中国IPv6下一代互联网的发展和思考

作者:吴建平 来源:中国信息化周报 发布时间:2017-02-27 阅读量:0

目前,互联网正在逐步发展成比较大的网络空间,是继陆海空天以后人类创造的第五空域。 网络空间主要由三部分组成。第一部分是计算系统,小到智能手机、物联网里的每一个设备,大 到超级计算机系统,都是计算系统,这是网络空间最根本的一部分;第二部分是连接这些设备的 网络,以互联网为基础的各种通信系统和网络形成的连接;第三部分是在大环境里形成的各种各 样的影响,这也是网络空间的一部分。 

在网络空间中,什么是网络的核心技术?互联网核心技术实际上就是互联网的体系结构,任 何事物的体系结构都是讲这个事物各部分的功能组成及相互关系,在互联网里,网络层次起承上 启下的作用。 

真正的网络层是由三个要素组成。一是传输格式,互联网的初衷是用互联网连接所有的通信 系统和网络,所以它的标准传输格式是非常重要的,即目前仍在使用的 IPv4 协议,将要被新的 IPv6 协议替代;二是转换方式,互联网之所以在众多的网络和技术中胜出,最重要的是采用了无 连接分组交换技术,也就是 IP 技术,这个交换技术形成了互联网的核心;三是路由控制,互联网 把数据从一端送到另一端是靠中间的路由控制算法,其核心技术难题在于传输格式和转换方式相 对稳定的情况下,路由控制必须要满足不断增长的应用及不断变化的通信和网络技术发展。我们 对互联网的很多苛求总是从某一方面产生的,如果想满足所有需求,一定是个平衡产物,所以最 优的互联网体系结构和路由控制实际上是最难的。

IPv6 下一代互联网发展的新形势 

互联网在 20 世纪 80 年代初期就定下来 IPv4 协议的格式,一直延续至今。当今互联网的发展 需求越来越大,到了 2012 年 IPv4 地址全球分配完毕,最近几年 1Pv6 呈爆发式增长。十多年研 究结果显示,仍然没有找到一个能够替代这个 IP 协议的新的网络结构。可以预测,在未来 10~ 20 年,IPv6 一定是互联网的主要协议。 

中国早期由于技术上的落后,没有申请到大量的 IP 地址,很多单位都是用私有地址,出口上 再用公有地址转换,现在,IPv6 协议给我们带来了非常大的机会。 

上世纪 90 年代末期、2000 年初期的时候,国际上没有大规模使用 IPv6 组网的经验,IPv6 海 量地址空间会带来新的挑战和困难。 

基于这一背景,经过两年的调研和论证,2003 年,国务院批复了八个部委向国家申请的启动 中国下一代互联网示范工程的计划 CNGI。CNGI 项目开始实施,经过五年完成了第一阶段的工作, 建成了当时全球最大的 IPv6 示范网,同时开发攻克了一批互联网 1Pv6 关键技术,包括运营商、 设备制造商以及应用软件的开发商等。该项目在 2008 年被评为中国科学十大进展第二名。 

在此之后,中国制定了下一代互联网的路线图和时间表,把 2010 年之前作为准备阶段,2011~ 2015 年是过渡阶段,2016 年以后作为完成阶段。第一阶段中国在国际上处于领先地位,产生了 一些创新型成果:一是通过与近 100 所大学及与设备制造商、运营商的合作,建成了全球最大的纯 IPv6 示范网,当时国际上的做法是做 IPv4 搭建一个 IPv6 功能,实现双栈,离了 IPv4 后其 IPv6 是不能运行的;二是我们主要采用国产设备,70%的设备是由中国制造来搭建 IP 主干网,这个在 当时的 IPv4 网上还没有做到。 

值得一提的是,中国在国际标准化组织 ITF 的范畴之内取得了非常领先的成果,一个是隧道第 2 页 共 2 页 技术,还有一个是翻译技术,都取得了很大进展。此外,在未来网络里,很多安全问题将仍然存 在,中国在解决安全问题上走在国际前列。 

IPv6 为解决网络空间安全问题带来挑战与机遇 

随着 IPv4 地址在全球的分配殆尽,从 2013 年开始,全球的 IPv6 网络呈现一个比较大的发展 趋势。全球的 IPv6 流量从 2012 年到 2015 年增长了十倍,预计 2018 年 IPv6 流量超出 IPv4。为什 么中国早在 2008 年第一期就取得了预定的战略目标,最近几年却发展缓慢?   

第一,我国存互联网技术使用上还是比较落后的。技术落后使得地址短缺,地址短缺造成的 应用就是用私有地址出口转换成公有地址。我们知道地址的转换非常降低网络效率,我们的互联 网带宽低、延迟大、速度慢,一方面是基础投资不够,另一方面是地址转换产生了很重要的阻力。 这一因素也养成了不用公有地址的习惯,国外一个用户要拿到运营商的服务必须有公有地址,在 中国不一定这样,大家有时候选择少,另外也没有这个意识非要选择一个公有地址。 

第二,互联网缺乏应有的国际竞争。2014 年、2015 年期间,谷歌、Facebook 已经大量迁移 至 IPv6 上,我们国家一些信息提供商也参与到 CNGI 项目,但他们只有几个层次,深层次访问他 们并没有提供。 

第三,我国互联网安全监管措施成本和代价很高,在 IPv6 上面,整个迁移以后需要重新构建。 有些搞安全的专家也认为 IPv6 本身有端到端加密的功能,使得我们国家的很多安全管理和监控有 很多困难。实际上互联网为什么在 IPv6 上有了加密,IPv4 反而没有,就是要让用户有安全措施, 这个到底是好还是不好,大家白有判断。 

然而,互联网在 IPv6 里面解决网络空间安全问题确实是一个非常好的机遇。互联网为什么有 很多安全问题?因为它是一个开放网络,在这样开放的网络中,所有访问是不可信的,每一个分 组的访问,都不会对源地址进行验证。如果能解决这个问题,互联网的安全等级会大大提高。 

学科增设有效提升网络安全技术水平 

目前,我国也高度重视网络安全问题。从 2014 年中央网信办成立,到把网络强国作为国家 发展互联网的战略目标,都强调在网络信息技术里要自主创新,把互联网核心技术、自主创新提 到比较高的位置。 

我认为,互联网是网络空间的基础,而互联网安全也面临诸多挑战。例如,源地址不做认证 的问题,路由会产生非常多的问题,DOS 攻击也是基于此产生。此外,大规模的域名劫持和假冒 也会导致很多安全问题,尤其会对运营商带来很大危害。 

我们在解决网络空间安全核心技术方面有两条技术路线,一是有病治病,二是要有新思路。 以 IPv6 为基础,增加路由源地址验证、增加二维网络控制,能使这个网络更加安全、更加可信, 起码所有的数据能够知道它们从哪来到哪去,谁负责,这是非常重要的。此外,我们也需要高层 次的人才去设计安全的互联网。2015 年,经过一系列努力,国家正式批复在“工学”门类下增设 “网络空间安全”一级学科,并授予网络空间安全学科的硕士和博士学位;2016 年,又有 29 所 学校获得了我国首批网络空间安全一级学科博士学位授权点。2016 年可以称为网络空间安全硕士和博士的元年。 

这样一个学科对于我国提高网络安全技术水平有非常大的作用。我们分为五个学科部分,网 络安全核心有三方面,计算系统安全、网络安全、应用安全,这三个是有所区别完全独立的。另 外,有共性的密码权,在这三个学科里面都有表现,都有其作用。还有一个就是网络体系(即网络 空间安全的基础等。网络安全主要是通信和互联网安全问题、攻防问题,而应用安全包括各种应 用系统关键设施的安全和隐私保护。 

无疑,网络空间安全已成为国家重要的战略需求,掌握互联网核心技术是解决网络空间安全 问题的命门,IPv6 下一代互联网是拓展网络空间和解决网络空间安全问题的重要发展机遇,我们 必须要掌握核心技术来解决安全问题。 

(本文根据吴建平院士在 GNTC 全球网络技术大会上的演讲整理而成,未经本人确认。)