下一代网安全技术的研究 （1）

摘要　从上世纪90年代中期以来，Internet迅猛发展，包括传统电信业务在内的各种电信业务迅速IP化，终端设备智能化程度愈来愈高，网络规模愈来愈大，导致安全问题日渐突出，甚至已成为目前压倒一切的大问题。现在，对网络安全问题的看法很多是值得商榷的，有的甚至是完全错误的。本文对网络安全问题进行了深层次分析，旨在理出头绪，找出解决网络安全问题的办法。

一、概述

传统电信网是一个安全的网络，一个可信任的网络。用户在使用传统电信网时有极大的安全感，不会有随时随地都可能受到安全威胁的感觉。在长期使用实践中，传统电信网(包括PSTN/ISDN和全部电信数据网)的确也没有出现安全方面的问题，用户可以放心使用。

从上世纪90年代中期以来，Internet迅猛发展，包括传统电信业务在内的各种电信业务迅速IP化，终端设备智能化程度愈来愈高，网络规模愈来愈大，网络安全问题日益凸现出来。而由于Internet网络与业务相分离的特点，Internet的不管理，Internet实际上对业务的不可控制性，Internet的网络设计理念，更进一步恶化了网络的安全性。目前，安全问题已成为压倒一切的大问题，一切为了安全、安全就是一切，似乎成了金科玉律，只要在任何一件事之前挂上一块安全的牌子，一切都会畅通无阻。但实际上，目前对安全问题的看法很多是值得商榷的，有的甚至是完全错误的。而且在很多场合下，一方的所谓“安全”，将导致另一方的不安全，因而有必要对安全问题进行一番深层次的分析，理出头绪，找出解决办法来。

二、网络安全与信息安全

网络安全与信息安全是目前用得最为广泛，也是最容易混淆的两个术语。有人认为，网络安全中包括信息安全，因为网络中不论是传送用户信息、控制信息，还是传送管理信息，网络安全中必定包含信息安全的内容，必定采用相应的信息安全技术，故网络安全中包含信息安全。另一方面，也有人认为，信息安全是一个泛指的内容，网络安全只是信息安全的一个分支。从表面上看，这是两种完全对立的观点，但从本质上看则是“你”中有“我”，还是“我”中用“你”，是你管我还是我管你的问题。两者分不清，导致管理部门职责不明，在采取相应措施时势必没有针对性。

应该说，网络安全和信息安全是两回事，网络安全是从网络出发研究安全问题，从而解决网络上的安全问题。信息安全则主要涉及信息在传输、存储和处理过程中的安全问题，一般来说这个信息指的是用户信息，信息安全指的是端到端的用户信息安全。网络对用户信息应该是透明的，也必须是透明的。

在传统电信网中，网络安全和信息安全就是这样界定的。这里所说的传统电信网包含电话网和电信数据网。由于界定清楚，管理部门的职责是明确的，网络运营商及其主管部门负责网络的安全问题，确保网络是安全的、可信任的。国内安全部门等相关机构负责信息安全问题，并监管密码技术是否被滥用，防止危及国家安全。

对目前的IP网及下一代网络而言，其技术基础是分组技术，而分组技术的特点是承载网和业务网具有天然的分离性，一个公用的承载网用来承载多个业务网。由于承载网与业务网特性的不同，对安全方面的考虑也是不同的，因而在讨论承载网的安全和业务网的安全时，分开讨论将使问题清晰化。一般地说，承载网对用户信息应该是完全透明的，用户信息不应与承载网，特别是承载网节点设备发生任何关系，用户信息也不应危及承载网的安全。反过来，承载网对用户信息应该是完全透明的，应能保证必要的用户信息私密性的要求。对业务网而言，特别是当业务网中包含涉及对用户信息进行存储和处理的节点时，用户信息安全和业务网的信息安全的关联度就加大了。为了能找到一种统一的解决办法和可行的管理办法，本文在对业务网的探讨中，将对此进行专门论述和分析。在业务网中不包含对用户信息进行存储和处理的节点时，业务网的节点设备对用户信息仍将是透明的，在这种场合，用户信息不应也不能危及业务网的节点设备的安全，节点设备也不会危及用户信息的私密性。

三、安全的分类、分工与管理

在传统电信网中，这个概念是清晰的，安全分工和管理职责的分配也是清楚的。以电话网为例(当然也适合于其它电信数据网)，网络安全，首先是网络的可靠性和可用性，定义了电信网中的设备可靠性应达到99.999%，同时设备间的连接电路也要达到相同的可靠性和可用性，还设计了冗余备份和保护倒换等技术，以进一步保证系统的可靠性。其次，传统网络对用户的信息是透明的，网络可保证不对用户信息进行任何修改和破坏。同样，用户也无法对网络构成安全上的威胁，用户信息不会对网络节点设备构成任何冲击和危害。此外，网络安全还包含公众电信网中用户的数据信息必须是以明码的形式传递，不得随意使用加密技术。只要监管部门有要求，就可以设点进行监测、监控和监管(世界各国都有这个要求)，这是从另一个层面对运营商及其运营网提出了安全要求。

个人安全，即对个人私密性的保护应该是有限度的，也是有限制的，它是以不危及国家安全和不造成国家安全成本过大为原则的。由于不同用户群对个人私密性的要求不同，因而不可能要求公众信息通信网去满足所有用户对个人私密性的要求。公众信息通信网只能满足个人私密性的基本要求，更高的用户私密性要求将由用户自己去解决(但要经相关部门批准)。在传统电信网中，用户数据加密是有规定的，普通的用户数据是不准加密的，商密用户、普密用户和绝密用户可以使用密码技术来对用户数据进行加密，但必须经过相关部门批准才能使用。用户终端与用户终端之间的保密通信装用终端保密机，用户群与用户群之间的保密通信装用信道加密机，加密算法及密码必须报请相关部门批准备案。

目前，加密技术用得很滥。由于Internet的不安全性，无原则的突出个人隐私要求，导致加密技术到处滥用。尽管国家相关的管理部门都还存在，其职责也没有变，但目前在Internet用户终端与用户终端之间的保密通信、用户群与用户群之间的保密通信无节制的滥用，加密算法及密码甚至原封不动用国外的，其主要原因是目前网络安全和用户信息安全的职责和界面被混淆得非常严重。当然，Internet网络安全的能力太低，是导致用户滥用加密技术的根本原因。这种现象长期持续下去是十分危险的，特别是IP网已经成为信息基础设施，成了国家的命脉，安全问题就越来越突出了。

国家安全对任何国家来说都是头等大事，在我国是如此，在其它国家也是如此(美国更是如此)。目前，各国对通信信息网都提出了一条要求，而且是所有运营网都必须提供的，这就是法定的中途截取功能(Lawful Intercept)，以确保国家信息通信的安全。当加密技术被滥用后，这一条实现起来将非常困难，至少会大大增加安全的执行难度和加大安全的执行成本，从而对国家安全造成极大的威胁。由于概念上的混淆，目前在管理上也是混淆的。当务之急是，如何做到管理职责明确，各管其事、各司其职，同心协力把事情办好。在这一点上，传统电信网中的安全模型值得借鉴，网络安全和信息安全的概念界定清楚十分重要。

四、网络的安全技术

公用通信信息网的安全主要包含三个方面。其一是网络应该是高可靠、高可用和高可通达的，这是网络安全的基础。其二是网络对用户数据应该是透明的，能够确保用户信息的私密性。其三是公用通信信息网必须提供法定的中途截取功能，公用通信信息网内的用户信息非经特许必须采用明码形式，不得进行任何程度的加密。

首先探讨网络的高可靠性和高可用性问题，这个问题涉及面最广，也最复杂。网络的高可靠性和高可用性的基础是，网络节点设备的高可靠性和高可用性以及链路的高可靠性和高可用性。在电信网中明确规定，电信网中网络节点设备的可靠性必须达到99.999%，即所谓电信设备应达到5个9的可靠性要求。网络节点设备的高可靠性一般是由硬件的冗余备份、双机的保护倒换及软件的自动检测诊断和恢复等技术来保证的。网络链路的高可靠性是依靠链路的自动检测诊断和自动保护倒换等技术来保证的。所有这些技术对于保证网络的安全性是十分必须的，也是有效的。这对传统电信网来说，通常情况下已经足够了，特别是对传送网是足够了，但对于目前的网络，特别是对下一代网络还不足以保证网络的安全；还需要有进一步的措施，还要作进一步的研究，以发现问题的所在并寻求出解决办法。

对通信信息网而言，从纵向来看，可分为三层，即业务网、承载网和传送网。这三层网中的任何一个网又都是由数据平面、控制平面和管理平面所组成。保证网络安全的必要条件是，这三个网的所有平面都必须是安全的。只有这些平面全部是安全的，网络才能是安全的。

(1)控制平面。控制平面是网络的灵魂，只有控制平面安全才能保证网络的正常运行。威胁控制平面安全的因素主要有三个：其一是节点设备之间的信任关系，一个不可信任的节点设备进入网内，如果允许其交换控制信息，显然会对网络构成极大的威胁。举个例子来说，IP网内路由器之间路由信息的交换是通过控制平面来实现的，如果一个不可信任的路由器进入网内，恶意交换路由信息可将整个网络的路由搅乱，很显然这将会造成严重的问题。因而，要确保网络的安全，设备之间信任关系的建立是至关重要的。其二是控制平面、管理平面和数据平面之间的信息隔离，必须保证三者之间的信息是不可通达的。特别是数据平面和控制平面之间的信息隔离，控制平面绝对不能受到来自数据平面用户数据的影响。其三是控制平面、管理平面和数据平面之间必须保证其资源是独立的。管理平面和数据平面绝不能“挤占”控制平面所需要的资源，必须保证控制平面的资源需求。

在对下一代网的要求中，提出控制平面用“带外信道”来传送。这里所谓的“带外信道”(out of band)指的是物理意义上的带外或逻辑意义的带外，物理意义上的带外是采用另一套线路来传送，如同SS7信令信道那样。逻辑的“带外”有两重含义，第一层含义是控制平面、管理平面和数据平面之间实现严格的信息隔离，三个平面之间的信息是严格不可相通的，从而可确保控制平面不会受到来自其它平面的攻击。第二层含义是控制平面所需的传输资源必须是有保证的，换句话说，就是控制平面的资源独立性。控制平面不会因为受到其它平面(特别是数据平面)的资源滥用，因资源被“挤占”而消耗殆尽，造成控制平面失控。这两点是“逻辑带外”的含义，无论是“物理带外”还是“逻辑带外”，只要采用“带外”控制信道，安全性将会大大增强，基本能够满足通信信息网安全的需要。

另外一点也是十分重要的，这就是用户控制平面和网络系统控制平面的分离，即用户控制平面和系统网络控制平面应采用不同的接口技术，用户采用UNI接口，网络采用NNI接口。用户网络拓扑和系统网络拓扑应分离，用户网络拓扑不能去影响系统网络拓扑。从技术上来讲，只要建立信任关系，就可以保证安全，UNI与NNI或用户网络与系统网络拓扑分离的问题并不大。但信任关系的建立是要付出很大代价的，UNI与NNI或用户网络与系统网络拓扑分离可使安全代价最小化。

(2)管理平面。管理平面是网络的另一个核心，通常情况下，管理平面和控制平面起着一个互补的作用。例如，网络的VPN可以通过信令来建立(控制平面)，也可以通过管理配置(管理平面)来实现，在这方面，两者有同等的重要性。当然，网管有五大功能，配置管理仅是其中之一，从这里也可以看出管理平面的重要性，它是构成网络安全的一个重要的环节。

与控制平面相同，威胁管理平面安全的因素也有三个。其一是管理设备与被管理设备之间的信任关系，一个不可信任的管理设备进入网内，显然会对网络构成极大的威胁。其二是管理平面、控制平面和数据平面之间的信息隔离，必须保证三者之间的信息是不可通达的。特别是数据平面和管理平面之间的信息隔离，管理平面绝对不能受到来自数据平面用户数据的影响。其三是管理平面、控制平面和数据平面之间必须保证其资源是独立的。控制平面和数据平面绝不能“挤占”控制平面所需要的资源，必须保证管理平面的资源需求。

与控制平面不同，管理平面还有两个方面的问题需要考虑，这就是人为因素造成的安全问题。人为因素之一是，网络管理员的操作不当或误操作，甚至是窃取管理员权利后的恶意操作。人为因素之二是通过不安全信道(如通过拨号，用电话的话带数据信道来传输管理命令)。当然，从严格意义上来说，这不是技术问题，要从行政管理、规章制度、人为因素等方面入手去解决。但这也是一个方面，也是保障网络安全的一个重要的环节。上述诸方面是管理平面所涉及的问题，这些问题解决好了，就可以保证运营网的安全。

当然，除保证节点设备之间的信任关系以及管理平面和控制平面的信息隔离和资源独立外，为了进一步保证安全，在管理命令和控制信令上可以使用商业级加密技术。但商用加密技术的使用是要经过国家相关部门批准和备案的，而且使用加密技术是有代价的，其代价还是不小的，需要适当权衡。在下一代网的设计中，由运营者保证网络安全，又尽量少用或不用加密技术将是重要的设计原则。

(3)数据平面。数据平面的安全性问题比较复杂，特别是业务网的数据平面，因存在两类业务网，一类业务网的数据平面的节点设备对用户数据不作任何处理(如电话业务网)，对用户数据进行透传即可。另一类业务网的数据平面的节点设备对用户数据作处理(如电子信箱、web业务等)，其问题要复杂一些，下面将分别进行分析探讨。

对于第一类业务网，数据平面的安全性可表达为透明性、信息隔离和资源独立。透明性指的是网络的透明性，有两层含义。其一，用户数据通过公众通信信息网不会发生变化，不会因为通过通信信息网造成用户信息数据的丢失或篡改，用户信息过网是安全的。其二，用户信息数据对网络是透明的，非经批准，用户数据不得采用加密技术，以保证法定的中途截取功能(Lawful Intercept)的实施。

信息隔离则要保证不同用户之间的数据信息不发生交互，A用户不能进入B用户的数据通道读取或修改B用户的数据信息，反之亦然，以便保证用户信息之间的严格隔离。

资源独立性指的是，A用户的资源不会被B用户占据，同样B用户的资源也不会被A用户占据。其意义是很明确的，即A用户不会因为B用户对资源的过度消耗，通信资源被耗尽而无法正常通信，B用户也不会因为A用户对资源的过度消耗，通信资源被耗尽而无法正常通信，两者的资源是独立的，是不会被“侵占”的。

上述三条是数据平面保证安全性的主要措施。这三条做到了，就已经达到了公众通信信息网数据平面安全性的要求。超出这个范围的安全性要求不应由公众网来提供，而是通过使用相应的保密设备(终端保密机、信道加密机等)来保证，而使用保密设备是受限制的，有条件的。

由于IP网的不安全性，导致IPSEC等加密技术无节制地被滥用，这是用户数据加密的最大误区。

对数据平面而言，海量数据攻击(DOS)、病毒攻击和垃圾信息泛滥的作用是相同的，总体上表现为通信网资源耗尽导致网络出现安全问题。因而，将数据平面分为若干信息隔离、资源独立的子数据平面，可有效阻止不同业务网之间因资源耗尽而带来的安全威胁。在接入处进行接入控制、使用合理的商业模型和用户实名制等，可解决因资源耗尽造成的网络安全问题。

对第二类业务网而言，业务网中的若干节点设备要对用户信息数据进行存储和处理加工等。例如，E-mail系统中要对用户的信件进行存储、分析和转发；又如Web系统要对用户交互的数据信息进行处理，它不仅要将用户数据分组打开，还要进行分析处理并作出反应；再如流媒体系统中片源要加水印和其它数字版权保护技术，会议系统中要对多幅图像进行合成。在所有这些场合，用户数据中的内容数据将会对业务网数据平面的节点设备构成安全上的威胁，诸如可能受到病毒攻击的威胁及受到黑客攻击的威胁等。由于这些可能受到攻击的业务网节点和用户流是密不可分的，是整个数据流环节中的一个环节，缺了它业务流环节就不完整了。对于这些节点设备而引发的业务安全问题需要进行专门的考虑。

对于第二类业务网，并非所有的节点设备都要去对用户信息数据进行存储及处理加工，仍有大量的节点设备不去对用户数据进行处理或用户数据不直接通过这些节点，如Web系统中的搜索系统和导航系统等。对于后者，仍只须保证其使用信道与用户数据信息隔离及所用的资源不被“挤占”，即可保证其安全性，这与第一类业务网的要求是相同的。

再引深一步，上述构成用户数据环中的节点设备都是一些服务器。在E-mail中，是电子信箱服务器，在流媒体系统中，是流媒体服务器，在会议系统中，是多点处理设备，从本质上看是媒体处理服务器。若将这些服务器都看作是业务提供者节点，从业务网的数据平面分离出来，放在业务网之外，那么问题就会变得很清晰，见图1。

图1　业务网数据平面

如果这样做，对业务网数据平面安全的要求就将统一起来。数据平面安全的要求是：透明性、信息隔离性和资源独立性。业务提供者节点的安全不纳入网络安全的范畴来管理，而是放到信息安全中去管理。这样的做法从技术层面来说也是合理的，因为业务提供者节点设备是一些要对媒体进行处理的服务器，这些服务器有很多共性的问题要解决，而由于网络安全中要处理的问题有很大差异，单独研究将会更有利于问题的解决。

五、数据加密问题

最后来谈谈数据加密问题。目前，用户数据的加密是一个很大的误区。由于Internet存在不安全性及不可信任性，用户为了保证自己的隐私和用户数据的私密性而滥用加密技术，给国家安全造成极大的威胁。在这个问题上，应借鉴传统通信信息网对安全的管理。

在传统的通信信息网中，用户均认为公众通信信息网是可以信任的，用户无须作任何加密就可以得到私密性(个人隐私性)的保障。另外，从国家安全出发，也不允许用户随意使用加密技术而加大国家安全的成本(安全监视、密码破译)。对安全要求较高的部门或行业，认为公众通信信息网的安全还不能保证其安全性，如银行的一些业务数据、电网的调度信息等高敏感的数据，他们可以向国家安全部门申请使用商用密码、终端保密机或信道加密机等，以确保机密信息的安全性。这些设备不是公众通信信息网的组成部分，也不归运营商所有。对于国家机关、军事部门、国家领导人的通信系统，则要使用更进一步的保密系统(普密或绝密终端保密机或信道加密机)，以确保其通信的安全。但所有这些都要由国家安全部门批准、备案方可使用。这样做既能满足各行各业、各种不同层面用户对安全的要求，又能保证国家安全，保证国家安全的整体成本不会太高，尤其是安全的监视、监控费用不致过高。另外，安全产品必须是国产的，完全能由国家控制。

目前的情况是，由于IP网络不安全，网络是不可信任的，用户出于对个人隐私保护的考虑，导致信息安全技术和信息加密技术等遭到滥用。在Internet中，SSL，SHTTP，IPSEC等安全、加密技术的无节制滥用，密码算法、密钥完全失控，使得国家安全部门对安全监测的费用大为升高。目前，Internet上的安全实际上是不可控的，用户通过Internet到底传了些什么，根本无从知晓。这是一个极不正常的现象，已经引起世界各国的重视。在下一代网络的设计中，世界各国都强调在公众信息通信网中必须有监测点，以保证法定的中途截取功能(Lawful Intercept)的实施。为了实现安全监测费用和复杂性的最小化，公众信息通信网中的信息必须是不能加密的。

为了在保证用户的私密性和国家安全监测费用与复杂性的最小化中求得一个平衡，在数据平面中可采取如图2所示的工作模式。当然，这里有一个前提，即公众信息通信网必须是安全的，可信任的，是可以满足用户信息私密性要求的(这对下一代公众信息通信网提出了要求，也是在下一代网设计中必须考虑和实现的)。

图2　数据平面的安全技术

在图2中，从用户到用户的数据通道分为三段，即用户(T)到公众信息通信网的边缘设备(BE)、公众信息通信网(BE-BE)和公众信息通信网(BE)到用户(T)。假设前提是，公众信息通信网是安全的、可以信任的，是能够满足普通用户的私密性要求的(当然，在公众信息通信网的设计中是必须确保的)。在公众信息通信网中的用户数据必须是明码，非经批准不得随意使用加密技术。

用户(T)到公众信息通信网的边缘设备(BE)这一段，由于大量使用共享总线(资源)和开放链路的工作方式，如无线用户和基站之间用的是开放无线链路，如不采用相应的技术措施很难保证用户信息的私密性，即使象GSM相当成熟的二代技术，从用户到基站这一段的实际私密性也是很差的，目前就有设备可以监听30米内任意一个GSM手机用户的通话。另外，如以太网和Cable Modem等共享总线(资源)工作方式，用户到接入点这一段由于是共享总线(资源)，因而也很难保证用户数据的私密性。从用户(T)到公众信息通信网的边缘设备(BE)这一段，为了保证用户的隐私可以使用商用密码技术来保证用户数据的私密性，但到了BE处，密文必须还原成明文，以保证在公众信息通信网中Lawful Intercept(法定的中途截取功能)的实施。从公众信息通信网(BE)到用户(T)这一段，情况与用户(T)到公众信息通信网的边缘设备(BE)这一段相同，也有必要使用商用密码技术来保证用户数据的私密性。

Internet的引入把很多问题都搞乱了。可以说，Internet是旧世界的破坏者，但它却不是新世界的建立者。它把信息通信网搞成了一个无政府主义社会。它除了能保证网络的通达性外，将一切都交给了用户，故网络是不安全的，用户有理由对网络不信任。Internet的确也无法信任，安全问题由用户自己解决，资源靠用户自己去获取。由于网络不提供信任度，又不提供安全保证，用户为了自身利益和自身数据的私密性，大量、无节制地使用加密技术。SSL，SHTTP，IPSEC等安全、加密技术被滥用，导致国家安全保障方面出现巨大漏洞。安全、加密技术是双刃剑，它固然可以保护个人(或商业系统)的安全，但它同样也会使国家安全遭受严重威胁或极大增加国家的安全成本。

六、结束语

当Internet只是用于信息检索和个人之间的E-mail通信时，当Internet只是作为一般用途，特别是仅用于教学、科研时，安全问题虽然存在，但并不是那么明显。目前，IP技术已经成了气候，IP网已经成为国家信息基础设施的重要组成部分，问题的性质就改变了。因而，在考虑下一代网的设计和定位时，在体系结构的考虑中，安全将是重要的因素，下一代网必须是安全的、可信任的，从而使网络系统的综合成本最小化。(c001)