新一代互联网技术现状及安全技术问题的解析.docx
《新一代互联网技术现状及安全技术问题的解析.docx》由会员分享,可在线阅读,更多相关《新一代互联网技术现状及安全技术问题的解析.docx(7页珍藏版)》请在冰点文库上搜索。
新一代互联网技术现状及安全技术问题的解析
新一代互联网技术现状及安全技术问题的解析
随着互联网设备特别是移动智能终端数量剧增,我们已进入新一代互联网即移动互联网时代,IPv4的地址空间紧张的问题已经日益突出,同时物联网、云计算、移动互联网等新型概念对网络地址提出大量需求,以IPv6协议为基础协议的新一代互联网已从研究阶段转型进入商用阶段,下一代互联网技术和设备的研发、应用在国内外已呈风起云涌之势,也必将成为各国技术竞争的核心。
1新一代互联网技术的发展现状
在互联网的鼻祖美国,IP地址资源和商业应用相当丰富,它在2008年对网络地址的供需平衡,那时绝对没想过对现有的IPv4d的网络体系进行改造,这需要大量的资金,所以美国IPv6研究工作不算领先。
2008年5月美国发现IPv6地址申请数量突然猛增,共达到14729块,高居榜首,加快了IPv6网络的部署与应用。
美国军队已部署了IPv6的应用网络,也建设了商业的IPv6网络。
美国政府的各部门的网络现已支持IPv6,美国国家标准实验室NIST已制订政府设备IPv6采购规范,要求从2008年6月开始,美国政府机构必须切换到支持IPv6协议,相关的硬件产品也必须遵循相关要求。
欧洲采取的是先移动,后固定的基本战略,它们有关IPv6的认识充分,研究改造动手较早,并不断扩展,并在第三代移动网中率先引入IPv6。
日本在这方面稍显滞后,但基于其电子产品及家电产业的高度发达,日本国内对IP地址的需求量也很大,这迫使日本加快在IPv6技术和应用方面的研究。
早在2000年9月,日本政府已确立IPv6技术的研究倾向,并同时提出了e-Japan构想,明确了IPv4向IPv6过渡的时间表和路线图,成立了多个国际性IPv6研究组织。
目前,日本已经有10多家运营商及ISP提供IPv6商用服务。
韩国政府对这个问题很敏感,早在2000年就已开始投资进行IPv4/IPv6过渡技术的研究,韩国的IPv6实验床技术很是先进。
韩国的IPv6网络系统主要有6Bone-KR(1998)、KORENIPv6(1999)和TEIN(2001)等。
韩国政府2008年宣布,从2013年开始全面启用IPv6,韩国现阶段的重点放在与WiBroMobileInternet及Homenetwork结合上。
在我国下一代互联网的建设得到从国家到产业的高度重视,在IPv6协议的研究和应用方面已走到了世界前列。
2001年以来,我国国家计委、信息产业部及科技部等相继启动有关IPv6的研究项目,863项目和973项目中都明确提出对新一代互联网安全体系研究的重要支持。
至2003年11月开始,国家发改委会部署进行CNGI(中国下一代互联网)示范网络的建设,成效显著;到2004年,中国第一个IPv6主干网CERNET2试验网正式开通并向民众提供服务;目前,CNGI网络的建设已基本成型,国内各大运营商都积极参与到此网络建设种,并获益匪浅。
依托CNGI项目的建设,我国在新一代互联网技术研究和产品开发等方面也陆续取得了一系列突破性成果,在下一代互联网应用推广方面取得了大量宝贵的经验,为我国信息化建设奠定了坚实的基础。
构建大规模示范网络。
新一代示范网络包括6个主干网、2个交换中心和273个驻地网。
其中,由中国教育、中国电信等共同承担建设了6个CNGI主干网,共覆盖全国22个城市,连接了其59个核心节点。
而2个CNGI国际/国内互联中心分别设在北京和上海,这样就形成了连接全球各国的新一代互联网,同时实现了6个主干网之间的互联。
为研究提供科研和业务的试验环境。
CNGI为我国新一代互联网技术研究和应用产品开发等提供了良好的研究和测试平台,同时为863、中国科学院等国家科研计划重大项目的研究实施提供了不可或缺的试验环境,有关重要科研活动中已结合CNGI进行开展工作。
推动相关标准制定和国产网络设备产业化。
CNGI组织在前期的实施过程中已经制定出了比较完善的IPv6标准体系。
国内在这方面标准上,已具备国家标准4项,并提交国标草案10余项。
在国际标准方面,我国的相关标准的制定也取得了极大的进步。
获得典型应用成果。
四川汶川特大地震灾害发生后,通过CNGI项目支持的中欧高速互联线路,迅速将欧洲联合研究中心卫星观测的高分辨率的灾区遥感图片传送到相关部门,为抗震救灾工作提供了非常重要的信息。
目前,各国技术人员已普遍非常重视IPv6的技术研发,研究工作领先的国家主要是欧美、日本等发达国家,由于行动早,政府支持力度大,日本、韩国和欧盟在这方面的研究进步巨大。
在研究过程中,技术人员已发现了不少的安全隐患,国际上基于IPv6的网络安全体系的研究基本上都是在IPSec协议框架下完成,同时IPv6网络本身和综合组网环境的不足也存在威胁,这也恰恰是IPv6技术研究需要解决的问题。
全球范围来看,IPv6的产业链已经初步形成,截止2010年通过IPv6ReadyPhase1Logo认证的产品有500种左右,通过ThePhase-2Logo认证的产品有370种左右。
国外和国内的主流硬件、软件和服务提供商,如CISCO、JUNIPER、CHECKPOINT、中兴、华为、神州数码等公司都有对IPv6产品的极大支持,在操作系统技术方面,IBM、微软、Linux等系列也有相应支持。
不少软件应用和硬件生产厂商也在不断改进技术,以适应不断发展的IPv6技术的进步。
Cisco的IPV6Solutions比较完整,协议实现完整,产品考虑了IPv4/IPv6的过渡,其软件、硬件、存储、管理、安全、无线等产品对IPV6都有支持。
Cisco在IPV6的市场中处于绝对领先位置。
Juniper对IPv6支持程度类似cisco,在个别领域还有所领先。
Juniper网络公司的最新系列网络和安全产品,可为任何IPv6设计提供全面的IPv6支持。
JUNIPER的安全产品IPv6支持程度大体为:
双堆栈IPv4/IPv6防火墙和VPN;IPv4与IPv6之间的转换和封装;同步Cookie和同步代理DoS攻击检测。
WindowsVista是第一个默认启用IPv6协议的Windows操作系统,Windows2000、XP、CE、2003等可以通过升级补丁支持IPv6。
这些操作系统以双协议栈的方式支持IPv6。
Google从2008年开始尝试进行IPv6搜索,不久就推出了搜索页面。
IPv6主机用户可以访问该网页,而IPv4用户,还无法访问该页面。
2009年1月Google宣布了GoogleoverIPv6,支持IPv6的ISP们只要注册他们的DNS域名服务器,之后他们的用户就可以直接访问启用IPv6的Google服务,包括搜索、地图和图像等,而不需要去登录。
国内支持IPv6的网络和安全产品发展速度相对要慢一些,2008年4月IPv6Forum授权天地互连公司为全球IPv6测试中心,从2008年全球通过IPv6Ready金牌认证的产品迅速增长,国内通过认证的厂家包括华为、中兴、神州数码、锐捷、海信、赛尔网络、北交大等。
但是即便象华为,IPv6的开发基本上也是停留在IPv4/IPv6双栈的层次上,产品也不多,与国际厂商还有较大差距。
可见,全球各国都已经全面进入了新一代互联网技术的研究和普及阶段,以新兴IPv6协议为核心的新一代互联网的广泛应用必然是大势所趋。
我国这方面的研究已走在世界前列,前期CNGI项目的建设,已经使得我国在新一代互联网技术和产品研发方面走在前列,这为我国信息产业的长远发展奠定重要的基础。
但是,在IPv6网络安全产品的研制和产业化方面却还不容乐观,其很有可能将成为制约我国新一代互联网健康、快速发展的一个重要因素。
2高性能网络模式的研究
已经走入新型的互联网时代,它代表新时代的网络模式,给我们提出了更快更高的要求。
当然,这样的网络也必然会隐含更多的安全风险。
移动互联网框架可以分为应用安全、网络安全和终端安全三个层次。
虽然IPv6协议在设计上已设法解决了一些安全问题,但IPv6网络中任然面临着嗅探、中间人攻击、网络钓鱼、DDOS等IPv4网络的安全问题;同时由于IPv6网络更好地支持移动互联、多媒体数据传输等新的应用模式,因此其还将面临许多新的安全问题;另外从IPv4网络到IPv6网络的迁移是一个较长的过程,在很长一段时间内两个网络会共存,混合的网络环境也为网络的整体安全带来一些隐患。
首先,从网络协议层看,安全隐患不容忽视。
只负责其下层的网络安全的内嵌的IPsec仅是一个网络层协议,它无法保证其上层应用的安全,这是硬伤。
现有的追踪安全攻击困难、安全服务难于实现等的重要原因是网络设备无法验证转发分组的源地址的真实性。
新一代互联网的增加了更多的开放式接口,使其网络应用能力、传输速度和网络规模都相应增大,但随之也带来了安全性风险的增加。
现在,IPv4中的不少安全问题仍然没有得到彻底的解决,例如病毒、蠕虫和自动攻击工具等等,有些安全问题的原理和基本特征没有发生变化,这还是一个技术难题。
与此同时,违法分子也发现了IPv6协议中一些新特征是可以进行攻击的漏洞,这使得新一代网络的安全问题更加严峻。
此外,由IPv4向IPv6的过渡也带来了不少的网络安全问题。
在真正过渡到IPv6之前,两种协议必将长期共存,而这个过程也会使网络的状况变得更为复杂。
只有充分利用IPv6与IPv4不同的网络安全特性,及内嵌的IPsec机制,构建出适合IPv6的动态网络安全防御体系,才能解决不断发展变化的安全问题,这样才能真正解决新一代网络开发中的的安全问题,保证网络的正常运转。
同时,网络层协议的变化冲击了传统的安全技术。
在新型网络中,加密和认证机制使得防火墙、安全审计等传统技术对于网络的控制性更低,操作变得更加困难。
传统的安全防御技术和安全服务的研究都要针对新型网络的特点,这样就出现了更大的挑战。
在主机联网系统中,目前最常采取保险柜模式和入口模式两种安全对策,在新型lPv6网络中,共适合采用保险柜模式,但这样做会带来一系列问题,如产品中嵌入安全功能难以实现、交换密钥更为困,同时还有一些无法预知的的挑战在等着我们。
为了应对新一代互联网所面临的各种安全威胁,需要对现有的VPN安全产品必须进行大量的技术革新及升级工作,使其更好地满足新一代互联网的应用环境的需求,从而为我们提供一个可控、安全的网络环境。
升级改进工作主要包括:
高性能需求;
全面支持IPv6协议族;支持IPv4到IPv6的各种过渡方案;符合国家各种法规和规范要求;支持下一代互联网的新应用。
综合看来,基于IPv6的新一代网络安全技术的研究追在眉睫,原有的IPv4网络正经历迅速向IPv6网络过渡。
这就要求我们必须对IPv6协议的安全性进行深层次的剖析和研究,构建出更为先进的动态网络环境和安全防御体系;同时急需深入研究IPv6的网络安全技术,为新一代网络的安全实现提供理论及技术上的保障支持。
以IPv6协议为核心技术的新一代互联的推广和应用为信息安全厂商提供了更为宽广的市场空间。
首先,在IPv4网络向IPv6网络过渡过程中,必须将原来的IPv4网络中存在的大量的防火墙、VPN等网络安全设备进行升级换代,这个市场需求是巨大的;其次,在新的IPv6网络中,由于IP地址空间的剧增,将会使得大量原有的企业内部网络和主机直接可以连接到互联网上,这就需要设计新的网络安全防护产品。
高性能VPN设备研制是十分必要的。
在此之前,VPN产品作为一种非常重要的安全网关产品类型,已在各个行业和领域得到了实际应用。
随着IPv6网络技术的迅速发展,通过互联网线路来组建企业VPN网络和实现远程安全接入,已经成为一种最方便、最经济、最常用的信息系统安全互联方式;接入互联网的计算机和网络设备越来越多,各种智能终端共享资源、互联互通,因而势必将催生出更多的VPN市场发展契机;原有IPv4网络中的各种仅支持IPv4协议的网络设备都将被更新换代,特别是基于IPv4的VPN设备作为一种非常常见的网络节点设备都将被更新,取而代之的是同时支持IPv4和IPv6协议的VPN。
总之,IPv6的产业链正在逐步形成,而伴随其的高性能VPN产业链也,必将趋于成熟,相信发展前景可观。
新一代互联网产业主要包括硬件设备与网络软件系统,还包括网络运营和终端产品及应用服务几个主要环节。
下一代互联网的发展离不开产业各环节的共同努力,协同发展,任何一环的缺失都会影响产业的发展。
而网络安全作为互联网中必不可少的一环,维持着网络中的正常秩序,解决网络中的安全隐患,保证网络系统的健康、和谐。
硬件部分中主要是分布式高性能安全网关硬件平台核心技术研究,以满足下一代高性能高可靠性网关产品需求。
此系统包括主控板、安全业务板和用户接口板等。
主控板负责系统的信息配置和协调管理工作。
用户接口板则用于进行连接网络、收发信息等。
安全业务板进行安全方面的处理,采用CPU+ASIC体系架构,采用高性能处理器外,使用Intel最新的网络加速芯片。
此芯片已内置多种网络安全加速功能,将大大降低CPU的计算负载,提升系统的整体性能。
各部件各尽其能,同时硬件平台上还有插槽,便于功能的扩充。
软件平台:
为满足高可靠性高性能网关产品的需求,我们主要进行并行高可靠安全网关软件平台相关核心技术研究。
整个系统分为两个处理平面:
管理平面和数据平面。
管理平面负责运行模块、配置模块的统筹管理工作。
数据平面主要进行多个数据进程的接收、处理等工作。
这两个平面协调工作,并指出多硬件共存,支持单机运行,兼容性极佳。
此平台解决了软件处理的并行、安全风险等问题,充分利用了多核处理器的资源性能,保证了云计算的可靠性。
前面的硬件平台和软件系统已基本成型,均符合IPv6协议,后期还将有测试平台等后续技术的开发完善,相信必将会对新型网络提供全面的保障。
3结束语
网络安全是衡量网络成熟度和成功度的关键指标。
在新一代互联网发展的进程中,IPv4与iPv6长期共存已经得到了大家的共识,过渡过程中由于网络的复杂度采取多种过渡方案,这对网络安全提出了新的挑战。
如果解决不了安全问题,新一代互联网的推进就会受阻。
因此会导致下一代互联网产业链的其他环节受到影响,新的网络设备,基于IPv6的网络和应用,就会只能是摆设,基于下一代互联网的新技术领域也将受到影响。
新一代互联网是以IPv6为核心的,要求具备更大的地址空间、网络规模、终端和应用种类和数量;要求更快的端对端高性能通信;要求更安全的可信的网络。
新一代互联网的安全不仅关系到业务的正常运行,还关系到国家安全,具有国家战略的意义。
高性能VPN设备研制是势在必行,VPN是现在大部分企业为确保自身网络资源安全传输选择的方式。
在下一代互联网架构下,研制高性能的VPN设备,除了传统的VPN功能外,还需要支持IPv6协议,符合国际密码局相关要求。
高性能方面,可以满足下一代互联网并发传输的要求。
我们明确了奋斗的目标,推动新型网络的前进是必然趋势,但如何解决前行路上的问题,还值得我们去深思。
要能真正解决这些安全问题,我们要走的路还很远。
升级会员 