随着互联网设备特别是移动智能终端数量剧增,我们已进入新一代互联网即移动互联网时代,IPv4 的地址空间紧张的问题已经日益突出,同时物联网、云计算、移动互联网等新型概念对网络地址提出大量需求,以IPv6 协议为基础协议的新一代互联网已从研究阶段转型进入商用阶段,下一代互联网技术和设备的研发、应用在国内外已呈风起云涌之势,也必将成为各国技术竞争的核心。
1 新一代互联网技术的发展现状
在互联网的鼻祖美国,IP 地址资源和商业应用相当丰富,它在2008 年对网络地址的供需平衡,那时绝对没想过对现有的IPv4d 的网络体系进行改造,这需要大量的资金,所以美国IPv6 研究工作不算领先。2008 年5 月美国发现IPv6 地址申请数量突然猛增,共达到14729 块,高居榜首,加快了IPv6 网络的部署与应用。美国军队已部署了IPv6 的应用网络,也建设了商业的IPv6 网络。美国政府的各部门的网络现已支持IPv6,美国国家标准实验室NIST 已制订政府设备IPv6采购规范,要求从2008 年6 月开始,美国政府机构必须切换到支持IPv6 协议,相关的硬件产品也必须遵循相关要求。
欧洲采取的是先移动,后固定的基本战略,它们有关IPv6 的认识充分,研究改造动手较早,并不断扩展,并在第三代移动网中率先引入IPv6。
日本在这方面稍显滞后,但基于其电子产品及家电产业的高度发达,日本国内对IP 地址的需求量也很大,这迫使日本加快在IPv6 技术和应用方面的研究。早在2000 年9 月,日本政府已确立IPv6 技术的研究倾向,并同时提出了e-Japan构想,明确了IPv4 向IPv6 过渡的时间表和路线图,成立了多个国际性IPv6研究组织。目前,日本已经有10 多家运营商及ISP 提供IPv6 商用服务。
韩国政府对这个问题很敏感,早在2000 年就已开始投资进行IPv4/IPv6 过渡技术的研究,韩国的IPv6实验床技术很是先进。韩国的IPv6 网络系统主要有6Bone-KR(1998)、KOREN IPv6(1999)和TEIN(2001)等。韩国政府2008 年宣布,从2013 年开始全面启用IPv6,韩国现阶段的重点放在与WiBro Mobile Internet及Home network 结合上。
在我国下一代互联网的建设得到从国家到产业的高度重视,在IPv6 协议的研究和应用方面已走到了世界前列。2001 年以来,我国国家计委、信息产业部及科技部等相继启动有关IPv6 的研究项目,863 项目和973 项目中都明确提出对新一代互联网安全体系研究的重要支持。至2003 年11 月开始,国家发改委会部署进行CNGI(中国下一代互联网)示范网络的建设,成效显著;到 2004 年,中国第一个 IPv6 主干网CERNET2试验网正式开通并向民众提供服务;目前,CNGI网络的建设已基本成型,国内各大运营商都积极参与到此网络建设种,并获益匪浅。依托CNGI 项目的建设,我国在新一代互联网技术研究和产品开发等方面也陆续取得了一系列突破性成果,在下一代互联网应用推广方面取得了大量宝贵的经验,为我国信息化建设奠定了坚实的基础。
构建大规模示范网络。新一代示范网络包括6 个主干网、2 个交换中心和273 个驻地网。其中,由中国教育、中国电信等共同承担建设了6 个CNGI 主干网,共覆盖全国22 个城市,连接了其59 个核心节点。而2个CNGI 国际/ 国内互联中心分别设在北京和上海,这样就形成了连接全球各国的新一代互联网,同时实现了6 个主干网之间的互联。
为研究提供科研和业务的试验环境。CNGI 为我国新一代互联网技术研究和应用产品开发等提供了良好的研究和测试平台,同时为863、中国科学院等国家科研计划重大项目的研究实施提供了不可或缺的试验环境,有关重要科研活动中已结合CNGI 进行开展工作。
推动相关标准制定和国产网络设备产业化。CNGI组织在前期的实施过程中已经制定出了比较完善的IPv6 标准体系。国内在这方面标准上,已具备国家标准4 项,并提交国标草案10 余项。在国际标准方面,我国的相关标准的制定也取得了极大的进步。
获得典型应用成果。四川汶川特大地震灾害发生后,通过CNGI 项目支持的中欧高速互联线路,迅速将欧洲联合研究中心卫星观测的高分辨率的灾区遥感图片传送到相关部门,为抗震救灾工作提供了非常重要的信息。
目前,各国技术人员已普遍非常重视IPv6 的技术研发,研究工作领先的国家主要是欧美、日本等发达国家,由于行动早,政府支持力度大,日本、韩国和欧盟在这方面的研究进步巨大。
在研究过程中,技术人员已发现了不少的安全隐患,国际上基于IPv6 的网络安全体系的研究基本上都是在IPSec 协议框架下完成,同时IPv6 网络本身和综合组网环境的不足也存在威胁,这也恰恰是IPv6 技术研究需要解决的问题。
全球范围来看,IPv6 的产业链已经初步形成,截止2010 年通过IPv6 Ready Phase 1 Logo 认证的产品有500 种左右,通过The Phase-2 Logo 认证的产品有370种左右。国外和国内的主流硬件、软件和服务提供商,如CISCO、JUNIPER、CHECKPOINT、中兴、华为、神州数码等公司都有对IPv6 产品的极大支持,在操作系统技术方面,IBM、微软、Linux 等系列也有相应支持。不少软件应用和硬件生产厂商也在不断改进技术,以适应不断发展的IPv6 技术的进步。Cisco 的IPV6 Solutions比较完整,协议实现完整,产品考虑了IPv4/IPv6的过渡,其软件、硬件、存储、管理、安全、无线等产品对IPV6 都有支持。Cisco 在IPV6 的市场中处于绝对领先位置。
Juniper 对IPv6 支持程度类似cisco,在个别领域还有所领先。Juniper 网络公司的最新系列网络和安全产品, 可为任何IPv6 设计提供全面的IPv6 支持。JUNIPER的安全产品IPv6 支持程度大体为:双堆栈IPv4/IPv6 防火墙和VPN ;IPv4 与IPv6 之间的转换和封装;同步Cookie 和同步代理DoS 攻击检测。Windows Vista 是第一个默认启用IPv6 协议的Windows 操作系统,Windows 2000、XP、CE、2003 等可以通过升级补丁支持IPv6。这些操作系统以双协议栈的方式支持IPv6。
Google 从2008 年开始尝试进行IPv6 搜索,不久就推出了ipv6.google.com 搜索页面。IPv6 主机用户可以访问该网页,而IPv4 用户,还无法访问该页面。2009年1 月Google 宣布了Google over IPv6,支持IPv6 的ISP 们只要注册他们的DNS 域名服务器,之后他们的用户就可以直接访问启用IPv6 的Google 服务,包括google.com 搜索、地图和图像等,而不需要去登录ipv6.google.com。
国内支持IPv6 的网络和安全产品发展速度相对要慢一些,2008 年4 月IPv6 Forum 授权天地互连公司为全球IPv6 测试中心,从2008 年全球通过IPv6Ready 金牌认证的产品迅速增长,国内通过认证的厂家包括华为、中兴、神州数码、锐捷、海信、赛尔网络、北交大等。但是即便象华为,IPv6 的开发基本上也是停留在IPv4/IPv6 双栈的层次上,产品也不多,与国际厂商还有较大差距。
可见,全球各国都已经全面进入了新一代互联网技术的研究和普及阶段,以新兴IPv6 协议为核心的新一代互联网的广泛应用必然是大势所趋。我国这方面的研究已走在世界前列,前期CNGI 项目的建设,已经使得我国在新一代互联网技术和产品研发方面走在前列,这为我国信息产业的长远发展奠定重要的基础。但是,在IPv6 网络安全产品的研制和产业化方面却还不容乐观,其很有可能将成为制约我国新一代互联网健康、快速发展的一个重要因素。
2 高性能网络模式的研究
已经走入新型的互联网时代,它代表新时代的网络模式,给我们提出了更快更高的要求。当然,这样的网络也必然会隐含更多的安全风险。移动互联网框架可以分为应用安全、网络安全和终端安全三个层次。虽然IPv6 协议在设计上已设法解决了一些安全问题,但IPv6 网络中任然面临着嗅探、中间人攻击、网络钓鱼、DDOS 等IPv4 网络的安全问题;同时由于IPv6 网络更好地支持移动互联、多媒体数据传输等新的应用模式,因此其还将面临许多新的安全问题;另外从IPv4 网络到IPv6 网络的迁移是一个较长的过程,在很长一段时间内两个网络会共存,混合的网络环境也为网络的整体安全带来一些隐患。
首先,从网络协议层看,安全隐患不容忽视。只负责其下层的网络安全的内嵌的IPsec 仅是一个网络层协议,它无法保证其上层应用的安全,这是硬伤。现有的追踪安全攻击困难、安全服务难于实现等的重要原因是网络设备无法验证转发分组的源地址的真实性。新一代互联网的增加了更多的开放式接口,使其网络应用能力、传输速度和网络规模都相应增大,但随之也带来了安全性风险的增加。现在,IPv4 中的不少安全问题仍然没有得到彻底的解决,例如病毒、蠕虫和自动攻击工具等等,有些安全问题的原理和基本特征没有发生变化,这还是一个技术难题。与此同时,违法分子也发现了IPv6 协议中一些新特征是可以进行攻击的漏洞,这使得新一代网络的安全问题更加严峻。
此外,由IPv4 向IPv6 的过渡也带来了不少的网络安全问题。在真正过渡到IPv6 之前,两种协议必将长期共存,而这个过程也会使网络的状况变得更为复杂。只有充分利用IPv6 与IPv4 不同的网络安全特性,及内嵌的IPsec 机制,构建出适合IPv6 的动态网络安全防御体系,才能解决不断发展变化的安全问题,这样才能真正解决新一代网络开发中的的安全问题,保证网络的正常运转。
同时,网络层协议的变化冲击了传统的安全技术。在新型网络中,加密和认证机制使得防火墙、安全审计等传统技术对于网络的控制性更低,操作变得更加困难。传统的安全防御技术和安全服务的研究都要针对新型网络的特点,这样就出现了更大的挑战。在主机联网系统中,目前最常采取保险柜模式和入口模式两种安全对策,在新型lPv6 网络中,共适合采用保险柜模式,但这样做会带来一系列问题,如产品中嵌入安全功能难以实现、交换密钥更为困,同时还有一些无法预知的的挑战在等着我们。
为了应对新一代互联网所面临的各种安全威胁,需要对现有的VPN 安全产品必须进行大量的技术革新及升级工作,使其更好地满足新一代互联网的应用环境的需求,从而为我们提供一个可控、安全的网络环境。升级改进工作主要包括:
高性能需求;
全面支持IPv6 协议族;支持IPv4 到IPv6 的各种过渡方案;符合国家各种法规和规范要求;支持下一代互联网的新应用。
综合看来,基于IPv6 的新一代网络安全技术的研究追在眉睫,原有的IPv4 网络正经历迅速向IPv6 网络过渡。这就要求我们必须对IPv6 协议的安全性进行深层次的剖析和研究,构建出更为先进的动态网络环境和安全防御体系;同时急需深入研究IPv6 的网络安全技术,为新一代网络的安全实现提供理论及技术上的保障支持。
以IPv6 协议为核心技术的新一代互联的推广和应用为信息安全厂商提供了更为宽广的市场空间。首先,在IPv4 网络向IPv6 网络过渡过程中,必须将原来的IPv4 网络中存在的大量的防火墙、VPN 等网络安全设备进行升级换代,这个市场需求是巨大的;其次,在新的IPv6 网络中,由于IP 地址空间的剧增,将会使得大量原有的企业内部网络和主机直接可以连接到互联网上,这就需要设计新的网络安全防护产品。高性能VPN 设备研制是十分必要的。在此之前,VPN 产品作为一种非常重要的安全网关产品类型,已在各个行业和领域得到了实际应用。
随着IPv6 网络技术的迅速发展,通过互联网线路来组建企业VPN 网络和实现远程安全接入,已经成为一种最方便、最经济、最常用的信息系统安全互联方式;接入互联网的计算机和网络设备越来越多,各种智能终端共享资源、互联互通,因而势必将催生出更多的VPN 市场发展契机;原有IPv4 网络中的各种仅支持IPv4 协议的网络设备都将被更新换代,特别是基于IPv4 的VPN 设备作为一种非常常见的网络节点设备都将被更新,取而代之的是同时支持IPv4 和IPv6 协议的VPN。
总之,IPv6 的产业链正在逐步形成,而伴随其的高性能VPN 产业链也,必将趋于成熟,相信发展前景可观。
新一代互联网产业主要包括硬件设备与网络软件系统,还包括网络运营和终端产品及应用服务几个主要环节。下一代互联网的发展离不开产业各环节的共同努力,协同发展,任何一环的缺失都会影响产业的发展。而网络安全作为互联网中必不可少的一环,维持着网络中的正常秩序,解决网络中的安全隐患,保证网络系统的健康、和谐。
硬件部分中主要是分布式高性能安全网关硬件平台核心技术研究,以满足下一代高性能高可靠性网关产品需求。
此系统包括主控板、安全业务板和用户接口板等。主控板负责系统的信息配置和协调管理工作。用户接口板则用于进行连接网络、收发信息等。安全业务板进行安全方面的处理,采用CPU+ASIC 体系架构,采用高性能处理器外,使用Intel 最新的网络加速芯片。此芯片已内置多种网络安全加速功能,将大大降低CPU 的计算负载,提升系统的整体性能。各部件各尽其能,同时硬件平台上还有插槽,便于功能的扩充。软件平台:为满足高可靠性高性能网关产品的需求,我们主要进行并行高可靠安全网关软件平台相关核心技术研究。
整个系统分为两个处理平面:管理平面和数据平面。管理平面负责运行模块、配置模块的统筹管理工作。数据平面主要进行多个数据进程的接收、处理等工作。这两个平面协调工作,并指出多硬件共存,支持单机运行,兼容性极佳。此平台解决了软件处理的并行、安全风险等问题,充分利用了多核处理器的资源性能,保证了云计算的可靠性。
前面的硬件平台和软件系统已基本成型,均符合IPv6 协议,后期还将有测试平台等后续技术的开发完善,相信必将会对新型网络提供全面的保障。
3 结束语
网络安全是衡量网络成熟度和成功度的关键指标。在新一代互联网发展的进程中,IPv4 与iPv6 长期共存已经得到了大家的共识,过渡过程中由于网络的复杂度采取多种过渡方案,这对网络安全提出了新的挑战。如果解决不了安全问题,新一代互联网的推进就会受阻。因此会导致下一代互联网产业链的其他环节受到影响,新的网络设备,基于IPv6 的网络和应用,就会只能是摆设,基于下一代互联网的新技术领域也将受到影响。
新一代互联网是以IPv6 为核心的,要求具备更大的地址空间、网络规模、终端和应用种类和数量;要求更快的端对端高性能通信;要求更安全的可信的网络。新一代互联网的安全不仅关系到业务的正常运行,还关系到国家安全,具有国家战略的意义。
高性能VPN 设备研制是势在必行,VPN 是现在大部分企业为确保自身网络资源安全传输选择的方式。在下一代互联网架构下,研制高性能的VPN 设备,除了传统的VPN 功能外,还需要支持IPv6 协议,符合国际密码局相关要求。高性能方面,可以满足下一代互联网并发传输的要求。我们明确了奋斗的目标,推动新型网络的前进是必然趋势,但如何解决前行路上的问题,还值得我们去深思。要能真正解决这些安全问题,我们要走的路还很远。