從網(wǎng)絡(luò)安全看網(wǎng)絡(luò)演進(jìn)

互聯(lián)網(wǎng)的前提是假定用戶是自律的，用戶處在彼此信任的小規(guī)模封閉的網(wǎng)絡(luò)環(huán)境，因此并沒有類似相關(guān)的安全機(jī)制，也沒有考慮在開放環(huán)境下操作系統(tǒng)和應(yīng)用的安全，因此出現(xiàn)了很多安全問題。

從被動防御到主動防御

被動防御是在探測到發(fā)生攻擊后，我們根據(jù)路由器和攻擊數(shù)據(jù)包的特征，一級一級找到源頭。但被動防御，目標(biāo)組建是網(wǎng)絡(luò)，在發(fā)現(xiàn)和控制攻擊之前，或多或少已經(jīng)受到了破壞，那么現(xiàn)在提倡主動防御，也就是說在分布式攻擊可能的所有階段，要主動追蹤和控制，防火墻和殺毒軟件是可以防御木馬的，但一個新的互聯(lián)網(wǎng)安全問題出現(xiàn)的時候安全廠商是不可能馬上推出產(chǎn)品的，有些廠商即便推出安全產(chǎn)品，也要等一會才能投到市場。對于未知的攻擊，可以說內(nèi)部攻擊是很難有保護(hù)的，從這個意義上說，我們大量部署防火墻殺毒軟件，并不見得是非常有效的辦法，而且網(wǎng)絡(luò)會復(fù)雜，管理起來成本也較高。

那么能不能在協(xié)議設(shè)計的時候，加上一些安全防范控制？過去互聯(lián)網(wǎng)中發(fā)送信息的人都是已知的，現(xiàn)在開放環(huán)境下，很多垃圾郵件都是在未知情況下產(chǎn)生的。所以未來互聯(lián)網(wǎng)里需要有訪問控制，像TCP。現(xiàn)在IPv6將會是向下一代未來網(wǎng)絡(luò)發(fā)展中，目前來看很難避免的步驟，目前來看也是一個應(yīng)對空間不足的有效手段。

IPv6的設(shè)計是在互聯(lián)網(wǎng)很多安全問題暴露前提出來的，目前來看IPv6也不如IPv4成熟，仍有缺陷。我們需要往IPv6方向去走，但是并不要認(rèn)為IPv6能解決所有的問題，更重要的需要節(jié)點(diǎn)設(shè)備里面要融入安全控制的能力。如果說我們在互聯(lián)網(wǎng)能夠嚴(yán)格控制和規(guī)范業(yè)務(wù)流，可以根據(jù)業(yè)務(wù)流的特性，來判別它是符合正常的，還是屬于垃圾郵件的，我們就可以通過這個來控制業(yè)務(wù)流，在業(yè)務(wù)節(jié)點(diǎn)設(shè)備需要每個設(shè)備安全，傳統(tǒng)的互聯(lián)網(wǎng)網(wǎng)絡(luò)是不管安全的，安全是交給終端處理，未來的互聯(lián)網(wǎng)，希望能夠承擔(dān)起安全的責(zé)任。現(xiàn)在中國提出的原地址印證是一個有效的辦法。

移動互聯(lián)網(wǎng)的安全挑戰(zhàn)

實(shí)際上涉及到我們通信的七個協(xié)議里面，都跟移動互聯(lián)網(wǎng)、安全有關(guān)。據(jù)2012年全球相關(guān)分析，在ios7里發(fā)生的安全事件占了75%，發(fā)生在第七層占了25%，第三層和第七層是主要問題發(fā)生的根本。終端本身也有終端的安全，有隱私保護(hù)、病毒木馬的攻擊，另外還有結(jié)構(gòu)的安全。偽基站也是一個全球性的大問題，此外就是網(wǎng)絡(luò)的安全和安全管理層面，所以移動互聯(lián)網(wǎng)的安全環(huán)節(jié)比專業(yè)互聯(lián)網(wǎng)還要更廣泛。

移動互聯(lián)網(wǎng)的出現(xiàn)，改變了我們的應(yīng)用習(xí)慣，在PC互聯(lián)網(wǎng)時代，用戶瀏覽網(wǎng)站的主要手段是在瀏覽器里面輸入網(wǎng)址，而在移動互聯(lián)網(wǎng)時代，基本上都是APP了。APP帶來很多安全問題植入后門是很容易的。移動互聯(lián)網(wǎng)涉及到很多安全問題，這里邊是需要通過管理來實(shí)現(xiàn)安全的。

目前有上百萬種APP情況下，用戶怎么找到自己需要的APP呢？現(xiàn)在輕應(yīng)用應(yīng)運(yùn)而生，基于搜索引擎，還有社交網(wǎng)絡(luò)，本質(zhì)上還是一個瀏覽器，涉及到的環(huán)節(jié)很多，例如微信的公眾號，本身就是一個基于HTML5的輕應(yīng)用，并不需要大家把應(yīng)用都下載到終端上面。本身跟CSS3、DOM豐富了多媒體的能力，也可以進(jìn)行瀏覽應(yīng)用跨平臺，HTML5本身也帶來很多安全隱患，對本地儲存等有新的安全危險。所以在互聯(lián)網(wǎng)上，每一種新的技術(shù)實(shí)際上解決了原有一些安全問題可是又引入新的安全問題。

域名服務(wù)器的安全問題

目前IPv4的根服務(wù)器十個在美國，一個在英國，一個在瑞典，一個在日本。域名體系的安全是受制于人的，但是IPv6時代有沒有可能重新增加根服務(wù)器，技術(shù)上是有可能的，中國現(xiàn)在也在努力爭取，希望我們作為一個網(wǎng)絡(luò)大國也有一個根服務(wù)器能放在中國。

DNS本身查詢要經(jīng)過很多環(huán)節(jié)的，本地查詢的時候是給不出答案的，根服務(wù)器首先是引導(dǎo)我們到CN去查，要求各個節(jié)點(diǎn)的通信是可靠的，否則的話就不可能查到。所以現(xiàn)在有人提出來，是不是一定要到根服務(wù)器去查，能不能把查的很多東西下放，下放到本地節(jié)點(diǎn)，把權(quán)威源改到本地結(jié)點(diǎn)，降低對數(shù)據(jù)鏈路長度和本地性的要求，如果落到客戶端的命名，會帶來一些好處，比如說效率更高了，降低對第三方DNS的依賴。

在這種情況下我們還會有一些新的問題，因為這個時候基于客戶端的命名來添加本地，作為一個虛擬的根服務(wù)器，在這種情況下要保證本地節(jié)點(diǎn)的命名，在整個命名空間里面是可見的。DNS本身也有很多安全漏洞，最大缺陷是我們收到解析是沒有辦法印證解析是否正確、真實(shí)，攻擊可以從中來給你一個虛假的DNS的解析。通過加密把原文取出進(jìn)行一種加密，把密鑰通過公鑰解除加鑰，跟自己算出來的兩者來對比，如果一致，說明這個是真實(shí)的，如果不一致，說明是假的。保證我們從DNS得到的數(shù)據(jù)是正確的，但是DNSSEC所有者應(yīng)該是資產(chǎn)的印證者，實(shí)現(xiàn)了對分散化DNS服務(wù)器的印證，提供了很多安全的保證。目前在根服務(wù)器和域名上使用，但是它本身也有安全問題。工業(yè)簽發(fā)是由實(shí)體執(zhí)行的，目前根區(qū)域的DNS密鑰的簽發(fā)，根服務(wù)器不是我們國家所控制的，那么.CN的印證權(quán)并不在我們手上掌握。

下一代網(wǎng)絡(luò)的選入體系

現(xiàn)在互聯(lián)網(wǎng)大多數(shù)控制功能都是后期加上去，而不是在網(wǎng)絡(luò)設(shè)計之初統(tǒng)一考慮的。分布式的逐步添加的控制和管理，他們之間缺乏協(xié)調(diào)。很難有效收集網(wǎng)絡(luò)的狀態(tài)，發(fā)現(xiàn)定位網(wǎng)絡(luò)的異常。

SDN現(xiàn)在提出的軟件定義網(wǎng)絡(luò)，希望改變這種方式，通過一種邏輯上集中的網(wǎng)絡(luò)管理和控制。傳統(tǒng)的互聯(lián)網(wǎng)是分散的，每個路由器上都有其控制平面。我們可以看到SDN本身有資源的部分，通過資源控制接口達(dá)到了SDN的控制，最上邊是SDN的應(yīng)用場，彼此間把傳送跟控制分離了，這樣一來有可能在物理傳送資源是獨(dú)立的，邏輯上的控制是統(tǒng)一的，我們可以說傳統(tǒng)的路由器是有節(jié)點(diǎn)控制功能也有傳送功能，SDN把功能獨(dú)立出來，變成一個網(wǎng)絡(luò)操作系統(tǒng)，這樣底層網(wǎng)絡(luò)路由器成為純粹的轉(zhuǎn)發(fā)功能。因此過去路由器是各自獨(dú)立選入的，根據(jù)集中以后有可能對全網(wǎng)進(jìn)行優(yōu)化，在這一點(diǎn)上，應(yīng)該說可以靈活實(shí)現(xiàn)控制面功能的重構(gòu)，順應(yīng)大數(shù)據(jù)時代的時空動態(tài)性。

SDN的時候已經(jīng)考慮了多個層次的安全措施，即便如此，SDN既有安全上的優(yōu)點(diǎn)也有安全上的問題，SDN安全優(yōu)點(diǎn)就是說通過對安全影響的隔離，能識別對安全敏感的業(yè)務(wù)，并以安全的方式來分開，比如說專用協(xié)議和安全協(xié)議，這些處理能夠自動進(jìn)行。運(yùn)營商需要對目前網(wǎng)絡(luò)狀況有一個全局的觀點(diǎn)，這比過去單個設(shè)備管理起來更好一點(diǎn)。SDN本身也可能有漏洞，也可能侵犯隱私，過去在傳統(tǒng)硬件上，是不太可能對硬件進(jìn)行修改的，現(xiàn)在SDN是有可能通過軟件對硬件功能進(jìn)行修改，就有可能產(chǎn)生錯誤的配置。

SDN既能解決一些安全問題，也會引入一些新的安全挑戰(zhàn)，我們要考慮的是怎么能加強(qiáng)安全性。

（本文系根據(jù)鄔賀銓院士在“中國未來網(wǎng)絡(luò)發(fā)展與創(chuàng)新論壇”上的演講整理而成）