下一代互联网安全模式探讨
——
关键词 互联网 网络安全 IP
一、引言
时至今日,互联网在全世界范围内获得了巨大成功,已渗透到人类工作生活的方方面面。互联网在为人们提供巨大便利的同时,也在逐渐影响工作生活的态度与方式。
由于互联网设计上的一些缺陷(例如地址空间问题等),预计在未来很长一段时间内不可能再持续高速发展。对下一代互联网的研究已成为摆在我们面前的紧迫课题。在下一代互联网需要解决的问题中,安全问题是最重要课题之一。
二、下一代互联网的安全需求与挑战
下一代互联网面临方方面面的安全威胁,诸如:
(1)电磁安全:电磁的辐射及泄漏可能影响存储处理和传输信息的机密性。
(2)设备安全:设备安全可能影响网络的生存性和连通性。
(3)链路安全:通信链路的可靠性将直接影响网络的连通性。
(4)协议安全:路由协议安全直接影响网络的可用性与连通性。
(5)战争、自然灾害:遭受战争或自然灾害时,节点可能失效,链路大量中断。
(6)网络受流量冲击:当网络受到流量冲击时,网络性能急剧下降,甚至停止服务。
(7)终端安全:智能终端故障率及配置难度大大增加,易受攻击。
(8)网络业务安全:业务网可能受到攻击,影响业务的正常开展。
(9)网络资源安全:用户恶意或无意滥用资源将严重威胁网络正常运行。
(1O)通信内容安全:网络传输内容可能被非法窃取或非法使用。
(11)有害信息扩散:对下一代互联网而言,必须关注有害信息通过网络扩散传播的问题。
为应对上述或本文未提到的各种安全威胁与挑战,下一代互联网必须从设计之初就考虑到安全保障能力。当前的安全技术及安全模式都有一定应用,下面主要对现有几种安全模式进行分析和探讨。
三、下一代互联网的安全模式分析
安全模式有别于安全技术。安全技术一般比较单纯,即用一些技术手段提供安全机制,对通信中的某个安全漏洞进行保护。安全模式比安全技术范围更大,可根据其提供的思路,集成若干安全技术、管理手段来解决部分安全问题。安全模式可以结合起来使用,但限于篇幅,本文主要对各种安全模式进行分析,不考虑安全模式的结合使用。
1.基于Walled Garden的安全模式
Wa11ed Garden在我国一般译作带围墙的花园,简称围墙花园。“围墙花园”指的是一个控制用户对网页内容和服务进行访问的环境。围墙花园一般是把用户限制在一个特定的范围内,允许用户访问指定内容,而防止用户访问其他未被允许的内容。
建立围墙花园的原因通常是利益使然。运营商希望将用户资源掌握在自己手中,引导用户访问自己或合作伙伴的资源,减少或防止访问竞争对手及不能带来利益的资源。中国移动手机WAP业务就是基于围墙花园开设的典型范例。建立围墙花园还有一个原因是安全上的好处。早在1999年,美国在线少儿频道就建立了一个围墙花园,以防止儿童访问不适宜的网站。
无论最初建围墙花园的方法如何,当前围墙花园的概念似乎被扩大了。围墙花园可以在几个层面建设,不同层面建设的围墙花园有不同的强度,能解决不同的安全挑战。
(1)限制终端的围墙花园。通过限制终端功能实现的围墙花园是指在终端上限定访问的范围,超过范围的内容不能访问。这种方式一般用作防止儿童访问不适宜的网站。具体做法是,可在终端(例如电脑、机顶盒等)上安装一个包括可访问列表,超出列表范围的不允许访问,列表可以实时更新。将这种方式称作围墙花园实际上有些勉强,更像是人在单向镜子围成的围墙里,里面的人看不到外面,外面的人可看到里面。里面的人通过围墙上的一些门可以看到一些花园,但只能看到这些花园而已。围墙外的人同样也能看到这些花园。这样的围墙花园对服务器和用户终端的防攻击没有帮助,用户与业务设备间的通信需要其他技术来保护。
(2)基于VPN/专网的围墙花园。基于VPN的围墙花园实际上是将提供业务的设备放到一个VPN中,访问者通过接入VPN来接入围墙。接入VPN(接入围墙)后,即可自由访问VPN内所有的资源。基于VPN的围墙花园与显示中的围墙花园相类似。这种方式不但能限制访问范围,而且能防范来自外部的攻击,即非VPN的用户看不到VPN内的任何资源或用户。虽然围墙内的安全威胁仍存在,但在VPN相对封闭的环境中可以设置接入认证,也很容易对攻击进行追查。此外,用户与业务设备间的通信也在VPN/专网的保护中(与外界隔离)。
(3)基于防火墙/网关的围墙花园。基于防火墙/网关的围墙花园类似基于VPN的围墙花园,区别在于基于防火墙/网关的围墙花园中只有业务提供设备真正在围墙中(VPN或专网)。用户通过防火墙/网关使用业务网提供的业务,业务网只通过防火墙/网关对外提供用户信令接口和数据接口。这种围墙花园中的业务设备可防护来自外部以及用户(注册和非注册)的攻击。但是,用户并没有受到保护,用户与业务设备间的通信需要其他技术来保护。
(4)基于门户网站的围墙花园。基于门户网站的围墙花园实际上没有真正的围墙。用户通过门户网站可非常便捷地访问到门户网站上一些现成的资源(运营商或运营商合作者的资源)。用户实际上也能访问所谓围墙外的资源,但由于便利性以及用户惯性,实际上大部分用户还会在范围内访问。AOL有一项统计,称85%的用户都没有出过AOL的领地。所谓围墙外的用户也可访问围墙里的资源。这种方式的花园围墙对网络与信息安全基本没有贡献。
(5)基于用户注册的围墙花园。基于用户注册的围墙花园一般是基于一组或一类业务应用,只有注册用户才能使用所保护的业务应用,非注册用户不能使用。这类围墙花园旨在业务层保护,用户及业务设备操作系统层都暴露在外界网络层的可能攻击下。此外,用户也可自由访问围墙外的其他业务。用户与业务设施间的通信需要其他技术来保护。
2.基于溯源与威慑的安全模式
部分基于Walled Garden以及普遍加密的安全模式是一种比较积极的安全模式,可通过一些技术手段尽量避免受到诸如攻击等的安全威胁。基于溯源和威慑的安全模式实质上是一种管理和管制上的威胁。溯源和威慑本身不能直接避免或缓解网络与信息安全方面的威胁,但溯源可威慑攻击者或违法犯罪人员,因为在网络上的行为是可以追查的,做了坏事定将或可能受到惩罚。
基于溯源和威慑的安全模式类似于现实生活。大多数情况下,法律没有办法阻止人不作坏事,但一旦做了坏事且被证实以后,就会依据法律条款作出惩罚。大多数情况下,这种机制在现实生活中运作得很好,在传统电信网上似乎也运作得不错。有理智的成年人都知道,乱打骚扰电话会被追查到主叫话机,故一般使用自己的话机进行恶意拨叫的情况较少。理论上说,这种机制在互联网络环境下也能发挥作用,但当前还存在下列问题:
(1)互联网溯源困难。互联网目前在用目的地址选路实践中很少对源地址进行检验,在恶意伪造源地址的情况下,几乎不可能确认恶意用户使用的终端。当前,主机大多使用动态IP地址,溯源时查找特定时间的特定地址租用者较为困难,且设备很少能长时间保存日志。在存在NAT设备的网络中,也存在动态IP地址相类似的困难。
(2)即使能够成功溯源,针对网络恶意行为的法律条文也有待完善。虽然各国都在完善相关法律,但总体看尚落后于需求。在我国,网络上虚拟财产的合法地位也没有确认。
(3)网络行为是一个海量数据,对海量行为甄别是否合法尚存在问题。若对恶意行为成功溯源及惩罚的比例过低,可能会出现大量侥幸心理。
在下一代互联网中上述问题将会得到一定程度的解决。例如,溯源将比当前互联网更可行,法律体系也将趋于完善,随着计算能力的增强,海量数据也将有合理的处理方式。
因此,在下一代互联网的实践中,基于溯源和威慑的安全模式仍然存在应用的环境,可单独使用或者配合其他安全模式共同使用。
3.基于绑定身份的安全模式
基于管理(绑定身份)的安全模式类似基于溯源和威慑的安全模式。区别在于,基于溯源和威慑的安全模式偏重于网络层(IP)的溯源,而后找到的是使用IP地址的设备。最后,通过查找设备的所有人来落实到人。而基于管理(绑定身份)的安全模式偏重于将人直接对应到标识上。当前常见的基于管理(绑定身份)的安全模式的实现方法大致有以下几种:
(1)管理部门强制要求将身份,例如身份证号码,绑定到IP地址,实现每人一个固定IP。
(2)管理部门强制要求凡使用互联网的人,每人一个证书,对使用包括接入在内的所有业务都验证证书。
(3)管理部门要求认证基于惟一性的生物特征。
在IPv4时代,由于地址空间的限制以及地址分配不合理,不可能实现每人一个固定的IP地址。在IPv6时代,每人一个IP地址完全成为可能。这样,网络上所有行为都可以对应到IP地址,通过IP地址可以查询到使用人的身份。但是,将身份绑定到IP地址存在以下问题:
(1)IP包基于所在网络的寻址,随着互联网用户移动和游牧需求的增强,要实现身份与地址的绑定需要全网实现Mobile IP。而全网普遍实施Mobi1e,即使不计算对设备附加功能要求增加的成本,也要考虑大量Mobile IP通信带来的附加流量。
(2)身份与IP地址绑定本身不能防止用户地址的盗用,需要其他机制配合来确认使用地址的人确实拥有其声称的身份。
由于身份与证书的绑定也不是没有问题,若只在接入时验证证书,则网络行为的溯源需要将行为映射到IP地址,再根据时间映射到当时使用该IP地址的证书。若对网络上的大量业务进行证书认证,将大大增加网络负荷。当然,可适当选择需要证书认证的业务和行为,来平衡网络开销与网络安全。身份与证书的绑定可以进一步延伸到每个人、每个设备,这样可在网络上建立起较好的信任关系。
基于生物特征的认证也只解决了认证的惟一性,需要大量改造终端设施,而且将认证表示对应到网络行为上也需要完整的信任链。
无论是身份与地址的绑定和证书与身份的绑定,还是生物特征的认证,都有侵犯公民隐私之疑虑。即使法律上提出要求,这样的管理规定也有可能会损害互联网的繁荣。此外,互联网是一个全球的网络,在各国法律及执法尺度不一致的条件下很难通过一个国家身份绑定的规定来保障网络的安全(特别是涉及跨国访问行为)。
4.基于限制终端的安全模式
基于限制终端功能的安全模式实际上是对传统电信网的一种借鉴,这种方式类似于Walled Garden分类中限制终端功能的围墙花园。
传统电话网是一个比较安全的网络,这一点已有普遍共识。似乎传统电话网(除了骚扰电话和盗打电话以外)没有太多的安全挑战,这得益于以下几方面原因:
(1)传统电话网是一个傻终端,用户端只有12个拨号键,除了发出双音多频或脉冲信号以外,只能传送语音信号,用户除拨号外不能做任何事。故除骚扰电话和盗打电话外,没有过多威胁安全的手段。
(2)传统电话网的用户信令与网络信令完全隔离,从用户接口无法对网络的稳定运行产生影响。即使在电话接口上接其他设备,网络也只接收双音多频信号或脉冲信号。除了骚扰电话和盗打电话以外没有过多威胁安全的手段。
互联网是一个智能终端“傻网络”的典范。网络只负责按照目的地址转发分组,所有的信令交互都是端到端完成。在这个端到端透明的网络上,业务设备与用户终端地位是平等的。在一个基于计算机的个人终端上,用户可以访问网络设备的控制层面和网络设备的管理层面,实现网络设备功能,伪装成其他用户等。因此,智能终端也是互联网安全问题多的原因之一。
互联网是一个多业务网络,象电话网一样完全将智能集中到网络也是不太可能实现的。但是,为保证一定程度的安全,限制终端也是一种可行的手段。限制终端可能有以下几种情况:
(1)类似手机,智能受限的终端。由于集成度、计算能力以及电池性能的影响,当前手机的功能有限,大多数都是专用操作系统(少量基于winCE和Palm),用户接口相对专用,攻击者可能还没有进行广泛研究。该类终端采用2.5G或者3G技术,通过TCP/IP或WAP接入网络。由于上述原因,当前暴露的安全问题较少。随着技术的进步,当前互联网的安全问题也将在手机等终端上出现,而且由于移动性等原因,溯源等安全问题更难以解决。
(2)通过有限界面来限制终端。这种方式不限制终端的智能以及计算能力,仅通过限制提供给用户的功能及界面来限制终端。典型的例子是SIP电话。该终端直接接入以太网,采用SIP协议进行呼叫,但向用户只提供传统电话的按键而不提供编程等外设接口。从理论上看,该类终端与传统电话类似,不会出现骚扰电话以外的问题(由于终端有一定智能,甚至盗打电话情况也有一定程度的缓解)。然而,这种方式不能杜绝用户接入其他设备(例如计算机)后对网络业务设备的安全威胁。
(3)将业务设施放入围墙花园,终端通过网关获取服务。由于网关是一个协议翻译设备,只要规定了终端与网关间的协议,终端至少无法影响网关后面的业务设施。该方法实际上限制了智能终端对网关业务设备的影响,但对网络上其他设备以及终端自身的安全没有贡献。
终端的智能化是不可阻挡的趋势,因此限制终端智能并不是限制终端的惟一选择,也可以限制终端的智能对业务网络设备的影响。
5.普遍加密的安全模式
网络与信息安全的完整性和机密性一直令人关注。加密技术毫无疑问可显著提高信息的机密性以及完整性,可保护的信息包括用户间或用户与服务器间交换的信息及用户身份信息。在电信网上对信息加密一般有以下几种情况:
(1)固定电话网基于端口认证,无需对认证信息加密。
(2)无线终端在空中加密,进入交换网后明文传送。
(3)保密通信由端到端的加密机完成,特殊通信用信道加密机。
在互联网上,终端都是有很强计算能力的智能终端,使端到端的普遍加密有了可能。随着成熟加密算法的出现,网络上很容易实现普遍加密。普遍加密易于保护端到端通信内容的机密性和完整性。然而加密是一把双刃剑,下一代互联网上实施普遍加密存在下列问题:
(1)加密需要消耗大量资源,大部分信息不需要加密。
(2)通信双方加密需交换密钥(带外交换或通过公钥机制)。
(3)可能导致非法获取密钥,而后为所欲为。
(4)对业务设施访问时,大量加密使DOS攻击更容易。
(5)在普遍加密的网络上难以实施合法监听,对内容的监控无法实施。
6.基于增加攻击成本的安全模式
最初的互联网黑客都是一些技术上顶尖的能手。其攻击行为多数不是为了获得利益,而是为了显示技术实力,为了好玩,搞恶作剧。
随着技术的发展,网络上的黑客工具变得越来越多,几乎随处可见,网络上攻击行为的技术门槛越来越低,任何人都可通过下载一些软件来影响网络安全。同时,越来越多影响网络安全的行为是为了直接获取利益,诸如通过木马等工具窃取用户的银行账号和密码,通过欺骗性的电子邮件、伪造网站及欺骗性的短信进行诈骗等。
在大量攻击是为了获取利益的前提下,可通过增加攻击成本来减少攻击。因为当攻击成本大于网络攻击可能带来的利益时,攻击行为会自然减少。当然,网络行为的溯源和威慑也会增加风险成本。
四、思考与建议
对下一代互联网而言,安全保障可采用多种模式。本文所探讨的是几种有代表性的安全模式。这些模式可主动积极,亦可被动地对不同主体增加安全保障。
(1)Walled Garden(围墙花园)的安全模式是适用性较好的一种安全模式,目前已经得到较广泛的应用:
●限制终端的围墙花园可与受限终端结合使用,用于被访问内容难以限制的情况(国外网站及地址不固定的网站等)。
●基于VPN/专网的围墙花园可用在收费的增值业务网或单位的专网,以排除来自互联网的攻击,防止信息泄露到外网,从而有利于服务质量保障、内容管制及溯源等。
●基于防火墙/网关的围墙花园一般用在安全需求还没有达到建专网或VPN程度的企业单位。这种方式的安全保护程度类似基于VPN/专网的围墙花园,但受限于防火墙/网关的功能和性能。
●顾名思义,基于门户网站的围墙花园一般用于门户网站或能控制接入的运营商,它能够吸引一些惯性比较大,比较“懒”或“专一”的用户,对信息安全基本没有贡献。
●基于用户注册的围墙花园主要用于需要控制接入(收费)的增殖业务,对网络自身安全、终端安全、业务设备安全贡献较少,但对溯源有一定好处。
(2)基于溯源和威慑的安全模式可以广泛用于保护各个层面的网络安全,一般更有利于内容监控及有害信息控制等,其典型应用是威慑有害网站、垃圾信息发送者、用户信息窃取者等。有害信息的浏览者一般因人数过多,无法用溯源和威慑安全模式杜绝,毕竟法不责众,而且控制源头或渠道更加容易。
(3)基于绑定身份的安全模式一般需要法律或行政法规直接支持溯源和威慑。这种安全模式的实施可能对互联网的活力有影响,且只有在全球合作的条件下才有较好的效果。
(4)基于限制终端的安全模式类似于限制终端的围墙花园,一般用在运营商提供的业务终端(例如机顶盒、运营商提供的SIP公话等),而用户设备自由接入时对安全保障贡献不大。
(5)基于普遍加密的安全模式有利于用户信息的机密性和完整性,但在当前大量加密算法来源于国外的情况下,对我国国家安全非常不利。该安全模式不应提倡使用,但可辅以其他安全模式共同使用。
(6)基于增加攻击成本的安全模式一般用在控制垃圾信息发送的环境,少量用于加密通信。
总之,不同的安全模式可组合使用,对安全模式的选择和实施需针对具体业务具体分析。
评论