特約通訊員 許廷濤

從誕生至今，互聯(lián)網(wǎng)已經(jīng)創(chuàng)造了眾多的奇跡，如電子商務(wù)的繁榮發(fā)展，電子郵件成為人們主要的溝通方式?，F(xiàn)在，每天都有無數(shù)的用戶使用互聯(lián)網(wǎng)，一些關(guān)鍵性的行業(yè)，諸如銀行，其業(yè)務(wù)也越來越依賴互聯(lián)網(wǎng)。然而，在互聯(lián)網(wǎng)繁榮發(fā)展的背后，也存在著一些問題——互聯(lián)網(wǎng)缺乏內(nèi)在的安全性?；ヂ?lián)網(wǎng)自身的缺陷導(dǎo)致了其安全性的降低以及對新技術(shù)適應(yīng)能力的下降。

防火墻

AOL(AmericanOnLine，美國在線，是美國最大的網(wǎng)絡(luò)服務(wù)供應(yīng)商)更新其軟件時(shí)，新版本常常帶有一串?dāng)?shù)字，如 7.0、8.0、9.0，其最新的版本被稱為AOL9.0安全版。不過，提升互聯(lián)網(wǎng)的表現(xiàn)已經(jīng)不再是提供最新最酷的應(yīng)用軟件，而是增強(qiáng)軟件的生存能力，即抵御計(jì)算機(jī)病毒入侵的能力。

IBM發(fā)布的一份研究報(bào)告稱，在2005年上半年，由攜帶“拉登”病毒的電子郵件和刑事犯罪引起的安全攻擊次數(shù)增加了50%，攻擊目標(biāo)集中在政府、金融服務(wù)機(jī)構(gòu)、制造業(yè)以及醫(yī)療保健行業(yè)。2005年7月，美國互聯(lián)網(wǎng)和生活項(xiàng)目報(bào)告稱，在5900萬成年人中，43%的美國互聯(lián)網(wǎng)用戶表示他們的計(jì)算機(jī)中存在間諜軟件和廣告軟件，91%的用戶會采取一些預(yù)防性的措施，諸如避免訪問該類的網(wǎng)站或者停止下載軟件。越來越多人關(guān)注防火墻的問題。防火墻作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，通過控制數(shù)據(jù)流的進(jìn)出，最大限度地保護(hù)計(jì)算機(jī)系統(tǒng)免受黑客的入侵。如果防火墻的安全性低，計(jì)算機(jī)將不能有效地防范黑客的攻擊。

垃圾郵件

在網(wǎng)絡(luò)安全技術(shù)方面處于領(lǐng)先地位Symantec公司表示，從2004年7月1日到12月31日，在其檢測的公司中，垃圾郵件數(shù)量急劇增加了77%。Symantec公司的原始數(shù)據(jù)顯示，平均每周的垃圾郵件總數(shù)由8億上升到12億，而且在全部郵件中，60%都是垃圾郵件。

但是，在所有這些網(wǎng)絡(luò)威脅當(dāng)中，危害性最大的是僵尸網(wǎng)絡(luò) (通過各種手段在大量計(jì)算機(jī)中植入特定的惡意程序，使控制者能夠通過相對集中的若干計(jì)算機(jī)直接向大量計(jì)算機(jī)發(fā)送指令的攻擊網(wǎng)絡(luò))。這種大規(guī)模的攻擊已經(jīng)構(gòu)成了數(shù)據(jù)欺詐犯罪，而寬帶網(wǎng)絡(luò)的廣泛應(yīng)用更是加大了這種情況發(fā)生的可能性。黑客以這些毀滅性的攻擊威脅那些不滿足他們金錢需求的公司。一項(xiàng)由卡內(nèi)基 梅隆大學(xué)研究人員開展的研究顯示，其所調(diào)查的100家公司中有17個(gè)公司面臨著這種攻擊的威脅。

補(bǔ)丁問題

最初的互聯(lián)網(wǎng)協(xié)議是在19世紀(jì)60年代制訂的，這個(gè)協(xié)議促進(jìn)了幾百個(gè)學(xué)術(shù)機(jī)構(gòu)與政府、用戶之間的溝通交流。協(xié)議有效地把數(shù)據(jù)裝進(jìn)簡單的數(shù)據(jù)包中，并且通過一系列的網(wǎng)絡(luò)路由器發(fā)送至目的地。路由器和個(gè)人計(jì)算機(jī)都成為節(jié)點(diǎn)，擁有唯一的數(shù)字地址，這就是被人所知的互聯(lián)網(wǎng)協(xié)議或IP地址，工作原理也基本如此。計(jì)算機(jī)系統(tǒng)假設(shè)網(wǎng)絡(luò)中的所有用戶都是可信賴的，并且所有通過互聯(lián)網(wǎng)連接的電腦基本上都是固定不變的?；ヂ?lián)網(wǎng)的設(shè)計(jì)，與信息數(shù)據(jù)包所攜帶的內(nèi)容并沒有關(guān)系。除了發(fā)送數(shù)據(jù)到其目的地，互聯(lián)網(wǎng)沒有做其他更多的事情，也沒有適應(yīng)移動(dòng)的節(jié)點(diǎn)，比如PDA可以在任何地方連接到互聯(lián)網(wǎng)上。

近些年來，一系列的補(bǔ)丁程序相繼誕生，諸如防火墻、殺毒軟件、垃圾郵件過濾程序等。每當(dāng)一個(gè)移動(dòng)的節(jié)點(diǎn)改變其網(wǎng)絡(luò)位置時(shí)，補(bǔ)丁就會分配其一個(gè)新的IP地址。

安全補(bǔ)丁跟不上網(wǎng)絡(luò)發(fā)展的部分原因是，大部分用戶使用的補(bǔ)丁都不相同，并且不是每個(gè)用戶都會按時(shí)更新補(bǔ)丁，有些用戶甚至從不安裝任何補(bǔ)丁。此外，常見的會隨著IP地址不斷變化的移動(dòng)補(bǔ)丁也有缺點(diǎn)。當(dāng)計(jì)算機(jī)每次用一個(gè)新的身份連接到互聯(lián)網(wǎng)時(shí)，平時(shí)經(jīng)常訪問的網(wǎng)站將不會識別你是一個(gè)老用戶。不斷變化的IP地址也意味著當(dāng)你使用互聯(lián)網(wǎng)時(shí)，一些服務(wù)可能會被中斷，比如在PDA上聽流媒體廣播。這也意味著如果有人通過移動(dòng)設(shè)備犯罪，將難以追查。

我們亟需關(guān)注不同領(lǐng)域?qū)＜业挠^點(diǎn)。補(bǔ)丁使互聯(lián)網(wǎng)系統(tǒng)變得更加復(fù)雜、更加難以管理和理解，而且很難在其基礎(chǔ)上作出改進(jìn)。普林斯頓大學(xué)的計(jì)算機(jī)科學(xué)家拉里帕特森說，30年來，互聯(lián)網(wǎng)得到不斷的改善，所發(fā)現(xiàn)的問題也逐步得到修復(fù)。漏洞一經(jīng)發(fā)現(xiàn)，技術(shù)人員就嘗試去修補(bǔ)它。這樣雖然也可以維持互聯(lián)網(wǎng)的安全，但是我們需要思考的是，有沒有方法可以長期有效地解決這個(gè)問題。如果只是不斷地重復(fù)發(fā)現(xiàn)問題、修補(bǔ)問題，而沒有從根源上解決問題，那么互聯(lián)網(wǎng)將會變得越來越復(fù)雜且脆弱。而這種情況會導(dǎo)致新服務(wù)難以得到應(yīng)用，因?yàn)橐呀?jīng)增加的解決方案所帶來的復(fù)雜性，使得系統(tǒng)更加難以管理。有些人甚至擔(dān)心我們因此會進(jìn)入死胡同。如果不能充分修補(bǔ)這些問題，那么我們將面臨異常重大的威脅。

NSF對互聯(lián)網(wǎng)的貢獻(xiàn)

NSF(美國國家科學(xué)基金會)正在制定一個(gè)5到7年的計(jì)劃，并且預(yù)計(jì)投入2到3億美元的研究經(jīng)費(fèi)用于開發(fā)一個(gè)更加簡潔的架構(gòu)，這個(gè)架構(gòu)具有更高安全性，適應(yīng)新技術(shù)的發(fā)展，并且易于管理。

新架構(gòu)預(yù)設(shè)目標(biāo)

(1)給予媒介一個(gè)基本安全架構(gòu)——一種認(rèn)證用戶真實(shí)性和防止垃圾郵件以及病毒等入侵計(jì)算機(jī)的能力。好的安全性是這次重構(gòu)最重要的目的。

(2)實(shí)用性。新架構(gòu)將會增加一些協(xié)議，使網(wǎng)絡(luò)服務(wù)提供者能更好地發(fā)送信息流，提供更優(yōu)質(zhì)的服務(wù)。

(3)允許未來任何大小的設(shè)備連接到互聯(lián)網(wǎng)——不僅是個(gè)人電腦，還有傳感器和嵌入式處理器。

(4)網(wǎng)絡(luò)更易管理。比如，新技術(shù)應(yīng)該允許檢測網(wǎng)絡(luò)的每一個(gè)部分，以及及時(shí)向網(wǎng)絡(luò)管理員匯報(bào)突發(fā)問題，不管是技術(shù)故障、網(wǎng)絡(luò)堵塞還是可復(fù)制傳播的蠕蟲病毒。

新架構(gòu)預(yù)設(shè)目標(biāo)并非都遙不可及

NSF過去的幾年在這個(gè)調(diào)研已經(jīng)投入超過3千萬美元。實(shí)驗(yàn)室已經(jīng)開發(fā)了許多有前景的技術(shù)，比如可以認(rèn)證在線用戶、識別病毒、保護(hù)他人隱私，增加無線設(shè)備和傳感器等。在別人都不清楚哪一項(xiàng)技術(shù)會在新的架構(gòu)中出現(xiàn)的時(shí)候，他們已經(jīng)開始理解一個(gè)“新”的互聯(lián)網(wǎng)應(yīng)該是什么樣子的和它是如何區(qū)別于“舊”的互聯(lián)網(wǎng)。

許多適用于這個(gè)新架構(gòu)而且極具前景的技術(shù)都來自于PlanetLab，普林斯頓大學(xué)的皮得森近幾年也是在該實(shí)驗(yàn)室研究這些技術(shù)。

(1)軟件技術(shù)。在這個(gè)不斷發(fā)展的項(xiàng)目中，所有的研究人員都在研究一個(gè)可以拼接到現(xiàn)在的互聯(lián)網(wǎng)路由器上的軟件。舉個(gè)例子，一個(gè)“敏銳”的軟件可以從網(wǎng)路流量中發(fā)現(xiàn)蠕蟲。該軟件識別被蠕蟲感染的主機(jī)尋找新主機(jī)時(shí)發(fā)出的疑似數(shù)據(jù)包，并可以警告系統(tǒng)管理員病毒文件的出現(xiàn)。軟件還可以測量流入和流出網(wǎng)卡的數(shù)據(jù)，診斷是否出現(xiàn)網(wǎng)絡(luò)堵塞，并提出一個(gè)更有效的路徑繞過它。

(2)鑒定技術(shù)。鑒定技術(shù)可以幫助鑒定網(wǎng)絡(luò)傳播的真實(shí)性。這套技術(shù)可以說是對互聯(lián)網(wǎng)安全的一個(gè)福音。也就是說，該技術(shù)能夠明確識別一封銀行郵件是否存在欺騙性；此外，銀行也可以明確識別賬號登陸者是否開戶者本人，避免由盜號者非法操作造成損失。

如今，用戶經(jīng)常被請求輸入各種信息證明其網(wǎng)絡(luò)身份的真實(shí)性，如密碼、社保號碼、工作證號碼、信用卡號、飛機(jī)?？吞?、人工識別號等等。但是當(dāng)成千上萬的用戶都在不斷地輸入這些登陸號碼時(shí)，很容易被間諜軟件或黑客從無線網(wǎng)絡(luò)中發(fā)現(xiàn)，然后盜取用戶信息，實(shí)施詐騙犯罪，更甚者會進(jìn)行破壞活動(dòng)。

(3)口令。一個(gè)由實(shí)驗(yàn)室和大學(xué)團(tuán)體組成的機(jī)構(gòu)提出了因特網(wǎng)2代的改良解決方案，并為用戶開發(fā)先進(jìn)的網(wǎng)絡(luò)技術(shù)。這個(gè)軟件叫口令，負(fù)責(zé)在發(fā)送者和接收者之間進(jìn)行聯(lián)系，它可以通過數(shù)字證書的集中式交換以及其它一些方式，安全地傳輸合適的賬號、密碼和其他可以供接收者識別的信息。除了讓分散的信息更加安全，它還可以保護(hù)用戶的隱私。因?yàn)樗还_特定交易時(shí)與用戶相關(guān)的某個(gè)“屬性”，而不是用戶的所有信息。

不斷發(fā)展的口令和這些類似的技術(shù)可以等同于補(bǔ)丁的作用。但是他們中間一些基本的要素也可以發(fā)展成互聯(lián)網(wǎng)架構(gòu)的一部分。

創(chuàng)建新架構(gòu)道路并非一帆風(fēng)順

值得注意的是，不管互聯(lián)網(wǎng)有多少缺點(diǎn)、不安全性和修補(bǔ)的代價(jià)，它依然是人們?nèi)粘９ぷ髦械墓ぞ咧弧Ｈ魏我粋€(gè)提升性能的嘗試都會面臨很多問題：所有網(wǎng)絡(luò)服務(wù)提供商都要同意更換他們的路由器和軟件，一些人必須為數(shù)以億計(jì)的賬單買單。但是NSF不建議放棄原有的網(wǎng)絡(luò)或者強(qiáng)制安裝新的東西。相反，NSF希望創(chuàng)建一個(gè)更好的架構(gòu)，并證明它有更優(yōu)秀的表現(xiàn)，而且為了滿足用戶需求，可以允許一些新技術(shù)來替代原來的方法。

為此，NSF努力設(shè)想一個(gè)龐大的基礎(chǔ)設(shè)施建設(shè)，花費(fèi)約為300萬美元。這個(gè)想法是創(chuàng)建一個(gè)可以承受來自現(xiàn)實(shí)網(wǎng)絡(luò)流量的考驗(yàn)新架構(gòu)，建設(shè)讓人們能夠有選擇性地應(yīng)用的基礎(chǔ)設(shè)施。

不過，也有人提出質(zhì)疑，一個(gè)更智能的網(wǎng)絡(luò)可能比原來的互聯(lián)網(wǎng)更加復(fù)雜，因此容易出現(xiàn)故障。傳統(tǒng)觀點(diǎn)認(rèn)為，網(wǎng)絡(luò)本身應(yīng)該是非智能的，但在其兩端的智能設(shè)備應(yīng)該變得更加智能。互聯(lián)網(wǎng)的安全問題，以及知識產(chǎn)權(quán)的竊取，可能會制約媒體的發(fā)展，導(dǎo)致互聯(lián)網(wǎng)的退步。

“不管最后的結(jié)果是做出一個(gè)新的架構(gòu)，還是在原來的基礎(chǔ)上做出有效的改變，并沒異樣。只要有一個(gè)穩(wěn)定的互聯(lián)網(wǎng)，這些嘗試就會成功，”克拉克 (麻省理工學(xué)院資深網(wǎng)絡(luò)政治家及前首席協(xié)議架構(gòu)師)說，“如果它能圍繞共同的目標(biāo)，使研究團(tuán)體發(fā)揮作用，就會幫助我們往正確的方向前進(jìn)。”

創(chuàng)建新架構(gòu)的進(jìn)展

NSF將利用現(xiàn)有的研究成果，努力打造一個(gè)簡潔而穩(wěn)固的互聯(lián)網(wǎng)架構(gòu)。下面是一些能提高互聯(lián)網(wǎng)安全性的成果。

·美國普林斯頓大學(xué)

創(chuàng)建互聯(lián)網(wǎng)“覆蓋網(wǎng)絡(luò)”的硬件和軟件，據(jù)2006年的統(tǒng)計(jì)數(shù)據(jù)，有630臺機(jī)器在25個(gè)國家執(zhí)行搜索蠕蟲和優(yōu)化流量任務(wù)。

·猶他大學(xué)

開發(fā)軟件和硬件測試試驗(yàn)臺，為研究人員提供了一個(gè)簡單、實(shí)用的途徑來模擬互聯(lián)網(wǎng)上各種各樣的研究項(xiàng)目。

·加州信息科學(xué)研究所

開發(fā)一個(gè)試驗(yàn)臺，研究人員可以安全地模擬網(wǎng)絡(luò)攻擊，對它們進(jìn)行分析，制定防范策略，尤其是對關(guān)鍵基礎(chǔ)設(shè)施的完善。

·美國羅格斯大學(xué)無線信息網(wǎng)絡(luò)實(shí)驗(yàn)室

開發(fā)無線網(wǎng)絡(luò)架構(gòu)和協(xié)議，致力于部署移動(dòng)互聯(lián)網(wǎng)，進(jìn)行高速調(diào)制解調(diào)器和頻譜管理的研究。