中國互聯(lián)網(wǎng)協(xié)會理事長、中國下一代互聯(lián)網(wǎng)專家組組長鄔賀銓在2014中國未來網(wǎng)絡(luò)發(fā)展與創(chuàng)新論壇暨全球SDN開放網(wǎng)絡(luò)高峰會議演講時指出,安全問題是未來網(wǎng)絡(luò)的發(fā)展動力。傳統(tǒng)的互聯(lián)網(wǎng)是不管安全的,因?yàn)樗褪莻€通道,安全是交給終端處理。未來的互聯(lián)網(wǎng),希望能夠承擔(dān)起安全的責(zé)任。通常安全運(yùn)行的前提是IP地址和物理地址之間有安全的綁定關(guān)系,但在網(wǎng)絡(luò)釣魚發(fā)生的時候,IP地址和主機(jī)就不對應(yīng)了,黑客可以使用真實(shí)銀行的IP地址把你引到另外一個虛假的銀行網(wǎng)站里去。對此,中國提出的原地址印證方案可以識別主機(jī)與地址的關(guān)聯(lián),在郵件接收的時候,也能比對端服務(wù)器的IP地址,通過數(shù)據(jù)來源的差異可以判斷郵件服務(wù)器的真實(shí)性。
鄔賀銓指出,現(xiàn)在互聯(lián)網(wǎng)大多數(shù)的控制功能都是后期加上去,而不是在網(wǎng)絡(luò)設(shè)計(jì)之初統(tǒng)一考慮的。這些逐步添加上去的控制,相互之間缺乏協(xié)調(diào),很難有效搜集網(wǎng)絡(luò)的狀態(tài),發(fā)現(xiàn)并定位網(wǎng)絡(luò)的異常。SDN(即軟件定義網(wǎng)絡(luò))希望通過一種邏輯上集中的網(wǎng)絡(luò)管理和控制來改變。傳統(tǒng)的互聯(lián)網(wǎng)是分散的,每個路由器上面都有它的控制平面。SDN通過資源控制接口實(shí)現(xiàn)了控制,并把物理傳送資源獨(dú)立出來,變成一個網(wǎng)絡(luò)操作系統(tǒng),這樣底層網(wǎng)絡(luò)路由器成為純粹的轉(zhuǎn)發(fā)功能。SDN既能解決一些安全問題,也會引入一些新的安全挑戰(zhàn)。SDN在安全方面的優(yōu)點(diǎn)是通過對安全影響的隔離,能識別對安全敏感的業(yè)務(wù)并以安全的方式來分開,比如說專用協(xié)議和安全協(xié)議,這些處理能夠自動進(jìn)行。而SDN的漏洞在于它可能侵犯隱私,因?yàn)橛锌赡芡ㄟ^軟件對硬件功能的修改,就有可能產(chǎn)生誤配置。
鄔賀銓指出,應(yīng)對網(wǎng)絡(luò)安全已經(jīng)從被動防御進(jìn)入到主動防御?,F(xiàn)有互聯(lián)網(wǎng)假定用戶是自律的,用戶處在彼此信任的小規(guī)模封閉的網(wǎng)絡(luò)環(huán)境,因此并沒有類似相關(guān)的安全機(jī)制,也沒有考慮在開放環(huán)境下操作系統(tǒng)和應(yīng)用的安全,因此出現(xiàn)了很多安全問題。拒絕服務(wù)攻擊就是DDOS,隨著寬帶化的發(fā)展,DDOS影響范圍越來越大,對于物聯(lián)網(wǎng)而言將帶來重大危機(jī)?,F(xiàn)在提倡的是主動防御,也就是說在攻擊可能開始的所有階段,都要主動追蹤和控制。盡管防火墻和殺毒軟件可以防御木馬,但是一個新的互聯(lián)網(wǎng)安全問題剛剛出現(xiàn)時安全廠商是不可能馬上推出產(chǎn)品的,更何況受到攻擊的主機(jī)越多,對安全產(chǎn)品的需求也就越高,安全產(chǎn)品的價(jià)格也越高,因此安全產(chǎn)品投向市場一定會略有滯后。從這個意義上說,我們大量部署防火墻、殺毒軟件,并不見得是毫無漏洞,而且網(wǎng)絡(luò)越來越復(fù)雜,管理成本也很高。
下一代互聯(lián)網(wǎng)需要有訪問控制,TCP最早的握手協(xié)議要重新設(shè)計(jì),SMTP也要重新設(shè)計(jì),還有匿名轉(zhuǎn)發(fā)也要重新設(shè)計(jì)。IPv6是下一代網(wǎng)絡(luò)很難回避的一個步驟,也是一個應(yīng)對地址空間不足的有效手段。但I(xiàn)Pv6設(shè)計(jì)之初互聯(lián)網(wǎng)很多安全問題還未暴露,目前也不如IPv4成熟,還是有些缺陷,所以需要在節(jié)點(diǎn)設(shè)備里融入安全控制的能力,比如,通過業(yè)務(wù)流的特性來判別它是否正常,是否是垃圾郵件。