<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 手機與無線通信 > 設計應用 > 下一代互聯(lián)網(wǎng)安全模式探討

          下一代互聯(lián)網(wǎng)安全模式探討

          ——
          作者:魏亮 時間:2006-06-12 來源:泰爾網(wǎng) 收藏
          摘要 分析了下一代互聯(lián)網(wǎng)的安全需求與挑戰(zhàn),對下一代互聯(lián)網(wǎng)的安全模式進行了比較分析,探討了下一代互聯(lián)網(wǎng)的安全保障問題。 

          關(guān)鍵詞 互聯(lián)網(wǎng) 安全 IP 

          一、引言 

            時至今日,互聯(lián)網(wǎng)在全世界范圍內(nèi)獲得了巨大成功,已滲透到人類工作生活的方方面面?;ヂ?lián)網(wǎng)在為人們提供巨大便利的同時,也在逐漸影響工作生活的態(tài)度與方式。 

            由于互聯(lián)網(wǎng)設計上的一些缺陷(例如地址空間問題等),預計在未來很長一段時間內(nèi)不可能再持續(xù)高速發(fā)展。對下一代互聯(lián)網(wǎng)的研究已成為擺在我們面前的緊迫課題。在下一代互聯(lián)網(wǎng)需要解決的問題中,安全問題是最重要課題之一。 

          二、下一代互聯(lián)網(wǎng)的安全需求與挑戰(zhàn) 

            下一代互聯(lián)網(wǎng)面臨方方面面的安全威脅,諸如: 

           ?。?)電磁安全:電磁的輻射及泄漏可能影響存儲處理和傳輸信息的機密性。 

           ?。?)設備安全:設備安全可能影響的生存性和連通性。 

            (3)鏈路安全:通信鏈路的可靠性將直接影響的連通性。 

            (4)協(xié)議安全:路由協(xié)議安全直接影響網(wǎng)絡的可用性與連通性。 

            (5)戰(zhàn)爭、自然災害:遭受戰(zhàn)爭或自然災害時,節(jié)點可能失效,鏈路大量中斷。 

           ?。?)網(wǎng)絡受流量沖擊:當網(wǎng)絡受到流量沖擊時,網(wǎng)絡性能急劇下降,甚至停止服務。 

            (7)終端安全:智能終端故障率及配置難度大大增加,易受攻擊。 

           ?。?)網(wǎng)絡業(yè)務安全:業(yè)務網(wǎng)可能受到攻擊,影響業(yè)務的正常開展。 

           ?。?)網(wǎng)絡資源安全:用戶惡意或無意濫用資源將嚴重威脅網(wǎng)絡正常運行。 

            (1O)通信內(nèi)容安全:網(wǎng)絡傳輸內(nèi)容可能被非法竊取或非法使用。 

           ?。?1)有害信息擴散:對下一代互聯(lián)網(wǎng)而言,必須關(guān)注有害信息通過網(wǎng)絡擴散傳播的問題。 

            為應對上述或本文未提到的各種安全威脅與挑戰(zhàn),下一代互聯(lián)網(wǎng)必須從設計之初就考慮到安全保障能力。當前的安全技術(shù)及安全模式都有一定應用,下面主要對現(xiàn)有幾種安全模式進行分析和探討。 

          三、下一代互聯(lián)網(wǎng)的安全模式分析 

            安全模式有別于安全技術(shù)。安全技術(shù)一般比較單純,即用一些技術(shù)手段提供安全機制,對通信中的某個安全漏洞進行保護。安全模式比安全技術(shù)范圍更大,可根據(jù)其提供的思路,集成若干安全技術(shù)、管理手段來解決部分安全問題。安全模式可以結(jié)合起來使用,但限于篇幅,本文主要對各種安全模式進行分析,不考慮安全模式的結(jié)合使用。 

            1.基于Walled Garden的安全模式 

            Wa11ed Garden在我國一般譯作帶圍墻的花園,簡稱圍墻花園?!皣鷫▓@”指的是一個控制用戶對網(wǎng)頁內(nèi)容和服務進行訪問的環(huán)境。圍墻花園一般是把用戶限制在一個特定的范圍內(nèi),允許用戶訪問指定內(nèi)容,而防止用戶訪問其他未被允許的內(nèi)容。 

            建立圍墻花園的原因通常是利益使然。運營商希望將用戶資源掌握在自己手中,引導用戶訪問自己或合作伙伴的資源,減少或防止訪問競爭對手及不能帶來利益的資源。中國移動手機WAP業(yè)務就是基于圍墻花園開設的典型范例。建立圍墻花園還有一個原因是安全上的好處。早在1999年,美國在線少兒頻道就建立了一個圍墻花園,以防止兒童訪問不適宜的網(wǎng)站。 

            無論最初建圍墻花園的方法如何,當前圍墻花園的概念似乎被擴大了。圍墻花園可以在幾個層面建設,不同層面建設的圍墻花園有不同的強度,能解決不同的安全挑戰(zhàn)。 

           ?。?)限制終端的圍墻花園。通過限制終端功能實現(xiàn)的圍墻花園是指在終端上限定訪問的范圍,超過范圍的內(nèi)容不能訪問。這種方式一般用作防止兒童訪問不適宜的網(wǎng)站。具體做法是,可在終端(例如電腦、機頂盒等)上安裝一個包括可訪問列表,超出列表范圍的不允許訪問,列表可以實時更新。將這種方式稱作圍墻花園實際上有些勉強,更像是人在單向鏡子圍成的圍墻里,里面的人看不到外面,外面的人可看到里面。里面的人通過圍墻上的一些門可以看到一些花園,但只能看到這些花園而已。圍墻外的人同樣也能看到這些花園。這樣的圍墻花園對服務器和用戶終端的防攻擊沒有幫助,用戶與業(yè)務設備間的通信需要其他技術(shù)來保護。 

            (2)基于VPN/專網(wǎng)的圍墻花園?;赩PN的圍墻花園實際上是將提供業(yè)務的設備放到一個VPN中,訪問者通過接入VPN來接入圍墻。接入VPN(接入圍墻)后,即可自由訪問VPN內(nèi)所有的資源?;赩PN的圍墻花園與顯示中的圍墻花園相類似。這種方式不但能限制訪問范圍,而且能防范來自外部的攻擊,即非VPN的用戶看不到VPN內(nèi)的任何資源或用戶。雖然圍墻內(nèi)的安全威脅仍存在,但在VPN相對封閉的環(huán)境中可以設置接入認證,也很容易對攻擊進行追查。此外,用戶與業(yè)務設備間的通信也在VPN/專網(wǎng)的保護中(與外界隔離)。 

            (3)基于防火墻/網(wǎng)關(guān)的圍墻花園?;诜阑饓ΓW(wǎng)關(guān)的圍墻花園類似基于VPN的圍墻花園,區(qū)別在于基于防火墻/網(wǎng)關(guān)的圍墻花園中只有業(yè)務提供設備真正在圍墻中(VPN或?qū)>W(wǎng))。用戶通過防火墻/網(wǎng)關(guān)使用業(yè)務網(wǎng)提供的業(yè)務,業(yè)務網(wǎng)只通過防火墻/網(wǎng)關(guān)對外提供用戶信令接口和數(shù)據(jù)接口。這種圍墻花園中的業(yè)務設備可防護來自外部以及用戶(注冊和非注冊)的攻擊。但是,用戶并沒有受到保護,用戶與業(yè)務設備間的通信需要其他技術(shù)來保護。 

           ?。?)基于門戶網(wǎng)站的圍墻花園?;陂T戶網(wǎng)站的圍墻花園實際上沒有真正的圍墻。用戶通過門戶網(wǎng)站可非常便捷地訪問到門戶網(wǎng)站上一些現(xiàn)成的資源(運營商或運營商合作者的資源)。用戶實際上也能訪問所謂圍墻外的資源,但由于便利性以及用戶慣性,實際上大部分用戶還會在范圍內(nèi)訪問。AOL有一項統(tǒng)計,稱85%的用戶都沒有出過AOL的領(lǐng)地。所謂圍墻外的用戶也可訪問圍墻里的資源。這種方式的花園圍墻對網(wǎng)絡與信息安全基本沒有貢獻。 

           ?。?)基于用戶注冊的圍墻花園?;谟脩糇缘膰鷫▓@一般是基于一組或一類業(yè)務應用,只有注冊用戶才能使用所保護的業(yè)務應用,非注冊用戶不能使用。這類圍墻花園旨在業(yè)務層保護,用戶及業(yè)務設備操作系統(tǒng)層都暴露在外界網(wǎng)絡層的可能攻擊下。此外,用戶也可自由訪問圍墻外的其他業(yè)務。用戶與業(yè)務設施間的通信需要其他技術(shù)來保護。 

            2.基于溯源與威懾的安全模式 

            部分基于Walled Garden以及普遍加密的安全模式是一種比較積極的安全模式,可通過一些技術(shù)手段盡量避免受到諸如攻擊等的安全威脅?;谒菰春屯氐陌踩J綄嵸|(zhì)上是一種管理和管制上的威脅。溯源和威懾本身不能直接避免或緩解網(wǎng)絡與信息安全方面的威脅,但溯源可威懾攻擊者或違法犯罪人員,因為在網(wǎng)絡上的行為是可以追查的,做了壞事定將或可能受到懲罰。 

            基于溯源和威懾的安全模式類似于現(xiàn)實生活。大多數(shù)情況下,法律沒有辦法阻止人不作壞事,但一旦做了壞事且被證實以后,就會依據(jù)法律條款作出懲罰。大多數(shù)情況下,這種機制在現(xiàn)實生活中運作得很好,在傳統(tǒng)電信網(wǎng)上似乎也運作得不錯。有理智的成年人都知道,亂打騷擾電話會被追查到主叫話機,故一般使用自己的話機進行惡意撥叫的情況較少。理論上說,這種機制在互聯(lián)網(wǎng)絡環(huán)境下也能發(fā)揮作用,但當前還存在下列問題: 

           ?。?)互聯(lián)網(wǎng)溯源困難?;ヂ?lián)網(wǎng)目前在用目的地址選路實踐中很少對源地址進行檢驗,在惡意偽造源地址的情況下,幾乎不可能確認惡意用戶使用的終端。當前,主機大多使用動態(tài)IP地址,溯源時查找特定時間的特定地址租用者較為困難,且設備很少能長時間保存日志。在存在NAT設備的網(wǎng)絡中,也存在動態(tài)IP地址相類似的困難。 

           ?。?)即使能夠成功溯源,針對網(wǎng)絡惡意行為的法律條文也有待完善。雖然各國都在完善相關(guān)法律,但總體看尚落后于需求。在我國,網(wǎng)絡上虛擬財產(chǎn)的合法地位也沒有確認。 

           ?。?)網(wǎng)絡行為是一個海量數(shù)據(jù),對海量行為甄別是否合法尚存在問題。若對惡意行為成功溯源及懲罰的比例過低,可能會出現(xiàn)大量僥幸心理。 

            在下一代互聯(lián)網(wǎng)中上述問題將會得到一定程度的解決。例如,溯源將比當前互聯(lián)網(wǎng)更可行,法律體系也將趨于完善,隨著計算能力的增強,海量數(shù)據(jù)也將有合理的處理方式。 

            因此,在下一代互聯(lián)網(wǎng)的實踐中,基于溯源和威懾的安全模式仍然存在應用的環(huán)境,可單獨使用或者配合其他安全模式共同使用。 

            3.基于綁定身份的安全模式 

            基于管理(綁定身份)的安全模式類似基于溯源和威懾的安全模式。區(qū)別在于,基于溯源和威懾的安全模式偏重于網(wǎng)絡層(IP)的溯源,而后找到的是使用IP地址的設備。最后,通過查找設備的所有人來落實到人。而基于管理(綁定身份)的安全模式偏重于將人直接對應到標識上。當前常見的基于管理(綁定身份)的安全模式的實現(xiàn)方法大致有以下幾種: 

            (1)管理部門強制要求將身份,例如身份證號碼,綁定到IP地址,實現(xiàn)每人一個固定IP。 

           ?。?)管理部門強制要求凡使用互聯(lián)網(wǎng)的人,每人一個證書,對使用包括接入在內(nèi)的所有業(yè)務都驗證證書。 

           ?。?)管理部門要求認證基于惟一性的生物特征。 

            在IPv4時代,由于地址空間的限制以及地址分配不合理,不可能實現(xiàn)每人一個固定的IP地址。在IPv6時代,每人一個IP地址完全成為可能。這樣,網(wǎng)絡上所有行為都可以對應到IP地址,通過IP地址可以查詢到使用人的身份。但是,將身份綁定到IP地址存在以下問題: 

            (1)IP包基于所在網(wǎng)絡的尋址,隨著互聯(lián)網(wǎng)用戶移動和游牧需求的增強,要實現(xiàn)身份與地址的綁定需要全網(wǎng)實現(xiàn)Mobile IP。而全網(wǎng)普遍實施Mobi1e,即使不計算對設備附加功能要求增加的成本,也要考慮大量Mobile IP通信帶來的附加流量。 

           ?。?)身份與IP地址綁定本身不能防止用戶地址的盜用,需要其他機制配合來確認使用地址的人確實擁有其聲稱的身份。 

            由于身份與證書的綁定也不是沒有問題,若只在接入時驗證證書,則網(wǎng)絡行為的溯源需要將行為映射到IP地址,再根據(jù)時間映射到當時使用該IP地址的證書。若對網(wǎng)絡上的大量業(yè)務進行證書認證,將大大增加網(wǎng)絡負荷。當然,可適當選擇需要證書認證的業(yè)務和行為,來平衡網(wǎng)絡開銷與網(wǎng)絡安全。身份與證書的綁定可以進一步延伸到每個人、每個設備,這樣可在網(wǎng)絡上建立起較好的信任關(guān)系。 

            基于生物特征的認證也只解決了認證的惟一性,需要大量改造終端設施,而且將認證表示對應到網(wǎng)絡行為上也需要完整的信任鏈。 

            無論是身份與地址的綁定和證書與身份的綁定,還是生物特征的認證,都有侵犯公民隱私之疑慮。即使法律上提出要求,這樣的管理規(guī)定也有可能會損害互聯(lián)網(wǎng)的繁榮。此外,互聯(lián)網(wǎng)是一個全球的網(wǎng)絡,在各國法律及執(zhí)法尺度不一致的條件下很難通過一個國家身份綁定的規(guī)定來保障網(wǎng)絡的安全(特別是涉及跨國訪問行為)。 

            4.基于限制終端的安全模式 

            基于限制終端功能的安全模式實際上是對傳統(tǒng)電信網(wǎng)的一種借鑒,這種方式類似于Walled Garden分類中限制終端功能的圍墻花園。 

            傳統(tǒng)電話網(wǎng)是一個比較安全的網(wǎng)絡,這一點已有普遍共識。似乎傳統(tǒng)電話網(wǎng)(除了騷擾電話和盜打電話以外)沒有太多的安全挑戰(zhàn),這得益于以下幾方面原因: 

           ?。?)傳統(tǒng)電話網(wǎng)是一個傻終端,用戶端只有12個撥號鍵,除了發(fā)出雙音多頻或脈沖信號以外,只能傳送語音信號,用戶除撥號外不能做任何事。故除騷擾電話和盜打電話外,沒有過多威脅安全的手段。 

           ?。?)傳統(tǒng)電話網(wǎng)的用戶信令與網(wǎng)絡信令完全隔離,從用戶接口無法對網(wǎng)絡的穩(wěn)定運行產(chǎn)生影響。即使在電話接口上接其他設備,網(wǎng)絡也只接收雙音多頻信號或脈沖信號。除了騷擾電話和盜打電話以外沒有過多威脅安全的手段。 

            互聯(lián)網(wǎng)是一個智能終端“傻網(wǎng)絡”的典范。網(wǎng)絡只負責按照目的地址轉(zhuǎn)發(fā)分組,所有的信令交互都是端到端完成。在這個端到端透明的網(wǎng)絡上,業(yè)務設備與用戶終端地位是平等的。在一個基于計算機的個人終端上,用戶可以訪問網(wǎng)絡設備的控制層面和網(wǎng)絡設備的管理層面,實現(xiàn)網(wǎng)絡設備功能,偽裝成其他用戶等。因此,智能終端也是問題多的原因之一。 

            互聯(lián)網(wǎng)是一個多業(yè)務網(wǎng)絡,象電話網(wǎng)一樣完全將智能集中到網(wǎng)絡也是不太可能實現(xiàn)的。但是,為保證一定程度的安全,限制終端也是一種可行的手段。限制終端可能有以下幾種情況: 

           ?。?)類似手機,智能受限的終端。由于集成度、計算能力以及電池性能的影響,當前手機的功能有限,大多數(shù)都是專用操作系統(tǒng)(少量基于winCE和Palm),用戶接口相對專用,攻擊者可能還沒有進行廣泛研究。該類終端采用2.5G或者3G技術(shù),通過TCP/IP或WAP接入網(wǎng)絡。由于上述原因,當前暴露的安全問題較少。隨著技術(shù)的進步,當前互聯(lián)網(wǎng)的安全問題也將在手機等終端上出現(xiàn),而且由于移動性等原因,溯源等安全問題更難以解決。 

           ?。?)通過有限界面來限制終端。這種方式不限制終端的智能以及計算能力,僅通過限制提供給用戶的功能及界面來限制終端。典型的例子是SIP電話。該終端直接接入以太網(wǎng),采用SIP協(xié)議進行呼叫,但向用戶只提供傳統(tǒng)電話的按鍵而不提供編程等外設接口。從理論上看,該類終端與傳統(tǒng)電話類似,不會出現(xiàn)騷擾電話以外的問題(由于終端有一定智能,甚至盜打電話情況也有一定程度的緩解)。然而,這種方式不能杜絕用戶接入其他設備(例如計算機)后對網(wǎng)絡業(yè)務設備的安全威脅。 

            (3)將業(yè)務設施放入圍墻花園,終端通過網(wǎng)關(guān)獲取服務。由于網(wǎng)關(guān)是一個協(xié)議翻譯設備,只要規(guī)定了終端與網(wǎng)關(guān)間的協(xié)議,終端至少無法影響網(wǎng)關(guān)后面的業(yè)務設施。該方法實際上限制了智能終端對網(wǎng)關(guān)業(yè)務設備的影響,但對網(wǎng)絡上其他設備以及終端自身的安全沒有貢獻。 

            終端的智能化是不可阻擋的趨勢,因此限制終端智能并不是限制終端的惟一選擇,也可以限制終端的智能對業(yè)務網(wǎng)絡設備的影響。 

            5.普遍加密的安全模式 

            網(wǎng)絡與信息安全的完整性和機密性一直令人關(guān)注。加密技術(shù)毫無疑問可顯著提高信息的機密性以及完整性,可保護的信息包括用戶間或用戶與服務器間交換的信息及用戶身份信息。在電信網(wǎng)上對信息加密一般有以下幾種情況: 

           ?。?)固定電話網(wǎng)基于端口認證,無需對認證信息加密。 

           ?。?)終端在空中加密,進入交換網(wǎng)后明文傳送。 

           ?。?)保密通信由端到端的加密機完成,特殊通信用信道加密機。 

            在互聯(lián)網(wǎng)上,終端都是有很強計算能力的智能終端,使端到端的普遍加密有了可能。隨著成熟加密算法的出現(xiàn),網(wǎng)絡上很容易實現(xiàn)普遍加密。普遍加密易于保護端到端通信內(nèi)容的機密性和完整性。然而加密是一把雙刃劍,下一代互聯(lián)網(wǎng)上實施普遍加密存在下列問題: 

           ?。?)加密需要消耗大量資源,大部分信息不需要加密。 

            (2)通信雙方加密需交換密鑰(帶外交換或通過公鑰機制)。 

            (3)可能導致非法獲取密鑰,而后為所欲為。 

           ?。?)對業(yè)務設施訪問時,大量加密使DOS攻擊更容易。 

            (5)在普遍加密的網(wǎng)絡上難以實施合法監(jiān)聽,對內(nèi)容的監(jiān)控無法實施。 

            6.基于增加攻擊成本的安全模式 

            最初的互聯(lián)網(wǎng)黑客都是一些技術(shù)上頂尖的能手。其攻擊行為多數(shù)不是為了獲得利益,而是為了顯示技術(shù)實力,為了好玩,搞惡作劇。 

            隨著技術(shù)的發(fā)展,網(wǎng)絡上的黑客工具變得越來越多,幾乎隨處可見,網(wǎng)絡上攻擊行為的技術(shù)門檻越來越低,任何人都可通過下載一些軟件來影響網(wǎng)絡安全。同時,越來越多影響網(wǎng)絡安全的行為是為了直接獲取利益,諸如通過木馬等工具竊取用戶的銀行賬號和密碼,通過欺騙性的電子郵件、偽造網(wǎng)站及欺騙性的短信進行詐騙等。 

            在大量攻擊是為了獲取利益的前提下,可通過增加攻擊成本來減少攻擊。因為當攻擊成本大于網(wǎng)絡攻擊可能帶來的利益時,攻擊行為會自然減少。當然,網(wǎng)絡行為的溯源和威懾也會增加風險成本。 

          四、思考與建議 

            對下一代互聯(lián)網(wǎng)而言,安全保障可采用多種模式。本文所探討的是幾種有代表性的安全模式。這些模式可主動積極,亦可被動地對不同主體增加安全保障。 

           ?。?)Walled Garden(圍墻花園)的安全模式是適用性較好的一種安全模式,目前已經(jīng)得到較廣泛的應用: 

            ●限制終端的圍墻花園可與受限終端結(jié)合使用,用于被訪問內(nèi)容難以限制的情況(國外網(wǎng)站及地址不固定的網(wǎng)站等)。 

            ●基于VPN/專網(wǎng)的圍墻花園可用在收費的增值業(yè)務網(wǎng)或單位的專網(wǎng),以排除來自互聯(lián)網(wǎng)的攻擊,防止信息泄露到外網(wǎng),從而有利于服務質(zhì)量保障、內(nèi)容管制及溯源等。 

            ●基于防火墻/網(wǎng)關(guān)的圍墻花園一般用在安全需求還沒有達到建專網(wǎng)或VPN程度的企業(yè)單位。這種方式的安全保護程度類似基于VPN/專網(wǎng)的圍墻花園,但受限于防火墻/網(wǎng)關(guān)的功能和性能。 

            ●顧名思義,基于門戶網(wǎng)站的圍墻花園一般用于門戶網(wǎng)站或能控制接入的運營商,它能夠吸引一些慣性比較大,比較“懶”或“專一”的用戶,對信息安全基本沒有貢獻。 

            ●基于用戶注冊的圍墻花園主要用于需要控制接入(收費)的增殖業(yè)務,對網(wǎng)絡自身安全、終端安全、業(yè)務設備安全貢獻較少,但對溯源有一定好處。 

           ?。?)基于溯源和威懾的安全模式可以廣泛用于保護各個層面的網(wǎng)絡安全,一般更有利于內(nèi)容監(jiān)控及有害信息控制等,其典型應用是威懾有害網(wǎng)站、垃圾信息發(fā)送者、用戶信息竊取者等。有害信息的瀏覽者一般因人數(shù)過多,無法用溯源和威懾安全模式杜絕,畢竟法不責眾,而且控制源頭或渠道更加容易。 

           ?。?)基于綁定身份的安全模式一般需要法律或行政法規(guī)直接支持溯源和威懾。這種安全模式的實施可能對互聯(lián)網(wǎng)的活力有影響,且只有在全球合作的條件下才有較好的效果。 

           ?。?)基于限制終端的安全模式類似于限制終端的圍墻花園,一般用在運營商提供的業(yè)務終端(例如機頂盒、運營商提供的SIP公話等),而用戶設備自由接入時對安全保障貢獻不大。 

           ?。?)基于普遍加密的安全模式有利于用戶信息的機密性和完整性,但在當前大量加密算法來源于國外的情況下,對我國國家安全非常不利。該安全模式不應提倡使用,但可輔以其他安全模式共同使用。 

            (6)基于增加攻擊成本的安全模式一般用在控制垃圾信息發(fā)送的環(huán)境,少量用于加密通信。 

            總之,不同的安全模式可組合使用,對安全模式的選擇和實施需針對具體業(yè)務具體分析。 


          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();