下一代网安全技术的研究(中)

admin

四、网络的安全技术

　　公用通信信息网的安全主要包含三个方面。其一是网络应该是高可靠、高可用和高可通达的，这是网络安全的基础。其二是网络对用户数据应该是透明的，能够确保用户信息的私密性。其三是公用通信信息网必须提供法定的中途截取功能，公用通信信息网内的用户信息非经特许必须采用明码形式，不得进行任何程度的加密。

　　首先探讨网络的高可靠性和高可用性问题，这个问题涉及面最广，也最复杂。网络的高可靠性和高可用性的基础是，网络节点设备的高可靠性和高可用性以及链路的高可靠性和高可用性。在电信网中明确规定，电信网中网络节点设备的可靠性必须达到99.999%，即所谓电信设备应达到5个9的可靠性要求。网络节点设备的高可靠性一般是由硬件的冗余备份、双机的保护倒换及软件的自动检测诊断和恢复等技术来保证的。网络链路的高可靠性是依靠链路的自动检测诊断和自动保护倒换等技术来保证的。所有这些技术对于保证网络的安全性是十分必须的，也是有效的。这对传统电信网来说，通常情况下已经足够了，特别是对传送网是足够了，但对于目前的网络，特别是对下一代网络还不足以保证网络的安全；还需要有进一步的措施，还要作进一步的研究，以发现问题的所在并寻求出解决办法。

　　对通信信息网而言，从纵向来看，可分为三层，即业务网、承载网和传送网。这三层网中的任何一个网又都是由数据平面、控制平面和管理平面所组成。保证网络安全的必要条件是，这三个网的所有平面都必须是安全的。只有这些平面全部是安全的，网络才能是安全的。

　　(1)控制平面。控制平面是网络的灵魂，只有控制平面安全才能保证网络的正常运行。威胁控制平面安全的因素主要有三个：其一是节点设备之间的信任关系，一个不可信任的节点设备进入网内，如果允许其交换控制信息，显然会对网络构成极大的威胁。举个例子来说，IP网内路由器之间路由信息的交换是通过控制平面来实现的，如果一个不可信任的路由器进入网内，恶意交换路由信息可将整个网络的路由搅乱，很显然这将会造成严重的问题。因而，要确保网络的安全，设备之间信任关系的建立是至关重要的。其二是控制平面、管理平面和数据平面之间的信息隔离，必须保证三者之间的信息是不可通达的。特别是数据平面和控制平面之间的信息隔离，控制平面绝对不能受到来自数据平面用户数据的影响。其三是控制平面、管理平面和数据平面之间必须保证其资源是独立的。管理平面和数据平面绝不能“挤占”控制平面所需要的资源，必须保证控制平面的资源需求。

　　在对下一代网的要求中，提出控制平面用“带外信道”来传送。这里所谓的“带外信道”(out of band)指的是物理意义上的带外或逻辑意义的带外，物理意义上的带外是采用另一套线路来传送，如同SS7信令信道那样。逻辑的“带外”有两重含义，第一层含义是控制平面、管理平面和数据平面之间实现严格的信息隔离，三个平面之间的信息是严格不可相通的，从而可确保控制平面不会受到来自其它平面的攻击。第二层含义是控制平面所需的传输资源必须是有保证的，换句话说，就是控制平面的资源独立性。控制平面不会因为受到其它平面(特别是数据平面)的资源滥用，因资源被“挤占”而消耗殆尽，造成控制平面失控。这两点是“逻辑带外”的含义，无论是“物理带外”还是“逻辑带外”，只要采用“带外”控制信道，安全性将会大大增强，基本能够满足通信信息网安全的需要。

　　另外一点也是十分重要的，这就是用户控制平面和网络系统控制平面的分离，即用户控制平面和系统网络控制平面应采用不同的接口技术，用户采用UNI接口，网络采用NNI接口。用户网络拓扑和系统网络拓扑应分离，用户网络拓扑不能去影响系统网络拓扑。从技术上来讲，只要建立信任关系，就可以保证安全，UNI与NNI或用户网络与系统网络拓扑分离的问题并不大。但信任关系的建立是要付出很大代价的，UNI与NNI或用户网络与系统网络拓扑分离可使安全代价最小化。

　　(2)管理平面。管理平面是网络的另一个核心，通常情况下，管理平面和控制平面起着一个互补的作用。例如，网络的VPN可以通过信令来建立(控制平面)，也可以通过管理配置(管理平面)来实现，在这方面，两者有同等的重要性。当然，网管有五大功能，配置管理仅是其中之一，从这里也可以看出管理平面的重要性，它是构成网络安全的一个重要的环节。

　　与控制平面相同，威胁管理平面安全的因素也有三个。其一是管理设备与被管理设备之间的信任关系，一个不可信任的管理设备进入网内，显然会对网络构成极大的威胁。其二是管理平面、控制平面和数据平面之间的信息隔离，必须保证三者之间的信息是不可通达的。特别是数据平面和管理平面之间的信息隔离，管理平面绝对不能受到来自数据平面用户数据的影响。其三是管理平面、控制平面和数据平面之间必须保证其资源是独立的。控制平面和数据平面绝不能“挤占”控制平面所需要的资源，必须保证管理平面的资源需求。

　　与控制平面不同，管理平面还有两个方面的问题需要考虑，这就是人为因素造成的安全问题。人为因素之一是，网络管理员的操作不当或误操作，甚至是窃取管理员权利后的恶意操作。人为因素之二是通过不安全信道(如通过拨号，用电话的话带数据信道来传输管理命令)。当然，从严格意义上来说，这不是技术问题，要从行政管理、规章制度、人为因素等方面入手去解决。但这也是一个方面，也是保障网络安全的一个重要的环节。上述诸方面是管理平面所涉及的问题，这些问题解决好了，就可以保证运营网的安全。

　　当然，除保证节点设备之间的信任关系以及管理平面和控制平面的信息隔离和资源独立外，为了进一步保证安全，在管理命令和控制信令上可以使用商业级加密技术。但商用加密技术的使用是要经过国家相关部门批准和备案的，而且使用加密技术是有代价的，其代价还是不小的，需要适当权衡。在下一代网的设计中，由运营者保证网络安全，又尽量少用或不用加密技术将是重要的设计原则。

　　(3)数据平面。数据平面的安全性问题比较复杂，特别是业务网的数据平面，因存在两类业务网，一类业务网的数据平面的节点设备对用户数据不作任何处理(如电话业务网)，对用户数据进行透传即可。另一类业务网的数据平面的节点设备对用户数据作处理(如电子信箱、web业务等)，其问题要复杂一些，下面将分别进行分析探讨。

　　对于第一类业务网，数据平面的安全性可表达为透明性、信息隔离和资源独立。透明性指的是网络的透明性，有两层含义。其一，用户数据通过公众通信信息网不会发生变化，不会因为通过通信信息网造成用户信息数据的丢失或篡改，用户信息过网是安全的。其二，用户信息数据对网络是透明的，非经批准，用户数据不得采用加密技术，以保证法定的中途截取功能(Lawful Intercept)的实施。

　　信息隔离则要保证不同用户之间的数据信息不发生交互，A用户不能进入B用户的数据通道读取或修改B用户的数据信息，反之亦然，以便保证用户信息之间的严格隔离。

　　资源独立性指的是，A用户的资源不会被B用户占据，同样B用户的资源也不会被A用户占据。其意义是很明确的，即A用户不会因为B用户对资源的过度消耗，通信资源被耗尽而无法正常通信，B用户也不会因为A用户对资源的过度消耗，通信资源被耗尽而无法正常通信，两者的资源是独立的，是不会被“侵占”的。

　　上述三条是数据平面保证安全性的主要措施。这三条做到了，就已经达到了公众通信信息网数据平面安全性的要求。超出这个范围的安全性要求不应由公众网来提供，而是通过使用相应的保密设备(终端保密机、信道加密机等)来保证，而使用保密设备是受限制的，有条件的。

　　由于IP网的不安全性，导致IPSEC等加密技术无节制地被滥用，这是用户数据加密的最大误区。