AI為互聯(lián)網(wǎng)基礎(chǔ)資源治理提供新手段

□ 文 鄔賀銓

2023 年12月12日，在北京舉辦的第四屆中國互聯(lián)網(wǎng)基礎(chǔ)資源大會(huì)上，中國互聯(lián)網(wǎng)協(xié)會(huì)咨詢委員會(huì)主任、中國工程院院士鄔賀銓發(fā)表了題為《互聯(lián)網(wǎng)基礎(chǔ)資源的再認(rèn)識(shí)》的主旨演講。鄔賀銓表示，IPv6 海量地址擴(kuò)充了互聯(lián)網(wǎng)基礎(chǔ)資源的能力，顯著減少訪問時(shí)延。生成式大模型引發(fā)AI的新浪潮，AI會(huì)被攻擊者利用獲取對(duì)互聯(lián)網(wǎng)基礎(chǔ)資源的控制權(quán)。另一方面，AI也為互聯(lián)網(wǎng)基礎(chǔ)資源的治理提供新的手段，要善于利用和創(chuàng)新開發(fā)。

中國互聯(lián)網(wǎng)協(xié)會(huì)咨詢委員會(huì)主任、中國工程院院士鄔賀銓

全球網(wǎng)絡(luò)資源加快向IPv6過渡

從IPv4到IPv6的發(fā)展，首要關(guān)注的是地址資源的變遷，現(xiàn)在全球正加快向IPv6過渡。鄔賀銓指出，互聯(lián)網(wǎng)基礎(chǔ)資源主要包含三個(gè)方面：IP地址、域名系統(tǒng)和域名解析服務(wù)器。目前，全球IP地址資源分配已經(jīng)結(jié)束，中國網(wǎng)民人均IPv4地址不足0.4個(gè)。然而，目前ICANN對(duì)IPv6地址的分配方法仍然沿用IPv4的方式，雖然申請(qǐng)部首有所限制，但I(xiàn)CANN在IPv6地址分配方面未充分利用可用規(guī)律性。如果IPv6地址能按區(qū)域、業(yè)務(wù)、用戶類型進(jìn)行精細(xì)化分配，可以實(shí)現(xiàn)更精準(zhǔn)的偵測(cè)與監(jiān)控，但目前各國只能在ICANN框架內(nèi)進(jìn)行規(guī)范，難以達(dá)到科學(xué)合理的效果。

對(duì)此，鄔賀銓建議我國應(yīng)該積極推進(jìn)ICANN 的改革，重新規(guī)劃IPv6 地址的分配機(jī)制，最好在IPv6 地址里劃分出國家碼，國家碼以下由各個(gè)國家自行分配。

鄔賀銓指出，動(dòng)態(tài)IPv6 地址資源的安全管理是當(dāng)前互聯(lián)網(wǎng)基礎(chǔ)設(shè)施發(fā)展中的一個(gè)重要議題。在客戶訪問服務(wù)器時(shí)，識(shí)別地址和源主的真實(shí)性至關(guān)重要。雖然已有方法將地址與源主綁定，但存在著黑客冒充用戶地址的潛在風(fēng)險(xiǎn)。因此，迫切需要實(shí)現(xiàn)源地址接入認(rèn)證，通過綁定用戶IP 地址、MAC 地址和接入端口，來有效辨識(shí)攻擊機(jī)。

IPv6已不僅僅代表終端身份，還擴(kuò)展到業(yè)務(wù)流的性能需求和實(shí)測(cè)狀態(tài)指示。通過IPv6的擴(kuò)展報(bào)頭，應(yīng)用程序的性能需求如帶寬、時(shí)延、抖動(dòng)、丟包率等參數(shù)能夠得以傳達(dá)。此外，IPv6還提供了一種稱為iFIT的檢測(cè)方式，可標(biāo)記丟包和時(shí)延測(cè)量，從而監(jiān)測(cè)流量異常并識(shí)別潛在攻擊。

隨著IPv6 的不斷發(fā)展，出現(xiàn)了IPv6+，擴(kuò)展了地址資源管理的維度。新型的組播利用了SRv6 和分段選路特性，顯著減少了中間路由器對(duì)網(wǎng)絡(luò)資源的消耗。另一個(gè)應(yīng)用是IPv6的多歸屬功能，充分利用了5G 核心網(wǎng)的用戶面和數(shù)據(jù)面分離特性，可以實(shí)現(xiàn)企業(yè)內(nèi)部敏感數(shù)據(jù)不離開企業(yè)網(wǎng)絡(luò)的安全保障。

新時(shí)期互聯(lián)網(wǎng)基礎(chǔ)資源面臨新挑戰(zhàn)

然而，新技術(shù)也帶來了挑戰(zhàn)。隨著IPv6 地址字段功能的擴(kuò)展，黑客攻擊的空間也增加了。此外，5G與工業(yè)互聯(lián)網(wǎng)融合，雖然實(shí)現(xiàn)了企業(yè)IP 專網(wǎng)的隔離，但對(duì)現(xiàn)場級(jí)網(wǎng)絡(luò)的控制面需要更高的安全要求。

鄔賀銓表示，互聯(lián)網(wǎng)基礎(chǔ)資源的安全性仍然是關(guān)注的焦點(diǎn)。域名系統(tǒng)長期以來都是網(wǎng)絡(luò)攻擊的目標(biāo)，ICANN已采取了一些措施保障域名系統(tǒng)的安全性，例如建立了嚴(yán)格管理和存儲(chǔ)頂級(jí)域名和IP 地址對(duì)應(yīng)關(guān)系的數(shù)據(jù)庫的訪問權(quán)限，并定義了7把密鑰由分布在全球各地的專家共同管理。然而，除了頂級(jí)域名以外，國內(nèi)管理的域名系統(tǒng)也面臨安全風(fēng)險(xiǎn)，如DNS緩存污染、DNS劫持、DNS拒絕服務(wù)攻擊等。

在新時(shí)期，互聯(lián)網(wǎng)基礎(chǔ)資源面臨著多重挑戰(zhàn)。IPv6技術(shù)的發(fā)展擴(kuò)充了網(wǎng)絡(luò)能力，但也增加了黑客攻擊的空間。5G與工業(yè)互聯(lián)網(wǎng)的融合對(duì)網(wǎng)絡(luò)安全提出更高要求。算力時(shí)代和生成式大模型帶來了新的安全隱患。生成式大模型引發(fā)AI的新浪潮。

鄔賀銓認(rèn)為，一方面，AI會(huì)被攻擊者利用獲取對(duì)互聯(lián)網(wǎng)基礎(chǔ)資源的控制權(quán)，AI時(shí)代DNS 隱蔽信道問題將更突出。但另一方面，AI也為互聯(lián)網(wǎng)基礎(chǔ)資源的治理提供新的手段，要善于利用和創(chuàng)新開發(fā)。因此，基于AI的互聯(lián)網(wǎng)基礎(chǔ)資源管理和安全保障能力將成為未來發(fā)展的重點(diǎn)。

第四屆中國互聯(lián)網(wǎng)基礎(chǔ)資源大會(huì)由中國互聯(lián)網(wǎng)協(xié)會(huì)、中國互聯(lián)網(wǎng)絡(luò)信息中心、中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心、中國工業(yè)互聯(lián)網(wǎng)研究院主辦，人民郵電報(bào)社承辦。■