中国工程院孙玉院士做电信网络安全分析

文章来源: 网易科技报道  发布时间：2008-04-08
　
孙 玉：首先声明，我不是计算机专家，也不是计算机网络安全专家，会议要我来介绍一下关于通信方面的事，所以我用这个题目，大体上靠边一点，来介绍一下。我的题目是电信网络机理分类和安全属性分析，大概讲五个问题：一、电信网络形成；二、电信网络结构；三、电信网络机理分类；四、网络安全属性分析；五、电信网络在信息系统中的应用位置。

我们知道电信技术已经发生了156年，在100多年的时间积累了丰富的电信技术和各种各样的网络形态，（图）这大概是150年形成的电信网络体系。为了有效利用和发展电信网络技术及其成就，有必要澄清电信网络进行机理分析。

一、电信网络形成

什么叫电信？大家都知道，利用电磁系统传递信号。我说的电信不是通信，通信的定义是按照约定传递消息，而电信仅仅是用电磁方法传递信号。基本电信系统是非常简明的，基本电信系统就是由传输系统组成，没有别的东西，两头加送话器，那不属于电信网络，中间这一块就是基本电信系统，进去一个信号，出去一个信号，从A传到B，电信是非常简单的事情。这样看来，实现基本电信功能不需要电信网络，拉一根线或一个电台，就完事了。为什么出现电信网络，因为基本电信系统存在一些问题，存在什么问题？叫做N平分问题，当电信用户数量N倍扩大，用户之间传输信道数量按平方N增加，传输信道最大可能利用率按平方倒数，所以N方问题是必须解决的经济问题。怎么解决这个问题？大体上采用两种基数，一种是采用复用技术，原来一条线，A说B听，这一条电路上只走一条信号，可是效率显示很多，用复用方法，大家共用一条，不要一个人坐飞机从北京到广州，最好大家一起坐，就比较核算，飞机也不要那么多。复用技术采用众多信号通行的问题。信号各自寻找归属，减少长途信道数量，比如说各个家到北京机场，到了广州以后，可能各找各的家，也是寻址的问题，中间一段是咱们一起坐飞机来。寻址的技术解决各自寻找归宿，减少用户数量。利用复用技术和寻址技术解决了N方问题，形成了电信网络。电信网络的定义是节点与网络的结合，这种定义是表明了现象，忽略了本质。这是一种分级网络，计算机同志愿意搞分区网络，近距离路由器互相之间连着，那是另一种思路，问题这样解决了，利用复用技术和寻址技术解决了N方问题，就形成了电信网络。

二、电信网络结构

电信网络不管怎么复杂，不管大和小，基本结构非常简单，都是一个基本的连接。什么叫基本连接？那就是一个传输系统串接两个设备，再解两个复用设备。比如地球这边往地球那边打电话，可能有20个连接，规定的大概按13个基本连接规划，因为13个基本连接大体概括了全世界所有可能连接的90%，制定规划都这样制定，这是基本连接，不管电信网络怎么复杂，基本连接就是这么简单。

这个连接要保证正常工作，需要哪些条件？这又出事了，因为这样一个东西，如果数字网络，传输要把信号和时钟一起传，这就是传输同步。复用，四个或多条信号、上百条信号一起传，到另一端分开，不能搞岔了。怎么保证这边正好合在一起，到这边正确分开，这就是复用同步，还可以出现其他的，各个时钟不一致，也可以合在一起。两个交换机要正常工作，不管交换机怎么工作，前提必须来自四面八方到交换机的所有群信号，必须始终与本地保持一致，这说起来容易，做起来不大简单，这件事情就是交换工作。要把信号从A传到B，必须有个兄弟帮忙。电信网络资源是A、B用完了给C、D用，是来进行实时控制？就是计算机网络。还得有第三者帮忙，这些网络越来越多，早年我们做设备的时候，谁做设备到现场，谁去保驾，现在到现场也没有用，越来越复杂，怎么办？需要管理网络帮忙。这样一个连接能够正常工作，必须有同步网、信令网和管理网帮忙，有三个网帮忙，才能实现把信号从A传到B，从B传到A。这构成一个方格（图），硬设备不可少，软技术也不可少。信号通过每一个电信设备产生差异，差异就是损伤，这个损伤必须加以控制，否则电信网络都没法工作，更不要说保证业务质量，所以必须有损伤，大概每一个方块要做几年。电信网络的功能结构，传信号的网络一般叫做媒体网络，支撑网络帮忙的叫做支持网络，媒体网络只有三层功能，一是物理层，把信号从A传到B，而是链路层，三是网络寻址，把信号集中来，又能找到家，就是这样的基本结构。

三、电信网络机理分类

这里的分类有多种多样的办法，从应用分类、结构分类等等，我们说是机理分类，这样便于对电信网络进行机理分析。分类的依据，一是按媒体网络分类，因为所谓的传输都是一样的，都是把信号一个比特一个比特从A传到B，因此所有网络传输都一样，不同是复用、寻址不一样，就看有几类复用技术和寻址技术，两个一乘，就是电信网络的分类。

看看复用技术分类，按机理大概分成两类，一类是确定复用技术，一类是统计复用技术。

什么叫确定复用技术？A到B假设有多条电路，B到A也有多条电路，一次呼叫过程中同时建立两个方向的连接，A到B建立起来，同时把B到A也建立起来。一台建立以后，整个通话过程这里用着，别人进不来，我挂机的时候你才可以用。你用的时候，只用一个电路的一个组成部分，这就是确定复用，就是一次通话，给你多少就是多少，不能变。

跟它对应的另一类叫统计复用，同样是两个方向，A到B有两条电路，B到A有两条电路，一次通话只管一个方向，不管另一个方向，另一个方向再建立，在一次呼叫过程中同时建立一个方向的连接，不管另一个方向，大家排队好，轮到我，整个电路就占了，但是时间是有限的，比如一个数据分组，分完以后到后面排队，我也传这么长时间，你接着传，大家机会均等。

看看寻址分类，一类是有连接操作寻址，一类是无连接操作寻址。什么叫有连接操作寻址？（图）网络实现靠信令网帮忙，这个理解有点像火车一样，事先的运行表定好了，走到上面一直开就是了，知道最终目的地停止，不要接着开，就不会出错。利用人机信令信号，把寻址要求通知信令网，根据预先设置的路由策略，新新网在信源与信宿之间，利用网络资源建立起连接，然后传递信号。无连接操作寻址，通信过程不需要人帮忙，汽车运货的方式，一个仓库的货，从广州到北京，有通道随便走就是了，靠路标和司机的知识。根据信元中的目的地址数据，根据路由器预先设置的路由策略，选择通往目的地的链路，在每个节点都进行竞争接入。

媒体网络的分类这样就形成了，复用技术是两类，寻址技术两类，2×2，媒体网络分类只有四类，一是确定复用+有连接操作寻址；二是统计复用+无连接操作寻址；三是确定复用+无连接操作寻址；四是统计复用+有连接操作寻址。最后出现了电信形态的机理分类，一是确定复用，有连接操作寻址，PSIN；二是确定复用+无连接操作寻址，就是Internet；三是确定复用+无联结操作寻址，CATV；四是统计复用，有连接操作寻址B-ISDN。

四、网络安全属性分析

对网络分类的目的，不是看好玩，而是进行属性分析，比如说服务质量的分析，主要是为了分析而用的。

下面说一下网络通信的概念，可能跟诸位的概念不一样。这是狭义的概念，敌人是否容易非法利用我的资源，一旦发生，是否容易制止非法行为。搞电信的人认为这样定义自己的网络安全。

看看第一类网络安全的属性是怎么样的，用户接入，这条先指就是你家里的那个号码，家里号码是用电信网唯一确定的，不是你自己任命的。网络里面一次通信来说，说经过的节点和节点的电路是唯一确定的，对第一个网络形态，在任何一个界面都可以截取全部内容。它的特点，接入电路是确定的；合法用户中断智能比较弱；连接经过节点和电路事先确定；信令网和管理网是封闭的专用网络；控制信号利用专用电路传递。

第二类网络形态的安全属性，接入是平行的，一条总线，经过一个路由器，上去一大堆用户，而且每个用户的号码可以自己设置，而且经过网络节点，每一个数据分组，每一次经过的节点和电路都是不一样的，完全是随机的，节点不一样，节点之间链路也是不一样的。用户终端平行接入；用户终端具有高智能。

第三类电信网络就是广播电视网，用户终端只有接收能力，没有通过合法用户影响电信网络的能力，我们知道攻击网络往往是通过合法用户进行的，而这种网络没有反过来影响网络的能力，网络结构是固定的，媒体只有自上而下的流动，管理网是封闭的专用网络，控制信号利用专用电路传递。

第四类网络就是B-ISDN网络，这类网络主要是经济原因，通常用于核心网络，像ATM早就不再接受用户接入，而是在核心网的应用位置不一样。在这个前提下，通常用于核心网信号接入和输出的都是固定的，但结点之间的电路是不确定的。控制信号从专用电路传递。

这些基本属性就是这样，说这些属性好还是坏，无所谓好和坏，就是客观规定。下面说一下，应用才出现好坏的问题，这些属性都是客观存在，无所谓好坏之分。下面说一下电信网络的应用位置，电信网络在各个提法里面究竟处在什么位置，信息基础设施的概念，国际电联很早就提出这个概念，信息基础设施是信息系统公用的设施整体。信息基础设施究竟分几类，从这儿切一刀，只有电信网络，上面支持其他的系统，这个戏台仅仅是演戏的节目，上面是业务系统，下面是戏台，这个戏台仅仅由电信网络组成，可以支持各式各样的业务系统，构成各式各样的信息系统。第二类信息基础设施，底下是电信网络，上面是计算机系统。第三类信息基础设施就是为计算机组成的，根本没有网络的概念。而中间这一种就是大家所说的，我们认为的计算机网络。这样看来，电信网络只是在第一类信息基础和第二类信息基础，第三类没有网络的事，仅仅连接计算机系统就可以干事。加上听筒、话机就可以构成网络，比如说飞船飞的时候，落到什么地方，要预测，这就构成信息系统。仅仅计算机构成的活动，比如破译计算等等。

看看电信网络在信息系统里面的位置又在什么地方。信息系统是获取、传递、处理和应用信息的设施整体。信息的组成，这里有一个平台，下面是信息基础设施，上面是各种各样的业务系统。一个戏台可以演多种戏，我可以讲，你也可以讲。这样看来，电信网络是在信息系统的底层。

信息系统如何分类？由电信网络支持特定业务系统构成的信息系统，比如说电信网络支持电话业余系统，这是电话网；例如电信网络支持数据业务系统，是专门的数据网；例如电信网络支持广播电视业务系统，就是广播电视网。由计算机网络支持特定业务系统构成的信息系统，比如说导弹试验发行安全系统和卫星回收落点预示系统。

说一下2003年美国在国家安全战略里面提出这么一个词（Cyber），也篇报告里面，什么叫Cyber，由数以万计的计算机、服务器、路由器、交换机和光缆组成。这与ITU关于“信息基础设施”的定义内容是一致的。电信网络也是网络空间的基础，在最底层。

结语：电信网络机理和属性是客观存在的；四类电信网络具有不同的基本电信网络属性，不单是网络安全属性，还有支持业务质量属性和网络资源利用效率属性及其他成本属性，基本属性都能加以分析。电信网络机理及其安全属性是电信网络安全的基础，不能召开这个基本机理决定基本属性，这是最基本的东西，总离不开它。

电信网络目的这些年遇到的问题，主要是环境演变，并不是别的因素，基数还是那些基数，环境变了，在过去非对抗环境中不存在网络安全问题，比如互联网刚提出来的时候，科学家之间传递消息，大家都是好人，谁也不破坏，挺好的事情，所以没有必要考虑网络防卫的能力，大家都是好人，都是一家人，没必要防卫。目前逐渐形成了对抗环境，而现存电信网络是在非对抗环境中形成的，所以现实电信网络必然暴露出普遍的脆弱性。我们当时考虑一个通信设备，一是服务质量，二是网络资源利用效率，三是成本，根本不考虑网络安全的事。因此，电信技术研究发展模式，必将从传统的竞争式发展模式转向现实的对抗式发展模式。跑百米到一半，这些人不按过去的法规办事，互相追逐，谁追到前面就胜，谁落到后面就吃亏，所以出现竞争是发展模式。前一段时间出现熊猫烧香，有人说这个水平很高，有人说这个水平很低，从竞争来看，没有什么高明的，但是从对抗式发展模式来看，是高明的。

电信网络的优点判断，电信网络的形态具有不同的技术机理，因而有不同的属性，这些属性包括什么？服务质量、网络资源利用效率、网络安全建设和维护成本，它们都是客观存在，无所谓优劣之分。一个老人有四个孩子，各有长短，千万别说谁不好。150年有这样的成就，很不容易，因此没有优劣之分。什么叫优点？应用具有特定工程要求属性，支持什么业务，在什么环境下工作，追求什么目标，搞一个工程设计，说清楚追求什么，有的说必须考虑效率，只要降低成本就好，有的都要，所以有追求质量、效率、安全成本，这是要求，不能改变的，这是技术属性。网络技术属性与工程要求属性是否匹配，匹配就是好的工程设计，不匹配，拿这种基础硬往那种环境上套，就没有用好，所谓的电信网络优劣，其实人有优劣，工程师差劲，人干不好，应用好坏是看匹配不匹配。前不段国内说互联网好上天，一会儿说互联网踩到脚底，这是不对的，是人有毛病，不是技术有毛病。