、引言 NGN
3G3G演进及NGBW(下代宽带无线)是目前通信业界非常关注并在不断探讨
热点话题
人们希望通过NGN及NGBW来解决目前各类网络中许多问题如网络安全问题QoS问题、智能网管问题网络移动性及汇聚和融合问题、前后向兼容平滑演进问题等2O03年下半年至2004年年中ITU-T SG13研究组进行标准化工作取得了不少进展在新研究期中将集中精力专注NGN研究2004年6月ITU-T第13研究组会议上专门组建了个新NGN专题组FGNGN(Focus Group on NGN)以应对NGN发展紧迫需要加强和推进NGN方面研究工作目前已成立 7个工作组分别在业务需求、功能体系架构和移动性IP-QoS控制和信令能力、网络安全、网络演进及IP承载能力要求等 7个领域进行工作以满足国际上对全球通用NGN标准迫切需求至今已完成诸多标准建议草案对NGN研究方向、通用参考模型、框架体系、业务需求、网络功能、网络安全及IP承载能力要求、互联互通、服务质量、移动性管理、可管理IP网络、异构网络性能和NGN网络演进融合方式等各个方面提出了总体要求为世界各国通信运营商和设备制造商提供了网络发展和产品研发思路和依据但客观地说
NGN依然存在不少问题和困惑特别是NGN在分阶段务实发展同时如何从战略高度确立其目标框架及目标定义及其和分阶段实施关系至关重要同时所谓全IP发展NGN策略是否稳妥依然有不少怀疑和争议本文拟根据IP协议背景、内涵、作用和外延等系列问题重点就进步发展IP及NGN理性战略思维问题谈些个人看法供分析参考2、IP协议及NGN
产生背景和必然性众所周知
IP或TCP/IP协议是互联网Internet发展基础尽管对NGN概念、定义、结构NGN发展是否应以IP为基础是否采用所谓全IP等这些最基本问题尚未获得全球性统见解甚至还存在些较尖锐分歧但NGN背景和必然性以及IP协议普及应用基本作用和外延等系列问题是明显(1)20世纪末期
对无缝隙覆盖全球个人多媒体通信需求推动了GII建设热潮基于TCP/IP协议Internet技术由E-mail和VoIP应用切入使Internet/Intranet和WWW飞速发展在全球快速普及广受欢迎人们普遍认为这可能是未来GII个发展方向(2)随着数字传输技术、数字信号处理技术及高级软件Software技术
进展对向处于低效率运作状态 3网分立局面人们普遍感到不满意期望IP协议能成为 3网融合基础再借助系列新技术逐步实现 3网融合IP协议有可能成为固定和移动通信融合粘接剂这对未来全球个人通信及GII实施至关重要(3)以TCP/IP协议为基础
Internet设计初衷主要是考虑军事应用及提高抗干扰能力它是以牺牲网络带宽为代价其网络结构及协议也存在系列问题是种非面向连接及尽力而为(BEBest Efforts)方式未顾及移动漫游个性化要求是种主要由科研团体和/或政府研究机构松散管理下种非商业应用网络但进入大规模商用后暴露出来安全性QoS网络智能管理、赢利商业模式等多方面问题使InternetNGN2/GNI发展面临严峻挑战目前尚无法找到种更好可进行大规模普及操作网络结构因此现实做法理应是集思广益博采众长吸收各种新概念、新思路及新技术使的尽可能全面改进以尽快满足市场需求并创造新增值效益从某种意义上讲这亦是种不得已而为的因势利导现实主义作法(4)在“.COM泡沫”
破灭、对“宽带泡沫”质疑、对3G发展迷茫及传统电信业务盈利下滑等多种原因作用下促使传统运营商和制造商急需寻找出种能平滑演进、适应市场需求新代网络结构和多业务增长途径2O世纪80年代PC机控制软件Software和计算硬件分离形成充分开放多厂商竞争环境最终推动整个计算机业繁荣和发展促使人们认真研究未来网络发展是否应走这条道路(5)随着软交换技术及软件Software无线电技术
诞生和改进无论是有线网还是无线网均可采用分层、分面及全开放模式基于独立模块化结构实施业务驱动使业务、呼叫控制及承载完全分离从而以优良性能价格比、前后向兼容过渡方式平滑地向新以IP为基础网络演进这些技术可望成为较现实新代网络即所谓NGN核心支撑技术尽快统全球标准和原先提出GII这目标进行协调和融合已成为相关组织(如ITU-T/RETSIIETF3GPP3GPP2ISC/IPCCTINA/TIMNAMSFOMA等)共同愿望尽管在IP协议及NGN问题上
人们在概念、定义和结构等方面均明显存在含混不清及区别理解的处依然成为全球各大标准组织、运营商、制造商、研究开发及政府相关部门共同关注热点并在加紧探索各种务实发展途径这无论对固定或移动对公网/共网及专网对地面或空间均是如此3、IP化是大势所趋
目前
IP化已是大势所趋故NGN应以IP为主要考虑前提1.NGN发展
目标战略NGN应是能提供各种多媒体业务
综合网络支持固定和移动融合及传统电信业务和广播业务融合是有线/无线网络元素、计算机系统、家庭外围设备、智能工具等组成综合融合环境NGN必须能折衷满足区别业务质量及物理接口要求在业务管理、网络管理、智能化、个性化服务等方面均可提供完备机制纵观全球
尽管尚未对NGN给出个统清晰定义但在些基本点上已达成共识即NGN是基于分组交换网络分组交换般是基于IP协议;以市场和业务驱动为导向将呼叫控制和网络传送层及业务层完全分离;网络结构分层各层间有开放标准接口;业务承载网和业务网应能有效地彼此分离;核心传送网为高带宽光传送网;网络具有满意服务质量保证和合理安全保证;网络是可维护、可运营并且是可赢利多业务网络;网络应支持包括终端移动性和用户移动性在内广泛移动性从广义角度看
应该说NGN是种目标网络而不是下代Internet网亦不是下代PSTN电话网及下代电信网和下代有线电视网及广播电视网而是由新分组交换传送及以IP协议为基础融语音、视象、数据于体种全新网络它将真正使网络设施不受时间、空间和带宽限制充分实现网络个性化和个体化使基于网络虚拟世界和现实世界完美地融合起来具有所谓接近于零网络时迟和优良网络端到端QoS性能令人满意网络和系统可靠性和可用性以及足以信赖网络安全性网络管理可达到全局智能化既有利于可赢利商业模式运作集中智能网管又可将网络智能分布化保持和发扬Internet终端智能化长处摒弃其整体网管弱智和缺乏可赢利商业模式运作严重缺憾网络接入可达到普遍灵活、多样化、个性化5W(5A)方式无缝隙宽带接入有跨协议、跨标准国际漫游能力以市场和业务驱动为导向将呼叫控制和网络传送层及业务层完全分离可进行服务快速布设和移植可充分利用平台分布性、开放性和标准性积极调动运营商及第 3方创造性它是具有快速丰富业务种类和市场应用等特征种理想化网络可充分满足社会和个人愈来愈高综合性全球通信要求具有多业务、高质量、宽带化、分组化、智能化、移动性、分组性、安全性、开放性、分布性、兼容性及可管理性和可赢利性等系列全业务综合运作基本特征这是目前Internet网、电信网、移动网、广播电视网及专用通信网等均不能全面具备基本特征亦是它们按NGN定义和框架目标要求进步演进、集成、协同、汇聚和融合所期望达到目标要求基本特征因此各类在NGN概念导引下前向演进产生新代网络均为NGN集合子集显然
按上述框架目标实施NGN决不可能轻而易举地步到位必然是个积极稳妥、科学务实地分阶段向GII逐步演进发展漫漫征途因此从定义和实施策略看制定明确、科学、稳健长远性及各阶段性NGN务实发展步骤依然十分必要应该说从现在至今后 5到十 5年左右NGN依然处在其
发展阶段在此阶段应较好地解决启动问题坚定地迈出成功第步这方面需要较满意地完成NGN确切定义、基本框架目标、阶段实施途径等基本标准化工作另方面NGN 3大组成部分即下代因特网(GNI)、下代电信网(NGTN)、下代移动网(NGMN)均应根据自身发展基础积极按NGN基本概念、定义、目标要求等制订和实施务实发展策略从技术层面、系统结构和市场模式彼此渗透并步步汇聚和有机融合例如GNI应以引入IPv6以及网格技术和业务为中心同时改进TCP/UDP等系列相关协议使GNI在未来宽带多媒体、多业务时代首先实现可管理、可赢利NGTN以软交换技术为核心
试验探索及启动实施则基于TDM电路型PSTN语音网络和ATM/IP分组型网络向初级NGN网络融合演进使所期望NGN低建设成本、低运营花费、多业务高创收、有效前后向兼容平滑演进及充分发挥用户积极性和创造性等优点有所体现NGMN以3G及3G演进为中心并有机融合802.xy包括终端、业务和应用在内制订和2.5G有差异化务实发展策略和商业模式作为NGN启动发展
有效步骤以软交换为中心或以IPv6及网格技术和业务为中心务实推进是十分必要和此同时必须站在目标NGN角度进行更全面和更长远规划和研究以软交换为例用软交换机改造现有PSTN网络及其“硬”交换机时切忌将其理解为只是由“硬”到“软”设备和技术更替这样很容易回归到PSTN封闭性理念和框架怪圈的中从而违背NGN目标初衷就NGTN而言它不仅仅是由TDM技术转化为IP分组技术从应用和多业务层面看更重要是应按NGN目标框架将原有僵化端到端连接型控制机制转变为灵活、丰富、多样化会话型控制机制将原有由个体网元集中控制管理模式转变为资源自适应均衡调配分布式网络控制管理模式将原有缺乏前向扩展能力单业务垄断经营模式转变为多业务/综合业务共赢价值链经营模式并充分发挥第 3方天才和创造性在具体规划和实施各类NGN起步工作时应时刻牢记、并有效贯彻这些总目标2.NGN应以IP为主要考虑前提
如上所述
NGN以分组交换传送为基础及多(全)业务网络分组化在IPMPLSATM和Ethernet方面已获得共识很明显MPLS及Ethernet和IP是完全可以协调发展主要分歧仅在于IP和ATM谁更适合这依然是个重要问题
它对确定NGN发展基础和前提至关紧要在确立NGN
基本发展策略时应根据其基本技术特征和长期市场检验和选择结果明确NGN以分组交换为基础以IP为主要考虑前提否则将无益于推进以IP为基础NGN创新和发展当然并不排斥在NGN阶段发展过程中充分合理地利用ATM在定阶段上尚存在可能作用和价值以及吸取ATM某些有益理念使NGN以IP为基础QoS控制及VPN发展获得强有力支撑退步说如果ATM果真出现奇迹般长进比起更新演进后IP来全局含义上更为合适;也可由市场作出最后抉择但归根结蒂在这点上至今并未发现有任何可能迹象因此认定NGN以分组交换为基础以IP为主要考虑前提应该是种明智现实选择事实上
ATM兴衰亦和数据交换发展紧密相关应该说ATM是后来者它比Ethernet及Internet晚了近20年比个人电脑亦晚了近15年上世纪90年代初在语音/数据集成及端到端QoS控制方面ATM深受青睐当时人们甚至认为以太网交换技术仅仅是延长其陈旧技术生命种权宜的计而已从最佳系统设计负荷平衡理论观点看以太网速率低集线器采用共享式CSMA/CD(载波侦听多址连接/冲突检测)模式运作当用户上网增多时就会导致传送瓶颈更谈不上QoS保证因此千兆比第 3层交换机出现的前ATM被视为更新核心网交换惟合适途径然而始料不及是市场驱动魔力使以太网经受住了严峻挑战 7年内将网络速度提高了两个量级而ATM所谓端到端连接忽视了至关重要台式机用户需要在终端用户处附加许多软硬件设备从节省成本角度看快速以太网显然占上风而且ATM/以太网混合环境使网络分割和重组开销很大在图像处理等计算密集场合无法容忍ATM很多应用便显得缺乏实用性ATM结构严谨但缺乏灵活性且价格昂贵以太网GB/10GB高速交换进展及由LAN向MAN/WAN扩展Internet及IP爆炸性增长和IP QoS逐步进展终于使人们认定ATM只能退居市场中过渡地位逐步走下坡路这是市场选择结果和此同时人们对IP QoS信心和决心日益增加由于传输资源紧缺和昂贵本来可利用提高节点设备ATM交换机复杂度和提供QoS控制能力以换取传输资源带宽能力不足这是种有效互补性选择但历史发展证明不用说核心层面甚至接入层面带宽资源已愈来愈显得不那么稀缺昂贵同时IP技术带来多业务增值灵活性、价位吸引力以及日益完善IP-QoS技术安全性使移动、固定及卫星通信等原本资源最受限无线传输和接入手段亦均无例外地选择ATM作为种过渡权宜的计而将长远目标均锁定在以IP为基础上3G及3G演进全IP NGWB选择即为其明显举例且未引起过多质疑因此围绕ATM和IP选择争论实际上是没有必要认为NGN以分组交换为基础以IP为主要考虑前提应该是种明智有益且较现实选择3.以用户新业务需求为驱动力IP化已成全球发展现实
如上所述
以IP为基础Internet普及商用成功已造就张覆盖全球Internet大网在此大网上尽管有大量麻烦和问题不断产生但也已有大量IP业务在运行和使用亦有大量支持IP业务开发人员、运行维护人员在运作并正在投入大量人力、物力和财力针对IP商用暴露出来弊端对IP技术进行改进大力开发各类IP新业务和新应用努力推进IPv6GNI100x100项目及美国国防网格网向目标NGN迈进这已是不争事实实战证明
业务和承载可分离充分开放IP平台为业务和应用创新提供了广阔发展空间门户网站WebSite、搜索引擎P2P(Peer to Peer)等应用无不是其开放性创新硕果随着IP QoS步步改进VoIP不仅在专线专网而且在长途/本地市话方面包括VoIPO/P-WLAN运用在内均已经或正在逐步走向成熟逐步达到电信级运营要求IP平台上宽带数据业务包括(准)实时流媒体及视频业务IPTV等均已显露出其芒锋和潜力即便对ATM而言亦未历经大规模、大范围视频业务传送检验如果要投入巨大人力、财力、物力去尝试E-mail/WWW/FTP/TelNet乃至(准)实时流媒体、双向视频over TDM/ATM等简直不堪设想因此目前逐步由IP over Everything转移至Everything over IP绝非偶然这是市场需求导向检验和选择结果虽然在这进程中并非切尽善尽美但以用户新业务需求为驱动力IP化确实成了大势所趋已在全球成为无可否认现实4、IP协议存在
问题和发展战略研究1.IP协议
问题所在如上所述
根据以TCP/IP协议为基础Internet发展历程可知IP协议最可取内涵和作用在于其充分开放透明性和灵活有效多业务增值能力然而在开放透明同时也往往更容易“充分暴露”自然也容易受到攻击在Internet商用化后暴露出来系列问题中最棘手、解决难度最大问题就是安全性问题对IP协议
安全性问题最尖锐观点来自TINA/TIMNATINA/TIMNA观点很明确认为NGN不应该是“全IP化网络”而应该是种以“中间件(Middleware)为基础网络TINA支持ITU-T建议Y.130ICA(信息通信结构Information Communication Architecture)认为Internet及其IP网 3大缺陷是安全失控QoS无保障及网管弱智全IP化即使使用IPv6也不能有本质性变化必须从中间件层入手才能真正取得隔离功能及解决安全问题IP协议结构象“明信片”源/目地和内容 3者关联全局暴露是其易受攻击和无法解决好安全性问题根本所在“IP决定切”违背分层网设计“应用决定切”公认理念造成事实上本末倒置有结构进化才能有功能突破“未来网技术IP不是惟选择”TINA支持以ICA为基础向NGN演进应该说
TINA/TIMNA提出看法是有价值尤其是它针见血地指出了IP协议安全失控本质所在实际上仔细分析PSTNATM及IP网络结构可更充分理解IP网易受攻击原委般情况下安全攻击多半在终端发起PSTN终端本质上是傻瓜型兼的PSTN收费模式若想在终端入手发起大规模攻击成本很高难以操作在PSTN用户端和网络端UNI和NNI彼此分离业务提供及控制权均在运营商手中没有运营商参和用户难于在终端玩新花样、播发病毒及发动攻击就算客户想做手脚追查亦较方便PSTN对所有终端均按E.164码号规则赋予全球惟公开编号此外当PSTN提供IP网接入服务时PSTN仅作为IP网链路层接入IP数据只是在PSTN上透传故无法在PSTN接入IP的际从IP网攻击PSTN由此可以看出PSTN网络和终端安全性较好而其丧失则是灵活有效宽带多业务增值能力ATM虽然同属分组型技术
但ATM并无直接终端业务和用户对用户而言只是提供个逻辑“专网”用户只能在自己“专网”中运作无能力亦无可能发送ATM网络可识别或要识别信令和业务数据同样ATMUNI和NNI是分离网络只是为用户提供透传功能其信令、业务数据等对用户而言是不可见用户无法产生恶意数据对ATM进行攻击相应地ATM网络和网络间安全性则是靠运营规则和运营商间信任关系和协同合作予以保证而且由于用户只能在自己所在网络中运作即便能发动攻击亦只能攻击自己网络内有限用户故很容易追查因此ATM网络虽有较好安全性保证但却带来了宽带多业务增值不灵活、不方便和不经济等缺点IP网络如同信息
明信片传送没有UNI和NNI分离问题运营商设备、协议乃至网络拓朴对用户均是开放可见用户端产生IP信息无论在用户端或在网络中均可传送通过用户端和运营商网络交换非法恶意路由信息即可对运营商网络路由器、接入服务器等设备及 3层以上设备实施攻击和此同时位于IP网络边际用户侧网络和业务/应用般均使用TCP/UDP/IP这基础技术这导致用户间在IP层及应用层等各层面彼此透明可见从而为恶意用户攻击对方网络及相应业务/应用打开了方便的门IP网络终端高度智能化及多业务能力使终端用户发动攻击变得容易又增加了识别和防范各类花样繁多安全攻击难度由于多种业务综合承载在同网络上难以分辩和确定用户间信任关系导致恶意用户很容易找准对象发动攻击而被攻击用户实际上难以分清哪些是合法用户正常访问哪些是非法用户侵入或恶意攻击鉴于IP网络及技术发展快速
在协议设计及软件Software开发中难以避免缺陷和漏洞在大规模应用的前来不及测试故难于发现并将其彻底排除这亦给恶意攻击造成了各种可乘的机此外IP用户身份难以识别导致很难跟踪及遏止攻击者而且IP高度智能终端及其宽带化加上其有利计费模式更有利于恶意用户方便且低成本地有效实施大规模攻击制造这类攻击技术难度变得愈来愈容易从而使得这类非法入侵及恶意攻击有增无减肆意蔓延防不胜防令人担忧当然IP协议开放透明性所导致安全性弊端亦带来了其灵活有效宽带多业务增值能力便于互联互通及有效降低成本等明显市场应用优势和吸引力目前
黑客、病毒似乎愈杀愈烈泛滥成灾已成为安全计算及IP网络安全运作头等隐患例如2004年新病毒增加了52%瑞星报告指出其中有十大病毒对用户造成破坏最大:网络天空(Worm.Netsky占总病毒数39.9%)、爱情后门(Worm.Lovgate21.3%)、SCO炸弹(Worm.Novarg7.7%)、小邮差(Worm.Mimail1.5%)、垃圾桶(Worm.Lentin.M0.9%)、恶鹰(Worm.BBeagleO.8%)求职信(Worm.Klez0.5%)、高波(Worm.Agobot.30.5%)、震荡波(Worm.Sasser0.4%)及瑞波(Backdoor.RbotO.4%)而且黑客和病毒威胁呈现 4大发展趋势:变种病毒数量翻番剧增防不胜防从漏洞被发现到攻击病毒出现时间间隔越来越短国产型木马病毒及后门
成为主流目标直指网民真实财产以及“网络钓鱼”(Phishing)形式诈骗病毒活动明显增加等显然在这十大病毒中有 9种为蠕虫病毒就对用户危害性而言蠕虫病毒依然是最为严重病毒变种的所以快速增长蔓延个重要原因是很多病毒源代码借助于网络被病毒作者公开并提供下载甚至有些代码还包括完整介绍说明文档及相应工具和举例易于普及传播毋需特别技能仅需修改配置文件和部分源代码便可编译生成个新变种病毒这是对公开性(包括源代码公开在内)造成负面影响种直接讽刺亦介绍说明如何正确认识和控制种事物正反两个方面是何等重要由这些分析可充分看出IP网络安全问题
本质的所在就象SARS情况样只有控制其病源才能控制其蔓延因此寻找IP网络有效安全对策尤为紧要其实
IP和Internet研究权威机构——IETF对现有Internet及IP协议缺陷和不足亦有足够认识列举出Internet下步发展面临十大技术问题:身份识别技术、保护IPR技术、保护个人隐私技术、新代Internet通信协议IPv6技术、下代Internet结构网格(Grid)技术、无线Internet技术、传统电话网和Internet融合技术、更有效地在网上传输视频技术、防止垃圾邮件过滤技术及网络安全技术如果无法在网络安全、个人隐私及IPR保护方面取得突破Internet将无法成为种真正可信商业工具当然IETF相信在采取系列有效措施后如改进IP协议改进TCP/UDP协议缩短路由及传输时延提高传输效率及质量实施有效全球大容量移动扩展访问和漫游提高网络安全性及改进网络管理能力等新IP网是能够担当起NGN重任因此十大技术问题中有半以上和安全性有关可见IP安全性实际严重性可以说IP问题最大难点是其安全性其次是IP QoS2.IP发展
战略研究(1)解决IP及NGN发展问题
总体策略研究无论是IP(包括“后IP”创新)还是NGN
发展不定原因和风险很多仍应遵循“积极、稳妥、科学、求实”这总方针行事任何“过热”炒作“过冷”悲观均不适当既要尽可能避免“泡沫”发生又应博采众长大胆努力创新有关“泡沫”问题
应辩证思维盲目“跟风”应绝对避免至于所谓泡沫往往和不科学、不切实际及不务实有关应尽量根据科学求实原则避免“泡沫”产生但有些“泡沫”产生是有其前因后果生成原因极为复杂方面要分析其原因并充分吸取教训尽量避免泡沫发生但另方面应尽快将消极原因转化为积极原因创造新现实价值和长期价值“.Com”高科技泡沫就是个典型例子其实IP及Internet本身就是个具有长期潜价值令全球瞩目伟大创新尽管人们往往有“朝被蛇咬十年怕井绳”心理但对IP及NGN发展不能害怕“泡沫”可能发生而影响积极创新和推进对此2002年诺贝尔经济学奖得主弗农史密斯(Vernon Smith)有句名言即“每个泡沫都因伟大技术创新而引起这些技术为人类创造了大量长期价值”笔者以为在推进IP及NGN发展时应从V.Smith名言中吸取定营养尽量避免“泡沫”发生新技术、新系统及新事物发展多多少少均遵循描述可行性和成熟性关系所谓超级循环(HyPer Cycle)曲线亦是类似道理(2)IP安全性发展战略研究
如上所述
TINA/TIMNA提出有关IP安全失控结构缺陷论述是有道理IP包结构兼含“内容”加“地址”(源地址及目地址)在网内传送时来龙去脉清楚自我暴露性强借助地址引导有利于黑客通过“地址过滤”技术按选定地址窃取网上信息及实施攻击于是提出了以“中间件”层ICA结构解决这难题方案尽管其具体操作思路方法尚需探讨但指明其“中间件”层突出作用是正确在目前推进以IP为基础NGN发展过程中不只是应用层面对安全性IP-QoS智能网管等目标均应在多维层面大量发挥各类“中间件”重要作用从战略观点看在推进NGN发展过程中应鼓励创新集思广益博采众长提出“未来网技术IP不是惟选择”说法应该说没有坏处只有好处目前的所以强调在IP基础上下功夫首先是基于其在全球大规模普及基础和事实并具备多业务增值基本吸引力更重要是目前尚未找到或比较致地认同比IP协议更适合操作其它途径事实上
全球为IP安全性已花费大量人力、物力和财力而且取得了不少进展和成绩从解决安全性源头角度考虑般认为终端是要害对终端应用其中包括OMA及NGOSS而言已充分注意到中间件及CORBA(公共对象请求代理体系结构)软总线技术并发挥了重要作用但“中间件”含义和定义有定松散性、广泛性和含混性需进步严格规范标准定义和改进协调否则将可能严重影响实际应用互联互通等多厂商环境下互操作性信息安全有更广义
内涵营造个防止黄色不良信息危害青少年身心健康安全信息环境规则/政策监管和技术措施双管齐下才能奏效信息对策“老 3样”——“堵漏洞、筑高墙、防外攻”等属于消极防御措施尤其当它们单独实施时已愈来愈不能凑效为此方面要想出更积极对抗措施包括对其源头跟踪堵截;另方面即使对单个用户而言也需要防黑防毒修复漏洞拯救数据这些措施应融为体形成综合对抗能力更强整体安全系统转被动/消极防御为主动/积极防御应注意解决安全性问题是需要付出代价信息安全对策应根据用户区别安全类别实际要求提供区别解决方案如果用户只需要BE类业务则应提供简单、经济、实惠解决方案目前
有关IP安全性对策方面重要进展值得提是信息产业部正在制订“互联网IP地址管理办法”及建立“ICP/IP地址信息备案管理系统”这对查处有害信息快速定位、搜索非法网站WebSite及有效提高信息查询和安全性管理效率有重大意义 2是认定终端为安全重点及中间件隔离作用是非常重要在终端芯片嵌入密码型安全子系统对全部自主研发场合来说很容易处理即以个独立于每个系统平台作为中间件分别和系统及应用连接以解决应用对系统层访问及控制当然此时依然要解决好系统层接口安全性问题而这往往是个难题 3是为确保高级保密用户安全采取网络彻底隔离断开在保证安全前提下支持自动文件和应用数据交换这就是所谓网闸(GAP)概念众所周知内/外网是采取物理隔离断开方式人工文件可安全复制转移这是手动实施种最简单原型显然如何实施网络断开以进行有效文件交换特别是各种应用数据交换是网闸技术关键所在总体来看网闸技术包含 3大要素即网络隔离断开、模拟拷盘或单向传输工作机制及应用数据交换支持由于网络断开即可消除黑客对网闸本身入侵使其无法从网闸外部主机侵入到内部主机也不会从外网侵入内网从而消除了基于通信连接攻击和基于TCP/IP协议攻击及漏洞扫描和入侵攻击至于网闸对应用支持通常是通过对应用协议剥离来获得应用数据交换应用数据后再对应用协议进行重建恢复目前网闸技术已可对大部分应用数据进行剥离和重建当然这些运作均要以资源消耗、高速运作及硬件补偿等为代价 3是国内两大防毒软件Software商——北京瑞星科技股份有限公司和北京金山软件Software有限公司宣布正式加入思科公司所倡导网络准入控制(NAC)计划以研发集成化安全解决方案全面提高安全级别和防御威胁能力这是国内信息安全知名企业和国际领先技术有机合作和良性互动新契机将对中国信息安全事业起到巨大推动和促进作用NAC合作计划最早由思科公司于2003年11月提出其主旨是授权合作伙伴公开技术信息以支持合作伙伴开发和销售支持NAC网络基础设施第 3方服务器及客户端应用NAC计划分 3步实施第步在2004年中期思科接入路由器和中档路由器已可支持NAC计划第 2步NAC将扩展至多种思科产品如交换机、无线接入设备和安全设备第 3步将PC和服务器端点和网络安全互操作能力扩展上升为自我防御能力显然专业信息安全厂商和硬件设备提供商进行深层次技术合作既是企业用户普遍安全需求也是整个信息安全行业重要发展趋势思科、瑞星、金山等联手打造全局防御信息网络安全体系既有明显现实价值亦有重要战略意义总起来说
IP安全性进展实际上和上述ICA思想安全保证是有所协同和汇聚比起防火墙等措施来已更上层楼因此基于IP协议安全计算问题应以科学求实、积极创新原则而努力推进决不能不求创新甚至悲观失望(3)IPv6发展
冷思维随着中国下
代互联网示范工程CGNI启动及中国 5大运营商全面加入IPv6规模部署阵营并拟在2005年底建成世界上最大规模IPv6网络起到引领全球IPv6推广和应用作用IPv6热正在中国快速升温诚如全球IPv6论坛主席Lad
Ladid所说:“中国需要IPv6IPv6更需要中国”由此亦不难理解IPv6为何在国内日渐升温有些人甚至认为NGN就是IPv6IPv6上NGN所有问题基本上就都可以解决了!这种不适当升温不利于IPv6在中国稳妥、健康发展并有碍中国引领全球IPv6推广应用、成为真正IPv6大赢家这宏伟目标实现因而对IPv6进行理性思维甚至冷思维看来很有必要首先
应充分理解IPv6对IP协议重大改进和战略价值IPv6协议已约有十年历史其在地址容量、安全性QoS控制、地址资源管理合理性方面均有较大幅度改进包括对新代全球移动业务支持尽管如此亦不能介绍说明它已十全十美可全盘包揽、永世长存从IPv4至IPv6不兼容性即可看出其阶段性设计局限性和巨大弊端其实应该说地址匮乏是ICT业界对IPv6研究和建设应用最主要驱动力对其它些功能不应寄以过份期待更不应不切实际地炒作和夸大赋予IPv6太多期望将导致IPv6走向反面甚至重蹈3G由神话向理性转变覆辙由以下几方面对IPv6在中国
发展进行冷思维是有益:●安全性问题
IPv6在其协议栈中强制执行IPSec确比IPv4时安全性有所改善但安全性问题很复杂需有区别层次、区别方位可靠保障首先IPSec仅是个网络层协议负责其下层网络安全并不负责其上层应用如WebE-mail及文件传送的类安全对确保安全而言IPSec决非惟手段还需和多种手段诸如认证体系、加密体系、密钥分发体系等全面配合●QoS问题
如上所述IPv6 QoS改进个重要手段是“流标签”但已有十年历史IPv6至今还未制定出流标签应用有关标准些基于流转发产品仅是基于厂家特定环境产品并非基于流标签协议从而大大限制了它推广和应用何况IP-QoS问题和IP安全性问题类似涉及QoS体系结构因此首先要完善低层承载层面综合有效IP-QoS实施途径其次要解决高层和低层间快速控制运作实现包括低层运作在内业务、应用等高层层面改进IP-QoS潜在作用高层智能路由/交换能力使得纵向、横向各层面能有效运作最大限度地调动网络资源才能实现愈来愈令人满意IP-QoS保证●IPv6
所谓移动通信杀手锏应用问题确实MIPv6对3G及3G演进等新代移动通信应用可提供有力支撑不过IPv6在新代移动通信终端上有效应用还有很长路要走目前PDA手机内置仅为IPv4协议栈并不支持其移动特性而借助GRPSCDMA 1x上网手机使用均为专网地址从后向兼容演进角度看期望IPv6成为3G杀手锏应用决非轻而易举的事●IPv6
应用奇迹问题应该说IPv6利用其海量地址优势发挥其端到端个性化/个体化及大面积消费电子类应用确有其巨大威力和潜力但也必须应对诸多难题首当其冲依然是安全性问题防火墙入口认证模式及保险柜式连接对象认证模式均不能令人满意产品内嵌安全功能亦相当困难如何有效交换密钥亦非易事因此探索价廉物美而有效IPv6安全应用途径依然面临严峻挑战●IPv6
实际部署问题目前全球已拥有2亿多IPv4用户IPv4和IPv6非无缝兼容特征将成为其业务快速有效演进障碍和阻力并意味着在时间、金钱、资源方面巨大投入而且大有作为第 3方应用软件Software编译亦很少在目标操作系统最新版本上实施因此对IPv6装备实施不宜持过份乐观期望●中国IPv4/IPv6地址资源匮乏
严重性如上所说
IPv6地址数是如此巨大约为IPv4地址量8万兆兆平方倍有人甚至声称它可赋予地球上每颗沙子及每滴水以相应地址即便如此包括GNI及NGXiYiJi在内NGN和GII是瞄准全球个人化、个性化及个体化目标而后两者需求和数量将远远超越直接意义上全球“个人”数量哪怕是只要覆盖最重要那些“沙子”和那些“水滴”IPv6地址能力真正充裕性便值得怀疑更何况遍及每颗沙子及每滴水!说穿了在IPv4地址分配上吃了大亏中国人最关心是中国应该且必须及时拿到中国应该得到IPv6或将来更长远IPvX地址资源“兵马未发粮草先行”这是千古常理发展3G/3.5G/4G的类3G演进和宽带无线首先要解决是全球和中国自身需求频率/轨道/码号资源同样发展好中国GNI及NGXiYiJi在内NGN必须首先解决好中国IPvX地址资源目前绝不应对IPv6地址总量感到盲目乐观而应切实研究如何解决好我国IPv4/IPv6地址资源匮乏严重问题IPv4地址分配极不合理
其分布极不均衡美国3亿人口1.65亿互联网用户拥有75个A类地址占全球IP地址7O%中国13亿人口互联网用户数约达9000万户估计到2007年将达3亿户却仅拥有4100万IPv4地址相当于不到3个A类地址仅相当于美国IPv4地址数1/38拿足了地址者留着不用而急需地址者又筹莫展可见地址分配达到了何等惊人不公平、不合理地步地址管理是何等地令人遗憾和可悲在这点上中国目前及未来几年内很可能依然大吃苦头全球IPv6论坛于2004年3月公布预测资料表明对IP地址需求最多15个国家即需附加298个A类地址超过目前剩余IPv4地址库地址量3倍其中仅中国国即需附加105个A类地址约占其1/3强依然在先到先占和按需分配原则指导下IPv6地址资源争夺大战序幕已经拉开而中国在此第回合中已处于很不利地位截止到2004年6月我国分配到IPv6地址块仅为11块占全部已分地址块(606块)1.8%且均为/32类别缺省型未得到任何更大IPv6地址块捷足先登些国家仍占大头例如至2003年底美国、日本、德国、荷兰、英国等 5个国家所分配到IPv6地址占全球总数48%在亚太地区我国分到IPv6地址仅占11%约为韩国1/2.5、日本1/6比中国台湾省(14%)还少何况在新轮IPv6地址争夺战中美国国防部DoD不仅针对今后两年需求在积极申请获取/16类别巨大IPv6地址块甚至已对其10年以内地址需求作出了规划申请因此在缺乏IP地址前提下奢谈什么“中国需要IPv6IPv6更需要中国”以及希望“中国引领全球IPv6推广应用成为真正IPv6大赢家”的类口号实在没有意义尽快从NGN-INGXiYiZi及NGN发展总目标入手通信、计算机、广播电视、教育科研、商务政务、国防军事、企业家庭、网格运行、个体物流制造运营等全面考虑联手规划申请获得应有IPv6地址已成我国当务的急在IPv6地址新轮资源争夺大战中力争取得好战绩才是确保IPv6及NGN务实发展所需资源前提同时应积极响应ITU-T对IPv6地址分配有益战略观点摒弃“杞人忧天、犯不上着急IPv6地址取的不尽眼下没有必要去争抢”的类短视想法力促从分配机制上进行改革使IPv6地址分配不致重蹈IPv4地址分配覆辙使的向更合理、更健康分配轨道发展事实上IPv6地址分配工作本身确有不少有待改进的处从上述第轮分配结果可以看出先入为主、先到先满足原则对后来者有失公允发达国家和些占风气的先国家抢占地址现象依然普遍现在游戏规则实质上沿用了IPv4套路很难做到公平合理这些都是亟待解决问题在国际上建立种权威公平合理IPv6地址分配管理机制是国际社会努力目标也是当务的急5、结束语
应该承认
IP协议及Internet是人类全球通信最伟大创举的它创造了无可估量长期价值同时鉴于TCP/IP协议及Internet发展历史和背景随着其商用化暴露出系列问题诸如安全性IP-QoS智能网管、可赢利商业模式等必须切实重视并科学务实、博采众长、积极创新、脚踏实地、步步地予以解决包括战略上引入更优秀结构理念和系统解决方案在内本文以IP安全性为重点对IP协议重要现实作用、存在问题及其进步发展策略提出了些战略研究期望IP/NGN获得积极、稳妥、健康、有序可持续成功发展
最新评论