武傳坤

（中國科學院軟件研究所信息安全國家重點實驗室 北京 100190）

1 引言

2001年3月15日通過的國家 “十五”規(guī)劃綱要中，第一次明確提出三網融合：“促進電信、電視、計算機三網融合”。2010年 1月13日，溫家寶總理主持召開國務院常務會議，決定加快推進電信網、廣播電視網和互聯(lián)網三網融合。根據網絡提供的信息，截至2010年8月16日，12個三網融合試點城市已全部上報試點方案，試點即將正式開始。據了解，有更多的城市對三網融合試點持非常積極的態(tài)度，這些都體現(xiàn)了國家近期在三網融合方面得到的積極響應和飛速發(fā)展。

現(xiàn)階段三網融合主要指高層業(yè)務應用的融合，而不意味著三大網絡的物理整合，但表現(xiàn)在技術上將是趨于一致，如在網絡層可以實現(xiàn)互聯(lián)互通，形成無縫覆蓋、業(yè)務層上互相滲透和交叉、應用層上趨向使用統(tǒng)一的IP協(xié)議等，這將導致在經營上的互相競爭、互相合作，并更好地向用戶提供多樣化、多媒體化、個性化和高質量的服務，同時行業(yè)管制和政策方面也將更加規(guī)范和統(tǒng)一。三網融合還能實現(xiàn)網絡資源共享，避免重復建設，形成適應性廣、易維護、低費用的高速寬帶多媒體基礎平臺。

從服務形式上看，三網融合無疑會給用戶帶來很大方便，豐富人們對信息的獲取和共享方式，如可以在電視機前撥打可視電話，點播自己喜歡看的電視節(jié)目，在手機上看電視，甚至將自己錄制的視頻共享給親友甚至更大的用戶群體等。但是，這種新業(yè)務模式的改造和轉型必將面臨諸多新的信息安全挑戰(zhàn)，也有一些在三網融合之前曾遇到的網絡安全問題可能會在三網融合之后變得更加敏感。因此研究分析三網融合下的信息安全問題，將有助于三網融合的健康發(fā)展，使用戶在享受更好網絡通信服務的同時，提供對信息安全的必要保障，也可對保障國家安全和推進和諧社會發(fā)展的起到積極的作用。

2 三網融合的特征

為了研究三網融合下的信息安全問題，并進一步提出針對三網融合特征的信息安全解決方案，必須認清以下兩個問題：三網融合相對傳統(tǒng)的網絡有什么特征？現(xiàn)在已有的網絡安全解決方案在三網融合環(huán)境下有哪些局限性？

三網融合意味著將電信網、廣播電視網和互聯(lián)網通過技術改造，使其成為能夠提供包括語音、數據、圖像等綜合多媒體的綜合通信業(yè)務平臺。其中互聯(lián)網將成為網絡載體的核心，而電信網和廣播電視網將更多地側重于互聯(lián)網平臺上的業(yè)務服務。為實現(xiàn)這一目標，要求多方面的標準化和統(tǒng)一性，包括：（1）數據格式的統(tǒng)一（信源）：如電話、數據和圖像信號都可以通過統(tǒng)一的編碼進行傳輸和交換，所有業(yè)務在網絡中都將成為統(tǒng)一的“0”和“1”的比特流；而且許多多媒體數據需經過統(tǒng)一的壓縮處理，以適應不同終端的需求；（2）通信協(xié)議的統(tǒng)一（信道）：如統(tǒng)一的TCP/IP協(xié)議，或無論傳輸使用無線網絡（移動通信、衛(wèi)星通信、光通信等）還是有線網（金屬線或光纖），都能安全可靠地傳遞數據；（3）通信終端接口的統(tǒng)一（信宿）：即無論接收終端是掌上電腦、臺式計算機，還是大屏幕電視，都可以正確識別數據類型并能正確接收。不過，這里所說的統(tǒng)一是一個廣泛的概念，指那些被通信單元廣泛識別和處理的技術手段，如國際標準和工業(yè)標準等，因此統(tǒng)一不等于唯一。從信息安全的角度看，三網融合需要有統(tǒng)一的認證鑒權技術，打破不同行業(yè)間的技術壁壘，實現(xiàn)跨平臺、跨系統(tǒng)的統(tǒng)一認證鑒權步驟和管理規(guī)范。

在工作模式上，三網融合后的網絡服務平臺為人們提供的將不再是如早期廣播電視網一樣的信息發(fā)布與被動接收，而是用戶可以在某種程度上與服務平臺實現(xiàn)互動，如選擇節(jié)目、在線投票、甚至將自己制作的多媒體內容在一定范圍內共享和分發(fā)等。目前在互聯(lián)網上雖然可以實現(xiàn)類似的數據共享業(yè)務，但共享群體規(guī)模比三網融合所提供的平臺將小得多。而規(guī)模的大小直接影響到某些信息安全指標的重要程度。比如一個共享的多媒體數據，如果涉及到非法宣傳的內容，當共享用戶規(guī)模較小時，可以通過網絡監(jiān)管的方式進行過濾監(jiān)督，但當共享人群很大（如相當于一個廣播電視頻道的收視群體時），通過網絡監(jiān)管的方式是不合適的，即便發(fā)現(xiàn)后立即進行制止，很可能已經為時已晚。特別是當所提供共享數據的來源不可控制時，更可能帶來一些社會問題。因此針對三網融合平臺，對網絡傳輸的數據，特別是某些廣播或組播的大規(guī)模共享數據，需要尋求特定有效的管控手段，這是相比傳統(tǒng)網絡安全而言比較特殊的安全需求，即三網融合下的內容安全問題。三網融合下的信息安全關鍵技術主要包括如下幾個方面：認證機制、網絡安全、系統(tǒng)安全和內容安全。

3 三網融合下的信息安全問題

3.1 三網融合下的認證機制、網絡安全、系統(tǒng)安全問題

雖然在現(xiàn)有網絡環(huán)境下，互聯(lián)網和移動網各自在認證機制、網絡安全和系統(tǒng)安全方面都有多種解決方案，但是在三網融合環(huán)境下，需要有統(tǒng)一的認證機制，因此需要對現(xiàn)有認證機制進行改造融合，充分發(fā)揮已有認證機制的特點為三網融合下的認證機制服務。比如在互聯(lián)網上的認證一般需要有公鑰證書的支持，而移動網上的認證只需要基于預置密鑰的對稱密碼挑戰(zhàn)應答方式。如果將兩者結合，即三網融合下一些與移動網平臺緊密相關業(yè)務的認證可以使用兩者結合的認證方式，比如讓移動網絡部分繼續(xù)使用預置密鑰的認證方式，而在互聯(lián)網階段，只需要對移動網運營商進行認證即可，這樣可以只需要移動運營商 （或某些運營商節(jié)點）的公鑰證書，而不需要每個用戶都有自己的公鑰證書，這樣會在實際操作中減少公鑰證書的管理代價（包括計算代價、通信代價、管理成本等）。因此三網融合環(huán)境下的認證機制應該跟具體應用類別相關，單一的認證模式是不現(xiàn)實的。

三網融合環(huán)境下的網絡安全問題將更突出。因為在現(xiàn)有網絡中，從互聯(lián)網接入無線移動網受到很大限制，而在三網融合環(huán)境下，由于業(yè)務的需求，將有更多的從互聯(lián)網到無線移動網的接入訪問，這樣就給無線移動網絡的安全帶來更大的挑戰(zhàn)。傳統(tǒng)的移動互聯(lián)網的信息安全防護措施很可能并不能很好地應對新形勢下的安全威脅，需要結合一些針對互聯(lián)網的安全防護技術，而且需要專門設計一些兼容兩種安全防護于一體的網絡安全防護技術。

三網融合對系統(tǒng)的安全將帶來更大的挑戰(zhàn)，其中終端安全就是一個重要且現(xiàn)實的問題。三網融合后許多終端設備，包括移動終端設備，將直接連接到互聯(lián)網，而互聯(lián)網對終端系統(tǒng)的攻擊方式層出不窮，防不勝防。這些由于體積有限導致功能受限的終端設備可能需要加強和優(yōu)化信息安全方面的保護，才能有效應對種類繁多的網絡攻擊。因此三網融合下的系統(tǒng)安全將是一個重要的技術挑戰(zhàn)。

3.2 三網融合下的內容安全問題

3.2.1 內容安全問題的重要性

三網融合環(huán)境下除了認證機制、網絡安全和系統(tǒng)安全將遇到的新挑戰(zhàn)，還有一些問題值得我們的重視，這類問題多與上述安全問題有密切聯(lián)系。如密鑰管理問題與安全認證就有著直接的聯(lián)系，密鑰管理一般與認證是分不開的，而認證的目的通常會伴隨著密鑰管理（如密鑰協(xié)商等）過程。

三網融合下的另一個特殊問題是內容安全，這在傳統(tǒng)網絡中未得到足夠重視，原因是其安全威脅尚不夠可怕。但在三網融合環(huán)境下，內容安全問題將會更嚴重地關系到社會的安全。由一個典型的案例假設即可看出端倪：假如某非法組織在三網融合環(huán)境借助某個電視頻道向外發(fā)布消息，由于該消息的接收群體將遠大于傳統(tǒng)互聯(lián)網環(huán)境，即使能及時發(fā)現(xiàn)，一個短消息的發(fā)布可能也已經完成。因此三網融合環(huán)境下所傳輸數據的內容安全是一個特別值得重視的問題。

實際上，在互聯(lián)網環(huán)境下，內容安全已經得到有關部門的重視，一些提供互聯(lián)網業(yè)務的服務平臺就根據國家需求對互聯(lián)網上傳輸的內容進行一定程度的監(jiān)管。最近，美國也啟動了深度包檢測計劃（DPI[1]），旨在進一步加強內容安全方面的監(jiān)管力度?？梢?，內容安全已經越來越受到重視，在三網融合環(huán)境下，內容安全無疑是一項重要的安全防護目標。

內容安全的防護從直觀上應該是對內容進行監(jiān)督分析，使其在發(fā)布的同時甚至發(fā)布之前就能識別并對非法內容進行阻止。但是經驗告訴我們，對網絡數據內容的分析監(jiān)督是何等的困難。垃圾郵件是一種被眾人厭惡的網絡騷擾，但多年積累的技術對垃圾郵件的治理效果仍然十分有限，一些精心設計的垃圾郵件還是能順利通過許多垃圾過濾軟件的監(jiān)管。目前對垃圾郵件的過濾多是通過學習過程，即用戶收到垃圾郵件，可向網絡端進行匯報，網絡端經過特征分析，可望在后來截獲類似特征的郵件時將其過濾掉。但這是事后行為，只適合垃圾郵件的過濾，因為用戶不是同時收到相同的垃圾郵件。這種技術不適合三網融合環(huán)境下的數據過濾，因為如果許多用戶幾乎在同一時間收到垃圾郵件或其他類型的數據，再讓系統(tǒng)進行學習并記錄特征則為時已晚。

但是，對內容的分析也不是沒有效果，許多特殊類別的內容過濾還是能取得很好的效果。比如對黃色內容的過濾就可以根據黃色內容的顏色特征進行分析和匹配的方法進行，但如果發(fā)布者將黃色內容變成黑白兩色，則上述方法的效果會明顯降低，當然變色后的內容在宣傳效果上也會降低。針對這一特殊類型的內容防護，可以設計不同等級的內容防護。當遇到內容特征不是很容易提取甚至容易隱藏的數據類型時，如音頻，甚至普通多媒體的水印圖像，則很難通過內容特征匹配方面的技術進行過濾。更具挑戰(zhàn)的是，對內容保護的技術在攻擊者看來是公開的，而攻擊者的手段是秘密的，至少在攻擊之前是這樣。因此讓公開的技術防護未知的攻擊是很困難的，特別當一些攻擊手段專門針對已有防護技術進行攻擊時更是如此，因此要做到提前防護的確是很大的技術挑戰(zhàn)。

3.2.2 內容安全的監(jiān)管

上述討論似乎給出這樣的論斷，即內容防護很困難。根據我們的經驗和現(xiàn)有網絡環(huán)境下的一些實例，內容防護僅從內容特征分析的確很困難，這與三網融合環(huán)境沒有太大的關系。但這并不意味著內容防護沒有好的辦法。這里我們試圖探討另一種途徑，即通過技術手段和行政管理相結合的方式，使其在實際中達到內容監(jiān)管的效果。

首先在行政管理方面，對連接到網絡的用戶進行分類，如（A）廣播通信類，目標用戶主要是授權的廣播電視發(fā)布機構；（B）組播通信類，目標用戶主要是授權的網絡服務平臺的管理者；（C）普通用戶類，包括所有不屬于上述兩種類型的用戶。另外，對廣播通信平臺進行授權管理，即哪些網絡平臺是合法的廣播電視多媒體的服務平臺。在這種行政管理準備前提下，網絡內容的安全監(jiān)控可以通過如下步驟進行：

（1）廣播通信和組播通信業(yè)務都需要對用戶進行安全認證，確認數據來源是授權的合法用戶，并且用戶要對廣播或組播的內容進行承諾；該認證由授權的廣播通信平臺負責。如果通過某種途徑（事前或事后）證明某個廣播或組播內容是應該被禁止的，則來源用戶將對其所造成的后果負有不可推卸的責任，除非該用戶可以將責任追溯到他人。在實際應用中，廣播通信用戶還需要對廣播通信平臺進行認證，否則可能會造成經濟損失，但這不是內容監(jiān)管所考慮的問題。

（2）監(jiān)管部門對除授權的廣播通信平臺之外的平臺進行定期檢查，看這些平臺是否發(fā)布廣播通信類業(yè)務。一旦發(fā)現(xiàn)，無論這些通信類業(yè)務本身的內容是否有問題，都將根據有關法律法規(guī)對運營者進行懲罰。檢查業(yè)務類型比檢查業(yè)務數據內容要容易得多，因此具有操作的可行性。

容易看出，上述規(guī)定并沒有影響三網融合對服務便利性的影響。三網融合的影響是廣播通信類業(yè)務發(fā)布信息的途徑發(fā)生了根本性變化，但普通用戶發(fā)布信息的途徑與當前通過互聯(lián)網的情況基本一致，當然普通用戶可能會有更多的終端設備使用，如多媒體數字電視。

需要說明的是，上述對數據內容安全監(jiān)管的方法簡單地說就是誰發(fā)布誰負責。是否會存在“勇敢者”敢冒天下之大不韙，明知內容非法卻仍進行廣播或組播呢？這種可能性與目前情況下某個廣播電視臺從當前的廣播電視網發(fā)布這些信息的可能性是一樣的，而且成功的可能性還要低，因為通過多媒體網絡服務平臺進行發(fā)布時，該平臺要使用技術和人工相結合的手段對內容進行檢測過濾，即使檢測手段有許多漏報情況，也比現(xiàn)在完全依賴廣播電視臺的情況要好。

但是，對內容安全的監(jiān)管還沒有可靠的具體方案實施，因為這不僅僅是管理方面的問題，更重要的是為管理所提供的技術支持，這些相關技術包括如下幾方面的問題：

（1）如何為用戶進行授權？如何為網絡平臺進行授權？雖在技術上已有許多成熟的手段，但對三網融合這一具體產業(yè)架構，需要在管理層面解決這一問題。

（2）對不同類別的用戶應分別使用什么認證方案？使用哪種數字簽名方法和哪種協(xié)議來提供認證服務？這些則是需要根據需求進一步分析和研究的。

（3）存在哪些可能的攻擊（假冒、重放、拒絕服務等）和使用什么預防、災難恢復等方案？這些問題不僅需要嚴謹的科學分析，還需要持續(xù)的研究和更新。盡管目前有許多種密碼算法可選，有許多種認證協(xié)議可用，有許多種網絡安全方法可采納，但是，一個安全可靠的系統(tǒng)的建立不是將這些方法的簡單組合。因此科學的分析和論證，特別是對整體安全解決方案的有機整合是解決三網融合信息安全問題的必要途徑。

除了技術上有許多問題需要解決和不斷發(fā)展外，在管理方面也有一些問題尚待解決，比如，如何為用戶進行分類？如何對授權網絡平臺進行審核審批？誰來負責授權？這些問題都將對規(guī)范三網融合后的網絡管理和使用，特別是保障三網融合安全健康地發(fā)展具有重要意義。

總之，內容安全很難通過某種尖端設備來過濾，但可以通過一個安全系統(tǒng)來實現(xiàn)。

3.3 三網融合下對電子財產和電子財產知識產權的保護

我們都知道要保護國家財產、企業(yè)財產、個人財產等，通常我們對這些財產的理解都是有形的，即看得見摸得著的。近年來，國家也逐漸重視對無形財產的保護，如對民俗文化遺產的保護。但是，對電子財產的保護還很不夠。所謂電子財產，即所有以電子形式存在 （如可存儲于計算機或其他介質）且有價值的數據，如圖片和多媒體就是典型的電子財產。我們除了要對電子財產本身進行保護外，在一定條件下還需要對其知識產權進行保護，即電子財產的內容雖然可以被使用（或消費），但使用者必須遵守一定的規(guī)則，而不能非法盈利或非法使用（如非法篡改）。如何保護電子財產和電子財產的知識產權一直是一個重要研究課題，而三網融合更強化了這些問題的重要現(xiàn)實意義。

目前對圖片、多媒體等類型的電子財產已有一些保護方法，通常的認證和機密性就可以用來提供對這類財產的保護，因為它們可以壓縮后被當作普通數據來處理。對這類電子財產知識產權的保護也有一些技術方法，如水印技術、指紋技術等。但計算機軟件作為一類特殊而且重要的電子財產，在本身的保護和其知識產權保護方面的研究都不夠，一些企業(yè)解決方案缺乏理論支持，不具有規(guī)?；涂砂l(fā)展性。三網融合環(huán)境下給人們提供了更多合法和非法獲取這些電子財產的機會，因此加強電子財產的保護和知識產權保護是三網融合時代面臨的另一項重要的挑戰(zhàn)。

4 發(fā)展建議

當前我國各職能部門正各自為三網融合的發(fā)展作著積極的準備，各相關企業(yè)也異?；钴S，特別是網絡運營商更是為三網融合的發(fā)展進行著多方面的積極籌備。同時，相關的標準規(guī)范也在制定中。但是從長期可持續(xù)發(fā)展方面看，三網融合的終極目標除了需保證其功能外，更應重視其性能，其中信息安全保障就是重要的性能指標。

2009年美國提出了對深度包檢查（deep packet inspection,DPI）的發(fā)展戰(zhàn)略，以加強對互聯(lián)網上傳輸數據的檢控能力。三網融合將拓寬互聯(lián)網的功能，無疑會增加互聯(lián)網上傳輸的數據類型和來源，因此對數據包深度檢測更為重要。但是，對數據包深度檢測不能僅從字面上理解，應該從其根本目標上理解。正如上述分析所表明的，如果僅僅從數據包本身進行深度檢測，則效果非常有限，而且很容易被惡意攻擊者逃脫。為了更好地實現(xiàn)對網絡數據的監(jiān)管和管控，需要安全監(jiān)管的整體方案，并且需要對數據包進行深度檢測的技術手段。前者是解決問題的根本，后者則起到輔助作用，為前者提供一些技術幫助，目的在節(jié)省人力成本。

然而，根據筆者所了解的情況，目前國家對三網融合安全方面的投入除了加強傳統(tǒng)的互聯(lián)網和移動網安全外，新增投入主要是對數據包本身的檢測方面，缺乏對網絡監(jiān)管整體系統(tǒng)的研發(fā)投入。在當前的網絡監(jiān)管能力很有限的情況下，需要將當前的行政管理手段同密碼技術相結合，特別是認證技術和電子證據技術方面的結合，才能更好地服務于三網融合下的安全監(jiān)管。

總之，三網融合所帶來的信息安全挑戰(zhàn)，除了目前網絡和系統(tǒng)所面臨的安全挑戰(zhàn)外，更突出的是安全監(jiān)控和知識產權問題。如何解決好這些問題關系到三網融合的健康發(fā)展。解決這些問題不能單一依賴技術手段、管理手段或政策措施，而應該將這些手段有機地結合，才能更有效地提供三網融合所期望的服務。因此，希望國家有關部門加強將三網融合作為一個整體系統(tǒng)來解決安全監(jiān)管的研究方面的投入力度，以及電子財產安全和電子財產知識產權保護方面的投入力度。

最后要強調的是，對一個系統(tǒng)的信息安全保護不是單憑一個插件或設備就可以實現(xiàn)的，必須要有一套完整的安全體系和配套的安全解決方案。

1 http://epic.org/privacy/dpi/