下一代互聯網的網絡安全

互聯網以其網絡的開放性、技術的創新性、信息傳播的交互性而廣泛滲透到社會各個領域，深刻地改變了人類的生活方式，有力地促進了社會的發展。但是，隨著人們對互聯網的規模、功能和性能等方面的需求越來越高，以IPv4協議為核心技術的互聯網面臨著日趨嚴峻的挑戰。具體表現為網絡可擴展性差，地址匱乏和路由表不斷膨脹；網絡不可控、不可管、沒有感知和測量功能，服務質量無法得到保證等。

目前，人們對下一代互聯網的需求和基本特征有了比較一致的看法，即下一代互聯網應該解決目前互聯網在“擴展性、高性能、實時性、移動性、安全性、易管理和經濟性”等方面存在的重大技術問題。如何向下一代互聯網發展，目前有兩種技術路線，即演進路線和從零開始(cleanSlate)路線，兩種路線的主要區別在于是否沿用現有互聯網端到端透明的體系結構。

演進的技術路線不改變現有IP網絡的體系架構，采用協議增強或者網絡功能增強技術解決現有問題。比如，使用IPv6協議解決IPv4面臨的地址空間危機，采用IP安全(IPsec)機制增強IP報文的安全性；使用多協議標記交換(MPLS)協議加快路由處理速度；引入TP多媒體子系統(IMsl增強IP網對多媒體的處理等。

從零開始的技術路線不考慮與現有互聯網的兼容性，旨在設計全新的從零開始的網絡架構，即重新探討地址、域名解析、路由等基本問題，重新設計網絡架構、協議、應用。這種網絡不僅可以支持現在的各種業務，有線、無線、固定、人與人、人與物、物與物的服務，而且滿足未來多種網絡、多種應用的疊加，從根本上解決原有體系結構存在的問題。這一研究思路引起了許多國家的特別關注，發達國家相繼啟動了未來網絡(Future Internet或稱POST IP)研究計劃，意圖掌握未來互聯網核心技術。研究計劃主要有：美國的PlanetLab、GENI、FIND和FARA，歐盟的Fire，日本的Akari等。

最初的互聯網僅僅被當作一種研究工具在科研人員之間使用，由于用戶相對單一，使用者之間完全可以通過默契建立良好的信任關系，并沒有考慮到商用場景中用戶規模、信任、管理等問題。在商業化進程中，由于利益驅動，加上用戶技術水平和道德素質參差不齊，使得互聯網的安全受到威脅。一方面，惡意攻擊、僵尸網絡、蠕蟲病毒、網絡病毒層出不窮，垃圾郵件、色情信息彌漫于網絡的各個角落，為網絡系統和用戶帶來嚴重威脅；另一方面，企業、機構不斷加固系統，擴容設備，升級軟件，使得網絡安全管理的費用超過網絡建設費用，同時也導致了網絡越來越復雜，系統越來越臃腫。

正是因為上述原因，在兩種演進路線中，如何保障網絡安全都是研究者關注的重點。兩種路線的安全保障實現難易程度不同，第一種路線已經有較為成熟的安全技術和安全機制，而第二種路線還處于安全需求討論階段。

1 演進路線下的網絡安全

互聯網發展到現在，安全問題始終與其息息相關。互聯網設計的前提是假定用戶自律，位于彼此信任小規模、封閉的網絡環境，因此沒有內置相關的安全機制，也沒有去考慮開放環境下操作系統和應用的安全問題，這種情況導致早期的互聯網面臨層出不窮的安全威脅，由于網絡協議與管理機制不可靠，互聯網解決安全問題的方式是“打補丁”，這形成了演進路線的基本思路。

演進路線中的安全機制一部分依賴現有互聯網協議的增強，另一部分通過網絡設備對網絡末端節點或核心網元進行加固，因此互聯網中存在大量防火墻、流量清洗設備、監控和審計系統。演進路線確實在一定時期解決了部分安全問題，取得了不錯的成效，但從長遠角度看，使網絡變得更加復雜且難于管理。

在演進路線中，IPv6是一種典型的協議增強技術。IPv6通過IPSec為網絡中的每個節點提供數據源認證、完整性保護和加密的機制，同時還可以使節點有能力抵抗重放攻擊。IPsee通過兩個擴展報頭，即認證頭(AH)和封裝安全載荷(ESP)將安全機制內嵌在協議之中。其中AH實現了保護數據完整性(即不被非法篡改)、數據源發認證(即防止源地址假冒)和抗重放攻擊3個功能，而ESP則在AH所實現的安全功能基礎上，增加了對數據保密性的支持。

IPv6為用戶提供端到端的安全保障，使IP網絡的安全性得到極大的改善。但是從IPv6實驗和商用的情況來看，針對互聯網中現存的安全問題，各主流廠商并沒有相應成熟的安全產品。同時，IPv6安全機制也存在一些問題，如網絡節點大量使用端到端的加密方式，會對目前基于報文解析、內容掃描的安全體系造成嚴重影響。盡管IPv6設定之初就已經開始考慮安全問題，也確實為網絡安全來帶了不少的好處，但IPv6在設計上仍存在缺陷，Any-cast服務、路由頭協議、Internet控制消息協議第6版(ICMPv61、碎片包、無狀態地址自動配置(sLAAC)和巨大地址數量都可能給-下一代互聯網帶來潛在危險。

上述所列問題如果不能妥善解決，下一代互聯網將會建立在一個不牢靠的基礎上，毫無疑問，仍將重現當前互聯網所面臨的安全問題。

2 從零開始路線下的網絡安全

從零開始的技術路線主張拋棄現有互聯網網絡體系，旨在設計全新的從零開始的未來網絡架構。研究者認為應將安全和系統架構設計視為一個整體：即在設計網絡架構的同時，提出安全需求，設計安全機制，從下一代互聯網體系結構上系統地解決互聯網安全問題。

經過了近5年的研究，目前研究者們達成的共識是從零開始的方案太過超前，脫離現有互聯網，從而導致目前的研究較為零散，沒有實質性的應用成果產生。目前該方案技術方面基本還都處于研究和試驗狀態，且標準化水平較低。由于未來網絡的安全機制和網絡需求與架構密切相關，因此并沒有產生具體的安全機制或安全參考模型。

2.1下一代互聯網可信、可控、可管問題

互聯網的脆弱性表現在設計、實現、運行管理的各個環節。中間節點對傳輸數據包的來源不驗證、不審計，導致地址、身份被假冒，垃圾信息泛濫，大量的入侵和攻擊行為無法跟蹤，難以溯源；用戶個人信息或者關鍵數據在網絡上存儲和傳輸都會面臨風險，互聯網中的數據系統、業務系統常常遭到攻擊，各層漏洞層出不窮……

目前互聯網中普遍存在的脆弱性導致其是不可信任的。文獻指出：下一代互聯網的研究應該充分體現可控、可信、可管的特點。

文獻認為可信的下一代互聯網應具有如下特性：(1)實現系統和信息的保密性、完整性、可用性；(2)真實性，即用戶身份、信息來源、信息內容的真實性；(3)可審計性，即網絡實體發起的任何行為都可追蹤到實體本身；(4]私密性，即用戶的隱私是受到保護的，某些應用是可匿名的；(5)抗毀性，在系統故障、惡意攻擊的環境中，能夠提供有效的服務；(6)可控性，指對違反網絡安全政策的行為具有控制能力。

可控性與可信性是相輔相成的。如果網絡實體的身份是可信的，則可更有效地控制和規范實體的行為；同時，在可控的網絡架構下，才能對網絡實體的身份和行為構成有效約束。

當前的互聯網主要是通過部署第三方安全設備實現網絡的可控性。例如，使用防火墻或者安全網關保證末端節點的安全，使用人侵檢測設備，流量清洗設備過濾互聯網中多數有害的流量，保證網絡的正常運行。一方面，這些設備能阻止絕大多數簡單的攻擊，防御外來攻擊；另一方面，配置設備難度較大，且設備僅對已知的外部攻擊提供有限保護，不能處理內部攻擊或未知攻擊。

關于網絡安全設備的討論可轉化為關于網絡架構設計的討論。如果我們能夠在網絡的關鍵點上嚴格控制和規范業務流，使其符合正常業務流的特性，則可以在很大程度上減小垃圾郵件的傳播和分布式拒絕服務攻擊(DDOS)等安全威脅。如果人們能在網絡架構設計中融入安全設備的控制能力，將控制作為網絡與生俱來的特性，并將其從網絡末端延伸至網絡的核心，那么這種強化的控制措施將會有利于維護互聯網這個復雜的巨大系統可靠地運行。

如果可控性作為下一代互聯網協議的一部分，那么網絡中是否應有專門的安全網元?這個網元應該如何部署?執行什么樣的安全功能?有了這些安全功能，網絡體系的健壯性如何得到改善?網絡的傳輸效率、服務質量應該如何與其協同?這些問題必須在下一代互聯網的設計中得到解決。

網絡管理最主要的功能是對網絡運行期間的各種狀態進行及時感知，而這種感知的目的是對包括故障、攻擊和服務質量下降等各種異常現象的及時定位、推理和診斷，最終做出適當的反應。當前的互聯網，由于控制和管理功能依賴于數據平面，缺乏協調的分布式控制，大多數控制和管理功能都是后期定制，而不是在網絡設計之初就統一考慮的，因此呈現出難以有效收集網絡狀態、難以有效發現和定位網絡異常，從而難以及時做出反應的特點。因此，在未來網絡中應該有專門的管理控制系統重點解決上述問題。

從理論上講，根本上消除脆弱性、企圖設計并實現一個絕對安全的互聯網是不切實際的。但下一代互聯網絡需要從體系結構上為安全付出必要的努力。下一代互聯網絡必須提供可信任的網絡服務，至少應有機制確保下一代互聯網地址及其位置的真實可信、網絡對象可識別和網絡攻擊可防范等；下一代互聯網必須無縫、高效地解決可控性問題；下一代互聯網必須提供更方便、靈活的管理手段，對網絡運行的各個方面實施全面、高效的管理。

2.2互聯網協議的設計問題

當前互聯網協議在設計時，沒有特別考慮到安全問題。下一代互聯網中，安全應該成為是協議設計的重要前提，各層協議在設計時需要從各個方面執行安全檢查。例如，TCP的最初握手協議應該被重新設計，允許網絡中的節點執行最初的源身份檢驗；簡單郵件傳輸協議(sMTP)的身份驗證、匿名轉發應該重新設計，保證只有具有真實身份的用戶才能發送郵件等。此外，單層協議的增強不能使系統安全性得到明顯改善，為提高系統整體安全性能，在協議設計時，必須對網絡協議棧中所有的安全問題進行綜合的考慮。以邊界網關協議(BGP)為例，為了增強BGP協議的安全性，可使兩個通信的BGP路由器共享某密鑰，以對通信內容進行加密和完整性保，但是攻擊者完全可以跳過BGP協議層，直接利用傳輸控制協議(TCP)的漏洞，攻擊進而控制BGP-路由器。

3 對下一代互聯網安全的思考

互聯網是迄今為止運行經驗最為豐富的網絡，也是全球投資最大的網絡。各種技術、各種模式在其中興衰、沉浮，無數成功與失敗的經典案例在其中沉淀、積累。盡管對下一代互聯網的研究不應受當前互聯網的約束，但我們不可能完全摒棄原有以IP為基礎的互聯網，在尋求創新和突破同時，更要遵循經驗，做好繼承。

例如異步傳輸模式(ATM)在效率上要強于IP，但因為復雜在實踐中遭到失敗；IP具有強大兼容性，但在可信、可控、可管方面卻存在嚴重不足；電子郵件協議是互聯網應用的成功典范，但隨之帶來垃圾郵件問題，成為無法根治的頑疾；域名服務器(DNS)是互聯網內訪問的基石，同時也是網絡安全的短板。因此，在新一代互聯網的研究中，我們必須在繼承的基礎上不斷完善和創新，總結過去成功的經驗，吸取失敗的教訓，以獲得靈感，并將其應用到設計下一代互聯網安全的實踐中。

經過了40多年的發展，互聯網已經在全世界范圍內為人類構造一個相對健全的信息共享和交換平臺，深刻改變并影響了人類社會的運作模式。下一代互聯網安全的設計和建設是一項長期、艱巨、系統的工程，無論采取哪種技術路線，既不應全盤否定現有的技術，也不能受制于現有的技術，同時必須要以構建可信、可控、可管的互聯網為研究的重點，此外，運營者還必須慎重考慮如何從現有網絡向下一代互聯網平滑過渡以及保護現有投資等問題。