AI為互聯網基礎資源治理提供新手段

□ 文 鄔賀銓

2023 年12月12日，在北京舉辦的第四屆中國互聯網基礎資源大會上，中國互聯網協會咨詢委員會主任、中國工程院院士鄔賀銓發表了題為《互聯網基礎資源的再認識》的主旨演講。鄔賀銓表示，IPv6 海量地址擴充了互聯網基礎資源的能力，顯著減少訪問時延。生成式大模型引發AI的新浪潮，AI會被攻擊者利用獲取對互聯網基礎資源的控制權。另一方面，AI也為互聯網基礎資源的治理提供新的手段，要善于利用和創新開發。

中國互聯網協會咨詢委員會主任、中國工程院院士鄔賀銓

全球網絡資源加快向IPv6過渡

從IPv4到IPv6的發展，首要關注的是地址資源的變遷，現在全球正加快向IPv6過渡。鄔賀銓指出，互聯網基礎資源主要包含三個方面：IP地址、域名系統和域名解析服務器。目前，全球IP地址資源分配已經結束，中國網民人均IPv4地址不足0.4個。然而，目前ICANN對IPv6地址的分配方法仍然沿用IPv4的方式，雖然申請部首有所限制，但ICANN在IPv6地址分配方面未充分利用可用規律性。如果IPv6地址能按區域、業務、用戶類型進行精細化分配，可以實現更精準的偵測與監控，但目前各國只能在ICANN框架內進行規范，難以達到科學合理的效果。

對此，鄔賀銓建議我國應該積極推進ICANN 的改革，重新規劃IPv6 地址的分配機制，最好在IPv6 地址里劃分出國家碼，國家碼以下由各個國家自行分配。

鄔賀銓指出，動態IPv6 地址資源的安全管理是當前互聯網基礎設施發展中的一個重要議題。在客戶訪問服務器時，識別地址和源主的真實性至關重要。雖然已有方法將地址與源主綁定，但存在著黑客冒充用戶地址的潛在風險。因此，迫切需要實現源地址接入認證，通過綁定用戶IP 地址、MAC 地址和接入端口，來有效辨識攻擊機。

IPv6已不僅僅代表終端身份，還擴展到業務流的性能需求和實測狀態指示。通過IPv6的擴展報頭，應用程序的性能需求如帶寬、時延、抖動、丟包率等參數能夠得以傳達。此外，IPv6還提供了一種稱為iFIT的檢測方式，可標記丟包和時延測量，從而監測流量異常并識別潛在攻擊。

隨著IPv6 的不斷發展，出現了IPv6+，擴展了地址資源管理的維度。新型的組播利用了SRv6 和分段選路特性，顯著減少了中間路由器對網絡資源的消耗。另一個應用是IPv6的多歸屬功能，充分利用了5G 核心網的用戶面和數據面分離特性，可以實現企業內部敏感數據不離開企業網絡的安全保障。

新時期互聯網基礎資源面臨新挑戰

然而，新技術也帶來了挑戰。隨著IPv6 地址字段功能的擴展，黑客攻擊的空間也增加了。此外，5G與工業互聯網融合，雖然實現了企業IP 專網的隔離，但對現場級網絡的控制面需要更高的安全要求。

鄔賀銓表示，互聯網基礎資源的安全性仍然是關注的焦點。域名系統長期以來都是網絡攻擊的目標，ICANN已采取了一些措施保障域名系統的安全性，例如建立了嚴格管理和存儲頂級域名和IP 地址對應關系的數據庫的訪問權限，并定義了7把密鑰由分布在全球各地的專家共同管理。然而，除了頂級域名以外，國內管理的域名系統也面臨安全風險，如DNS緩存污染、DNS劫持、DNS拒絕服務攻擊等。

在新時期，互聯網基礎資源面臨著多重挑戰。IPv6技術的發展擴充了網絡能力，但也增加了黑客攻擊的空間。5G與工業互聯網的融合對網絡安全提出更高要求。算力時代和生成式大模型帶來了新的安全隱患。生成式大模型引發AI的新浪潮。

鄔賀銓認為，一方面，AI會被攻擊者利用獲取對互聯網基礎資源的控制權，AI時代DNS 隱蔽信道問題將更突出。但另一方面，AI也為互聯網基礎資源的治理提供新的手段，要善于利用和創新開發。因此，基于AI的互聯網基礎資源管理和安全保障能力將成為未來發展的重點。

第四屆中國互聯網基礎資源大會由中國互聯網協會、中國互聯網絡信息中心、中國科學院計算機網絡信息中心、中國工業互聯網研究院主辦，人民郵電報社承辦。■