空连接可以得到一些什么有用的信息(win NT系列)

本文集中讨论了可用来提供Internet安全性服务的一些技术。我们特别回顾和探讨了
防火墙技术和针对Internet、传输、应用各层提出的安全协议。防火墙如今已经是无
处不在了 它在Internet中的作用 可以用历史的类比作出很好的说明。

我们的石器时代先祖们住在洞穴里 同自己的家庭成员朝夕相处。他们用自己的这些
知识来互相鉴别和认证。如果一个外人想进入洞穴 必须有被其余家庭成员信任的某
个家庭成员的引见。人类历史表明 当交往规模变得很大以后 这样的安全模型就显
得太简单化了。随着家庭规模的扩大 家庭间的往来增加 所有家庭的成员同社区内
的所有人都认识是不可能的。甚至牢靠地记住所有曾经被引见过的人也是不可能的。

到了中世纪 我们的先祖住进了城堡和村庄 周围砌起了高高的围墙。墙里的居民是
互相熟悉的 但却未必互相信任。相反 身份的鉴别和认证 授权与访问控制 成了
大门口的例行公事。任何一个想进入城堡和村庄的人都必须从大门经过 并且在那里
受到盘查。有幸通过了盘查进入墙里的人 就相当于被墙里的所有居民信任了。但是
人类历史表明 这样的安全模型也是不灵光的。一个问题是 围墙无法防止来自墙内
的恶意攻击; 另一个问题是 围墙和大门很难扩展和延伸。许多残存的中世纪城堡都
可作为这种缺乏可扩充性的见证。

如果进行类比的话 Internet可以说才刚刚跨入中世纪。石器时代的安全模型还在单
主机和局域网中发挥着作用 但它已不再对Internet普遍适用了。作为第一步(但愿
只是过渡性的一步)防火墙已经在Internet的边界网关上建立起来了。由于能够有选
择地对IP包放行或者丢弃 防火墙也限制了Internet作为一个整体的连通性 因而
Internet的防火墙基本上同中世纪的围墙和大门有一比(屏蔽路由器对应于通用大门
代理服务器对应于专用大门)。

今天 我们已经不再使用围墙。取而代之的是国家签发的正式的、有法律约束力的文
件 如公民所持的护照和身份证等。这些文件确认了公民的真实身份。有人可能会争
辩说 Internet也需要同样的安全模型 PKI就应该以数字手段签发Internet上的公
民的证书。话虽这么说 看看PEM在推行时的实际情况就知道建立PKI没那么容易。目
前有两个IETF工作组被特许从事PKI的定义和筹建。一个遵从X.509标准系列 另一个
在试图对之进行简化。

一旦PKI全部到位 基于加密的安全协议就可以正式启用了。但是还有一个问题: 哪
个层次提供安全服务最合适? 一个可能的答案是: 没有哪个单个的层次是最合适的
但每个应用都必须根据自己的安全需要做出选择。比如 一个需要非否认服务的应用
可能去追求应用层的安全性 而一个需要在可移动的工作站和公司防火墙之间建立安
全的IP通道的应用可能由Internet层来提供服务更合适。也许对有的应用来说 几个
层次联合提供服务是最好的选择 比如在同一个应用里 在用SSL提供数据机密性服
务的同时 用S-HTTP提供非否认的服务。这时候 相应的安全协议组合应该是建立在
SSL上的S-HTTP。

另一个类比有助于更好地理解应用开发人员在提供安全服务时所作的选择。假定你有
一些值钱的货物需要运输 于是去修铁路。这就有一个保证运输安全的问题。对此有
几种可能的解决途径。最明显的途径有两个: 一个是确保整个铁路系统的安全性 另
一个是确保在铁路上运送的货物的安全性。如果你想确保整个铁路系统的安全性 原
则上你就要从网络层入手; 而如果你想确保货物的安全性 你就要从应用层入手。在
前一种情况下 你改进你的铁路系统 而货物该什么样还是什么样; 在后一种情况下
你对货物进行某种处置 而铁路系统该什么样还是什么样。其实还有一种折衷的途径:
就是你只对铁路系统的某些部分进行改进 并且只用这部分改进了的系统运送贵重货
物 而通常的不太贵重的货物仍由未加改进的那部分铁路系统来运送。这时候 你就
要去决定运送什么货物走铁路的什么部分 这在本质上非常象从传输层入手的情况
因为这时必须提供一个传输层的界面 来指定使用安全的传输系统还是非安全的传输
系统。这样 就可以由应用来选择用什么样的传输系统 而要做到这一点 需要对应
用进行一定的修改。

让我们再回到最开始Internet同信息高速公路的比较上去。可以做另一个类比来帮助
我们理解安全性的一般作用。在真正的高速公路上 一般都使用一些控制措施来保证
安全。驾车人要通过考试才能获得驾驶执造; 巡逻车在路上往返检查交通规则的遵守
状况。我们还建立了一些章程来规范高速公路上的行为 并由警察监督强制实施。但
是在所有这些措施都正常实施了以后 我们还是感到这个高速公路系统并不是完全地
保险和安全了。Internet安全的情况也是如此。不管怎样 我们总要力争建立一个尽
可能完善的Internet安全体制并提供相应的安全服务。目前尚未看到更加有效的、集
成化的Internet安全服务体制出台。所幸的是 这一天的到来不会太久远了。