中國工程院院士吳建平互聯網體系結構是互聯網安全的基石

吳建平 中國工程院院士、清華大學教授

在2018 ISC互聯網安全大會上，中國工程院院士、清華大學教授吳建平出席會議并發表題為《互聯網體系結構是互聯網安全的基石》的演講。“從零開始，一定是從互聯網技術本身開始，要回歸到技術本身來看互聯網安全問題。”他表示，互聯網關鍵核心技術就是互聯網體系結構。

互聯網體系結構在發展中演變和創新

互聯網體系結構是研究互聯網的各部分功能組成及其相互關系，在這個體系結構里面，網絡層承上啟下，保證全網通達，是體系結構的核心。其難點在于，在傳送格式和轉發方式相對穩定的情況下，路由控制必須不斷滿足應用發展的需求（復雜多變量）達到全網最優。

互聯網體系結構一個很重要的特點就是在發展中不斷演變和創新，存在著一些重大技術挑戰，包括擴展性、安全性、高性能、移動性、實時性和管理性。IPv6為互聯網體系結構技術挑戰提供了創新平臺：地址由32位變成128位；IP包頭由13個域減少為7個域，提高路由器處理速度；增加組播；自動配置；更加安全并且允許擴充。

互聯網核心技術包括基礎核心技術（計算機+軟件、互聯網、通信）、通用核心技術（云計算、物聯網、智慧城市、大數據、人工智能）以及應用核心技術（金融互聯網、能源互聯網等）。在互聯網體系結構的演進過程中可以看到，互聯網傳輸格式從IPv4轉變為IPv6，轉換方式也隨之發生變化。

互聯網發明人溫頓·瑟夫在清華演講時表示，互聯網體系結構具有強大的生命力。它不是為任何特殊應用而設計的網絡，只傳遞數據包；可以運行在任何通信技術之上；允許在網絡邊緣創新；必須足夠可擴展；為新協議、新技術和新應用開放。

網絡空間安全發展的新形勢

2016年2月，美國發布網絡安全研究戰略計劃。同時，全球網絡空間安全緊張形勢進一步加劇。2017年1月，美國正式發布“網絡空間安全學科知識體系”；2018年4月20日，習近平總書記在全國網信工作會議上發表重要講話“網絡強國建設”。

互聯網安全主要挑戰包括以下幾個方面：一是網絡IP分組缺乏源地址驗證，只根據目的地址尋址和路由控制；二是大規模網絡IP分組攻擊，DDOS等攻擊，真實或假冒源地址攻擊；三是互聯網路由信息劫持或假冒，各主干網域內路由和全球域間路由；四是大規模域名劫持和假冒；五是其他互聯網安全挑戰，如數據完整性、身份驗證、不可抵賴性、保密和訪問控制。

互聯網必須有可信路由和行為溯源，僅僅物理隔離不能解決互聯網安全。因此，互聯網體系結構必須既開放又可信。互聯網體系結構是互聯網安全的重要基石。提升互聯網安全可信主要有以下兩種途徑：

一種是傳統思路——“有病治病”。補漏洞，對出現的安全攻擊，以打補丁的方式解決單一問題。涉及網絡安全攻防技術，包括網絡與系統自動攻防技術，網絡基礎設施與基礎協議的脆弱性分析與利用技術，全球網絡安全測量、態勢評估與威脅情報分析系統；

另一種是創新思路——“增強體質”。另辟蹊徑，從體系結構解決互聯網安全的體系挑戰。涉及網絡安全體系結構，包括網絡基礎設施安全管控體系結構，以IPv6地址驅動的安全可信基礎，基于可編程二維路由轉發的安全管控機制，以及新型無線網絡安全接入管理機制。

缺乏源地址驗證成為互聯網最重要的安全隱患之一，惡意攻擊難防止，網絡犯罪難追溯，網絡資源易盜用。從互聯網體系結構上解決全網真實源地址驗證與數據溯源，可以為解決互聯網安全問題提供重要技術途徑。其難點在于地址分配方法復雜多樣，網絡路徑信息動態變化，網絡路由策略實時多樣。IPv6真實源地址驗證體系結構SAVA正好解決這一問題，實現了全網源地址驗證、精確定位和地址溯源。

演講最后，吳建平指出，互聯網是網絡空間的重要基礎設施，互聯網體系結構是互聯網關鍵核心技術；IPv6下一代互聯網為解決互聯網體系結構技術挑戰提供了新的平臺；掌握互聯網關鍵核心技術是解決互聯網安全問題的“命門”，互聯網體系結構是互聯網安全的重要基石；IPv6下一代互聯網給網絡空間安全關鍵核心技術創新和發展帶來歷史性機遇和挑戰。