摘要：

文章從網絡架構的角度研究了網絡的安全性，分析了現有因特網脆弱的原因，提出了基于網絡架構的安全性對策以及基于這些對策的因特網新架構，并對相關有爭議的問題進行了分析討論。

關鍵詞：

網絡安全；網絡架構；帶內信令；帶外信令；面向連接；無連接

Abstract:

This paper works on network security from network architecture point of view. First of all the weakness of the present Internet is analyzed， then some counter measures come to the conclusion and a new Internet architecture is proposed. With regard to the new architecture some questions are raised and discussed.

Key words:

Network security; Network architecture; In-band signaling; Out of band signaling; Connection-oriented; Connectionless

傳統(tǒng)的電信網絡，也即基于電路交換方式的網絡，正在逐步為新一代基于數據包方式的網絡所取代。但現有基于數據包方式的網絡(即現有因特網)還存在著許多問題必須有效地加以解決，否則它的發(fā)展就會受阻礙。在這些問題中，有兩大令人頭痛的問題是至今仍難以解決的：一是網絡的安全性，二是網絡端到端服務質量的保障問題。

現在商家已經將有效性高的網絡叫電信級的網絡。其實僅有電信級的服務質量是不夠的。一個真正電信級的網絡必須既有電信級的服務質量又十分安全。沒有足夠的安全保障，就談不上電信級的網絡。

基于電路交換方式的傳統(tǒng)網絡盡管正在過時，但從網絡安全的角度，應該承認，它仍然是較好的。在電話網時代，人們很少為網絡的安全而擔心，這說明在原有電信網絡中安全問題解決得較好。對此有人可能會持疑義，因為有不少論述網絡安全的文章中都將網絡安全問題視為包方式網絡所特有的，在傳統(tǒng)網絡中是不存在的。其實不然，在傳統(tǒng)的電信網中同樣存在著類似的安全問題，同樣可以竊聽，非法占用服務，搗亂呼叫，甚至可以通過充入大量虛假的業(yè)務量而使網絡過載(相當于拒絕服務)，只是這些問題得到了較好的解決，才沒有引起如此眾多的關注。

當然，包方式網絡的安全性有其獨特的地方，例如計算機病毒的傳播，“特洛依木馬”式的侵入與破壞等是包方式網絡所特有的。

1 現有包網絡安全性的脆弱面

1.1 包網絡安全性現狀

網絡遭受攻擊對象可以分為兩個方面：一個是公共網絡設施，一個是終端。前者被破壞的影響面較大，需要特別地加以關注。

從媒體的報道來看，端到端的攻擊是很頻繁的。端到端的攻擊是基于協議、操作系統(tǒng)和應用軟件的開放性，以及許多軟件中有意無意地存在著的缺陷。開放性是我們得以方便地建立通信，利用第3方的軟件以及使軟件COTS(可在商店貨架上出售)化所必須的，因此不可能因為黑客攻擊而放棄開放性。軟件的缺陷在實際中也往往難以避免。

在目前對于網絡攻擊的報道中，多數是對網站和服務器的攻擊，即端到端的攻擊，較少有對大規(guī)模公共通信設施進行破壞的報導。這是因為：

(1)公共通信設施，如路由器等已經采取了相對較為嚴密的安全措施。

(2)公共通信設施未引起一般攻擊者的興趣。現有的攻擊者大都是為了驗證與表現一下個人的能力，或者只是一些一般的惡作劇者。

(3)真正對公共通信設施的侵入者，其行為是極其保密和有政治背景的，諸如竊聽機密之類的事不易為人發(fā)現。

雖然網絡公共通信設施被侵入與破壞的報導較少見，但千萬不要忽視這種IP公共通信設施被竊聽、攻擊與破壞的可能性和現實性。目前的信息戰(zhàn)都是處于隱蔽的狀態(tài)，以竊聽為主，如果要公開地進行破壞性的信息戰(zhàn)，由于攻擊者是一些有政治目的的集團或國家，在技術上又是手段高強的行家里手，它們對公共通信設施的破壞將會產生極其嚴重的結果。另外一些發(fā)展中國家，包括中國在內使用了大量進口的軟硬件，在這些軟件和硬件中是否會有什么特意設置的東西，使外國間諜機構可以借此進行竊聽和遙控，更是難以排除的憂慮。

為了應對各種各樣的網絡攻擊，較好的對策是：

(1)不斷地改進接入的認證和授權。但典型的認證都是靠的口令，口令一旦被竊取或識破，就難免會遭受攻擊。

(2)加密方法和密鑰分發(fā)方式的改進。不斷有新的加密算法產生，包括對稱的密鑰系統(tǒng)和不對稱的密鑰系統(tǒng)，但是也不斷有解密的辦法聞世。國際上廣泛采用的數據加密標準(DES)算法，目前雖然還未見成功破解的報道，但它的密鑰長度是美國國家安全局規(guī)定的，可以肯定DES對于美國安全局來說并不保密。

(3)檢測偽造的業(yè)務流，防止拒絕服務。

(4)加強病毒的檢測和軟件與數據修復的能力。

(5)檢測信息完整性。這只能發(fā)現問題，無法防止攻擊。

(6)在電子商務應用中還有電子簽字，不可否認技術等。但能否有效運轉仍有待考驗。

為了保證安全，人們可說是層層設防，處處設防，耗費了大量的處理能力和代價。所謂層層設防，表現在從物理層到應用層，幾乎協議的每一層都有為保密而設置的機制和協議。處處設防更是顯而易見，每個局域網(包括終端與用戶網)，每個單位、機構，每個管理域，每個國家，每個商務平臺都有各自的安全系統(tǒng)。這些安全系統(tǒng)，不能不說起到了一定的作用，但代價很大，很復雜，而且即便如此，人們仍然對因特網使用的安全性持懷疑態(tài)度。

1.2 因特網脆弱的根源

因特網之所以在安全性上如此脆弱有許多方面的原因，其中的一個重要方面是網絡架構的缺陷。

首先，現有因特網采用帶內信令方式，即控制信息(用于尋址的地址信息)與用戶數據在同一路由傳輸，而且打在同一個數據包中，這種簡單的自帶尋址信息數據報(Datagram)的控制方式帶來了兩方面的問題：

(1)用戶信息很容易被竊聽和跟蹤。竊聽者只要能讀取地址或地址前綴(用地址過濾器)，就可以從浩瀚的信息流中將需要竊聽的信息分離出來，得到十分完整的發(fā)送者地址、目的地地址以及通信內容信息。

(2)網絡的控制與管理信息與用戶數據采用同樣的格式與選路方式，走同樣的路由。用戶除了可以進行正常的通信外，能接入到網絡的公共設施，與公眾網絡中的服務器、路由器或交換機進行通信，實施對公共設施的控制、修改、監(jiān)視、破壞，或使公共設施拒絕服務，造成網絡安全無可靠保障。

其次，簡單的傳送方式帶來了因特網在架構上的無政府主義。表現在大大小小網絡在TCP/IP的基礎上能隨意連接，用戶主機、網絡公共設施、專網等在協議上接口規(guī)范上都是平等的。因此，只要有本事能識破認證與加密，就可以從網絡的任何一點去攻擊遠在天邊的任何對象，不管它是在公網還是專網，而且常常難以找到攻擊者。

還有，過分的開放性也是網絡安全的一大隱患。它使黑客不僅能通過網絡非法接入一個終端、服務器或網元，而且能深入到對方的內部，進入到操作系統(tǒng)，對對方的操作系統(tǒng)進行控制，這是十分危險的。必要的開放性是要的，但不應該開放到可輕易進入內部操作系統(tǒng)的程度。系統(tǒng)中應該設有某種機制，使外來信息無法直接調用操作系統(tǒng)。

最后一點想說明的是認證的有效性問題。認證是目前對外來接入進行控制的主要手段，它在某種程度上，確實起到了保護作用。但這種手段有兩方面的問題：一是需要用戶去記住許多密碼，而且密碼如果太簡單容易被用枚舉法識破，太復雜了則難以記住和容易搞錯；另一方面是它的非客觀性，即它不能客觀地識別通信方，它認的只是密碼，只要密碼正確就會被認為是合法的使用人，但實際上密碼可能被竊取或被猜測到。

相比之，采用帶外信令的現有電信網沒有上述問題。這關鍵是因為電信網采用了公共的信令系統(tǒng)，并使用戶網絡接口的規(guī)范不同于網絡接口規(guī)范。在這種系統(tǒng)中，控制網絡的信令與用戶信息是完全分開的，且各走各的路由。竊聽者要同時獲得用戶信息及與信息對應的地址很困難。網絡的公共設施，如交換機、信令轉接點、SCP等只受從特定路由來的信令控制，一般用戶不可能接入。這使網絡的公共設施完全控制在管理者的手中。因此除非鉆入到管理者的內部，否則無法控制與修改網絡。

由上可見，要解決因特網的安全性問題，光從認證與加密上努力是不夠的，還必須從網絡架構上采取措施，才能使網絡的安全達到可與電信相比的高度。

2 安全性對策

2.1 可采取的對策

根據上面的討論，從網絡架構上采取措施，大致可以采取如下的安全性對策：

(1)改變Datagram的工作方式。將地址信息放入帶外的信令系統(tǒng)中傳送，也就是不再將地址信息與用戶數據封裝在一個包中，而將它與網絡的其他控制信息及管理信息都交于專門的信令網絡去傳送；與此同時，用戶數據本身則直接在下層的傳輸交換平臺進行傳送，如直接通過多協議標記交換(MPLS)進行傳送。采取這一架構，控制信息與用戶信令在格式上，信道上將都完全分開。再加上下述的第2個對策，網絡公共設施的控制與管理將只能通過公網的信令來實現，普通用戶不可接入，因而可確保網絡公共設施的安全性。同時由于地址信息(如源地址、目的地地址等)已不再與用戶數據在一起，網絡竊聽者將難以跟蹤特定的用戶和竊取通信的完整信息。

(2)明確區(qū)分公網設施與專網設施(包括用戶終端和用戶網絡)。用戶終端或用戶網絡與公網間采用用戶網絡接口(UNI)，公網網元之間和不同公網的網元之間采用網間接口(NNI)，并使兩者在協議上不一樣。公網與公網之間在接口上依據需要，可設置必要的安全功能，所交換的信令信息明確標明發(fā)送該信令的網絡識別碼和信令實體的識別碼，并作必要的記錄。用戶通過UNI只能申請與接受規(guī)范化的服務，UNI信令有明確的格式與定義，不可能對公網的操作起任何作用。

(3)以網絡對用戶的客觀識別來代替或加強用戶的認證與接入控制。網絡要有識別用戶的能力。這在傳統(tǒng)電信網中是已經做到了的。在有線接入的情況下，端局與接入網可以通過物理的端口與信道來識別通信發(fā)送方（或主叫方），并通過查詢相關的用戶資料(User profiles)來判別該用戶是否有權使用所請求的服務。在多點到點或共享媒體(即多址接入)的接入系統(tǒng)中，采用適當的技術也可對發(fā)送方（或主叫方）進行定位。在無線接入的情況下則可以通過識別用戶識別模塊(SIM/UIM)卡以及拜訪位置寄存器(VLR)與歸屬位置寄存器(HLR)間的通信來識別用戶。這些識別都是比較客觀的，是用戶難以偽造的。由于一個用戶可能有多個使用人，還可以將這種客觀的識別與密碼的認證結合起來使用，大大提高接入控制的可靠性。上述對用戶的識別將不僅僅用于本地接入的控制，還可以用于遠程的識別與認證。方法是采用類似于電信網主叫線識別提供(CLIP)的信令功能，在設計因特網的信令系統(tǒng)時也可以提供類似的發(fā)送者(或主叫者)的識別提供功能，來代替或加強遠程用戶的識別、認證等接入控制。在網間互通的情況下(如用戶經由PSTN接入因特網的情況下)，可要求接入網絡(即PSTN/ISDN)提供用戶的識別信息，因特網本身應建立這種互通用戶的用戶數據，并進行核對。

采用上述安全性對策后，強大的信令系統(tǒng)與控制功能可以提供很多安全服務。如搗亂用戶的追查功能；可疑用戶的監(jiān)測功能；建立用戶通信信用數據庫，拒絕為信用不良的用戶服務等。

歸納起來，在采取上述措施后，可帶來如下的好處：

*基本消除一般用戶對于公網設施的入侵與破壞；

*大大提高竊聽和對特定用戶的通信進行跟蹤的難度；

*大大提高接入控制/用戶認證的可靠性；

*實現對搗亂用戶的迅速追查。

但這些措施對于端到端的入侵仍無能為力。端到端的入侵問題需要在終端上采取措施。如采取防病毒措施，在操作系統(tǒng)上進行改進，對外來通信中所帶的可執(zhí)行文件特別處理，在不可靠的情況下，不予執(zhí)行等。

2.2 新的網絡架構

基于前述對策和IT技術的最新發(fā)展趨勢，可提出因特網的新架構。圖1所示為采用帶外信令的因特網網絡新架構。

新的架構有如下特點：

(1)依據控制與傳送分離的趨勢，將采用控制層和傳送層分離的網絡架構。傳送層將采用國際上看好的MPLS技術，網絡由MPLS接入網和一系列MPLS交換機組成的MPLS核心網構成，它在控制層的控制下進行用戶信息的傳送。

(2)控制層由一些選路交換控制器和帶外信令網組成。控制器之間通過控制器到控制器之間的信令交換控制信息，并通過控制器到MPLS交換機的信令對傳送層進行控制?？刂茖拥墓δ軐▋蓚€方面：一個是呼叫/會話(Call/Session)的端到端控制，另一個是對核心傳送網的控制。前者是針對單個用戶或應用的數據流(Micro-flows)，后者是針對集合數據流(Aggregated data flows)的標簽交換路徑 (LSP)。

(3)用戶網絡接口處用的是用戶網絡信令，核心網上用的是網元間的信令，包括控制器到控制器之間的信令和控制器到MPLS交換機的信令。兩者將分別地進行規(guī)范。

圖1顯示的只是公網，專網將作為用戶處理。另外圖1中難以直觀表達的還有如下功能：

(1)接入網或端局將具備用戶的客觀識別功能，并能將這種識別信息通過信令傳送給控制層(邊緣控制器)。

(2)控制層應在Call/session建立的控制信令中將上述用戶的識別信息傳送給遠端的主機或服務器，用于遠端的接入控制。

(3)控制層與傳送層相結合，還可以向用戶提供其他必要的安全服務功能，如搗亂用戶的追查等。

2.3 新網絡架構帶來的好處

在采用上述帶外信令的網絡架構后，IPv4地址空間不足、網絡傳送開銷大、處理層次過多等問題也將同時迎刃而解，因為Datagram的帶內信令方式不僅是現有包網絡安全性問題難以解決的根子，也是其他問題存在的關鍵所在。

在帶外信令的情況下，網絡地址將不過是網絡信令中的一個參數。地址不夠用時只需進行地址參數長度的修改，根本不必要在協議層次上作重大變動。因此如果采納這種帶外信令的網絡架構，向IPv6的過渡就不再需要。帶外信令方式還將允許采用不同類型的網絡地址(包括現行的IP地址和任意位數的地址長度，只需要在地址字段中設立地址類型子字段和地址長度子字段)。

由于網絡控制信息走的是信令信道，在用戶平面上，用戶數據將只需要進行二層的包裝處理。這樣既可精簡網絡的處理層次，又可以減少傳輸開銷，從而可大大提高網絡的傳送效率和服務質量。

由于采用了端到端的信令商議，端到端的QoS保障將不再是問題。

3 對相關有爭議問題的討論

3.1 采用帶外信令的可行性問題

應該說采用帶外信令的網絡新架構方案將從根本上改造現有因特網賴以生存的IP協議，數據將不再被打成由IP包頭和有效負荷組成的IP包，IP選路(Routing)的方式也將被丟棄。在這種情況下，網絡還能不能有效地運轉是首先要回答的問題。

首先，從理論上講，是不存在問題的，因為它的原理與傳統(tǒng)的電信網是類似的。通過端到端的信令交換可以為用戶通信確定通信的路徑及路徑可用性。其次，數據傳送層可以在信令的控制下建立一系列LSP，構成一個端到端的鏈接，將兩端的用戶在鏈路層上連接起來，就像在PCM通路層上建立連接一樣。與傳統(tǒng)電信網不同的只是傳送的對象是數據包，利用的信道是標簽復用的虛通路的連接。事實上本人已經對具體的實現方法進行了研究，證明可以在這一架構上實現將所有服務都載于 MPLS，即MPLS傳送話音(Voice over MPLS)、MPLS傳送數據(Data over MPLS)和MPLS傳送視頻(Video over MPLS)。

采用帶外信令的網絡新架構方案確實對現有因特網作了較大的改變，但受影響的主要是網絡層。對網絡層以上的協議和MPLS下層的協議影響不大。當然與IP層相接的傳送層協議(TCP/UDP等)和MPLS層本身將作一些相應的修改。即便是網絡層，原有的選路算法與不少協議修改后仍可使用。至于信令，現有IETF的信令協議也可能在適當修改后用于新的網絡。

3.2 采用帶外信令是不是倒退

有人可能會問，帶外信令系統(tǒng)是傳統(tǒng)網絡中使用的技術，在因特網中采用這種技術是否是一種后退。其實不然。電路交換確是傳統(tǒng)技術，但傳統(tǒng)技術中的某些方法與原理在新一代的技術中得到應用是常見的事。事實上帶外信令的方式在因特網中早已存在，IETF制訂的(包括正在制訂中的)不少控制協議，本身就具有帶外信令協議的性質，如用于路由器或路由交換機之間的相鄰關系的發(fā)現、建立和信息的交換，MPLS標簽的分配，通用交換管理協議(GSMP)，Megaco(為IETF的媒體網關控制協議)，遠程撥號用戶認證等都是一些與用戶數據分開傳送的控制信息。所以在因特網中帶外信令并不是什么新的東西，這里不過是建議將地址信息等也都交由帶外信號去傳送而已。

對于一個網絡，重要的是它能提供什么樣的服務，是否能經濟而有效地提供這些服務。采用帶外信令的網絡建議的通信架構是基于包方式的網絡，這與原有因特網并無差別，但由于在用戶面上，省去了原有的第3層，網絡因此更加經濟有效。

3.3 面向連接還是無連接問題

值得探討的是，采用端到端的信令來建立通信是用于面向連接的網絡服務的，這與Datagram的方式有本質的不同。后者是無連接(Connectionless)的。因此可以說采用端到端信令在實質上是返回到面向連接的通信方式，是對數據包方式的否定。這種說法沒有錯，但本人認為這并沒有什么不好。理由如下：

(1)因特網本身正在越來越多地采用面向連接的技術。MPLS就是一個典型，因為MPLS的LSP是一種由信令(如LDP或RSVP)控制建立的連接。按照IETF現有的規(guī)范，MPLS是用于核心網的，即是從邊緣交換路由器連接到另一個邊緣交換路由器。如果將MPLS技術擴展到接入網，就會出現端到端的MPLS連接。

(2)因特網正在解決QoS問題。現在已經做到的是對每一跳(Hop)服務質量的保證?？梢酝ㄟ^在IP層設置DSCP(區(qū)分不同服務的編碼值)，或者讓服務質量要求不同的數據走不同的LSP，可以使不同的服務得到不同的處理，優(yōu)先保證實時性強的服務。但由于無法知道從源點到目的地需要經過幾跳(這是不采用端到端信令的直接結果)，端到端的服務質量將難以保證，也難以將極限指標適當地分配到每一跳上。本人認為：要徹底解決端到端的服務質量，端到端的信令交換是必需的。只有經過端到端的信令交換才能知道兩者之間傳輸資源的可用性，并確定數據傳輸要走的路由。

(3)純粹的無連接方式。如Datagram方式，僅對盡力而為(Best effort)的服務才是最佳的。但從長遠來說，越來越多的服務將是有服務質量要求的服務。在此情況下，采用端到端信令和采用面向連接的服務將是不可避免的。

(4)無連接服務通常用于單個或少量數據包的傳送。端到端信令對于這種服務也是很有意義的。通過信令可以在用戶數據發(fā)出之前就對發(fā)送者進行識別與認證，若通不過認證就不予發(fā)送。這樣既可以提高網絡的安全性，又可以避免傳輸資源的不必要浪費。

(5)在采用端到端信令的情況下，可以采用一種半連接半無連接的處理方式，來傳送單個或少量的數據包。網絡在這發(fā)送完一個或幾個數據包后，可自動拆線(而不是由用戶控制拆線)，網絡連接的存在是十分短暫的?！?/p>

收稿日期：2002-11-09

參考文獻：

[1] IETF RFC 2402. IP Authentication Header [S]. 1998.

[2] IETF RFC 2406. IP Encapsulating Security Payload (ESP) [S]. 1998.

[3] IETF RFC 2246. The TLS Protocol [S]. 1999.

[4] IETF RFC 3031. Multiprotocol Label Switching Architecture [S]. 2001.

[5] ITU-T H.235. Security and encryption for H-series multimedia terminal [S]. 2000.

[6] 楊義先. 編碼密碼學[M]. 北京:人民郵電出版社， 1992.10.

作者簡介：

陸學鋒，上海貝爾阿爾卡特有限公司網絡戰(zhàn)略部研究員，教授級高工。北京郵電學院有源網絡專業(yè)畢業(yè)，曾赴法國進修，取得法國國立電信學院數字傳輸專業(yè)高教畢業(yè)證書，并在法國電信研究院工作近1年。1992年前主要在電信傳輸研究所工作，長期從事電信網技術體制、標準和發(fā)展戰(zhàn)略的研究，工作重點之一是ISDN的研究。近期主要從事新一代網絡的研究工作。已發(fā)表學術論文數十篇。