基于网络架构的安全性对策

传统的电信网络，也即基于电路交换方式的网络，正在逐步为新一代基于数据包方式的网络所取代。但现有基于数据包方式的网络(即现有因特网)还存在着许多问题必须有效地加以解决，否则它的发展就会受阻碍。在这些问题中，有两大令人头痛的问题是至今仍难以解决的：一是网络的安全性，二是网络端到端服务质量的保障问题。

　　现在商家已经将有效性高的网络叫电信级的网络。其实仅有电信级的服务质量是不够的。一个真正电信级的网络必须既有电信级的服务质量又十分安全。没有足够的安全保障，就谈不上电信级的网络。

　　基于电路交换方式的传统网络尽管正在过时，但从网络安全的角度，应该承认，它仍然是较好的。在电话网时代，人们很少为网络的安全而担心，这说明在原有电信网络中安全问题解决得较好。对此有人可能会持疑义，因为有不少论述网络安全的文章中都将网络安全问题视为包方式网络所特有的，在传统网络中是不存在的。其实不然，在传统的电信网中同样存在着类似的安全问题，同样可以窃听，非法占用服务，捣乱呼叫，甚至可以通过充入大量虚假的业务量而使网络过载(相当于拒绝服务)，只是这些问题得到了较好的解决，才没有引起如此众多的关注。

　　当然，包方式网络的安全性有其独特的地方，例如计算机病毒的传播，“特洛依木马”式的侵入与破坏等是包方式网络所特有的。

　　1 现有包网络安全性的脆弱面

　　1.1 包网络安全性现状

　　网络遭受攻击对象可以分为两个方面：一个是公共网络设施，一个是终端。前者被破坏的影响面较大，需要特别地加以关注。

　　从媒体的报道来看，端到端的攻击是很频繁的。端到端的攻击是基于协议、操作系统和应用软件的开放性，以及许多软件中有意无意地存在着的缺陷。开放性是我们得以方便地建立通信，利用第3方的软件以及使软件COTS(可在商店货架上出售)化所必须的，因此不可能因为黑客攻击而放弃开放性。软件的缺陷在实际中也往往难以避免。

　　在目前对于网络攻击的报道中，多数是对网站和服务器的攻击，即端到端的攻击,较少有对大规模公共通信设施进行破坏的报导。这是因为：

　　(1)公共通信设施，如路由器等已经采取了相对较为严密的安全措施。

　　(2)公共通信设施未引起一般攻击者的兴趣。现有的攻击者大都是为了验证与表现一下个人的能力，或者只是一些一般的恶作剧者。

　　(3)真正对公共通信设施的侵入者，其行为是极其保密和有政治背景的，诸如窃听机密之类的事不易为人发现。

　　虽然网络公共通信设施被侵入与破坏的报导较少见，但千万不要忽视这种IP公共通信设施被窃听、攻击与破坏的可能性和现实性。目前的信息战都是处于隐蔽的状态，以窃听为主，如果要公开地进行破坏性的信息战，由于攻击者是一些有政治目的的集团或国家，在技术上又是手段高强的行家里手，它们对公共通信设施的破坏将会产生极其严重的结果。另外一些发展中国家，包括中国在内使用了大量进口的软硬件，在这些软件和硬件中是否会有什么特意设置的东西，使外国间谍机构可以借此进行窃听和遥控，更是难以排除的忧虑。

　　为了应对各种各样的网络攻击，较好的对策是：

　　(1)不断地改进接入的认证和授权。但典型的认证都是靠的口令，口令一旦被窃取或识破，就难免会遭受攻击。

　　(2)加密方法和密钥分发方式的改进。不断有新的加密算法产生，包括对称的密钥系统和不对称的密钥系统，但是也不断有解密的办法闻世。国际上广泛采用的数据加密标准(DES)算法，目前虽然还未见成功破解的报道，但它的密钥长度是美国国家安全局规定的，可以肯定DES对于美国安全局来说并不保密。

　　(3)检测伪造的业务流，防止拒绝服务。

　　(4)加强病毒的检测和软件与数据修复的能力。

　　(5)检测信息完整性。这只能发现问题，无法防止攻击。

　　(6)在电子商务应用中还有电子签字，不可否认技术等。但能否有效运转仍有待考验。

　　为了保证安全，人们可说是层层设防，处处设防，耗费了大量的处理能力和代价。所谓层层设防，表现在从物理层到应用层，几乎协议的每一层都有为保密而设置的机制和协议。处处设防更是显而易见，每个局域网(包括终端与用户网)，每个单位、机构，每个管理域，每个国家，每个商务平台都有各自的安全系统。这些安全系统，不能不说起到了一定的作用，但代价很大，很复杂，而且即便如此，人们仍然对因特网使用的安全性持怀疑态度。

　　1.2 因特网脆弱的根源

　　因特网之所以在安全性上如此脆弱有许多方面的原因，其中的一个重要方面是网络架构的缺陷。

　　首先，现有因特网采用带内信令方式，即控制信息(用于寻址的地址信息)与用户数据在同一路由传输，而且打在同一个数据包中，这种简单的自带寻址信息数据报(Datagram)的控制方式带来了两方面的问题：

　　(1)用户信息很容易被窃听和跟踪。窃听者只要能读取地址或地址前缀(用地址过滤器)，就可以从浩瀚的信息流中将需要窃听的信息分离出来，得到十分完整的发送者地址、目的地地址以及通信内容信息。

　　(2)网络的控制与管理信息与用户数据采用同样的格式与选路方式，走同样的路由。用户除了可以进行正常的通信外，能接入到网络的公共设施，与公众网络中的服务器、路由器或交换机进行通信，实施对公共设施的控制、修改、监视、破坏，或使公共设施拒绝服务，造成网络安全无可靠保障。

　　其次，简单的传送方式带来了因特网在架构上的无政府主义。表现在大大小小网络在TCP/IP的基础上能随意连接，用户主机、网络公共设施、专网等在协议上接口规范上都是平等的。因此，只要有本事能识破认证与加密，就可以从网络的任何一点去攻击远在天边的任何对象，不管它是在公网还是专网，而且常常难以找到攻击者。

　　还有，过分的开放性也是网络安全的一大隐患。它使黑客不仅能通过网络非法接入一个终端、服务器或网元，而且能深入到对方的内部，进入到操作系统，对对方的操作系统进行控制，这是十分危险的。必要的开放性是要的，但不应该开放到可轻易进入内部操作系统的程度。系统中应该设有某种机制，使外来信息无法直接调用操作系统。

　　最后一点想说明的是认证的有效性问题。认证是目前对外来接入进行控制的主要手段，它在某种程度上，确实起到了保护作用。但这种手段有两方面的问题：一是需要用户去记住许多密码，而且密码如果太简单容易被用枚举法识破，太复杂了则难以记住和容易搞错；另一方面是它的非客观性，即它不能客观地识别通信方，它认的只是密码，只要密码正确就会被认为是合法的使用人，但实际上密码可能被窃取或被猜测到。相比之，采用带外信令的现有电信网没有上述问题。这关键是因为电信网采用了公共的信令系统，并使用户网络接口的规范不同于网络接口规范。在这种系统中，控制网络的信令与用户信息是完全分开的，且各走各的路由。窃听者要同时获得用户信息及与信息对应的地址很困难。网络的公共设施，如交换机、信令转接点、SCP等只受从特定路由来的信令控制，一般用户不可能接入。这使网络的公共设施完全控制在管理者的手中。因此除非钻入到管理者的内部，否则无法控制与修改网络。

　　由上可见，要解决因特网的安全性问题，光从认证与加密上努力是不够的，还必须从网络架构上采取措施，才能使网络的安全达到可与电信相比的高度。

　　2 安全性对策

　　2.1 可采取的对策

　　根据上面的讨论，从网络架构上采取措施，大致可以采取如下的安全性对策：

　　(1)改变Datagram的工作方式。将地址信息放入带外的信令系统中传送，也就是不再将地址信息与用户数据封装在一个包中，而将它与网络的其他控制信息及管理信息都交于专门的信令网络去传送；与此同时，用户数据本身则直接在下层的传输交换平台进行传送，如直接通过多协议标记交换(MPLS)进行传送。采取这一架构，控制信息与用户信令在格式上，信道上将都完全分开。再加上下述的第2个对策，网络公共设施的控制与管理将只能通过公网的信令来实现，普通用户不可接入，因而可确保网络公共设施的安全性。同时由于地址信息(如源地址、目的地地址等)已不再与用户数据在一起，网络窃听者将难以跟踪特定的用户和窃取通信的完整信息。

　　(2)明确区分公网设施与专网设施(包括用户终端和用户网络)。用户终端或用户网络与公网间采用用户网络接口(UNI)，公网网元之间和不同公网的网元之间采用网间接口(NNI)，并使两者在协议上不一样。公网与公网之间在接口上依据需要，可设置必要的安全功能，所交换的信令信息明确标明发送该信令的网络识别码和信令实体的识别码，并作必要的记录。用户通过UNI只能申请与接受规范化的服务，UNI信令有明确的格式与定义，不可能对公网的操作起任何作用。

　　(3)以网络对用户的客观识别来代替或加强用户的认证与接入控制。网络要有识别用户的能力。这在传统电信网中是已经做到了的。在有线接入的情况下，端局与接入网可以通过物理的端口与信道来识别通信发送方（或主叫方），并通过查询相关的用户资料(User profiles)来判别该用户是否有权使用所请求的服务。在多点到点或共享媒体(即多址接入)的接入系统中，采用适当的技术也可对发送方（或主叫方）进行定位。在无线接入的情况下则可以通过识别用户识别模块(SIM/UIM)卡以及拜访位置寄存器(VLR)与归属位置寄存器(HLR)间的通信来识别用户。这些识别都是比较客观的，是用户难以伪造的。由于一个用户可能有多个使用人，还可以将这种客观的识别与密码的认证结合起来使用，大大提高接入控制的可靠性。上述对用户的识别将不仅仅用于本地接入的控制，还可以用于远程的识别与认证。方法是采用类似于电信网主叫线识别提供(CLIP)的信令功能，在设计因特网的信令系统时也可以提供类似的发送者(或主叫者)的识别提供功能，来代替或加强远程用户的识别、认证等接入控制。在网间互通的情况下(如用户经由PSTN接入因特网的情况下)，可要求接入网络(即PSTN/ISDN)提供用户的识别信息，因特网本身应建立这种互通用户的用户数据，并进行核对。

　　采用上述安全性对策后，强大的信令系统与控制功能可以提供很多安全服务。如捣乱用户的追查功能；可疑用户的监测功能；建立用户通信信用数据库，拒绝为信用不良的用户服务等。

　　归纳起来，在采取上述措施后，可带来如下的好处：

　　● 基本消除一般用户对于公网设施的入侵与破坏；
　　● 大大提高窃听和对特定用户的通信进行跟踪的难度；
　　● 大大提高接入控制/用户认证的可靠性；
　　● 实现对捣乱用户的迅速追查。

　　但这些措施对于端到端的入侵仍无能为力。端到端的入侵问题需要在终端上采取措施。如采取防病毒措施，在操作系统上进行改进，对外来通信中所带的可执行文件特别处理，在不可靠的情况下，不予执行等。

　　2.2 新的网络架构

　　基于前述对策和IT技术的最新发展趋势，可提出因特网的新架构。图1所示为采用带外信令的因特网网络新架构。

图1 采用外带信令的因特网示意图

　　新的架构有如下特点：

　　(1)依据控制与传送分离的趋势，将采用控制层和传送层分离的网络架构。传送层将采用国际上看好的MPLS技术，网络由MPLS接入网和一系列MPLS交换机组成的MPLS核心网构成，它在控制层的控制下进行用户信息的传送。

　　(2)控制层由一些选路交换控制器和带外信令网组成。控制器之间通过控制器到控制器之间的信令交换控制信息，并通过控制器到MPLS交换机的信令对传送层进行控制。控制层的功能将包括两个方面：一个是呼叫/会话(Call/Session)的端到端控制，另一个是对核心传送网的控制。前者是针对单个用户或应用的数据流(Micro-flows)，后者是针对集合数据流(Aggregated data flows)的标签交换路径 (LSP)。

　　(3)用户网络接口处用的是用户网络信令，核心网上用的是网元间的信令，包括控制器到控制器之间的信令和控制器到MPLS交换机的信令。两者将分别地进行规范。

　　图1显示的只是公网，专网将作为用户处理。另外图1中难以直观表达的还有如下功能：

　　(1)接入网或端局将具备用户的客观识别功能，并能将这种识别信息通过信令传送给控制层(边缘控制器)。

　　(2)控制层应在Call/session建立的控制信令中将上述用户的识别信息传送给远端的主机或服务器，用于远端的接入控制。

　　(3)控制层与传送层相结合，还可以向用户提供其他必要的安全服务功能，如捣乱用户的追查等。

　　2.3 新网络架构带来的好处

　　在采用上述带外信令的网络架构后，IPv4地址空间不足、网络传送开销大、处理层次过多等问题也将同时迎刃而解，因为Datagram的带内信令方式不仅是现有包网络安全性问题难以解决的根子，也是其他问题存在的关键所在。

　　在带外信令的情况下，网络地址将不过是网络信令中的一个参数。地址不够用时只需进行地址参数长度的修改，根本不必要在协议层次上作重大变动。因此如果采纳这种带外信令的网络架构，向IPv6的过渡就不再需要。带外信令方式还将允许采用不同类型的网络地址(包括现行的IP地址和任意位数的地址长度，只需要在地址字段中设立地址类型子字段和地址长度子字段)。

　　由于网络控制信息走的是信令信道，在用户平面上，用户数据将只需要进行二层的包装处理。这样既可精简网络的处理层次，又可以减少传输开销，从而可大大提高网络的传送效率和服务质量。

　　由于采用了端到端的信令商议，端到端的QoS保障将不再是问题。

　　3 对相关有争议问题的讨论

　　3.1 采用带外信令的可行性问题

　　应该说采用带外信令的网络新架构方案将从根本上改造现有因特网赖以生存的IP协议，数据将不再被打成由IP包头和有效负荷组成的IP包，IP选路(Routing)的方式也将被丢弃。在这种情况下，网络还能不能有效地运转是首先要回答的问题。

　　首先，从理论上讲，是不存在问题的，因为它的原理与传统的电信网是类似的。通过端到端的信令交换可以为用户通信确定通信的路径及路径可用性。其次，数据传送层可以在信令的控制下建立一系列LSP，构成一个端到端的链接，将两端的用户在链路层上连接起来，就像在PCM通路层上建立连接一样。与传统电信网不同的只是传送的对象是数据包，利用的信道是标签复用的虚通路的连接。事实上本人已经对具体的实现方法进行了研究，证明可以在这一架构上实现将所有服务都载于 MPLS，即MPLS传送话音(Voice over MPLS)、MPLS传送数据(Data over MPLS)和MPLS传送视频(Video over MPLS)。

　　采用带外信令的网络新架构方案确实对现有因特网作了较大的改变，但受影响的主要是网络层。对网络层以上的协议和MPLS下层的协议影响不大。当然与IP层相接的传送层协议(TCP/UDP等)和MPLS层本身将作一些相应的修改。即便是网络层，原有的选路算法与不少协议修改后仍可使用。至于信令，现有IETF的信令协议也可能在适当修改后用于新的网络。

　　3.2 采用带外信令是不是倒退

　　有人可能会问，带外信令系统是传统网络中使用的技术，在因特网中采用这种技术是否是一种后退。其实不然。电路交换确是传统技术，但传统技术中的某些方法与原理在新一代的技术中得到应用是常见的事。事实上带外信令的方式在因特网中早已存在，IETF制订的(包括正在制订中的)不少控制协议，本身就具有带外信令协议的性质，如用于路由器或路由交换机之间的相邻关系的发现、建立和信息的交换，MPLS标签的分配，通用交换管理协议(GSMP)，Megaco(为IETF的媒体网关控制协议)，远程拨号用户认证等都是一些与用户数据分开传送的控制信息。所以在因特网中带外信令并不是什么新的东西，这里不过是建议将地址信息等也都交由带外信号去传送而已。

　　对于一个网络，重要的是它能提供什么样的服务，是否能经济而有效地提供这些服务。采用带外信令的网络建议的通信架构是基于包方式的网络，这与原有因特网并无差别，但由于在用户面上，省去了原有的第3层，网络因此更加经济有效。

　　3.3 面向连接还是无连接问题

　　值得探讨的是，采用端到端的信令来建立通信是用于面向连接的网络服务的，这与Datagram的方式有本质的不同。后者是无连接(Connectionless)的。因此可以说采用端到端信令在实质上是返回到面向连接的通信方式，是对数据包方式的否定。这种说法没有错，但本人认为这并没有什么不好。理由如下：

　　(1)因特网本身正在越来越多地采用面向连接的技术。MPLS就是一个典型，因为MPLS的LSP是一种由信令(如LDP或RSVP)控制建立的连接。按照IETF现有的规范，MPLS是用于核心网的，即是从边缘交换路由器连接到另一个边缘交换路由器。如果将MPLS技术扩展到接入网，就会出现端到端的MPLS连接。

　　(2)因特网正在解决QoS问题。现在已经做到的是对每一跳(Hop)服务质量的保证。可以通过在IP层设置DSCP(区分不同服务的编码值)，或者让服务质量要求不同的数据走不同的LSP，可以使不同的服务得到不同的处理，优先保证实时性强的服务。但由于无法知道从源点到目的地需要经过几跳(这是不采用端到端信令的直接结果)，端到端的服务质量将难以保证，也难以将极限指标适当地分配到每一跳上。本人认为：要彻底解决端到端的服务质量，端到端的信令交换是必需的。只有经过端到端的信令交换才能知道两者之间传输资源的可用性，并确定数据传输要走的路由。

　　(3)纯粹的无连接方式。如Datagram方式，仅对尽力而为(Best effort)的服务才是最佳的。但从长远来说，越来越多的服务将是有服务质量要求的服务。在此情况下，采用端到端信令和采用面向连接的服务将是不可避免的。

　　(4)无连接服务通常用于单个或少量数据包的传送。端到端信令对于这种服务也是很有意义的。通过信令可以在用户数据发出之前就对发送者进行识别与认证，若通不过认证就不予发送。这样既可以提高网络的安全性，又可以避免传输资源的不必要浪费。

　　(5)在采用端到端信令的情况下，可以采用一种半连接半无连接的处理方式，来传送单个或少量的数据包。网络在这发送完一个或几个数据包后，可自动拆线(而不是由用户控制拆线)，网络连接的存在是十分短暂的。

　　参考文献：

　　[1] IETF RFC 2402. IP Authentication Header [S]. 1998.
　　[2] IETF RFC 2406. IP Encapsulating Security Payload (ESP) [S]. 1998.
　　[3] IETF RFC 2246. The TLS Protocol [S]. 1999.
　　[4] IETF RFC 3031. Multiprotocol Label Switching Architecture [S]. 2001.
　　[5] ITU-T H.235. Security and encryption for H-series multimedia terminal [S]. 2000.
　　[6] 杨义先. 编码密码学[M]. 北京:人民邮电出版社, 1992.10.

[摘要] 文章从网络架构的角度研究了网络的安全性，分析了现有因特网脆弱的原因，提出了基于网络架构的安全性对策以及基于这些对策的因特网新架构，并对相关有争议的问题进行了分析讨论。

[关键词] 网络安全；网络架构；带内信令；带外信令；面向连接；无连接

[Abstract] This paper works on network security from network architecture point of view. First of all the weakness of the present Internet is analyzed, then some counter measures come to the conclusion and a new Internet architecture is proposed. With regard to the new architecture some questions are raised and discussed.

[Keywords] Network security; Network architecture; In-band signaling; Out of band signaling; Connection-oriented; Connectionless