@ fnii.cn

登录邮箱

邬贺铨 从网络安全看网络演进

发表日期:2014年12月08日      共浏览 1004 次      编辑:

尊敬的陈院长、周主任、各位院士、各位专家:

大家早上好!

我报告的题目我修改了一下,我报告题目是从网络安全看网络演进。谈四个方面的问题:一个是从被动防御到主动防御,第二是移动互联网的安全挑战,第三是域名服务器的安全问题,第四是下一代网络的选入体系。

先说第一个问题,从被动防御到主动防御,互联网的前提是假定用户是自律的,用户处在彼此信任的小规模封闭的网络环境,因此并没有类似相关的安全机制,也没有考虑在开放环境下操作系统和应用的安全,因此出现了很多安全问题。拒绝服务攻击就是DDOS,随着宽带化的发展,DDOS攻击可以从更远的地方开始,影响的范围更大。我们可以感受,目前来讲,这是物联网很重大的危险。被动防御是在探测到发生攻击以后,我们根据路由器和攻击数据包的特征,一级一级找到源头。但是被动防御,目标组建是网络,在发现和控制攻击之前,或多或少已经受到了破坏,它已经是受到影响,那么现在提倡是主动防御,也就是说在分布式攻击可能所有阶段,要主动追踪和控制,但防火墙和杀毒软件是可以防御木马的,但是一个新的互联网安全问题出现的时候安全厂商是不可能马上推出产品的,有些厂商即便推出安全产品,也要等一会才能投到市场。受到攻击的主机越多,对安全产品的需求也就越高,安全产品卖的钱也就越多,因此安全厂商要有意等一会才把产品投向市场。对于未知的攻击,可以说内部攻击是很难有保护的,从这个意义上说,我们大量部署防火墙杀毒软件,并不见得是非常有效的办法,而且网络会复杂,而且管理起来也成本比较高。

现在看来,能不能在协议设计的时候,加上一些安全防范控制。过去互联网彼此熟悉的人们使用的。发送信息给我的人都是已知的,都是朋友的。现在开放环境下,很多垃圾邮件发给我根本都不是我知道的。所以未来互联网里头,需要有访问控制,像TCP,最早的握手协议要重新设计还有SMTP要重新设计,还有匿名转发也要重新设计。现在IPV6将会是向下一代未来网络发展中,目前来看很难避免的步骤。目前来看也是一个应对空间不足的有效手段。协议站的质量还是个问题,做IPSEC的安全来讲,也有一些安全算法是超过它的,但是这些算法的应用,并不见得就一定能产生很好的效果,在IPV6的部署以后,也发生过一些安全事故以后,所以IPV6本身是很有必要的,也考虑了安全,它并不能根本上解决安全问题。IPV6设计之初还是在互联网很多安全问题暴露之前提出来的,目前来看IPV6也不如IPV4成熟,还是有些缺陷。我们需要往IPV6方向去走,但是并不要因为IPV6能解决所有的问题了,更重要的需要节点设备里面要融入安全控制的能力。如果说我们在互联网,能够在关键来严格控制和规范业务流,可以根据业务流的特性,来判别它是符合正常的,还是属于垃圾邮件的,因为垃圾邮件有个特点,是会群发的。我们就会通过这个来控制业务流,在业务节点设备需要每个设备安全,传统的互联网,网络是不管安全的,因为它就是个马路,也就是运输,因此安全是交给终端处理,未来的互联网,希望能够承担起安全的责任。现在中国提出的原地址印证是一个有效的办法。

BGP协议也有很多安全的问题它使用了一些点到点的地址,这里边会跟人的操作,以及供给有关,通常安全运行的前提是IP地址和物理地址之间有安全的绑定关系。实际上在网络钓鱼发生的时候,IP地址和主机就不对应了,黑客可以把真实银行,用了真实银行的IP地址,但是把你引到另外一个虚假的银行网站里头去。也就是说未来IP地址跟主机的关系,我们并不能盲目相信他就是捆绑得那么严格。怎么办呢?中国提出的原地址印证方案是能够识别主机跟地址的关联,大家现在讲NFC3779,资源的认证体系,也是一种可以改进DGP的安全办法,像IP地址的持有者可以发布一个ROA路由原则的签名对象,将IP地址的前缀授权进行路由重造。在路由器选路的时候就可以发现之间是不是有关系,可以通过BGP消息的交换,和当前路由起源资金的映射关系,路由器在转发的时候要检验IP包,是不是跟已知的地址相符,两者之间进行对比,如果我们在邮件接收的时候,也能比较对端服务器的IP地址,在数据来源的差异,也就是可以判断邮件服务器的真实性。

第二个问题移动互联网的安全挑战,移动互联网的安全问题,实际上涉及到我们通信的七个协议里面,都跟移动互联网,都跟安全有关。我们2012年全球分析过,在ISO7里面,发生的安全事件占了75%,发生在第七层占了25%,第三层和第七层是主要问题发生的根本。在这里都会跟安全有关,其他层也会跟安全有关,移动互联网的安全问题,是更广泛,我们知道终端本身也有终端的安全,有隐私保护,病毒木马的攻击。另外还有结构的安全。那么还有伪基站,这也是一个全球性可能会遇到的,但是尤其在中国是特色,很多。伪基站的问题影响很大,另外就是说网络的安全和安全管理层面。所以移动互联网的安全环节呢比专业互联网还要更广泛。我们现在从伪基站的问题出现我们就发现,用户需要印证网络。以前之所以叫伪基站是因为GSM系统设计只考虑了网络认证终端,没有安排终端认证网络,终端一旦发现盗用的伪基站,只要信号足够强,终端就会自动接入伪基站,终端会接收诈骗的短信,会把地址反馈给他。把3G、4G的时候已经增加了终端认证网络的功能。未来的互联网上,实际上所有终端,也都应该有对网络的认证措施,不能说只是网络认证终端,需要终端认证网络。

移动互联网的出现,改变了我们的应用习惯,在PC互联网时代,用户浏览网站的主要手段是在浏览器里面输入网址,而在移动互联网时代,基本上都是APP了,所以很多企业的户外广告,现在都不是放网址了,而是放二维码,让大家拍下来以便下载到你的手机上,APP本身,很多应用上取代了网址。APP带来很多安全问题,IOS对应用审查很严格的,但是安卓上面审查是很松的,植入后门是很容易的。移动互联网涉及到很多安全问题,这里边是需要通过管理来实现安全的,可信的APP和可信的云,可信网站,只有通过抽象实行安全,需要有多个层次的安全措施,那么我们可以看到,我们有身份识别,多种安全的手段。目前有上百万种的APP情况下面,用户怎么找到自己需要的APP呢?现在轻应用应运而生,基于搜索引擎,还有社交网络,来把长尾应用的分发渠道,本质上还是一个浏览器,涉及到的环节很多,比如说现在微信的公众号,本身就是一个基于HTML5的轻应用,并不需要大家把应用都下载到终端上面。本身跟CSS3、DOM丰富了多媒体的能力,也是可以进行浏览应用跨平台的,HTMI5本身也带来很多安全隐患,也在每个环节,面向应用功能的,对本地储存,跨越资源空想,有新的安全危险。在终端定位的API等等,所以互联网上,每一种新的技术,实际上解决了原有一些安全问题可是又引入新的安全问题。

目前IPV4的根服务器10个在美国,1个在英国,一个在瑞典,一个在日本。域名体系的安全是受制于人的,但是IPV6世代友没有可能重新增加根服务器,技术上是有可能的,中国现在也是争取努力,希望我们作为一个网络大国也有一个根服务器能放在中国。DNS本身查询要经过很多环节的,本地查的查的时候是给不出答案的,根服务器,首先是引导我们到CN去查,要求各个节点的通信是可靠的,否则的话就不可能查到,往往这种情况下越长呢,我们说很多情况下是相当要求并不见得都能达到。所以现在有人提出来,是不是一定要到根服务器去查,能不能把查的很多东西下放,下放到本地节点,把权威源改到本地结点,降低对数据链路长度和本地性的要求,如果落到客户端的命名,会带来一些好处,比如说效率更高了,降低对第三方DNS的依赖,对贷款要求,距离近了,对贷款要求就放松了。在这种情况下我们还会有一些新的问题,因为这个时候基于客户端的命名来添加本地,作为一个虚拟的根服务器,在这种情况下要保证本地节点的命名,在整个命名空间里面是可见的。DNS本身也有很多安全漏洞,最大缺陷是什么呢?我们收到解释是没有办法印证给我的解释是不是正确的,是不是真实的。攻击可以从中来给你一个虚假的DNS的解释。通过加密把原文取出进行一种加密,把密钥通过公钥解除加钥,跟自己算出来的两者来对比,如果一致,说明这个是真实的。如果不一致,说明是假的。保证我们从DNS得到的数据是正确的,但是DNSSEC所有者应该是资产的印证者,实现了对分散化DNS服务器的印证,提供了很多安全的保证。目前在根服务器和域名上使用,但是它本身也有安全问题。工业签发是由实体执行的,目前根区域的DNS密钥的签发,根服务器不是我们国家所控制的,那么.CN的印证权并不在我们手上掌握。

最后讲一下下一代互联网体系。物联网是扶持网络管理的,不考虑网管,现在互联网大多数控制功能都是后期加上去,而不是在网络设计之初统一考虑的。分布式的逐步添加的控制和管理呢,他们之间缺乏协调。很难有效收集网络的状态,发现定位网络的异常。SDN现在提出的软件定义网,希望改变这种方式,通过一种逻辑上集中的网络管理和控制,传统的互联网是分散的,每个路由器上面都有它的控制平面。我们可以看到SDN本身有资源的部分,通过资源控制接口达到了我们SDN的控制,最上边是SDN的应用场,彼此之间把传送跟控制分离了,这样一来有可能在物理传送资源是独立的。逻辑上的控制是统一的,我们可以说传统的路由器是有节点控制功能也有传送功能,SDN把独立功能出来,变成一个网络操作系统,这样底层网络路由器成为纯粹的转发功能。因此过去路由器是各自独立选入的,根据集中以后有可能对全网进行优化,我们的选入功能,在这一点上,应该说可以灵活的实现控制面功能的重构,顺应大数据时代的时空的动态性。SDN本身也有安全的危险,ADC是我们应用交付的控制性。SDN的时候已经考虑了多个层次的安全措施,即便如此,SDN既有安全上的优点也有安全上的问题,SDN安全优点就是说通过对安全影响的隔离,能识别对安全敏感的业务,并以安全的方式来分开,比如说专用协议和安全协议。这些处理能够自动进行。运营商需要对目前网络状况一个全局的观点,这比过去单个设备管理起来更好一点。SDN本身也可能有漏洞,也可能侵犯隐私,过去的传统硬件,过去在传统在硬件上,实现是不太可能对硬件进行修改的。现在SDN是有可能通过软件对硬件功能的修改,我们NFV等等,就有可能产生误配置。

随着各种软件程序的响应,安全的危险是全局控制的,安全危险能够迅速的扩展。SDN里面很多操作要人去考虑,本来人的操作是很慢的。逻辑上集中的控制,可能成为攻击的焦点,SDN既能解决一些安全问题,也会引入一些新的安全挑战。现在很时髦的就是内容中心网,传统的IP网是根据地址来选入的,而内容中心网是根据我们的内容来选入,把我们的内容转成为缓存的数据,根据PIT,根据一个应急的,通过FIB转发库,然后来进行,这里边可以看到是把数据连者分离的。在这种情况下面,信令和数据是行对配置的。我们可以看到有效提供安全措施,安全对象主要是针对内容,而不关心主机和节点的安全,并不关心节点。缓存是在本地,刚才说到它的数据是对应的,因此可以得到很好的匹配,本身有利于维护安全性。另外,在内容中心网里头,引入了策略层与安全层。内容中心网本身不再需要分配IP地址了,不需要基于IP路由表选录,可以利用多径传输提升网络的效能。关心的是数据,而不关心节点,因此并不需要捆绑IP层地址和MAC层地址,甚至在节点移动的时候也能够很迅速的适应。而且引入了材料层,在变化条件上能最好的利用多连接性,做出动态的优化。数据是通过签名传送的,所以有内在的安全性。也就是说SDN也好,CCN也好,实际上有各种原因来引出来,其中一个原因是考虑到怎么能加强安全性。

现有网络是从自律应用发展起来的,没有预见到恶意攻击,为了提升网络抗御攻击的能力,网络协议要从基于被动防御转到主动防御。DNS的防御已经提到了议事日程,SDN是和CNN是选路体系上的变革,将克服目前一些安全性问题,一些安全性解决了,新的安全问题还会出现,安全问题是未来网络的发展动力,也是我们判断的重要力量之一,谢谢大家!