下一代互联网的网络安全

    互联网以其网络的开放性、技术的创新性、信息传播的交互性而广泛渗透到社会各个领域，深刻地改变了人类的生活方式，有力地促进了社会的发展。但是，随着人们对互联网的规模、功能和性能等方面的需求越来越高，以IPv4协议为核心技术的互联网面临着日趋严峻的挑战[1]。具体表现为网络可扩展性差，地址匮乏和路由表不断膨胀；网络不可控、不可管、没有感知和测量功能，服务质量无法得到保证等[2]。

    目前，人们对下一代互联网的需求和基本特征有了比较一致的看法，即下一代互联网应该解决目前互联网在“扩展性、高性能、实时性、移动性、安全性、易管理和经济性”等方面存在的重大技术问题。如何向下一代互联网发展，目前有两种技术路线，即演进路线和从零开始(Clean Slate)路线，两种路线的主要区别在于是否沿用现有互联网端到端透明的体系结构[3]。

    演进的技术路线不改变现有IP网络的体系架构，采用协议增强或者网络功能增强技术解决现有问题。比如，使用IPv6协议解决IPv4面临的地址空间危机，采用IP安全(IPsec)机制增强IP报文的安全性；使用多协议标记交换(MPLS)协议加快路由处理速度；引入IP多媒体子系统(IMS)增强IP网对多媒体的处理等。

    从零开始的技术路线不考虑与现有互联网的兼容性，旨在设计全新的从零开始的网络架构，即重新探讨地址、域名解析、路由等基本问题，重新设计网络架构、协议、应用。这种网络不仅可以支持现在的各种业务，有线、无线、固定、人与人、人与物、物与物的服务，而且满足未来多种网络、多种应用的叠加，从根本上解决原有体系结构存在的问题。这一研究思路引起了许多国家的特别关注，发达国家相继启动了未来网络(Future Internet或称POST IP)研究计划，意图掌握未来互联网核心技术。研究计划主要有：美国的PlanetLab、GENI、FIND和FARA，欧盟的Fire，日本的Akari等。

    最初的互联网仅仅被当作一种研究工具在科研人员之间使用，由于用户相对单一，使用者之间完全可以通过默契建立良好的信任关系，并没有考虑到商用场景中用户规模、信任、管理等问题。在商业化进程中，由于利益驱动，加上用户技术水平和道德素质参差不齐，使得互联网的安全受到威胁[4]。一方面，恶意攻击、僵尸网络、蠕虫病毒、网络病毒层出不穷，垃圾邮件、色情信息弥漫于网络的各个角落，为网络系统和用户带来严重威胁；另一方面，企业、机构不断加固系统，扩容设备，升级软件，使得网络安全管理的费用超过网络建设费用，同时也导致了网络越来越复杂，系统越来越臃肿。

    正是因为上述原因，在两种演进路线中，如何保障网络安全都是研究者关注的重点。两种路线的安全保障实现难易程度不同，第一种路线已经有较为成熟的安全技术和安全机制，而第二种路线还处于安全需求讨论阶段。

1 演进路线下的网络安全
    互联网发展到现在，安全问题始终与其息息相关。互联网设计的前提是假定用户自律，位于彼此信任小规模、封闭的网络环境，因此没有内置相关的安全机制，也没有去考虑开放环境下操作系统和应用的安全问题，这种情况导致早期的互联网面临层出不穷的安全威胁，由于网络协议与管理机制不可靠，互联网解决安全问题的方式是“打补丁”，这形成了演进路线的基本思路。

    演进路线中的安全机制一部分依赖现有互联网协议的增强，另一部分通过网络设备对网络末端节点或核心网元进行加固，因此互联网中存在大量防火墙、流量清洗设备、监控和审计系统。演进路线确实在一定时期解决了部分安全问题，取得了不错的成效，但从长远角度看，使网络变得更加复杂且难于管理。

    在演进路线中，IPv6是一种典型的协议增强技术。IPv6通过IPSec为网络中的每个节点提供数据源认证、完整性保护和加密的机制，同时还可以使节点有能力抵抗重放攻击。IPsec通过两个扩展报头，即认证头(AH)和封装安全载荷(ESP)将安全机制内嵌在协议之中。其中AH实现了保护数据完整性(即不被非法篡改)、数据源发认证(即防止源地址假冒)和抗重放攻击3个功能，而ESP则在AH所实现的安全功能基础上，增加了对数据保密性的支持。

    IPv6为用户提供端到端的安全保障，使IP网络的安全性得到极大的改善。但是从IPv6实验和商用的情况来看，针对互联网中现存的安全问题，各主流厂商并没有相应成熟的安全产品。同时，IPv6安全机制也存在一些问题，如网络节点大量使用端到端的加密方式，会对目前基于报文解析、内容扫描的安全体系造成严重影响[5]。尽管IPv6设定之初就已经开始考虑安全问题，也确实为网络安全来带了不少的好处，但IPv6在设计上仍存在缺陷，Any-cast服务、路由头协议、Internet控制消息协议第6版(ICMPv6)、碎片包、无状态地址自动配置(SLAAC)和巨大地址数量都可能给下一代互联网带来潜在危险。

    上述所列问题如果不能妥善解决，下一代互联网将会建立在一个不牢靠的基础上，毫无疑问，仍将重现当前互联网所面临的安全问题。

2 从零开始路线下的网络安全
    从零开始的技术路线主张抛弃现有互联网网络体系，旨在设计全新的从零开始的未来网络架构。研究者认为应将安全和系统架构设计视为一个整体：即在设计网络架构的同时，提出安全需求，设计安全机制，从下一代互联网体系结构上系统地解决互联网安全问题。

    经过了近5年的研究，目前研究者们达成的共识是从零开始的方案太过超前，脱离现有互联网，从而导致目前的研究较为零散，没有实质性的应用成果产生。目前该方案技术方面基本还都处于研究和试验状态，且标准化水平较低。由于未来网络的安全机制和网络需求与架构密切相关，因此并没有产生具体的安全机制或安全参考模型。

2.1 下一代互联网可信、可控、可管问题
    互联网的脆弱性表现在设计、实现、运行管理的各个环节。中间节点对传输数据包的来源不验证、不审计，导致地址、身份被假冒，垃圾信息泛滥，大量的入侵和攻击行为无法跟踪，难以溯源；用户个人信息或者关键数据在网络上存储和传输都会面临风险，互联网中的数据系统、业务系统常常遭到攻击，各层漏洞层出不穷……

    目前互联网中普遍存在的脆弱性导致其是不可信任的。文献[4]指出：下一代互联网的研究应该充分体现可控、可信、可管的特点。

    文献[4]认为可信的下一代互联网应具有如下特性：(1)实现系统和信息的保密性、完整性、可用性；(2)真实性，即用户身份、信息来源、信息内容的真实性;(3)可审计性，即网络实体发起的任何行为都可追踪到实体本身；(4)私密性，即用户的隐私是受到保护的，某些应用是可匿名的；(5)抗毁性，在系统故障、恶意攻击的环境中，能够提供有效的服务；(6)可控性，指对违反网络安全政策的行为具有控制能力。

    可控性与可信性是相辅相成的。如果网络实体的身份是可信的，则可更有效地控制和规范实体的行为；同时，在可控的网络架构下，才能对网络实体的身份和行为构成有效约束。

    当前的互联网主要是通过部署第三方安全设备实现网络的可控性。例如，使用防火墙或者安全网关保证末端节点的安全，使用入侵检测设备，流量清洗设备过滤互联网中多数有害的流量，保证网络的正常运行。一方面，这些设备能阻止绝大多数简单的攻击，防御外来攻击；另一方面，配置设备难度较大，且设备仅对已知的外部攻击提供有限保护，不能处理内部攻击或未知攻击。

    关于网络安全设备的讨论可转化为关于网络架构设计的讨论。如果我们能够在网络的关键点上严格控制和规范业务流，使其符合正常业务流的特性，则可以在很大程度上减小垃圾邮件的传播和分布式拒绝服务攻击(DDOS)等安全威胁。如果人们能在网络架构设计中融入安全设备的控制能力，将控制作为网络与生俱来的特性，并将其从网络末端延伸至网络的核心，那么这种强化的控制措施将会有利于维护互联网这个复杂的巨大系统可靠地运行。

    如果可控性作为下一代互联网协议的一部分，那么网络中是否应有专门的安全网元？这个网元应该如何部署？执行什么样的安全功能？有了这些安全功能，网络体系的健壮性如何得到改善？网络的传输效率、服务质量应该如何与其协同？这些问题必须在下一代互联网的设计中得到解决。

    网络管理最主要的功能是对网络运行期间的各种状态进行及时感知，而这种感知的目的是对包括故障、攻击和服务质量下降等各种异常现象的及时定位、推理和诊断，最终做出适当的反应。当前的互联网，由于控制和管理功能依赖于数据平面，缺乏协调的分布式控制，大多数控制和管理功能都是后期定制，而不是在网络设计之初就统一考虑的，因此呈现出难以有效收集网络状态、难以有效发现和定位网络异常，从而难以及时做出反应的特点。因此，在未来网络中应该有专门的管理控制系统重点解决上述问题[6]。

    从理论上讲，根本上消除脆弱性、企图设计并实现一个绝对安全的互联网是不切实际的。但下一代互联网络需要从体系结构上为安全付出必要的努力。下一代互联网络必须提供可信任的网络服务，至少应有机制确保下一代互联网地址及其位置的真实可信、网络对象可识别和网络攻击可防范等；下一代互联网必须无缝、高效地解决可控性问题；下一代互联网必须提供更方便、灵活的管理手段，对网络运行的各个方面实施全面、高效的管理。

2.2 互联网协议的设计问题
    当前互联网协议在设计时，没有特别考虑到安全问题。下一代互联网中，安全应该成为是协议设计的重要前提，各层协议在设计时需要从各个方面执行安全检查[7]。例如，TCP的最初握手协议应该被重新设计，允许网络中的节点执行最初的源身份检验；简单邮件传输协议(SMTP)的身份验证、匿名转发应该重新设计，保证只有具有真实身份的用户才能发送邮件等。此外，单层协议的增强不能使系统安全性得到明显改善，为提高系统整体安全性能，在协议设计时，必须对网络协议栈中所有的安全问题进行综合的考虑。以边界网关协议(BGP)为例，为了增强BGP协议的安全性，可使两个通信的BGP路由器共享某密钥，以对通信内容进行加密和完整性保，但是攻击者完全可以跳过BGP协议层，直接利用传输控制协议(TCP)的漏洞，攻击进而控制BGP路由器。

3 对下一代互联网安全的思考
    互联网是迄今为止运行经验最为丰富的网络，也是全球投资最大的网络。各种技术、各种模式在其中兴衰、沉浮，无数成功与失败的经典案例在其中沉淀、积累。尽管对下一代互联网的研究不应受当前互联网的约束，但我们不可能完全摒弃原有以IP为基础的互联网，在寻求创新和突破同时，更要遵循经验，做好继承。

    例如异步传输模式(ATM)在效率上要强于IP，但因为复杂在实践中遭到失败；IP具有强大兼容性，但在可信、可控、可管方面却存在严重不足；电子邮件协议是互联网应用的成功典范，但随之带来垃圾邮件问题，成为无法根治的顽疾；域名服务器(DNS)是互联网内访问的基石，同时也是网络安全的短板。因此，在新一代互联网的研究中，我们必须在继承的基础上不断完善和创新，总结过去成功的经验，吸取失败的教训，以获得灵感，并将其应用到设计下一代互联网安全的实践中。

    经过了40多年的发展，互联网已经在全世界范围内为人类构造一个相对健全的信息共享和交换平台，深刻改变并影响了人类社会的运作模式。下一代互联网安全的设计和建设是一项长期、艰巨、系统的工程，无论采取哪种技术路线，既不应全盘否定现有的技术，也不能受制于现有的技术，同时必须要以构建可信、可控、可管的互联网为研究的重点，此外，运营者还必须慎重考虑如何从现有网络向下一代互联网平滑过渡以及保护现有投资等问题。

4 参考文献
[1] 吴建平, 吴茜, 徐恪. 下一代互联网体系结构基础研究及探索 [J]. 计算机学报, 2008,31(9):1536- 1548.
[2] 刘韵洁. 不能在未来网络上丧失话语 [C]//第九届中国信息港论坛, 2009年 11月29日,东莞.
[3] 唐晖, 林涛, 范典,等. 开展后IP技术研究发展互联网下一代 [J]. 中国科学院院刊, 2010, 25(1):55-63.
[4] 林闯, 任丰原. 可控可信可扩展的新一代互联网 [J]. 软件学报, 2004,15(12):1815-1821.
[5] 魏亮. 下一代互联网安全模式探讨 [J]. 通信技术政策研究, 2006(2):44-54.
[6] 王晟, 虞红芳, 许都. 可信网络中安全、可控可管及可生存技术研究[J]. 中兴通讯技术,2008,14(1):36-41.
[7] BELLOVIN S M, CLARK D D, PERRIG A, et al. A clean-slate design for the next-generation secure Internet [R].GENI Design Documents, GDD-05-05. NSF Workshop Report. 2005.

收稿日期：2011-01-10

[摘要] 安全问题是下一代互联网的焦点之一。文章介绍两种路线下的安全进展：演进路线下的安全进展、从零开始路线下的安全进展。两种路线实现难易程度不同。对于演进路线，文章重点阐述现有安全技术和安全机制，并指出其不足之处；对于从零开始的路线，文章重点讨论安全需求，预测未来网络应具有的安全特征。对下一代互联网未来的安全发展，文章进行了深入思考。

[关键词] 下一代互联网；安全；从零开始；未来网络

[Abstract] Security is of paramount importance for next generation Internet. This paper introduces two approaches to security: incremental evolution and clean slate. These approaches are currently in different phases. For incremental evolution, current security technology and mechanisms are discussed as well as shortcomings. For the clean slate approach, security requirements are discussed in detail and predictions made about security features of the future Internet. Some deeper thoughts on future Internet security are offered in conclusion.

[Keywords] next generation Internet; security; clean slate; future Internet

本期相关文章