透析基于IP协议的网络演进相关技术

　　ATM虽然同属分组型技术，但ATM并无直接的终端业务与用户。对用户而言，只是提供一个逻辑“专网”。用户只能在自己的“专网”中运作，无能力亦无可能发送ATM网络可识别或要识别的信令与业务数据。同样，ATM的UNI与NNI是分离的，网络只是为用户提供透传功能，其信令、业务数据等对用户而言是不可见的，用户无法产生恶意数据对ATM进行攻击。相应地，ATM网络与网络间的安全性则是靠运营规则与运营商间的信任关系和协同合作予以保证。而且，由于用户只能在自己所在的网络中运作，即便能发动攻击，亦只能攻击自己网络内的有限用户，故很容易追查。因此，ATM网络虽有较好的安全性保证，但却带来了宽带多业务增值的不灵活、不方便与不经济等缺点。

　　IP网络如同信息的明信片传送，没有UNI与NNI的分离问题，运营商设备、协议乃至网络拓朴对用户均是开放可见的。用户端产生的IP信息，无论在用户端或在网络中均可传送。通过用户端与运营商网络交换非法的恶意路由信息，即可对运营商网络的路由器、接入服务器等设备及三层以上设备实施攻击。与此同时，位于IP网络边际的用户侧的网络与业务/应用，一般均使用TCP/UDP/IP这一基础技术。这导致用户间在IP层及应用层等各层面彼此透明可见，从而为恶意用户攻击对方网络及相应的业务/应用大开了方便之门。IP网络的终端高度智能化及多业务能力，使终端用户发动攻击变得容易，又增加了识别与防范各类花样繁多的安全攻击的难度。由于多种业务综合承载在同一网络上，难以分辩与确定用户间的信任关系，导致恶意用户很容易找准对象，发动攻击。而被攻击的用户实际上难以分清哪些是合法用户的正常访问，哪些是非法用户侵入或恶意攻击。

　　鉴于IP网络及技术发展快速，在协议设计及软件开发中难以避免的缺陷与漏洞在大规模应用之前来不及测试，故难于发现并将其彻底排除，这亦给恶意攻击造成了各种可乘之机。此外，IP用户身份难以识别，导致很难跟踪及遏止攻击者。而且，IP高度智能的终端及其宽带化，加上其有利的计费模式，更有利于恶意用户方便且低成本地有效实施大规模攻击。制造这类攻击的技术难度变得愈来愈容易，从而使得这类非法入侵及恶意攻击有增无减，肆意蔓延，防不胜防，令人担忧。当然，IP协议的开放透明性所导致的安全性弊端，亦带来了其灵活有效的宽带多业务增值能力，便于互联互通及有效降低成本等明显的市场应用优势与吸引力。