基于IPv6的下一代互联网安全问题初探
栗培国
清华大学计算机系北京(100084)
E-mail(lipeiguo@https://www.doczj.com/doc/9c11544036.html,)
摘要随着互联网的大规模商用,安全问题变得日益突出。IPv6 在解决目前互联网IP 地址不足而应运而生,它引入了加密和认证机制,并且强制实现IPsec。IPv6实现了基于网络层的身份认证,确保了数据包的完整性和机密性,实现了网络层安全。但是,这种安全并不是绝对的。下一代互联网仍存在许多安全威胁,需要建立全方位可信任的计算机网络安全体系,保证下一代互联网的安全性。
关键字:IPv6 网络安全下一代互联网
中图分类号: TP393.08
1 引言
互联网刚出现时,主要用于教育科研网,在各大学的研究人员之间传送E-Mail,以及共同合作的职员间共享资源。在这种使用环境下,网络协议的设计中很少关注网络的安全性,安全性未能引起足够的注意[1]。但是现在,随着互联网的大规模商用化,大家每天利用互联网进行学习,使用网络来处理银行事务和网上购物。互联网在国民经济中越来越重要的地位,网络安全问题变得日益突出。这里所说的安全问题既涉及网络安全也涉及信息安全,网络安全是指运行安全与数据安全;信息安全是指对信息的机密性、完整性、可用性的保护。安全威胁成为一个必须解决的问题,是发展下一代互联网应注意的最关键问题。因此,早在90年代初期,互联网工程任务组IETF(Internet Engineering Task Force)就开始着手下一代互联网协议IPng(Internet Protocol the next generation)的制定工作,1994年IETF提出了IPng建议草案,1995年底IETF提出了正式的协议规范,该规范经过进一步修改,成为今天的IPv6 (Internet Protocol version 6)。在设计基于IPv6的下一代互联网协议时,增加了对网络层安全性的要求,规定所有的IPv6实现必须支持IPSec(Internet Protocol Security)。IPsec 提供了两种安全机制:加密和认证[2]。加密是通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。认证使得IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。这样基于IPv6的下一代互联网在网络层的安全性得到了大大的增强。
2 IPv6的十大主要技术特点
针对目前互联网协议IPv4的不足,IETF提出了下一代互联网协议IPv6。因而其主要技术特点也是针对
IPv4而言。
①. 扩展地址,地址空间增大,IP地址由32bit增加到128bit,地址结构更加层次化,地址空间增加到能支持3.4ⅹ1038 台主机;
②. 简化头格式,IP包头格式简化,在IPv4中象校验和,IHL(Internet Header Length),鉴定标识,分段偏移等字段在新IP v6中不再保留。IP v6仅包含7个字段,简化了数据报文头部,减少了路由表长度,同时减少了路由器处理报头的时间,降低了报文通过网络的延迟;
③.支持扩展和选项的改进,对选项的更好支持,以前必需的字段现在只是选项,更加灵活便于分组处理;
④.增加流标识,可以标记数据所属的流类型以便路由器进行相应的处理,提供特定的QoS(Quality of Service);
⑤.源端分割,只在发送者分段,路由器不再执行分段功能,发送者应该检查所建立路径所需最小MTU (Maximum Transmission Unit);
⑥.路由选择: IPv6 路由与物理接口而不是接口关联(绑定)。IPv6 与 IPv4 的源地址选择功能不同。允许重复路由以提高稳健性,但在路由查找时将忽略重复路由。
⑦.不需SUM区域检查(Header checksum):在路由器中检查SUM区域的协议数据包被移除,数据包在网络传输前已通过检查,另外高层协议如TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)也允许自我确认,大多数情况下移除SUM区域检查不会产生严重的问题。
⑧.最大传输单元MTU:IPv6 的MTU结构化下限为1280个字节。也就是,IPv6将不会在低于此极限时对信息包分段。要通过小于1280MTU的链路发送 IPv6,链路层必须明确地对IPv6信息包进行分段和合并。
⑨.可扩展协议:不像IPv4,IPv6不再定义未来所有可能协议,允许发送人添加数据包信息,这样使IPv6 比IPv4有更广泛的灵活性,以后可设计新需求。
⑩.安全性:身份验证和加密的功能,在IPV6中为支持认证,进行数据完整性及数据保密的扩展。
3 IP Sec安全机制
IPSec的安全主要由IP的认证报头AH(Authentication Header,RFC2402中描述)、封装安全载荷ESP (Encapsulating Security Payload,RFC2406中描述)、安全连接SA(Security Associations, RFC2401中描述)和密钥管理协议IKMP(Internet Key Management Protocol, RFC2408中描述)四部分来实现。它能够为IPv6提供可交互操作的和高质量的基于加密的安全服务,这种安全服务包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务[3]。
3.1 认证报头AH
认证报头AH是为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况[4]。认证报头是IPv6的一个安全扩展报头,IPv6的认证主要由认证报头AH来完成。认证报头AH通过在所有数据包头加入一个密钥,对用户进行认证。这种认证是IP数据包通过一定加密算法得出的编码结果,相当对IP数据包进行数字签名,只有密钥持有人才知道的“数字签名”来对用户
进行认证。同时这种签名还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。
认证报头AH可被独立使用,或与 IP 封装安全载荷ESP相结合使用,或通过使用隧道模式的嵌套方式。在应用中它经常和无连接完整性服务结合使用,这为IP数据包提供完整性和数据来源验证,防止反重放攻击,避免IP欺骗攻击。IPv6 通过认证报头AH使数据包的接收者可以验证数据是否真的是从它的源地址发出的,并提供密码验证或完整性测试。为IP数据报头和上层协议提供足够多的无连接的完整性验证、数据源认证、选择性抗重播服务。
3.2 封装安全载荷ESP
封装安全载荷ESP提供机密性、数据源验证、无连接的完整性、抗重播服务(一种部分序列完整性的形式)和有限信息流机密性[5]。为了保证Internet传输的原始数据包的机密性,封装被保护的数据是必须的,将被保护的数据和相关控制信息加密并把被加密的编码数据放入封装安全载荷ESP的相应字段部分。根据安全应用需求, 封装安全载荷ESP提供两种使用方式,即传输模式和隧道模式。这两种模式分别可理解为用于加密传输层段或用来加密一个完整的IP数据包。同认证报头AH一样,封装安全载ESP也可以单独应用,可以与IP认证报头AH相结合使用,或者采用嵌套形式。由于到达的IP分组可能失序,ESP使用对称加密算法,每个分组必须携带所有要求的数据,以便允许接收方为解密建立加密同步,这个数据可能明确地装载在有效载荷字段[5]。总之,封装安全载ESP规定了使用一种可选的加密算法来提供机密性,并规定了一种可选的认证算法来提供认证和完整性,ESP试图提供信息的机密性和完整性服务。
3.3 安全关联SA
安全关联SA是一种简单的逻辑连接,为了安全的目的而生成的。一个安全关联SA上的所有传输提供相同的安全处理。在IPSec中,安全关联SA是一个抽象的中间层,由使用认证报头AH或者封装安全载荷ESP 来实现,安全关联SA包含验证或者加密的密钥和算法[3]。它是一个单向“连接”,它为通过它的传输提供安全服务,为保护两个主机或者两个安全网关之间的双向通信需要建立两个安全关联。一个安全关联SA需要通三个参数进行识别,它由安全参数索引SPI(Security Parameters Index,AH/ESP报头的一个字段)、目的IP地址和安全协议(AH或者ESP)三者的组合唯一标识。如果要在同一个通信流中使用认证报头AH和封装安全载荷ESP两个安全协议,那么需要创建两个(或者更多)的安全关联SA来保护该通信流。
3.4 密钥管理协议IKMP
在IPSec中,密钥管理协议IKMP主要用于建立和维护安全关联SA,为多重的安全协议和应用程序建立安全关联SA,作为所有另外的安全协议互操作的和普通的框架。密钥管理协议IKMP对联系的协议提供保护攻击,该保护提供安全关联SA和建立的密钥,保证与需要的部分一起的而不与一个攻击者一起[6]。集中化管理安全关联SA,减少了在每个安全协议中重复功能的数量,减少连接时间,提高通讯效率。
密钥管理协议IKMP定义交换密钥生产的有效载荷和认证数据,支持不同安全协议的加密算法。提供认证机制和密钥生成算法,提供多重的密钥的交换技术、加密算法、认证机制和安全服务。
IPSec的四部分是一个有机的整体,前两者是两种主要为认证和加密标记,而后两者为前两者更好发挥作
https://www.doczj.com/doc/9c11544036.html, 用服务。通过对IPsec所提供的新的安全机制的介绍,我们可以看出,IPv6提供了身份认证和加密功能,可以保证数据包的完整性和机密性,所以在安全方面,IPv6有了很大的提高。
4 安全问题
从IPv6 主要技术特点和IPsec安全机制来看,基于IPv6的下一代互联网的有了长足的进步,可以说是在网络层安全机制是相当完善的。但是,这并不能说IPv6 已经可以确保网络系统的安全了。这里面有很多原因,最重要的是,安全问题包含着各个层次,各个方面的问题,不是仅仅由一个安全的网络层就可以解决得了的。如果黑客从网络层以上的应用层发动进攻,比如利用系统缓冲区溢出或木马的方法,纵使再安全的网络层也与事无补。即使仅仅从网络层来看,IPv6 也不是十全十美的。它毕竟同IPv4 有着极深的渊源。并且,在IPv6 中还保留着很多原来IPv4 中的选项,如分片,TTL(Time To Live)。而这些选项曾经被黑客用来攻击IPv4 协议或者逃避检测,很难说IPv6 能够逃避得了类似的攻击。IPv6的倡导者将着重点放在了保护数据安全之上,将网络安全问题交付给终端用户[7]。因此,IPv6并没有解决所有网络安全问题,各种网络威胁仍然存在,如最普及的网络攻击病毒和蠕虫攻击、这种看起来简单的的网络攻击行为,在IPv6的网络中仍将存在。另外一些攻击方法仍然无法有效防止,如拒绝服务攻击、针对协议本身的SYN flood攻击、口令攻击、利用缓冲区溢出的攻击等等。同时一些网络资源滥用,信息审计滞后;网络内部用户恶意行为和管理上的漏洞都将严重威胁着下一代互联网的安全。
首先,最普及的网络攻击行为病毒和蠕虫,尽管IPv6的地址空间实在是太大了,以至病毒或者蠕虫无法通过扫描地址段的方式来找到有可乘之机的其他主机。然而,IPv6网络中的关键主机仍将存在,如一些DHCP 服务器、DNS,路由器的IP地址仍将被容易周知,从而这些关键主机容易被攻击,它们的安全问题仍然存在。所以,对于关键主机的安全需要特别重视,不然黑客就会从这里入手从而进入整个网络。另外基于应用层的病毒和蠕虫是仍将会存在的,电子邮件的病毒还是会继续传播。
其次是拒绝服务攻击DoS(Distributed Denial of Service),它是一种攻击目的不在于窃取信息,而是要使攻击对象(设备或网络)无法正常动作。在IPv6网中,由于组发地址定义方式给攻击者带来了更多机会。例如,IPv6地址FF01::1是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。同时由于IPv6引进了加密和认证,从而需要一定的计算量。为了安全起见,密钥需达到一定长度(如128bit),我们知道密钥越长,加密的计算量越大,尤其是在公钥系统,更需要巨大的计算量。这可能又为攻击者人为创造新的攻击方式。就目前来看,网络发展的趋势是带宽的增长速度远远大于CPU 主频的增长。如果黑客向目标发送大量貌似正确实际上却是随意填充的加密数据包,被害者就有可能由于消耗了大量的CPU时间用于检验错误的数据包而不能响应其他用户的请求,造成拒绝服务。
第三,针对TCP协议本身的攻击,如SYN flood攻击。在SYN Flood攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口的半连接队
列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。这种是基于TCP 协议本身机制漏洞,IPv6并不能解决这方面的攻击。
另外,由于IPv6主要在IP层引入重要加密机制,尽管一定程序上能为传输层、应用层加密、身份认证提供方便,但是IPv6并不能根本上解决所有安全问题。因而在基于IPv6的下一代互联网仍存在许多攻击。应用层的攻击,显而易见,任何针对应用层,如WEB服务器,数据库服务器等的攻击都将仍然有效;
总之,正是由于互联网的自身的安全缺陷是导致互联网存在许许多多安全问题。互联网的安全问题体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多的网络协议和应用没有提供必要的安全服务,比如电子邮件使用的协议SMTP没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。互联网和所连接的计算机系统在实现阶段也留下了大量安全漏洞。一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞也越来越多。特别是由于市场竞争,一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场,留下了大量的安全隐患,如缓冲区溢出。在互联网和系统的维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。比如,系统的缺省安装和弱口令是大量攻击成功的原因之一。
5 应对措施
为了保证基于IPv6的下一代互联网的安全运行,我们需要建立可信任的、全方位的安全服务网络体系。从网络体系结构入手,建立全面的安全机制。尽管TCP/IP协议本身的发展,证明其生命的强大,但是我们仍相信,从协议做起,完美网络体系结构,引进新的加密机制仍具有可行性。当然新的网络体系结构一方面要保证安全,另一方面不能使网络效率过于低下或使互联网失去开放性。
坚持Internet的基本原则,无连接、端对端、尽力而为建立分存式认证,身份识别,加密技术,数字签名。由于IPv6能够提供足够多的IP地址,为地址的实名制提供了基础,从而建立更有效的CA应用模式,保护网络和用户资源,允许高度分布性的端到端智能和多网络技术共存,提供端到端的安全机制及应用于多个管理域的端到端安全解决方案,确保终端以安全方式接入。新的密钥交换协议的应用,如源于共轭编码的量子密码理论与技术,目前已在自由空间和商用光纤中完成了单光子密钥交换协议。基于IPv6的防火墙技术应用,建立DMZ(D eMilitarized Zone),路由器与防火墙的结合使用,从而保证在IP转发过程中的安全。在应用层可以利用新的隐藏技术进行信息隐藏,把机密信息隐藏在大量信息中不让对方发觉的一种方法,如图象叠加、数字水印、潜信道、隐匿协议等。这种隐藏技术将在基于IPv6的下一代互联网网络中,用于保护信息免于破坏是很好地选择。
总之,建立完善地管理制度,应急响应,处理机制。构建面向未来、一体化的可信赖网络是基于IPv6的下一代互联网唯一选择。
6 结论
综上论述,基于IPv6的下一代互联网带给我们足够的IP地址,支持流标识,有利于网络视频应用,同时,它简化了协议报头,强制支持IPsec。有助于网络身份认证,数据完整性和机密性的问题,使IPv6 真正实现了网络层安全,这是很大地进步。但是,这些安全机制并不能保证下一代互联网安全运行。网络安全是层次性问题,新的网络协议和新的发展方向,同时会带来新的解决安全问题,需要进一步建立新的网络安全体系,更好地应用新的密码技术,加强传输层安全建设,在应用层利用新隐藏技术,从而建立基于IPv6的下一代互联网的高效的、全方位的、可信任的网络体系。
参考文献:
[1] (美)Andrew S. Tanenbaum 著,熊桂喜,王小虎译,《计算机网络(第三版) 》,
北京:清华大学出版社,2003 年12 月12 日出版:447-480;
[2] (美) Pete Ldshin 著,《IPv6 详解》,北京:机械工业出版社,2000 年4 月1 日出版:69-79;
[3] R. Atkinson. Security Architecture for the Internet Protocol, RFC2401
[4] R. Atkinson. IP Authentication Header (AH), RFC2402
[5] R. Atkinson. IP Encapsulating Security Payload (ESP), RFC2406
[6] R. Atkinson. Internet Security Association and Key Management Protocol (ISAKMP), RFC2408
[7] C. Huitema. IPv6 The New Internet Protocol, Prentice Hall, New Jersey, 1996
Preliminary Study of Security of the Next Generation Internet Based on
IPV 6
Li Peiguo
(Computer Department,Tsinghua University,Beijing 100084)
E-mail(lipeiguo@https://www.doczj.com/doc/9c11544036.html,)
Abstract:Security problem becomes increasingly outstanding along with the widely application of Internet for commercial purpose. IPv6 not only eliminated the address exhaustion problem, but also realized IP layer security because it had to support IPsec((Internet Protocol Security) that provided two kinds of security mechanisms: Encryption and Authentication. However, this kind of security is not absolute for there are many security threatens towards the Next Generation Internet. The establishment of overall dependable security system is still needed. Keyword:IPv6 Network security the Next Generation Internet
栗培国:男。1972年生。清华大学远程硕士研究生。主要研究方向是网络安全。
下一代网络安全解决方案 随着网络的泛化和无边界化,网络安全问题会越来越严峻。单就恶意代码一项,就呈现出爆炸增长的趋势。目前全球已经有50亿恶意样本,每天还将以300万种的速度产生。如果把恶意代码问题看作天灾的话,那么现代网络同时还面临着“人祸”。“棱镜门”事件揭露了网络数据被监听的事实,暴露出国家安全、网络安全形势严峻。无论数据被恶意代码破坏,还是被黑客监听,最终都使得安全问题回归到了安全体系如何建设这样一个根本命题。 1、安全现状 地下黑色产业链的发展,使得制作黑客工具、控制用户终端、盗取用户信息、滥用互联网资源、攻击受害系统等行为形成产业化,并快速壮大,对互联网安全造成严峻挑战。 新型安全攻击方式增长迅猛,传统技术难以应对。利用0Day进行攻击案例迅速增长,而APT攻击方式向更加多维化的方向发展,综合运用各类攻击手段的能力、复杂度继续提升。 网络IP化、IPv6、云、物联网的智能化发展趋势,产生了更为复杂的安全问题。 运营商网络往往规模庞大,安全脆弱点多,安全体系建设难以达到更好的效果,在这样的网络结构下,运营商骨干网、短信系统长期受到攻击,获取用户信息,难以发现,国家安全部门发现运营商重要系统中被植入特种木马的事例也逐渐增多,在这种安全趋势下,新的安全威胁对旧的安全体系发起了挑战。 2、基于P2DR安全模型的早期安全防护体系 早期的安全体系建设就是基于P2DR模型,包括4个主要部分:策略、防护、检测和响应。 (1)策略(Policy):根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。 (2)防护(Protection):通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。 (3)检测(Detection):是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。 (4)响应(Response):系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。 该安全体系的好处是基于风险评估理论,将安全看做一个动态的整体。通过策略与响应来使得安全问题形成闭环,但是该安全体系并没有对安全威胁的本质进行分析,是安全体系的初级阶段的产物。 基于该安全体系,产生了一些如防火墙、入侵检测等初期的安全产品。 3、基于木桶原理的近期安全防护体系 随着安全威胁的不断发展和对安全理解的不断加深,人们开始对安全本质进行思考,出现了基于木桶原理的安全防护体系。 木桶原理简单的说就是整个系统的安全系数取决于最弱一环,即短板理论,因此整个安全体系的建设就是寻找整个网络的所有安全边界,然后将这些安全边界进行防护,避免安全短板的出现。 安全领域近10年的时间都是靠边界思想来指导安全体系建设,用网关防护类产品确定
【摘要】我们生活在信息时代,随着Internet的普及,我们的生活越来越离不开计算机以及互联网。如何在使用互联网时避开网络中的各种危险,提高网络安全技术正在被全世界所关注。 【关键词】网络安全发展黑客技术病毒物联网 【正文】 一、网络安全的前世今生 近几年,网络空间逐渐被视为继陆、海、空、天之后的“第五空间”,成为国际社会关注的焦点和热点。水能载舟,亦能覆舟。网络在方便和丰富人们生活的同时,使得网络攻击活动有机可乘。网络所具有的开放性、互联性和共享性等特征是的网络安全有着先天不足,网络安全受到全方位挑战。 在计算机发明之前,人们主要靠物理手段(如保险柜)和行政手段(如置顶相应的规章制度)来保证重要信息的安全。在第二次世界大战期间,人们发明了各种机械密码机,以保证军事通信的安全。 自1946年2月14日世界上第一台计算机ENIAC在美国宾夕法尼亚大学诞生以来,人们对信息安全的需求经历了两次重大的变革。计算机的发明给信息安全带来了第一次变革,计算机用户的许多重要问价和信息均存储于计算机中,因此对这些文件和信息的安全保护成为了一个重要的研究课题。计算机网络及分布式系统的出现给信息安全带来了第二次变革。人们通过各种通信网络进行数据的传输、交换、
存储、共享和分布式计算。网络的出现给人们的工作和生活带来了极大的便利,但同时也带来了极大的安全风险。在信息传输和交换时,需要对通信信道上传输的机密数据进行加密;在数据存储和共享时,需要对数据库进行安全的访问控制和对访问者授权;在进行多方计算时,需要保证各方机密信息不被泄露。这些均属于网络安全的范畴。 自20世纪90年代开始,Internet得到广泛发展,链接因特网的计算机也越来越多,自1988年莫里斯蠕虫发作以来,重大网络安全事件不断发生,知名的事件如梅丽莎(Melissa)病毒、灰鸽子病毒、蓝宝石病毒、熊猫烧香等事件均造成巨大的损失。据统计,Internet每天收到的攻击达到500万次以上,平均每小时受到20万次攻击。如何解决在开放网络环境下的安全问题更成为迫切需要解决的问题。 二、我国网络安全发展现状 自1994年我国正是介入Internet以来,互联网的规模和应用迅速发展。截止2015年6月,我国网民数已达6.68亿,互联网普及率为48.8%,为世界第一位。然而,目前中国互联网安全状况不容乐观,各种网络安全事件层出不穷。攻击者攻击目标明确,针对不同网站和用户用不同的手段攻击。对政府类和安全管理相关的网站主要采用篡改网页的攻击方式;对以网络为核心业务的企业,采用有住址的分布式拒绝服务攻击(DDoS)等手段进行勒索;对个人用户是通过用户身份窃取等手段偷取账号、密码,窃取用户个人财产;对金融机构网上
NGN(下一代网络)安全问题分析 二、三线城市房价涨or跌?·新闻分析:解读两个月内国际油价近30%的跌幅 ·油价跌至107.89美元周大地:能源价改路在何方? ·奥运物资竞拍今起报名9日在北京产权交易所拍卖 ·成思危:下半年CPI将逐月回落全年可能为6%到7% ·开发商欲背水一战购房者不买帐继续观望 ·供求平衡十分脆弱对油价走势业内存在很大分歧 京津城际“巨龙腾飞”一、NGN安全问题的引出 随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅是IT行业问题,而是一个社会问题以及包括多学科系统安全工程问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络,是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防,因此在NGN研究中安全将是最重要的课题之一。 1.NGN安全相关经济领域:随着我国网上银行的建设、电子商务的发展,无数财富将以比特的形式在网络上传输。 2.NGN安全相关文化领域:当前网上聊天已成为一种重要沟通手段,生存在网络中的虚拟社会已成为人们的第二生活方式,网络已成为继报刊杂志、广播和电影电视后的重要媒体。 3.NGN安全相关政府职能:当前我国正在大量建设电子政务网,也就是政府职能上网,在网上建立一个虚拟的政府,实现政府的部分职能性工作。 4.NGN安全相关国防:随着军事国防信息化的进展,信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外,网络安全问题还可能导致指挥系统的瘫痪。 5.NGN安全相关国家重要基础设施:大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题,进而引发更多更严重的问题。 二、NGN面临的安全威胁 就目前通信网络现状而言,NGN可能面临如下安全威胁。 1.电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。 2.设备安全:当前设备容量越来越大,技术越来越复杂,复杂的技术和设备更容易发生安全问题。 3.链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现“桥毁缆断”通信中断的严重局面。 4.通信基础设施过于集中:国内几个主要运营商在省会城市的长途通信局(站)采用综合楼方式,在发生地震火灾等突发事件时,极易产生通信大规模中断的局面。 5.信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,增加了安全隐患。 6.同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。 7.网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能会遭受毁灭性打击,导致链路大量中断。 8.网络被流量冲击:当网络受到流量冲击时,可能产生雪崩效应,网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击。
基于以上特性,最先应用于网络安全的硬件架构产品是基于CISC(复杂指令集)即x86处理器的产品。为什么是x86架构呢?首先要从操作系统说起,网络安全产品很多都是基于Linux开发,因为Linux系统内已经嵌入很多基本的网络安全模块比如防火墙功能等,再者因为是开源的缘故使后续的很多安全功能很容易加载在系统之上。而我们也知道所谓的x86系统,主要是基于Int el架构的硬件系统,而这种系统在PC上得到了最广泛的应用。早期的x86产品主要是由CPU、北桥和南桥三部分组成,CPU(处理器)进行数据处理,北桥挂内存和图像处理器,南桥挂各种I. O接口。这种架构有利于复杂图形数据处理和各种数据处理,再加CPU的主频不断提高使其处理能力很高但功耗也很高。由于I.O一般都采用传统的PCI总线上挂载网卡的方式,而且总线上会挂载多个PCI设备使本来带宽就不大的总线开销大大增加,所以传输数据包的效率就大大降低。以33MHz 32位PCI总线上挂载4个PCI网卡来说,经过测试64Byte小包只有20MByte 的性能,大包也不能达到百兆线速。〃 PowerPC 由于X86架构上的这些问题,后来出现了RISC处理器,就是精简指令集处理器。首先是飞思卡尔的PowerPC处理器,此处理器是SOC架构,把内存管理器和所有的I/O都集中在一个芯片上,而且使用了像GMII/SGMII/Xauio等高速通讯总线,大大提高了包传输效率。PowerPC是一种R ISC多发射体系结构,飞思卡尔凭借其Power PC架构的系列处理器霸守在通信处理器市场,优点是PowerPC的指令格式简单统一,长度固定,寻址方式也经过优化,提供了更高级的扩展能力。在硬件规模相当的情况下,RISC处理器可比CISC处理器的速度快40%—70%不等。而且对于处理必须的纠错能力和安全性能来说,RISC先天具有非常好的发挥空间。实时嵌入式操作系统,飞思卡尔的PowerQUICC系列处理器由嵌入式的PowerPC核和通信处理模块CPM两部分集成而来。这种双处理器的结构由于CPM承接了嵌入式Power PC核的外围接口任务,另外支持微码复用,比较适合在通信行业使用。因为有以上的特点使得PowerPC的转发能力非常强,一般在单纯转发的情况下可以达到千兆线速。缺点是:由于RISC结构的特点,硬件和软件的兼容性都不强,运算能力比CISC低。近年来PowerPC也推出了多核的产品,但由于以上的特性主要还是在通讯类产品应用很多,而在网络安全上的应用很少。缺点:1)主频低,一般不到2 G,计算能力要弱于X86,不适合用在IPS、UTM等对内容层处理较高的应用。2)PowerPC主要流行的实时操作系统Vxworks已经被竞争对手Intel收购,飞思卡尔准备走两条路:一条是与其它实时操作系统厂商更紧密的合作;另一个将会寻求在Linux上开发实时操作系统。3)多核方面以及计算能力不如X86和Mips发展好,不适合做高端防火墙以及IPS等产品4)由于RIS
1.IPv6技术标准主要有下面哪个国际标准化组织制定的?(A ) A. IETF B. 3GPP C. ICANN D.ITU 2.下列关于IPv6协议优点的描述中,准确的是(D) 。 A.IPv6协议支持光纤通信 B.IPv6协议支持通过卫星链路的Internet连接 C.IPv6协议具有128个地址空间,允许全局IP地址出现重复D.IPv6协议解决了IP地址短缺的问题 3.我国的第一个也是全球最大的IPv6试验网是(a )。 A. CERNET2 B. CERNET C. 6Bone D. RENATER2 4.以下不是IPv4存在的技术局限性的是( b )。 A. 地址空间匮乏 B. 速度太慢 C. 不提供服务质量保证 D. 缺少移动性支持 5.以下关于IPng和IPv6的说法正确的是(b )。 A. IPng和IPv6实际上是一回事儿 B. IPng是所有有关下一代Internet协议的总称 C. IPng是IPv6中的一个具体的协议 D. IPv6是所有有关下一代Internet协议的总称 6.能比较彻底地解决 IP 地址耗尽的问题的措施的是(C ) A. 采用无类别编址 CIDR B. NAT转换 C.引入IPv6 D. 使用移动IP 7.IPv6数据单元由固定首部(Base Header)和有效载荷(Playload)组成, 固定首部的长度为( d )字节。 A. 12 B. 8 C. 20 D. 40 8.IPv6对IPv4的数据报头作了简化,其固定首部共包含(b )个字段。 A. 12 B. 8 C. 20 D. 40 9.IPv6的地址配置方法不包括( A)。 A. 采用无类别编址 CIDR B. 无状态地址自动配置 C.DHCPv6引入IPv6 D. 手工配置
下一代网络安全的技术的问题 随着我国电信市场的不断发展,业务流量也每年加倍增长,路由器结构变得越来越复杂。由于宽带化,用户接入速率剧增,网络可扩展性和网络安全性问题成为下一代网络必须面对的挑战。 IP层的安全性考虑 由于NGI具有更大、更快、更安全、和更能赢利等特征,业界普遍认为IPv6是NGI 的主要特征,但还需要扩展一些协议,通过扩展互联网的一些协议和增加容量,将实现NGI IPv6的安全能力。尽管IPv4的作用不可估量,但是IPv6的作用也是显而易见的。在安全问题上IPv6并不比IPv4更显著,IPv6和IPv4都能使用IPSec,但这仅带来一些低水平的对安全的改进。另外IPv6本身也不比IPv4有更好的QoS,IPv4与IPv6两者都使用同样的QoS 技术,在加密问题上IPv6并不比IPv4有更大的能力,源地址能够随每一次“会晤”而变。 连接还是无连接? NGN定义是下一代网,是基于分组的网络,能够提供包括电信业务在内的各种业务,能够使用多种宽带和保证QoS的传送技术,业务相关功能与承载的传送技术无关,为用户提供不同的业务提供者的不受限接入能力,支持通用移动性,允许将业务协调的和无处不在的信息提供给用户。它适用于电路交换、TDM传送、简单终端、高可靠性和安全性、适于实时业务、对数据效率较低、对宽带业务可扩展性差和基于等级的受控的QoS、优化对收据业务的支持、容易实现宽带业务。NGN的安全组成是IP-CAN安全在互联网的运用上,NGN 采用的是技术而不是它的机理。互联网应当是面向连接还是无连接?目前业界选择的是后者。NGN的研究现阶段仍然处在试验阶段,它与NGI相比更强调运用、安全、计费和商业模式的重要性,未来的互联网要在通话对象之间建立直接的链路。 未来的网络安全体系 今后,NGN需要具有不依赖于加密系统的内在网络安全体系,NGN应当提供对蠕虫、病毒和垃圾邮件的合法拦截。ITU FGNGN和ETSI新的安全工作组将研究:开发NGN多媒体通信的安全规范;调查在互联网上提供业务所需的安全业务与机理;对在NGN框架内,实现系统所采用的候选协议,以及在网元进行安全性分析和EMTEL方面,继续追踪世界各地将要进行的网络安全性研究与试验,以获取更有价值的信息。
得分:89 已完成 一.单选题(50题,50.0分) 1、两个密钥的3-DES密钥长度为()。 A.56位 B.112位 C.128位 D.168位 1.0 分 我的答案:B 2、代码签名是为了()。 A.表明软件开发商的信息 B.实现对软件来源真实性的验证 C.说明软件的功能 D.说明软件的版本 1.0 分 我的答案:B 3、防范恶意代码可以从以下哪些方面进行()。 A.检查软件中是否有病毒特征码 B.检查软件中是否有厂商数字签名 C.监测软件运行过程中的行为是否正常 D.以上都正确 1.0 分 我的答案:D 4、运用针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术属于()。 A.包过滤型 B.应用级网关型 C.复合型防火墙 D.代理服务型 1.0 分 我的答案:D 5、打开证书控制台需要运行()命令。 A.certmgr.msc B.wiaacmgr C.devmgmt.msc D.secpol.msc 1.0 分 我的答案:A 6、看了童话《三只小猪的故事》,不正确的理解是()。 A.安全防护意识很重要 B.要注重消除安全漏洞 C.安全防护具有动态性 D.盖了砖头房子就高枕无忧了 1.0 分 我的答案:D
7、不属于计算机病毒特点的是()。 A.传染性 B.可移植性 C.破坏性 D.可触发性 0.0 分 我的答案:D 8、信息安全管理的重要性不包括()。 A.三分技术、七分管理 B.仅通过技术手段实现的安全能力是有限的,只有有效的安全管理,才能确保技术发挥其应有的安全作用 C.信息安全技术是保障,信息安全管理是手段 D.信息安全管理是信息安全不可分割的重要内容 0.0 分 我的答案:D 9、衡量容灾备份的技术指标不包括()。 A.恢复点目标 B.恢复时间目标 C.安全防护目标 D.降级运行目标 1.0 分 我的答案:C 10、通过对已知攻击模型进行匹配来发现攻击的IDS是()。 A.基于误用检测的IDS B.基于关键字的IDS C.基于异常检测的IDS D.基于网络的IDS 1.0 分 我的答案:A 11、WD 2go的作用是()。 A.共享存储 B.私人存储 C.恢复删除数据 D.彻底删除数据 1.0 分 我的答案:A 12、为了确保手机安全,我们在下载手机APP的时候应该避免()。 A.用百度搜索后下载 B.从官方商城下载 C.在手机上安装杀毒等安全软件 D.及时关注安全信息 1.0 分 我的答案:A 13、以下对于社会工程学攻击的叙述错误的是()。
2012.7 29 下一代防火墙:网络安全 防范技术分析 林鸿 福州职业技术学院 福建 350108 摘要:面对日趋复杂的应用控制和安全威胁,传统的网络安全防御架构已显力不从心。新一代的网关安全产品NGFW(下一代防火墙)是否能成为未来网络安全防范的新选择?下一代防火墙是什么样的安全产品,与传统安全产品有什么不同,可实现哪些安全功能并具有哪些技术特色,都值得我们加以讨论和分析。 关键词:下一代防火墙;NGFW ;网络安全;技术分析 0 引言 2011年岁未,网络上盛传许多网站、论坛数据库遭黑客 攻击,密码、账号被盗的“泄露门”事件,频频搅动了国内 互联网安全的神经。截至2011年12月29日,国家互联网 应急中心(CNCERT)通过公开渠道获得疑似泄露的数据库有26个,涉及账号、密码2.78亿条。在这场中国互联网有史 以来波及面最广、规模最大的泄密事件中,人们不禁拷问, 企业的防火墙、IPS(入侵防御系统)、UTM(统一威胁管理)都 怎么啦?也在深入思考,在面对当今热门的数据中心整合和 互联、云计算、移动计算环境下更为分散和全方位的安全需 求时,传统的网络安全架构体系,是否还能担当信息安全的 防范重任,我们需要什么样的网络安全防范产品。下一代防 火墙(Next Generation Firewall,NGFW),这个近来在业界得到厂 商热捧的新一代的网关安全产品,能否面对互联网的安全现 状,在应用模式、业务流程、安全威胁不断变化的今天挑起 大梁,迎接挑战?它是一个什么样的安全产品,与传统的安 全产品有什么不同,硬件架构的设计做了什么改进,能实现 什么样的安全功能,技术性能上有哪些特色,都值得我们加 以关注和讨论。 1 什么是下一代防火墙 防火墙产品从上世纪九十年代使用至今,虽经系统架构和软件形态的多次改进和革新,但在应对和识别目前日趋复杂的混合性安全威胁时已显力不从心,应运而生的一款全新 安全产品NGFW 是否会取代传统防火墙、IPS 、UTM ,成为未来网络安全防御的主流产品,它能否解决网络新环境下产生的新安全隐患,NGFW 究竟是一个什么样的产品? 关于NGFW ,业界普遍认同的定义来自市场分析咨询机构Gartner 于2009年10月发布的一份名为《Defining the Next-Generation Firewall 》的文章。Gartner 认为,NGFW 应该是一个线速的网络安全处理平台,可执行深层流量检测,应用识别,阻止攻击的网关安全产品。在Gartner 看来,NGFW 至少应该具备以下的功能属性: 传统防火墙:NGFW 必须拥有传统防火墙的所有功能,如数据包过滤、NAT 、协议状态检查、VPN 等。 集成IPS :NGFW 在同一硬件内集成了传统防火墙和IPS 的功能,IPS 成为NGFW 的核心组件,它不是防火墙和IPS 两个硬件的简单叠加,而是功能的无缝融合。NGFW 中防火墙和IPS 的无缝融合、自动联动的协作机制将大大提升防御性能,增强网络安全性。 应用识别、控制与可视化:NGFW 与传统防火墙基于端口和IP 协议进行应用识别不同,而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理带宽或优先排 序应用层流量。深度流量检测让管理员可针对单个应用组件 执行细粒度策略。 超级智能的防火墙:NGFW 可以收集来自防火墙外面的 各类信息,用于改进阻塞决定,或优化阻塞规则库。
新一代互联网技术现状及安全技术问题的 解析 随着互联网设备特别是移动智能终端数量剧增,我们已进入新一代互联网即移动互联网时代,IPv4 的地址空间紧张的问题已经日益突出,同时物联网、云计算、移动互联网等新型概念对网络地址提出大量需求,以IPv6 协议为基础协议的新一代互联网已从研究阶段转型进入商用阶段,下一代互联网技术和设备的研发、应用在国内外已呈风起云涌之势,也必将成为各国技术竞争的核心。 1 新一代互联网技术的发展现状 在互联网的鼻祖美国,IP 地址资源和商业应用相当丰富,它在2008 年对网络地址的供需平衡,那时绝对没想过对现有的IPv4d 的网络体系进行改造,这需要大量的资金,所以美国IPv6 研究工作不算领先。2008 年 5 月美国发现IPv6 地址申请数量突然猛增,共达到14729 块,高居榜首,加快了IPv6 网络的部署与应用。美国军队已部署了IPv6 的应用网络,也建设了商业的IPv6 网络。美国政府的各部门的网络现已支持IPv6,美国国家标准实验室NIST 已制订政府设备IPv6采购规范,要求从2008 年6 月开始,美国政府机构必须切换到支持IPv6 协议,相关的硬件产品也必须遵循相关要求。 欧洲采取的是先移动,后固定的基本战略,它们有关IPv6 的认识充分,研究改造动手较早,并不断扩展,并在第三代移动网中率先引入IPv6。
日本在这方面稍显滞后,但基于其电子产品及家电产业的高度发达,日本国内对IP 地址的需求量也很大,这迫使日本加快在IPv6 技术和应用方面的研究。早在2000 年9 月,日本政府已确立IPv6 技术的研究倾向,并同时提出了e-Japan构想,明确了IPv4 向IPv6 过渡的时间表和路线图,成立了多个国际性IPv6研究组织。目前,日本已经有10 多家运营商及ISP 提供IPv6 商用服务。 韩国政府对这个问题很敏感,早在2000 年就已开始投资进行IPv4/IPv6 过渡技术的研究,韩国的IPv6实验床技术很是先进。韩国的IPv6 网络系统主要有6Bone-KR(1998)、KOREN IPv6(1999)和TEIN(2001)等。韩国政府2008 年宣布,从2013 年开始全面启用IPv6,韩国现阶段的重点放在与WiBro Mobile Internet及Home network 结合上。 在我国下一代互联网的建设得到从国家到产业的高度重视,在IPv6 协议的研究和应用方面已走到了世界前列。2001 年以来,我国国家计委、信息产业部及科技部等相继启动有关IPv6 的研究项目,863 项目和973 项目中都明确提出对新一代互联网安全体系研究的重要支持。至2003 年11 月开始,国家发改委会部署进行CNGI(中国下一代互联网)示范网络的建设,成效显著;到 2004 年,中国第一个 IPv6 主干网CERNET2试验网正式开通并向民众提供服务;目前,CNGI网络的建设已基本成型,国内各大运营商都积极参与到此网络建设种,并获益匪浅。依托CNGI 项目的建设,我国在新一代互联网技术研究和产品开发等方面也陆续取得了一系列突破性成果,在下一代互联网应
网络安全概述 网络安全的定义 什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止: 未授权的使用者访问信息 未授权而试图破坏或更改信息 这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。 在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。 电信行业的具体网络应用(结合典型案例) 电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素: 网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。 IP路由协议的优化。 IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。 带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。 稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。 从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。 骨干层网络承载能力
物流管理101班第十三组 韦春兰、张焱义、陈亮 1、下一代互联网是做什么的? 答:简单来说,下一代互联网是指不同于现在互联网的新一代互联网。它将解决现有互联网I P地址不足的缺点。互联网是人类社会重要的信息基础设施,对经济社会发展和国家安全具有战略意义,与构建和谐社会、建设创新型国家和走新型工业化道路等重大战略的实施紧密相关。中国下一代互联网示范工程(CNGI)项目是由国家发展和改革委员会主导,中国工程院、科技部、教育部、中科院等八部委联合于2003年酝酿并启动的。下一轮互联网竞争,对中国来讲是一个绝好的发展机会。在下一代互联网的建设中,中国应利用自己的优势,把技术开发放在第一位,并尽快实现相关产品的产业化。 2、下一代互联网的基本构架。 答:基于层叠方法的新型体系结构。2003年英特尔研究院的研究人员提出了延迟容忍网络(D e l a y T o l e r a n t N e t w o r k,D T N)。这是一个建立在网络传输层上的层叠网,在网络协议中增加一个称为B u n d l i n g(绑定)的协议层,提供了编址、报文封装、路由、数据重传和流量控制等机制。延迟容忍网络采用“存储—转发”工作模式,将暂时无法端到端连接的报文存储在转发结点,待重建通信路径后,再将报文发送到下一跳,实现在网络拓扑断续频繁、传输延迟长、错误率高等条件下的可靠传输。此后,研究人员又针对断续拓扑的路由技术开展了相关研究,提出多种路由算法。随后人们又将这些算法引入到传感器网络和无线网络中。 研究人员认为通过在应用层构建层叠网,结合应用需求对网络实施控制,能够有效提高网络在故障条件下的持续服务能力。例如,2001年,麻省理工学院实验室的大卫·安德森(D a v i d A n d e r s e n)等人提出了弹性层叠网(R e s i l i e n t O v e r l a y N e t w o r k s),它是在现有互联网结构基础上建立的一种应用层层叠网络。弹性层叠网结点可以监控结点之间路径的质量,并根据这些信息决定是否直接利用互联网转发分组或者通过其它弹性层叠网结点转发分组。利用该网络的选路机制,可以为加入弹性层叠网的用户提供更有弹性和容错能力更强的互联网服务。实验测试表明弹性层叠网路由机制能够快速检测失效,发现路径并恢复路由。 3、下一代互联网的主要技术。 答:下一代互联网的技术要从离散走向统一;从一维走向三维;从窄带走向宽带;从固定走向无线;从.com时代走向.net时代;网络拓扑结构伸展的同时,巨大潜能将得到释放。 下一代互联网的关键技术有: IPv6:版本6的IP协议。 下一代互联网的安全技术:互联网的最大安全问题是结构安全和路由安全,其次是设备安全,再其次才是业务安全,但是所有的安全解决方案的目的都是保证业务的安全。 下一代互联网的服务质量技术:下一代互联网需要有可运营的QoS机制,这要求网络具备业务和质量保证和业务质量控制两方面的能力。而QoS业务相关的关键技术包括:质
下一代互联网体系结构研究现状和发展趋势 互联网已成为支撑现代社会发展及技术进步的重要的基础设施之一。深刻地改变着人们的生产、生活和学习方式,成为支撑现代社会经济发展、社会进步和科技创新的最重要的基础设施。互联网及其应用水平已经成为衡量一个国家基本国力和经济竞争力的重要标志之一。随着超高速光通信、无线移动通信、高性能低成本计算和软件等技术的迅速发展,以及互联网创新应用的不断涌现,人们对互联网的规模、功能和性能等方面的需求越来越高。三十多年前发明的以I Pv4协议为核心技术的互联网面临着越来越严重的技术挑战,主要包括:网络地址不足,难以更大规模扩展;网络安全漏洞多,可信度不高;网络服务质量控制能力弱,不能保障高质量的网络服务;网络带宽和性能不能满足用户的需求;传统无线移动通信与互联网属于不同技术体制,难以实现高效的移动互联网等等。 为了应对这些技术挑战,美国等发达国家从20世纪90年代中期就先后开始下一代互联网研究。中国科技人员于20世纪90年代后期开始下一代互联网研究。目前,虽然基于IPv6协议的新一代互联网络的轮廓已经逐渐清晰,许多厂商已开始提供成熟的IPv6互联设备,大规模IPv6网络也正在建设并在迅速发展。但是互联网络面临的基础理论问题并不会随着IPv6网络的应用而自然得到解决,相反,随着信息社会和正在逐渐形成的全球化知识经济形态对互联网络不断提出新的要求,更需要人们对现有的互联网络体系结构的基础理论进行新的思考和研究。近年来国际上已经形成了两种发展下一代互联网的技术路线:一种是“演进性”路线,即在现有IPv4协议的互联网上不断“改良”和“完善” 网络,最终平滑过渡到IPv6的互联网;另一种是“革命性”路线,以美国FIND/GENI项目为代表,即重新设计全新的互联网体系结构,满足未来互联网的发展需要。 本文首先介绍国际下一代互联网体系结构的研究现状,涉及美国和欧洲的GENI [1]、FIND[2]、FIRE[3]以及FIA等计划。然后介绍中国下一代互联网体系结构的研究进展,涉及国家重点基础研究发展(“973”)计划、国家高技术研究发展(“863”)计划和中国下一代互联网(CNGI)等项目的研究。在此基础上,本文分析展望未来下一代互联网体系结构研究的发展趋势。 1 国际下一代互联网体系结构研究现状 国际上各个国家的下一代互联网研究计划不断启动、实施和重组,其研究和实验正在不断深入。从国家地域方面看,美国、欧洲、日、韩都有其各自的计划和举措;从研究内容方面看,有的关注网络基础设施和试验平台的建立,有的关注体系结构理论的创新;从技术路线上看,有的遵从“演进性”的路线,有的遵从“革命性”的路线。 1996年10月,美国政府宣布启动“下一代互联网”研究计划。陆续地,一些全球下一代互联网项目分别启动。全球下一代互联网试验网的主干网逐渐形成,规模不断扩大,
下一代防火墙,安全防护三步走 下一代防火墙区别于传统防火墙的核心特色之一是对应用的识别、控制和安全性保障。这种显著区别源自于Web2.0与Web1.0这两个不同网络时代下的模式变迁。传统的Web1.0网络以服务请求与服务提供为主要特征,服务提供方提供的服务形态、遵循的协议都比较固定和专一,随着社会化网络Web2.0时代的到来,各种服务协议、形态已不再一尘不变,代之以复用、变种、行为差异为主要特征的各种应用的使用和共享。本文即针对下一代防火墙的这一主要特征,从基于应用的识别、控制、扫描的三步走中,阐述新时代网络环境下的防护重点和安全变迁,旨在帮助读者对下一代防火墙新的核心防护理念做一个较为全面的梳理和归纳。面对应用层威胁,传统防火墙遭遇“阿喀琉斯之踵” 1.新的应用带来全新的应用层威胁 Web2.0应用虽然可以显著增强协作能力,提高生产效率,但同时也不可避免地带来了新的安全威胁。 1)恶意软件入侵 WEB应用中社交网络的普及给恶意软件的入侵带来了巨大的便利,例如灰色软件或链接到恶意站点的链接。用户的一条评价、一篇帖子、或者一次照片上传都可能包含殃及用户或甚至整个网络的恶意代码。例如,如果用户在下载驱动程序的过程中点击了含有恶意站点的链接,就很有可能在不知情的情况下下载了恶意软件。 2)网络带宽消耗对于部分应用来说,广泛的使用会导致网络带宽的过渡消耗。例如优酷视频可以导致网络拥塞并阻碍关键业务使用和交付。还有对于文件共享类应用,由于存在大量的文件之间的频繁交换,也可能会最终导致网络陷入瘫痪。 3)机密资料外泄某些应用(如即时通信,P2P下载等)可提供向外传输文件附件的功能,如果对外传输的这些文件存在敏感、机密的信息,那么将给企业带来无形和有形资产的损失,并且也会带来潜在的民事和刑事责任。 2.传统防火墙的“阿喀琉斯之踵” 由于传统的防火墙的基本原理是根据IP地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。对于WEB2.0应用来说,传统防火墙看到的所有基于浏览器的应用程序的流量是完全一样的,因而无法区分各种应用程序,更无法实施策略来区分哪些是不当的、不需要的或不适当的程序,或者允许这些应用程序。如果通过这些端口屏蔽相关的流量或者协议,会导致阻止所有基于web的流量,其中包括合法商业用途的内容和服务。另外传统防火墙也检测不到基于隧道的应用,以及加密后的数据包,甚至不能屏蔽使用非标准端口号的非法应用。下一代防火墙之“三步走” 下一代防火墙的核心理念其实是在企业网络边界建立以应用为核心的网络安全策略,通过智能化识别、精细化控制、一体化扫描等逐层递进方式实现用户/应用行为的可视,可控、合规和安全,从而保障网络应用被安全高效的使用。第一步:智能化识别通过智能化应用、用户识别技术可将网络中简单的IP地址/端口号信息转换为更容易识别且更加智能化的用户身份信息和应用程序信息,为下一代防火墙后续的基于应用的策略控制和安全扫描提供的识别基础。例如:对于同样一条数据信息,传统防火墙看到的是:某源IP通过某端口访问了某目的IP;下一代防火墙看到:某单位张三通过QQ给远在美国的李四传输了一个PDF文件。第二步:精细化控制下一代防火墙可以根据风险级别、应用类型是否消耗带宽等多种方式对应用进行分类,并且通过应用访问控制,应用带宽管理或者应用安全扫描等不同的策略对应用分别进行细粒度的控制。相对于传统防火墙,下一代防火墙可以区分同一个应用的合法行为和非法行为,并且对非法行为进行阻断。如:下一代防火墙可以允许使用QQ的前提下,禁止QQ的文件传输动作,从而一定程度上避免单位员工由于传输QQ文件造成的内部信息泄漏。第三步:一体化扫描在完成智能化识别和精细化控制以后,对允许使用且存在高安全风险的网络应用,下一代防火墙可以进行漏洞、病毒、URL和内容等不同层次深度扫描,如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断等动作。下一代防火墙在引擎设计上采用了单次解析架构,这种引擎架构可以保证引擎系统在数据流流入时,一次性地完成
网络安全:华为下一代安全之NGFW 自2009年Gartner定义了下一代防火墙产品以来,这一产品已经迅速成为了网络安全领域最火的细分市场之一。根据2014年Gartner报告显示: 2013 年底,全球下一代防火墙的用户数量已占整个防火墙总数的20%。Gartner还预测,在2014年底,这一比例会达到35%。而且在2014年,70%的企业新部署的 边界防护都会采购下一代防火墙,市场对下一代防火墙的需求上升已经显而易见。 作为一个新的安全产品类别,Gartner对下一代防火墙的定义并不是十分清晰。目前市场上众多的下一代防火墙产品在实际的使用中,表现参差不齐。就目前市场情况来看,下一代防火墙已成为整个安全市场的一个热点,不论是传统的防火墙安全厂商,还是UTM厂商,甚至一些做上网行为管理的厂商都纷纷进入这一领域,推出自己的下一代防火墙的产品。 而对于目前国内的众多企业客户而言,他们更加关注的是下一代防火墙能否真正能够解决问题,而不是在于Gartner提出的这个概念本身。在2013年9月,华为也推出了下一代防火墙产品。产品主要聚焦于应用管控的精细程度、使用的简易性、威胁防护的全面性、以及在实际使用场景下的高性能等各方面。目前看来,华为的下一代防火墙在业界处于较为领先的地位。 对此华为下一代防火墙产品营销经理陈科向记者介绍道:“华为的下一代防火墙产品在Gartner定义的几个维度方面,如:对应用层的深入访问控制、对应用的识别和控制的精准程度等方面,拥有很大的优势。” 据悉,目前华为下一代防火墙能够识别的应用数量已经达到6000多种,在业界居首。此外,华为下一代防火墙还能够做到同时对应用不同的功能,如对微信的语音和文字进行区分。“这个应用识别一方面可以做应用的访问控制,另外一方面可以做相关的业务加速。”陈科解释道。 在功能的全面性方面,华为下一代防火墙也毫不逊色。据陈科介绍,华为曾在某项目中,以一台下一代防火墙替代了客户原有的七台设备,这从侧面证明了华为下一代防火墙产品功能的全面性。
<> 浅谈下一代网络的安全问题 (Discussion about the Security Problem of NGN network) 程谭华 (中国电信股份研究院公网技术部) 摘要随着下一代网络(NGN)对传统网络的替代逐渐成为一种趋势,基于IP承载的NGN的安全问题也日益引起人们的重视。本文主要针对NGN自身的安全隐患、NGN所面对的安全威胁两个方面进行了探讨,并提出了提高NGN安全的一些应对措施。 关键词下一代网络NGN 网络安全应对措施 前言 随着我国信息产业的迅猛发展,信息技术已经逐渐成为主导中国国民经济和社会发展的重要因素。当今,世界各国都在积极应对信息化的挑战和机遇,信息化、网络化、数字化正在全球围形成一场新的技术、产业和革命。大力发展信息化,其中一个重要的问题就是信息安全问题,它不仅仅是一个IT网络安全的问题,从大的方面来说,信息安全问题直接关系到国家安全。互联网的高速发展推动了整个社会进入信息时代的进程,同时也改变了人们的生活方式。但是我们可以看到,由于第一代互联网在设计之初并没有充分考虑到信息安全问题,使得各种病毒、木马、间谍软件、黑客攻击在网络中层出不穷,整个网络世界疲于应付,已经成为困扰互联网用户的首要问题;同时,由于安全问题给用户带来的不信任感和不安全感,基于IP技术的电子商务的发展也受到了极大的限制。 下一代网络(NGN)是一个建立在IP技术基础上的新型公共电信网络,能够容纳各种形式的信息,在统一的管理平台下,
实现音频、视频、数据信号的传输和管理,提供各种宽带应用和传统电信业务,是一个真正实现宽带窄带一体化、有线无线一体化、有源无源一体化、传输接入一体化的综合业务网络。下一代网络的构成 与传统的PSTN网络不同,NGN以在统一的网络架构上解决各种综合业务的灵活提供能力为出发点,提供诸如业务逻辑、业务的接入和传送手段、业务的资源提供能力和业务的认证管理等服务。为此,在NGN中,以执行各种业务逻辑的软交换(Softswitch)设备为核心进行网络的构架建设。除此之外,业务逻辑可在应用服务器(AS)上统一完成,并可向用户提供开放的业务应用编程接口(API)。而对于媒体流的传送和接入层面,NGN将通过各种接入手段将接入的业务流集中到统一的分组网络平台上传送。 分组化的、开放的、分层的网络架构体系是下一代网络的显著特征。业界基本上按业务层、控制层、传送层、接入层四层划分,各层之间通过标准的开放接口互连。 业务层:一个开放、综合的业务接入平台,在电信网络环境中,智能地接入各种业务,提供各种增值服务,而在多媒体网络环境中,也需要相应的业务生成和维护环境。 控制层:主要指网络为完成端到端的数据传输进行的路由判决和数据转发的功能,它是网络的交换核心,目的是在传输层基础上构建端到端的通信过程,软交换(Softswitch)将是下一代网络的核心,体现了NGN的网络融合思想。 传送层:面向用户端支持透明的TDM线路的接入,在网络核心提供大带宽的数据传输能力,并替代传统的配线架,构建灵活和可重用的长途传输网络,一般为基于DWDM技术的全光网。
基于IPv6的下一代互联网安全问题初探 栗培国 清华大学计算机系北京(100084) E-mail(lipeiguo@https://www.doczj.com/doc/9c11544036.html,) 摘要随着互联网的大规模商用,安全问题变得日益突出。IPv6 在解决目前互联网IP 地址不足而应运而生,它引入了加密和认证机制,并且强制实现IPsec。IPv6实现了基于网络层的身份认证,确保了数据包的完整性和机密性,实现了网络层安全。但是,这种安全并不是绝对的。下一代互联网仍存在许多安全威胁,需要建立全方位可信任的计算机网络安全体系,保证下一代互联网的安全性。 关键字:IPv6 网络安全下一代互联网 中图分类号: TP393.08 1 引言 互联网刚出现时,主要用于教育科研网,在各大学的研究人员之间传送E-Mail,以及共同合作的职员间共享资源。在这种使用环境下,网络协议的设计中很少关注网络的安全性,安全性未能引起足够的注意[1]。但是现在,随着互联网的大规模商用化,大家每天利用互联网进行学习,使用网络来处理银行事务和网上购物。互联网在国民经济中越来越重要的地位,网络安全问题变得日益突出。这里所说的安全问题既涉及网络安全也涉及信息安全,网络安全是指运行安全与数据安全;信息安全是指对信息的机密性、完整性、可用性的保护。安全威胁成为一个必须解决的问题,是发展下一代互联网应注意的最关键问题。因此,早在90年代初期,互联网工程任务组IETF(Internet Engineering Task Force)就开始着手下一代互联网协议IPng(Internet Protocol the next generation)的制定工作,1994年IETF提出了IPng建议草案,1995年底IETF提出了正式的协议规范,该规范经过进一步修改,成为今天的IPv6 (Internet Protocol version 6)。在设计基于IPv6的下一代互联网协议时,增加了对网络层安全性的要求,规定所有的IPv6实现必须支持IPSec(Internet Protocol Security)。IPsec 提供了两种安全机制:加密和认证[2]。加密是通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。认证使得IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。这样基于IPv6的下一代互联网在网络层的安全性得到了大大的增强。 2 IPv6的十大主要技术特点 针对目前互联网协议IPv4的不足,IETF提出了下一代互联网协议IPv6。因而其主要技术特点也是针对