IP協(xié)議及網(wǎng)絡(luò)安全問(wèn)題的戰(zhàn)略思考

一、引言

　　NGN，3G，3G演進(jìn)及NGBW(下一代寬帶無(wú)線(xiàn))是目前通信業(yè)界非常關(guān)注并在不斷探討的熱點(diǎn)話(huà)題。人們希望，通過(guò)NGN及NGBW來(lái)解決目前各類(lèi)網(wǎng)絡(luò)中的許多問(wèn)題，如網(wǎng)絡(luò)安全問(wèn)題，QoS問(wèn)題、智能網(wǎng)管問(wèn)題，網(wǎng)絡(luò)的移動(dòng)性及匯聚與融合問(wèn)題、前后向兼容平滑演進(jìn)問(wèn)題等。2003年下半年至2004年年中，ITU-T SG13研究組進(jìn)行的標(biāo)準(zhǔn)化工作取得了不少進(jìn)展，在新研究期中將集中精力，專(zhuān)注NGN的研究。2004年6月的ITU-T第13研究組會(huì)議上專(zhuān)門(mén)組建了一個(gè)新的NGN專(zhuān)題組FGNGN(Focus Group on NGN)，以應(yīng)對(duì)NGN發(fā)展的緊迫需要，加強(qiáng)和推進(jìn)NGN方面的研究工作。目前，已成立七個(gè)工作組，分別在業(yè)務(wù)需求、功能體系架構(gòu)和移動(dòng)性，IP-QoS，控制和信令能力、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)演進(jìn)及IP承載能力要求等七個(gè)領(lǐng)域進(jìn)行工作，以滿(mǎn)足國(guó)際上對(duì)全球通用的NGN標(biāo)準(zhǔn)的迫切需求。至今已完成諸多標(biāo)準(zhǔn)建議草案，對(duì)NGN的研究方向、通用參考模型、框架體系、業(yè)務(wù)需求、網(wǎng)絡(luò)功能、網(wǎng)絡(luò)安全及IP承載能力要求、互聯(lián)互通、服務(wù)質(zhì)量、移動(dòng)性管理、可管理的IP網(wǎng)絡(luò)、異構(gòu)網(wǎng)絡(luò)性能和NGN網(wǎng)絡(luò)演進(jìn)融合方式等各個(gè)方面提出了總體要求，為世界各國(guó)的通信運(yùn)營(yíng)商和設(shè)備制造商提供了網(wǎng)絡(luò)發(fā)展和產(chǎn)品研發(fā)的思路和依據(jù)。

　　但客觀地說(shuō)，NGN依然存在不少問(wèn)題和困惑，特別是NGN在分階段務(wù)實(shí)發(fā)展的同時(shí)，如何從戰(zhàn)略高度確立其目標(biāo)框架及目標(biāo)定義及其與分階段實(shí)施的關(guān)系至關(guān)重要。同時(shí)，所謂全I(xiàn)P發(fā)展NGN的策略是否穩(wěn)妥，依然有不少懷疑與爭(zhēng)議。本文擬根據(jù)IP協(xié)議的背景、內(nèi)涵、作用與外延等一系列問(wèn)題，重點(diǎn)就進(jìn)一步發(fā)展IP及NGN的理性戰(zhàn)略思維問(wèn)題談一些個(gè)人看法，供分析參考。

二、IP協(xié)議及NGN的產(chǎn)生背景與必然性

　　眾所周知，IP或TCP/IP協(xié)議是互聯(lián)網(wǎng)Internet發(fā)展的基礎(chǔ)。盡管對(duì)NGN的概念、定義、結(jié)構(gòu)，NGN的發(fā)展是否應(yīng)以IP為基礎(chǔ)，是否采用所謂全I(xiàn)P等這些最基本的問(wèn)題尚未獲得全球性的統(tǒng)一見(jiàn)解，甚至還存在一些較尖銳的分歧，但NGN的背景與必然性，以及IP協(xié)議普及應(yīng)用的基本作用與外延等一系列問(wèn)題是明顯的。

　　(1)20世紀(jì)末期，對(duì)無(wú)縫隙覆蓋全球個(gè)人多媒體通信的需求推動(dòng)了GII建設(shè)的熱潮?；赥CP/IP協(xié)議的Internet技術(shù)由E-mail和VoIP應(yīng)用切入，使Internet/Intranet和WWW飛速發(fā)展，在全球快速普及，廣受歡迎，人們普遍認(rèn)為這可能是未來(lái)GII的一個(gè)發(fā)展方向。

　　(2)隨著數(shù)字傳輸技術(shù)、數(shù)字信號(hào)處理技術(shù)及高級(jí)軟件技術(shù)的進(jìn)展，對(duì)一向處于低效率運(yùn)作狀態(tài)的三網(wǎng)分立的局面，人們普遍感到不滿(mǎn)意，期望IP協(xié)議能成為三網(wǎng)融合的基礎(chǔ)，再借助一系列新技術(shù)逐步實(shí)現(xiàn)三網(wǎng)的融合。IP協(xié)議有可能成為固定與移動(dòng)通信融合的粘接劑，這對(duì)未來(lái)全球個(gè)人通信及GII的實(shí)施至關(guān)重要。

　　(3)以TCP/IP協(xié)議為基礎(chǔ)的Internet設(shè)計(jì)的初衷主要是考慮軍事應(yīng)用及提高抗干擾能力，它是以犧牲網(wǎng)絡(luò)帶寬為代價(jià)的。其網(wǎng)絡(luò)結(jié)構(gòu)及協(xié)議也存在一系列問(wèn)題，是一種非面向連接及盡力而為(BE，Best Efforts)的方式，未顧及移動(dòng)漫游個(gè)性化要求，是一種主要由科研團(tuán)體和/或政府研究機(jī)構(gòu)松散管理下的一種非商業(yè)應(yīng)用網(wǎng)絡(luò)。但進(jìn)入大規(guī)模商用后暴露出來(lái)的安全性，QoS，網(wǎng)絡(luò)智能管理、贏利商業(yè)模式等多方面問(wèn)題，使Internet的NGN2/GNI的發(fā)展面臨嚴(yán)峻挑戰(zhàn)。目前尚無(wú)法找到一種更好的可進(jìn)行大規(guī)模普及操作的網(wǎng)絡(luò)結(jié)構(gòu)，因此現(xiàn)實(shí)的做法理應(yīng)是集思廣益，博采眾長(zhǎng)，吸收各種新概念、新思路及新技術(shù)，使之盡可能全面改進(jìn)，以盡快滿(mǎn)足市場(chǎng)需求，并創(chuàng)造新的增值效益。從某種意義上講，這亦是一種不得已而為之的因勢(shì)利導(dǎo)的現(xiàn)實(shí)主義作法。

　　(4)在“.COM泡沫”的破滅、對(duì)“寬帶泡沫”的質(zhì)疑、對(duì)3G發(fā)展的迷茫及傳統(tǒng)電信業(yè)務(wù)盈利下滑等多種因素的作用下，促使傳統(tǒng)運(yùn)營(yíng)商與制造商急需尋找出一種能平滑演進(jìn)、適應(yīng)市場(chǎng)需求的新一代網(wǎng)絡(luò)結(jié)構(gòu)與多業(yè)務(wù)增長(zhǎng)途徑。20世紀(jì)80年代，PC機(jī)控制軟件與計(jì)算硬件分離，形成充分開(kāi)放的多廠商競(jìng)爭(zhēng)環(huán)境，最終推動(dòng)整個(gè)計(jì)算機(jī)業(yè)的繁榮與發(fā)展，促使人們認(rèn)真思考未來(lái)網(wǎng)絡(luò)的發(fā)展是否應(yīng)走這條道路。

　　(5)隨著軟交換技術(shù)及軟件無(wú)線(xiàn)電技術(shù)的誕生與改進(jìn)，無(wú)論是有線(xiàn)網(wǎng)還是無(wú)線(xiàn)網(wǎng)，均可采用分層、分面及全開(kāi)放模式，基于獨(dú)立的模塊化結(jié)構(gòu)，實(shí)施業(yè)務(wù)驅(qū)動(dòng)，使業(yè)務(wù)、呼叫控制及承載完全分離，從而以?xún)?yōu)良的性能價(jià)格比、前后向兼容的過(guò)渡方式，平滑地向新的以IP為基礎(chǔ)的網(wǎng)絡(luò)演進(jìn)。這些技術(shù)可望成為較現(xiàn)實(shí)的新一代網(wǎng)絡(luò)，即所謂NGN的核心支撐技術(shù)。盡快統(tǒng)一全球標(biāo)準(zhǔn)，與原先提出的GII這一目標(biāo)進(jìn)行協(xié)調(diào)與融合，已成為相關(guān)組織(如ITU-T/R，ETSI，IETF，3GPP，3GPP2，ISC/IPCC，TINA/TIMNA，MSF，OMA等)的共同愿望。

　　盡管在IP協(xié)議及NGN問(wèn)題上，人們?cè)诟拍?、定義和結(jié)構(gòu)等方面均明顯存在含混不清及不同理解之處，依然成為全球各大標(biāo)準(zhǔn)組織、運(yùn)營(yíng)商、制造商、研究開(kāi)發(fā)及政府相關(guān)部門(mén)共同關(guān)注的熱點(diǎn)，并在加緊探索各種務(wù)實(shí)發(fā)展途徑。這無(wú)論對(duì)固定或移動(dòng)，對(duì)公網(wǎng)/共網(wǎng)及專(zhuān)網(wǎng)，對(duì)地面或空間，均是如此。

三、IP化是大勢(shì)所趨

　　目前，IP化已是大勢(shì)所趨，故NGN應(yīng)以IP為主要考慮前提。

　　1.NGN發(fā)展的目標(biāo)戰(zhàn)略

　　NGN應(yīng)是能提供各種多媒體業(yè)務(wù)的綜合網(wǎng)絡(luò)，支持固定和移動(dòng)的融合及傳統(tǒng)電信業(yè)務(wù)和廣播業(yè)務(wù)的融合，是有線(xiàn)/無(wú)線(xiàn)網(wǎng)絡(luò)元素、計(jì)算機(jī)系統(tǒng)、家庭外圍設(shè)備、智能工具等組成的綜合融合環(huán)境。NGN必須能折衷滿(mǎn)足不同業(yè)務(wù)質(zhì)量及物理接口的要求，在業(yè)務(wù)管理、網(wǎng)絡(luò)管理、智能化、個(gè)性化服務(wù)等方面均可提供完備的機(jī)制。

　　縱觀全球，盡管尚未對(duì)NGN給出一個(gè)統(tǒng)一清晰的定義，但在一些基本點(diǎn)上已達(dá)成共識(shí)，即NGN是基于分組交換的網(wǎng)絡(luò)，分組交換一般是基于IP協(xié)議；以市場(chǎng)與業(yè)務(wù)驅(qū)動(dòng)為導(dǎo)向，將呼叫控制與網(wǎng)絡(luò)傳送層及業(yè)務(wù)層完全分離；網(wǎng)絡(luò)結(jié)構(gòu)分層，各層間有開(kāi)放的標(biāo)準(zhǔn)接口；業(yè)務(wù)承載網(wǎng)與業(yè)務(wù)網(wǎng)應(yīng)能有效地彼此分離；核心傳送網(wǎng)為高帶寬光傳送網(wǎng)；網(wǎng)絡(luò)具有滿(mǎn)意的服務(wù)質(zhì)量保證和合理的安全保證；網(wǎng)絡(luò)是可維護(hù)、可運(yùn)營(yíng)的，并且是可贏利的多業(yè)務(wù)網(wǎng)絡(luò)；網(wǎng)絡(luò)應(yīng)支持包括終端移動(dòng)性和用戶(hù)移動(dòng)性在內(nèi)的廣泛移動(dòng)性。

　　從廣義角度看，應(yīng)該說(shuō)，NGN是一種目標(biāo)網(wǎng)絡(luò)，而不是下一代Internet網(wǎng)，亦不是下一代PSTN電話(huà)網(wǎng)及下一代電信網(wǎng)與下一代有線(xiàn)電視網(wǎng)及廣播電視網(wǎng)，而是由新的分組交換傳送及以IP協(xié)議為基礎(chǔ)的融語(yǔ)音、視象、數(shù)據(jù)于一體的一種全新的網(wǎng)絡(luò)。它將真正使網(wǎng)絡(luò)設(shè)施不受時(shí)間、空間和帶寬的限制，充分實(shí)現(xiàn)網(wǎng)絡(luò)的個(gè)性化與個(gè)體化，使基于網(wǎng)絡(luò)的虛擬世界與現(xiàn)實(shí)世界完美地融合起來(lái)，具有所謂接近于零的網(wǎng)絡(luò)時(shí)延與優(yōu)良的網(wǎng)絡(luò)端到端QoS性能，令人滿(mǎn)意的網(wǎng)絡(luò)與系統(tǒng)的可靠性與可用性，以及足以信賴(lài)的網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)管理可達(dá)到全局智能化，既有利于可贏利商業(yè)模式運(yùn)作的集中智能網(wǎng)管，又可將網(wǎng)絡(luò)智能分布化，保持與發(fā)揚(yáng)Internet終端智能化的長(zhǎng)處，摒棄其整體網(wǎng)管弱智與缺乏可贏利商業(yè)模式運(yùn)作的嚴(yán)重缺憾。網(wǎng)絡(luò)接入可達(dá)到普遍靈活、多樣化、個(gè)性化的5W(5A)方式的無(wú)縫隙寬帶接入，有跨協(xié)議、跨標(biāo)準(zhǔn)國(guó)際漫游能力，以市場(chǎng)與業(yè)務(wù)驅(qū)動(dòng)為導(dǎo)向，將呼叫控制與網(wǎng)絡(luò)傳送層及業(yè)務(wù)層完全分離，可進(jìn)行服務(wù)的快速布設(shè)與移植，可充分利用平臺(tái)的分布性、開(kāi)放性與標(biāo)準(zhǔn)性，積極調(diào)動(dòng)運(yùn)營(yíng)商及第三方的創(chuàng)造性。它是具有快速豐富業(yè)務(wù)種類(lèi)與市場(chǎng)應(yīng)用等特征的一種理想化的網(wǎng)絡(luò)，可充分滿(mǎn)足社會(huì)與個(gè)人愈來(lái)愈高的綜合性全球通信要求，具有多業(yè)務(wù)、高質(zhì)量、寬帶化、分組化、智能化、移動(dòng)性、分組性、安全性、開(kāi)放性、分布性、兼容性及可管理性與可贏利性等一系列全業(yè)務(wù)綜合運(yùn)作的基本特征。這是目前Internet網(wǎng)、電信網(wǎng)、移動(dòng)網(wǎng)、廣播電視網(wǎng)及專(zhuān)用通信網(wǎng)等均不能全面具備的基本特征，亦是它們按NGN定義與框架目標(biāo)要求進(jìn)一步演進(jìn)、集成、協(xié)同、匯聚與融合所期望達(dá)到的目標(biāo)要求的基本特征。因此，各類(lèi)在NGN概念導(dǎo)引下前向演進(jìn)產(chǎn)生的新一代網(wǎng)絡(luò)均為NGN集合的子集。

　　顯然，按上述框架目標(biāo)實(shí)施的NGN決不可能輕而易舉地一步到位，必然是一個(gè)積極穩(wěn)妥、科學(xué)務(wù)實(shí)地分階段向GII逐步演進(jìn)發(fā)展的漫漫征途。因此，從定義和實(shí)施策略看，制定明確、科學(xué)、穩(wěn)健的長(zhǎng)遠(yuǎn)性及各階段性的NGN務(wù)實(shí)發(fā)展步驟依然十分必要。應(yīng)該說(shuō)，從現(xiàn)在至今后五到十五年左右，NGN依然處在其初始發(fā)展階段。在此階段，應(yīng)較好地解決啟動(dòng)問(wèn)題，堅(jiān)定地邁出成功的第一步。這一方面需要較滿(mǎn)意地完成NGN的確切定義、基本框架目標(biāo)、階段實(shí)施途徑等基本標(biāo)準(zhǔn)化工作，另一方面NGN的三大組成部分，即下一代因特網(wǎng)(GNI)、下一代電信網(wǎng)(NGTN)、下一代移動(dòng)網(wǎng)(NGMN)均應(yīng)根據(jù)自身發(fā)展基礎(chǔ)，積極按NGN的基本概念、定義、目標(biāo)要求等制訂與實(shí)施務(wù)實(shí)發(fā)展策略，從技術(shù)層面、系統(tǒng)結(jié)構(gòu)與市場(chǎng)模式彼此滲透，并一步步匯聚與有機(jī)融合。例如，GNI應(yīng)以引入IPv6以及網(wǎng)格技術(shù)與業(yè)務(wù)為中心，同時(shí)改進(jìn)TCP/UDP等一系列相關(guān)協(xié)議，使GNI在未來(lái)寬帶多媒體、多業(yè)務(wù)時(shí)代首先實(shí)現(xiàn)可管理、可贏利。

　　NGTN以軟交換技術(shù)為核心，試驗(yàn)探索及啟動(dòng)實(shí)施則基于TDM的電路型PSTN語(yǔ)音網(wǎng)絡(luò)和ATM/IP分組型網(wǎng)絡(luò)向初級(jí)NGN網(wǎng)絡(luò)的融合演進(jìn)，使所期望的NGN低建設(shè)成本、低運(yùn)營(yíng)花費(fèi)、多業(yè)務(wù)高創(chuàng)收、有效的前后向兼容平滑演進(jìn)及充分發(fā)揮用戶(hù)積極性和創(chuàng)造性等優(yōu)點(diǎn)有所體現(xiàn)。NGMN以3G及3G演進(jìn)為中心，并有機(jī)融合802.xy，包括終端、業(yè)務(wù)與應(yīng)用在內(nèi)，制訂與2.5G有差異化的務(wù)實(shí)發(fā)展策略與商業(yè)模式。

　　作為NGN啟動(dòng)發(fā)展的有效步驟，以軟交換為中心，或以IPv6及網(wǎng)格技術(shù)與業(yè)務(wù)為中心，務(wù)實(shí)推進(jìn)是十分必要的。與此同時(shí)，必須站在目標(biāo)NGN角度，進(jìn)行更全面與更長(zhǎng)遠(yuǎn)的規(guī)劃與思考。以軟交換為例，用軟交換機(jī)改造現(xiàn)有PSTN網(wǎng)絡(luò)及其“硬”交換機(jī)時(shí)，切忌將其理解為只是由“硬”到“軟”的設(shè)備與技術(shù)的更替。這樣，很容易回歸到PSTN的封閉性理念與框架的怪圈之中，從而違背NGN目標(biāo)的初衷。就NGTN而言，它不僅僅是由TDM技術(shù)轉(zhuǎn)化為IP分組技術(shù)。從應(yīng)用與多業(yè)務(wù)層面看，更重要的是應(yīng)按NGN目標(biāo)框架，將原有僵化的端到端連接型控制機(jī)制轉(zhuǎn)變?yōu)殪`活、豐富、多樣化的會(huì)話(huà)型控制機(jī)制，將原有的由個(gè)體網(wǎng)元集中控制的管理模式轉(zhuǎn)變?yōu)橘Y源自適應(yīng)均衡調(diào)配的分布式網(wǎng)絡(luò)控制管理模式，將原有缺乏前向擴(kuò)展能力的單一業(yè)務(wù)壟斷經(jīng)營(yíng)模式轉(zhuǎn)變?yōu)槎鄻I(yè)務(wù)/綜合業(yè)務(wù)的共贏價(jià)值鏈經(jīng)營(yíng)模式，并充分發(fā)揮第三方的天才與創(chuàng)造性。在具體規(guī)劃和實(shí)施各類(lèi)NGN起步工作時(shí)，應(yīng)時(shí)刻牢記、并有效貫徹這些總目標(biāo)。

　　2.NGN應(yīng)以IP為主要考慮前提

　　如上所述，NGN以分組交換傳送為基礎(chǔ)及多(全)業(yè)務(wù)網(wǎng)絡(luò)的分組化在IP，MPLS，ATM和Ethernet方面已獲得共識(shí)。很明顯，MPLS及Ethernet與IP是完全可以協(xié)調(diào)發(fā)展的，主要分歧僅在于IP與ATM誰(shuí)更適合。這依然是一個(gè)重要問(wèn)題，因?yàn)樗鼘?duì)確定NGN的發(fā)展基礎(chǔ)與前提至關(guān)緊要。

　　在確立NGN的基本發(fā)展策略時(shí)，應(yīng)根據(jù)其基本技術(shù)特征與長(zhǎng)期的市場(chǎng)檢驗(yàn)和選擇的結(jié)果，明確NGN以分組交換為基礎(chǔ)，以IP為主要考慮前提，否則將無(wú)益于推進(jìn)以IP為基礎(chǔ)的NGN的創(chuàng)新與發(fā)展。當(dāng)然，并不排斥在NGN的階段發(fā)展過(guò)程中充分合理地利用ATM在一定階段上尚存在的可能作用與價(jià)值，以及吸取ATM的某些有益理念，使NGN以IP為基礎(chǔ)的QoS控制及VPN的發(fā)展獲得強(qiáng)有力的支撐。退一步說(shuō)，如果ATM果真出現(xiàn)奇跡般的長(zhǎng)進(jìn)，比起更新演進(jìn)后的IP來(lái)，全局含義上更為合適，也可由市場(chǎng)作出最后抉擇。但歸根結(jié)蒂，在這一點(diǎn)上至今并未發(fā)現(xiàn)有任何可能的跡象，因此認(rèn)定NGN以分組交換為基礎(chǔ)，以IP為主要考慮前提，應(yīng)該是一種明智的現(xiàn)實(shí)選擇。

　　事實(shí)上，ATM的興衰亦與數(shù)據(jù)交換的發(fā)展緊密相關(guān)。應(yīng)該說(shuō)，ATM是后來(lái)者，它比Ethernet及Internet晚了近2O年，比個(gè)人電腦亦晚了近15年。上世紀(jì)9O年代初，在語(yǔ)音/數(shù)據(jù)集成及端到端QoS控制方面，ATM深受青睞，當(dāng)時(shí)人們甚至認(rèn)為，以太網(wǎng)交換技術(shù)僅僅是延長(zhǎng)其陳舊技術(shù)生命的一種權(quán)宜之計(jì)而已。因?yàn)閺淖罴严到y(tǒng)設(shè)計(jì)的負(fù)荷平衡理論觀點(diǎn)看，以太網(wǎng)速率低，集線(xiàn)器采用共享式的CSMA/CD(載波偵聽(tīng)多址連接/沖突檢測(cè))模式運(yùn)作，當(dāng)用戶(hù)上網(wǎng)增多時(shí)，就會(huì)導(dǎo)致傳送瓶頸，更談不上QoS保證。因此，千兆比第三層交換機(jī)出現(xiàn)之前，ATM被視為更新核心網(wǎng)交換的惟一合適途徑。然而，始料不及的是，市場(chǎng)驅(qū)動(dòng)的魔力使以太網(wǎng)經(jīng)受住了嚴(yán)峻的挑戰(zhàn)，七年內(nèi)將網(wǎng)絡(luò)速度提高了兩個(gè)量級(jí)。而ATM的所謂端到端連接忽視了至關(guān)重要的臺(tái)式機(jī)用戶(hù)，需要在終端用戶(hù)處附加許多軟硬件設(shè)備。從節(jié)省成本角度看，快速以太網(wǎng)顯然占上風(fēng)。而且，ATM/以太網(wǎng)的混合環(huán)境使網(wǎng)絡(luò)分割與重組開(kāi)銷(xiāo)很大，在圖像處理等計(jì)算密集場(chǎng)合無(wú)法容忍，ATM的很多應(yīng)用便顯得缺乏實(shí)用性。ATM的結(jié)構(gòu)嚴(yán)謹(jǐn)，但缺乏靈活性，且價(jià)格昂貴。以太網(wǎng)的GB/1OGB高速交換的進(jìn)展及由LAN向MAN/WAN的擴(kuò)展，Internet及IP的爆炸性增長(zhǎng)與IP QoS的逐步進(jìn)展，終于使人們認(rèn)定，ATM只能退居市場(chǎng)中的過(guò)渡地位，逐步走下坡路，這是市場(chǎng)選擇的結(jié)果。與此同時(shí)，人們對(duì)IP QoS的信心與決心日益增加。由于傳輸資源的緊缺與昂貴，本來(lái)可利用提高節(jié)點(diǎn)設(shè)備ATM交換機(jī)的復(fù)雜度和提供QoS控制能力以換取傳輸資源帶寬能力的不足，這是一種有效的互補(bǔ)性選擇。但歷史的發(fā)展證明，不用說(shuō)核心層面，甚至接入層面，帶寬資源已愈來(lái)愈顯得不那么稀缺昂貴。同時(shí)，IP技術(shù)帶來(lái)的多業(yè)務(wù)的增值靈活性、價(jià)位的吸引力以及日益完善的IP-QoS技術(shù)的安全性，使移動(dòng)、固定及衛(wèi)星通信等原本資源最受限的無(wú)線(xiàn)傳輸與接入手段亦均無(wú)例外地選擇ATM作為一種過(guò)渡的權(quán)宜之計(jì)，而將長(zhǎng)遠(yuǎn)目標(biāo)均鎖定在以IP為基礎(chǔ)上。3G及3G演進(jìn)的全I(xiàn)P NGWB選擇即為其明顯示例，且未引起過(guò)多的質(zhì)疑。因此，圍繞ATM與IP選擇的爭(zhēng)論實(shí)際上是沒(méi)有必要的。認(rèn)為NGN以分組交換為基礎(chǔ)，以IP為主要考慮前提，應(yīng)該是一種明智有益且較現(xiàn)實(shí)的選擇。

　　3.以用戶(hù)新業(yè)務(wù)需求為驅(qū)動(dòng)力IP化已成全球發(fā)展現(xiàn)實(shí)

　　如上所述，以IP為基礎(chǔ)的Internet的普及商用成功已造就一張覆蓋全球的Internet大網(wǎng)。在此大網(wǎng)上，盡管有大量的麻煩與問(wèn)題不斷產(chǎn)生，但也已有大量IP業(yè)務(wù)在運(yùn)行和使用，亦有大量支持IP的業(yè)務(wù)開(kāi)發(fā)人員、運(yùn)行維護(hù)人員在運(yùn)作，并正在投入大量人力、物力與財(cái)力，針對(duì)IP商用暴露出來(lái)的弊端對(duì)IP技術(shù)進(jìn)行改進(jìn)，大力開(kāi)發(fā)各類(lèi)IP新業(yè)務(wù)與新應(yīng)用，努力推進(jìn)IPv6，GNI，100×1OO項(xiàng)目及美國(guó)國(guó)防網(wǎng)格網(wǎng)，向目標(biāo)NGN邁進(jìn)，這已是不爭(zhēng)的事實(shí)。

　　實(shí)踐證明，業(yè)務(wù)與承載可分離的充分開(kāi)放的IP平臺(tái)為業(yè)務(wù)與應(yīng)用創(chuàng)新提供了廣闊的發(fā)展空間，門(mén)戶(hù)網(wǎng)站、搜索引擎，P2P(Peer to Peer)等應(yīng)用無(wú)一不是其開(kāi)放性的創(chuàng)新碩果。隨著IP QoS的一步步改進(jìn)，VoIP不僅在專(zhuān)線(xiàn)專(zhuān)網(wǎng)，而且在長(zhǎng)途/本地市話(huà)方面，包括VoIP的O/P-WLAN運(yùn)用在內(nèi)，均已經(jīng)或正在逐步走向成熟，逐步達(dá)到電信級(jí)運(yùn)營(yíng)要求。IP平臺(tái)上的寬帶數(shù)據(jù)業(yè)務(wù)，包括(準(zhǔn))實(shí)時(shí)流媒體及視頻業(yè)務(wù)IPTV等均已顯露出其芒鋒與潛力。即便對(duì)ATM而言，亦未歷經(jīng)大規(guī)模、大范圍視頻業(yè)務(wù)的傳送檢驗(yàn)。如果要投入巨大的人力、財(cái)力、物力去嘗試E-mail/WWW/FTP/TelNet乃至(準(zhǔn))實(shí)時(shí)流媒體、雙向視頻over TDM/ATM等，簡(jiǎn)直不堪設(shè)想。因此，目前逐步由IP over Everything轉(zhuǎn)移至Everything over IP絕非偶然，這是市場(chǎng)需求導(dǎo)向檢驗(yàn)與選擇的結(jié)果。雖然在這一進(jìn)程中并非一切盡善盡美，但以用戶(hù)新業(yè)務(wù)需求為驅(qū)動(dòng)力的IP化，確實(shí)成了大勢(shì)所趨，已在全球成為無(wú)可否認(rèn)的現(xiàn)實(shí)。

四、IP協(xié)議存在的問(wèn)題與發(fā)展的戰(zhàn)略思考

　　1.IP協(xié)議的問(wèn)題所在

　　如上所述，根據(jù)以TCP/IP協(xié)議為基礎(chǔ)的Internet的發(fā)展歷程可知，IP協(xié)議最可取的內(nèi)涵與作用在于其充分的開(kāi)放透明性與靈活有效的多業(yè)務(wù)增值能力。然而，在開(kāi)放透明的同時(shí)，也往往更容易“充分暴露”，自然也容易受到攻擊。在Internet商用化后暴露出來(lái)的一系列問(wèn)題中，最棘手、解決難度最大的問(wèn)題就是安全性問(wèn)題。

　　對(duì)IP協(xié)議的安全性問(wèn)題，最尖銳的觀點(diǎn)來(lái)自TINA/TIMNA。TINA/TIMNA的觀點(diǎn)很明確，認(rèn)為NGN不應(yīng)該是“全I(xiàn)P化的網(wǎng)絡(luò)”，而應(yīng)該是一種以“中間件(Middleware)為基礎(chǔ)的網(wǎng)絡(luò)。TINA支持ITU-T建議Y.130的ICA(信息通信結(jié)構(gòu)，Information Communication Architecture)，認(rèn)為Internet及其IP網(wǎng)的三大缺陷是安全失控，QoS無(wú)保障及網(wǎng)管弱智。全I(xiàn)P化即使使用IPv6也不能有本質(zhì)性的變化，必須從中間件層入手，才能真正取得隔離功能及解決安全問(wèn)題。IP協(xié)議結(jié)構(gòu)象“明信片”，源/目的地和內(nèi)容三者關(guān)聯(lián)，全局暴露，是其易受攻擊與無(wú)法解決好安全性問(wèn)題的根本所在。“IP決定一切”違背分層網(wǎng)設(shè)計(jì)“應(yīng)用決定一切”的公認(rèn)理念，造成事實(shí)上的本末倒置。有結(jié)構(gòu)的進(jìn)化，才能有功能的突破。“未來(lái)網(wǎng)技術(shù)IP不是惟一的選擇”。TINA支持以ICA為基礎(chǔ)向NGN演進(jìn)。

　　應(yīng)該說(shuō)，TINA/TIMNA提出的看法是有價(jià)值的，尤其是它一針見(jiàn)血地指出了IP協(xié)議安全失控的本質(zhì)所在。實(shí)際上，仔細(xì)分析PSTN，ATM及IP網(wǎng)絡(luò)結(jié)構(gòu)可更充分理解IP網(wǎng)易受攻擊的原委。

　　一般情況下，安全攻擊多半在終端發(fā)起。PSTN的終端本質(zhì)上是傻瓜型，兼之PSTN的收費(fèi)模式，若想在終端入手發(fā)起大規(guī)模攻擊，成本很高，難以操作。在PSTN的用戶(hù)端與網(wǎng)絡(luò)端，UNI與NNI彼此分離，業(yè)務(wù)的提供及控制權(quán)均在運(yùn)營(yíng)商手中。沒(méi)有運(yùn)營(yíng)商的參與，用戶(hù)難于在終端玩新花樣、播發(fā)病毒及發(fā)動(dòng)攻擊。就算客戶(hù)想做手腳，追查亦較方便。因?yàn)镻STN對(duì)所有終端均按E.164碼號(hào)規(guī)則賦予全球惟一的公開(kāi)編號(hào)。此外，當(dāng)PSTN提供IP網(wǎng)接入服務(wù)時(shí)，PSTN僅作為IP網(wǎng)的鏈路層接入，IP數(shù)據(jù)只是在PSTN上透?jìng)?，故無(wú)法在PSTN接入IP之際從IP網(wǎng)攻擊PSTN。由此可以看出，PSTN的網(wǎng)絡(luò)與終端安全性較好，而其喪失的則是靈活有效的寬帶多業(yè)務(wù)增值能力。

　　ATM雖然同屬分組型技術(shù)，但ATM并無(wú)直接的終端業(yè)務(wù)與用戶(hù)。對(duì)用戶(hù)而言，只是提供一個(gè)邏輯“專(zhuān)網(wǎng)”。用戶(hù)只能在自己的“專(zhuān)網(wǎng)”中運(yùn)作，無(wú)能力亦無(wú)可能發(fā)送ATM網(wǎng)絡(luò)可識(shí)別或要識(shí)別的信令與業(yè)務(wù)數(shù)據(jù)。同樣，ATM的UNI與NNI是分離的，網(wǎng)絡(luò)只是為用戶(hù)提供透?jìng)鞴δ?，其信令、業(yè)務(wù)數(shù)據(jù)等對(duì)用戶(hù)而言是不可見(jiàn)的，用戶(hù)無(wú)法產(chǎn)生惡意數(shù)據(jù)對(duì)ATM進(jìn)行攻擊。相應(yīng)地，ATM網(wǎng)絡(luò)與網(wǎng)絡(luò)間的安全性則是靠運(yùn)營(yíng)規(guī)則與運(yùn)營(yíng)商間的信任關(guān)系和協(xié)同合作予以保證。而且，由于用戶(hù)只能在自己所在的網(wǎng)絡(luò)中運(yùn)作，即便能發(fā)動(dòng)攻擊，亦只能攻擊自己網(wǎng)絡(luò)內(nèi)的有限用戶(hù)，故很容易追查。因此，ATM網(wǎng)絡(luò)雖有較好的安全性保證，但卻帶來(lái)了寬帶多業(yè)務(wù)增值的不靈活、不方便與不經(jīng)濟(jì)等缺點(diǎn)。

　　IP網(wǎng)絡(luò)如同信息的明信片傳送，沒(méi)有UNI與NNI的分離問(wèn)題，運(yùn)營(yíng)商設(shè)備、協(xié)議乃至網(wǎng)絡(luò)拓樸對(duì)用戶(hù)均是開(kāi)放可見(jiàn)的。用戶(hù)端產(chǎn)生的IP信息，無(wú)論在用戶(hù)端或在網(wǎng)絡(luò)中均可傳送。通過(guò)用戶(hù)端與運(yùn)營(yíng)商網(wǎng)絡(luò)交換非法的惡意路由信息，即可對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的路由器、接入服務(wù)器等設(shè)備及三層以上設(shè)備實(shí)施攻擊。與此同時(shí)，位于IP網(wǎng)絡(luò)邊際的用戶(hù)側(cè)的網(wǎng)絡(luò)與業(yè)務(wù)/應(yīng)用，一般均使用TCP/UDP/IP這一基礎(chǔ)技術(shù)。這導(dǎo)致用戶(hù)間在IP層及應(yīng)用層等各層面彼此透明可見(jiàn)，從而為惡意用戶(hù)攻擊對(duì)方網(wǎng)絡(luò)及相應(yīng)的業(yè)務(wù)/應(yīng)用大開(kāi)了方便之門(mén)。IP網(wǎng)絡(luò)的終端高度智能化及多業(yè)務(wù)能力，使終端用戶(hù)發(fā)動(dòng)攻擊變得容易，又增加了識(shí)別與防范各類(lèi)花樣繁多的安全攻擊的難度。由于多種業(yè)務(wù)綜合承載在同一網(wǎng)絡(luò)上，難以分辯與確定用戶(hù)間的信任關(guān)系，導(dǎo)致惡意用戶(hù)很容易找準(zhǔn)對(duì)象，發(fā)動(dòng)攻擊。而被攻擊的用戶(hù)實(shí)際上難以分清哪些是合法用戶(hù)的正常訪(fǎng)問(wèn)，哪些是非法用戶(hù)侵入或惡意攻擊。

　　鑒于IP網(wǎng)絡(luò)及技術(shù)發(fā)展快速，在協(xié)議設(shè)計(jì)及軟件開(kāi)發(fā)中難以避免的缺陷與漏洞在大規(guī)模應(yīng)用之前來(lái)不及測(cè)試，故難于發(fā)現(xiàn)并將其徹底排除，這亦給惡意攻擊造成了各種可乘之機(jī)。此外，IP用戶(hù)身份難以識(shí)別，導(dǎo)致很難跟蹤及遏止攻擊者。而且，IP高度智能的終端及其寬帶化，加上其有利的計(jì)費(fèi)模式，更有利于惡意用戶(hù)方便且低成本地有效實(shí)施大規(guī)模攻擊。制造這類(lèi)攻擊的技術(shù)難度變得愈來(lái)愈容易，從而使得這類(lèi)非法入侵及惡意攻擊有增無(wú)減，肆意蔓延，防不勝防，令人擔(dān)憂(yōu)。當(dāng)然，IP協(xié)議的開(kāi)放透明性所導(dǎo)致的安全性弊端，亦帶來(lái)了其靈活有效的寬帶多業(yè)務(wù)增值能力，便于互聯(lián)互通及有效降低成本等明顯的市場(chǎng)應(yīng)用優(yōu)勢(shì)與吸引力。

　　目前，黑客、病毒似乎愈殺愈烈，泛濫成災(zāi)，已成為安全計(jì)算及IP網(wǎng)絡(luò)安全運(yùn)作的頭等隱患。例如，2004年新病毒增加了52%。瑞星報(bào)告指出，其中有十大病毒對(duì)用戶(hù)造成的破壞最大：網(wǎng)絡(luò)天空(Worm.Netsky，占總病毒數(shù)的39.9%)、愛(ài)情后門(mén)(Worm.Lovgate，21.3%)、SCO炸彈(Worm.Novarg，7.7%)、小郵差(Worm.Mimail，1.5%)、垃圾桶(Worm.Lentin.M，0.9%)、惡鷹(Worm.BBeagle，0.8%)，求職信(Worm.Klez，O.5%)、高波(Worm.Agobot.3，0.5%)、震蕩波(Worm.Sasser，0.4%)及瑞波(Backdoor.Rbot，0.4%)。而且，黑客和病毒威脅呈現(xiàn)四大發(fā)展趨勢(shì)：變種病毒數(shù)量翻番劇增，防不勝防。從漏洞被發(fā)現(xiàn)到攻擊病毒出現(xiàn)的時(shí)間間隔越來(lái)越短，國(guó)產(chǎn)型木馬病毒及后門(mén)程序成為主流，目標(biāo)直指網(wǎng)民真實(shí)財(cái)產(chǎn)以及“網(wǎng)絡(luò)釣魚(yú)”(Phishing)形式的詐騙病毒活動(dòng)明顯增加等。顯然，在這十大病毒中，有九種為蠕蟲(chóng)病毒。就對(duì)用戶(hù)的危害性而言，蠕蟲(chóng)病毒依然是最為嚴(yán)重的。病毒變種之所以快速增長(zhǎng)蔓延，一個(gè)重要原因是很多病毒源代碼借助于網(wǎng)絡(luò)被病毒作者公開(kāi)并提供下載，甚至有些代碼還包括完整的說(shuō)明文檔及相應(yīng)工具和示例，易于普及傳播，毋需特別技能，僅需修改配置文件和部分源代碼便可編譯生成一個(gè)新的變種病毒。這是對(duì)公開(kāi)性(包括源代碼公開(kāi)在內(nèi))造成的負(fù)面影響的一種直接諷刺，亦說(shuō)明如何正確認(rèn)識(shí)與控制一種事物的正反兩個(gè)方面是何等重要。

　　由這些分析可充分看出IP網(wǎng)絡(luò)安全問(wèn)題的本質(zhì)之所在。就象SARS情況一樣，只有控制其病源，才能控制其蔓延。因此，尋找IP網(wǎng)絡(luò)的有效安全對(duì)策，尤為緊要。

　　其實(shí)，IP和Internet研究的權(quán)威機(jī)構(gòu)——IETF，對(duì)現(xiàn)有Internet及IP協(xié)議的缺陷與不足亦有足夠的認(rèn)識(shí)，列舉出Internet下一步發(fā)展面臨的十大技術(shù)問(wèn)題：身份識(shí)別技術(shù)、保護(hù)IPR技術(shù)、保護(hù)個(gè)人隱私技術(shù)、新一代Internet通信協(xié)議IPv6技術(shù)、下一代Internet結(jié)構(gòu)的網(wǎng)格(Grid)技術(shù)、無(wú)線(xiàn)Internet技術(shù)、傳統(tǒng)電話(huà)網(wǎng)與Internet融合的技術(shù)、更有效地在網(wǎng)上傳輸?shù)囊曨l技術(shù)、防止垃圾郵件的過(guò)濾技術(shù)及網(wǎng)絡(luò)安全技術(shù)。如果無(wú)法在網(wǎng)絡(luò)安全、個(gè)人隱私及IPR保護(hù)方面取得突破，Internet將無(wú)法成為一種真正可信的商業(yè)工具。當(dāng)然，IETF相信，在采取一系列有效措施后，如改進(jìn)IP協(xié)議，改進(jìn)TCP/UDP協(xié)議，縮短路由及傳輸時(shí)延，提高傳輸效率及質(zhì)量，實(shí)施有效的全球大容量移動(dòng)擴(kuò)展，訪(fǎng)問(wèn)與漫游，提高網(wǎng)絡(luò)安全性及改進(jìn)網(wǎng)絡(luò)管理能力等，新的IP網(wǎng)是能夠擔(dān)當(dāng)起NGN重任的。而此十大技術(shù)問(wèn)題中有一半以上與安全性有關(guān)，可見(jiàn)IP安全性的實(shí)際嚴(yán)重性?？梢哉f(shuō)，IP問(wèn)題的最大難點(diǎn)是其安全性，其次是IP QoS。

　　2.IP發(fā)展的戰(zhàn)略思考

　　(1)解決IP及NGN發(fā)展問(wèn)題的總體策略思考

　　無(wú)論是IP(包括“后IP”創(chuàng)新)還是NGN的發(fā)展，不定因素與風(fēng)險(xiǎn)很多，仍應(yīng)遵循“積極、穩(wěn)妥、科學(xué)、求實(shí)”這一總方針行事。任何“過(guò)熱”炒作，“過(guò)冷”悲觀均不適當(dāng)。既要盡可能避免“泡沫”的發(fā)生，又應(yīng)博采眾長(zhǎng)，大膽努力創(chuàng)新。

　　有關(guān)“泡沫”問(wèn)題，應(yīng)辯證思維，盲目“跟風(fēng)”應(yīng)絕對(duì)避免。至于所謂泡沫，往往與不科學(xué)、不切實(shí)際及不務(wù)實(shí)有關(guān)，應(yīng)盡量根據(jù)科學(xué)求實(shí)的原則，避免“泡沫”的產(chǎn)生。但有些“泡沫”的產(chǎn)生是有其前因后果的，生成原因極為復(fù)雜。一方面，要分析其原因并充分汲取教訓(xùn)，盡量避免泡沫的發(fā)生。但另一方面，應(yīng)盡快將消極因素轉(zhuǎn)化為積極因素，創(chuàng)造新的現(xiàn)實(shí)價(jià)值和長(zhǎng)期價(jià)值。“.Com”高科技泡沫就是一個(gè)典型實(shí)例。其實(shí)，IP及Internet本身就是一個(gè)具有長(zhǎng)期潛價(jià)值的令全球矚目的偉大創(chuàng)新。盡管人們往往有“一朝被蛇咬，十年怕井繩”的心理，但對(duì)IP及NGN的發(fā)展，不能因?yàn)楹ε?ldquo;泡沫”的可能發(fā)生而影響積極創(chuàng)新與推進(jìn)。對(duì)此，2002年諾貝爾經(jīng)濟(jì)學(xué)獎(jiǎng)得主弗農(nóng)史密斯(Vernon Smith)有一句名言，即“每個(gè)泡沫都因偉大的技術(shù)創(chuàng)新而引起，這些技術(shù)為人類(lèi)創(chuàng)造了大量的長(zhǎng)期價(jià)值”。筆者以為，在推進(jìn)IP及NGN發(fā)展時(shí)，應(yīng)從V.Smith的名言中吸取一定營(yíng)養(yǎng)，盡量避免“泡沫”的發(fā)生。新技術(shù)、新系統(tǒng)及新事物的發(fā)展多多少少均遵循描述可行性與成熟性關(guān)系的所謂超級(jí)循環(huán)(HyPer Cycle)曲線(xiàn)，亦是類(lèi)似的道理。

　　(2)IP安全性發(fā)展戰(zhàn)略思考

　　如上所述，TINA/TIMNA提出的有關(guān)IP安全失控的結(jié)構(gòu)缺陷的論述是有道理的。IP包結(jié)構(gòu)兼含“內(nèi)容”加“地址”(源地址及目的地址)，在網(wǎng)內(nèi)傳送時(shí)，來(lái)龍去脈清楚，自我暴露性強(qiáng)。借助地址引導(dǎo)，有利于黑客通過(guò)“地址過(guò)濾”技術(shù)按選定地址竊取網(wǎng)上信息及實(shí)施攻擊。于是，提出了以“中間件”層的ICA結(jié)構(gòu)解決這一難題的方案。盡管其具體操作方法尚需探討，但指明其“中間件”層的突出作用是正確的。在目前推進(jìn)以IP為基礎(chǔ)的NGN的發(fā)展過(guò)程中，不只是應(yīng)用層面，對(duì)安全性，IP-QoS，智能網(wǎng)管等目標(biāo)，均應(yīng)在多維層面大量發(fā)揮各類(lèi)“中間件”的重要作用。從戰(zhàn)略觀點(diǎn)看，在推進(jìn)NGN的發(fā)展過(guò)程中，應(yīng)鼓勵(lì)創(chuàng)新，集思廣益，博采眾長(zhǎng)。提出“未來(lái)網(wǎng)技術(shù)IP不是惟一的選擇”說(shuō)法，應(yīng)該說(shuō)沒(méi)有壞處，只有好處。目前之所以強(qiáng)調(diào)，在IP基礎(chǔ)上下功夫，首先是基于其在全球大規(guī)模普及的基礎(chǔ)與事實(shí)，并具備多業(yè)務(wù)增值的基本吸引力。更重要的是，目前尚未找到或比較一致地認(rèn)同比IP協(xié)議更適合操作的其它途徑。

　　事實(shí)上，全球?yàn)镮P的安全性已花費(fèi)大量人力、物力和財(cái)力，而且取得了不少進(jìn)展與成績(jī)。從解決安全性的源頭角度考慮，一般認(rèn)為終端是要害。對(duì)終端應(yīng)用，其中包括OMA及NGOSS而言，已充分注意到中間件及CORBA(公共對(duì)象請(qǐng)求代理體系結(jié)構(gòu))軟總線(xiàn)技術(shù)，并發(fā)揮了重要作用。但“中間件”的含義與定義有一定松散性、廣泛性與含混性，需進(jìn)一步嚴(yán)格規(guī)范定義與改進(jìn)協(xié)調(diào)，否則將可能?chē)?yán)重影響實(shí)際應(yīng)用的互聯(lián)互通等多廠商環(huán)境下的互操作性。

　　信息安全有更廣義的內(nèi)涵，營(yíng)造一個(gè)防止黃色不良信息危害青少年身心健康的安全信息環(huán)境，規(guī)則/政策監(jiān)管與技術(shù)措施雙管齊下才能奏效。信息對(duì)策的“老三樣”——“堵漏洞、筑高墻、防外攻”等屬于消極防御措施，尤其當(dāng)它們單獨(dú)實(shí)施時(shí)，已愈來(lái)愈不能湊效。為此，一方面要想出更積極的對(duì)抗措施，包括對(duì)其源頭跟蹤堵截；另一方面，即使對(duì)單個(gè)用戶(hù)而言，也需要防黑防毒，修復(fù)漏洞，拯救數(shù)據(jù)。這些措施應(yīng)融為一體，形成綜合對(duì)抗能力更強(qiáng)的整體安全系統(tǒng)，轉(zhuǎn)被動(dòng)/消極防御為主動(dòng)/積極防御。應(yīng)注意，解決安全性問(wèn)題是需要付出代價(jià)的。信息安全對(duì)策應(yīng)根據(jù)用戶(hù)不同安全類(lèi)別的實(shí)際要求提供不同的解決方案。如果用戶(hù)只需要BE類(lèi)業(yè)務(wù)，則應(yīng)提供簡(jiǎn)單、經(jīng)濟(jì)、實(shí)惠的解決方案。

　　目前，有關(guān)IP安全性對(duì)策方面的重要進(jìn)展值得一提。一是信息產(chǎn)業(yè)部正在制訂“互聯(lián)網(wǎng)IP地址管理辦法”及建立“ICP/IP地址信息備案管理系統(tǒng)”。這對(duì)查處有害信息的快速定位、搜索非法網(wǎng)站及有效提高信息查詢(xún)與安全性管理效率有重大意義。二是認(rèn)定終端為安全重點(diǎn)及中間件的隔離作用是非常重要的。在終端芯片嵌入密碼型安全子系統(tǒng)，對(duì)全部自主研發(fā)場(chǎng)合來(lái)說(shuō)很容易處理，即以一個(gè)獨(dú)立于每個(gè)系統(tǒng)的平臺(tái)作為中間件，分別與系統(tǒng)及應(yīng)用程序連接，以解決應(yīng)用程序?qū)ο到y(tǒng)層的訪(fǎng)問(wèn)及控制。當(dāng)然，此時(shí)依然要解決好系統(tǒng)層接口的安全性問(wèn)題，而這往往是個(gè)難題。三是為確保高級(jí)保密用戶(hù)的安全，采取網(wǎng)絡(luò)徹底隔離斷開(kāi)。在保證安全前提下，支持自動(dòng)文件和應(yīng)用數(shù)據(jù)的交換，這就是所謂網(wǎng)閘(GAP)的概念。眾所周知，內(nèi)/外網(wǎng)是采取物理隔離斷開(kāi)方式，人工文件可安全復(fù)制轉(zhuǎn)移，這是手動(dòng)實(shí)施的一種最簡(jiǎn)單原型。顯然，如何實(shí)施網(wǎng)絡(luò)斷開(kāi)以進(jìn)行有效的文件交換，特別是各種應(yīng)用數(shù)據(jù)的交換，是網(wǎng)閘技術(shù)的關(guān)鍵所在?？傮w來(lái)看，網(wǎng)閘技術(shù)包含三大要素，即網(wǎng)絡(luò)隔離斷開(kāi)、模擬拷盤(pán)或單向傳輸工作機(jī)制及應(yīng)用數(shù)據(jù)交換支持。由于網(wǎng)絡(luò)斷開(kāi)即可消除黑客對(duì)網(wǎng)閘本身的入侵，使其無(wú)法從網(wǎng)閘外部主機(jī)侵入到內(nèi)部主機(jī)，也不會(huì)從外網(wǎng)侵入內(nèi)網(wǎng)，從而消除了基于通信連接的攻擊和基于TCP/IP協(xié)議的攻擊及漏洞掃描和入侵攻擊。至于網(wǎng)閘對(duì)應(yīng)用的支持，通常是通過(guò)對(duì)應(yīng)用協(xié)議的剝離來(lái)獲得應(yīng)用數(shù)據(jù)。交換應(yīng)用數(shù)據(jù)后，再對(duì)應(yīng)用協(xié)議進(jìn)行重建恢復(fù)。目前的網(wǎng)閘技術(shù)已可對(duì)大部分應(yīng)用數(shù)據(jù)進(jìn)行剝離與重建。當(dāng)然，這些運(yùn)作均要以資源消耗、高速運(yùn)作及硬件補(bǔ)償?shù)葹榇鷥r(jià)。三是國(guó)內(nèi)兩大防毒軟件商——北京瑞星科技股份有限公司和北京金山軟件有限公司宣布，正式加入思科公司所倡導(dǎo)的網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃，以研發(fā)集成化的安全解決方案，全面提高安全級(jí)別和防御威脅的能力。這是國(guó)內(nèi)信息安全知名企業(yè)與國(guó)際領(lǐng)先技術(shù)有機(jī)合作與良性互動(dòng)的新契機(jī)，將對(duì)中國(guó)信息安全事業(yè)起到巨大的推動(dòng)和促進(jìn)作用。NAC合作計(jì)劃最早由思科公司于2003年11月提出，其主旨是授權(quán)合作伙伴公開(kāi)技術(shù)信息，以支持合作伙伴開(kāi)發(fā)和銷(xiāo)售支持NAC網(wǎng)絡(luò)基礎(chǔ)設(shè)施的第三方服務(wù)器及客戶(hù)端應(yīng)用。NAC計(jì)劃分三步實(shí)施。第一步，在2004年中期，思科的接入路由器和中檔路由器已可支持NAC計(jì)劃。第二步，NAC將擴(kuò)展至多種思科產(chǎn)品，如交換機(jī)、無(wú)線(xiàn)接入設(shè)備和安全設(shè)備。第三步，將PC和服務(wù)器端點(diǎn)與網(wǎng)絡(luò)的安全互操作能力擴(kuò)展上升為自我防御能力。顯然，專(zhuān)業(yè)信息安全廠商與硬件設(shè)備提供商進(jìn)行深層次技術(shù)合作，既是企業(yè)用戶(hù)的普遍安全需求，也是整個(gè)信息安全行業(yè)的重要發(fā)展趨勢(shì)。思科、瑞星、金山等聯(lián)手打造全局防御的信息網(wǎng)絡(luò)安全體系，既有明顯的現(xiàn)實(shí)價(jià)值，亦有重要的戰(zhàn)略意義。

　　總起來(lái)說(shuō)，IP安全性的進(jìn)展實(shí)際上與上述ICA思想的安全保證是有所協(xié)同與匯聚的，比起防火墻等措施來(lái)已更上一層樓。因此，基于IP協(xié)議的安全計(jì)算問(wèn)題應(yīng)以科學(xué)求實(shí)、積極創(chuàng)新的原則而努力推進(jìn)，決不能不求創(chuàng)新，甚至悲觀失望。

　　(3)IPv6發(fā)展的冷思維

　　隨著中國(guó)下一代互聯(lián)網(wǎng)示范工程CGNI的啟動(dòng)及中國(guó)五大運(yùn)營(yíng)商全面加入IPv6規(guī)模部署陣營(yíng)，并擬在2005年底建成世界上最大規(guī)模的IPv6網(wǎng)絡(luò)，起到引領(lǐng)全球IPv6推廣與應(yīng)用的作用，IPv6熱正在中國(guó)快速升溫。誠(chéng)如全球IPv6論壇主席Ladif Ladid所說(shuō)：“中國(guó)需要IPv6，IPv6更需要中國(guó)”。由此亦不難理解，IPv6為何在國(guó)內(nèi)日漸升溫，有些人甚至認(rèn)為NGN就是IPv6，IPv6一上，NGN的所有問(wèn)題基本上就都可以解決了!這種不適當(dāng)?shù)纳郎夭焕贗Pv6在中國(guó)穩(wěn)妥、健康的發(fā)展，并有礙中國(guó)引領(lǐng)全球IPv6的推廣應(yīng)用、成為真正IPv6大贏家這一宏偉目標(biāo)的實(shí)現(xiàn)。因而，對(duì)IPv6進(jìn)行理性思維，甚至冷思維，看來(lái)很有必要。

　　首先，應(yīng)充分理解IPv6對(duì)IP協(xié)議的重大改進(jìn)與戰(zhàn)略?xún)r(jià)值。IPv6協(xié)議已約有十年歷史。其在地址容量、安全性，QoS控制、地址資源管理的合理性方面均有較大幅度改進(jìn)，包括對(duì)新一代全球移動(dòng)業(yè)務(wù)的支持。盡管如此，亦不能說(shuō)明它已十全十美，可全盤(pán)包攬、永世長(zhǎng)存。從IPv4至IPv6的不兼容性即可看出其階段性設(shè)計(jì)的局限性與巨大弊端。其實(shí)，應(yīng)該說(shuō)，地址匱乏是ICT業(yè)界對(duì)IPv6研究與建設(shè)應(yīng)用的最主要驅(qū)動(dòng)力，對(duì)其它一些功能不應(yīng)寄以過(guò)份的期待，更不應(yīng)不切實(shí)際地炒作與夸大。賦予IPv6太多的期望，將導(dǎo)致IPv6走向反面，甚至重蹈3G由神話(huà)向理性轉(zhuǎn)變的覆轍。

　　由以下幾方面對(duì)IPv6在中國(guó)的發(fā)展進(jìn)行冷思維是有益的：

　　●安全性問(wèn)題。IPv6在其協(xié)議棧中強(qiáng)制執(zhí)行IPSec，確比IPv4時(shí)的安全性有所改善。但安全性問(wèn)題很復(fù)雜，需有不同層次、不同方位的可靠保障。首先，IPSec僅是一個(gè)網(wǎng)絡(luò)層協(xié)議，負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，并不負(fù)責(zé)其上層應(yīng)用，如Web，E-mail及文件傳送之類(lèi)的安全。對(duì)確保安全而言，IPSec決非惟一手段，還需與多種手段，諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系等全面配合。

　　●QoS問(wèn)題。如上所述，IPv6 QoS改進(jìn)的一個(gè)重要手段是“流標(biāo)簽”。但已有十年歷史的IPv6至今還未制定出流標(biāo)簽應(yīng)用的有關(guān)標(biāo)準(zhǔn)，一些基于流轉(zhuǎn)發(fā)的產(chǎn)品僅是基于廠家特定環(huán)境的產(chǎn)品，并非基于流標(biāo)簽協(xié)議，從而大大限制了它的推廣與應(yīng)用。何況，IP-QoS問(wèn)題與IP安全性問(wèn)題類(lèi)似，涉及QoS的體系結(jié)構(gòu)。因此，首先要完善低層承載層面的綜合有效的IP-QoS實(shí)施途徑，其次要解決高層與低層間的快速控制運(yùn)作，實(shí)現(xiàn)包括低層運(yùn)作在內(nèi)的業(yè)務(wù)、應(yīng)用等高層層面改進(jìn)IP-QoS潛在作用的高層智能路由/交換能力，使得縱向、橫向各層面能有效運(yùn)作，最大限度地調(diào)動(dòng)網(wǎng)絡(luò)資源，才能實(shí)現(xiàn)愈來(lái)愈令人滿(mǎn)意的IP-QoS保證。

　　●IPv6的所謂移動(dòng)通信殺手锏應(yīng)用問(wèn)題。確實(shí)，MIPv6對(duì)3G及3G演進(jìn)等新一代移動(dòng)通信應(yīng)用可提供有力支撐，不過(guò)IPv6在新一代移動(dòng)通信終端上的有效應(yīng)用還有很長(zhǎng)的路要走。目前的PDA手機(jī)，內(nèi)置僅為IPv4協(xié)議棧，并不支持其移動(dòng)特性，而借助GRPS，CDMA 1x上網(wǎng)的手機(jī)使用的均為專(zhuān)網(wǎng)地址。從后向兼容演進(jìn)角度看，期望IPv6成為3G的殺手锏應(yīng)用決非輕而易舉之事。

　　●IPv6的應(yīng)用奇跡問(wèn)題。應(yīng)該說(shuō)，IPv6利用其海量地址優(yōu)勢(shì)發(fā)揮其端到端個(gè)性化/個(gè)體化及大面積消費(fèi)電子類(lèi)應(yīng)用確有其巨大威力與潛力，但也必須應(yīng)對(duì)諸多難題。首當(dāng)其沖的依然是安全性問(wèn)題。防火墻入口認(rèn)證模式及保險(xiǎn)柜式連接對(duì)象認(rèn)證模式均不能令人滿(mǎn)意，產(chǎn)品內(nèi)嵌安全功能亦相當(dāng)困難，如何有效交換密鑰亦非易事。因此，探索價(jià)廉物美而有效的IPv6安全應(yīng)用途徑，依然面臨嚴(yán)峻的挑戰(zhàn)。

　　●IPv6的實(shí)際部署問(wèn)題。目前，全球已擁有2億多IPv4用戶(hù)。IPv4與IPv6的非無(wú)縫兼容特征將成為其業(yè)務(wù)快速有效演進(jìn)的障礙與阻力，并意味著在時(shí)間、金錢(qián)、資源方面的巨大投入。而且，大有作為的第三方應(yīng)用軟件的編譯亦很少在目標(biāo)操作系統(tǒng)的最新版本上實(shí)施。因此，對(duì)IPv6的裝備實(shí)施不宜持過(guò)份樂(lè)觀的期望。

　　●中國(guó)IPv4/IPv6地址資源匱乏的嚴(yán)重性

　　如上所說(shuō)，IPv6的地址數(shù)是如此巨大，約為IPv4地址量的8萬(wàn)兆兆平方倍。有人甚至聲稱(chēng)它可賦予地球上每一顆沙子及每一滴水以相應(yīng)的地址。即便如此，包括GNI及NGXiYiJi在內(nèi)的NGN與GII是瞄準(zhǔn)全球個(gè)人化、個(gè)性化及個(gè)體化目標(biāo)的，而后兩者的需求與數(shù)量將遠(yuǎn)遠(yuǎn)超越直接意義上的全球“個(gè)人”數(shù)量，哪怕是只要覆蓋最重要的那些“沙子”與那些“水滴”，IPv6地址能力的真正充裕性便值得懷疑，更何況遍及每一顆沙子及每一滴水!說(shuō)穿了，在IPv4地址分配上吃了大虧的中國(guó)人，最關(guān)心的是中國(guó)應(yīng)該且必須及時(shí)拿到中國(guó)應(yīng)該得到的IPv6或?qū)?lái)更長(zhǎng)遠(yuǎn)IPvX地址資源。“兵馬未發(fā)，糧草先行”，這是千古常理。發(fā)展3G/3.5G/4G之類(lèi)3G演進(jìn)與寬帶無(wú)線(xiàn)，首先要解決的是全球與中國(guó)自身需求的頻率/軌道/碼號(hào)資源，同樣發(fā)展好中國(guó)的GNI及NGXiYiJi在內(nèi)的NGN必須首先解決好中國(guó)的IPvX地址資源。目前，絕不應(yīng)對(duì)IPv6地址總量感到盲目樂(lè)觀，而應(yīng)切實(shí)思考如何解決好我國(guó)IPv4/IPv6地址資源匱乏的嚴(yán)重問(wèn)題。

　　IPv4地址分配極不合理，其分布極不均衡。美國(guó)3億人口，1.65億互聯(lián)網(wǎng)用戶(hù)，擁有75個(gè)A類(lèi)地址，占全球IP地址的70%。中國(guó)13億人口，互聯(lián)網(wǎng)用戶(hù)數(shù)約達(dá)9000萬(wàn)戶(hù)，估計(jì)到2007年將達(dá)3億戶(hù)，卻僅擁有4100萬(wàn)IPv4地址，相當(dāng)于不到3個(gè)A類(lèi)地址，僅相當(dāng)于美國(guó)IPv4地址數(shù)的1/38。拿足了地址者留著不用，而急需地址者又一籌莫展，可見(jiàn)地址分配達(dá)到了何等驚人的不公平、不合理地步，地址的管理是何等地令人遺憾與可悲。在這一點(diǎn)上，中國(guó)目前及未來(lái)幾年內(nèi)很可能依然大吃苦頭。因?yàn)槿騃Pv6論壇于2004年3月公布的預(yù)測(cè)資料表明，對(duì)IP地址需求最多的15個(gè)國(guó)家即需附加298個(gè)A類(lèi)地址，超過(guò)目前剩余IPv4地址庫(kù)地址量的3倍。其中，僅中國(guó)一國(guó)即需附加105個(gè)A類(lèi)地址，約占其1/3強(qiáng)。依然在先到先占和按需分配原則指導(dǎo)下的IPv6地址資源爭(zhēng)奪大戰(zhàn)的序幕已經(jīng)拉開(kāi)，而中國(guó)在此第一回合中已處于很不利的地位。截止到2004年6月，我國(guó)分配到的IPv6地址塊僅為11塊，占全部已分地址塊(606塊)的1.8%，且均為/32類(lèi)別的缺省型，未得到任何更大的IPv6地址塊，捷足先登的一些國(guó)家仍占大頭。例如，至2003年底，美國(guó)、日本、德國(guó)、荷蘭、英國(guó)等五個(gè)國(guó)家所分配到的IPv6地址占全球總數(shù)的48%。在亞太地區(qū)，我國(guó)分到的IPv6地址僅占11%，約為韓國(guó)的1/2.5、日本的1/6，比中國(guó)的臺(tái)灣省(14%)還少。何況在新一輪IPv6地址爭(zhēng)奪戰(zhàn)中，美國(guó)國(guó)防部DoD不僅針對(duì)今后兩年的需求在積極申請(qǐng)獲取/16類(lèi)別的巨大IPv6地址塊，甚至已對(duì)其10年以?xún)?nèi)地址需求作出了規(guī)劃申請(qǐng)。因此，在缺乏IP地址前提下，奢談什么“中國(guó)需要IPv6，IPv6更需要中國(guó)”以及希望“中國(guó)引領(lǐng)全球IPv6推廣應(yīng)用，成為真正IPv6大贏家”之類(lèi)口號(hào)實(shí)在沒(méi)有意義。盡快從NGN-I，NGXiYiZi及NGN發(fā)展總目標(biāo)入手，通信、計(jì)算機(jī)、廣播電視、教育科研、商務(wù)政務(wù)、國(guó)防軍事、企業(yè)家庭、網(wǎng)格運(yùn)行、個(gè)體物流，制造運(yùn)營(yíng)等，全面考慮，聯(lián)手規(guī)劃，申請(qǐng)獲得應(yīng)有的IPv6地址已成我國(guó)當(dāng)務(wù)之急。在IPv6地址的新一輪資源爭(zhēng)奪大戰(zhàn)中，力爭(zhēng)取得好戰(zhàn)績(jī)，才是確保IPv6及NGN務(wù)實(shí)發(fā)展所需資源的前提。同時(shí)，應(yīng)積極響應(yīng)ITU-T對(duì)IPv6地址分配的有益戰(zhàn)略觀點(diǎn)，摒棄“杞人憂(yōu)天、犯不上著急，IPv6地址取之不盡，眼下沒(méi)有必要去爭(zhēng)搶”之類(lèi)的短視想法，力促?gòu)姆峙錂C(jī)制上進(jìn)行改革，使IPv6地址的分配不致重蹈IPv4地址分配的覆轍，使之向更合理、更健康的分配軌道發(fā)展。事實(shí)上，IPv6地址分配工作本身，確有不少有待改進(jìn)之處。從上述第一輪分配結(jié)果可以看出，先入為主、先到先滿(mǎn)足的原則對(duì)后來(lái)者有失公允。發(fā)達(dá)國(guó)家和一些占風(fēng)氣之先的國(guó)家搶占地址的現(xiàn)象依然普遍，現(xiàn)在的游戲規(guī)則實(shí)質(zhì)上沿用了IPv4的套路，很難做到公平合理，這些都是亟待解決的問(wèn)題。在國(guó)際上建立一種權(quán)威的公平合理的IPv6地址分配管理機(jī)制是國(guó)際社會(huì)努力的目標(biāo)，也是當(dāng)務(wù)之急。

五、結(jié)束語(yǔ)

　　應(yīng)該承認(rèn)，IP協(xié)議及Internet是人類(lèi)全球通信的最偉大創(chuàng)舉之一，它創(chuàng)造了無(wú)可估量的長(zhǎng)期價(jià)值。同時(shí)，鑒于TCP/IP協(xié)議及Internet的發(fā)展歷史與背景，隨著其商用化暴露出的一系列問(wèn)題，諸如安全性，IP-QoS，智能網(wǎng)管、可贏利商業(yè)模式等必須切實(shí)重視，并科學(xué)務(wù)實(shí)、博采眾長(zhǎng)、積極創(chuàng)新、腳踏實(shí)地、一步一步地予以解決，包括戰(zhàn)略上引入更優(yōu)秀的結(jié)構(gòu)理念與系統(tǒng)解決方案在內(nèi)。本文以IP安全性為重點(diǎn)，對(duì)IP協(xié)議的重要現(xiàn)實(shí)作用、存在問(wèn)題及其進(jìn)一步發(fā)展策略，提出了一些戰(zhàn)略思考，期望IP/NGN獲得積極、穩(wěn)妥、健康、有序的可持續(xù)成功發(fā)展。