文章目录
前言
网络5.0是面向未来的数据网络通信架构,该网络架构的最基本特征之一是具备网络内生安全能力。围绕该技术特征,论述了网络安全威胁现状以及传统网络安全防护模式存在的不足,分析梳理了网络5.0主要应用场景的安全需求,提出了网络5.0安全可信体系架构及实现机制,论述了网络5.0安全可信典型关键技术,介绍了当前业界已经开展的相关实践,并针对后续重点研究方向提出了建议。
五、网络5.0内生安全可信架构关键技术
(一)设备可信标识
传统的数据网络中,网络地址具有身份和位置二义性,存在信任难以管理、无法追溯审计等问题,网络5.0的网络架构专门将身份与位置分离,在数据包报头中增设设备可信标识来表征通信端身份,具有唯一性、防篡改、可追溯的特性,可以包含密钥参数、证书类型、用户标识、业务标识、终端标识、核心硬件串号等机密身份信息,并根据统一转化规则进行归一化处理。位置标识是路由寻址的基础,可以随着位置变化而变化。网络5.0中身份标识和位置标识的分离,可以有效防止地址欺骗和地址仿冒等网络攻击,也为网络5.0的可控制、可管理奠定了基础。
设备可信标识作为代表设备身份的可信凭证,必须通过安全的方式保存和处理。在设备侧,需要通过采用密码学技术的硬件芯片对标识进行存储和处理,或者采用其他方式确保标识信息不被篡改、窃取。设备可信身份标识可以在出厂时植入设备,设备也可以从可信安全服务平台(运营商、第三方安全组织、企业管理平台等)获取可信身份标识。企业终端可以从企业管理平台获取可信身份标识,再由企业管理平台与运营商或第三方安全组织等可信安全服务平台之间建立信任传递关系。
当设备用于首次接入时,有可能涉及第三方认证,具有设备可信标识的设备基于入网注册过程,可在无人工参与的情况下,实现自动化的设备入网注册,并自动获取新环境下的可信身份和相关配置。
(二)可信网络接入认证
如图2所示,网络5.0安全架构支持终端设备从可信安全服务平台获取可信身份标识及相关配置后,实现基于可信认证的安全入网认证。基于入网注册阶段获取的可信身份标识,网络设备(如接入路由器)可对数据包进行真实性验证,如果不能通过验证,网络设备丢弃数据包;如果通过验证,便可以向动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)服务器请求相关配置,提升设备接入效率。
最低0.47元/天 解锁文章
506
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
