【清華大學(xué)】基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)白皮書（2023年版）

基于分布式信任基礎(chǔ)設(shè)施清華大學(xué)的

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室

新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)

白皮書

（2023年版）

清華大學(xué)

中國信息通信研究院

中鈔信用卡產(chǎn)業(yè)發(fā)展有限公司

中國移動(dòng)咪咕文化科技集團(tuán)公司

2023年6月

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

1.前言

自從ARPANET正式投入運(yùn)行開始，互聯(lián)網(wǎng)已經(jīng)發(fā)展了50余年——從最初

僅有4個(gè)節(jié)點(diǎn)到如今全球接近44億網(wǎng)絡(luò)用戶；從僅用于軍事研究到如今“互聯(lián)網(wǎng)

+”涵蓋各個(gè)領(lǐng)域——網(wǎng)絡(luò)的概念已經(jīng)滲入了人們生活的各個(gè)方面。由于時(shí)代的局

限性，互聯(lián)網(wǎng)設(shè)計(jì)之初沒有考慮到網(wǎng)絡(luò)規(guī)模的爆炸式增長以及網(wǎng)絡(luò)應(yīng)用的日趨多清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室元化，由此帶來的一些結(jié)構(gòu)性安全隱患也開始頻繁出現(xiàn)，給人們的生活和財(cái)產(chǎn)帶

來了嚴(yán)峻的挑戰(zhàn)。

針對(duì)現(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)缺乏安全可信基礎(chǔ)導(dǎo)致信任缺失、網(wǎng)絡(luò)攻擊頻發(fā)的

問題，迫切需要開展可信、高效、開放的新型網(wǎng)絡(luò)體系結(jié)構(gòu)和關(guān)鍵技術(shù)研究，實(shí)

現(xiàn)開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效傳遞，為互聯(lián)網(wǎng)提供真實(shí)可信的“信任平面”。

區(qū)塊鏈?zhǔn)且豁?xiàng)蓬勃發(fā)展的新技術(shù)，集分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)

制、加密算法等多種技術(shù)于一身，以其去中心性、不可篡改性、公開透明性在各

個(gè)領(lǐng)域得到了廣泛應(yīng)用。區(qū)塊鏈技術(shù)的出現(xiàn)為解決互聯(lián)網(wǎng)信任缺失問題提供了一

個(gè)全新的解決思路：以區(qū)塊鏈分布式信任基礎(chǔ)設(shè)施為基礎(chǔ)建立新一代互聯(lián)網(wǎng)體系

結(jié)構(gòu)的信任面，構(gòu)建安全互聯(lián)網(wǎng)核心協(xié)議與關(guān)鍵技術(shù)，確保節(jié)點(diǎn)身份真實(shí)可信、

網(wǎng)絡(luò)傳輸真實(shí)可信、應(yīng)用服務(wù)真實(shí)可信，保障開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效

傳遞，支撐真實(shí)可信網(wǎng)絡(luò)應(yīng)用的部署。

本白皮書首次系統(tǒng)地從開放網(wǎng)絡(luò)環(huán)境下互信互聯(lián)的視角闡述了分布式信任

基礎(chǔ)設(shè)施，闡明了當(dāng)前互聯(lián)網(wǎng)對(duì)分布式信任基礎(chǔ)設(shè)施的需求及其在解決互聯(lián)網(wǎng)信

任問題中不容忽視的重要作用，詳細(xì)描述了基于分布式信任基礎(chǔ)設(shè)施的新一代互

聯(lián)網(wǎng)體系結(jié)構(gòu)，并從實(shí)際亟待解決的具體困難場(chǎng)景出發(fā)，給出了分布式信任基礎(chǔ)

設(shè)施在實(shí)際網(wǎng)絡(luò)場(chǎng)景中的應(yīng)用案例。

此前，本團(tuán)隊(duì)前期所發(fā)布的《基于智能協(xié)作的真實(shí)可信互聯(lián)網(wǎng)體系結(jié)構(gòu)白皮

書》[1]系統(tǒng)的闡述了如何結(jié)合智能硬件設(shè)施與協(xié)作學(xué)習(xí)框架來構(gòu)建真實(shí)可信互聯(lián)

網(wǎng)體系結(jié)構(gòu)，重點(diǎn)關(guān)注智能協(xié)作模型與智能算法的可信，本白皮書將進(jìn)一步討論

如何利用分布式信任基礎(chǔ)設(shè)施，保障開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效傳遞，支

撐真實(shí)可信網(wǎng)絡(luò)應(yīng)用的部署。

1

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

2.研究背景

在介紹基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)之前，本章節(jié)首先

從近年來互聯(lián)網(wǎng)發(fā)展面臨的安全威脅出發(fā)，探討當(dāng)前互聯(lián)網(wǎng)體系結(jié)構(gòu)對(duì)分布式信

任基礎(chǔ)設(shè)施的內(nèi)在需求。后續(xù)章節(jié)將結(jié)合當(dāng)前區(qū)塊鏈技術(shù)、互聯(lián)網(wǎng)體系結(jié)構(gòu)的發(fā)

展現(xiàn)狀，闡述基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)清華大學(xué)和關(guān)鍵技術(shù)。最

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室后，本白皮書給出基于分布式信任基礎(chǔ)設(shè)施打造安全可信互聯(lián)網(wǎng)協(xié)議的應(yīng)用案例。

2.1網(wǎng)絡(luò)空間安全現(xiàn)狀

互聯(lián)網(wǎng)誕生之初，用戶數(shù)量在百萬級(jí)別，且用戶與網(wǎng)絡(luò)存在信任基礎(chǔ)。但隨

著互聯(lián)網(wǎng)不斷發(fā)展，用戶數(shù)量達(dá)到十億規(guī)模并持續(xù)增長，數(shù)據(jù)中心、云計(jì)算、邊

緣計(jì)算等技術(shù)廣泛應(yīng)用于互聯(lián)網(wǎng)，使得用戶與網(wǎng)絡(luò)的交互更復(fù)雜，傳統(tǒng)互聯(lián)網(wǎng)體

系結(jié)構(gòu)單純地以信息傳輸為目的，在設(shè)計(jì)之初就缺乏信任基礎(chǔ)，導(dǎo)致其面臨嚴(yán)重

安全威脅，如互聯(lián)網(wǎng)缺乏真實(shí)地址鑒別能力，無法驗(yàn)證數(shù)據(jù)來源，帶來源地址欺

騙（SourceSpoofing）、拒絕服務(wù)（Denial-of-Service，DoS）、路由劫持（Route

Hijacking）等攻擊，給互聯(lián)網(wǎng)及相關(guān)經(jīng)濟(jì)、社會(huì)和軍事系統(tǒng)帶來極大破壞。并且，

隨著物聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)應(yīng)用場(chǎng)景逐步走向人與萬物互聯(lián)，伴隨物聯(lián)網(wǎng)的發(fā)展

產(chǎn)生了更大的安全隱患。

據(jù)不完全統(tǒng)計(jì)[2]，相比2021年，2022年上半年全球網(wǎng)絡(luò)攻擊數(shù)量大幅增加。

如圖1，教育/科研、政務(wù)、網(wǎng)絡(luò)服務(wù)提供商、通信、醫(yī)療等關(guān)鍵行業(yè)正在面臨嚴(yán)

重的網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)安全問題不可忽視。

2

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室

圖12022年上半年各行業(yè)網(wǎng)絡(luò)攻擊變化圖（平均每周）1

此外，從圖2所示的地域分布上來看，除北美、澳大利亞和歐洲等發(fā)達(dá)國家，

全球絕大部分國家均面臨十分嚴(yán)重的網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)安全問題是互聯(lián)網(wǎng)環(huán)境

下所有用戶共同面臨的問題。

圖2全球網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)指標(biāo)2

2.2內(nèi)在需求

想要徹底解決網(wǎng)絡(luò)安全問題，并實(shí)現(xiàn)開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效傳遞，

需要探究網(wǎng)絡(luò)問題產(chǎn)生的根源。網(wǎng)絡(luò)安全問題產(chǎn)生的根源在于互聯(lián)網(wǎng)現(xiàn)有體系結(jié)

1CHECKPOINTRESEARCH:CYBERATTACKTRENDS

2CHECKPOINT:CYBERATTACKTRENDS

3

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

構(gòu)的設(shè)計(jì)中缺乏端到端的信任，我們之前的工作將這種信任缺乏的主要表現(xiàn)總結(jié)

為以下三個(gè)方面[3]：

節(jié)點(diǎn)身份不可信。節(jié)點(diǎn)身份真實(shí)可信是分布式節(jié)點(diǎn)間實(shí)現(xiàn)可信交互的基礎(chǔ)，

但由于互聯(lián)網(wǎng)設(shè)計(jì)之初主要是用于連接一群互相信任的用戶，因此并沒有考慮對(duì)

節(jié)點(diǎn)身份的驗(yàn)證問題，從而導(dǎo)致清華大學(xué)當(dāng)今互聯(lián)網(wǎng)身份偽造事件頻繁發(fā)生，攻擊者可以

通過偽造IP地址，或者偽造用戶身份向受害者發(fā)動(dòng)攻擊，從而逃避追蹤。對(duì)于

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室確保IP地址真實(shí)可信，已有主流方法是互聯(lián)網(wǎng)服務(wù)提供商（InternetService

Provider,ISP）過濾域內(nèi)偽造IP地址向外發(fā)送的數(shù)據(jù)包，但該方法要求所有管理

域同時(shí)部署過濾機(jī)制才能完全發(fā)揮效果，因?yàn)槲床渴疬^濾機(jī)制的管理域內(nèi)部節(jié)點(diǎn)

依然能夠隨意偽造IP地址發(fā)送數(shù)據(jù)包。對(duì)于確保節(jié)點(diǎn)身份真實(shí)可信，已有主流

的方法是基于公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure,PKI），并引入第三方可信

證書機(jī)構(gòu)（CertificateAuthority,CA）來對(duì)節(jié)點(diǎn)身份進(jìn)行背書，但這種基于單點(diǎn)信

任的方式同樣造成了巨大的安全隱患。比如，荷蘭CA安全證書提供商DigiNotar

遭受入侵為超過500個(gè)網(wǎng)站發(fā)布惡意證書[4]，以及證書頒發(fā)機(jī)構(gòu)賽門鐵克誤發(fā)超

過三萬個(gè)證書擴(kuò)展憑證[5]等事件表明，一旦這些信任中心發(fā)生事故，將對(duì)整個(gè)互

聯(lián)網(wǎng)造成嚴(yán)重影響。

網(wǎng)絡(luò)傳輸不可信。網(wǎng)絡(luò)主要的功能之一就是承載分布式網(wǎng)絡(luò)節(jié)點(diǎn)間的信息傳

遞，該功能是通過分布式網(wǎng)元節(jié)點(diǎn)間互相協(xié)作共同完成的，因此網(wǎng)絡(luò)傳輸真實(shí)可

信是建立在節(jié)點(diǎn)身份真實(shí)可信基礎(chǔ)之上。網(wǎng)絡(luò)傳輸過程中主要涉及控制平面和數(shù)

據(jù)平面，其中控制平面負(fù)責(zé)路由策略的協(xié)商，從而指導(dǎo)數(shù)據(jù)平面的實(shí)際數(shù)據(jù)轉(zhuǎn)發(fā)。

控制平面的信任問題主要體現(xiàn)在域間路由安全上，惡意自治域（Autonomous

System,AS）通過宣告虛假路由信息發(fā)動(dòng)的前綴劫持和路徑劫持等攻擊、操作人

員因失誤造成的路由泄露等事件都將對(duì)數(shù)據(jù)傳輸造成嚴(yán)重的影響。目前針對(duì)該問

題的主要解決思路是基于資源公鑰基礎(chǔ)設(shè)施（ResourcePublicKeyInfrastructure,

RPKI）進(jìn)行路由源認(rèn)證、BGPsec（BGPSecurity）進(jìn)行路徑認(rèn)證和路由泄露保護(hù)。

但RPKI引入一個(gè)中心化的權(quán)威CA，在一定程度上剝奪了自治域?qū)P地址的

所有權(quán)，使得自治域很難相信CA，導(dǎo)致RPKI部署率較低。BGPsec依賴RPKI，

需要每個(gè)自治域?qū)β酚蛇M(jìn)行簽名和驗(yàn)證，開銷較大，尚未實(shí)際部署。

應(yīng)用服務(wù)不可信?；ヂ?lián)網(wǎng)的最終目的是支撐各式各樣功能強(qiáng)大的分布式應(yīng)用

4

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

服務(wù)，這些應(yīng)用服務(wù)和用戶的交互是建立在互聯(lián)網(wǎng)之上；此外，對(duì)于大型分布式

應(yīng)用服務(wù)，其內(nèi)部通常是由分布在不同地理位置的分布式節(jié)點(diǎn)通過網(wǎng)絡(luò)交互相互

協(xié)作而共同構(gòu)建。因此，節(jié)點(diǎn)身份和網(wǎng)絡(luò)傳輸?shù)恼鎸?shí)可信是構(gòu)建真實(shí)可信應(yīng)用服

務(wù)的基礎(chǔ)，但也并不是全部，因?yàn)椴豢尚诺姆?wù)提供者以及不安全的服務(wù)程序與

數(shù)據(jù)對(duì)用戶終端都會(huì)形成安全威脅。針對(duì)該問題目前的解決方案主要是依靠大眾清華大學(xué)

監(jiān)管并及時(shí)舉報(bào)惡意應(yīng)用服務(wù)、或者引入第三方可信計(jì)算平臺(tái)確保應(yīng)用服務(wù)在運(yùn)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室行時(shí)的可信。然而，僅僅依靠大眾的自愿監(jiān)管無法調(diào)動(dòng)大家的積極性，缺少相應(yīng)

的激勵(lì)機(jī)制；依靠可信硬件又引入了硬件廠商這樣一個(gè)信任中心，同樣存在著單

點(diǎn)信任問題，一旦硬件本身出現(xiàn)漏洞、后門等，都將嚴(yán)重危害用戶的隱私和安全。

因此，我們提出基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計(jì)思

路，建立互聯(lián)網(wǎng)體系結(jié)構(gòu)的“信任平面”，期望解決現(xiàn)有體系結(jié)構(gòu)的信任缺乏問題，

最終實(shí)現(xiàn)開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效傳遞。

2.2.1網(wǎng)絡(luò)安全新視角

現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)往往采用“打補(bǔ)丁”的方式來實(shí)現(xiàn)節(jié)點(diǎn)身份、網(wǎng)絡(luò)傳輸、

應(yīng)用服務(wù)的安全可信，到目前為止，各類解決方案不能從根本上解決網(wǎng)絡(luò)面對(duì)的

各種威脅。

與傳統(tǒng)的網(wǎng)絡(luò)安全視角不同，我們采用一個(gè)全新的視角來看待網(wǎng)絡(luò)安全問題：

網(wǎng)絡(luò)被視為一個(gè)大型狀態(tài)機(jī)系統(tǒng)，IP地址、數(shù)字證書、網(wǎng)絡(luò)流量等網(wǎng)絡(luò)數(shù)據(jù)被視

為狀態(tài)機(jī)的狀態(tài)信息，網(wǎng)絡(luò)環(huán)境中產(chǎn)生的各種計(jì)算行為，包括路由轉(zhuǎn)發(fā)、證書頒

布等被視為狀態(tài)機(jī)的狀態(tài)轉(zhuǎn)移函數(shù)。進(jìn)一步的，如果能夠確保該互聯(lián)網(wǎng)狀態(tài)機(jī)中

的所有狀態(tài)數(shù)據(jù)都是可靠的，所有的計(jì)算行為都是可信的，那么該互聯(lián)網(wǎng)狀態(tài)機(jī)

就會(huì)遵循事先設(shè)定的邏輯，可靠的執(zhí)行下去，最終獲得可信的互聯(lián)網(wǎng)環(huán)境。

區(qū)塊鏈技術(shù)完美契合了我們對(duì)可信狀態(tài)機(jī)系統(tǒng)的期望，區(qū)塊鏈賬本能夠?yàn)殛P(guān)

鍵網(wǎng)絡(luò)數(shù)據(jù)提供可信存儲(chǔ)，而智能合約能夠保證關(guān)鍵網(wǎng)絡(luò)計(jì)算行為的可靠。我們

將基于區(qū)塊鏈分布式體系結(jié)構(gòu)實(shí)現(xiàn)的可信存儲(chǔ)稱為“真實(shí)存儲(chǔ)”、基于區(qū)塊鏈分布

式體系結(jié)構(gòu)所實(shí)現(xiàn)的可信計(jì)算稱為“真實(shí)計(jì)算”[6]?；谡鎸?shí)存儲(chǔ)和真實(shí)計(jì)算，能

夠構(gòu)建互聯(lián)網(wǎng)體系結(jié)構(gòu)的“信任平面”，支撐網(wǎng)絡(luò)安全應(yīng)用的搭建，實(shí)現(xiàn)開放網(wǎng)絡(luò)

環(huán)境下的信任建立與高效傳遞。

5

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

2.2.2真實(shí)存儲(chǔ)

真實(shí)存儲(chǔ)是將區(qū)塊鏈作為一個(gè)可信存儲(chǔ)平臺(tái)，確保用戶所存儲(chǔ)的數(shù)據(jù)真實(shí)存

在，不會(huì)被惡意篡改，并且面對(duì)用戶的數(shù)據(jù)訪問請(qǐng)求也能做出真實(shí)的回應(yīng)。在基

于區(qū)塊鏈所構(gòu)建的真實(shí)存儲(chǔ)平臺(tái)中，用戶以交易的形式請(qǐng)求數(shù)據(jù)的增加、修改、

撤銷等操作，其它用戶則可以清華大學(xué)按需對(duì)數(shù)據(jù)庫的內(nèi)容進(jìn)行讀取，并基于這些數(shù)據(jù)完

成后續(xù)的計(jì)算工作。在對(duì)數(shù)據(jù)存取的整個(gè)流程中，區(qū)塊鏈數(shù)據(jù)層提供的可審計(jì)性

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室確保用戶在訪問數(shù)據(jù)時(shí)可以對(duì)其完整性進(jìn)行驗(yàn)證；區(qū)塊鏈網(wǎng)絡(luò)層提供的去中心化

特性則可以有效避免單點(diǎn)失效問題；區(qū)塊鏈共識(shí)層提供的一致性和不可篡改性則

確保用戶訪問所獲取數(shù)據(jù)的真實(shí)性。相比于傳統(tǒng)中心化的存儲(chǔ)平臺(tái)，基于區(qū)塊鏈

構(gòu)建的分布式真實(shí)存儲(chǔ)可以穩(wěn)定運(yùn)行，并且有效避免中心服務(wù)器宕機(jī)、惡意篡改、

隱瞞數(shù)據(jù)，或者對(duì)不同用戶提供不一致的訪問結(jié)果等問題。

2.2.3真實(shí)計(jì)算

真實(shí)計(jì)算是在真實(shí)存儲(chǔ)的基礎(chǔ)之上，引入智能合約，進(jìn)一步構(gòu)建一個(gè)真實(shí)計(jì)

算平臺(tái)，確保計(jì)算流程的公開、透明、可驗(yàn)證，以及計(jì)算結(jié)果的真實(shí)、可信、不

可篡改。在該計(jì)算平臺(tái)中，計(jì)算邏輯被編碼進(jìn)智能合約中并部署在區(qū)塊鏈上，用

戶可以通過發(fā)布交易來觸發(fā)智能合約的執(zhí)行，調(diào)用智能合約的交易以及智能合約

的執(zhí)行結(jié)果都被真實(shí)存儲(chǔ)在區(qū)塊鏈中。因此相比于傳統(tǒng)中心化計(jì)算平臺(tái)，基于區(qū)

塊鏈構(gòu)建的分布式真實(shí)計(jì)算平臺(tái)能在承擔(dān)用戶計(jì)算開銷的同時(shí)，有效解決傳統(tǒng)中

心化計(jì)算平臺(tái)計(jì)算流程不透明，計(jì)算結(jié)果不可驗(yàn)證，無法確保真實(shí)性等問題。

6

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

2.2.4基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)

清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室

圖3基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計(jì)思路

區(qū)塊鏈技術(shù)為解決開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效傳遞問題提供了理論

基礎(chǔ)與基本技術(shù)支撐，在此基礎(chǔ)上，我們提出基于分布式信任基礎(chǔ)設(shè)施的新一代

互聯(lián)網(wǎng)體系結(jié)構(gòu)設(shè)計(jì)思路，期望實(shí)現(xiàn)開放網(wǎng)絡(luò)環(huán)境下的信任建立與高效傳遞。具

體來說，我們提出：

?建立分布式共識(shí)基礎(chǔ)設(shè)施，為開放網(wǎng)絡(luò)環(huán)境下的可信互聯(lián)提供信任基礎(chǔ)。

?建立真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施，為開放網(wǎng)絡(luò)環(huán)境下所產(chǎn)生的海量數(shù)據(jù)提供可信

記錄，為關(guān)鍵網(wǎng)絡(luò)數(shù)據(jù)提供快速查詢與可信證明。

?建立真實(shí)計(jì)算基礎(chǔ)設(shè)施，實(shí)現(xiàn)開放網(wǎng)絡(luò)環(huán)境下可信、可驗(yàn)證的計(jì)算行為。

?建立分布式數(shù)字身份基礎(chǔ)設(shè)施，為開放網(wǎng)絡(luò)環(huán)境下組織/個(gè)人提供可信身

份標(biāo)識(shí)。

?基于分布式信任基礎(chǔ)設(shè)施，打造安全可信互聯(lián)網(wǎng)協(xié)議棧，支撐網(wǎng)絡(luò)安全

應(yīng)用搭建。

其中，分布式共識(shí)基礎(chǔ)設(shè)施、真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施、真實(shí)計(jì)算基礎(chǔ)設(shè)施、分布

式數(shù)字身份基礎(chǔ)設(shè)施共同構(gòu)成了分布式信任基礎(chǔ)設(shè)施，安全可信互聯(lián)網(wǎng)協(xié)議棧將

基于分布式信任基礎(chǔ)設(shè)施提供的信任接口構(gòu)建。接下來，我們將著重介紹現(xiàn)有技

術(shù)基礎(chǔ)以及實(shí)現(xiàn)基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)可能遇到的

挑戰(zhàn)?；诜植际叫湃位A(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)將會(huì)在第3節(jié)得到詳細(xì)

7

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

闡述。

2.3現(xiàn)有技術(shù)基礎(chǔ)

互聯(lián)網(wǎng)所存在的信任平面缺失問題是長期存在的，已經(jīng)有學(xué)者在這方面進(jìn)行

了深入的研究，在基于區(qū)塊鏈的去中心化網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面，也已經(jīng)具備一些技

術(shù)基礎(chǔ)。接下來，將從分布式信任基礎(chǔ)設(shè)施依賴的區(qū)塊鏈技術(shù)以及基礎(chǔ)設(shè)施所支清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室撐的互聯(lián)網(wǎng)體系結(jié)構(gòu)兩個(gè)層面來分別介紹現(xiàn)有技術(shù)基礎(chǔ)。

2.3.1區(qū)塊鏈技術(shù)的研究現(xiàn)狀

分布式信任基礎(chǔ)設(shè)施致力于構(gòu)建安全的網(wǎng)絡(luò)服務(wù)，其安全性主要來源于存儲(chǔ)

安全與計(jì)算安全，真實(shí)存儲(chǔ)與真實(shí)計(jì)算技術(shù)分別保證了存儲(chǔ)安全與計(jì)算安全。而

真實(shí)存儲(chǔ)與真實(shí)計(jì)算技術(shù)本身的安全性又可以歸結(jié)到區(qū)塊鏈的共識(shí)機(jī)制。本部分

將自底向上，分別介紹共識(shí)機(jī)制、真實(shí)存儲(chǔ)技術(shù)、真實(shí)計(jì)算技術(shù)、分布式數(shù)字身

份技術(shù)以及區(qū)塊鏈應(yīng)用平臺(tái)的研究現(xiàn)狀。

1.共識(shí)機(jī)制的現(xiàn)狀

目前企業(yè)界聯(lián)盟鏈常用的共識(shí)，例如PBFT（PracticalByzantineFaulttolerance）

[7]、HotStuff[8]、SyncHotStuff[9]以及其它相關(guān)改進(jìn)共識(shí)協(xié)議都采用如圖4所示的

基于領(lǐng)導(dǎo)節(jié)點(diǎn)的協(xié)議設(shè)計(jì)模式，領(lǐng)導(dǎo)節(jié)點(diǎn)將來自客戶端的交易排序并打包成區(qū)塊

提議給所有節(jié)點(diǎn)，節(jié)點(diǎn)間進(jìn)行1～3輪投票（根據(jù)具體的共識(shí)設(shè)計(jì)而定）后達(dá)成

共識(shí)。在共識(shí)運(yùn)行過程中，所有其它共識(shí)節(jié)點(diǎn)都會(huì)對(duì)領(lǐng)導(dǎo)節(jié)點(diǎn)進(jìn)行監(jiān)測(cè)，當(dāng)超過

預(yù)計(jì)時(shí)間后共識(shí)依然無進(jìn)展，則認(rèn)為領(lǐng)導(dǎo)節(jié)點(diǎn)出現(xiàn)故障，此時(shí)觸發(fā)視圖變更過程

完成領(lǐng)導(dǎo)更換。

這類共識(shí)因?yàn)橐肓祟I(lǐng)導(dǎo)節(jié)點(diǎn)，所以能確保高共識(shí)效率，但是對(duì)網(wǎng)絡(luò)要求較

高，當(dāng)網(wǎng)絡(luò)出現(xiàn)鏈路故障或延時(shí)不穩(wěn)定時(shí)，可能會(huì)導(dǎo)致頻繁的leader變更，從而

造成性能下降。

8

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室圖4基于Leader節(jié)點(diǎn)的共識(shí)示意圖

自2016年HoneyBadger[10]被提出，實(shí)用化的異步拜占庭容錯(cuò)共識(shí)近期被廣

泛研究，其采用無領(lǐng)導(dǎo)節(jié)點(diǎn)的協(xié)議設(shè)計(jì)模式，能適應(yīng)網(wǎng)絡(luò)延時(shí)的變化。異步BFT

共識(shí)的另一個(gè)優(yōu)勢(shì)是能夠充分利用所有節(jié)點(diǎn)的帶寬資源，目前已經(jīng)能在吞吐量這

一指標(biāo)上遠(yuǎn)勝于基于領(lǐng)導(dǎo)節(jié)點(diǎn)的共識(shí)，但是卻犧牲了共識(shí)延時(shí)。相比基于領(lǐng)導(dǎo)節(jié)

點(diǎn)的共識(shí)只需4～6個(gè)網(wǎng)絡(luò)延時(shí)完成對(duì)交易的共識(shí)，最快的異步BFT共識(shí)

Speeding-Dumbo[11]也需要平均17個(gè)網(wǎng)絡(luò)延時(shí)才能完成共識(shí)。此外，異步BFT共

識(shí)依然要求正確節(jié)點(diǎn)間能正常接收消息，當(dāng)網(wǎng)絡(luò)鏈路出現(xiàn)故障時(shí)，異步BFT共

識(shí)可能需要等待鏈路恢復(fù)后才能繼續(xù)正常運(yùn)行。

另一部分研究試圖考慮共識(shí)網(wǎng)絡(luò)中的鏈路錯(cuò)誤，并設(shè)計(jì)能在非全連接的網(wǎng)絡(luò)

拓?fù)湎路€(wěn)定運(yùn)行的共識(shí)，但根據(jù)Tseng等人的調(diào)研[12]總結(jié)，在非同步環(huán)境下實(shí)現(xiàn)

非全連接拓?fù)浼僭O(shè)下的確定性BFT共識(shí)是鏈路容錯(cuò)共識(shí)領(lǐng)域的一大挑戰(zhàn)。

2.真實(shí)存儲(chǔ)技術(shù)的現(xiàn)狀

區(qū)塊鏈最初主要是作為一個(gè)分布式、去中心化的公開賬本，每個(gè)共識(shí)節(jié)點(diǎn)本

地存儲(chǔ)該賬本并基于共識(shí)機(jī)制實(shí)現(xiàn)賬本的一致性，少數(shù)節(jié)點(diǎn)合謀無法篡改賬本內(nèi)

容，從而確保區(qū)塊鏈所存儲(chǔ)數(shù)據(jù)的真實(shí)性。近年來，隨著區(qū)塊鏈技術(shù)快速發(fā)展并

應(yīng)用到諸如身份管理、數(shù)據(jù)管理、網(wǎng)絡(luò)安全等領(lǐng)域，區(qū)塊鏈應(yīng)用要求存儲(chǔ)的數(shù)據(jù)

量相比于數(shù)字貨幣交易顯著提升，“所有共識(shí)節(jié)點(diǎn)存儲(chǔ)所有區(qū)塊鏈數(shù)據(jù)”這一存儲(chǔ)

模式嚴(yán)重限制著區(qū)塊鏈的可擴(kuò)展性。正是在這一背景下，區(qū)塊鏈和傳統(tǒng)分布式存

儲(chǔ)相結(jié)合的“真實(shí)存儲(chǔ)”這一存儲(chǔ)模式被廣泛研究。

“真實(shí)存儲(chǔ)”的主要思想是將區(qū)塊鏈和可認(rèn)證數(shù)據(jù)結(jié)構(gòu)（AuthenticatedData

Structure,ADS）結(jié)合，如圖5所示，區(qū)塊鏈不再是確保所有數(shù)據(jù)的不可篡改，而

是以ADS形式來存儲(chǔ)數(shù)據(jù)哈希、索引等存儲(chǔ)開銷小的信息，實(shí)現(xiàn)數(shù)據(jù)的可尋址

9

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

與可驗(yàn)證等，確?！皵?shù)據(jù)存儲(chǔ)”這一行為是真實(shí)的，存儲(chǔ)開銷大的實(shí)際數(shù)據(jù)則是由

少部分存儲(chǔ)節(jié)點(diǎn)進(jìn)行鏈下存儲(chǔ)；當(dāng)用戶訪問數(shù)據(jù)時(shí)，基于鏈上數(shù)據(jù)檢索到所查詢

數(shù)據(jù)的存儲(chǔ)位置，之后再請(qǐng)求獲取真實(shí)數(shù)據(jù)；存儲(chǔ)節(jié)點(diǎn)收到用戶的數(shù)據(jù)訪問請(qǐng)求

后，在返回?cái)?shù)據(jù)的同時(shí)結(jié)合鏈上存儲(chǔ)的ADS來構(gòu)造所返回?cái)?shù)據(jù)的完整性證據(jù)，

確保用戶可以證明數(shù)據(jù)的真實(shí)性。清華大學(xué)ADS數(shù)據(jù)結(jié)構(gòu)在傳統(tǒng)可驗(yàn)證存儲(chǔ)場(chǎng)景中已經(jīng)

被大量研究，近幾年，針對(duì)“真實(shí)存儲(chǔ)”這一存儲(chǔ)模式，大量研究旨在提出能有效

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室和區(qū)塊鏈結(jié)合的新的ADS結(jié)構(gòu)，在豐富查詢與驗(yàn)證接口的同時(shí)提高查詢效率。

圖5真實(shí)計(jì)算流程框架

3.真實(shí)計(jì)算技術(shù)的現(xiàn)狀

如圖6所示，目前真實(shí)計(jì)算主流技術(shù)包括三種[13]：安全多方計(jì)算、聯(lián)邦學(xué)

習(xí)、可信執(zhí)行環(huán)境。三種技術(shù)各有優(yōu)劣，多種技術(shù)結(jié)合應(yīng)用為行業(yè)共識(shí)，但仍然

需要提升安全性、性能和通用性。

1）安全多方計(jì)算

在分布式網(wǎng)絡(luò)中，多個(gè)參與實(shí)體在保密輸入數(shù)據(jù)所有權(quán)的前提下，共同完成

函數(shù)計(jì)算，并且各方除了計(jì)算結(jié)果之外，不能得到其他參與者的輸入信息。它的

優(yōu)點(diǎn)是高安全性和高管控能力，但它的缺點(diǎn)在于性能方面存在局限。目前主要用

于相對(duì)簡單的運(yùn)算邏輯，如數(shù)據(jù)安全查詢、聯(lián)合數(shù)據(jù)分析等。比較具有代表性的

平臺(tái)有華控清交PrivPy多方計(jì)算平臺(tái)[14]、螞蟻鏈摩斯安全計(jì)算平臺(tái)[15]等。

2）聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)的本質(zhì)是多方協(xié)同的加密機(jī)器學(xué)習(xí)技術(shù)，在原始數(shù)據(jù)不對(duì)外輸出的

前提下，中心方通過聯(lián)合各方數(shù)據(jù)建模。它的優(yōu)點(diǎn)是容易開發(fā)、算力成本低，但

10

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

缺點(diǎn)是安全性在三種技術(shù)中處于末位。主要適用于數(shù)據(jù)挖掘、大數(shù)據(jù)建模與預(yù)測(cè)

分析類的復(fù)雜迭代計(jì)算場(chǎng)景。代表性平臺(tái)包括微眾銀行FATE聯(lián)邦數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)

[16]、平安科技蜂巢聯(lián)邦智能平臺(tái)、騰訊云AngelPowerFL平臺(tái)[17]等。

3）可信執(zhí)行環(huán)境

在硬件或軟件環(huán)境中構(gòu)建一個(gè)安全的硬件區(qū)域，各方數(shù)據(jù)統(tǒng)一匯聚到該區(qū)域清華大學(xué)

內(nèi)進(jìn)行計(jì)算，目前主要實(shí)現(xiàn)路徑是硬件。它的優(yōu)點(diǎn)是安全性強(qiáng)、性能高、通用性

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室強(qiáng)。但成本高，理論上存在測(cè)信道攻擊的可能性?？捎糜谟?jì)算邏輯復(fù)雜、數(shù)據(jù)量

大、傳輸和加解密成本較高、性能要求較高的場(chǎng)景。代表性平臺(tái)有百度MesaTEE

安全計(jì)算平臺(tái)[18]、華為云TICS平臺(tái)[19]、螞蟻HyperEndave[20]等。

圖6真實(shí)計(jì)算技術(shù)總結(jié)3

此外，差分隱私、同態(tài)加密、可信計(jì)算和全?？尚诺燃夹g(shù)也被用于保護(hù)計(jì)算

安全。最近，螞蟻科技集團(tuán)在現(xiàn)有真實(shí)計(jì)算技術(shù)的基礎(chǔ)上，結(jié)合可信執(zhí)行環(huán)境和

密碼協(xié)議，同時(shí)從安全性、性能、成本、適用性和可靠性五個(gè)方面綜合考慮，提

出可信密態(tài)計(jì)算（Trusted-Environment-basedCryptographicComputing,TECC）[21]。

4.分布式數(shù)字身份的現(xiàn)狀

2017年（SBIRII期間），Evernym基于美國國家標(biāo)準(zhǔn)技術(shù)研究院特別出版物

800-130（“加密密鑰管理設(shè)計(jì)框架”）[24]，設(shè)計(jì)了基于區(qū)塊鏈技術(shù)的分布式密鑰管

3中國信通院等：《隱私保護(hù)計(jì)算技術(shù)研究報(bào)告》

11

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

理系統(tǒng)（DKMS）[25]，打開了“一種基于區(qū)塊鏈的更好、更安全的保護(hù)網(wǎng)絡(luò)用戶

身份和隱私的方法”——分布式身份研究的大門。

當(dāng)前，分布式身份研究已從三四年前的單一項(xiàng)目、單一技術(shù)研究進(jìn)入到超大

型技術(shù)公司為主導(dǎo)的標(biāo)準(zhǔn)化研究進(jìn)程。2018年，微軟與ID2020聯(lián)合開發(fā)分布式

數(shù)字身份認(rèn)證網(wǎng)絡(luò)[26]，幫助個(gè)人和難民獲得基本服務(wù)，在新居住地上獲得醫(yī)療保清華大學(xué)

健和教育服務(wù)，和獲得數(shù)字化出生證明和教育證書；同年，微軟與萬事達(dá)合作推

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室動(dòng)數(shù)字身份的合作計(jì)劃，解決難民身份歸屬的問題，確保這些用戶可以獲取正常

的金融、社會(huì)服務(wù)，以及反洗錢。IBM作為數(shù)字身份領(lǐng)域的引領(lǐng)者和踐行者，近

年布局多個(gè)與分布式數(shù)字身份相關(guān)的創(chuàng)業(yè)公司、項(xiàng)目、及聯(lián)盟組織。其中包括，

IBM與HyperLedger共同發(fā)起的Indy[27]開源項(xiàng)目，面向各方提供推廣與合作。

IBM與創(chuàng)業(yè)公司SecureKey，以及加拿大數(shù)字身份生態(tài)系統(tǒng)成員（包括主要銀行、

電信公司和政府機(jī)構(gòu)）共同搭建區(qū)塊鏈身份驗(yàn)證網(wǎng)絡(luò)[28]，解決圍繞身份問題的挑

戰(zhàn)，加拿大各大主要銀行都加入了該數(shù)字身份生態(tài)系統(tǒng)。Visa也于2019年第一

季度與IBM聯(lián)手推出基于區(qū)塊鏈的數(shù)字身份識(shí)別系統(tǒng)[29]。

值得一提的是，2020年新冠病毒疫情引發(fā)的“covid19憑證創(chuàng)新項(xiàng)目”[30]是基

于DID自主權(quán)身份和可驗(yàn)證憑證的、以個(gè)人為中心的各類基礎(chǔ)服務(wù)項(xiàng)目的合集，

目前實(shí)施中的項(xiàng)目涉及全球60多個(gè)組織，200多項(xiàng)[31][32]。

5.開放區(qū)塊鏈應(yīng)用

隨著區(qū)塊鏈技術(shù)的不斷發(fā)展，越來越多的企業(yè)開始加大對(duì)區(qū)塊鏈技術(shù)的投入，

并紛紛推出各自的區(qū)塊鏈即服務(wù)（Blockchainasaservice,BAAS）平臺(tái)，微軟的

AzureBlockchain[33]就是其中的典型代表。微軟推出的區(qū)塊鏈即服務(wù)平臺(tái)Azure

Blockchain內(nèi)置區(qū)塊鏈管理功能，力求為企業(yè)的不同需求提供實(shí)時(shí)的解決方案。

該平臺(tái)支撐多種區(qū)塊鏈網(wǎng)絡(luò)，提供工具和命令行界面幫助用戶輕松地構(gòu)建區(qū)塊鏈

應(yīng)用程序，并確保所部署區(qū)塊鏈節(jié)點(diǎn)的安全性。其具體包括以下特性：支持多種

區(qū)塊鏈網(wǎng)絡(luò)，例如Quorum、Ethereum、Corda、Hyperledger；無需管理，平臺(tái)會(huì)

完成區(qū)塊鏈網(wǎng)絡(luò)的管理工作；簡易部署，通過平臺(tái)提供的工具以及命令行界面輕

松部署區(qū)塊鏈應(yīng)用；輕松維護(hù)，平臺(tái)會(huì)自動(dòng)對(duì)節(jié)點(diǎn)的版本進(jìn)行更新，無需用戶耗

時(shí)維護(hù)；安全，所有節(jié)點(diǎn)都由防火墻保護(hù)，節(jié)點(diǎn)間通過TLS交互，用戶可添加認(rèn)

證模塊、防火墻規(guī)則以及訪問密鑰。

12

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

2.3.2互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究現(xiàn)狀

現(xiàn)階段網(wǎng)絡(luò)安全問題產(chǎn)生的根源在于互聯(lián)網(wǎng)現(xiàn)有體系結(jié)構(gòu)面向性能的設(shè)計(jì)

導(dǎo)致網(wǎng)絡(luò)空間與用戶空間缺乏信任機(jī)制，本部分將分別介紹互聯(lián)網(wǎng)協(xié)議棧的安全

現(xiàn)狀與基于區(qū)塊鏈的去中心化網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

1.互聯(lián)網(wǎng)協(xié)議?，F(xiàn)狀清華大學(xué)

TCP/IP作為當(dāng)前網(wǎng)絡(luò)安全體系架構(gòu)所采用的主要通信協(xié)議模型，是實(shí)現(xiàn)網(wǎng)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室絡(luò)數(shù)據(jù)安全通信的重要手段。據(jù)不完全統(tǒng)計(jì)，目前互聯(lián)網(wǎng)中已有超過80億臺(tái)設(shè)

備通過借助TCP/IP模型來實(shí)現(xiàn)設(shè)備間的通信。TCP/IP安全模型通常包括了四層

結(jié)構(gòu)：鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層,其中每一層都部署著若干協(xié)議并負(fù)責(zé)特

定功能，最終層層關(guān)聯(lián)且相互配合，以此實(shí)現(xiàn)異構(gòu)環(huán)境下網(wǎng)絡(luò)互聯(lián)。然而,當(dāng)前網(wǎng)

絡(luò)空間安全體系主要采用的是集中式的中心化體系架構(gòu)，即在通信協(xié)議模型

TCP/IP中，大多數(shù)網(wǎng)絡(luò)通信協(xié)議的實(shí)施都需要基于可信的第三方網(wǎng)絡(luò)安全基礎(chǔ)

設(shè)施來支撐，這使得網(wǎng)絡(luò)安全體系架構(gòu)可能面臨著單點(diǎn)故障、隱私泄露等安全問

題，一旦第三方網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施發(fā)生故障或遭受惡意攻擊，整個(gè)網(wǎng)絡(luò)體系系統(tǒng)

將會(huì)直接崩潰。公鑰基礎(chǔ)設(shè)施(PKI)作為重要的第三方網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，能夠

為網(wǎng)絡(luò)通信提供加密、完整性驗(yàn)證及真實(shí)性鑒別等安全可靠的保障，是目前網(wǎng)絡(luò)

安全體系架構(gòu)中不可缺少的重要基礎(chǔ)設(shè)施。然而現(xiàn)有的公鑰基礎(chǔ)設(shè)施(PKI)也采

用的是中心化體系架構(gòu)，同樣存在著上述安全隱患。

2.去中心化的網(wǎng)絡(luò)基礎(chǔ)設(shè)施

去中心化的基礎(chǔ)設(shè)施主要目的是解決傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施所存在的單點(diǎn)信任

問題，例如DNS（DomainNameSystem）、RPKI等。

域名幣（Namecoin）[34]是針對(duì)傳統(tǒng)域名系統(tǒng)單點(diǎn)信任問題的一種去中心化的

域名系統(tǒng)解決方案，該方案于2011年被提出，是最早的解決方案。通過Namecoin，

用戶可以自動(dòng)申請(qǐng)所需要的名字并隨時(shí)更新該名字的綁定值，從而實(shí)現(xiàn)安全有效

的域名管理。基于該平臺(tái)，用戶主要可以完成新名字創(chuàng)建、新名字初始化、名字

更新三種操作，所有的操作均以交易的形式發(fā)布。IKP[35]是在2017年網(wǎng)絡(luò)安全

四大頂會(huì)之一的IEEESymposiumonSecurityandPrivacy上由Kubilay等人所提

出的一套CA監(jiān)督方案，主要是針對(duì)公鑰基礎(chǔ)設(shè)施PKI中證書權(quán)威機(jī)構(gòu)CA的單

點(diǎn)信任問題。在該平臺(tái)中，用戶可以向CA購買“保險(xiǎn)”，當(dāng)惡意證書被檢舉時(shí)，

13

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

平臺(tái)會(huì)扣除CA的保證金用來賠償用戶并獎(jiǎng)勵(lì)檢舉者，從而監(jiān)督CA的同時(shí)并吸

引各方參與惡意證書檢舉。針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的單點(diǎn)信任問題，華為技術(shù)有限公

司則進(jìn)行了系統(tǒng)性考慮，提出了去中心化的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施（Decentralized

InternetInfrastructure，DII）[36]，該平臺(tái)通過區(qū)塊鏈記錄IP地址、AS號(hào)等數(shù)字資

源的歸屬權(quán)以及域名等名字信息的映射信息，并在此基礎(chǔ)上實(shí)現(xiàn)各種網(wǎng)絡(luò)安全應(yīng)清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室用。

2.4面臨的挑戰(zhàn)

正所謂“寶劍鋒從磨礪出，梅花香自苦寒來”，成功的路上不可避免地布滿荊

棘?；ヂ?lián)網(wǎng)體系結(jié)構(gòu)的發(fā)展也是如此，除區(qū)塊鏈應(yīng)用發(fā)展本身面臨的諸多挑戰(zhàn)外

[37],實(shí)現(xiàn)基于分布式信任基礎(chǔ)設(shè)施的真實(shí)可信互聯(lián)網(wǎng)體系結(jié)構(gòu)仍面臨諸多挑戰(zhàn)。

2.4.1穩(wěn)定性問題

分布式信任基礎(chǔ)設(shè)施其本身也是一個(gè)分布式系統(tǒng)，其中各組件依靠網(wǎng)絡(luò)互相

通信實(shí)現(xiàn)分布式共識(shí)，并支撐著設(shè)施的穩(wěn)定運(yùn)行。因此，分布式信任基礎(chǔ)設(shè)施在

為分布式網(wǎng)絡(luò)服務(wù)提供信任基礎(chǔ)的同時(shí)也可能遭受各類網(wǎng)絡(luò)攻擊，例如DDoS攻

擊、TCP側(cè)信道攻擊[38]、日蝕攻擊[39]、BGP劫持攻擊[40]等，一旦這些攻擊造成

的共識(shí)節(jié)點(diǎn)間故障通信鏈路超過共識(shí)容忍的上限，將造成對(duì)分布式信任基礎(chǔ)設(shè)施

的拒絕服務(wù)攻擊。因此，在考慮共識(shí)高效性的同時(shí)，需要設(shè)計(jì)一個(gè)穩(wěn)定的拜占庭

容錯(cuò)共識(shí)，提升分布式基礎(chǔ)設(shè)施的鏈路容錯(cuò)能力，確保其穩(wěn)定運(yùn)行盡可能少依賴

于底層網(wǎng)絡(luò)的連通性，從而在面臨網(wǎng)絡(luò)攻擊時(shí)依然能夠有效提供服務(wù)；此外，在

設(shè)計(jì)新共識(shí)時(shí)，如何證明其安全穩(wěn)定性也是一個(gè)挑戰(zhàn)。

2.4.2安全隱私問題

安全性問題主要體現(xiàn)在新型互聯(lián)網(wǎng)協(xié)議的設(shè)計(jì)方面，其安全性關(guān)系著分布式

信任基礎(chǔ)設(shè)施所支撐的網(wǎng)絡(luò)服務(wù)的安全性。當(dāng)前網(wǎng)絡(luò)空間安全體系主要采用的是

集中式的中心化體系架構(gòu)，即在通信協(xié)議模型TCP/IP中，大多數(shù)網(wǎng)絡(luò)通信協(xié)議

的實(shí)施都需要基于可信的第三方網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施來支撐，這使得網(wǎng)絡(luò)安全體系

架構(gòu)可能面臨著單點(diǎn)故障、隱私泄露等安全問題，一旦第三方網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

發(fā)生故障或遭受惡意攻擊，整個(gè)網(wǎng)絡(luò)體系系統(tǒng)將會(huì)直接崩潰。此外，目前網(wǎng)絡(luò)安

14

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

全體系架構(gòu)面臨著嚴(yán)重的信任缺失問題。究其原因，在于現(xiàn)有網(wǎng)絡(luò)安全體系架構(gòu)

所部署的通信協(xié)議,即互聯(lián)網(wǎng)協(xié)議棧的原先設(shè)計(jì)更多地關(guān)注于網(wǎng)絡(luò)通信架構(gòu)的可

靠性及網(wǎng)絡(luò)數(shù)據(jù)的傳輸效率，而未詳細(xì)考慮到網(wǎng)絡(luò)通信的安全性問題。在面對(duì)如

今多樣復(fù)雜的網(wǎng)絡(luò)惡意攻擊手段時(shí)，基于TCP/IP模型的互聯(lián)網(wǎng)協(xié)議棧早已無法

滿足網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施對(duì)于當(dāng)前復(fù)雜通信環(huán)境的安全需求。在清華大學(xué)TCP/IP模型中，

通信節(jié)點(diǎn)需要借助互聯(lián)網(wǎng)通信協(xié)議，如TCP、RPKI、BGP等來以點(diǎn)對(duì)點(diǎn)或端對(duì)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室端的傳輸方式實(shí)現(xiàn)數(shù)據(jù)傳輸。在此過程中，整個(gè)網(wǎng)絡(luò)通信需要依靠雙方自覺遵守

協(xié)議規(guī)則來實(shí)現(xiàn)數(shù)據(jù)的可信傳輸，然而一旦任何通信一方存在作惡行為，整個(gè)網(wǎng)

絡(luò)系統(tǒng)都將面臨著巨大的信任缺失及網(wǎng)絡(luò)欺騙威脅。第三方中介機(jī)構(gòu)的引入雖然

可以在一定程度能提高網(wǎng)絡(luò)通信的可信度，但這要求第三方中介機(jī)構(gòu)具備絕對(duì)可

信的信任資質(zhì)且同時(shí)還需承擔(dān)巨大的管理開銷，一旦第三方中介機(jī)構(gòu)出現(xiàn)作惡行

為，整個(gè)網(wǎng)絡(luò)系統(tǒng)同樣將面臨上述的安全隱患。

基于分布式共識(shí)能夠優(yōu)先解決單點(diǎn)問題，并為網(wǎng)絡(luò)中各組件的協(xié)作提供信任，

但分布式共識(shí)由眾多共識(shí)節(jié)點(diǎn)共同協(xié)作完成，每個(gè)節(jié)點(diǎn)上都存有一份完整的共識(shí)

數(shù)據(jù)，從而也不可避免的帶來隱私問題。而在基于共識(shí)構(gòu)建分布式信任基礎(chǔ)設(shè)施

的過程中，隱私問題將嚴(yán)重影響參與者的積極性，因此設(shè)計(jì)分布式信任基礎(chǔ)設(shè)施

時(shí)，需要同時(shí)兼顧安全與隱私。

2.4.3可擴(kuò)展性問題

可擴(kuò)展性問題主要體現(xiàn)在分布式共識(shí)、存儲(chǔ)和計(jì)算三個(gè)方面。

共識(shí)機(jī)制是是整個(gè)分布式信任基礎(chǔ)設(shè)施的根本，其本身的可擴(kuò)展性嚴(yán)重限制

了分布式信任基礎(chǔ)設(shè)施的發(fā)展，而大規(guī)模網(wǎng)絡(luò)環(huán)境下的各種網(wǎng)絡(luò)應(yīng)用對(duì)共識(shí)機(jī)制

的吞吐和實(shí)時(shí)性要求較高，這對(duì)共識(shí)算法的效率提出了巨大挑戰(zhàn)。

在存儲(chǔ)方面，大規(guī)模的網(wǎng)絡(luò)環(huán)境中，上層應(yīng)用產(chǎn)生的數(shù)據(jù)，比如AS對(duì)應(yīng)的

IP前綴、不同終端設(shè)備的源地址、網(wǎng)絡(luò)流量信息等，其數(shù)據(jù)量是巨大的。而區(qū)塊

鏈的數(shù)據(jù)存儲(chǔ)依賴于節(jié)點(diǎn)本身的存儲(chǔ)能力，面對(duì)巨大的數(shù)據(jù)存儲(chǔ)需求，區(qū)塊鏈自

身存儲(chǔ)能力是不足的。此外，大規(guī)模的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量眾多、網(wǎng)絡(luò)通

信頻繁，導(dǎo)致交易檢索和驗(yàn)證頻繁網(wǎng)絡(luò)活動(dòng)的頻繁，而且網(wǎng)絡(luò)服務(wù)對(duì)數(shù)據(jù)檢索和

交易驗(yàn)證的實(shí)時(shí)性要求也相對(duì)較高。

15

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

在計(jì)算方面，大規(guī)模的網(wǎng)絡(luò)環(huán)境中計(jì)算任務(wù)是復(fù)雜的，很多計(jì)算任務(wù)都是大

數(shù)據(jù)驅(qū)動(dòng)的，產(chǎn)生了計(jì)算任務(wù)多以及計(jì)算任務(wù)重的問題。區(qū)塊鏈的計(jì)算是在智能

合約中完成的，而智能合約運(yùn)行在虛擬機(jī)中，其計(jì)算能力是有限的，進(jìn)而導(dǎo)致了

區(qū)塊鏈的計(jì)算能力是有限的，所以僅僅依靠區(qū)塊鏈無法完成網(wǎng)絡(luò)服務(wù)計(jì)算。因此

需要建立更高效更靈活的計(jì)算模式。清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室3.基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)，指的是以區(qū)塊鏈分布式

共識(shí)為基礎(chǔ)，構(gòu)建真實(shí)存儲(chǔ)、真實(shí)計(jì)算與分布式數(shù)字身份基礎(chǔ)設(shè)施，向網(wǎng)絡(luò)上層

提供存儲(chǔ)、計(jì)算與身份三方面的信任基礎(chǔ)，打造共識(shí)化新型互聯(lián)網(wǎng)協(xié)議棧。

圖7基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)

如圖7所示，實(shí)現(xiàn)基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)是一個(gè)

自底向上的過程，主要包括三個(gè)層次。首先，第一層次是實(shí)現(xiàn)分布式共識(shí)基礎(chǔ)設(shè)

施，主要實(shí)現(xiàn)分布式信任，這里的單位節(jié)點(diǎn)可以是路由器，也可以是服務(wù)器，單

位節(jié)點(diǎn)之間通過共識(shí)算法維護(hù)一致的賬本。隨后，第二層次是在第一層次構(gòu)建的

分布式信任基礎(chǔ)之上搭建的真實(shí)存儲(chǔ)、真實(shí)計(jì)算、分布式數(shù)字身份基礎(chǔ)設(shè)施，利

用鏈上鏈下協(xié)同存儲(chǔ)、鏈上鏈下協(xié)同計(jì)算，以及零知識(shí)證明、同態(tài)加密、多方安

16

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

全計(jì)算等技術(shù)實(shí)現(xiàn)存儲(chǔ)接口、計(jì)算接口以及分布式身份接口，接口提供的存儲(chǔ)服

務(wù)、計(jì)算服務(wù)以及分布式身份具有原生的安全性保證。最后，第三層次是基于第

二層次所提供的存儲(chǔ)接口、計(jì)算接口和身份接口構(gòu)建具有分布式信任的互聯(lián)網(wǎng)協(xié)

議棧，進(jìn)而搭建安全可信互聯(lián)網(wǎng)體系結(jié)構(gòu)，實(shí)現(xiàn)開放網(wǎng)絡(luò)環(huán)境下的信任建立與高

效傳遞。清華大學(xué)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室3.1分布式共識(shí)基礎(chǔ)設(shè)施

隨著萬物互聯(lián)時(shí)代的到來，網(wǎng)絡(luò)的復(fù)雜度將持續(xù)擴(kuò)大，各類網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)

攻擊層出不窮，而基于區(qū)塊鏈技術(shù)構(gòu)建新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)無疑對(duì)底層共識(shí)機(jī)

制的安全性、性能提出巨大挑戰(zhàn)。同時(shí)，由于不同網(wǎng)絡(luò)應(yīng)用對(duì)安全性、效率等要

求不同，如何實(shí)現(xiàn)可根據(jù)實(shí)際部署環(huán)境靈活定制的共識(shí)機(jī)制成為研究的重點(diǎn)。分

布式共識(shí)基礎(chǔ)設(shè)施旨在突破高效、靈活的分布式共識(shí)技術(shù)，解決互聯(lián)網(wǎng)應(yīng)用層出

不窮和共識(shí)技術(shù)安全、性能不足之間的矛盾，為構(gòu)建真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施、真實(shí)計(jì)

算基礎(chǔ)設(shè)施、分布式數(shù)字身份基礎(chǔ)設(shè)施提供信任支撐。

分布式共識(shí)基礎(chǔ)設(shè)施希望解決現(xiàn)有共識(shí)設(shè)施普遍存在的安全與效率問題，一

方面，目前區(qū)塊鏈的共識(shí)機(jī)制發(fā)展相對(duì)不成熟，其安全性是否足以支撐安全可信

網(wǎng)絡(luò)體系結(jié)構(gòu)并沒有很好的理論支撐；另一方面，面對(duì)網(wǎng)絡(luò)用戶的持續(xù)增長以及

網(wǎng)絡(luò)應(yīng)用的復(fù)雜多樣性化，共識(shí)機(jī)制是否足以支撐靈活多樣的網(wǎng)絡(luò)應(yīng)用服務(wù)、滿

足持續(xù)增長的用戶需求，依然有待研究。為有效構(gòu)建新一代網(wǎng)絡(luò)體系結(jié)構(gòu)，并支

撐大規(guī)模開放網(wǎng)絡(luò)環(huán)境中的不同應(yīng)用需求，分布式共識(shí)基礎(chǔ)設(shè)施針對(duì)抗網(wǎng)絡(luò)攻擊

和高性能共識(shí)，分別設(shè)計(jì)抗網(wǎng)絡(luò)攻擊的穩(wěn)定拜占庭容錯(cuò)共識(shí)和高性能共識(shí)算法。

抗網(wǎng)絡(luò)攻擊的穩(wěn)定拜占庭容錯(cuò)共識(shí)主要針對(duì)網(wǎng)絡(luò)鏈路不穩(wěn)定和存在網(wǎng)絡(luò)攻擊的

場(chǎng)景，在存在鏈路錯(cuò)誤和網(wǎng)絡(luò)攻擊的環(huán)境下實(shí)現(xiàn)穩(wěn)定的拜占庭容錯(cuò)共識(shí)。高性能

分片共識(shí)主要針對(duì)當(dāng)前共識(shí)算法存在的效率問題，并期望不進(jìn)行任何安全性妥協(xié)。

3.2真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施

隨著數(shù)字時(shí)代的到來，互聯(lián)網(wǎng)上產(chǎn)生的數(shù)據(jù)呈現(xiàn)幾何式爆炸增長，數(shù)據(jù)的來

源和形式千差萬別，如何在海量的數(shù)據(jù)中分辨和驗(yàn)證其真實(shí)性成為擺在人們面前

的一個(gè)難題；同時(shí)，由于大部分真實(shí)存儲(chǔ)算法本身的局限性，如何在保證真實(shí)的

情況下進(jìn)一步適應(yīng)大規(guī)模的特點(diǎn)，從而解決信息時(shí)代海量數(shù)據(jù)的真實(shí)存儲(chǔ)問題是

17

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

未來一個(gè)重要的研究方向。真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施旨在突破分布式存儲(chǔ)的真實(shí)性驗(yàn)證

和保障技術(shù)，解決來源真實(shí)性、存儲(chǔ)容量與實(shí)際存儲(chǔ)需求之間的矛盾，為構(gòu)建安

全可信互聯(lián)網(wǎng)協(xié)議棧提供可信存儲(chǔ)支撐。

具體來說，針對(duì)互聯(lián)網(wǎng)環(huán)境中上層應(yīng)用產(chǎn)生的海量數(shù)據(jù)，比如AS對(duì)應(yīng)的IP

前綴、不同終端設(shè)備的源地址、網(wǎng)絡(luò)流量信息等，其數(shù)據(jù)量是巨大的，區(qū)塊鏈要清華大學(xué)

求全節(jié)點(diǎn)存儲(chǔ)所有數(shù)據(jù)信息的存儲(chǔ)模式難以實(shí)現(xiàn)。真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施對(duì)區(qū)塊鏈存

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室儲(chǔ)模式進(jìn)行改造，以ADS形式來存儲(chǔ)數(shù)據(jù)哈希、索引等存儲(chǔ)開銷小的信息，實(shí)

現(xiàn)數(shù)據(jù)的可尋址與可驗(yàn)證等，確保數(shù)據(jù)存儲(chǔ)這一行為是真實(shí)的，存儲(chǔ)開銷大的實(shí)

際數(shù)據(jù)則是由少部分存儲(chǔ)節(jié)點(diǎn)進(jìn)行鏈下存儲(chǔ)；當(dāng)用戶訪問數(shù)據(jù)時(shí)，基于鏈上數(shù)據(jù)

檢索到所查詢數(shù)據(jù)的存儲(chǔ)位置，之后再請(qǐng)求獲取真實(shí)數(shù)據(jù)；存儲(chǔ)節(jié)點(diǎn)收到用戶的

數(shù)據(jù)訪問請(qǐng)求后，在返回?cái)?shù)據(jù)的同時(shí)結(jié)合鏈上存儲(chǔ)的ADS來構(gòu)造所返回?cái)?shù)據(jù)的

完整性證據(jù)，確保用戶可以證明數(shù)據(jù)的真實(shí)性。

3.3真實(shí)計(jì)算基礎(chǔ)設(shè)施

p網(wǎng)絡(luò)等新興技術(shù)應(yīng)用的日?；?，以往基于單點(diǎn)背

書式信任的計(jì)算方法已經(jīng)不能適應(yīng)人們的日常需求。細(xì)粒度的計(jì)算帶來的是參與

者增多、信任風(fēng)險(xiǎn)升級(jí)的困境。一旦某一參與者發(fā)生問題，帶來的是整個(gè)計(jì)算的

不可信問題，進(jìn)而可能造成更嚴(yán)重的損失。因此，確?；ヂ?lián)網(wǎng)協(xié)議運(yùn)行過程的真

實(shí)可信、檢測(cè)甚至避免信任風(fēng)險(xiǎn)的發(fā)生是值得探索的。真實(shí)計(jì)算基礎(chǔ)設(shè)施旨在突

破分布式協(xié)同計(jì)算中的真實(shí)性驗(yàn)證和保障技術(shù)，解決單點(diǎn)基礎(chǔ)設(shè)施不可信與實(shí)

際計(jì)算真實(shí)性之間的矛盾，為構(gòu)建安全可信互聯(lián)網(wǎng)協(xié)議棧提供可信計(jì)算支撐。

真實(shí)計(jì)算基礎(chǔ)設(shè)施是在真實(shí)存儲(chǔ)基礎(chǔ)設(shè)施的基礎(chǔ)之上，引入智能合約，確保

計(jì)算流程的公開、透明、可驗(yàn)證，以及計(jì)算結(jié)果的真實(shí)、可信、不可篡改。其中，

計(jì)算邏輯被編碼進(jìn)智能合約中并部署在區(qū)塊鏈上，用戶可以通過發(fā)布交易來觸發(fā)

智能合約的執(zhí)行，調(diào)用智能合約的交易以及智能合約的執(zhí)行結(jié)果都存儲(chǔ)在區(qū)塊鏈

上。傳統(tǒng)區(qū)塊鏈系統(tǒng)中，所有節(jié)點(diǎn)都會(huì)通過智能合約完成計(jì)算任務(wù)，從而對(duì)計(jì)算

結(jié)果進(jìn)行驗(yàn)證。而在面對(duì)大規(guī)模的計(jì)算任務(wù)時(shí)，傳統(tǒng)的所有節(jié)點(diǎn)都完成同一計(jì)算

任務(wù)帶來的開銷是不能容忍的，真實(shí)存儲(chǔ)旨在設(shè)計(jì)更高效更靈活的計(jì)算模式，并

在此基礎(chǔ)上實(shí)現(xiàn)整體計(jì)算的可信。

18

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

3.4分布式數(shù)字身份基礎(chǔ)設(shè)施

當(dāng)前，全球身份標(biāo)識(shí)符中的絕大多數(shù)由中心化權(quán)威機(jī)構(gòu)發(fā)布，這些權(quán)威機(jī)構(gòu)

決定標(biāo)識(shí)符所指的對(duì)象，并有權(quán)決定是否以及何時(shí)撤銷。這些標(biāo)識(shí)符的適用范圍

有限，并可能隨著組織的消失而消失。在沒有足夠安全保證的情況下，它們可以

被惡意第三方以欺詐方式復(fù)制和斷言，這種清華大學(xué)“身份盜竊”不僅存在于個(gè)人、企業(yè)，

也存在于機(jī)器等物聯(lián)網(wǎng)設(shè)備。分布式數(shù)字身份旨在使個(gè)人和組織能夠使用其信任

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室的系統(tǒng)生成身份標(biāo)識(shí)符，通過使用數(shù)字簽名等加密證明方式為身份驗(yàn)證提供他

們對(duì)所聲稱持有的標(biāo)識(shí)符的控制證明，為構(gòu)建安全可信互聯(lián)網(wǎng)協(xié)議棧提供可信

身份支撐。

由于幾乎所有類型的標(biāo)識(shí)符系統(tǒng)都可以添加對(duì)分布式身份標(biāo)識(shí)符的支持，這

為中心化身份系統(tǒng)、聯(lián)盟身份系統(tǒng)和分布式身份系統(tǒng)之間建立了互操作的橋梁，

實(shí)施者能夠基于他們信任的計(jì)算基礎(chǔ)設(shè)施設(shè)計(jì)特定類型的分布式數(shù)字身份，解決

各類實(shí)體之間的機(jī)器層信任，此外，分布式數(shù)字身份技術(shù)通過引入可驗(yàn)證憑證，

能夠進(jìn)一步實(shí)現(xiàn)標(biāo)識(shí)實(shí)體的屬性驗(yàn)證。

基于標(biāo)識(shí)符和密鑰的機(jī)器信任可以克服網(wǎng)絡(luò)實(shí)體不相鄰問題所帶來的身份

識(shí)別挑戰(zhàn)，為網(wǎng)絡(luò)提供自主權(quán)和靈活性的同時(shí)保護(hù)隱私性和匿名性，同時(shí)為基于

憑證的屬性驗(yàn)證提供重要保證。構(gòu)建在分布式身份標(biāo)識(shí)符之上的每個(gè)憑證交換系

統(tǒng)都代表特定于上下文創(chuàng)建的具體身份系統(tǒng)，且各身份系統(tǒng)之間支持互操作。

分布式數(shù)字身份基礎(chǔ)設(shè)施應(yīng)包括開放的分布式數(shù)字身份連接協(xié)議、開放的可

驗(yàn)證憑證協(xié)議、基于區(qū)塊鏈的提供存儲(chǔ)和檢索支持的身份所有者公鑰信息注冊(cè)表

三個(gè)核心組件，他們既相互獨(dú)立又相互聯(lián)系，支持在此之上的應(yīng)用層中的交互。

3.5打造安全可信互聯(lián)網(wǎng)協(xié)議棧

由于互聯(lián)網(wǎng)架構(gòu)的早期設(shè)計(jì)并沒有詳細(xì)考慮安全問題，致使互聯(lián)網(wǎng)體系結(jié)

構(gòu)信任面的確實(shí)，間接導(dǎo)致現(xiàn)階段網(wǎng)絡(luò)攻擊頻繁發(fā)生。隨著未來物聯(lián)網(wǎng)、元宇

宙等應(yīng)用比例的不斷增長，更多細(xì)粒度的安全和信任需求對(duì)網(wǎng)絡(luò)架構(gòu)提出了新

的要求，原有的網(wǎng)絡(luò)體系結(jié)構(gòu)難以為新應(yīng)用發(fā)展提供舒適土壤。安全可信互聯(lián)

網(wǎng)協(xié)議棧旨在突破真實(shí)可信互聯(lián)關(guān)鍵技術(shù)，解決互聯(lián)網(wǎng)協(xié)同過程中信任面的缺

失與網(wǎng)絡(luò)應(yīng)用服務(wù)真實(shí)可信需求之間的矛盾。

19

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

具體來說，將基于真實(shí)存儲(chǔ)、真實(shí)計(jì)算和真實(shí)身份基礎(chǔ)設(shè)施打造安全可信

互聯(lián)網(wǎng)協(xié)議棧，支撐網(wǎng)絡(luò)安全應(yīng)用的搭建。傳統(tǒng)互聯(lián)網(wǎng)協(xié)議棧基于點(diǎn)對(duì)點(diǎn)或端

對(duì)端的交互式通信模式來實(shí)現(xiàn)，如TCP協(xié)議“三次握手”、RPKI“證書分配”、

BGP“路由轉(zhuǎn)發(fā)”等，這種模式雖然能夠?qū)崿F(xiàn)較高的網(wǎng)絡(luò)數(shù)據(jù)傳輸效率，但會(huì)存

在管理中心化、信任缺失、監(jiān)管不足等安全問題。域間分布式共識(shí)基礎(chǔ)設(shè)施則清華大學(xué)

是采用“共識(shí)化”通信模式，在通信過程中利用網(wǎng)絡(luò)節(jié)點(diǎn)來參與或驗(yàn)證協(xié)議的執(zhí)

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室行，從而為通信雙方在非可信網(wǎng)絡(luò)環(huán)境下建立牢固的信任關(guān)系，且無需第三方

信任背書即可實(shí)現(xiàn)安全性更高的網(wǎng)絡(luò)通信。同時(shí)，共識(shí)、存儲(chǔ)、執(zhí)行在穩(wěn)定

性、可擴(kuò)展性等方面的設(shè)計(jì)和優(yōu)化也將提高域間分布式共識(shí)基礎(chǔ)設(shè)施在共識(shí)、

存儲(chǔ)及驗(yàn)證等方面的安全與效率，使得通信雙方在原有的通信效率基礎(chǔ)上獲得

更高的安全保障。

4.應(yīng)用案例

為了進(jìn)一步闡明分布式信任基礎(chǔ)設(shè)施的應(yīng)用場(chǎng)景，本白皮書以“層次化域間

源地址驗(yàn)證”和“輕量級(jí)轉(zhuǎn)發(fā)路徑驗(yàn)證”為例說明信任基礎(chǔ)對(duì)于提升互聯(lián)網(wǎng)體系結(jié)

構(gòu)安全性的價(jià)值與意義。

4.1案例1：層次化域間源地址驗(yàn)證

4.1.1場(chǎng)景描述

缺乏對(duì)源地址真實(shí)性的驗(yàn)證機(jī)制是當(dāng)前互聯(lián)網(wǎng)體系結(jié)構(gòu)存在的一個(gè)重大安

全設(shè)計(jì)缺陷。當(dāng)前互聯(lián)網(wǎng)面臨的主要安全威脅中，以偽造源地址為基礎(chǔ)的攻擊手

段（如身份哄騙、中間人攻擊、DDoS攻擊、路由劫持、DNS緩存投毒等）占據(jù)

了重要地位[41]，這使得網(wǎng)絡(luò)的安全可信面臨極大的挑戰(zhàn)，真實(shí)源地址驗(yàn)證成為亟

需突破的互聯(lián)網(wǎng)核心技術(shù)之一。

清華大學(xué)于2008年制定的RFC5210[42]中，將支持源地址驗(yàn)證的互聯(lián)網(wǎng)體

系結(jié)構(gòu)（SourceAddressValidationArchitecture，SAVA）劃分為了三個(gè)層次，分別

是接入網(wǎng)源地址驗(yàn)證層（簡稱接入層），關(guān)注設(shè)備入網(wǎng)時(shí)的源地址驗(yàn)證，保證主

機(jī)設(shè)備粒度的IP源地址真實(shí)性；自治域內(nèi)源地址驗(yàn)證層（簡稱域內(nèi)層），關(guān)注自

治域內(nèi)部的源地址驗(yàn)證，保證地址前綴粒度的IP源地址真實(shí)性；以及自治域間

20

基于分布式信任基礎(chǔ)設(shè)施的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)（2023年）

源地址驗(yàn)證層（簡稱域間層），關(guān)注自治域間的源地址驗(yàn)證，保證自治域粒度的

IP源地址真實(shí)性。接入層是地址粒度最細(xì)的層次，它保證了設(shè)備接口級(jí)別的安

全，具有最精確的源地址驗(yàn)證保護(hù)粒度；域內(nèi)層是中等地址粒度的層次，它保證

了自治域內(nèi)部的源地址的真實(shí)性，防止內(nèi)部子網(wǎng)設(shè)備偽造源地址，保證地址前綴

級(jí)別的安全，但是兩者都不能保證來自更大范圍的外部網(wǎng)絡(luò)地址的真實(shí)性。自治清華大學(xué)

域是由其隸屬的互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvider，ISP）進(jìn)行管理、

互聯(lián)網(wǎng)體系結(jié)構(gòu)與安全實(shí)驗(yàn)室運(yùn)營和維護(hù)的，因此自治域內(nèi)部即接入層和域內(nèi)層的源地址是相對(duì)容易管理和驗(yàn)

證的，但是域間層的源地址驗(yàn)證可能會(huì)涉及到不同ISP之間的相互信任與協(xié)作。

因此ISP需要使用具備較粗地址保護(hù)粒度的域間源地址驗(yàn)證，對(duì)隸屬于不同自治

域的IP地址進(jìn)行真實(shí)性校驗(yàn)[43]。

4.1.2核心方法

層次化域間源地址驗(yàn)證方案，使用去中心化的基礎(chǔ)設(shè)施來防止單點(diǎn)故障且保

證源前綴和自治域AS的對(duì)應(yīng)關(guān)系不可篡改，將現(xiàn)有網(wǎng)絡(luò)關(guān)系依據(jù)地理位置、商

業(yè)利益、商業(yè)聯(lián)盟等條件，劃分為可嵌套的地址域，基于時(shí)間同步狀態(tài)機(jī)產(chǎn)生一

致性標(biāo)簽的方式，保證以地址域?yàn)榛締挝坏脑吹刂氛鎸?shí)可驗(yàn)證。

本方案采用信任聯(lián)盟的方式來組織所有節(jié)點(diǎn)。所有的地址域節(jié)點(diǎn)的集合構(gòu)成