3.IP的安全性
与SDH,ATM,X.25等所谓的安全网络相比,所谓IP网络不安全性的主要原因在于:
(2)终端的智能性和业务的多样性,加剧了识别和防范安全攻击的难度。多种业务综合承载在同一个网络上,没有建立起用户彼此间的信任关系,导致恶意用户很容易对另外一个用户发起攻击:被攻击的用户难以区别哪些是合法的用户访问请求,哪些是恶意攻击。
(3)IP技术发展很快,协议设计和软件实现中的很多缺陷或BUG在大规模部署使用前来不及测试和排除。如ICP/IP协议族实现方面,尤其是微软操作系统的存在的安全漏洞。
(4)IP的计费模式导致攻击成本很低。
(5)IP用户的身份难以确定,导致很难跟踪攻击者。
(6)IP技术的宽带化等方便了大规模攻击的实施,如分布式拒绝服务攻击。
七、IPv6的“泡沫”
虽然IPv4的设计基于上世纪70年代中期的技术水平,以及当时非常有限的运行经验,但是基于IPv4的Internet取得的巨大成功已经证明IPv4的设计根本上是非常成功的。在上世纪90年代设计IPv6时,有充足的理由坚持在IPv6中最大限度地保留IPv4的特点,只增加地址长度就可以了。但根据这些年来Internet的运营经验,应该对IPv4的其他部分也做一些“革命性”的改变。与IPv4协议相比,IPv6协议最大的变化就是明显简化了报头的设计,这主要体现在:简化头的格式,所有包头都使用固定长度:减少包处理敏感的部分,如校验和以及分片处理:地址长度增加为128bit。
虽然IETF已经选择将IPv6作为下一代Internet(NGI)协议,但业内对IPv6技术仍然存在一些争议,甚至言过其实的说法。事实上,IPv6的设计中更多的仍然是考虑任何更好的支持数据业务的传递,对“IP电信网”中所要求的“质量保证”、“安全性”、“可管理性”以及“业务的可运营”考虑的不多(甚至没有考虑):
(1)服务质量(QoS)保证。IPv6头在性能方面确实有一定的改进,比如去掉了校验和字段,但这与目前研究的所谓的QoS保证完全不是一回事情。目前,解决IP QoS的技术主要是DiffServ,InterServ和多协议标记交换(MPLS),而它们同时适用于IPv4和IPv6。换言之,IPv6将使用与IPv4相同的技术来解决QoS问题,不会因为使用了IPv6,服务质量就会得到保证。
(2)安全保证。IPv4和IPv6都是使用IPSec协议来提供安全性保证,区别只是IPv4对IPSec的要求是可选的,IPv6对IPSec的要求是强制的。但IPv6对IPSec的强制性要求只是实现上的,并不要求应用中都一定使用,因为一是没这个必要,二是都使用会对性能产生重大影响。从这点上说二者的安全性几乎是等价的,不存在IPv6一定会比IPv4更安全的可能性。
(3)IPv6的设计中仍然沿用了IPv4设计之初的用于教育和科研的目的,没有涉及Internet商业化以后,各种业务的商业运营模式、网络管理和业务的控制与管理等问题。
(4)根据InternetSociety2003年刊登的一篇研究报告,对IPv6还存在移动性支持必须使用IPv6,IPv6更适合于无线网络,只有IPv6支持自动配置,IPv6解决了路由可扩展性问题,IPv6能够更好地支持快速前缀重编号,IPv6提供了对Multi-home地更好支持的误解或言过其实的说法。因此,选择将IPv6作为NGN的承载技术时,除从根本上解决了IPv4的地址短缺问题外,仍然面临着QoS,安全,商业模式和运营管理等一系列的问题等待去研究和解决。IPv6技术的“电信化”,还有很长的一段路要走。
八、结束语
传统电信网和Internet都取得了巨大的成功,但二者采用了不同的、甚至矛盾的设计理念。NGN作为二者结合的产物,必然会存在取舍和平衡的问题。笔者以为,NGN所倡导的“业务与承载分离”的思想是一种发展方向,但作为这种思想核心的“软交换”仍然有很多问题有待解决。另外,对于怀疑IP技术的人而言,如果倒退一步,将IP技术只用于提供传统PSTN和ATM的业务,那些所谓“QoS”问题和“安全”问题也就“自动痊愈”了。相反,如果想让PSTN或ATM前进一步,利用PSTN或ATM做承载,提供数据(如IP)业务,很明显PSTN和ATM技术只会比现在的IP技术做得更糟。这就是业界为什么还坚持使用“声誉不佳”的IP作为NGN承载,希望将IP技术电信化的根本原因。IPv6仍然只是一种设计优化用于数据通信的协议,是IETF选定的下一代互联网(NGI)协议,但并不是理想的NGN承载网技术,尤其是IPv6继续沿用了IPv4不成功的商业模。
更多内容请看PCdog.com--ATM网络技术教程 NGN NGN发展专题
