互联网架构困境：网络与信息安全

当我们说 TCP/IP 没有内置安全属性时，这到底是什么意思？事实上仔细观察身边的世界，很少有内置安全属性的，这源自于石器时代的野人们没有粮仓需要保护。

“互联网前身 ARPAnet 最初来自于美国国防部对等通信需求”，即使它快速在学术界流行，也基本局限在交流和共享文档，Web 是很久以后的事。我们从互联网基因的层面去理解 TCP/IP 的本质，很多难题都可以给出解释并提供建议。

上一次谈到了拥塞难题，今天说说安全。
基于对等通信需求，地址是对称的，通信是地址实名的，这体现在 TCP/IP 报头。但互联网作为一个平行的线上世界，它是现实的映射。现实世界的对等通信几乎都是可信的。

现实世界中针对对等通信攻击的收益成本之比相当不划算。A 去 B 家，A 与 B 打电话，A 与 B 寄送物品，A 与 B 应该相识或即将相识，有非常小的概率 B 是名人，并不认识也不打算认识 A，A’，A’‘，A’‘’ …，这种单方面不对等通信意味着 B 需要甄别来者并加强安保。日常生活中，很少见到每家每户会为安全投入除防盗门窗之外的过高成本，普通人并不追求绝对安全，只要威胁发生的频率足够低，普通人并没有足够的吸引力招致威胁袭击，如果有，他的住所必然部署着安防措施。但工厂，学校，商场，写字楼，银行等场所则完全不同，这些地方是物资和人员聚集地，意味着巨大的等额财富，值得坏人花大代价去破坏。

早期的互联网互联着完全对等的主机，且源自 ARPAnet 的 NSFnet 均属于同一机构的熟人网络，受高尚的素质和道德伦理约束，让即使对主机的自我防护都显得没有必要，换句话说，主机 “连个防盗门都不需要安装”，TCP/IP 便诞生在这种背景下。

当 Web 和 CDN 这些大型服务出现时，TCP/IP 早已成熟，这些大型服务相当于一个任何人都可以持械自由进出的零元购奢侈品商场，或者穿戴价值连城但不防弹的衣饰手表一个人站在广场上，安全只能作为附属，很难内置。

随着内容信息服务向有实力者集中越做越大，资源越发集中(这是世界幂律本质)，服务器迅速从对等节点(比如办公室)向数据中心，云上集中，直到如今对等通信在内容信息服务面前不值得一提。

具有讽刺意义的是，很多大型攻击，比如 DDoS 都源自于对等通信的实名制属性本身，IP 报头里有明确的源和目标地址。正是由于 TCP/IP 的地址，才让各种恶意且花式登门拜访成为可能。

不可思议的是，对于 Web，CDN 等提供内容的服务而言，非 TCP/IP 的匿名协议族才安全。以 NDN 为例，兴趣包和数据包中不含任何地址信息，假设内容已经被足够的 NDN 路由器缓存，没了 Server 的概念，NDN 又以一种分布式对等网络实现了内容分发(到处都是小卖店)，攻击任何一个路由器都没有实际意义。由于内容提供者不知道请求来源，请求者也不知道内容从何获取，最小知识量(你提供的任何信息都降低了攻击熵，哪怕是虚假信息)让攻击任何一个确定的路由器变得困难。

作为一个 TCP/IP 网络中现实的匿名通信实例，简单介绍一下加密朋克转发器：

这很像一次成人商品的购买流程，事实上，对于内容获取而不是对等通信需求而言，我们需要这种流程。

至于普通 TCP/IP 如何确保安全，不要指望 IP(包括 IPv6) 协议本身会增加什么安全增强，先天的问题后天非常难以逆转。同时，在协议之外，任何网关，防火墙都解决不了根本问题，反而容易形成新的攻击面。就像现实世界一样(快递，外卖员不让进屋，陌生人保持警惕…)，对等通信安全的几乎唯一手段只有零信任，安全自决。

网络和信息安全，和任何领域的安全一样，只有在绝对安全时，闲着没事的人才会拿出空余的时间和精力讨论安全，真出了事的时候，当事人作为受害者会补洞，作为责任人要甩锅自保，谁还会考虑什么安全。安全的存在感低是注定的，不出问题没人会想到，出了问题会怪你做得不好。互联网不安全的本质，这不源自 TCP/IP，而来自人类的短视。

浙江温州皮鞋湿，下雨进水不会胖。

原文地址：https://blog.csdn.net/dog250/article/details/145157312

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！