互联网行业：基于分布式信任基础设施的新一代互联网体系结构白皮书（2023年版）

互联网体系结构与安全实验室 基于分布式信任基础设施的新一代互联网体系结构 清华大学 白皮书 （2023年版） 清华大学 中国信息通信研究院 中钞信用卡产业发展有限公司中国移动咪咕文化科技集团公司 2023年6月 目录 1.前言1 互联网体系结构与安全实验室 2.研究背景2 2.1网络空间安全现状2 2.2内在需求3 2.2.1网络安全新视角5 2.2.2真实存储6 2.2.3真实计算6 2.2.4基于分布式信任基础设施的新一代互联网体系结构7 清华大学 2.3现有技术基础8 2.3.1区块链技术的研究现状8 2.3.2互联网体系结构的研究现状13 2.4面临的挑战14 2.4.1稳定性问题14 2.4.2安全隐私问题14 2.4.3可扩展性问题15 3.基于分布式信任基础设施的新一代互联网体系结构16 3.1分布式共识基础设施17 3.2真实存储基础设施17 3.3真实计算基础设施18 3.4分布式数字身份基础设施19 3.5打造安全可信互联网协议栈19 4.应用案例20 4.1案例1：层次化域间源地址验证20 4.1.1场景描述20 4.1.2核心方法21 4.1.3方案评价23 4.2案例2：轻量级转发路径验证24 4.2.1场景描述24 4.2.2核心方法25 4.2.3方案评价28 清华大学 5.总结29 6.展望29 互联网体系结构与安全实验室 参考文献31 缩略语35 1.前言 互联网体系结构与安全实验室 自从ARPANET正式投入运行开始，互联网已经发展了50余年——从最初仅有4个节点到如今全球接近44亿网络用户；从仅用于军事研究到如今“互联网 +”涵盖各个领域——网络的概念已经渗入了人们生活的各个方面。由于时代的局限性，互联网设计之初没有考虑到网络规模的爆炸式增长以及网络应用的日趋多元化，由此带来的一些结构性安全隐患也开始频繁出现，给人们的生活和财产带来了严峻的挑战。 清华大学 针对现有互联网体系结构缺乏安全可信基础导致信任缺失、网络攻击频发的问题，迫切需要开展可信、高效、开放的新型网络体系结构和关键技术研究，实现开放网络环境下的信任建立与高效传递，为互联网提供真实可信的“信任平面”。 区块链是一项蓬勃发展的新技术，集分布式数据存储、点对点传输、共识机制、加密算法等多种技术于一身，以其去中心性、不可篡改性、公开透明性在各个领域得到了广泛应用。区块链技术的出现为解决互联网信任缺失问题提供了一个全新的解决思路：以区块链分布式信任基础设施为基础建立新一代互联网体系结构的信任面，构建安全互联网核心协议与关键技术，确保节点身份真实可信、网络传输真实可信、应用服务真实可信，保障开放网络环境下的信任建立与高效传递，支撑真实可信网络应用的部署。 本白皮书首次系统地从开放网络环境下互信互联的视角阐述了分布式信任基础设施，阐明了当前互联网对分布式信任基础设施的需求及其在解决互联网信任问题中不容忽视的重要作用，详细描述了基于分布式信任基础设施的新一代互联网体系结构，并从实际亟待解决的具体困难场景出发，给出了分布式信任基础设施在实际网络场景中的应用案例。 此前，本团队前期所发布的《基于智能协作的真实可信互联网体系结构白皮书》[1]系统的阐述了如何结合智能硬件设施与协作学习框架来构建真实可信互联网体系结构，重点关注智能协作模型与智能算法的可信，本白皮书将进一步讨论如何利用分布式信任基础设施，保障开放网络环境下的信任建立与高效传递，支撑真实可信网络应用的部署。 2.研究背景 互联网体系结构与安全实验室 在介绍基于分布式信任基础设施的新一代互联网体系结构之前，本章节首先从近年来互联网发展面临的安全威胁出发，探讨当前互联网体系结构对分布式信任基础设施的内在需求。后续章节将结合当前区块链技术、互联网体系结构的发展现状，阐述基于分布式信任基础设施的新一代互联网体系结构和关键技术。最后，本白皮书给出基于分布式信任基础设施打造安全可信互联网协议的应用案例。 2.1网络空间安全现状 清华大学 互联网诞生之初，用户数量在百万级别，且用户与网络存在信任基础。但随着互联网不断发展，用户数量达到十亿规模并持续增长，数据中心、云计算、边缘计算等技术广泛应用于互联网，使得用户与网络的交互更复杂，传统互联网体系结构单纯地以信息传输为目的，在设计之初就缺乏信任基础，导致其面临严重安全威胁，如互联网缺乏真实地址鉴别能力，无法验证数据来源，带来源地址欺骗（SourceSpoofing）、拒绝服务（Denial-of-Service，DoS）、路由劫持（RouteHijacking）等攻击，给互联网及相关经济、社会和军事系统带来极大破坏。并且，随着物联网的发展，互联网应用场景逐步走向人与万物互联，伴随物联网的发展产生了更大的安全隐患。 据不完全统计[2]，相比2021年，2022年上半年全球网络攻击数量大幅增加。如图1，教育/科研、政务、网络服务提供商、通信、医疗等关键行业正在面临严重的网络安全威胁，网络安全问题不可忽视。 清华大学 互联网体系结构与安全实验室 图12022年上半年各行业网络攻击变化图（平均每周）1 此外，从图2所示的地域分布上来看，除北美、澳大利亚和欧洲等发达国家，全球绝大部分国家均面临十分严重的网络安全威胁，网络安全问题是互联网环境下所有用户共同面临的问题。 图2全球网络威胁风险指标2 2.2内在需求 想要彻底解决网络安全问题，并实现开放网络环境下的信任建立与高效传递，需要探究网络问题产生的根源。网络安全问题产生的根源在于互联网现有体系结 1CHECKPOINTRESEARCH:CYBERATTACKTRENDS 2CHECKPOINT:CYBERATTACKTRENDS 构的设计中缺乏端到端的信任，我们之前的工作将这种信任缺乏的主要表现总结为以下三个方面[3]： 清华大学 互联网体系结构与安全实验室 节点身份不可信。节点身份真实可信是分布式节点间实现可信交互的基础，但由于互联网设计之初主要是用于连接一群互相信任的用户，因此并没有考虑对节点身份的验证问题，从而导致当今互联网身份伪造事件频繁发生，攻击者可以通过伪造IP地址，或者伪造用户身份向受害者发动攻击，从而逃避追踪。对于确保IP地址真实可信，已有主流方法是互联网服务提供商（InternetServiceProvider,ISP）过滤域内伪造IP地址向外发送的数据包，但该方法要求所有管理域同时部署过滤机制才能完全发挥效果，因为未部署过滤机制的管理域内部节点依然能够随意伪造IP地址发送数据包。对于确保节点身份真实可信，已有主流的方法是基于公钥基础设施（PublicKeyInfrastructure,PKI），并引入第三方可信证书机构（CertificateAuthority,CA）来对节点身份进行背书，但这种基于单点信任的方式同样造成了巨大的安全隐患。比如，荷兰CA安全证书提供商DigiNotar遭受入侵为超过500个网站发布恶意证书[4]，以及证书颁发机构赛门铁克误发超过三万个证书扩展凭证[5]等事件表明，一旦这些信任中心发生事故，将对整个互联网造成严重影响。 网络传输不可信。网络主要的功能之一就是承载分布式网络节点间的信息传递，该功能是通过分布式网元节点间互相协作共同完成的，因此网络传输真实可信是建立在节点身份真实可信基础之上。网络传输过程中主要涉及控制平面和数据平面，其中控制平面负责路由策略的协商，从而指导数据平面的实际数据转发。控制平面的信任问题主要体现在域间路由安全上，恶意自治域（AutonomousSystem,AS）通过宣告虚假路由信息发动的前缀劫持和路径劫持等攻击、操作人员因失误造成的路由泄露等事件都将对数据传输造成严重的影响。目前针对该问题的主要解决思路是基于资源公钥基础设施（ResourcePublicKeyInfrastructure,RPKI）进行路由源认证、BGPsec（BGPSecurity）进行路径认证和路由泄露保护。但RPKI引入一个中心化的权威CA，在一定程度上剥夺了自治域对IP地址的所有权，使得自治域很难相信CA，导致RPKI部署率较低。BGPsec依赖RPKI，需要每个自治域对路由进行签名和验证，开销较大，尚未实际部署。 应用服务不可信。互联网的最终目的是支撑各式各样功能强大的分布式应用 清华大学 互联网体系结构与安全实验室 服务，这些应用服务和用户的交互是建立在互联网之上；此外，对于大型分布式应用服务，其内部通常是由分布在不同地理位置的分布式节点通过网络交互相互协作而共同构建。因此，节点身份和网络传输的真实可信是构建真实可信应用服务的基础，但也并不是全部，因为不可信的服务提供者以及不安全的服务程序与数据对用户终端都会形成安全威胁。针对该问题目前的解决方案主要是依靠大众监管并及时举报恶意应用服务、或者引入第三方可信计算平台确保应用服务在运行时的可信。然而，仅仅依靠大众的自愿监管无法调动大家的积极性，缺少相应的激励机制；依靠可信硬件又引入了硬件厂商这样一个信任中心，同样存在着单点信任问题，一旦硬件本身出现漏洞、后门等，都将严重危害用户的隐私和安全。因此，我们提出基于分布式信任基础设施的新一代互联网体系结构设计思 路，建立互联网体系结构的“信任平面”，期望解决现有体系结构的信任缺乏问题，最终实现开放网络环境下的信任建立与高效传递。 2.2.1网络安全新视角 现有的网络安全技术往往采用“打补丁”的方式来实现节点身份、网络传输、应用服务的安全可信，到目前为止，各类解决方案不能从根本上解决网络面对的各种威胁。 与传统的网络安全视角不同，我们采用一个全新的视角来看待网络安全问题：网络被视为一个大型状态机系统，IP地址、数字证书、网络流量等网络数据被视为状态机的状态信息，网络环境中产生的各种计算行为，包括路由转发、证书颁布等被视为状态机的状态转移函数。进一步的，如果能够确保该互联网状态机中的所有状态数据都是可靠的，所有的计算行为都是可信的，那么该互联网状态机就会遵循事先设定的逻辑，可靠的执行下去，最终获得可信的互联网环境。 区块链技术完美契合了我们对可信状态机系统的期望，区块链账本能够为关键网络数据提供可信存储，而智能合约能够保证关键网络计算行为的可靠。我们将基于区块链分布式体系结构实现的可信存储称为“真实存储”、基于区块链分布式体系结构所实现的可信计算称为“真实计算”[6]。基于真实存储和真实计算，能够构建互联网体系结构的“信任平面”，支撑网络安全应用的搭建，实现开放网络环境下的信任建立与高效传递。 2.2.2真实存储 清华大学 互联网体系结构与安全实验室 真实存储是将区块链作为一个可信存储平台，确保用户所存储的数据真实存在，不会被恶意篡改，并且面对用户的数据访问请求也能做出真实的回应。在基于区块链所构建的真实存储平台中，用户以交易的形式请求数据的增加、修改、撤销等操作，其它用户则可以按需对数据库的内容进行读取，并基于这些数据完成后续的计算工作。在对数据存取的整个流程中，区块链数据层提供的可审计性确保用户在访问数据时可以对其完整性进行验证；区块链网络层提供的去中心化特性则可以有效避免单点失效问题；区块链共识层提供的一致性和不可篡改性则确保用户访问所获取数据的真实性。相比于传统中心化的存储平台，基于区块链构建的分布式真实存储可以稳定运行，并且有效避免中心服务器宕机、恶意篡改、隐瞒数据，或者对不同用户提供不一致的访问结果等问题。 2.2.3真实计算 真实计算是在真实存储的基础之上，引入智能合约，进一步构建一个真实计算平台，确保计算流程的公开、透明、可验证，以及计算结果的真实、可信、不可篡改。在该计算平台中，计算逻辑被编码进智能合约中并部署在区块链上，用户可以通过发布交易来触发智能合约的执行，调用智能合约的交易以及智能合约的执行结果都被真实存储在区块链中。因此相比于传统中心化计算平台，基于区块链构建的分布式真实计算平台能在承担用户计算开销的同时，有效解决传统中心化计算平台计算流程不透明，计算结果不可