下一代互聯(lián)網(wǎng)安全模式探討

摘要　分析了下一代互聯(lián)網(wǎng)的安全需求與挑戰，對下一代互聯(lián)網(wǎng)的安全模式進(jìn)行了比較分析，探討了下一代互聯(lián)網(wǎng)的安全保障問(wèn)題。 

關(guān)鍵詞　互聯(lián)網(wǎng)　網(wǎng)絡(luò )安全　IP 

一、引言 

　　時(shí)至今日，互聯(lián)網(wǎng)在全世界范圍內獲得了巨大成功，已滲透到人類(lèi)工作生活的方方面面?；ヂ?lián)網(wǎng)在為人們提供巨大便利的同時(shí)，也在逐漸影響工作生活的態(tài)度與方式。 

　　由于互聯(lián)網(wǎng)設計上的一些缺陷（例如地址空間問(wèn)題等），預計在未來(lái)很長(cháng)一段時(shí)間內不可能再持續高速發(fā)展。對下一代互聯(lián)網(wǎng)的研究已成為擺在我們面前的緊迫課題。在下一代互聯(lián)網(wǎng)需要解決的問(wèn)題中，安全問(wèn)題是最重要課題之一。 

二、下一代互聯(lián)網(wǎng)的安全需求與挑戰 

　　下一代互聯(lián)網(wǎng)面臨方方面面的安全威脅，諸如： 

　?。?）電磁安全：電磁的輻射及泄漏可能影響存儲處理和傳輸信息的機密性。 

　?。?）設備安全：設備安全可能影響網(wǎng)絡(luò )的生存性和連通性。 

　?。?）鏈路安全：通信鏈路的可靠性將直接影響網(wǎng)絡(luò )的連通性。 

　?。?）協(xié)議安全：路由協(xié)議安全直接影響網(wǎng)絡(luò )的可用性與連通性。 

　?。?）戰爭、自然災害：遭受戰爭或自然災害時(shí)，節點(diǎn)可能失效，鏈路大量中斷。 

　?。?）網(wǎng)絡(luò )受流量沖擊：當網(wǎng)絡(luò )受到流量沖擊時(shí)，網(wǎng)絡(luò )性能急劇下降，甚至停止服務(wù)。 

　?。?）終端安全：智能終端故障率及配置難度大大增加，易受攻擊。 

　?。?）網(wǎng)絡(luò )業(yè)務(wù)安全：業(yè)務(wù)網(wǎng)可能受到攻擊，影響業(yè)務(wù)的正常開(kāi)展。 

　?。?）網(wǎng)絡(luò )資源安全：用戶(hù)惡意或無(wú)意濫用資源將嚴重威脅網(wǎng)絡(luò )正常運行。 

　?。?O）通信內容安全：網(wǎng)絡(luò )傳輸內容可能被非法竊取或非法使用。 

　?。?1）有害信息擴散：對下一代互聯(lián)網(wǎng)而言，必須關(guān)注有害信息通過(guò)網(wǎng)絡(luò )擴散傳播的問(wèn)題。 

　　為應對上述或本文未提到的各種安全威脅與挑戰，下一代互聯(lián)網(wǎng)必須從設計之初就考慮到安全保障能力。當前的安全技術(shù)及安全模式都有一定應用，下面主要對現有幾種安全模式進(jìn)行分析和探討。 

三、下一代互聯(lián)網(wǎng)的安全模式分析 

　　安全模式有別于安全技術(shù)。安全技術(shù)一般比較單純，即用一些技術(shù)手段提供安全機制，對通信中的某個(gè)安全漏洞進(jìn)行保護。安全模式比安全技術(shù)范圍更大，可根據其提供的思路，集成若干安全技術(shù)、管理手段來(lái)解決部分安全問(wèn)題。安全模式可以結合起來(lái)使用，但限于篇幅，本文主要對各種安全模式進(jìn)行分析，不考慮安全模式的結合使用。 

　　1.基于Walled Garden的安全模式 

　　Wa11ed Garden在我國一般譯作帶圍墻的花園，簡(jiǎn)稱(chēng)圍墻花園?！皣鷫▓@”指的是一個(gè)控制用戶(hù)對網(wǎng)頁(yè)內容和服務(wù)進(jìn)行訪(fǎng)問(wèn)的環(huán)境。圍墻花園一般是把用戶(hù)限制在一個(gè)特定的范圍內，允許用戶(hù)訪(fǎng)問(wèn)指定內容，而防止用戶(hù)訪(fǎng)問(wèn)其他未被允許的內容。 

　　建立圍墻花園的原因通常是利益使然。運營(yíng)商希望將用戶(hù)資源掌握在自己手中，引導用戶(hù)訪(fǎng)問(wèn)自己或合作伙伴的資源，減少或防止訪(fǎng)問(wèn)競爭對手及不能帶來(lái)利益的資源。中國移動(dòng)手機WAP業(yè)務(wù)就是基于圍墻花園開(kāi)設的典型范例。建立圍墻花園還有一個(gè)原因是安全上的好處。早在1999年，美國在線(xiàn)少兒頻道就建立了一個(gè)圍墻花園，以防止兒童訪(fǎng)問(wèn)不適宜的網(wǎng)站。 

　　無(wú)論最初建圍墻花園的方法如何，當前圍墻花園的概念似乎被擴大了。圍墻花園可以在幾個(gè)層面建設，不同層面建設的圍墻花園有不同的強度，能解決不同的安全挑戰。 

　?。?）限制終端的圍墻花園。通過(guò)限制終端功能實(shí)現的圍墻花園是指在終端上限定訪(fǎng)問(wèn)的范圍，超過(guò)范圍的內容不能訪(fǎng)問(wèn)。這種方式一般用作防止兒童訪(fǎng)問(wèn)不適宜的網(wǎng)站。具體做法是，可在終端（例如電腦、機頂盒等）上安裝一個(gè)包括可訪(fǎng)問(wèn)列表，超出列表范圍的不允許訪(fǎng)問(wèn)，列表可以實(shí)時(shí)更新。將這種方式稱(chēng)作圍墻花園實(shí)際上有些勉強，更像是人在單向鏡子圍成的圍墻里，里面的人看不到外面，外面的人可看到里面。里面的人通過(guò)圍墻上的一些門(mén)可以看到一些花園，但只能看到這些花園而已。圍墻外的人同樣也能看到這些花園。這樣的圍墻花園對服務(wù)器和用戶(hù)終端的防攻擊沒(méi)有幫助，用戶(hù)與業(yè)務(wù)設備間的通信需要其他技術(shù)來(lái)保護。 

　?。?）基于VPN／專(zhuān)網(wǎng)的圍墻花園?；赩PN的圍墻花園實(shí)際上是將提供業(yè)務(wù)的設備放到一個(gè)VPN中，訪(fǎng)問(wèn)者通過(guò)接入VPN來(lái)接入圍墻。接入VPN（接入圍墻）后，即可自由訪(fǎng)問(wèn)VPN內所有的資源?；赩PN的圍墻花園與顯示中的圍墻花園相類(lèi)似。這種方式不但能限制訪(fǎng)問(wèn)范圍，而且能防范來(lái)自外部的攻擊，即非VPN的用戶(hù)看不到VPN內的任何資源或用戶(hù)。雖然圍墻內的安全威脅仍存在，但在VPN相對封閉的環(huán)境中可以設置接入認證，也很容易對攻擊進(jìn)行追查。此外，用戶(hù)與業(yè)務(wù)設備間的通信也在VPN／專(zhuān)網(wǎng)的保護中（與外界隔離）。 

　?。?）基于防火墻／網(wǎng)關(guān)的圍墻花園?；诜阑饓ΓW(wǎng)關(guān)的圍墻花園類(lèi)似基于VPN的圍墻花園，區別在于基于防火墻／網(wǎng)關(guān)的圍墻花園中只有業(yè)務(wù)提供設備真正在圍墻中（VPN或專(zhuān)網(wǎng)）。用戶(hù)通過(guò)防火墻／網(wǎng)關(guān)使用業(yè)務(wù)網(wǎng)提供的業(yè)務(wù)，業(yè)務(wù)網(wǎng)只通過(guò)防火墻／網(wǎng)關(guān)對外提供用戶(hù)信令接口和數據接口。這種圍墻花園中的業(yè)務(wù)設備可防護來(lái)自外部以及用戶(hù)（注冊和非注冊）的攻擊。但是，用戶(hù)并沒(méi)有受到保護，用戶(hù)與業(yè)務(wù)設備間的通信需要其他技術(shù)來(lái)保護。 

　?。?）基于門(mén)戶(hù)網(wǎng)站的圍墻花園?；陂T(mén)戶(hù)網(wǎng)站的圍墻花園實(shí)際上沒(méi)有真正的圍墻。用戶(hù)通過(guò)門(mén)戶(hù)網(wǎng)站可非常便捷地訪(fǎng)問(wèn)到門(mén)戶(hù)網(wǎng)站上一些現成的資源（運營(yíng)商或運營(yíng)商合作者的資源）。用戶(hù)實(shí)際上也能訪(fǎng)問(wèn)所謂圍墻外的資源，但由于便利性以及用戶(hù)慣性，實(shí)際上大部分用戶(hù)還會(huì )在范圍內訪(fǎng)問(wèn)。AOL有一項統計，稱(chēng)85%的用戶(hù)都沒(méi)有出過(guò)AOL的領(lǐng)地。所謂圍墻外的用戶(hù)也可訪(fǎng)問(wèn)圍墻里的資源。這種方式的花園圍墻對網(wǎng)絡(luò )與信息安全基本沒(méi)有貢獻。 

　?。?）基于用戶(hù)注冊的圍墻花園?；谟脩?hù)注冊的圍墻花園一般是基于一組或一類(lèi)業(yè)務(wù)應用，只有注冊用戶(hù)才能使用所保護的業(yè)務(wù)應用，非注冊用戶(hù)不能使用。這類(lèi)圍墻花園旨在業(yè)務(wù)層保護，用戶(hù)及業(yè)務(wù)設備操作系統層都暴露在外界網(wǎng)絡(luò )層的可能攻擊下。此外，用戶(hù)也可自由訪(fǎng)問(wèn)圍墻外的其他業(yè)務(wù)。用戶(hù)與業(yè)務(wù)設施間的通信需要其他技術(shù)來(lái)保護。 

　　2.基于溯源與威懾的安全模式 

　　部分基于Walled Garden以及普遍加密的安全模式是一種比較積極的安全模式，可通過(guò)一些技術(shù)手段盡量避免受到諸如攻擊等的安全威脅?；谒菰春屯氐陌踩Ｊ綄?shí)質(zhì)上是一種管理和管制上的威脅。溯源和威懾本身不能直接避免或緩解網(wǎng)絡(luò )與信息安全方面的威脅，但溯源可威懾攻擊者或違法犯罪人員，因為在網(wǎng)絡(luò )上的行為是可以追查的，做了壞事定將或可能受到懲罰。 

　　基于溯源和威懾的安全模式類(lèi)似于現實(shí)生活。大多數情況下，法律沒(méi)有辦法阻止人不作壞事，但一旦做了壞事且被證實(shí)以后，就會(huì )依據法律條款作出懲罰。大多數情況下，這種機制在現實(shí)生活中運作得很好，在傳統電信網(wǎng)上似乎也運作得不錯。有理智的成年人都知道，亂打騷擾電話(huà)會(huì )被追查到主叫話(huà)機，故一般使用自己的話(huà)機進(jìn)行惡意撥叫的情況較少。理論上說(shuō)，這種機制在互聯(lián)網(wǎng)絡(luò )環(huán)境下也能發(fā)揮作用，但當前還存在下列問(wèn)題： 

　?。?）互聯(lián)網(wǎng)溯源困難?；ヂ?lián)網(wǎng)目前在用目的地址選路實(shí)踐中很少對源地址進(jìn)行檢驗，在惡意偽造源地址的情況下，幾乎不可能確認惡意用戶(hù)使用的終端。當前，主機大多使用動(dòng)態(tài)IP地址，溯源時(shí)查找特定時(shí)間的特定地址租用者較為困難，且設備很少能長(cháng)時(shí)間保存日志。在存在NAT設備的網(wǎng)絡(luò )中，也存在動(dòng)態(tài)IP地址相類(lèi)似的困難。 

　?。?）即使能夠成功溯源，針對網(wǎng)絡(luò )惡意行為的法律條文也有待完善。雖然各國都在完善相關(guān)法律，但總體看尚落后于需求。在我國，網(wǎng)絡(luò )上虛擬財產(chǎn)的合法地位也沒(méi)有確認。 

　?。?）網(wǎng)絡(luò )行為是一個(gè)海量數據，對海量行為甄別是否合法尚存在問(wèn)題。若對惡意行為成功溯源及懲罰的比例過(guò)低，可能會(huì )出現大量?jì)e幸心理。 

　　在下一代互聯(lián)網(wǎng)中上述問(wèn)題將會(huì )得到一定程度的解決。例如，溯源將比當前互聯(lián)網(wǎng)更可行，法律體系也將趨于完善，隨著(zhù)計算能力的增強，海量數據也將有合理的處理方式。 

　　因此，在下一代互聯(lián)網(wǎng)的實(shí)踐中，基于溯源和威懾的安全模式仍然存在應用的環(huán)境，可單獨使用或者配合其他安全模式共同使用。 

　　3.基于綁定身份的安全模式 

　　基于管理（綁定身份）的安全模式類(lèi)似基于溯源和威懾的安全模式。區別在于，基于溯源和威懾的安全模式偏重于網(wǎng)絡(luò )層（IP）的溯源，而后找到的是使用IP地址的設備。最后，通過(guò)查找設備的所有人來(lái)落實(shí)到人。而基于管理（綁定身份）的安全模式偏重于將人直接對應到標識上。當前常見(jiàn)的基于管理（綁定身份）的安全模式的實(shí)現方法大致有以下幾種： 

　?。?）管理部門(mén)強制要求將身份，例如身份證號碼，綁定到IP地址，實(shí)現每人一個(gè)固定IP。 

　?。?）管理部門(mén)強制要求凡使用互聯(lián)網(wǎng)的人，每人一個(gè)證書(shū)，對使用包括接入在內的所有業(yè)務(wù)都驗證證書(shū)。 

　?。?）管理部門(mén)要求認證基于惟一性的生物特征。 

　　在IPv4時(shí)代，由于地址空間的限制以及地址分配不合理，不可能實(shí)現每人一個(gè)固定的IP地址。在IPv6時(shí)代，每人一個(gè)IP地址完全成為可能。這樣，網(wǎng)絡(luò )上所有行為都可以對應到IP地址，通過(guò)IP地址可以查詢(xún)到使用人的身份。但是，將身份綁定到IP地址存在以下問(wèn)題： 

　?。?）IP包基于所在網(wǎng)絡(luò )的尋址，隨著(zhù)互聯(lián)網(wǎng)用戶(hù)移動(dòng)和游牧需求的增強，要實(shí)現身份與地址的綁定需要全網(wǎng)實(shí)現Mobile IP。而全網(wǎng)普遍實(shí)施Mobi1e，即使不計算對設備附加功能要求增加的成本，也要考慮大量Mobile IP通信帶來(lái)的附加流量。 

　?。?）身份與IP地址綁定本身不能防止用戶(hù)地址的盜用，需要其他機制配合來(lái)確認使用地址的人確實(shí)擁有其聲稱(chēng)的身份。 

　　由于身份與證書(shū)的綁定也不是沒(méi)有問(wèn)題，若只在接入時(shí)驗證證書(shū)，則網(wǎng)絡(luò )行為的溯源需要將行為映射到IP地址，再根據時(shí)間映射到當時(shí)使用該IP地址的證書(shū)。若對網(wǎng)絡(luò )上的大量業(yè)務(wù)進(jìn)行證書(shū)認證，將大大增加網(wǎng)絡(luò )負荷。當然，可適當選擇需要證書(shū)認證的業(yè)務(wù)和行為，來(lái)平衡網(wǎng)絡(luò )開(kāi)銷(xiāo)與網(wǎng)絡(luò )安全。身份與證書(shū)的綁定可以進(jìn)一步延伸到每個(gè)人、每個(gè)設備，這樣可在網(wǎng)絡(luò )上建立起較好的信任關(guān)系。 

　　基于生物特征的認證也只解決了認證的惟一性，需要大量改造終端設施，而且將認證表示對應到網(wǎng)絡(luò )行為上也需要完整的信任鏈。 

　　無(wú)論是身份與地址的綁定和證書(shū)與身份的綁定，還是生物特征的認證，都有侵犯公民隱私之疑慮。即使法律上提出要求，這樣的管理規定也有可能會(huì )損害互聯(lián)網(wǎng)的繁榮。此外，互聯(lián)網(wǎng)是一個(gè)全球的網(wǎng)絡(luò )，在各國法律及執法尺度不一致的條件下很難通過(guò)一個(gè)國家身份綁定的規定來(lái)保障網(wǎng)絡(luò )的安全（特別是涉及跨國訪(fǎng)問(wèn)行為）。 

　　4.基于限制終端的安全模式 

　　基于限制終端功能的安全模式實(shí)際上是對傳統電信網(wǎng)的一種借鑒，這種方式類(lèi)似于Walled Garden分類(lèi)中限制終端功能的圍墻花園。 

　　傳統電話(huà)網(wǎng)是一個(gè)比較安全的網(wǎng)絡(luò )，這一點(diǎn)已有普遍共識。似乎傳統電話(huà)網(wǎng)（除了騷擾電話(huà)和盜打電話(huà)以外）沒(méi)有太多的安全挑戰，這得益于以下幾方面原因： 

　?。?）傳統電話(huà)網(wǎng)是一個(gè)傻終端，用戶(hù)端只有12個(gè)撥號鍵，除了發(fā)出雙音多頻或脈沖信號以外，只能傳送語(yǔ)音信號，用戶(hù)除撥號外不能做任何事。故除騷擾電話(huà)和盜打電話(huà)外，沒(méi)有過(guò)多威脅安全的手段。 

　?。?）傳統電話(huà)網(wǎng)的用戶(hù)信令與網(wǎng)絡(luò )信令完全隔離，從用戶(hù)接口無(wú)法對網(wǎng)絡(luò )的穩定運行產(chǎn)生影響。即使在電話(huà)接口上接其他設備，網(wǎng)絡(luò )也只接收雙音多頻信號或脈沖信號。除了騷擾電話(huà)和盜打電話(huà)以外沒(méi)有過(guò)多威脅安全的手段。 

　　互聯(lián)網(wǎng)是一個(gè)智能終端“傻網(wǎng)絡(luò )”的典范。網(wǎng)絡(luò )只負責按照目的地址轉發(fā)分組，所有的信令交互都是端到端完成。在這個(gè)端到端透明的網(wǎng)絡(luò )上，業(yè)務(wù)設備與用戶(hù)終端地位是平等的。在一個(gè)基于計算機的個(gè)人終端上，用戶(hù)可以訪(fǎng)問(wèn)網(wǎng)絡(luò )設備的控制層面和網(wǎng)絡(luò )設備的管理層面，實(shí)現網(wǎng)絡(luò )設備功能，偽裝成其他用戶(hù)等。因此，智能終端也是互聯(lián)網(wǎng)安全問(wèn)題多的原因之一。 

　　互聯(lián)網(wǎng)是一個(gè)多業(yè)務(wù)網(wǎng)絡(luò )，象電話(huà)網(wǎng)一樣完全將智能集中到網(wǎng)絡(luò )也是不太可能實(shí)現的。但是，為保證一定程度的安全，限制終端也是一種可行的手段。限制終端可能有以下幾種情況： 

　?。?）類(lèi)似手機，智能受限的終端。由于集成度、計算能力以及電池性能的影響，當前手機的功能有限，大多數都是專(zhuān)用操作系統（少量基于winCE和Palm），用戶(hù)接口相對專(zhuān)用，攻擊者可能還沒(méi)有進(jìn)行廣泛研究。該類(lèi)終端采用2.5G或者3G技術(shù)，通過(guò)TCP／IP或WAP接入網(wǎng)絡(luò )。由于上述原因，當前暴露的安全問(wèn)題較少。隨著(zhù)技術(shù)的進(jìn)步，當前互聯(lián)網(wǎng)的安全問(wèn)題也將在手機等終端上出現，而且由于移動(dòng)性等原因，溯源等安全問(wèn)題更難以解決。 

　?。?）通過(guò)有限界面來(lái)限制終端。這種方式不限制終端的智能以及計算能力，僅通過(guò)限制提供給用戶(hù)的功能及界面來(lái)限制終端。典型的例子是SIP電話(huà)。該終端直接接入以太網(wǎng)，采用SIP協(xié)議進(jìn)行呼叫，但向用戶(hù)只提供傳統電話(huà)的按鍵而不提供編程等外設接口。從理論上看，該類(lèi)終端與傳統電話(huà)類(lèi)似，不會(huì )出現騷擾電話(huà)以外的問(wèn)題（由于終端有一定智能，甚至盜打電話(huà)情況也有一定程度的緩解）。然而，這種方式不能杜絕用戶(hù)接入其他設備（例如計算機）后對網(wǎng)絡(luò )業(yè)務(wù)設備的安全威脅。 

　?。?）將業(yè)務(wù)設施放入圍墻花園，終端通過(guò)網(wǎng)關(guān)獲取服務(wù)。由于網(wǎng)關(guān)是一個(gè)協(xié)議翻譯設備，只要規定了終端與網(wǎng)關(guān)間的協(xié)議，終端至少無(wú)法影響網(wǎng)關(guān)后面的業(yè)務(wù)設施。該方法實(shí)際上限制了智能終端對網(wǎng)關(guān)業(yè)務(wù)設備的影響，但對網(wǎng)絡(luò )上其他設備以及終端自身的安全沒(méi)有貢獻。 

　　終端的智能化是不可阻擋的趨勢，因此限制終端智能并不是限制終端的惟一選擇，也可以限制終端的智能對業(yè)務(wù)網(wǎng)絡(luò )設備的影響。 

　　5.普遍加密的安全模式 

　　網(wǎng)絡(luò )與信息安全的完整性和機密性一直令人關(guān)注。加密技術(shù)毫無(wú)疑問(wèn)可顯著(zhù)提高信息的機密性以及完整性，可保護的信息包括用戶(hù)間或用戶(hù)與服務(wù)器間交換的信息及用戶(hù)身份信息。在電信網(wǎng)上對信息加密一般有以下幾種情況： 

　?。?）固定電話(huà)網(wǎng)基于端口認證，無(wú)需對認證信息加密。 

　?。?）無(wú)線(xiàn)終端在空中加密，進(jìn)入交換網(wǎng)后明文傳送。 

　?。?）保密通信由端到端的加密機完成，特殊通信用信道加密機。 

　　在互聯(lián)網(wǎng)上，終端都是有很強計算能力的智能終端，使端到端的普遍加密有了可能。隨著(zhù)成熟加密算法的出現，網(wǎng)絡(luò )上很容易實(shí)現普遍加密。普遍加密易于保護端到端通信內容的機密性和完整性。然而加密是一把雙刃劍，下一代互聯(lián)網(wǎng)上實(shí)施普遍加密存在下列問(wèn)題： 

　?。?）加密需要消耗大量資源，大部分信息不需要加密。 

　?。?）通信雙方加密需交換密鑰（帶外交換或通過(guò)公鑰機制）。 

　?。?）可能導致非法獲取密鑰，而后為所欲為。 

　?。?）對業(yè)務(wù)設施訪(fǎng)問(wèn)時(shí)，大量加密使DOS攻擊更容易。 

　?。?）在普遍加密的網(wǎng)絡(luò )上難以實(shí)施合法監聽(tīng)，對內容的監控無(wú)法實(shí)施。 

　　6.基于增加攻擊成本的安全模式 

　　最初的互聯(lián)網(wǎng)黑客都是一些技術(shù)上頂尖的能手。其攻擊行為多數不是為了獲得利益，而是為了顯示技術(shù)實(shí)力，為了好玩，搞惡作劇。 

　　隨著(zhù)技術(shù)的發(fā)展，網(wǎng)絡(luò )上的黑客工具變得越來(lái)越多，幾乎隨處可見(jiàn)，網(wǎng)絡(luò )上攻擊行為的技術(shù)門(mén)檻越來(lái)越低，任何人都可通過(guò)下載一些軟件來(lái)影響網(wǎng)絡(luò )安全。同時(shí)，越來(lái)越多影響網(wǎng)絡(luò )安全的行為是為了直接獲取利益，諸如通過(guò)木馬等工具竊取用戶(hù)的銀行賬號和密碼，通過(guò)欺騙性的電子郵件、偽造網(wǎng)站及欺騙性的短信進(jìn)行詐騙等。 

　　在大量攻擊是為了獲取利益的前提下，可通過(guò)增加攻擊成本來(lái)減少攻擊。因為當攻擊成本大于網(wǎng)絡(luò )攻擊可能帶來(lái)的利益時(shí)，攻擊行為會(huì )自然減少。當然，網(wǎng)絡(luò )行為的溯源和威懾也會(huì )增加風(fēng)險成本。 

四、思考與建議 

　　對下一代互聯(lián)網(wǎng)而言，安全保障可采用多種模式。本文所探討的是幾種有代表性的安全模式。這些模式可主動(dòng)積極，亦可被動(dòng)地對不同主體增加安全保障。 

　?。?）Walled Garden（圍墻花園）的安全模式是適用性較好的一種安全模式，目前已經(jīng)得到較廣泛的應用： 

　　●限制終端的圍墻花園可與受限終端結合使用，用于被訪(fǎng)問(wèn)內容難以限制的情況（國外網(wǎng)站及地址不固定的網(wǎng)站等）。 

　　●基于VPN／專(zhuān)網(wǎng)的圍墻花園可用在收費的增值業(yè)務(wù)網(wǎng)或單位的專(zhuān)網(wǎng)，以排除來(lái)自互聯(lián)網(wǎng)的攻擊，防止信息泄露到外網(wǎng)，從而有利于服務(wù)質(zhì)量保障、內容管制及溯源等。 

　　●基于防火墻／網(wǎng)關(guān)的圍墻花園一般用在安全需求還沒(méi)有達到建專(zhuān)網(wǎng)或VPN程度的企業(yè)單位。這種方式的安全保護程度類(lèi)似基于VPN／專(zhuān)網(wǎng)的圍墻花園，但受限于防火墻／網(wǎng)關(guān)的功能和性能。 

　　●顧名思義，基于門(mén)戶(hù)網(wǎng)站的圍墻花園一般用于門(mén)戶(hù)網(wǎng)站或能控制接入的運營(yíng)商，它能夠吸引一些慣性比較大，比較“懶”或“專(zhuān)一”的用戶(hù)，對信息安全基本沒(méi)有貢獻。 

　　●基于用戶(hù)注冊的圍墻花園主要用于需要控制接入（收費）的增殖業(yè)務(wù)，對網(wǎng)絡(luò )自身安全、終端安全、業(yè)務(wù)設備安全貢獻較少，但對溯源有一定好處。 

　?。?）基于溯源和威懾的安全模式可以廣泛用于保護各個(gè)層面的網(wǎng)絡(luò )安全，一般更有利于內容監控及有害信息控制等，其典型應用是威懾有害網(wǎng)站、垃圾信息發(fā)送者、用戶(hù)信息竊取者等。有害信息的瀏覽者一般因人數過(guò)多，無(wú)法用溯源和威懾安全模式杜絕，畢竟法不責眾，而且控制源頭或渠道更加容易。 

　?。?）基于綁定身份的安全模式一般需要法律或行政法規直接支持溯源和威懾。這種安全模式的實(shí)施可能對互聯(lián)網(wǎng)的活力有影響，且只有在全球合作的條件下才有較好的效果。 

　?。?）基于限制終端的安全模式類(lèi)似于限制終端的圍墻花園，一般用在運營(yíng)商提供的業(yè)務(wù)終端（例如機頂盒、運營(yíng)商提供的SIP公話(huà)等），而用戶(hù)設備自由接入時(shí)對安全保障貢獻不大。 

　?。?）基于普遍加密的安全模式有利于用戶(hù)信息的機密性和完整性，但在當前大量加密算法來(lái)源于國外的情況下，對我國國家安全非常不利。該安全模式不應提倡使用，但可輔以其他安全模式共同使用。 

　?。?）基于增加攻擊成本的安全模式一般用在控制垃圾信息發(fā)送的環(huán)境，少量用于加密通信。 

　　總之，不同的安全模式可組合使用，對安全模式的選擇和實(shí)施需針對具體業(yè)務(wù)具體分析。