下一代网安全技术的研究(下)

admin

对数据平面而言，海量数据攻击(DOS)、病毒攻击和垃圾信息泛滥的作用是相同的，总体上表现为通信网资源耗尽导致网络出现安全问题。因而，将数据平面分为若干信息隔离、资源独立的子数据平面，可有效阻止不同业务网之间因资源耗尽而带来的安全威胁。在接入处进行接入控制、使用合理的商业模型和用户实名制等，可解决因资源耗尽造成的网络安全问题。　　对第二类业务网而言，业务网中的若干节点设备要对用户信息数据进行存储和处理加工等。例如，E-mail系统中要对用户的信件进行存储、分析和转发；又如Web系统要对用户交互的数据信息进行处理，它不仅要将用户数据分组打开，还要进行分析处理并作出反应；再如流媒体系统中片源要加水印和其它数字版权保护技术，会议系统中要对多幅图像进行合成。在所有这些场合，用户数据中的内容数据将会对业务网数据平面的节点设备构成安全上的威胁，诸如可能受到病毒攻击的威胁及受到黑客攻击的威胁等。由于这些可能受到攻击的业务网节点和用户流是密不可分的，是整个数据流环节中的一个环节，缺了它业务流环节就不完整了。对于这些节点设备而引发的业务安全问题需要进行专门的考虑。
　　对于第二类业务网，并非所有的节点设备都要去对用户信息数据进行存储及处理加工，仍有大量的节点设备不去对用户数据进行处理或用户数据不直接通过这些节点，如Web系统中的搜索系统和导航系统等。对于后者，仍只须保证其使用信道与用户数据信息隔离及所用的资源不被“挤占”，即可保证其安全性，这与第一类业务网的要求是相同的。
　　再引深一步，上述构成用户数据环中的节点设备都是一些服务器。在E-mail中，是电子信箱服务器，在流媒体系统中，是流媒体服务器，在会议系统中，是多点处理设备，从本质上看是媒体处理服务器。若将这些服务器都看作是业务提供者节点，从业务网的数据平面分离出来，放在业务网之外，那么问题就会变得很清晰。

　　如果这样做，对业务网数据平面安全的要求就将统一起来。数据平面安全的要求是：透明性、信息隔离性和资源独立性。业务提供者节点的安全不纳入网络安全的范畴来管理，而是放到信息安全中去管理。这样的做法从技术层面来说也是合理的，因为业务提供者节点设备是一些要对媒体进行处理的服务器，这些服务器有很多共性的问题要解决，而由于网络安全中要处理的问题有很大差异，单独研究将会更有利于问题的解决。

五、数据加密问题
　　最后来谈谈数据加密问题。目前，用户数据的加密是一个很大的误区。由于Internet存在不安全性及不可信任性，用户为了保证自己的隐私和用户数据的私密性而滥用加密技术，给国家安全造成极大的威胁。在这个问题上，应借鉴传统通信信息网对安全的管理。
　　在传统的通信信息网中，用户均认为公众通信信息网是可以信任的，用户无须作任何加密就可以得到私密性(个人隐私性)的保障。另外，从国家安全出发，也不允许用户随意使用加密技术而加大国家安全的成本(安全监视、密码破译)。对安全要求较高的部门或行业，认为公众通信信息网的安全还不能保证其安全性，如银行的一些业务数据、电网的调度信息等高敏感的数据，他们可以向国家安全部门申请使用商用密码、终端保密机或信道加密机等，以确保机密信息的安全性。这些设备不是公众通信信息网的组成部分，也不归运营商所有。对于国家机关、军事部门、国家领导人的通信系统，则要使用更进一步的保密系统(普密或绝密终端保密机或信道加密机)，以确保其通信的安全。但所有这些都要由国家安全部门批准、备案方可使用。这样做既能满足各行各业、各种不同层面用户对安全的要求，又能保证国家安全，保证国家安全的整体成本不会太高，尤其是安全的监视、监控费用不致过高。另外，安全产品必须是国产的，完全能由国家控制。
　　目前的情况是，由于IP网络不安全，网络是不可信任的，用户出于对个人隐私保护的考虑，导致信息安全技术和信息加密技术等遭到滥用。在Internet中，SSL，SHTTP，IPSEC等安全、加密技术的无节制滥用，密码算法、密钥完全失控，使得国家安全部门对安全监测的费用大为升高。目前，Internet上的安全实际上是不可控的，用户通过Internet到底传了些什么，根本无从知晓。这是一个极不正常的现象，已经引起世界各国的重视。在下一代网络的设计中，世界各国都强调在公众信息通信网中必须有监测点，以保证法定的中途截取功能(Lawful Intercept)的实施。为了实现安全监测费用和复杂性的最小化，公众信息通信网中的信息必须是不能加密的。
　　为了在保证用户的私密性和国家安全监测费用与复杂性的最小化中求得一个平衡，在数据平面中可采取如图2所示的工作模式。当然，这里有一个前提，即公众信息通信网必须是安全的，可信任的，是可以满足用户信息私密性要求的(这对下一代公众信息通信网提出了要求，也是在下一代网设计中必须考虑和实现的)。

　从用户到用户的数据通道分为三段，即用户(T)到公众信息通信网的边缘设备(BE)、公众信息通信网(BE-BE)和公众信息通信网(BE)到用户(T)。假设前提是，公众信息通信网是安全的、可以信任的，是能够满足普通用户的私密性要求的(当然，在公众信息通信网的设计中是必须确保的)。在公众信息通信网中的用户数据必须是明码，非经批准不得随意使用加密技术。

　　用户(T)到公众信息通信网的边缘设备(BE)这一段，由于大量使用共享总线(资源)和开放链路的工作方式，如无线用户和基站之间用的是开放无线链路，如不采用相应的技术措施很难保证用户信息的私密性，即使象GSM相当成熟的二代技术，从用户到基站这一段的实际私密性也是很差的，目前就有设备可以监听30米内任意一个GSM手机用户的通话。另外，如以太网和Cable Modem等共享总线(资源)工作方式，用户到接入点这一段由于是共享总线(资源)，因而也很难保证用户数据的私密性。从用户(T)到公众信息通信网的边缘设备(BE)这一段，为了保证用户的隐私可以使用商用密码技术来保证用户数据的私密性，但到了BE处，密文必须还原成明文，以保证在公众信息通信网中Lawful Intercept(法定的中途截取功能)的实施。从公众信息通信网(BE)到用户(T)这一段，情况与用户(T)到公众信息通信网的边缘设备(BE)这一段相同，也有必要使用商用密码技术来保证用户数据的私密性。
　　Internet的引入把很多问题都搞乱了。可以说，Internet是旧世界的破坏者，但它却不是新世界的建立者。它把信息通信网搞成了一个无政府主义社会。它除了能保证网络的通达性外，将一切都交给了用户，故网络是不安全的，用户有理由对网络不信任。Internet的确也无法信任，安全问题由用户自己解决，资源靠用户自己去获取。由于网络不提供信任度，又不提供安全保证，用户为了自身利益和自身数据的私密性，大量、无节制地使用加密技术。SSL，SHTTP，IPSEC等安全、加密技术被滥用，导致国家安全保障方面出现巨大漏洞。安全、加密技术是双刃剑，它固然可以保护个人(或商业系统)的安全，但它同样也会使国家安全遭受严重威胁或极大增加国家的安全成本。
六、结束语
　　当Internet只是用于信息检索和个人之间的E-mail通信时，当Internet只是作为一般用途，特别是仅用于教学、科研时，安全问题虽然存在，但并不是那么明显。目前，IP技术已经成了气候，IP网已经成为国家信息基础设施的重要组成部分，问题的性质就改变了。因而，在考虑下一代网的设计和定位时，在体系结构的考虑中，安全将是重要的因素，下一代网必须是安全的、可信任的，从而使网络系统的综合成本最小化。