目前,互联网正在逐步发展成比较大的网络空间,是继陆海空天以后人类创造的第五空域。网络空间主要由三部分组成。第一部分是计算系统,小到智能手机、物联网里的每一个设备,大到超级计算机系统,都是计算系统,这是网络空间最根本的一部分;第二部分是连接这些设备的网络,以互联网为基础的各种通信系统和网络形成的连接;第三部分是在大环境里形成的各种各样的影响,这也是网络空间的一部分。
在网络空间中,什么是网络的核心技术?互联网核心技术实际上就是互联网的体系结构,任何事物的体系结构都是讲这个事物各部分的功能组成及相互关系,在互联网里,网络层次起承上启下的作用。
真正的网络层是由三个要素组成。一是传输格式,互联网的初衷是用互联网连接所有的通信系统和网络,所以它的标准传输格式是非常重要的,即目前仍在使用的IPv4协议,将要被新的IPv6协议替代;二是转换方式,互联网之所以在众多的网络和技术中胜出,最重要的是采用了无连接分组交换技术,也就是IP技术,这个交换技术形成了互联网的核心;三是路由控制,互联网把数据从一端送到另一端是靠中间的路由控制算法,其核心技术难题在于传输格式和转换方式相对稳定的情况下,路由控制必须要满足不断增长的应用及不断变化的通信和网络技术发展。我们对互联网的很多苛求总是从某一方面产生的,如果想满足所有需求,一定是个平衡产物,所以最优的互联网体系结构和路由控制实际上是最难的。
IPv6下一代互联网发展的新形势
互联网在20世纪80年代初期就定下来IPv4协议的格式,一直延续至今。当今互联网的发展需求越来越大,到了2012年IPv4地址全球分配完毕,最近几年IPv6呈爆发式增长。十多年研究结果显示,仍然没有找到一个能够替代这个IP协议的新的网络结构。可以预测,在未来10~20年,IPv6一定是互联网的主要协议。
中国早期由于技术上的落后,没有申请到大量的IP地址,很多单位都是用私有地址,出口上再用公有地址转换,现在,IPv6协议给我们带来了非常大的机会。
上世纪90年代末期、2000年初期的时候,国际上没有大规模使用IPv6组网的经验,IPv6海量地址空间会带来新的挑战和困难。
基于这一背景,经过两年的调研和论证,2003年,国务院批复了八个部委向国家申请的启动中国下一代互联网示范工程的计划CNGI。CNGI项目开始实施,经过五年完成了第一阶段的工作,建成了当时全球最大的IPv6示范网,同时开发攻克了一批互联网IPv6关键技术,包括运营商、设備制造商以及应用软件的开发商等。该项目在2008年被评为中国科学十大进展第二名。
在此之后,中国制定了下一代互联网的路线图和时间表,把2010年之前作为准备阶段,2011~2015年是过渡阶段,2016年以后作为完成阶段。第一阶段中国在国际上处于领先地位,产生了一些创新型成果:一是通过与近100所大学及与设备制造商、运营商的合作,建成了全球最大的纯IPv6示范网,当时国际上的做法是做IPv4搭建一个IPv6功能,实现双栈,离了IPv4后其IPv6是不能运行的;二是我们主要采用国产设备,70%的设备是由中国制造来搭建IP主干网,这个在当时的IPv4网上还没有做到。
值得一提的是,中国在国际标准化组织ITF的范畴之内取得了非常领先的成果,一个是隧道技术,还有一个是翻译技术,都取得了很大进展。此外,在未来网络里,很多安全问题将仍然存在,中国在解决安全问题上走在国际前列。
IPv6为解决网络空间安全问题带来挑战与机遇
随着IPv4地址在全球的分配殆尽,从2013年开始,全球的IPv6网络呈现一个比较大的发展趋势。全球的IPv6流量从2012年到2015年增长了十倍,预计2018年IPv6流量超出IPv4。为什么中国早在2008年第一期就取得了预定的战略目标,最近几年却发展缓慢?
第一,我国在互联网技术使用上还是比较落后的。技术落后使得地址短缺,地址短缺造成的应用就是用私有地址出口转换成公有地址。我们知道地址的转换非常降低网络效率,我们的互联网带宽低、延迟大、速度慢,一方面是基础投资不够,另一方面是地址转换产生了很重要的阻力。这一因素也养成了不用公有地址的习惯,国外一个用户要拿到运营商的服务必须有公有地址,在中国不一定这样,大家有时候选择少,另外也没有这个意识非要选择一个公有地址。
第二,互联网缺乏应有的国际竞争。2014年、2015年期间,谷歌、Facebook已经大量迁移至IPv6上,我们国家一些信息提供商也参与到CNGI项目,但他们只有几个层次,深层次访问他们并没有提供。
第三,我国互联网安全监管措施成本和代价很高,在IPv6上面,整个迁移以后需要重新构建。有些搞安全的专家也认为IPv6本身有端到端加密的功能,使得我们国家的很多安全管理和监控有很多困难。实际上互联网为什么在IPv6上有了加密,IPv4反而没有,就是要让用户有安全措施,这个到底是好还是不好,大家自有判断。
然而,互联网在IPv6里面解决网络空间安全问题确实是一个非常好的机遇。互联网为什么有很多安全问题?因为它是一个开放网络,在这样开放的网络中,所有访问是不可信的,每一个分组的访问,都不会对源地址进行验证。如果能解决这个问题,互联网的安全等级会大大提高。
学科增设有效提升网络安全技术水平
目前,我国也高度重视网络安全问题。从2014年中央网信办成立,到把网络强国作为国家发展互联网的战略目标,都强调在网络信息技术里要自主创新,把互联网核心技术、自主创新提到比较高的位置。
我认为,互联网是网络空间的基础,而互联网安全也面临诸多挑战。例如,源地址不做认证的问题,路由会产生非常多的问题,DOS攻击也是基于此产生。此外,大规模的域名劫持和假冒也会导致很多安全问题,尤其会对运营商带来很大危害。
我们在解决网络空间安全核心技术方面有两条技术路线,一是有病治病,二是要有新思路。以IPv6为基础,增加路由源地址验证、增加二维网络控制,能使这个网络更加安全、更加可信,起码所有的数据能够知道它们从哪来到哪去,谁负责,这是非常重要的。此外,我们也需要高层次的人才去设计安全的互联网。2015年,经过一系列努力,国家正式批复在“工学”门类下增设“网络空间安全”一级学科,并授予网络空间安全学科的硕士和博士学位;2016年,又有29所学校获得了我国首批网络空间安全一级学科博士学位授权点。2016年可以称为网络空间安全硕士和博士的元年。
这样一个学科对于我国提高网络安全技术水平有非常大的作用。我们分为五个学科部分,网络安全核心有三方面,计算系统安全、网络安全、应用安全,这三个是有所区别完全独立的。另外,有共性的密码权,在这三个学科里面都有表现,都有其作用。还有一个就是网络体系(即网络空间安全的基础)等。网络安全主要是通信和互联网安全问题、攻防问题,而应用安全包括各种应用系统关键设施的安全和隐私保护。
无疑,网络空间安全已成为国家重要的战略需求,掌握互联网核心技术是解决网络空间安全问题的命门,IPv6下一代互联网是拓展网络空间和解决网络空间安全问题的重要发展机遇,我们必须要掌握核心技术来解决安全问题。
(本文根据吴建平院士在GNTC全球网络技术大会上的演讲整理而成,未经本人确认。)
