精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

由中國工程院、南京市人民政府、ONF(開放網(wǎng)絡(luò)基金會)聯(lián)合主辦，江蘇省未來網(wǎng)絡(luò)創(chuàng)新研究院和下一代互聯(lián)網(wǎng)工程中心(BII)承辦的“2014中國未來網(wǎng)絡(luò)發(fā)展與創(chuàng)新論壇暨全球SDN開放網(wǎng)絡(luò)高峰會議”在南京召開，鄔賀銓做了《從網(wǎng)絡(luò)安全看網(wǎng)絡(luò)演進》的精彩演講，以下是演講實錄。

▲中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓

中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓：尊敬的陳院長、周主任、各位院士、各位專家，大家早上好!我報告題目是從網(wǎng)絡(luò)安全看網(wǎng)絡(luò)演進。談四個方面的問題，一個是從被動防御到主動防御，第二是移動互聯(lián)網(wǎng)的安全挑戰(zhàn)，第三是域名服務(wù)器的安全問題。第四是下一代網(wǎng)絡(luò)的選入體系。

先說第一個問題，從被動防御到主動防御，互聯(lián)網(wǎng)的前提是假定用戶是自律的，用戶處在彼此信任的小規(guī)模封閉的網(wǎng)絡(luò)環(huán)境，因此并沒有類似相關(guān)的安全機制，也沒有考慮在開放環(huán)境下操作系統(tǒng)和應(yīng)用的安全，因此出現(xiàn)了很多安全問題。拒絕服務(wù)攻擊就是DDOS，隨著寬帶化的發(fā)展，DDOS攻擊可以從更遠的地方開始，影響的范圍更大。我們可以感受，目前來講，這是物聯(lián)網(wǎng)很重大的危險。被動防御是在探測到發(fā)生攻擊以后，我們根據(jù)路由器和攻擊數(shù)據(jù)包的特征，一級一級找到源頭。但是被動防御，目標組建是網(wǎng)絡(luò)，在發(fā)現(xiàn)和控制攻擊之前，或多或少已經(jīng)受到了破壞，它已經(jīng)是受到影響，那么現(xiàn)在提倡是主動防御，也就是說在分布式攻擊可能所有階段，要主動追蹤和控制，但防火墻和殺毒軟件是可以防御木馬的，但是一個新的互聯(lián)網(wǎng)安全問題出現(xiàn)的時候安全廠商是不可能馬上推出產(chǎn)品的，有些廠商即便推出安全產(chǎn)品，也要等一會才能投到市場。受到攻擊的主機越多，對安全產(chǎn)品的需求也就越高，安全產(chǎn)品賣的錢也就越多，因此安全廠商要有意等一會才把產(chǎn)品投向市場。對于未知的攻擊，可以說內(nèi)部攻擊是很難有保護的，從這個意義上說，我們大量部署防火墻殺毒軟件，并不見得是非常有效的辦法，而且網(wǎng)絡(luò)會復(fù)雜，而且管理起來也成本比較高。

現(xiàn)在看來，能不能在協(xié)議設(shè)計的時候，加上一些安全防范控制。過去互聯(lián)網(wǎng)彼此熟悉的人們使用的。發(fā)送信息給我的人都是已知的，都是朋友的?，F(xiàn)在開放環(huán)境下，很多垃圾郵件發(fā)給我根本都不是我知道的。所以未來互聯(lián)網(wǎng)里頭，需要有訪問控制，像TCP，最早的握手協(xié)議要重新設(shè)計還有SMTP要重新設(shè)計，還有匿名轉(zhuǎn)發(fā)也要重新設(shè)計?，F(xiàn)在IPV6將會是向下一代未來網(wǎng)絡(luò)發(fā)展中，目前來看很難避免的步驟。目前來看也是一個應(yīng)對空間不足的有效手段。協(xié)議站的質(zhì)量還是個問題，做IPSEC的安全來講，也有一些安全算法是超過它的，但是這些算法的應(yīng)用，并不見得就一定能產(chǎn)生很好的效果，在IPV6的部署以后，也發(fā)生過一些安全事故以后，所以IPV6本身是很有必要的，也考慮了安全，它并不能根本上解決安全問題。IPV6設(shè)計之初還是在互聯(lián)網(wǎng)很多安全問題暴露之前提出來的，目前來看IPV6也不如IPV4成熟，還是有些缺陷。我們需要往IPV6方向去走，但是并不要因為IPV6能解決所有的問題了，更重要的需要節(jié)點設(shè)備里面要融入安全控制的能力。如果說我們在互聯(lián)網(wǎng)，能夠在關(guān)鍵來嚴格控制和規(guī)范業(yè)務(wù)流，可以根據(jù)業(yè)務(wù)流的特性，來判別它是符合正常的，還是屬于垃圾郵件的，因為垃圾郵件有個特點，是會群發(fā)的。我們就會通過這個來控制業(yè)務(wù)流，在業(yè)務(wù)節(jié)點設(shè)備需要每個設(shè)備安全，傳統(tǒng)的互聯(lián)網(wǎng)，網(wǎng)絡(luò)是不管安全的，因為它就是個馬路，也就是運輸，因此安全是交給終端處理，未來的互聯(lián)網(wǎng)，希望能夠承擔起安全的責任?，F(xiàn)在中國提出的原地址印證是一個有效的辦法。

BGP協(xié)議也有很多安全的問題它使用了一些點到點的地址，這里邊會跟人的操作，以及供給有關(guān)，通常安全運行的前提是IP地址和物理地址之間有安全的綁定關(guān)系。實際上在網(wǎng)絡(luò)釣魚發(fā)生的時候，IP地址和主機就不對應(yīng)了，黑客可以把真實銀行，用了真實銀行的IP地址，但是把你引到另外一個虛假的銀行網(wǎng)站里頭去。也就是說未來IP地址跟主機的關(guān)系，我們并不能盲目相信他就是捆綁得那么嚴格。怎么辦呢?中國提出的原地址印證方案是能夠識別主機跟地址的關(guān)聯(lián)，大家現(xiàn)在講NFC3779，資源的認證體系，也是一種可以改進DGP的安全辦法，像IP地址的持有者可以發(fā)布一個ROA路由原則的簽名對象，將IP地址的前綴授權(quán)進行路由重造。在路由器選路的時候就可以發(fā)現(xiàn)之間是不是有關(guān)系，可以通過BGP消息的交換，和當前路由起源資金的映射關(guān)系，路由器在轉(zhuǎn)發(fā)的時候要檢驗IP包，是不是跟已知的地址相符，兩者之間進行對比，如果我們在郵件接收的時候，也能比較對端服務(wù)器的IP地址，在數(shù)據(jù)來源的差異，也就是可以判斷郵件服務(wù)器的真實性。

第二個問題移動互聯(lián)網(wǎng)的安全挑戰(zhàn)，移動互聯(lián)網(wǎng)的安全問題，實際上涉及到我們通信的七個協(xié)議里面，都跟移動互聯(lián)網(wǎng)，都跟安全有關(guān)。我們2012年全球分析過，在ISO7里面，發(fā)生的安全事件占了75%，發(fā)生在第七層占了25%，第三層和第七層是主要問題發(fā)生的根本。在這里都會跟安全有關(guān)，其他層也會跟安全有關(guān)，移動互聯(lián)網(wǎng)的安全問題，是更廣泛，我們知道終端本身也有終端的安全，有隱私保護，病毒木馬的攻擊。另外還有結(jié)構(gòu)的安全。那么還有偽基站，這也是一個全球性可能會遇到的，但是尤其在中國是特色，很多。偽基站的問題影響很大，另外就是說網(wǎng)絡(luò)的安全和安全管理層面。所以移動互聯(lián)網(wǎng)的安全環(huán)節(jié)呢比專業(yè)互聯(lián)網(wǎng)還要更廣泛。我們現(xiàn)在從偽基站的問題出現(xiàn)我們就發(fā)現(xiàn)，用戶需要印證網(wǎng)絡(luò)。以前之所以叫偽基站是因為GSM系統(tǒng)設(shè)計只考慮了網(wǎng)絡(luò)認證終端，沒有安排終端認證網(wǎng)絡(luò)，終端一旦發(fā)現(xiàn)盜用的偽基站，只要信號足夠強，終端就會自動接入偽基站，終端會接收詐騙的短信，會把地址反饋給他。把3G、4G的時候已經(jīng)增加了終端認證網(wǎng)絡(luò)的功能。未來的互聯(lián)網(wǎng)上，實際上所有終端，也都應(yīng)該有對網(wǎng)絡(luò)的認證措施，不能說只是網(wǎng)絡(luò)認證終端，需要終端認證網(wǎng)絡(luò)。

移動互聯(lián)網(wǎng)的出現(xiàn)，改變了我們的應(yīng)用習(xí)慣，在PC互聯(lián)網(wǎng)時代，用戶瀏覽網(wǎng)站的主要手段是在瀏覽器里面輸入網(wǎng)址，而在移動互聯(lián)網(wǎng)時代，基本上都是APP了，所以很多企業(yè)的戶外廣告，現(xiàn)在都不是放網(wǎng)址了，而是放二維碼，讓大家拍下來以便下載到你的手機上，APP本身，很多應(yīng)用上取代了網(wǎng)址。APP帶來很多安全問題，IOS對應(yīng)用審查很嚴格的，但是安卓上面審查是很松的，植入后門是很容易的。移動互聯(lián)網(wǎng)涉及到很多安全問題，這里邊是需要通過管理來實現(xiàn)安全的，可信的APP和可信的云，可信網(wǎng)站，只有通過抽象實行安全，需要有多個層次的安全措施，那么我們可以看到，我們有身份識別，多種安全的手段。目前有上百萬種的APP情況下面，用戶怎么找到自己需要的APP呢?現(xiàn)在輕應(yīng)用應(yīng)運而生，基于搜索引擎，還有社交網(wǎng)絡(luò)，來把長尾應(yīng)用的分發(fā)渠道，本質(zhì)上還是一個瀏覽器，涉及到的環(huán)節(jié)很多，比如說現(xiàn)在微信的公眾號，本身就是一個基于HTML5的輕應(yīng)用，并不需要大家把應(yīng)用都下載到終端上面。本身跟CSS3、DOM豐富了多媒體的能力，也是可以進行瀏覽應(yīng)用跨平臺的，HTMI5本身也帶來很多安全隱患，也在每個環(huán)節(jié)，面向應(yīng)用功能的，對本地儲存，跨越資源空想，有新的安全危險。在終端定位的API等等，所以互聯(lián)網(wǎng)上，每一種新的技術(shù)，實際上解決了原有一些安全問題可是又引入新的安全問題。

目前IPV4的根服務(wù)器10個在美國，1個在英國，一個在瑞典，一個在日本。域名體系的安全是受制于人的，但是IPV6世代友沒有可能重新增加根服務(wù)器，技術(shù)上是有可能的，中國現(xiàn)在也是爭取努力，希望我們作為一個網(wǎng)絡(luò)大國也有一個根服務(wù)器能放在中國。DNS本身查詢要經(jīng)過很多環(huán)節(jié)的，本地查的查的時候是給不出答案的，根服務(wù)器，首先是引導(dǎo)我們到CN去查，要求各個節(jié)點的通信是可靠的，否則的話就不可能查到，往往這種情況下越長呢，我們說很多情況下是相當要求并不見得都能達到。所以現(xiàn)在有人提出來，是不是一定要到根服務(wù)器去查，能不能把查的很多東西下放，下放到本地節(jié)點，把權(quán)威源改到本地結(jié)點，降低對數(shù)據(jù)鏈路長度和本地性的要求，如果落到客戶端的命名，會帶來一些好處，比如說效率更高了，降低對第三方DNS的依賴，對貸款要求，距離近了，對貸款要求就放松了。在這種情況下我們還會有一些新的問題，因為這個時候基于客戶端的命名來添加本地，作為一個虛擬的根服務(wù)器，在這種情況下要保證本地節(jié)點的命名，在整個命名空間里面是可見的。DNS本身也有很多安全漏洞，最大缺陷是什么呢?我們收到解釋是沒有辦法印證給我的解釋是不是正確的，是不是真實的。攻擊可以從中來給你一個虛假的DNS的解釋。通過加密把原文取出進行一種加密，把密鑰通過公鑰解除加鑰，跟自己算出來的兩者來對比，如果一致，說明這個是真實的。如果不一致，說明是假的。保證我們從DNS得到的數(shù)據(jù)是正確的，但是DNSSEC所有者應(yīng)該是資產(chǎn)的印證者，實現(xiàn)了對分散化DNS服務(wù)器的印證，提供了很多安全的保證。目前在根服務(wù)器和域名上使用，但是它本身也有安全問題。工業(yè)簽發(fā)是由實體執(zhí)行的，目前根區(qū)域的DNS密鑰的簽發(fā)，根服務(wù)器不是我們國家所控制的，那么.CN的印證權(quán)并不在我們手上掌握。

最后講一下下一代互聯(lián)網(wǎng)體系。物聯(lián)網(wǎng)是扶持網(wǎng)絡(luò)管理的，不考慮網(wǎng)管，現(xiàn)在互聯(lián)網(wǎng)大多數(shù)控制功能都是后期加上去，而不是在網(wǎng)絡(luò)設(shè)計之初統(tǒng)一考慮的。分布式的逐步添加的控制和管理呢，他們之間缺乏協(xié)調(diào)。很難有效收集網(wǎng)絡(luò)的狀態(tài)，發(fā)現(xiàn)定位網(wǎng)絡(luò)的異常。SDN現(xiàn)在提出的軟件定義網(wǎng)，希望改變這種方式，通過一種邏輯上集中的網(wǎng)絡(luò)管理和控制，傳統(tǒng)的互聯(lián)網(wǎng)是分散的，每個路由器上面都有它的控制平面。我們可以看到SDN本身有資源的部分，通過資源控制接口達到了我們SDN的控制，最上邊是SDN的應(yīng)用場，彼此之間把傳送跟控制分離了，這樣一來有可能在物理傳送資源是獨立的。邏輯上的控制是統(tǒng)一的，我們可以說傳統(tǒng)的路由器是有節(jié)點控制功能也有傳送功能，SDN把獨立功能出來，變成一個網(wǎng)絡(luò)操作系統(tǒng)，這樣底層網(wǎng)絡(luò)路由器成為純粹的轉(zhuǎn)發(fā)功能。因此過去路由器是各自獨立選入的，根據(jù)集中以后有可能對全網(wǎng)進行優(yōu)化，我們的選入功能，在這一點上，應(yīng)該說可以靈活的實現(xiàn)控制面功能的重構(gòu)，順應(yīng)大數(shù)據(jù)時代的時空的動態(tài)性。SDN本身也有安全的危險，ADC是我們應(yīng)用交付的控制性。SDN的時候已經(jīng)考慮了多個層次的安全措施，即便如此，SDN既有安全上的優(yōu)點也有安全上的問題，SDN安全優(yōu)點就是說通過對安全影響的隔離，能識別對安全敏感的業(yè)務(wù)，并以安全的方式來分開，比如說專用協(xié)議和安全協(xié)議。這些處理能夠自動進行。運營商需要對目前網(wǎng)絡(luò)狀況一個全局的觀點，這比過去單個設(shè)備管理起來更好一點。SDN本身也可能有漏洞，也可能侵犯隱私，過去的傳統(tǒng)硬件，過去在傳統(tǒng)在硬件上，實現(xiàn)是不太可能對硬件進行修改的?，F(xiàn)在SDN是有可能通過軟件對硬件功能的修改，我們NFV等等，就有可能產(chǎn)生誤配置。

隨著各種軟件程序的響應(yīng)，安全的危險是全局控制的，安全危險能夠迅速的擴展。SDN里面很多操作要人去考慮，本來人的操作是很慢的。邏輯上集中的控制，可能成為攻擊的焦點，SDN既能解決一些安全問題，也會引入一些新的安全挑戰(zhàn)。現(xiàn)在很時髦的就是內(nèi)容中心網(wǎng)，傳統(tǒng)的IP網(wǎng)是根據(jù)地址來選入的，而內(nèi)容中心網(wǎng)是根據(jù)我們的內(nèi)容來選入，把我們的內(nèi)容轉(zhuǎn)成為緩存的數(shù)據(jù)，根據(jù)PIT，根據(jù)一個應(yīng)急的，通過FIB轉(zhuǎn)發(fā)庫，然后來進行，這里邊可以看到是把數(shù)據(jù)連者分離的。在這種情況下面，信令和數(shù)據(jù)是行對配置的。我們可以看到有效提供安全措施，安全對象主要是針對內(nèi)容，而不關(guān)心主機和節(jié)點的安全，并不關(guān)心節(jié)點。緩存是在本地，剛才說到它的數(shù)據(jù)是對應(yīng)的，因此可以得到很好的匹配，本身有利于維護安全性。另外，在內(nèi)容中心網(wǎng)里頭，引入了策略層與安全層。內(nèi)容中心網(wǎng)本身不再需要分配IP地址了，不需要基于IP路由表選錄，可以利用多徑傳輸提升網(wǎng)絡(luò)的效能。關(guān)心的是數(shù)據(jù)，而不關(guān)心節(jié)點，因此并不需要捆綁IP層地址和MAC層地址，甚至在節(jié)點移動的時候也能夠很迅速的適應(yīng)。而且引入了材料層，在變化條件上能最好的利用多連接性，做出動態(tài)的優(yōu)化。數(shù)據(jù)是通過簽名傳送的，所以有內(nèi)在的安全性。也就是說SDN也好，CCN也好，實際上有各種原因來引出來，其中一個原因是考慮到怎么能加強安全性。

現(xiàn)有網(wǎng)絡(luò)是從自律應(yīng)用發(fā)展起來的，沒有預(yù)見到惡意攻擊，為了提升網(wǎng)絡(luò)抗御攻擊的能力，網(wǎng)絡(luò)協(xié)議要從基于被動防御轉(zhuǎn)到主動防御。DNS的防御已經(jīng)提到了議事日程，SDN是和CNN是選路體系上的變革，將克服目前一些安全性問題，一些安全性解決了，新的安全問題還會出現(xiàn)，安全問題是未來網(wǎng)絡(luò)的發(fā)展動力，也是我們判斷的重要力量之一，謝謝大家!