电销如何避免手机卡被封

适合电销用的电话卡

广发银行电销办卡

招商信用卡电销保险怎么退

现在用什么电话卡打电销

苏州电信电销卡

146电销卡

电销专用卡

中信信用卡分期电销好做吗

的隐私，但是不能隐藏发送者 ISP 的位置信息。 Mailbox[12]通过提供多个代理位置来为多个 IP 地 址接收数据分组，可以隐藏接收者的真实 IP 地址， 但是并没有提供发送者的隐私保护。洋葱网络[13] 被认为是种有效的隐私保护技术，但在支持高 速分组转发方面存在性能弱势。虽然 IETF 也有多 项针对 IPv6 地址隐私保护的工作，但是大部分工 作（如临时地址[14]、SLAAC[15]）聚焦在后 64 位 的接口标识符隐私，没有考虑前缀隐私。实际上， 5G 网络的 IPv6 PDU session 使用唯的前缀作为 发送者的标识符，并且在共用同 IPv6 前缀的用 户比较少的情况下，前缀隐私同样需要提供保护。 为了提供可审计性，学术界也提出了多种方案， 如 AIP[16]、APIP[17]、APNA[18]等。然而，AIP 仅 考虑可审计性，却忽略了隐私保护；APIP 仅考虑 源 IP 地址隐私，由于没有对所有分组进行验证， 伪造的数据分组依然可以绕过审查。APNA 通过 引入临时 ID 及证书，能够很好地平衡隐私保护和 可审计性，但是需要频繁的请求、计算、颁发临 时 PKI 证书来抵御长时间的关联分析。 实际上，由于当前 IP 网络固有的设计缺陷，耦 合了身份（身份标识）和位置（定位符）语义的 IP 地址使外挂式安全方案很难兼顾隐私保护与可审计 性。出于路由寻址目的，方面需要在报文头部暴 露的定位符，另方面移动性也使得定位符 会动态变化。因此，使用种必然要暴露、动态 变化的定位符以唯标识用户，显然是不合适的。 原因有两点：出于网络提供商对可审计性的考虑， 需要个可被合法实体唯识别的、静态持久标识 符，而定位符不满足静态持久特性；出于用户的隐 私考虑，需要个非授权实体无法识别的、足够匿 名、动态不可关联的标识符，暴露在头部的定位符 不满足匿名不可关联特性。显然，对于耦合了定位 符语义的 IP 地址而言，难以身兼身份标识符语义， 无法满足可审计性和隐私保护需求。因此，需要打 破当前 IP 地址的安全设计缺陷，为未来网络提供 个动态不可关联、可审计追踪的隐私 ID 机制。 （3）机密性与完整性需求分析 人们普遍认为 IP 数据分组有效负载的机密性 和完整性可以采用基于密码技术的安全协议来保 证。例如，可以采用 TLS/SSL 或其他上层安全协 议提供机密性和完整性，通过 IPSec 隧道模式甚 至还可以实现 IP 报头信息的机密性。但是，所有 这些协议的安全性都建立在安全的密钥协商基础 上。如果密钥协商过程不可信，则数据安全性也 就无从谈起。 在端到端通信场景中，动态的密钥交换协议 广泛应用在密钥协商过程中，然而动态密钥交换 又面临诸多安全威胁。由于静态的密钥配置方法 复杂且不灵活，难以适用大量连接下的密钥交换 需求。因此，基于 Diffie-Hellman 的动态密钥交换 协议得到了广泛的应用。然而，在缺乏对 IP 地址 与密钥进行绑定和验证的情况下，Diffie-Hellman 密钥交换过程容易遭受中间人攻击，中间人可以 使用伪造的 IP 地址欺骗合法实体与其进行密钥交 换，从而可以解密、窃听甚至篡改合法实体之间 的加密流量。虽然通过 PKI 证书机制可以将 ID 与 身份公钥进行绑定来防止中间人攻击，但是又会 引入单点中心化权威作恶或者单点故障问题。由 于 IP 缺乏内生的密钥生成和验证机制，现有外附 的多级中心化 PKI 机制又存在可信和多级证书链 验证带来的大计算开销等问题，难以满足大量多 样化异构设备之间的安全通信需求。 因此，未来网络需要解决当前密钥交换中的欺 骗问题，保障数据分组有效负荷的机密性和完整性。 针对单点权威失效问题，去中心化的公钥基础设施 已成为构建安全信任锚的必然选择，具体方案需结 合场景设计以满足性能和安全的差异化需求。在此 基础上，未来网络还需要具备内生的密钥自验证功 能，以根治密钥交换过程中的欺骗问题。 （4）可用性需求分析 DDoS 攻击依然是破坏网络可用性的顽疾。在 2019215-4 专题：数据网络协议架构创新——NewIP ·24· 2018 年，DDoS 攻击流量已突破 1.7 Tbit/s 量级[19]。 2016 年广为人知的 Mirai 僵尸网络[20]、通过沦陷 大量 IoT 设备，给网络带来了多起巨大安全风暴。 随着越来越多的异构 IoT 设备的接入，DDoS 攻击 威胁将会加剧，并且会打破现有基于防火墙的安 全防御基线。作为 5G 的目标，未来 5G 网络将支 持每平方千米百万量级的设备连接，因此，来自 同管理域内部的 DoS 攻击流量也不容小觑。 由于网络在设计之初缺乏安全考虑，现有主 流的 DDoS 防御思想类似场基于网络资源的军 备竞赛。广泛应用的黑洞技术，虽然将攻击流量 引入了黑洞，同样也致使了合法流量不能被处理。 并且，大部分外附的 DDoS 防御技术通常实现在 昂贵的专用硬件设备上（如部署在企业内部的 DDoS 防火墙设备[21]或部署在云中的 DDoS 流量 清洗设备[22]），依赖于对深层数据分组的解析，滞 后有时延，无法在网络层精准快速过滤。虽然， 基于 BGP Spec Flow 的方案使得受害主机能够通 过协议消息请求其他的 AS 协助 DDoS 流量过滤， 但缺乏有效的激励机制来促动或约束非受害 AS 主动部署和协助 DDoS 防御。此外，现有大多 数易于部署的 DDoS 防御方案无法独立于攻击 流量规模，也难以做到有效的近源阻断，当大 量的 DDoS 流量汇聚到受害主机侧时，正常的 服务已受到影响。虽然 SIBRA [23] 提供的 DDoS 防御能力可以独立于攻击流量规模，但是其预 留带宽的机制依赖于复杂的分级层次化的 AS 关系设计，难以被广泛接受。总而言之，如果 没有大量的计算或带宽等资源优势，现有的补 丁式防御方法仍然难以对抗压倒性的 DDoS 攻 击流量。 因此，在未来的网络架构及协议设计中，需 要内嵌多层次的 DDoS 防御技术，在可能的攻击 流量路径上，尽可能早地发现攻击流量、在靠近 攻击源侧进行阻断，同时使目的端具备区分合法 和非法流量的能力，使得网络节点或实体具备 DDoS 攻击免疫特性，从