国家网络空间安全技术研究方向.pdfVIP

网络与系统安全防护技术研究方向

1.1网络与系统安全体系架构研究（基础前沿类）

研究内容：针对网络大规模更新换代所面临的安全可信和管理问题，面向开放和

互通的国家网络管理，研究网络和系统安全体系结构，重点研究以IPv6网络层的真

实可信为基础的网络安全管理体系结构、关键机制和关键应用。针对未来多层次、

动态、异构、差异度巨大的无线接入环境，研究新型无线网络安全接入管理机制。

针对国际上新型网络与系统体系结构的发展，如软件定义网络和系统、网络功能虚

拟化、命名数据网络和系统等，对其安全问题和安全机制进行前沿探索研究。

考核指标：提出IPv6网络安全管理体系结构中的信任锚点、真实可信的网络定

位符和标识符机制，并制定国际标准；基于上述安全可信基础，提出兼顾国际开

放互通与国家安全管理的IPv6网络安全体系结构，通过安全威胁模型检验该体

系结构的安全性。提出IPv6安全管理体系结构下的关键机制，至少包括：兼顾

用户隐私性、可验证性和可还原性的可信标识符认证、管理、追溯与审计机制，

分级管理机制，网络监控和灵活路由机制等。完成一套IPv6安全管理体系结构、

关键机制和关键应用的软硬件原型系统。基于国际学术网络合作、国内主干网、

园区网（校园网或企业网），对上述原理机制和原型系统进行跨国、自治系统间、

自治系统内、接入子网等多层次网络的试验验证。提出新型无线网络安全接入管

理机制，研究适用在多维、异构的无线有线一体化融合网络中的信任锚点、真实

可信的网络定位符和标识符机制，实现上述一体化融合网络的网络层真实可信；

支持软件定义无线电,支持必威体育精装版IEEE802.11ac或802.11ax等新型无线接入技术；

支持移动终端在至少2种无线网络间的安全接入选择、可信透明移动。提出

SDN/NFV等新型组网技术和NDN等未来互联网体系下的安全可信问题的解决方案，

提出并解决能够支持SDN/NFV和未来网络体系结构的可编程网络基础设施的安全

问题，提出相关计算系统中的安全可信问题解决方法。完成安全体系结构相关国

际标准3项以上，并获国际标准组织（IETF、ITU、IEEE等）立项或批准；申请

国家发明专利15项以上。原理机制和原型系统需通过一定规模的真实网络试验验证，

至少包括10个关键应用、10万IPv6用户。

1.2面向互联网+的云服务系统安全防护技术（重大共性关键技术类）

研究内容：针对体系架构、关键技术、防护系统研制等方面开展云服务系统纵深安

全防护技术研究。重点研究可定义、可重构、可演进的云服务安全防护体系架构；

研究分析用户和业务安全等级差异，实现高效灵活的安全服务链和安全策略按需定

制；研究专有安全设备硬件解耦技术，实现安全资源弹性扩展与按需部署；研究云

数据中心内生安全机理，突破软件定义动态异构冗余、主动变迁等关键技术，实

现对未知漏洞和后门威胁的主动防御；实现云环境虚拟密码服务模型构建，密码服

务资源动态调度，密码资源安全迁移及防护等关键技术；研究虚拟资源主

动防御技术，降低侧信道攻击的风险；研究云数据中心的安全态势感知与动态重

构决策机理，实现对安全威胁的主动与纵深防御。

考核指标：建立新型云服务安全架构体系，给出适用于互联网和电信业务的安全解

决方案，研制安全防护系统一套，要求：研制高性能、高可靠性的虚拟安全设备和

中间件，在资源占用不超过4个物理CPU硬件线程的条件下，虚拟防火墙设备转

发性能达到30Gbps，虚拟VPN网关加密性能达到2Gpbs，处理时延小于100us，

系统可靠性级别达到5个9；研制安全服务编排系统，支持业务无损弹性扩展，支

持亲和部署与最短路径优化。研制云安全管理系统一套，要求：提供互联网和电信

业务的IaaS和PaaS统一安全管控，支持跨数据中心和多域管理，

提供安全服务开发与维护平台。给出分布式网络控制器集群间的安全机制和南/北

向安全机制等关键问题解决方案，研制抗攻击的SDN