3.4 网络安全技术

　　网络安全的关键是实现应用层、网络层和物理层的溯源和攻击者的物理定位。通常，溯源采用网络层和物理层相结合的方式实现，最终目标是实现物理层溯源。溯源是事后威慑方式的安全防范技术，目前的PSTN网就具备可溯源性而很少出现类似的分布式拒绝服务攻击(DDOS)。

　　应用层溯源可通过自身的身份识别和认证来实现，也可以在应用层协议中增加网络层信息，将其转化为网络层的溯源问题，比如在电子邮件协议MSTP和POP协议中增加发送者源地址信息，或者电子邮件服务器记录发送者的源地址信息，将应用层的追溯转移到网络层，由后者实现。

　　网络层溯源可以根据源IP地址实现，物理层溯源是在用户和业务接入控制点之间采用可堆叠虚拟局域网(SVLAN)技术实现一个用户一个VLAN，建立物理层点对点连接，完成用户接入物理位置的定位。近期可以暂时采用DHCP Option82、PPPoE+、ATM PVC和VBASE等技术协助实现用户物理层的唯一性标识。由于目前IPv4地址数量的限制，普通用户上网采用PPP拨号或者DHCP实现动态地址分配，企业上网采用NAT技术，这些都给网络层溯源带来极大的困难。建立完整的地址资源管理信息库，结合RADIUS记帐信息中IP地址和物理端口信息的对应信息，实现网络层的溯源，并最终实现物理层溯源，是目前现实可行的方案。

　　在业务接入控制点设备上，采用严格的单播的反向路径查找(uRPF)技术，基本可以防止源地址欺骗。将来采用IPv6技术后，所有个人和企业终端都可以分配到永久性的公共IP地址，因而很容易识别发送设备的类型，实现端到端的安全。再结合采用网络层、链路层等多层次RPF技术，有望从根本上解决网络层的溯源。

　　3.5 IPv6技术

　　目前的互联网是以IPv4协议为基础的，还剩14亿地址可用，可能在2010年左右全部耗尽。此外，IPv4在应用限制、管理灵活性、安全性方面的内在缺陷也越来越不能满足未来发展的需要，互联网逐渐转向以IPv6为基础的下一代互联网是不可避免的大趋势，IPv6是下一代互联网的关键技术之一。

　　采用IPv6从根本上解决了IPv4存在的地址限制和更加有效地支持移动IP，给业务实现和网络运营管理带来的好处是革命性的。首先，IPv6使地址空间从IPv4的32比特扩展到128比特，完全消除了互联网地址壁垒造成的网络壁垒和通信壁垒，解决了网络层端到端的寻址和呼叫，有利于运营商网络向企业网络和家庭网络的延伸；其次，IPv6避免了动态地址分配和NAT的使用，解决了网络层溯源问题，给网络安全提供了根本的解决措施，同时扫清了NAT对业务实现的障碍；第三，IPv6协议已经内置移动IPv6协议，可以使移动终端在不改变自身IP地址的前提下实现在不同接入媒质之间的自由移动，为3G、WLAN、WiMAX等的无缝使用创造了条件；第四，IPv6协议通过一系列的自动发现和自动配置功能，简化了网络节点的管理和维护，可以实现即插即用，有利于支持移动节点和大量小型家电和通信设备的应用；第五，采用IPv6后可以开发很多新的热点应用，特别是P2P业务，例如在线聊天、在线游戏等。简言之，IPv6协议是下一代互联网的基础，从长远的观点看，IPv6结合MPLS将最终成为向NGN演进的业务承载层融合协议。

　　有关IPv6的技术标准已经基本成型，但实际网络推进速度很慢。主要原因是IPv4通过采用网络地址转换(NAT)等措施尚能应付5年左右的地址需求。另一方面，IP地址方式与上层协议和网络的运作方式关系紧密，实现IPv4向IPv6升级，几乎涉及网上所有设备和应用，耗时费力，存在较大的风险。

　　3.6 QoS业务控制技术

　　可运营的QoS应该具备业务质量保证和业务质量控制两个方面的能力。QoS业务相关的关键技术包括：质量保证、质量控制、QoS管理、QoS业务标识和防盗。