- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
透析基于IP协议的网络演进相关技术
事实上,全球为IP的安全性已花费大量人力、物力和财力,而且取得了不少进展与成绩。从解决安全性的源头角度考虑,一般认为终端是要害。对终端应用,其中包括OMA及NGOSS而言,已充分注意到中间件及CORBA(公共对象请求代理体系结构)软总线技术,并发挥了重要作用。但"中间件"的含义与定义有一定松散性、广泛性与含混性,需进一步严格规范定义与改进协调,否则将可能严重影响实际应用的互联互通等多厂商环境下的互操作性。
信息安全有更广义的内涵,营造一个防止黄色不良信息危害青少年身心健康的安全信息环境,规则/政策监管与技术措施双管齐下才能奏效。信息对策的"老三样"——"堵漏洞、筑高墙、防外攻"等属于消极防御措施,尤其当它们单独实施时,已愈来愈不能凑效。为此,一方面要想出更积极的对抗措施,包括对其源头跟踪堵截;另一方面,即使对单个用户而言,也需要防黑防毒,修复漏洞,拯救数据。这些措施应融为一体,形成综合对抗能力更强的整体安全系统,转被动/消极防御为主动/积极防御。应注意,解决安全性问题是需要付出代价的。信息安全对策应根据用户不同安全类别的实际要求提供不同的解决方案。如果用户只需要BE类业务,则应提供简单、经济、实惠的解决方案。
目前,有关IP安全性对策方面的重要进展值得一提。一是信息产业部正在制订"互联网IP地址管理办法"及建立"ICP/IP地址信息备案管理系统"。这对查处有害信息的快速定位、搜索非法网站及有效提高信息查询与安全性管理效率有重大意义。二是认定终端为安全重点及中间件的隔离作用是非常重要的。在终端芯片嵌入密码型安全子系统,对全部自主研发场合来说很容易处理,即以一个独立于每个系统的平台作为中间件,分别与系统及应用程序连接,以解决应用程序对系统层的访问及控制。当然,此时依然要解决好系统层接口的安全性问题,而这往往是个难题。三是为确保高级保密用户的安全,采取网络彻底隔离断开。在保证安全前提下,支持自动文件和应用数据的交换,这就是所谓网闸(GAP)的概念。众所周知,内/外网是采取物理隔离断开方式,人工文件可安全复制转移,这是手动实施的一种最简单原型。显然,如何实施网络断开以进行有效的文件交换,特别是各种应用数据的交换,是网闸技术的关键所在。总体来看,网闸技术包含三大要素,即网络隔离断开、模拟拷盘或单向传输工作机制及应用数据交换支持。由于网络断开即可消除黑客对网闸本身的入侵,使其无法从网闸外部主机侵入到内部主机,也不会从外网侵入内网,从而消除了基于通信连接的攻击和基于TCP/IP协议的攻击及漏洞扫描和入侵攻击。至于网闸对应用的支持,通常是通过对应用协议的剥离来获得应用数据。交换应用数据后,再对应用协议进行重建恢复。目前的网闸技术已可对大部分应用数据进行剥离与重建。当然,这些运作均要以资源消耗、高速运作及硬件补偿等为代价。三是国内两大防毒软件商——北京瑞星科技股份有限公司和北京金山软件有限公司宣布,正式加入思科公司所倡导的网络准入控制(NAC)计划,以研发集成化的安全解决方案,全面提高安全级别和防御威胁的能力。这是国内信息安全知名企业与国际领先技术有机合作与良性互动的新契机,将对中国信息安全事业起到巨大的推动和促进作用。NAC合作计划最早由思科公司于2003年11月提出,其主旨是授权合作伙伴公开技术信息,以支持合作伙伴开发和销售支持NAC网络基础设施的第三方服务器及客户端应用。NAC计划分三步实施。第一步,在2004年中期,思科的接入路由器和中档路由器已可支持NAC计划。第二步,NAC将扩展至多种思科产品,如交换机、无线接入设备和安全设备。第三步,将PC和服务器端点与网络的安全互操作能力扩展上升为自我防御能力。显然,专业信息安全厂商与硬件设备提供商进行深层次技术合作,既是企业用户的普遍安全需求,也是整个信息安全行业的重要发展趋势。思科、瑞星、金山等联手打造全局防御的信息网络安全体系,既有明显的现实价值,亦有重要的战略意义。
总起来说,IP安全性的进展实际上与上述ICA思想的安全保证是有所协同与汇聚的,比起防火墙等措施来已更上一层楼。因此,基于IP协议的安全计算问题应以科学求实、积极创新的原则而努力推进,决不能不求创新,甚至悲观失望。
(3)IPv6发展的冷思维
随着中国下一代互联网示范工程CGNI的启动及中国五大运营商全面加入IPv6规模部署阵营,并拟在2005年底建成世界上最大规模的IPv6网络,起到引领全球IPv6推广与应用的作用,IPv6热正在中国快速升温。诚如全球IPv6论坛主席LadifLadid所说:"中国需要IPv6,IPv6更需要中国"。由此亦不难理解,IPv6为何在国内日渐升温,有些人甚至认为NGN就是IPv6,IPv6一上,NGN的所有问题基本上就都可以解决了!这种不适当的升温不利于IPv6在中国稳妥、健康的发展,并有碍中国引领全球IPv6的推广应用、成为真正IPv6大赢家这一宏伟目标的实现。因而,对IPv6进行理性思维,甚至冷思维,看来很有必要。
首先,应充分理解IPv6对IP协议的重大改进与战略价值。IPv6协议已约有十年历史。其在地址容量、安全性,QoS控制、地址资源管理的合理性方面均有较大幅度改进,包括对新一代全球移动业务的支持。尽管如此,亦不能说明它已十全十美,可全盘包揽、永世长存。从IPv4至IPv6的不兼容性即可看出其阶段性设计的局限性与巨大弊端。其实,应该说,地址匮乏是ICT业界对IPv6研究与建设应用的最主要驱动力,对其它一些功能不应寄以过份的期待,更不应不切实际地炒作与夸大。赋予IPv6太多的期望,将导致IPv6走向反面,甚至重蹈3G由神话向理性转变的覆辙。
由以下几方面对IPv6在中国的发展进行冷思维是有益的:
●安全性问题。IPv6在其协议栈中强制执行IPSec,确比IPv4时的安全性有所改善。但安全性问题很复杂,需有不同层次、不同方位的可靠保障。首先,IPSec仅是一个网络层协议,负责其下层的网络安全,并不负责其上层应用,如Web,E-mail及文件传送之类的安全。对确保安全而言,IPSec决非惟一手段,还需与多种手段,诸如认证体系、加密体系、密钥分发体系等全面配合。
●QoS问题。如上所述,IPv6QoS改进的一个重要手段是"流标签"。但已有十年历史的IPv6至今还未制定出流标签应用的有关标准,一些基于流转发的产品仅是基于厂家特定环境的产品,并非基于流标签协议,从而大大限制了它的推广与应用。何况,IP-QoS问题与IP安全性问题类似,涉及QoS的体系结构。因此,首先要完善低层承载层面的综合有效的IP-QoS实施途径,其次要解决高层与低层间的快速控制运作,实现包括低层运作在内的业务、应用等高层层面改进IP-QoS潜在作用的高层智能路由/交换能力,使得纵向、横向各层面能有效运作,最大限度地调动网络资源,才能实现愈来愈令人满意的IP-QoS保证。
●IPv6的所谓移动通信杀手锏应用问题。确实,MIPv6对3G及3G演进等新一代移动通信应用可提供有力支撑,不过IPv6在新一代移动通信终端上的有效应用还有很长的路要走。目前的PDA手机,内置仅为IPv4协议栈,并不支持其移动特性,而借助GRPS,CDMA1x上网的手机使用的均为专网地址。从后向兼容演进角度看,期望IPv6成为3G的杀手锏应用决非轻而易举之事。
●IPv6的应用奇迹问题。应该说,IPv6利用其海量地址优势发挥其端到端个性化/个体化及大面积消费电子类应用确有其巨大威力与潜力,但也必须应对诸多难题。首当其冲的依然是安全性问题。防火墙入口认证模式及保险柜式连接对象认证模式均不能令人满意,产品内嵌安全功能亦相当困难,如何有效交换密钥亦非易事。因此,探索价廉物美而有效的IPv6安全应用途径,依然面临严峻的挑战。
●IPv6的实际部署问题。目前,全球已拥有2亿多IPv4用户。IPv4与IPv6的非无缝兼容特征将成为其业务快速有效演进的障碍与阻力,并意味着在时间、金钱、资源方面的巨大投入。而且,大有作为的第三方应用软件的编译亦很少在目标操作系统的最新版本上实施。因此,对IPv6的装备实施不宜持过份乐观的期望。
●中国IPv4/IPv6地址资源匮乏的严重性
如上所说,IPv6的地址数是如此巨大,约为IPv4地址量的8万兆兆平方倍。有人甚至声称它可赋予地球上每一颗沙子及每一滴水以相应的地址。即便如此,包括GNI及NGXiYiJi在内的NGN与GII是瞄准全球个人化、个性化及个体化目标的,而后两者的需求与数量将远远超越直接意义上的全球"个人"数量,哪怕是只要覆盖最重要的那些"沙子"与那些"水滴",IPv6地址能力的真正充裕性便值得怀疑,更何况遍及每一颗沙子及每一滴水!说穿了,在IPv4地址分配上吃了大亏的中国人,最关心的是中国应该且必须及时拿到中国应该得到的IPv6或将来更长远IPvX地址资源。"兵马未发,粮草先行",这是千古常理。发展3G/3.5G/4G之类3G演进与宽带无线,首先要解决的是全球与中国自身需求的频率/轨道/码号资源,同样发展好中国的GNI及NGXiYiJi在内的NGN必须首先解决好中国的IPvX地址资源。目前,绝不应对IPv6地址总量感到盲目乐观,而应切实思考如何解决好我国IPv4/IPv6地址资源匮乏的严重问题。
IPv4地址分配极不合理,其分布极不均衡。美国3亿人口,1.65亿互联网用户,拥有75个A类地址,占全球IP地址的70%。中国13亿人口,互联网用户数约达9000万户,估计到2007年将达3亿户,却仅拥有4100万IPv4地址,相当于不到3个A类地址,仅相当于美国IPv4地址数的1/38。拿足了地址者留着不用,而急需地址者又一筹莫展,可见地址分配达到了何等惊人的不公平、不合理地步,地址的管理是何等地令人遗憾与可悲。在这一点上,中国目前及未来几年内很可能依然大吃苦头。因为全球IPv6论坛于2004年3月公布的预测资料表明,对IP地址需求最多的15个国家即需附加298个A类地址,超过目前剩余IPv4地址库地址量的3倍。其中,仅中国一国即需附加105个A类地址,约占其1/3强。依然在先到先占和按需分配原则指导下的IPv6地址资源争夺大战的序幕已经拉开,而中国在此第一回合中已处于很不利的地位。截止到2004年6月,我国分配到的IPv6地址块仅为11块,占全部已分地址块(606块)的1.8%,且均为/32类别的缺省型,未得到任何更大的IPv6地址块,捷足先登的一些国家仍占大头。例如,至2003年底,美国、日本、德国、荷兰、英国等五个国家所分配到的IPv6地址占全球总数的48%。在亚太地区,我国分到的IPv6地址仅占11%,约为韩国的1/2.5、日本的1/6,比中国的台湾省(14%)还少。何况在新一轮IPv6地址争夺战中,美国国防部DoD不仅针对今后两年的需求在积极申请获取/16类别的巨大IPv6地址块,甚至已对其10年以内地址需求作出了规划申请。因此,在缺乏IP地址前提下,奢谈什么"中国需要IPv6,IPv6更需要中国"以及希望"中国引领全球IPv6推广应用,成为真正IPv6大赢家"之类口号实在没有意义。尽快从NGN-I,NGXiYiZi及NGN发展总目标入手,通信、计算机、广播电视、教育科研、商务政务、国防军事、企业家庭、网格运行、个体物流,制造运营等,全面考虑,联手规划,申请获得应有的IPv6地址已成我国当务之急。在IPv6地址的新一轮资源争夺大战中,力争取得好战绩,才是确保IPv6及NGN务实发展所需资源的前提。同时,应积极响应ITU-T对IPv6地址分配的有益战略观点,摒弃"杞人忧天、犯不上着急,IPv6地址取之不尽,眼下没有必要去争抢"之类的短视想法,力促从分配机制上进行改革,使IPv6地址的分配不致重蹈IPv4地址分配的覆辙,使之向更合理、更健康的分配轨道发展。事实上,IPv6地址分配工作本身,确有不少有待改进之处。从上述第一轮分配结果可以看出,先入为主、先到先满足的原则对后来者有失公允。发达国家和一些占风气之先的国家抢占地址的现象依然普遍,现在的游戏规则实质上沿用了IPv4的套路,很难做到公平合理,这些都是亟待解决的问题。在国际上建立一种权威的公平合理的IPv6地址分配管理机制是国际社会努力的目标,也是当务之急。
五、结束语
应该承认,IP协议及Internet是人类全球通信的最伟大创举之一,它创造了无可估量的长期价值。同时,鉴于TCP/IP协议及Internet的发展历史与背景,随着其商用化暴露出的一系列问题,诸如安全性,IP-QoS,智能网管、可赢利商业模式等必须切实重视,并科学务实、博采众长、积极创新、脚踏实地、一步一步地予以解决,包括战略上引入更优秀的结构理念与系统解决方案在内。本文以IP安全性为重点,对IP协议的重要现实作用、存在问题及其进一步发展策略,提出了一些战略思考,期望IP/NGN获得积极、稳妥、健康、有序的可持续成功发展。
来源:全球IP通信联盟