基于网络架构安全性对策.docVIP

基于网络架构安全性对策 　　摘要： 　　文章从网络架构的角度研究了网络的安全性，分析了现有因特网脆弱的原因，提出了基于网络架构的安全性对策以及基于这些对策的因特网新架构，并对相关有争议的问题进行了分析讨论。 　　关键词： 　　网络安全；网络架构；带内信令；带外信令；面向连接；无连接 　　Abstract: 　　This paper works on network security from network architecture point of view. First of all the weakness of the present Internet is analyzed, then some counter measures come to the conclusion and a new Internet architecture is proposed. With regard to the new architecture some questions are raised and discussed. 　　Key words: 　　Network security; Network architecture; In-band signaling; Out of band signaling; Connection-oriented; Connectionless 　　传统的电信网络，也即基于电路交换方式的网络，正在逐步为新一代基于数据包方式的网络所取代。但现有基于数据包方式的网络(即现有因特网)还存在着许多问题必须有效地加以解决，否则它的发展就会受阻碍。在这些问题中，有两大令人头痛的问题是至今仍难以解决的：一是网络的安全性，二是网络端到端服务质量的保障问题。 　　现在商家已经将有效性高的网络叫电信级的网络。其实仅有电信级的服务质量是不够的。一个真正电信级的网络必须既有电信级的服务质量又十分安全。没有足够的安全保障，就谈不上电信级的网络。 　　基于电路交换方式的传统网络尽管正在过时，但从网络安全的角度，应该承认，它仍然是较好的。在电话网时代，人们很少为网络的安全而担心，这说明在原有电信网络中安全问题解决得较好。对此有人可能会持疑义，因为有不少论述网络安全的文章中都将网络安全问题视为包方式网络所特有的，在传统网络中是不存在的。其实不然，在传统的电信网中同样存在着类似的安全问题，同样可以窃听，非法占用服务，捣乱呼叫，甚至可以通过充入大量虚假的业务量而使网络过载(相当于拒绝服务)，只是这些问题得到了较好的解决，才没有引起如此众多的关注。 　　当然，包方式网络的安全性有其独特的地方，例如计算机病毒的传播，“特洛依木马”式的侵入与破坏等是包方式网络所特有的。 　　 　　1 现有包网络安全性的脆弱面 　　 　　1.1 包网络安全性现状 　　网络遭受攻击对象可以分为两个方面：一个是公共网络设施，一个是终端。前者被破坏的影响面较大，需要特别地加以关注。 　　从媒体的报道来看，端到端的攻击是很频繁的。端到端的攻击是基于协议、操作系统和应用软件的开放性，以及许多软件中有意无意地存在着的缺陷。开放性是我们得以方便地建立通信，利用第3方的软件以及使软件COTS(可在商店货架上出售)化所必须的，因此不可能因为黑客攻击而放弃开放性。软件的缺陷在实际中也往往难以避免。 　　在目前对于网络攻击的报道中，多数是对网站和服务器的攻击，即端到端的攻击,较少有对大规模公共通信设施进行破坏的报导。这是因为： 　　(1)公共通信设施，如路由器等已经采取了相对较为严密的安全措施。 　　(2)公共通信设施未引起一般攻击者的兴趣。现有的攻击者大都是为了验证与表现一下个人的能力，或者只是一些一般的恶作剧者。 　　(3)真正对公共通信设施的侵入者，其行为是极其保密和有政治背景的，诸如窃听机密之类的事不易为人发现。 　　虽然网络公共通信设施被侵入与破坏的报导较少见，但千万不要忽视这种IP公共通信设施被窃听、攻击与破坏的可能性和现实性。目前的信息战都是处于隐蔽的状态，以窃听为主，如果要公开地进行破坏性的信息战，由于攻击者是一些有政治目的的集团或国家，在技术上又是手段高强的行家里手，它们对公共通信设施的破坏将会产生极其严重的结果。另外一些发展中国家，包括中国在内使用了大量进口的软硬件，在这些软件和硬件中是否会有什么特意设置的东西，使外国间谍机构可以借此进行窃听和遥控，更是难以排除的忧虑。 　　为了应对各种各样的网络攻击，较好的对策是： 　　(1)不断地改进接入的认证和授权。但典型的认证都是靠的口令，口令一旦被窃取或识破，就难免会遭受攻击。 　　(2)加密方法和密钥分发方式的改进。不断有新的加密算法产生，包括对称的