电销信用卡顶岗实习计划
信用卡还款怎么样做电销
信用卡分期电销一个月能挣多少钱
电销卡是哪里来的
哪里有出售电销卡
电销信用卡违法吗
电销公司的电话卡包月
上海电销电话卡
电话卡被公司用去做电销
电销卡出售
本文针对网络面临的顽固安全问题,通过重
新设计 IP 网络协议及安全机制,提出了一种具有
内生安全特性的网络架构(network architecture
with intrinsic security,NAIS)。NAIS 基于最小信
任模型,不完全信任管理域(如自治域系统)内
部和外部的实体。所有来自内外部的流量真实性
都将被验证。仅根据功能需要向少部分网络节点
揭露 IP 地址分组头部的隐私信息,对于内部不可
信的网络节点同样采取了保护措施避免隐私泄
露。NAIS 充分利用了:
y 身份标识符和位置标识符分离技术,将身
份标识符 ID 与位置标识符 Loc 从当前 IP
地址中解耦,以兼顾真实性、可审计性和
隐私性;
y 临时身份标识,短期有效的主机标识符和
身份凭证,用于对抗标识符伪造攻击和身
份隐私泄露;
y 动态的位置标识符,频繁变化、部分信息
加密的 Loc 以防止识别、关联分析和位置
追踪。
为了确保端到端通信安全,NAIS 提供了 5 类
安全功能组件:身份管理者(identity manager,
IDM)、审计代理(accountability,AA)、本地 DHCP
服务器、ID 验证者和边界路由器。身份管理者负
责管理 AS 域内的身份以及签发动态临时的匿名
身份标识符(ephemeral and encrypted identifier,
EID)及其凭证给终端主机。审计代理负责对非法
流量进行追踪审计。ID 验证者是一种具备真实性
验证功能的路由器,负责验证发送者的真实性,
过滤虚假或恶意的数据分组。本地 DHCP 服务器
管理和分发动态变化的位置标识符(ELoc)给终
端主机。内生安全网络架构如图 2 所示,数据分
2019215-5
·25· 电信科学 2019 年第 9 期
组在源端主机生成、经网络传输、到达目的主机
的过程中,发送者数据分组中的标识符信息,会
被 ID 验证者检查以确保流量的真实性和合法性,
源 AS 边界路由器在转发数据分组到互联网时同
样会校验源的真实性、并添加一个 HMACAS作为
可验证的域标记,数据分组在到达目的 AS 边界
路由器时,AS 边界路由器通过验证 HMACAS 可
以过滤掉虚假来源的数据分组。
为了确保端到端通信安全,NAIS 通过设计和
修改具备安全特性的网络协议,新增和部署具备安
全功能的网元,提出了 4 种核心技术,具体如下。
(1)动态可审计的隐私 ID/Loc
具有迷惑攻击者的动态ID和Loc可用于防止
隐私泄露和关联追踪。源 AS 域外部的网络节点
仅能揭露数据分组来源于哪个 AS,而无法获知发
送者具体所在的子网和位置信息以及发送者的长
久标识符。路由器仅能从 IP 地址头部获得最小必
要信息进行数据分组转发。当攻击发生时,受害
主机可以追溯非法流量到其所属的源域,只有源
AS 域的 AA 才能打开发送者的真实身份,根据其
安全策略,发送控制命令进行流量过滤。NAIS 通
过对永久 ID 和真实 Loc 进行加密,生成的 EID
和 ELoc 不仅具有匿名性,并且通过动态变化标识
符可以防止关联分析和追踪。
(2)去中心化的 ID 内生密钥
在本安全架构中,采用了去中心化的公钥基
础设施来确保信任锚的安全域可信,AS 域级别的
身份 ID 及密钥管理基于去中心化的基础设施,可
以防止单点权威失效或作恶带来的安全问题。终
端主机的密钥管理可被隔离在一个管理域内,即
域密钥的沦陷仅会影响域内终端主机的可信性。
而实际上,当前 PKI 权威在分发和撤销证书时,
缺乏具体且清晰的边界,某个权威 CA 的沦陷带
来的安全问题具有蔓延扩散特性。在 NAIS 中,
用于协商会话密钥的身份公钥内生于主机标识
符,即接收端可以根据主机 ID 直接派生出信息验
证公钥,赋予了 ID 自验证公钥的特性,从而能够
防止密钥交换过程中的欺骗。
(3)基于最小信任模型的真实性验证
去除安全域划分机制中对域内流量的信任弊
端,域间和域内流量都将被验证。对于需要跨域
传输的网络流量,当数据分组从源端发送后,源
AS 域的 ID 验证者和边界路由器均都会对其流出
流量进行验证。NAIS 不假设 ID 验证者完全可信,
根据不同场景,通过部署不同的匿名验证方法,
如零知识证明技术、盲签名技术等,可以在 ID 验
证者处实现匿名验证功能,兼顾真实性和隐私保
护。当域间流量到达目的 AS 时,目的端的边界
路由器根据域间共享的密钥,对流入流量进行验
证。因此,跨域传输流量的真实性可以通过流出
和流入权多步验证得到保障。对于来自 AS 域内
部的网络流量,接收者侧的 ID 验证者同样需要验
图 2 内生安全网络架构
2019215-6
专题:数据网络协议架构创新——NewIP ·26·
证其来源真实性,从而使得当 AS 域内部发生故
障和攻击时,网络管理面能够快速定位错误进行
恢复。