[word格式] IP网络缺陷与改进的思索

IP网络缺陷与改进的思索IP网络缺陷与改进的思索莫淦清郑鹏(浙江金融职业学院310018)fT技术摘要:IP协议和Internet是人类全球通信的最伟大创举之一.本文以IP安全性为重点,对IP协议的特点,存在问题,目前改进的方法和进一步发展方向,提出了自己的一些看法.希望将来IP能够得到更好的发展,NGN能为我们提供更好的服务.关键词:IP安全IPv6改进中图分类号:F224.33文献标识码:A文章编号:16730534(2007)07(b)一0028一O11引言根据以IP协议为基础的Internet的发展历程可知,IP协议最可取的内涵与作用在于其充分的开放透明性与灵活有效的多业务增值能力.然而,在开放透明的同时,也往往更容易”充分暴露”,自然也容易受到攻击.在Internet商用化后暴露出来的一系列问题中,最棘手,解决难度最大的问题就是安全性问题.2基于IP协议的网络问题所在实际上,我们仔细分析PSTN,ATM及IP网络结构可充分理解IP网络易受攻击的原因.一般情况下,安全攻击多半在终端发起.在PSTN的用户端与网络端,uNI与NNI彼此分离,业务的提供及控制权均在运营商手中.没有运营商的参与,用户难以在终端播发病毒及发动攻击.就算用户想攻击,追查亦较方便.因为PsTN对所有终端均按E,164码号规则赋予全球惟一的公开编号.此外,当PSTN提供IP网接入服务时,PSTN仅作为IP网的链路层接入,IP数据只是在PSTN上透传,故无法在PSTN接入IP之际从IP网攻击PSTN.由此可以看出,PSTN的网络与终端安全性较好,而其丧失的则是灵活有效的宽带多业务增值能力.ATM虽然属分组型技术,但ATM并无直接的终端业务与用户.ATM网络虽有较好的安全性保证,但却带来了宽带多业务增值的不灵活,不方便与不经济等缺点.IP网络没有UNI与NNI的分离问题,运营商设备,协议乃至网络拓扑对用户均是开放可见的.用户端产生的IP信息,无论在用户端或在网络中均可传送.通过用户端与运营商网络交换非法的恶意路由信息,就可对运营商网络的路由器,接入服务器等设备及三层以上设备实施攻击.与此同时,位于IP网络边际的用户侧的网络与业务/应用,一般均使用TCP/UDP/IP这一基础技术.这导致用户间在IP层及应用层等各层面彼此透明可见,从而为恶意用户攻击对方网络及相应的业务与应用提供了方便.且由于多种业务综合承载在同一网络上,难以分辩与确定用户间的信任关系,被攻击的用户实际上难以分清哪些是合法用户的正常访问,哪些是非法用户侵入或恶意攻击.由上述分析比较可充分看出IP网络安全问题的本质之所在.因此,寻找IP网络的有效安全对策,尤为紧要.3IP发展的战略思考3.1IP安全性发展战略思考正因为IP包结构兼含”内容”加”地址”(源地址及目的地址),在网内传送时,自我暴露性强.借助地址引导,有利于黑客通过“地址过滤”技术按选定地址窃取网上信息及实施攻击.对IP协议的这些安全性问题,最尖锐的观点来自TINA/TIMNA.TINA/TIMNA的观点很明确,认为Internet及其IP网的三大缺陷是安全失控,QoS无保障及网管弱智,且NGN不应该是”全IP化的网络”,而应该是一种以”中间件(Middleware)为基础的网络.TINA/TIMNA提出的看法是有价值的,它一针见血地指出了IP协议安全失控的本质所在.尽管其具体操作方法尚需探讨,但指明其”中间件”层的突出作用是正确的.在目前推进以IP为基础的NGN的发展过程中,不只是应用层面,对安全性,IPQoS,智能网管等目标,均应在多维层面大量发挥各类”中间件”的重要作用.但是,由于IP在全球大规模普及的基础与事实,并且IP具备多业务增值的基本吸引力,更重要的是,目前尚未找到或比较一致地认同比IP协议更适合操作的其他途径,因而,我们现在还是要在现有的IP上进行改进与发展.3.2IPv6的改进与展望IPv6对IP协议的已经有了重大改进与战略价值.其在地址容量,安全性,QoS控制,地址资源管理的合理性等方面均有较大幅度改进.安全性问题.IPv6在其协议栈中强制执行IPSec,确实比IPv4时的安全性有所改善.IPSec是设计来达到网络层中端对端安全通讯的第三层协议,它主要的架构是IP认证标头(AuthenticationHeader;AH)和IP封装安全装载(EncapsulatingSecurityPayload;ESP).IPAH提供数据的完整性和认证,但不包括机密性,而IPESP原则上只提供机密性,但也可在ESPHeader中订定适当的算法及模式来确保数据的完整性并认证.IPAH和IPESP可以分开使用或一起使用.IPsec将密码技术应用在网络层,以提供传送,接收端做数据的认证(Authentication),完整性(Integrity),存取控制(AccessContrO1),以及机密性(Confidentiality)等安全服务.高层的应用协议也可以直接或间接地使用这些安全服务.但IP安全性问题很复杂,需有不同层次,不同方位的可靠保障.首先,IPSec仅是一个网络层协议,负责其下层的网络安全,并不负责其上层应用,如web,Email及文件传送之类的安全.对确保安全而言,IPSec决非惟一手段,还需与多种手段,诸如认证体系,加密28科技咨询导报ScienceandTechnologyConsultingHerald体系,密钥分发体系等全面配合.QoS问题.IPv6的QoS改进的一个重要手段是”流标签”.和IPv4相比,IPv6在QoS方面提供了更多的措施,以期改善甚至彻底解决网络的服务质量问题.IPv4到IPv6的报头变化IPv6的报头中去掉了IPv4报头中的一些字段,或者是将其变为可选项.数据包的报头越简单,处理过程就越快.IPv6采用新方法来处理选项,显着地改善了处理速度,保证对数据报文的高速转发和较低的延时,提高了QoS.IPv6的ICMP机制.在IPv6中,不同的服务类别可以由不同的多播组实现,现有的IPv6ICMP多播回放控制消息机制可被用来塑造发送方和中间路由器的流量特点.不利的方面是,发送者将不得不多次提供基本相同的数据(但品质不同),接收方需要知道预订哪个组,以便匹配特定的传输和终端系统功能.IPv6基本报头中的QoS元素.IPv6协议在IPBase(基本)和Extension(扩展)报头中包含了一些关于控制QoS的信息(流类别和流标记),通过路由器的配置可以实现优先级控制和QoS保证,将很大程度上改善服务质量,保障从VolP到视频流的高质量传输.IPv6的地址应用问题.IPv6的地址数量巨大,约为IPv4地址量的8万兆兆平方倍.IPv6利用其海量地址优势发挥其端到端个性化,个体化及大面积消费电子类应用确有其巨大威力与潜力.但我们也必须看到,当地址以全球个人化,个性化和个体化为目标时,IPv6地址数量的真正充裕性便值得怀疑.4结语正因为鉴于IP协议及Internet的发展历史与背景,以及随着其商用化暴露出的一系列问题,或许未来网络技术IP不是惟一的选择,但由于IPv6的出现,使得IP协议目前仍是支持网络的最好选择.另外,CNGI专家组组长,中国工程院副院长邬贺铨在2007年4月12臼”2007年全球IPV6高峰会议”上透露,IPv6将在明年奥运会期间使用,这对我国互联网及电信业都将产生积极的影响.相信IP技术将得到更加的完善.