安全——下一代互联网演进的推动力

电信研究院标准所  高级工程师  谢玮

摘要：本文从设计理念、管理和制度、技术等几个方面分析了互联网安全问题产生的原因。并阐述了下一代互联网的演进和发展，安全将是必须面对的挑战，同时安全也将成为三网融合、网络演进的巨大推动力。

相对于传统电信网较为单纯的业务提供，互联网更像一个宽容的平台，层出不穷的业务应用创新都可以在其上找到发展的空间，反过来这些创新也使得互联网在不断的发展、演变、向社会各个角落延伸，成为事实上的社会公共基础设施。而正是由于互联网的开放、包容，也造成了现在互联网安全问题越来越多，越来越复杂。产生互联网安全问题的原因很多，归纳起来有三大类：历史（设计理念）原因、管理和制度的原因、具体技术原因。

（一）   历史（设计理念）的原因

互联网最早是为了军事和科研而产生的，其目的是在传输链路不可靠的情况下，通过网络的自组织特性（后来的路由协议），实现网络的端到端可达，从而支持文件传输等非盈利性应用。在此基础上，逐渐形成了一些互联网的基本理念，这些理念延续至今，对于互联网的网络结构、运维方式、商业模型等有着重要影响。具体核心设计理念包括：

1）              网络端到端透明性原则

2）              简单开放性原则

3）              用户自律原则

4）              公平性原则

在这样的核心设计理念的指导下，互联网的设计师们在几乎所有技术协议的制定中都充分体现了这些基本精神。而也正是由于互联网具有这样的基本设计理念，才使得互联网具有了天生的异常良好的可扩张性、对于各种创新行为的包容性。因而在很短的时间内迅速遍及了世界各个地区，并且渗透到了社会生活中的各个领域。

但同样还是这些基本设计理念，其对于互联网安全却起到了完全相反的作用。换句话说，目前互联网面临的巨大的安全挑战，其最根本的原因就是以上这些基本设计原则导致的。

１．网络端到端透明性原则

在网络端到端透明性原则的指导下，导致了互联网具有“任意两点之间可以通信，网络智能边缘化”的技术特征，而这些技术特征是导致各种互联网安全问题出现的必要条件。

首先由于互联网端到端透明性的设计原则，互联网中网络任意节点之间理论上可以相互访问、UNI/NNI界限不清，这就给位于网络边缘的用户节点以很大的自由度，也为恶意攻击者能够攻击到网络侧设备提供了可能。而且用户间还可以任意使用加密技术，这对于网络安全和信息安全的保证，业务应用监控都造成的很大障碍。

在网络端到端透明和简单开放性的原则指引下，互联网的设计采用了分层结构。网络和业务分离，网络传输协议的设计尽量单纯化，而与业务应用相关的功能则尽量推向网络边缘乃至终端。即所谓网络智能边缘化，网络傻瓜化。这种模式使网络的扩展性得到了极大的释放，使得业务从网络的束缚中解放。但同时终端智能的无限化也导致了用户行为能力的不可控，来自用户端的恶意攻击随着网络安全防护技术的发展，也在不断的变化，即所谓“道高一尺魔高一丈”。

2．简单开放性和公平性原则

由于互联网的设计遵循了简单开放性和公平性的原则，使得互联网成为了一个扁平化的、没有权威和集中控制的、边界模糊的分布式网络，这些特征一方面保证了互联网的健壮性、可扩展性和业务灵活性和创新性，但另一方面也加大了安全问题治理的难度。

3．用户自律原则

由于互联网在设计之初是用于科研的，网络面向的使用者相互之间都是相互信任、协同工作的。因此网络安全保证机制的设计是以用户自律为基础的。以往互联网标准的开发注重提高性能或引入新的应用，安全问题从不是第一要务。而且对于用户的行为也没有从网络及协议设计角度考虑任何检查（对数据报不认证不溯源）／约束/奖惩的机制。这一设计理念也导致了从技术角度讲，网络对安全问题基本不承担任何责任；因此网络运营者也就理所当然将安全问题的职责推向了应用层，推向了网络边缘。

然而当互联网全面商用后，用户群扩大了，用户间的信任基础也就基本上不存在了。这时，原先的网络信息安全保证机制就显得力不从心，网络暴露出的问题也越来越多。

（二）     管理和制度的原因

１．法律适用性和可操作性

互联网目前可以向用户提供的业务涵盖了社会生活的方方面面，甚至有人将互联网比喻为另一个虚拟社会（CyberSpace）。互联网的功能已经远远超出了传统通信网较为单一的信息沟通工具的角色。随之而产生的新型社会关系也对现实社会原有法律、规则的适用性和可操作性提出了挑战。

事实上，现有的法律和规则中有相当一部分都是可以适用于互联网的，例如针对某些特定的案例（如知识产权保护、网络诈骗），就应当将原有的法律法规应用于网络环境中。但对于其他一些新生事物的案例（例如垃圾邮件），将现实社会的法律适用于网络空间会出现法律规范的空白，这时就必须用新创建的规则来规范人们的行为。

“无论现实或虚拟世界，通用的原则是，法律不能使受禁行为成为不可能发生的，而只能使其成为可惩罚的。在虚拟和现实世界对某一类行为的禁止并不意味着最终会根除这种行为。”[1] 而这一原则的可操作性由于现实互联网的安全缺陷，而受到了普遍的质疑。互联网给予了人们极大的自由发展的空间，同时对于那些有不良企图的人来说，互联网也是一个最好的实施其不良行为的温床，因为在这里他们的行为被惩罚的可能性比在现实社会中低的多。

２．规则滞后

社会是充满活力、不断变化的，因此无论是现实社会还是虚拟空间，法律总是要落后于社会的变化。如今技术的发展极大地改变着社会的面貌，互联网是创新者的乐园，变化则显得更为突出。

通常这一变化的速度会远远快于法律对其做出反应的速度。有时，法律规则甚至在其能够适用于现实之前就变得过时了。因此法律规则的陈旧和滞后是互联网安全管理所面临的一项重要的风险。

３．国际合作困难

虚拟世界是没有国界的，互联网的全球化特性需要对其形成全球化的规范。因此互联网中安全问题的解决要求各国必须在有效的国际条约的规范下，建立良好的合作机制。只有这样才能真正达到减少互联网不良行为的泛滥。

然而，目前在互联网领域还不存在内容广泛的国际条约，只是在不同的问题上使用内容相互分割的一些协议。互联网的全球治理机制的形成需要在各国之间达成广泛的共识，而这一共识只有通过长期的协商过程才能达成。实际上，国际上已经都认识到了这一问题的重要性，并且表达了希望通过协商达成共识的愿望，联合国通过近几年WSIS大会和WGIG小组的工作，也已经取得了一定的成果。但这离能够产生各国普遍适用的国际条约还有很长的距离。

这也使得互联网中的安全问题的解决，尤其是对于恶意行为的溯源、惩戒都遇到了很大的困难。

（三）具体技术原因

互联网安全问题产生除了以上基本设计理念、管理和制度等方面的原因外，还有很多具体的技术原因，导致了互联网安全问题的发生泛滥以及治理的困难。

1．网络

Ø        设备的系统安全漏洞不可避免，而且越来越多

Ø 

Ø 

Ø 

各种设备中存在的程序设计漏洞，是互联网恶意代码攻击产生的非常重要的条件之一。恶意攻击者通常会利用攻击对象自身的系统漏洞，进入到系统内部，或盗取数据、或破坏功能（篡改网页等）。而且现在安全漏洞被利用周期越来越短，以前可能长达1年多，而现在最快的从漏洞公布到被利用产生攻击，只有48小时。

Ø        溯源成本高、攻击成本低

网络中恶意攻击泛滥的另一个非常重要的原因就是：互联网网络和业务溯源成本太高，因此在大多数情况下，恶意行为实施者都不会被找到，也不会受到惩罚。造成这种现象的具体技术原因主要包括：“网络对数据报中用户源地址不负责验证其真实性；全球已经分配的IP地址，其使用者的备案信息有效性和可用性很低；以及网络中大量私有地址使用且安全管理很不严格。

找到恶意行为实施者的成本很高，而相反在互联网中实施恶意行为的成本却相对在其他网络要低的多。首先互联网的网络使用费用很低，其次攻击方法在可以很容易在互联网中找到，且使用容易，这就造成用户攻击行为的技术成本和经济成本都很低。

2．业务应用

针对业务应用服务器的网络恶意攻击的产生原因，在前一节已经分析过了。而业务应用层另一类安全问题，业务滥用产生的原因主要是：对于大多数互联网业务，用户均可以匿名且免费使用，使其恶意行为既没有经济成本，又很难溯源，使其受到惩罚，同时很多业务滥用行为背后都有利益驱动（可以从中获益），因此会造成滥用行为在互联网业务中很普遍，其中最严重的就是垃圾邮件。

再有目前流行的P2P、RSS、博客等互联网新业务新技术使互联网的应用更加去中心化、个性化，网络和业务的运营者对业务安全控制更为困难，也是互联网业务应用安全问题日益严重的原因之一。

3．内容

互联网信息内容安全产生的具体技术原因主要是国内或者国际相关的安全监管技术不成熟，包括监听过滤技术、数字水印技术等等。由于互联网中的节点之间可以任意使用加密技术，互联网中信息的海量和多媒体特性都给针对互联网信息内容监管安全的监听过滤技术提出了很大的挑战。

由于互联网安全问题所衍生的矛盾已经影响了互联网的进一步健康持续发展，因此互联网在今后的网络演进中，已经将从根本上解决安全问题作为了一条基本原则。也可以说互联网安全问题也是促进互联网技术发展，网络演进的主要动力之一。从长远角度看，需要从网络构架上重新考虑互联网安全的根本性解决。在互联网发展前沿研究领域，大家对于下一代互联网必须面对的安全挑战这一观点已经非常认同。

从长远期发展战略思路来讲，推进下一代互联网可以至少确定以下几条原则：

1.   安全、泛在、高效、可管、可控、可信是下一代互联网将成为国家重要的通信基础设施，必须抓住互联网对网络技术演进的强烈需求，继续大力加强对下一代互联网的研究、试验。

2.   推进下一代互联网发展，必须将“安全和用户参与”作为基本前提

下一代互联网应该能够提供更快的信息传递速度、更宽的带宽、更好的移动性支持、容纳更多样化的业务应用模式。同时下一代互联网必须能够承担起国家信息基础设施的重任，因此，除了以上技术能力的目标，其首要应当考虑的基本要求就是: 必须具有有效的网络信息安全保证。其次，下一代互联网应该借鉴并秉承互联网最不能够放弃的基本理念，以保持其生命力。这里，我们认为“维持并保护用户对于网络技术和业务创新的平等参与权利是下一代互联网必须坚持的基本理念”。

3．积极扶持下一代互联网新兴技术的研究、慎重决策下一代互联网演进路线的科研方向

作为与NGN一起发展演进的网络，下一代互联网NGI在技术基础、网络能力、业务类型等方面将逐渐趋同，但是到目前为止，NGI与NGN在用户与网络的关系上还存在着根本的理念差异，因此两者的体系架构、管理理念等方面的研究都不尽相同。目前国际上对于下一代互联网技术演进的路线也有不同的研究思路：一种是革命派，主张面向新需求，采用自顶向下的方式设计新一代互联网体系结构。以美国的GENI计划和FIND行动为代表；另一种是改良派，主张尊重互联网的成功经验和存量规模，面对互联网的主要问题和新需求，对互联网核心设计理念进行修正、对现有互联网进行功能完善（在现有互联网上添加必要的管理控制功能），从而通过功能的逐步完善来实现向下一代互联网的平滑演进。在这个问题上，我们国家的基本研究思路和方向，将对于我国互联网今后的发展走向起着决定性的作用，必须认真、慎重进行决策。

4．以积极推动三网融合为契机，促进互联网在网络性能提高、建立可管可控的业务安全域等方面的能力提升，探索下一代互联网平滑演进的路线。

运营商在其现有的宽带IP网基础上开展三网融合型业务，需要进行网络能力扩展，例如增加广播（组播）能力和网络带宽资源，以支持融合型业务对音频、视频和数据信息传送的网络能力要求。同时融合型业务的安全，包括网络安全和传播内容无害性的要求相对现有互联网业务要高很多。因此必须在现有宽带IP网络基础上利用各种安全技术手段，建立融合业务的可管可控的业务安全域，以做到和现有互联网安全威胁相对隔离。并以此为契机，探索建立互联网产业新型的盈利模式。所有这些工作都将为互联网平滑演进到NGI，提供动力和基础。