安全与威胁模型¶
安全讨论必须始于威胁模型:我们假设攻击者能做什么、不能做什么。本章给出 LoongLink 边缘接入研究文档的默认威胁轮廓,并列出主要攻击面与缓解方向。
默认威胁模型(草案)¶
| 角色 | 能力假设 |
|---|---|
| 网络被动攻击者 | 可观测密文流量模式(包长、时序、端点元数据) |
| 网络主动攻击者 | 可注入、重放、篡改部分报文(视路径与加密而定) |
| 恶意端点 | 可参与协议但不保证诚实;可尝试资源耗尽 |
| 恶意或沦陷协调方 | 若存在中心化协调,可尝试错误引导或选择性拒绝 |
范围外(除非显式扩展)
物理接触设备、内核 0day、TLS 实现漏洞等通常列为范围外或单独附录;若研究涉及,应单开「强威胁模型」文档。
主要攻击面¶
信令篡改与降级¶
攻击者诱导双方使用恶意候选或弱路径,形成中间人。缓解:信令完整性保护、证书/指纹校验、透明度日志(若适用)。
中继滥用与资源耗尽¶
恶意端点大量创建会话或占用中继带宽。缓解:速率限制、证明-of-工作(谨慎)、计费与异常检测。
元数据泄露¶
即使载荷加密,五元组与时序仍可能泄露关系图。缓解:填充、多路复用、洋葱路由(高成本);在研究与产品间需权衡。
日志与隐私泄露¶
见 可观测性与隐私边界。缓解:分级采集、时限脱敏、访问审计。
与身份模型的关系¶
不同身份模型改变攻击面形状:TOFU 对初次交换更敏感;PKI 对 CA 沦陷更敏感。任何协议变更应回写本节「假设」子表。
合规与法律提示¶
非法律建议
加密出口管制、日志留存法规、关键基础设施监管等因法域而异。产品设计阶段应引入合规审查。
验证建议¶
- 形式化方法(可选):对握手子集做模型检测。
- 模糊测试:对解码器与状态机做持续 fuzz。
- 红队演练:针对协调方与中继的权限提升路径。