吳建平 中國工程院院士、清華大學教授

在2018 ISC互聯(lián)網(wǎng)安全大會上，中國工程院院士、清華大學教授吳建平出席會議并發(fā)表題為《互聯(lián)網(wǎng)體系結構是互聯(lián)網(wǎng)安全的基石》的演講?！皬牧汩_始，一定是從互聯(lián)網(wǎng)技術本身開始，要回歸到技術本身來看互聯(lián)網(wǎng)安全問題?！彼硎荆ヂ?lián)網(wǎng)關鍵核心技術就是互聯(lián)網(wǎng)體系結構。

互聯(lián)網(wǎng)體系結構在發(fā)展中演變和創(chuàng)新

互聯(lián)網(wǎng)體系結構是研究互聯(lián)網(wǎng)的各部分功能組成及其相互關系，在這個體系結構里面，網(wǎng)絡層承上啟下，保證全網(wǎng)通達，是體系結構的核心。其難點在于，在傳送格式和轉發(fā)方式相對穩(wěn)定的情況下，路由控制必須不斷滿足應用發(fā)展的需求（復雜多變量）達到全網(wǎng)最優(yōu)。

互聯(lián)網(wǎng)體系結構一個很重要的特點就是在發(fā)展中不斷演變和創(chuàng)新，存在著一些重大技術挑戰(zhàn)，包括擴展性、安全性、高性能、移動性、實時性和管理性。IPv6為互聯(lián)網(wǎng)體系結構技術挑戰(zhàn)提供了創(chuàng)新平臺：地址由32位變成128位；IP包頭由13個域減少為7個域，提高路由器處理速度；增加組播；自動配置；更加安全并且允許擴充。

互聯(lián)網(wǎng)核心技術包括基礎核心技術（計算機+軟件、互聯(lián)網(wǎng)、通信）、通用核心技術（云計算、物聯(lián)網(wǎng)、智慧城市、大數(shù)據(jù)、人工智能）以及應用核心技術（金融互聯(lián)網(wǎng)、能源互聯(lián)網(wǎng)等）。在互聯(lián)網(wǎng)體系結構的演進過程中可以看到，互聯(lián)網(wǎng)傳輸格式從IPv4轉變?yōu)镮Pv6，轉換方式也隨之發(fā)生變化。

互聯(lián)網(wǎng)發(fā)明人溫頓·瑟夫在清華演講時表示，互聯(lián)網(wǎng)體系結構具有強大的生命力。它不是為任何特殊應用而設計的網(wǎng)絡，只傳遞數(shù)據(jù)包；可以運行在任何通信技術之上；允許在網(wǎng)絡邊緣創(chuàng)新；必須足夠可擴展；為新協(xié)議、新技術和新應用開放。

網(wǎng)絡空間安全發(fā)展的新形勢

2016年2月，美國發(fā)布網(wǎng)絡安全研究戰(zhàn)略計劃。同時，全球網(wǎng)絡空間安全緊張形勢進一步加劇。2017年1月，美國正式發(fā)布“網(wǎng)絡空間安全學科知識體系”；2018年4月20日，習近平總書記在全國網(wǎng)信工作會議上發(fā)表重要講話“網(wǎng)絡強國建設”。

互聯(lián)網(wǎng)安全主要挑戰(zhàn)包括以下幾個方面：一是網(wǎng)絡IP分組缺乏源地址驗證，只根據(jù)目的地址尋址和路由控制；二是大規(guī)模網(wǎng)絡IP分組攻擊，DDOS等攻擊，真實或假冒源地址攻擊；三是互聯(lián)網(wǎng)路由信息劫持或假冒，各主干網(wǎng)域內路由和全球域間路由；四是大規(guī)模域名劫持和假冒；五是其他互聯(lián)網(wǎng)安全挑戰(zhàn)，如數(shù)據(jù)完整性、身份驗證、不可抵賴性、保密和訪問控制。

互聯(lián)網(wǎng)必須有可信路由和行為溯源，僅僅物理隔離不能解決互聯(lián)網(wǎng)安全。因此，互聯(lián)網(wǎng)體系結構必須既開放又可信。互聯(lián)網(wǎng)體系結構是互聯(lián)網(wǎng)安全的重要基石。提升互聯(lián)網(wǎng)安全可信主要有以下兩種途徑：

一種是傳統(tǒng)思路——“有病治病”。補漏洞，對出現(xiàn)的安全攻擊，以打補丁的方式解決單一問題。涉及網(wǎng)絡安全攻防技術，包括網(wǎng)絡與系統(tǒng)自動攻防技術，網(wǎng)絡基礎設施與基礎協(xié)議的脆弱性分析與利用技術，全球網(wǎng)絡安全測量、態(tài)勢評估與威脅情報分析系統(tǒng)；

另一種是創(chuàng)新思路——“增強體質”。另辟蹊徑，從體系結構解決互聯(lián)網(wǎng)安全的體系挑戰(zhàn)。涉及網(wǎng)絡安全體系結構，包括網(wǎng)絡基礎設施安全管控體系結構，以IPv6地址驅動的安全可信基礎，基于可編程二維路由轉發(fā)的安全管控機制，以及新型無線網(wǎng)絡安全接入管理機制。

缺乏源地址驗證成為互聯(lián)網(wǎng)最重要的安全隱患之一，惡意攻擊難防止，網(wǎng)絡犯罪難追溯，網(wǎng)絡資源易盜用。從互聯(lián)網(wǎng)體系結構上解決全網(wǎng)真實源地址驗證與數(shù)據(jù)溯源，可以為解決互聯(lián)網(wǎng)安全問題提供重要技術途徑。其難點在于地址分配方法復雜多樣，網(wǎng)絡路徑信息動態(tài)變化，網(wǎng)絡路由策略實時多樣。IPv6真實源地址驗證體系結構SAVA正好解決這一問題，實現(xiàn)了全網(wǎng)源地址驗證、精確定位和地址溯源。

演講最后，吳建平指出，互聯(lián)網(wǎng)是網(wǎng)絡空間的重要基礎設施，互聯(lián)網(wǎng)體系結構是互聯(lián)網(wǎng)關鍵核心技術；IPv6下一代互聯(lián)網(wǎng)為解決互聯(lián)網(wǎng)體系結構技術挑戰(zhàn)提供了新的平臺；掌握互聯(lián)網(wǎng)關鍵核心技術是解決互聯(lián)網(wǎng)安全問題的“命門”，互聯(lián)網(wǎng)體系結構是互聯(lián)網(wǎng)安全的重要基石；IPv6下一代互聯(lián)網(wǎng)給網(wǎng)絡空間安全關鍵核心技術創(chuàng)新和發(fā)展帶來歷史性機遇和挑戰(zhàn)。