指出根据经验除非开始将安全内置在体系结构中,否则很难再将安全性添加到协议栈,因此构建内置安全性的体系结构是未来互联网基本问题.网际互联是未来互联网必须提供的核心功能,假设未来互联网网际互联核心层命名为网际层,本文为此网际层设计了一种安全管控架构,目标是实现未来互联网体系结构内置多粒度多级别安全性,以满足未来网络差异化多样化安全需求.
2 相关工作
传统TCP/IP体系结构初始并未考虑安全问题,后来在发展过程中补丁式地为网际层设计了IPsec协议,传输层设计了SSL/TLS协议,以及多种应用层安全协议,主要解决网络通信中的身份认证、数据完整性和机密性问题.
*ARI[3]设计的新一代网络安全通用架构[3]描述了数据面和控制面中三个层面的安全需求,包括网络服务安全、网络设备安全和网络基础设施安全的安全需求.网络安全服务包括隐私、机密性、完整性、不可否认性、身份管理和身份验证,还包括可恢复性、可审计性、访问控制和授权等.ISO 7498-2-1989[4]是阐述OSI参考模型安全体系结构的权威性文献,提出设计安全信息系统的基础架构中应该包含五类安全服务(认证、访问控制、数据机密性、数据完整性和抗抵赖性)来保障网络通信的(静态)安全.
P2DR2信息安全模型[5]的安全策略、安全防护、安全检测、安全响应和安全恢复机制共同构建完整安全体系来保障网络信息通信的(动态)安全.Gartner提出一种自适应防护架构[6]具有预测、防御、检测和回溯等安全功能,指出安全思维必须根本性切换,网络安全解决方案必须从“应急响应”改变为“持续响应”.
3 问题提出
设计内置安全性的未来互联网体系结构是保障未来网络安全基本的挑战之一.未考虑安全设计的初始TCP/IP体系结构导致当前互联网安全问题从根本上难以得到解决.本文为未来互联网的核心层-网际层设计安全架构内嵌在网络体系结构中,实现未来互联网的内置安全性,从根本上为未来网络安全提供解决方案.
参考传统路由器和新型网络架构SDN[7]设计的理念,本文将未来互联网网际层分为管理面、控制面和数据面三个层级,三个层面的安全功能相互协作.
(1)提供认证、访问控制、数据机密性、数据完整性和抗抵赖性5类服务来保障网络通信的静态安全.
(2)构建安全预测、安全防护、安全检测、安全响应和安全恢复机制来保障网络通信的动态安全.
4 未来互联网网际层安全管控架构
本节将网络实体划分为多种粒度和安全级别,然后为未来互联网网际层设计了一个安全管控架构模型,并描述若干安全管控场景构建过程分析其可行性.
4.1 多粒度多级别安全实体
网络实体可分为三大类:网络、数据(或内容/信息)和用户.网络类实体包括域/子域、网络节点/终端节点/中间节点、服务/应用程序等.因此整个网络体系的实体可划分为域/子域、网络节点/终端节点/中间节点、服务/应用程序、数据/内容和用户多种粒度.所有网络实体可以依据文献[8]等划分为五种安全级别的实体和不含安全属性的普通实体,如1-5级安全域或网络节点和普通域或普通网络节点等.安全级别越高实体安全性越高.所有数据/内容可以依据文献[9]等划分为五种机密性级别不同的数据/内容和不含机密的普通数据.所有用户可根据其生成和访问的数据与网络相应划分为1-5级安全机密用户和普通用户.不同级别安全需采用不同级别的算法支撑实现.算法强度对应划分1-5级,参考NIST有关密钥管理的建议[10].
4.2 架构设计
为满足不同机密安全级别用户的差异化多样化安全需求,在网络安全管控方面的设计目标是内置多粒度多级别安全性.本文在未来网络互联核心层即网际层设计了一种安全管控架构模型如图1所示,模型由松耦合的管理面、控制面和数据面三个层面组成,各层有关安全方面的功能描述有几种.
4.2.1 数据面安全功能
数据面是各种安全规则的实施者,依据控制面发送的安全规则负责不同类型分组的安全发送、转发与接收和收集安全状态信息并反馈给控制层,需提供几项基本安全服务功能.
(a)多粒度多级别安全身份认证和签名.收到分组时依据分组首部携带的安全需求字段和分组发送者ID的编码以及节点本身的安全策略,对分组进行域/节点/服务/用户的1-5级安全多粒度多级别的身份认证;收到分组时依据分组首部携带的安全需求字段以及节点本身的安全和管控策略,用节点自身的私钥对分组信息直接或预处理后进行1-5级的签名(抗转发抵赖).
管控论文参考资料:
结论:未来互联网网际层安全管控架构为关于对不知道怎么写管控论文范文课题研究的大学硕士、相关本科毕业论文管控论文开题报告范文和文献综述及职称论文的作为参考文献资料下载。
