FIA項目背景：互聯網安全問題催生網絡新架構

特約通訊員 許廷濤

從誕生至今，互聯網已經創造了眾多的奇跡，如電子商務的繁榮發展，電子郵件成為人們主要的溝通方式。現在，每天都有無數的用戶使用互聯網，一些關鍵性的行業，諸如銀行，其業務也越來越依賴互聯網。然而，在互聯網繁榮發展的背后，也存在著一些問題——互聯網缺乏內在的安全性。互聯網自身的缺陷導致了其安全性的降低以及對新技術適應能力的下降。

防火墻

AOL(AmericanOnLine，美國在線，是美國最大的網絡服務供應商)更新其軟件時，新版本常常帶有一串數字，如 7.0、8.0、9.0，其最新的版本被稱為AOL9.0安全版。不過，提升互聯網的表現已經不再是提供最新最酷的應用軟件，而是增強軟件的生存能力，即抵御計算機病毒入侵的能力。

IBM發布的一份研究報告稱，在2005年上半年，由攜帶“拉登”病毒的電子郵件和刑事犯罪引起的安全攻擊次數增加了50%，攻擊目標集中在政府、金融服務機構、制造業以及醫療保健行業。2005年7月，美國互聯網和生活項目報告稱，在5900萬成年人中，43%的美國互聯網用戶表示他們的計算機中存在間諜軟件和廣告軟件，91%的用戶會采取一些預防性的措施，諸如避免訪問該類的網站或者停止下載軟件。越來越多人關注防火墻的問題。防火墻作為內部網絡和外部網絡之間的網絡安全系統，通過控制數據流的進出，最大限度地保護計算機系統免受黑客的入侵。如果防火墻的安全性低，計算機將不能有效地防范黑客的攻擊。

垃圾郵件

在網絡安全技術方面處于領先地位Symantec公司表示，從2004年7月1日到12月31日，在其檢測的公司中，垃圾郵件數量急劇增加了77%。Symantec公司的原始數據顯示，平均每周的垃圾郵件總數由8億上升到12億，而且在全部郵件中，60%都是垃圾郵件。

但是，在所有這些網絡威脅當中，危害性最大的是僵尸網絡 (通過各種手段在大量計算機中植入特定的惡意程序，使控制者能夠通過相對集中的若干計算機直接向大量計算機發送指令的攻擊網絡)。這種大規模的攻擊已經構成了數據欺詐犯罪，而寬帶網絡的廣泛應用更是加大了這種情況發生的可能性。黑客以這些毀滅性的攻擊威脅那些不滿足他們金錢需求的公司。一項由卡內基 梅隆大學研究人員開展的研究顯示，其所調查的100家公司中有17個公司面臨著這種攻擊的威脅。

補丁問題

最初的互聯網協議是在19世紀60年代制訂的，這個協議促進了幾百個學術機構與政府、用戶之間的溝通交流。協議有效地把數據裝進簡單的數據包中，并且通過一系列的網絡路由器發送至目的地。路由器和個人計算機都成為節點，擁有唯一的數字地址，這就是被人所知的互聯網協議或IP地址，工作原理也基本如此。計算機系統假設網絡中的所有用戶都是可信賴的，并且所有通過互聯網連接的電腦基本上都是固定不變的。互聯網的設計，與信息數據包所攜帶的內容并沒有關系。除了發送數據到其目的地，互聯網沒有做其他更多的事情，也沒有適應移動的節點，比如PDA可以在任何地方連接到互聯網上。

近些年來，一系列的補丁程序相繼誕生，諸如防火墻、殺毒軟件、垃圾郵件過濾程序等。每當一個移動的節點改變其網絡位置時，補丁就會分配其一個新的IP地址。

安全補丁跟不上網絡發展的部分原因是，大部分用戶使用的補丁都不相同，并且不是每個用戶都會按時更新補丁，有些用戶甚至從不安裝任何補丁。此外，常見的會隨著IP地址不斷變化的移動補丁也有缺點。當計算機每次用一個新的身份連接到互聯網時，平時經常訪問的網站將不會識別你是一個老用戶。不斷變化的IP地址也意味著當你使用互聯網時，一些服務可能會被中斷，比如在PDA上聽流媒體廣播。這也意味著如果有人通過移動設備犯罪，將難以追查。

我們亟需關注不同領域專家的觀點。補丁使互聯網系統變得更加復雜、更加難以管理和理解，而且很難在其基礎上作出改進。普林斯頓大學的計算機科學家拉里帕特森說，30年來，互聯網得到不斷的改善，所發現的問題也逐步得到修復。漏洞一經發現，技術人員就嘗試去修補它。這樣雖然也可以維持互聯網的安全，但是我們需要思考的是，有沒有方法可以長期有效地解決這個問題。如果只是不斷地重復發現問題、修補問題，而沒有從根源上解決問題，那么互聯網將會變得越來越復雜且脆弱。而這種情況會導致新服務難以得到應用，因為已經增加的解決方案所帶來的復雜性，使得系統更加難以管理。有些人甚至擔心我們因此會進入死胡同。如果不能充分修補這些問題，那么我們將面臨異常重大的威脅。

NSF對互聯網的貢獻

NSF(美國國家科學基金會)正在制定一個5到7年的計劃，并且預計投入2到3億美元的研究經費用于開發一個更加簡潔的架構，這個架構具有更高安全性，適應新技術的發展，并且易于管理。

新架構預設目標

(1)給予媒介一個基本安全架構——一種認證用戶真實性和防止垃圾郵件以及病毒等入侵計算機的能力。好的安全性是這次重構最重要的目的。

(2)實用性。新架構將會增加一些協議，使網絡服務提供者能更好地發送信息流，提供更優質的服務。

(3)允許未來任何大小的設備連接到互聯網——不僅是個人電腦，還有傳感器和嵌入式處理器。

(4)網絡更易管理。比如，新技術應該允許檢測網絡的每一個部分，以及及時向網絡管理員匯報突發問題，不管是技術故障、網絡堵塞還是可復制傳播的蠕蟲病毒。

新架構預設目標并非都遙不可及

NSF過去的幾年在這個調研已經投入超過3千萬美元。實驗室已經開發了許多有前景的技術，比如可以認證在線用戶、識別病毒、保護他人隱私，增加無線設備和傳感器等。在別人都不清楚哪一項技術會在新的架構中出現的時候，他們已經開始理解一個“新”的互聯網應該是什么樣子的和它是如何區別于“舊”的互聯網。

許多適用于這個新架構而且極具前景的技術都來自于PlanetLab，普林斯頓大學的皮得森近幾年也是在該實驗室研究這些技術。

(1)軟件技術。在這個不斷發展的項目中，所有的研究人員都在研究一個可以拼接到現在的互聯網路由器上的軟件。舉個例子，一個“敏銳”的軟件可以從網路流量中發現蠕蟲。該軟件識別被蠕蟲感染的主機尋找新主機時發出的疑似數據包，并可以警告系統管理員病毒文件的出現。軟件還可以測量流入和流出網卡的數據，診斷是否出現網絡堵塞，并提出一個更有效的路徑繞過它。

(2)鑒定技術。鑒定技術可以幫助鑒定網絡傳播的真實性。這套技術可以說是對互聯網安全的一個福音。也就是說，該技術能夠明確識別一封銀行郵件是否存在欺騙性；此外，銀行也可以明確識別賬號登陸者是否開戶者本人，避免由盜號者非法操作造成損失。

如今，用戶經常被請求輸入各種信息證明其網絡身份的真實性，如密碼、社保號碼、工作證號碼、信用卡號、飛機常客號、人工識別號等等。但是當成千上萬的用戶都在不斷地輸入這些登陸號碼時，很容易被間諜軟件或黑客從無線網絡中發現，然后盜取用戶信息，實施詐騙犯罪，更甚者會進行破壞活動。

(3)口令。一個由實驗室和大學團體組成的機構提出了因特網2代的改良解決方案，并為用戶開發先進的網絡技術。這個軟件叫口令，負責在發送者和接收者之間進行聯系，它可以通過數字證書的集中式交換以及其它一些方式，安全地傳輸合適的賬號、密碼和其他可以供接收者識別的信息。除了讓分散的信息更加安全，它還可以保護用戶的隱私。因為它只公開特定交易時與用戶相關的某個“屬性”，而不是用戶的所有信息。

不斷發展的口令和這些類似的技術可以等同于補丁的作用。但是他們中間一些基本的要素也可以發展成互聯網架構的一部分。

創建新架構道路并非一帆風順

值得注意的是，不管互聯網有多少缺點、不安全性和修補的代價，它依然是人們日常工作中的工具之一。任何一個提升性能的嘗試都會面臨很多問題：所有網絡服務提供商都要同意更換他們的路由器和軟件，一些人必須為數以億計的賬單買單。但是NSF不建議放棄原有的網絡或者強制安裝新的東西。相反，NSF希望創建一個更好的架構，并證明它有更優秀的表現，而且為了滿足用戶需求，可以允許一些新技術來替代原來的方法。

為此，NSF努力設想一個龐大的基礎設施建設，花費約為300萬美元。這個想法是創建一個可以承受來自現實網絡流量的考驗新架構，建設讓人們能夠有選擇性地應用的基礎設施。

不過，也有人提出質疑，一個更智能的網絡可能比原來的互聯網更加復雜，因此容易出現故障。傳統觀點認為，網絡本身應該是非智能的，但在其兩端的智能設備應該變得更加智能。互聯網的安全問題，以及知識產權的竊取，可能會制約媒體的發展，導致互聯網的退步。

“不管最后的結果是做出一個新的架構，還是在原來的基礎上做出有效的改變，并沒異樣。只要有一個穩定的互聯網，這些嘗試就會成功，”克拉克 (麻省理工學院資深網絡政治家及前首席協議架構師)說，“如果它能圍繞共同的目標，使研究團體發揮作用，就會幫助我們往正確的方向前進。”

創建新架構的進展

NSF將利用現有的研究成果，努力打造一個簡潔而穩固的互聯網架構。下面是一些能提高互聯網安全性的成果。

·美國普林斯頓大學

創建互聯網“覆蓋網絡”的硬件和軟件，據2006年的統計數據，有630臺機器在25個國家執行搜索蠕蟲和優化流量任務。

·猶他大學

開發軟件和硬件測試試驗臺，為研究人員提供了一個簡單、實用的途徑來模擬互聯網上各種各樣的研究項目。

·加州信息科學研究所

開發一個試驗臺，研究人員可以安全地模擬網絡攻擊，對它們進行分析，制定防范策略，尤其是對關鍵基礎設施的完善。

·美國羅格斯大學無線信息網絡實驗室

開發無線網絡架構和協議，致力于部署移動互聯網，進行高速調制解調器和頻譜管理的研究。