爱华网一、 网络管理中存在的问题 当前的互联网络在设计之初为满足开放性和易连性的需要是假定无状态的,并未前瞻性的意识到会出现如此之多的安全管理问题,因此,在很长一段时间里人们都漠视了对网络的管理,管理的基础性没有得到重视。随着网络的不断发展,逐渐形成大规模的部署、接入和各种应用,安全管理的问题逐渐显现,人们才开始注意到,网络中其实处处都存在逻辑关系和状态, 如若不加以管理,各种不加约束的网络行为会使整个网络变得脆弱不堪。 目前的网络管理存在如下问题: (1)网络行为的自发性使得许多操作可以自动的完成,而这些行为又缺乏可视的平面,而恰恰这些为方便用户使用网络而设计的工作细节屏蔽使得为网络故障检测带来困扰,用户不了解其具体行为和工作过程,发现和诊断就变得比较困难; (2)网络的连通性使其无法及时阻止一些网络恶意行为,缺乏一些针对恶意网络行为的快速反应机制; (3)管理的协同性弱, 尤其表现在分布式的管理当中。对于异常网络状态很难做到有效预测、及时响应和主动管理; (4)控制和管理缺乏前瞻性,没有一项智能的管理工具使网络管理人员能够预知设备配置和操作后的状态, 目前,由于错误配置和操作而引发的网络故障已成为故障的主要来源之一;
(5)网络管理体系自身的不完善使其成为攻击的软肋之一。 所以,将管理与控制相结合,在控制平面中融入管理的功能,加强对网络控制机制研究,实现对网络行为的可见性和可控性。同时,可结合传感领域的技术手段,运用传感器对网络运行中的各种数据进行收集检测并进行归纳,从而增强网络的可见和可控。同时,网络管理和控制相结合的平台要具备综合分析的能力以及定制策略的功能, 能够依托监测到的各种网络行为数据进行分析,并预测其将导致的后果且有能力阻止明显的错误行为的发生。 网络的全面管理还包括各级管理协同性的增加。在基于IPV6的下一代互联网中,要从管理上增强网络的稳定性、加强网络故障的自我修复能力,网络要能够根据网络的具体行为或者配置的变化作出反应,从而构建一个协同能力强、行为分析能达到统一的分布式系统。 网络设备配置错误是网络管理中常常遇到的一个问题,如何解决因错误配置引发的网络故障是对网络管理的一个挑战。在基于IPV6的下一代互联网中设计出智能的辅助管理平台来协助技术人员进行对网络设备的配置是必要的。这个平台要能够对每一项配置即将产生的网络变化有预见性,从而起到提前发现和纠正错误配置的作用。同时,也有专家提出,可以按照软件工程的思路和方法,制订不同层次的规范和信任级别、采用按层次推进、按规范和级别来限制各级网络管理员对网络的管理和控制权限, 从而寻求管理员的表达能力、技术能力等因素与安全性之间寻求平衡。 无论如何,对基于IPV6的下一代互联网的管理应当要让网络管理人员能够预先知道网络设备中各项配置或操作对网络产生的变化, 从而避免由于人为的错误配置或误操作带来的网络故障。还可以设计一些新的诊断机制缩短故障确认时间、一些配置机制来提高互联网的可靠性等, 总之就是尽力减少人工的干预。同时, 网络管理还可以从提高协同性和关联性入手,将各种网络行为和应用相结合, 从各层次加强管理同时又应当使管理具备可扩展性。 二、 对未来网络管理的若干分歧与共识 1 开放性的质疑 开放性是当前互联网得到飞速发展和大规模应用的前提,是当前互联网最基础的特征,是IT行业日新月异的第一推动力。但是,Internet发展到如今,我们也应当看到,许许多多安全问题的扩展与蔓延正是因为网络的开放性。首先,用户未经身份认证就能上网、设备不需检验就可联接入网,这样参差不齐的用户基本素质和设备性能造成对网络安全性的危胁,而网络作为一个整体时又无法对每个接入进行有效控制和设备安全性能的检测,接入安全成为网络安全的一个盲点。换言之,网络最基础的特性成为安全性的盲点,安全问题自然就成为最头痛的问题了。其次,网络用户的各种服务和应用都不需要经过认证和审核就能够在网络整体中发布和应用,这就造成了服务和应用脱离了监督和控制。比如,某些网络上的站点发布的信息可能是盗版或者反动信息,它提供的这些信息服务显然违反了相关法律,而这只能等到访问量增大或有用户举报等方式才能发现而不能在联接入网时就被网络拒绝接入。 由于开放性带来的各种安全问题, 美国斯坦福大学的专家提出受限网络的观点。这种观点认为网络应当是默认拒绝接入的,只有特殊情况才允许接入,它完全颠覆了目前网络默认开放特殊情况才进行过滤的原则。同时,他们还提出“SANE”体系( Secure Architecture for the Networked Enterprise),在提高网络的安全方面做出先行探索。SANE是以企业级的局域网作为研究对象,力求从整体上对局域网的的安全进行保障。除了基本观点上是网络默认拒绝接入、特殊情况允许接入的以外,SANE还提出对局域网范围内的各种设备进行集中管理的想法,通过域控制器( Domain Controller)来对各类接入网络的设备和端系统进控制。为达到集中管理的目的,SANE制定了一整套的安全认证体系、接入控制体系和路由控制机制,入网的任何网络设备和端系统都必须先经过域控制器( Domain Controller)的安全认证才能够允许联接入网络;而网络的使用者欲访问某信息资源,必须先通过准入体系的检测;此外,网络信息和服务的提供者在向网络提供这些服务和应用时,必须先向域控制器( Domain Controller)申请注册与服务和应用相关的访问控制策略,这样服务和应用的提供者身份将得到认证和规范。 这种受限的网络虽然在一定程度上能够保证网络的安全性,但我们也要清醒的看到其存在一些问题,即严格的准入条件和规则使网络新技术和新应用的发展受到限制,而要在新的互联网中加入大量准入条件和规则的部署必然会影响网络的可扩展性。我们认为,在基于IPV6的下一代互联网的研究当中,网络开放性的基础不能变,但是这种开放必须是有限的开放,而不能无限制、无条件的开放。即在必要的环节加入一些的准入的条件和规则, 这样既不会影响互联网的发展又能够在一定程度上提高网络的安全性。另一方面,一些对安全性要求较高的局域网,如政府内网、军队内网、企业内网等可以以SANE为模型加入严格的准入控制机制来实现网络的整体安全。 2 对分布式网络的质疑 目前互联网可以被称为是一个分布式自治局域网的结合体, 各种分布式的结构在网络中随处可见,例如,路由的分布式计算、网络的分布式管理、各种策略的分布式控制、信任关系分布式划分等等。这种体系结构优点显著,它可以减弱因节点故障或链路不稳定带来的影响,最大限度的保障了网络的可生存性和可扩展性,同时也最大限度的减少了设备和管理性能的瓶颈,为互联网的快速增长提供了条件。但是,正像硬币有两面,分布式的网络结构在发挥其优势的同时也不可避免的碰到各种问题。随着网络的发展、各种服务的大规模应用,路由效率、网络管理效率以及各种策略控制的效率就逐渐降低。 从提高管理效率的角度出发,有专家提出一种观点,即未来的互联网络应当采用集中式的管理控制机制, 并且使这种集中式的网络管理可以直接控制到最底层。 同样以美国斯坦福大学的SANE ( Secure Architecture for the Networked Enterprise)为例,它被设计成只包含唯一一个可信任的核心,称作域控制器。 域控制器要具备多种能力,其中包括网络接入认证、网络拓扑合理性的维护、主机服务的管理、各种安全策略的配置、检查和管理、网络访问策略的配置和管理等等。不难看出,SANE的思路是假定各种认证是快速的,集中式结构花费的网络系统开销并不大,局域网的可扩展性能够满足需求。相当于分布式而言,集中式的管理的确会产生更高的效率和更加快速的故障反馈处理能力。 虽然这样,但集中式管理控制结构可扩展性弱的问题仍然是存在的,比如,公钥机制中CA的扩展性差使得网络在初次连接时信任的缺失等。因此,我们认为,基于IPV6的下一代互联网络可以采用以分布式结构为基础,分布式结构与集中式结构相结合的方式推进。路由控制采用分布式和管理控制体系采取集中式,两种方式相互融合,取长补短。 3 对网络匿名性的质疑 由互联网的飞速发展而引起的人类社会学的演进步伐也是惊人的,许多人的行为和社会环境都能够虚拟成为网络上的行为,网络俨然成了一个虚拟人类社会, 每个人都可以在网络上以若干虚拟标识来表示,IP地址、用户ID、帐号等都是虚拟社会的人体具体表示。这些在网络中的虚拟身份标识大都动态可变,许多也缺乏完整真实信息, 许多网络社区、网上行为都可以有意无意的隐藏人们的真实身份。互联网设计这种匿名特性的初衷是为了保护网络用户的隐私,同时又能为人们提供一个公平、自由、开放的信息共享与交流的平台。令设计者们意想不到的是,伴随网络虚拟社会不断壮大,Internet的匿名性逐渐引发了许多对安全状况,比如,攻击者往往是匿名地发动各种形式的攻击使得网络管理者很难迅速在网络层定位出访问源和攻击者的信息;网络标识的虚拟性便于网络攻击和犯罪隐藏真实身份,加大了安全防范的设备资源开销和管理的难度。再比如,网络中通常将IP地址作为虚拟标识,但是其本身就存在着可变性,伪造IP地址或利用代理IP地址都成为隐藏IP地址常用的方式,所以根本无法通过IP做到其与实体身份的精确匹配, 于是,通过IP来控制访问和对安全事件的分析和追踪就变得异常的困难。经研究发现,由于网络攻击的可追溯性差,难以查其源头,导致网络犯罪的成本非常低,网络攻击泛滥。 由于网络匿名性存在着以上种种缺陷,有观点认为下一代互联网的安全管理体系应当被设计成具备可追溯性,使网络中的设备和终端有识别恶意攻击和追查恶意攻击源的能力。可追溯性的存在还必须使互联网络有能力去验证网络使用者的上网行为的安全性、提供的服务和应用的质量水平;有能力去识别上网者的身份和了解上网者的行为;有能力去阻止未经验证的访问和隔断信息资源的提供; 有能力追寻和保存上网者的上网记录;有能力审计网络中的数据流。可追溯性还对网络中无论硬件设备还是软件各组件或是网络使用者都指派一个安全角色或功能角色, 以此来定义和约束其访问信息数据的能力,又因为在技术上实现认证和授权时涉及到物理位置与逻辑关系的对应,所以安全角色和功能角色有严格的层次关系,不容许随意更改。这种将网络设计成追溯性的观点就是通过数据流审计、设备记录存留、安全角色等多方面的有机结合来构建设动态的可信的环境。 笔者认为,在网络上尚未有大规模服务和应用、现实社会中的各项实体服务尚未搬入网络时,网络的匿名性的确是互联网的魅力所在,它提供了广阔的平台、实现公平合理创造,同时又保护了人们的隐私,这也是互联网发展迅猛的因素之一,所以匿名性在未来的网络里必将继续留存。但是,我们也要正视,各种服务在网络上的实现,如网上银行、网络购物、机票预定、火车票的购买、网络报名、考试信息查询等等,必须采取实名制。这些涉及到现实世界群体性的公共服务网络如果没有严格的可追溯机制的保护,一旦受到恶意入侵后果将不堪设想。所以匿名性和可追溯性的存在都是合理的。一方面,可追溯性的存在不能危胁到网络使用者的隐私权,不能以牺牲网民隐私为代价;另一方面,可追溯性应当具有一定的权威性。建议建立一个被行政许可、公众认可的有较高权威性的机构来保证可追溯性不被滥用,只有在触及法律范畴下,有行政授权才可使用这种特性。 参考文献 [01](美) ScottHogg,EricVyncke. 《IPV6安全》[M].人民邮电出版社?2011.05 [02]杨云江,高鸿峰. 《IPV6技术与应用》[M].清华大学出版社 2010.2 [03]王相林. 《IPV6技术 新一代网络技术》[M].机械工业出版社 2008 [04]林闯,雷蕾.《下一代互联网体系结构研究》[J].计算机学报 2007.5
