新聞中心

EEPW首頁 > 手機與無線通信 > 設(shè)計應(yīng)用 > 下一代互聯(lián)網(wǎng)安全模式探討

下一代互聯(lián)網(wǎng)安全模式探討

——
作者:魏亮 時間:2006-06-12 來源:泰爾網(wǎng) 收藏
摘要 分析了下一代互聯(lián)網(wǎng)的安全需求與挑戰(zhàn),對下一代互聯(lián)網(wǎng)的安全模式進(jìn)行了比較分析,探討了下一代互聯(lián)網(wǎng)的安全保障問題。 

關(guān)鍵詞 互聯(lián)網(wǎng) 安全 IP 

一、引言 

  時至今日,互聯(lián)網(wǎng)在全世界范圍內(nèi)獲得了巨大成功,已滲透到人類工作生活的方方面面?;ヂ?lián)網(wǎng)在為人們提供巨大便利的同時,也在逐漸影響工作生活的態(tài)度與方式。 

  由于互聯(lián)網(wǎng)設(shè)計上的一些缺陷(例如地址空間問題等),預(yù)計在未來很長一段時間內(nèi)不可能再持續(xù)高速發(fā)展。對下一代互聯(lián)網(wǎng)的研究已成為擺在我們面前的緊迫課題。在下一代互聯(lián)網(wǎng)需要解決的問題中,安全問題是最重要課題之一。 

二、下一代互聯(lián)網(wǎng)的安全需求與挑戰(zhàn) 

  下一代互聯(lián)網(wǎng)面臨方方面面的安全威脅,諸如: 

  (1)電磁安全:電磁的輻射及泄漏可能影響存儲處理和傳輸信息的機密性。 

  (2)設(shè)備安全:設(shè)備安全可能影響的生存性和連通性。 

  (3)鏈路安全:通信鏈路的可靠性將直接影響的連通性。 

 ?。?)協(xié)議安全:路由協(xié)議安全直接影響網(wǎng)絡(luò)的可用性與連通性。 

 ?。?)戰(zhàn)爭、自然災(zāi)害:遭受戰(zhàn)爭或自然災(zāi)害時,節(jié)點可能失效,鏈路大量中斷。 

 ?。?)網(wǎng)絡(luò)受流量沖擊:當(dāng)網(wǎng)絡(luò)受到流量沖擊時,網(wǎng)絡(luò)性能急劇下降,甚至停止服務(wù)。 

 ?。?)終端安全:智能終端故障率及配置難度大大增加,易受攻擊。 

 ?。?)網(wǎng)絡(luò)業(yè)務(wù)安全:業(yè)務(wù)網(wǎng)可能受到攻擊,影響業(yè)務(wù)的正常開展。 

 ?。?)網(wǎng)絡(luò)資源安全:用戶惡意或無意濫用資源將嚴(yán)重威脅網(wǎng)絡(luò)正常運行。 

  (1O)通信內(nèi)容安全:網(wǎng)絡(luò)傳輸內(nèi)容可能被非法竊取或非法使用。 

 ?。?1)有害信息擴(kuò)散:對下一代互聯(lián)網(wǎng)而言,必須關(guān)注有害信息通過網(wǎng)絡(luò)擴(kuò)散傳播的問題。 

  為應(yīng)對上述或本文未提到的各種安全威脅與挑戰(zhàn),下一代互聯(lián)網(wǎng)必須從設(shè)計之初就考慮到安全保障能力。當(dāng)前的安全技術(shù)及安全模式都有一定應(yīng)用,下面主要對現(xiàn)有幾種安全模式進(jìn)行分析和探討。 

三、下一代互聯(lián)網(wǎng)的安全模式分析 

  安全模式有別于安全技術(shù)。安全技術(shù)一般比較單純,即用一些技術(shù)手段提供安全機制,對通信中的某個安全漏洞進(jìn)行保護(hù)。安全模式比安全技術(shù)范圍更大,可根據(jù)其提供的思路,集成若干安全技術(shù)、管理手段來解決部分安全問題。安全模式可以結(jié)合起來使用,但限于篇幅,本文主要對各種安全模式進(jìn)行分析,不考慮安全模式的結(jié)合使用。 

  1.基于Walled Garden的安全模式 

  Wa11ed Garden在我國一般譯作帶圍墻的花園,簡稱圍墻花園。“圍墻花園”指的是一個控制用戶對網(wǎng)頁內(nèi)容和服務(wù)進(jìn)行訪問的環(huán)境。圍墻花園一般是把用戶限制在一個特定的范圍內(nèi),允許用戶訪問指定內(nèi)容,而防止用戶訪問其他未被允許的內(nèi)容。 

  建立圍墻花園的原因通常是利益使然。運營商希望將用戶資源掌握在自己手中,引導(dǎo)用戶訪問自己或合作伙伴的資源,減少或防止訪問競爭對手及不能帶來利益的資源。中國移動手機WAP業(yè)務(wù)就是基于圍墻花園開設(shè)的典型范例。建立圍墻花園還有一個原因是安全上的好處。早在1999年,美國在線少兒頻道就建立了一個圍墻花園,以防止兒童訪問不適宜的網(wǎng)站。 

  無論最初建圍墻花園的方法如何,當(dāng)前圍墻花園的概念似乎被擴(kuò)大了。圍墻花園可以在幾個層面建設(shè),不同層面建設(shè)的圍墻花園有不同的強度,能解決不同的安全挑戰(zhàn)。 

 ?。?)限制終端的圍墻花園。通過限制終端功能實現(xiàn)的圍墻花園是指在終端上限定訪問的范圍,超過范圍的內(nèi)容不能訪問。這種方式一般用作防止兒童訪問不適宜的網(wǎng)站。具體做法是,可在終端(例如電腦、機頂盒等)上安裝一個包括可訪問列表,超出列表范圍的不允許訪問,列表可以實時更新。將這種方式稱作圍墻花園實際上有些勉強,更像是人在單向鏡子圍成的圍墻里,里面的人看不到外面,外面的人可看到里面。里面的人通過圍墻上的一些門可以看到一些花園,但只能看到這些花園而已。圍墻外的人同樣也能看到這些花園。這樣的圍墻花園對服務(wù)器和用戶終端的防攻擊沒有幫助,用戶與業(yè)務(wù)設(shè)備間的通信需要其他技術(shù)來保護(hù)。 

  (2)基于VPN/專網(wǎng)的圍墻花園?;赩PN的圍墻花園實際上是將提供業(yè)務(wù)的設(shè)備放到一個VPN中,訪問者通過接入VPN來接入圍墻。接入VPN(接入圍墻)后,即可自由訪問VPN內(nèi)所有的資源。基于VPN的圍墻花園與顯示中的圍墻花園相類似。這種方式不但能限制訪問范圍,而且能防范來自外部的攻擊,即非VPN的用戶看不到VPN內(nèi)的任何資源或用戶。雖然圍墻內(nèi)的安全威脅仍存在,但在VPN相對封閉的環(huán)境中可以設(shè)置接入認(rèn)證,也很容易對攻擊進(jìn)行追查。此外,用戶與業(yè)務(wù)設(shè)備間的通信也在VPN/專網(wǎng)的保護(hù)中(與外界隔離)。 

 ?。?)基于防火墻/網(wǎng)關(guān)的圍墻花園。基于防火墻/網(wǎng)關(guān)的圍墻花園類似基于VPN的圍墻花園,區(qū)別在于基于防火墻/網(wǎng)關(guān)的圍墻花園中只有業(yè)務(wù)提供設(shè)備真正在圍墻中(VPN或?qū)>W(wǎng))。用戶通過防火墻/網(wǎng)關(guān)使用業(yè)務(wù)網(wǎng)提供的業(yè)務(wù),業(yè)務(wù)網(wǎng)只通過防火墻/網(wǎng)關(guān)對外提供用戶信令接口和數(shù)據(jù)接口。這種圍墻花園中的業(yè)務(wù)設(shè)備可防護(hù)來自外部以及用戶(注冊和非注冊)的攻擊。但是,用戶并沒有受到保護(hù),用戶與業(yè)務(wù)設(shè)備間的通信需要其他技術(shù)來保護(hù)。 

  (4)基于門戶網(wǎng)站的圍墻花園?;陂T戶網(wǎng)站的圍墻花園實際上沒有真正的圍墻。用戶通過門戶網(wǎng)站可非常便捷地訪問到門戶網(wǎng)站上一些現(xiàn)成的資源(運營商或運營商合作者的資源)。用戶實際上也能訪問所謂圍墻外的資源,但由于便利性以及用戶慣性,實際上大部分用戶還會在范圍內(nèi)訪問。AOL有一項統(tǒng)計,稱85%的用戶都沒有出過AOL的領(lǐng)地。所謂圍墻外的用戶也可訪問圍墻里的資源。這種方式的花園圍墻對網(wǎng)絡(luò)與信息安全基本沒有貢獻(xiàn)。 

 ?。?)基于用戶注冊的圍墻花園?;谟脩糇缘膰鷫▓@一般是基于一組或一類業(yè)務(wù)應(yīng)用,只有注冊用戶才能使用所保護(hù)的業(yè)務(wù)應(yīng)用,非注冊用戶不能使用。這類圍墻花園旨在業(yè)務(wù)層保護(hù),用戶及業(yè)務(wù)設(shè)備操作系統(tǒng)層都暴露在外界網(wǎng)絡(luò)層的可能攻擊下。此外,用戶也可自由訪問圍墻外的其他業(yè)務(wù)。用戶與業(yè)務(wù)設(shè)施間的通信需要其他技術(shù)來保護(hù)。 

  2.基于溯源與威懾的安全模式 

  部分基于Walled Garden以及普遍加密的安全模式是一種比較積極的安全模式,可通過一些技術(shù)手段盡量避免受到諸如攻擊等的安全威脅。基于溯源和威懾的安全模式實質(zhì)上是一種管理和管制上的威脅。溯源和威懾本身不能直接避免或緩解網(wǎng)絡(luò)與信息安全方面的威脅,但溯源可威懾攻擊者或違法犯罪人員,因為在網(wǎng)絡(luò)上的行為是可以追查的,做了壞事定將或可能受到懲罰。 

  基于溯源和威懾的安全模式類似于現(xiàn)實生活。大多數(shù)情況下,法律沒有辦法阻止人不作壞事,但一旦做了壞事且被證實以后,就會依據(jù)法律條款作出懲罰。大多數(shù)情況下,這種機制在現(xiàn)實生活中運作得很好,在傳統(tǒng)電信網(wǎng)上似乎也運作得不錯。有理智的成年人都知道,亂打騷擾電話會被追查到主叫話機,故一般使用自己的話機進(jìn)行惡意撥叫的情況較少。理論上說,這種機制在互聯(lián)網(wǎng)絡(luò)環(huán)境下也能發(fā)揮作用,但當(dāng)前還存在下列問題: 

  (1)互聯(lián)網(wǎng)溯源困難。互聯(lián)網(wǎng)目前在用目的地址選路實踐中很少對源地址進(jìn)行檢驗,在惡意偽造源地址的情況下,幾乎不可能確認(rèn)惡意用戶使用的終端。當(dāng)前,主機大多使用動態(tài)IP地址,溯源時查找特定時間的特定地址租用者較為困難,且設(shè)備很少能長時間保存日志。在存在NAT設(shè)備的網(wǎng)絡(luò)中,也存在動態(tài)IP地址相類似的困難。 

 ?。?)即使能夠成功溯源,針對網(wǎng)絡(luò)惡意行為的法律條文也有待完善。雖然各國都在完善相關(guān)法律,但總體看尚落后于需求。在我國,網(wǎng)絡(luò)上虛擬財產(chǎn)的合法地位也沒有確認(rèn)。 

 ?。?)網(wǎng)絡(luò)行為是一個海量數(shù)據(jù),對海量行為甄別是否合法尚存在問題。若對惡意行為成功溯源及懲罰的比例過低,可能會出現(xiàn)大量僥幸心理。 

  在下一代互聯(lián)網(wǎng)中上述問題將會得到一定程度的解決。例如,溯源將比當(dāng)前互聯(lián)網(wǎng)更可行,法律體系也將趨于完善,隨著計算能力的增強,海量數(shù)據(jù)也將有合理的處理方式。 

  因此,在下一代互聯(lián)網(wǎng)的實踐中,基于溯源和威懾的安全模式仍然存在應(yīng)用的環(huán)境,可單獨使用或者配合其他安全模式共同使用。 

  3.基于綁定身份的安全模式 

  基于管理(綁定身份)的安全模式類似基于溯源和威懾的安全模式。區(qū)別在于,基于溯源和威懾的安全模式偏重于網(wǎng)絡(luò)層(IP)的溯源,而后找到的是使用IP地址的設(shè)備。最后,通過查找設(shè)備的所有人來落實到人。而基于管理(綁定身份)的安全模式偏重于將人直接對應(yīng)到標(biāo)識上。當(dāng)前常見的基于管理(綁定身份)的安全模式的實現(xiàn)方法大致有以下幾種: 

 ?。?)管理部門強制要求將身份,例如身份證號碼,綁定到IP地址,實現(xiàn)每人一個固定IP。 

 ?。?)管理部門強制要求凡使用互聯(lián)網(wǎng)的人,每人一個證書,對使用包括接入在內(nèi)的所有業(yè)務(wù)都驗證證書。 

  (3)管理部門要求認(rèn)證基于惟一性的生物特征。 

  在IPv4時代,由于地址空間的限制以及地址分配不合理,不可能實現(xiàn)每人一個固定的IP地址。在IPv6時代,每人一個IP地址完全成為可能。這樣,網(wǎng)絡(luò)上所有行為都可以對應(yīng)到IP地址,通過IP地址可以查詢到使用人的身份。但是,將身份綁定到IP地址存在以下問題: 

 ?。?)IP包基于所在網(wǎng)絡(luò)的尋址,隨著互聯(lián)網(wǎng)用戶移動和游牧需求的增強,要實現(xiàn)身份與地址的綁定需要全網(wǎng)實現(xiàn)Mobile IP。而全網(wǎng)普遍實施Mobi1e,即使不計算對設(shè)備附加功能要求增加的成本,也要考慮大量Mobile IP通信帶來的附加流量。 

 ?。?)身份與IP地址綁定本身不能防止用戶地址的盜用,需要其他機制配合來確認(rèn)使用地址的人確實擁有其聲稱的身份。 

  由于身份與證書的綁定也不是沒有問題,若只在接入時驗證證書,則網(wǎng)絡(luò)行為的溯源需要將行為映射到IP地址,再根據(jù)時間映射到當(dāng)時使用該IP地址的證書。若對網(wǎng)絡(luò)上的大量業(yè)務(wù)進(jìn)行證書認(rèn)證,將大大增加網(wǎng)絡(luò)負(fù)荷。當(dāng)然,可適當(dāng)選擇需要證書認(rèn)證的業(yè)務(wù)和行為,來平衡網(wǎng)絡(luò)開銷與網(wǎng)絡(luò)安全。身份與證書的綁定可以進(jìn)一步延伸到每個人、每個設(shè)備,這樣可在網(wǎng)絡(luò)上建立起較好的信任關(guān)系。 

  基于生物特征的認(rèn)證也只解決了認(rèn)證的惟一性,需要大量改造終端設(shè)施,而且將認(rèn)證表示對應(yīng)到網(wǎng)絡(luò)行為上也需要完整的信任鏈。 

  無論是身份與地址的綁定和證書與身份的綁定,還是生物特征的認(rèn)證,都有侵犯公民隱私之疑慮。即使法律上提出要求,這樣的管理規(guī)定也有可能會損害互聯(lián)網(wǎng)的繁榮。此外,互聯(lián)網(wǎng)是一個全球的網(wǎng)絡(luò),在各國法律及執(zhí)法尺度不一致的條件下很難通過一個國家身份綁定的規(guī)定來保障網(wǎng)絡(luò)的安全(特別是涉及跨國訪問行為)。 

  4.基于限制終端的安全模式 

  基于限制終端功能的安全模式實際上是對傳統(tǒng)電信網(wǎng)的一種借鑒,這種方式類似于Walled Garden分類中限制終端功能的圍墻花園。 

  傳統(tǒng)電話網(wǎng)是一個比較安全的網(wǎng)絡(luò),這一點已有普遍共識。似乎傳統(tǒng)電話網(wǎng)(除了騷擾電話和盜打電話以外)沒有太多的安全挑戰(zhàn),這得益于以下幾方面原因: 

 ?。?)傳統(tǒng)電話網(wǎng)是一個傻終端,用戶端只有12個撥號鍵,除了發(fā)出雙音多頻或脈沖信號以外,只能傳送語音信號,用戶除撥號外不能做任何事。故除騷擾電話和盜打電話外,沒有過多威脅安全的手段。 

 ?。?)傳統(tǒng)電話網(wǎng)的用戶信令與網(wǎng)絡(luò)信令完全隔離,從用戶接口無法對網(wǎng)絡(luò)的穩(wěn)定運行產(chǎn)生影響。即使在電話接口上接其他設(shè)備,網(wǎng)絡(luò)也只接收雙音多頻信號或脈沖信號。除了騷擾電話和盜打電話以外沒有過多威脅安全的手段。 

  互聯(lián)網(wǎng)是一個智能終端“傻網(wǎng)絡(luò)”的典范。網(wǎng)絡(luò)只負(fù)責(zé)按照目的地址轉(zhuǎn)發(fā)分組,所有的信令交互都是端到端完成。在這個端到端透明的網(wǎng)絡(luò)上,業(yè)務(wù)設(shè)備與用戶終端地位是平等的。在一個基于計算機的個人終端上,用戶可以訪問網(wǎng)絡(luò)設(shè)備的控制層面和網(wǎng)絡(luò)設(shè)備的管理層面,實現(xiàn)網(wǎng)絡(luò)設(shè)備功能,偽裝成其他用戶等。因此,智能終端也是問題多的原因之一。 

  互聯(lián)網(wǎng)是一個多業(yè)務(wù)網(wǎng)絡(luò),象電話網(wǎng)一樣完全將智能集中到網(wǎng)絡(luò)也是不太可能實現(xiàn)的。但是,為保證一定程度的安全,限制終端也是一種可行的手段。限制終端可能有以下幾種情況: 

 ?。?)類似手機,智能受限的終端。由于集成度、計算能力以及電池性能的影響,當(dāng)前手機的功能有限,大多數(shù)都是專用操作系統(tǒng)(少量基于winCE和Palm),用戶接口相對專用,攻擊者可能還沒有進(jìn)行廣泛研究。該類終端采用2.5G或者3G技術(shù),通過TCP/IP或WAP接入網(wǎng)絡(luò)。由于上述原因,當(dāng)前暴露的安全問題較少。隨著技術(shù)的進(jìn)步,當(dāng)前互聯(lián)網(wǎng)的安全問題也將在手機等終端上出現(xiàn),而且由于移動性等原因,溯源等安全問題更難以解決。 

 ?。?)通過有限界面來限制終端。這種方式不限制終端的智能以及計算能力,僅通過限制提供給用戶的功能及界面來限制終端。典型的例子是SIP電話。該終端直接接入以太網(wǎng),采用SIP協(xié)議進(jìn)行呼叫,但向用戶只提供傳統(tǒng)電話的按鍵而不提供編程等外設(shè)接口。從理論上看,該類終端與傳統(tǒng)電話類似,不會出現(xiàn)騷擾電話以外的問題(由于終端有一定智能,甚至盜打電話情況也有一定程度的緩解)。然而,這種方式不能杜絕用戶接入其他設(shè)備(例如計算機)后對網(wǎng)絡(luò)業(yè)務(wù)設(shè)備的安全威脅。 

 ?。?)將業(yè)務(wù)設(shè)施放入圍墻花園,終端通過網(wǎng)關(guān)獲取服務(wù)。由于網(wǎng)關(guān)是一個協(xié)議翻譯設(shè)備,只要規(guī)定了終端與網(wǎng)關(guān)間的協(xié)議,終端至少無法影響網(wǎng)關(guān)后面的業(yè)務(wù)設(shè)施。該方法實際上限制了智能終端對網(wǎng)關(guān)業(yè)務(wù)設(shè)備的影響,但對網(wǎng)絡(luò)上其他設(shè)備以及終端自身的安全沒有貢獻(xiàn)。 

  終端的智能化是不可阻擋的趨勢,因此限制終端智能并不是限制終端的惟一選擇,也可以限制終端的智能對業(yè)務(wù)網(wǎng)絡(luò)設(shè)備的影響。 

  5.普遍加密的安全模式 

  網(wǎng)絡(luò)與信息安全的完整性和機密性一直令人關(guān)注。加密技術(shù)毫無疑問可顯著提高信息的機密性以及完整性,可保護(hù)的信息包括用戶間或用戶與服務(wù)器間交換的信息及用戶身份信息。在電信網(wǎng)上對信息加密一般有以下幾種情況: 

  (1)固定電話網(wǎng)基于端口認(rèn)證,無需對認(rèn)證信息加密。 

 ?。?)終端在空中加密,進(jìn)入交換網(wǎng)后明文傳送。 

  (3)保密通信由端到端的加密機完成,特殊通信用信道加密機。 

  在互聯(lián)網(wǎng)上,終端都是有很強計算能力的智能終端,使端到端的普遍加密有了可能。隨著成熟加密算法的出現(xiàn),網(wǎng)絡(luò)上很容易實現(xiàn)普遍加密。普遍加密易于保護(hù)端到端通信內(nèi)容的機密性和完整性。然而加密是一把雙刃劍,下一代互聯(lián)網(wǎng)上實施普遍加密存在下列問題: 

 ?。?)加密需要消耗大量資源,大部分信息不需要加密。 

  (2)通信雙方加密需交換密鑰(帶外交換或通過公鑰機制)。 

 ?。?)可能導(dǎo)致非法獲取密鑰,而后為所欲為。 

 ?。?)對業(yè)務(wù)設(shè)施訪問時,大量加密使DOS攻擊更容易。 

 ?。?)在普遍加密的網(wǎng)絡(luò)上難以實施合法監(jiān)聽,對內(nèi)容的監(jiān)控?zé)o法實施。 

  6.基于增加攻擊成本的安全模式 

  最初的互聯(lián)網(wǎng)黑客都是一些技術(shù)上頂尖的能手。其攻擊行為多數(shù)不是為了獲得利益,而是為了顯示技術(shù)實力,為了好玩,搞惡作劇。 

  隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)上的黑客工具變得越來越多,幾乎隨處可見,網(wǎng)絡(luò)上攻擊行為的技術(shù)門檻越來越低,任何人都可通過下載一些軟件來影響網(wǎng)絡(luò)安全。同時,越來越多影響網(wǎng)絡(luò)安全的行為是為了直接獲取利益,諸如通過木馬等工具竊取用戶的銀行賬號和密碼,通過欺騙性的電子郵件、偽造網(wǎng)站及欺騙性的短信進(jìn)行詐騙等。 

  在大量攻擊是為了獲取利益的前提下,可通過增加攻擊成本來減少攻擊。因為當(dāng)攻擊成本大于網(wǎng)絡(luò)攻擊可能帶來的利益時,攻擊行為會自然減少。當(dāng)然,網(wǎng)絡(luò)行為的溯源和威懾也會增加風(fēng)險成本。 

四、思考與建議 

  對下一代互聯(lián)網(wǎng)而言,安全保障可采用多種模式。本文所探討的是幾種有代表性的安全模式。這些模式可主動積極,亦可被動地對不同主體增加安全保障。 

 ?。?)Walled Garden(圍墻花園)的安全模式是適用性較好的一種安全模式,目前已經(jīng)得到較廣泛的應(yīng)用: 

  ●限制終端的圍墻花園可與受限終端結(jié)合使用,用于被訪問內(nèi)容難以限制的情況(國外網(wǎng)站及地址不固定的網(wǎng)站等)。 

  ●基于VPN/專網(wǎng)的圍墻花園可用在收費的增值業(yè)務(wù)網(wǎng)或單位的專網(wǎng),以排除來自互聯(lián)網(wǎng)的攻擊,防止信息泄露到外網(wǎng),從而有利于服務(wù)質(zhì)量保障、內(nèi)容管制及溯源等。 

  ●基于防火墻/網(wǎng)關(guān)的圍墻花園一般用在安全需求還沒有達(dá)到建專網(wǎng)或VPN程度的企業(yè)單位。這種方式的安全保護(hù)程度類似基于VPN/專網(wǎng)的圍墻花園,但受限于防火墻/網(wǎng)關(guān)的功能和性能。 

  ●顧名思義,基于門戶網(wǎng)站的圍墻花園一般用于門戶網(wǎng)站或能控制接入的運營商,它能夠吸引一些慣性比較大,比較“懶”或“專一”的用戶,對信息安全基本沒有貢獻(xiàn)。 

  ●基于用戶注冊的圍墻花園主要用于需要控制接入(收費)的增殖業(yè)務(wù),對網(wǎng)絡(luò)自身安全、終端安全、業(yè)務(wù)設(shè)備安全貢獻(xiàn)較少,但對溯源有一定好處。 

  (2)基于溯源和威懾的安全模式可以廣泛用于保護(hù)各個層面的網(wǎng)絡(luò)安全,一般更有利于內(nèi)容監(jiān)控及有害信息控制等,其典型應(yīng)用是威懾有害網(wǎng)站、垃圾信息發(fā)送者、用戶信息竊取者等。有害信息的瀏覽者一般因人數(shù)過多,無法用溯源和威懾安全模式杜絕,畢竟法不責(zé)眾,而且控制源頭或渠道更加容易。 

  (3)基于綁定身份的安全模式一般需要法律或行政法規(guī)直接支持溯源和威懾。這種安全模式的實施可能對互聯(lián)網(wǎng)的活力有影響,且只有在全球合作的條件下才有較好的效果。 

 ?。?)基于限制終端的安全模式類似于限制終端的圍墻花園,一般用在運營商提供的業(yè)務(wù)終端(例如機頂盒、運營商提供的SIP公話等),而用戶設(shè)備自由接入時對安全保障貢獻(xiàn)不大。 

  (5)基于普遍加密的安全模式有利于用戶信息的機密性和完整性,但在當(dāng)前大量加密算法來源于國外的情況下,對我國國家安全非常不利。該安全模式不應(yīng)提倡使用,但可輔以其他安全模式共同使用。 

 ?。?)基于增加攻擊成本的安全模式一般用在控制垃圾信息發(fā)送的環(huán)境,少量用于加密通信。 

  總之,不同的安全模式可組合使用,對安全模式的選擇和實施需針對具體業(yè)務(wù)具體分析。 


評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉