中國IPv6下一代互聯網的發展和思考

目前，互聯網正在逐步發展成比較大的網絡空間，是繼陸海空天以后人類創造的第五空域。網絡空間主要由三部分組成。第一部分是計算系統，小到智能手機、物聯網里的每一個設備，大到超級計算機系統，都是計算系統，這是網絡空間最根本的一部分；第二部分是連接這些設備的網絡，以互聯網為基礎的各種通信系統和網絡形成的連接；第三部分是在大環境里形成的各種各樣的影響，這也是網絡空間的一部分。

在網絡空間中，什么是網絡的核心技術？互聯網核心技術實際上就是互聯網的體系結構，任何事物的體系結構都是講這個事物各部分的功能組成及相互關系，在互聯網里，網絡層次起承上啟下的作用。

真正的網絡層是由三個要素組成。一是傳輸格式，互聯網的初衷是用互聯網連接所有的通信系統和網絡，所以它的標準傳輸格式是非常重要的，即目前仍在使用的IPv4協議，將要被新的IPv6協議替代；二是轉換方式，互聯網之所以在眾多的網絡和技術中勝出，最重要的是采用了無連接分組交換技術，也就是IP技術，這個交換技術形成了互聯網的核心；三是路由控制，互聯網把數據從一端送到另一端是靠中間的路由控制算法，其核心技術難題在于傳輸格式和轉換方式相對穩定的情況下，路由控制必須要滿足不斷增長的應用及不斷變化的通信和網絡技術發展。我們對互聯網的很多苛求總是從某一方面產生的，如果想滿足所有需求，一定是個平衡產物，所以最優的互聯網體系結構和路由控制實際上是最難的。

IPv6下一代互聯網發展的新形勢

互聯網在20世紀80年代初期就定下來IPv4協議的格式，一直延續至今。當今互聯網的發展需求越來越大，到了2012年IPv4地址全球分配完畢，最近幾年IPv6呈爆發式增長。十多年研究結果顯示，仍然沒有找到一個能夠替代這個IP協議的新的網絡結構。可以預測，在未來10～20年，IPv6一定是互聯網的主要協議。

中國早期由于技術上的落后，沒有申請到大量的IP地址，很多單位都是用私有地址，出口上再用公有地址轉換，現在，IPv6協議給我們帶來了非常大的機會。

上世紀90年代末期、2000年初期的時候，國際上沒有大規模使用IPv6組網的經驗，IPv6海量地址空間會帶來新的挑戰和困難。

基于這一背景，經過兩年的調研和論證，2003年，國務院批復了八個部委向國家申請的啟動中國下一代互聯網示范工程的計劃CNGI。CNGI項目開始實施，經過五年完成了第一階段的工作，建成了當時全球最大的IPv6示范網，同時開發攻克了一批互聯網IPv6關鍵技術，包括運營商、設備制造商以及應用軟件的開發商等。該項目在2008年被評為中國科學十大進展第二名。

在此之后，中國制定了下一代互聯網的路線圖和時間表，把2010年之前作為準備階段，2011～2015年是過渡階段，2016年以后作為完成階段。第一階段中國在國際上處于領先地位，產生了一些創新型成果：一是通過與近100所大學及與設備制造商、運營商的合作，建成了全球最大的純IPv6示范網，當時國際上的做法是做IPv4搭建一個IPv6功能，實現雙棧，離了IPv4后其IPv6是不能運行的；二是我們主要采用國產設備，70%的設備是由中國制造來搭建IP主干網，這個在當時的IPv4網上還沒有做到。

值得一提的是，中國在國際標準化組織ITF的范疇之內取得了非常領先的成果，一個是隧道技術，還有一個是翻譯技術，都取得了很大進展。此外，在未來網絡里，很多安全問題將仍然存在，中國在解決安全問題上走在國際前列。

IPv6為解決網絡空間安全問題帶來挑戰與機遇

隨著IPv4地址在全球的分配殆盡，從2013年開始，全球的IPv6網絡呈現一個比較大的發展趨勢。全球的IPv6流量從2012年到2015年增長了十倍，預計2018年IPv6流量超出IPv4。為什么中國早在2008年第一期就取得了預定的戰略目標，最近幾年卻發展緩慢？

第一，我國在互聯網技術使用上還是比較落后的。技術落后使得地址短缺，地址短缺造成的應用就是用私有地址出口轉換成公有地址。我們知道地址的轉換非常降低網絡效率，我們的互聯網帶寬低、延遲大、速度慢，一方面是基礎投資不夠，另一方面是地址轉換產生了很重要的阻力。這一因素也養成了不用公有地址的習慣，國外一個用戶要拿到運營商的服務必須有公有地址，在中國不一定這樣，大家有時候選擇少，另外也沒有這個意識非要選擇一個公有地址。

第二，互聯網缺乏應有的國際競爭。2014年、2015年期間，谷歌、Facebook已經大量遷移至IPv6上，我們國家一些信息提供商也參與到CNGI項目，但他們只有幾個層次，深層次訪問他們并沒有提供。

第三，我國互聯網安全監管措施成本和代價很高，在IPv6上面，整個遷移以后需要重新構建。有些搞安全的專家也認為IPv6本身有端到端加密的功能，使得我們國家的很多安全管理和監控有很多困難。實際上互聯網為什么在IPv6上有了加密，IPv4反而沒有，就是要讓用戶有安全措施，這個到底是好還是不好，大家自有判斷。

然而，互聯網在IPv6里面解決網絡空間安全問題確實是一個非常好的機遇。互聯網為什么有很多安全問題？因為它是一個開放網絡，在這樣開放的網絡中，所有訪問是不可信的，每一個分組的訪問，都不會對源地址進行驗證。如果能解決這個問題，互聯網的安全等級會大大提高。

學科增設有效提升網絡安全技術水平

目前，我國也高度重視網絡安全問題。從2014年中央網信辦成立，到把網絡強國作為國家發展互聯網的戰略目標，都強調在網絡信息技術里要自主創新，把互聯網核心技術、自主創新提到比較高的位置。

我認為，互聯網是網絡空間的基礎，而互聯網安全也面臨諸多挑戰。例如，源地址不做認證的問題，路由會產生非常多的問題，DOS攻擊也是基于此產生。此外，大規模的域名劫持和假冒也會導致很多安全問題，尤其會對運營商帶來很大危害。

我們在解決網絡空間安全核心技術方面有兩條技術路線，一是有病治病，二是要有新思路。以IPv6為基礎，增加路由源地址驗證、增加二維網絡控制，能使這個網絡更加安全、更加可信，起碼所有的數據能夠知道它們從哪來到哪去，誰負責，這是非常重要的。此外，我們也需要高層次的人才去設計安全的互聯網。2015年，經過一系列努力，國家正式批復在“工學”門類下增設“網絡空間安全”一級學科，并授予網絡空間安全學科的碩士和博士學位；2016年，又有29所學校獲得了我國首批網絡空間安全一級學科博士學位授權點。2016年可以稱為網絡空間安全碩士和博士的元年。

這樣一個學科對于我國提高網絡安全技術水平有非常大的作用。我們分為五個學科部分，網絡安全核心有三方面，計算系統安全、網絡安全、應用安全，這三個是有所區別完全獨立的。另外，有共性的密碼權，在這三個學科里面都有表現，都有其作用。還有一個就是網絡體系（即網絡空間安全的基礎）等。網絡安全主要是通信和互聯網安全問題、攻防問題，而應用安全包括各種應用系統關鍵設施的安全和隱私保護。

無疑，網絡空間安全已成為國家重要的戰略需求，掌握互聯網核心技術是解決網絡空間安全問題的命門，IPv6下一代互聯網是拓展網絡空間和解決網絡空間安全問題的重要發展機遇，我們必須要掌握核心技術來解決安全問題。

（本文根據吳建平院士在GNTC全球網絡技術大會上的演講整理而成，未經本人確認。）