12月12日,在北京举办的第四届中国互联网基础资源大会上,中国工程院院士邬贺铨发表了题为《互联网基础资源的再认识》的主旨演讲。邬贺铨表示,IPv6海量地址扩充了互联网基础资源的能力,显著减少访问时延。生成式大模型引发AI的新浪潮,AI会被攻击者利用获取对互联网基础资源的控制权。另一方面,AI也为互联网基础资源的治理提供新的手段,要善于利用和创新开发。
全球网络资源加快向IPv6过渡
从IPv4到IPv6的发展,首要关注的是地址资源的变迁,现在全球正加快向IPv6过渡。邬贺铨指出,互联网基础资源主要包含三个方面:IP地址、域名系统和域名解析服务器。目前,全球IP地址资源分配已经结束,中国网民人均IPv4地址不足0.4个。然而,目前ICANN对IPv6地址的分配方法仍然沿用IPv4的方式,虽然申请部首有所限制,但ICANN在IPv6地址分配方面未充分利用可用规律性。如果IPv6地址能按区域、业务、用户类型进行精细化分配,可以实现更精准的侦测与监控,但目前各国只能在ICANN框架内进行规范,难以达到科学合理的效果。
对此,邬贺铨建议我国应该积极推进ICANN的改革,重新规划IPv6地址的分配机制,最好在IPv6地址里划分出国家码,国家码以下由各个国家自行分配。
邬贺铨指出,动态IPv6地址资源的安全管理是当前互联网基础设施发展中的一个重要议题。在客户访问服务器时,识别地址和源主的真实性至关重要。虽然已有方法将地址与源主绑定,但存在着黑客冒充用户地址的潜在风险。因此,迫切需要实现源地址接入认证,通过绑定用户IP地址、MAC地址和接入端口,来有效辨识攻击机。
IPv6已不仅仅代表终端身份,还扩展到业务流的性能需求和实测状态指示。通过IPv6的扩展报头,应用程序的性能需求如带宽、时延、抖动、丢包率等参数能够得以传达。此外,IPv6还提供了一种称为iFIT的检测方式,可标记丢包和时延测量,从而监测流量异常并识别潜在攻击。
随着IPv6的不断发展,出现了IPv6+,扩展了地址资源管理的维度。新型的组播利用了SRv6和分段选路特性,显著减少了中间路由器对网络资源的消耗。另一个应用是IPv6的多归属功能,充分利用了5G核心网的用户面和数据面分离特性,可以实现企业内部敏感数据不离开企业网络的安全保障。
新时期互联网基础资源面临新挑战
然而,新技术也带来了挑战。随着IPv6地址字段功能的扩展,黑客攻击的空间也增加了。此外,5G与工业互联网融合,虽然实现了企业IP专网的隔离,但对现场级网络的控制面需要更高的安全要求。
邬贺铨表示,互联网基础资源的安全性仍然是关注的焦点。域名系统长期以来都是网络攻击的目标,ICANN已采取了一些措施保障域名系统的安全性,例如建立了严格管理和存储顶级域名和IP地址对应关系的数据库的访问权限,并定义了7把密钥由分布在全球各地的专家共同管理。然而,除了顶级域名以外,国内管理的域名系统也面临安全风险,如DNS缓存污染、DNS劫持、DNS拒绝服务攻击等。
在新时期,互联网基础资源面临着多重挑战。IPv6技术的发展扩充了网络能力,但也增加了黑客攻击的空间。5G与工业互联网的融合对网络安全提出更高要求。算力时代和生成式大模型带来了新的安全隐患。生成式大模型引发AI的新浪潮。
邬贺铨认为,一方面,AI会被攻击者利用获取对互联网基础资源的控制权,AI时代DNS隐蔽信道问题将更突出。但另一方面,AI也为互联网基础资源的治理提供新的手段,要善于利用和创新开发。因此,基于AI的互联网基础资源管理和安全保障能力将成为未来发展的重点。
编辑:于莉莉 李珮雯