十进制网络技术白皮书

(第二版)

 

1、概述

互联网最早起源于美国的军网。现行的互联网协议IPV4和IPV6,所依赖的核心硬件、运行规则、域名等资源都由美国掌控。中国在IPV4协议部分只获得了一部分有偿使用权,发展中的IPV6也无法从根本上摆脱美国的主导地位。
网络的建设需要各种硬件和软件。而我国计算机和网络系统的硬件和软件的高端技术始终受制于人,这注定了我国信息系统的安全性能也处于脆弱局面。处理器、内存、硬盘、主板、操作系统、应用程序、根服务器、文档格式、数据库技术、网络设备等一系列都受制于国外,特别是美国。即使采用协议IPV4/IPV6组成的专网,由于其特性和外网的协议和设备均与外网一样,一旦染上病毒及预设恶意程序,将对整个内网造成无法运行的后果,所谓的物理隔离是无法保障其专用网络的正常工作。这就注定了我国的信息基础系统是建立在美国的技术支持之上,也注定了我国信息基础安全系统的脆弱性和先天性的依赖性。
在和平时期,这种依靠可以通过金钱的付出来 得到部分的满足,但是倘若在战争时期和敏感时期,这种依靠是得不到满足的,我国的信息基础的安全体系必定会淡然无存。
鉴于当前网络安全严峻形势,作为国家政权信息化的要害,电子政务系统安全必需从根本上确保安全,采用自主知识产权的数字域名以及TCP/IP协议第九版,旨在解决自主域名解析、自主分配地址、与现有IPV4网络独立、安全可控、互联互通的网络。
本方案将在现有电子政务网络结构着手,以安全需求为出发点,提出了先建电子政务骨干专网,实现逻辑隔离,并兼顾用户使用习惯,考虑多种接入方案。为电子政务的网络安全提供切实可行的解决方案。

2、需求分析

2.1、基本需求

在全国范围内电子政务工程已运行了多年,取得了很好的效果,但也暴露了诸多不便和不足,希望在电子政务的内网及外网中间应有一个缓冲的专网:

  1. 公务员在上公网时电脑中病毒,无意中將秘密文件泄露造成事故。从这点上看,希望新的网络即使电脑中病毒,往外泄露文件,也发不到攻击或病毒制造者手中。
  2. 公务员在上公网时实际关心的网站以新闻、政府网站为主,尤其关心热点、博客等。从这点上看希望新的网络能提供新闻、政府网站、热点、博客等。这些网站取自公网放在专网里。
  3. 尽量不改变用户使用习惯。
  4. 设备选用经公安部、上海信息安全测评中心测试的产品。

2.2、设计考虑

依据需求,系统采用IPV9协议的十进制网络,主设备包括IPV9路由器及协议转换路由器,在IPV4专网和IPV4公网上构造一个逻辑隔离的IPV9专网。
采用IPV9协议转换路由器,尽量不改变用户使用习惯,以便推广,因而系统在局域网级保留IPV4协议。其意义在于单位组建的局域网所有设备、拓扑结构不变。
所有采用IPV9路由器及协议转换路由器的节点在IPV4公网上构成了IPV9专网。
由IPV9专网运行商将新浪、搜狐、新华网等主流媒体采用备份方式接入到IPV9专网。
由于IPV9专网和IPV公网逻辑隔离,因此即使专网中用户的秘密泄露到网上也只能在专网中传怖,不会泄露到公网上。
设备选用经公安部、上海信息安全测评中心测试的产品。

3、十进制网络简介

3.1、十进制网络概念

“十进制网络”

十进制网络是指采用十进制算法和文本表示方法,将各种采用上述十进制算法的计算机联成一个网络,并可以与现有网络实现互通的一个崭新的网络,为了区分现有的网络故又称为“新一代安全可控信息综合网”或“十进制网络”。
十进制网络由IPV9地址协议、IPV9报头协议、IPV9过渡期协议、数字域名系统128位硬件地址协议和标准构成,并可自主分配IP地址、域名和硬件地址,从而达到重新制定互联网“游戏规则”和重新分配资源的目的。

“数字域名”

数字域名是指用0-9的阿拉伯数字替代传统的英文字母作域名的方法上网。同时,数字域名也可以直接以IPV9地址交叠使用。数字域名是十进制网络的一个组成部分。

新的一代Internet协议(IPV9)

采用全数字码来分配地址,以及将IPV6的128位地址扩展为256位,并且和原有 IPV4、IPV6兼容。IPV9地址共分42块,其中一块是直接将全数字码(如RFID) 作为地址在网络上传送。

3.2、IPV9 完整的协议族

  1. IPV9地址协议,包括寻址模型、地址文本表示、单播地址、任意点播地址、组播地址以及IPV9节点需要的地址。
  2. IPV9报头协议。
  3. IPV9的数报文格式协议,主要是报文首部扩展以及认证、加密。
  4. 控制报文协议,即ICMPV9协议。
  5. IPV9邻节点探测协议。
  6. IPV9的安全体系结构——IPSEC协议。
  7. IPV9移动通信协议。
  8. IPV9数字域名DNS扩展协议。
  9. IPV9即插即用协议。

IPV9协议的主要特点:
由于IPV9在IPV4基础上扩展,同时吸取了IPV6经历几年研究成果的基础上,克服了IPV6的弱点,因而1PV9有以下特点:

  1. 采用了定长不定位的方法,可以减少网络开销,就像电话一样可以不定长使用。
  2. 采用特定的加密机制。加密算法控制权掌握在我国手中,因此网络特别安全。
  3. 采用了绝对码类和长流码的TCP/D/IP协议,解决了声音和图像在分组交换电路传输的矛盾。
  4. 可以直接将IP地址当成域名使用,特别适合E164,使用于手机和家庭上网。
  5. 有紧急类别可以解决在战争和国家紧急情况下的线路畅通。
  6. 由于实现点对点线路,因此对用户的隐私权加强了。
  7. 特别适合无线网络传输。

基于上述技术特点,它将带来的经济、政治利益有:
由于独立于原IPV4和 IPV6的Internet组网,可以对网络安全和信息安全进行有效控制和管理,并可根据实际需求,以国外信息下载方式选择有价值的信息为我所用,从而避免国外不良信息的侵入即网络遭到国外的意外攻击。
有利于业务的发展。由于独立组网,有关部门可以在符合国家有关政策的前提条件下,自主灵活的发展公众信息服务,有利于将来在发展中文信息检索的基础上拓展高级应用业务系统,如电子政府、三网融合、电子商务等,并可对安全措施尚不完备或不具备一点条件的业务(如对未经授权的电子公告业务)暂不开放,以保证信息服务健康有序的发展。
采用十进制网络系统。这样解决了IP地址紧张和传输的矛盾,并在初始设计上已考虑了IPV9方案中的地理概念,以免今后重复投资和低水平状况。
独立自主产权规划,独立自主产权标准、坚持高起点、协调发展、统一规划、统一标准,走有中国特色的信息服务发展之路。在发展中防止受制于人,以保证网络业务发展的自主性和灵活性,并可改变我国在信息产业中受别国牵制的问题。
采用十进制网络可以将世界各国用十进制网络联成一个既独立于Internet网又平行、依附的局面。又可以大量利用现有的网络资源,并可做到超前规划分步实施为推广数字中国和数字地球的健康发展打下了良好基础。

3.3、IPV9协议安全特点

3.3.1、地址加密

??? 安全有网络安全及信息安全两种,信息安全主要靠人的管理及密码两种方法。而网络安全由于IPV9有更多的地址,更多的地址方式(定长不定位、定位不定长,及特有的IP地址加密技术),有更多的IPV9扩展头定义使网络有更强的安全性。地址报头、报文、协议号没有公开,自成体系。协议即使公开,公开的也仅是民用部分,军用部分将由军队决定,相对于IPV4/IPV6我国不能决定网络系统中的各种安全措施,尽管使用网络层IPSEC、应用层SSL等措施,仍难以保证安全有差别。从理论分析,专用协议破解难度大于密码算法。
按照目前IPV4/IPV6的标准,32位/128位地址不能加密,如加密则找不到目的地。

3.3.2、网络密码

网络密码是近来发明的新词。它是网络协议和密码技术综合应用技术。由于IPV9是自主发明,对报头扩展的字段一般民用不管,但对军用、政府机构十分有利,可以开发IP层证书认证、携带密码协商,以及某些特殊应用的定义。可以通过不断更改版本方式达到军事应用。类似不断更改密码本方式达到安全。由于IPV6对中国只开放了公开部分,而且控制权不在中国,无法实现上述构想。

3.3.3、紧急类别

??? 由于自己制定协议标准,除了保障了网络通信的密文传输外,协议中还设置了紧急状态位,一旦发生战争,军网被局部破坏的情况下,通过路由器广播方式,将有关民用路由器紧急征用,修改路由表,达到为战争征用的目的,这是新时期战争状态下的杀手锏。

4、和公网逻辑隔离的十进制网络工作原理

4.1、网络拓扑结构图

下图为十进制网络主要节点拓扑图:

 

下图为上海中心节点拓扑图

 

4.2、系统划分概述:

4.2.1、IPV9节点:

在具有IPV4公网地址条件的地方建立IPV9节点。也可以通过专线或裸光纤建立IPV9节点。主要由一个IPV9路由器和一台IPV9协议转换路由器组成。
IPV9协议转换路由器由于将所属网段IPV4协议包转换成IPV9协议包,反之亦然。
由多个IPV9节点在IPV4公网上采用IPV9 OVER IPV4隧道方式传输,构成专网。

4.2.2、IPV9网站节点

网站节点由控制台和服务器组成。控制台用于网站主办方在IPV4状态下将网站主页面及相关内容拷贝到节点服务器。并负责适时更新。在IPV4网站被黑时应取消更新。
在IPV4公网上的网站受到攻击、瘫痪时,网管值班人员负责配置,由IPV9网站服务器提供IPV4游览。

4.2.3、IPV9用户节点

以北京xx办为例,根据所属网络拓扑、主机的数量及地址状况,进行协商,入口有可能作修改(比如防火墙的入口地址、代理设置)。只要出口处增加IPV9路由器和协议转换路由器,即可实现用户自主选择IPV4还是IPV9。

4.2.4、上海中心节点

上海十进制网络信息科技有限公司中心节点为十进制专网提供数字域名根解析、地址分配、网络管理等服务。主要设备有:

  1. 数字域名根解析系统
  2. IPV9地址分配管理系统
  3. 网络管理系统
  4. 十进制网络网站

4.2.5、地址分配

IPV9专网地址统一采用IPV9兼容IPV4的32位内外网地址。在经协议转换路由器后为加密后的256位地址。
如果采用点对点通讯,只要和我们己分出的IPV9/IPV4地址不冲突,终端用户可以使用原来的IPV4的32位内网地址。如果采用点对点通讯,可以保留原来的IPV4内网地址及原来的安全措施。

5、案例分析

5.1、成功工程案例

  1. 上海三合一的数字域名系统己成功运行四年
  2. 10万用户的数字域名解折系统己研制完成并成功运行在上海战备办公室的视频监控中。
  3. 2004年以IPV9网络使用数字域名支持了上海长宁区百万家庭上网行活动,其中长宁区社区学院正常运行至今。
  4. 2002年至今上海长宁区科委电子政务网IV9专网接入正常运行。
  5. 2007年为空军XXX航材库建立基于航材管理的十进制网络。

历经10年,已经建成了世界上最大的可供验证的IPV9的商用化系统。上海建成了数字域名根解析中心,并在北京、长沙、澳门等地建立了分中心。上海的IPV9综合信息实验网运行6年稳定可靠,澳门IPV9新亚太信息中心已经运行3年,建成了IPV9中国华中地区长沙结点正在试运行,同时北京网通十进制网络基础系统建成。

5.2、新闻办公行业

下图是xx传媒集团正在运行的IPV9专网拓扑图

5.3、网吧行业:

5.4、大中型企业:

5.5、中小企业、家庭解决方案

5.6、区委办局网上办公系统

5.7、证券行业

6、技术特点

6.1 组建逻辑隔离专网:

  1. 利用IPV4公网:每个单位局域网出口的IPV4/IPV9路由器以隧道方式,即IPV9 Over IPV4构成VPN进行传输。
  2. 利用光纤资源组建专网:每个单位局域网出口的IPV4/IPV9路由器以双栈方式进行传输。

6.2、单位局域网组网方式、网络扑拓、用户习惯不变

  1. 组网方式、网络扑拓只在因特网出口增加IPV4/IPV9路由器和协议转换路由器,其它不变。
  2. 由于每个单位局域网仍采用IPV4,因此用户使用习惯不变,包括应用软件。
  3. 地址命名。如原用户使用的32位地址和IPV9兼容32位的地址不充突,只不用改变。此时的IPV9可视为一个广域的内网,目前IPV4的内网地址是无法在广域范围内互访。

6.3、关于专网公开网站应用

考虑到公务员在上公网时实际关心的网站以新闻、政府网站为主。尤其关心热点、博客等,而用户又不愿意将个人主机放在公网上。我们设想网站主办方在IPV4状态下将网站主页面及相关内容拷贝到节点服务器,并负责适时更新。


6.4、安全性

考虑到公务员在上公网时电脑中病毒,无意中将秘密文件泄露造成事故。由于在IPV9专网中采用了将IPV4网站境像技术,所以一些IPV4大的网站在IPV9专网中均可游览,因此新的IPV9专网在电脑中病毒、木马等,往外泄露文件时,下述措施也发不到攻击或病毒制造者手中。

  1. 逻辑隔离,隧道路由。
  2. 在IPV9专网中在广域网上传输以IPV9 Over IPV4方式进行。被泄文件只能在隧道中流传,危害程度较小。如在岀口采用单向隔离网关,则IPV9专网数据不能走入公网,可防止专网数据进入公网。
  3. 地址加密。
  4. IPV9兼容32位的地址是按一定规则扩张成256位传送,他按地址路由层次规则有利于按目的地址传送,但攻击者又摸不着规则,提高了安全性。
  5. 单向隔离网关。

对安全性较高用户,在使用IPV9专网时增加单向隔离网关。其功能保证公网数据可进入IPV9专网,而IPV9专网数据不能走入公网。

7、主要设备功能概述

7.1、数字域名注册解析体系

7.1.1主要技术指标

(1)、容量为1万户/台,正向解析、反向解析。
(2)、数字域名解析时间:从用户发出域名解析请求后至解析完成。
平均响应时间く=1秒(经过一级DNS服务器)(并发率50%时)
平均响应时间く=3秒(至多经过三级DNS服务器)(并发率50%时)
(3)、系统服务质量要求
定时更新数据库的时间。更新间隔く24小时(批量数据更新时间)
(4)、动态更新域名数据库的响应时间:
从收到业务管理员或系统管理员更新请求至向业务管理员或系统管理员发出响应为止。
数据库服务响应时间2秒
(5)、数字域名解析系统的解析正确率:
解析正确率〉=99.9999%
(6)、系统运行故障率
系统故障时间/系统连续运行时间く0.00001秒
(7)、系统具有备份功能

7.1.2系统组成

(1)、域名注册子系统
提供方便、友好的数字域名信息注册功能。
(2)、域名维护子系统
提供安全、可靠的数字域名信息的增、删、改功能。
(3)、域名解析系统
为网上各用户提供准确、快速的域名正向解析、反向解析、Cache设置、分层解析等功能。
(4)、域名管理子系统
提供安全可靠的对各级操作员、系统管理员的分级权限管理。
(5)、数字域名导航系统
负责完成数字域名的检索、导航功能。

7.2、IPV4/IPV9隧道/双栈路由器

(1)、主要功能

  1. 基于IPV4协议的设备及基于IPV9协议的设备均可通过IPV9/BTR2000组成安全、独立、可靠的网络。
  2. 主干网上采用IPV4 over IPV9;IPV9 over IPV4 两种隧道。

(2)、主要接口指标

  1. 输入端口: 10M/100M 以太网接口;
  2. 输出端口: 10M/100M 以太网接口;
  3. 输入端口: 1000M 以太网接口;
  4. 输出端口: 1000M 以太网接口;
  5. 单模:光纤接口;
  6. 多模:光纤接口;

(3)、主要技术指标

  1. IPV9报头
  2. IPV9地址
  3. ICMPv9协议

IPV9隧道

A )IPV9 Over IPV4隧道
IPV4报头中的“协议”值设为141。
支持IPV9 over IPV4的隧道方式通信。
支持IPV9报文通过IPV9 over IPV4隧道的转发。
B)、IPV4 Over IPV9隧道
IPV9报头中的“下一个头”值设为4。
支持IPV4 over IPV9的隧道方式通信。
支持IPV4报文通过IPV4 over IPV9隧道的转发。

IPV9路由

支持以太、快速以太网络接口。
支持RIP路由协议。
达到10/100Mbps峰值速度或选用1000Mbps峰值速度的设备。

IPV9应用程序

提供基于IPV9协议的FTP文件传输功能。
提供基于IPV9的WEB服务与浏览。
提供IPV9的报文截获功能。

7.3、IPV4/IPV9协议转换路由器

(1)、主要功能
IPV9协议和IPV4协议之间的双向转换,适用于所有应用

  1. OSPF和RIPv2路由协议
  2. 源地址路由支持,透明桥接
  3. 策略路由方式

(2)、主要接口指标

  1. 输入端口: 100M/1000M 以太网接口;
  2. 输出端口: 100M/1000M 以太网接口;

(3)、主要技术指标

  1. 包转发率:≥150Kpps
  2. 支持基于源目的IP、协议、端口以及时间段的访问列表控制策略
  3. 总线带宽:2G
  4. CPU主频:2.8GHz
  5. 内存容量:1G
  6. 操作系统:windows2003

8、结束语

电子政务网络平台的安全威胁从来源上,主要可分为互联网安全威胁和平台内部安全威胁两类。
来自国际互联网的安全威胁主要包括互联网黑客攻击、网络病毒、垃圾流量等类型,电子政务IPV9网络平台就是避开来自国际互联网的安全威胁。本项目设计就是基于自主知识产权的IPV9协议和域名解析从根本上实现网络的逻辑隔离。
任何安全措施都具有一定的局限性。本方案针对现有电子政务网中存在根本性安全隐患进行设计,同时配以现有安全技术、政策、法规才能真正走出一条“低成本、集约化、见实效”的电子政务建设道路。

 


[关闭窗口]