文/本刊记者 傅宇凡
角力下一代互联网
文/本刊记者 傅宇凡
美国网络空间战略一出,国家的疆界已经扩展到互联网空间,互联网已经成为一国战略资源的重要组成部分。
2011年5月和7月,美国政府向全世界发布《网络空间的国际战略》,这是美国有关全球网络安全战略构想的集中体现,其宣称美国将使用一切必要手段防御至关重要的网络资产,美国将像对待其他任何威胁一样,对网络空间的敌对行为作出反应。专业人士指出,这一战略,将世界各国带到一个全新的谈判桌前,今后各国将在互联网领域展开新一轮的战略资源博弈。
2009年,中国工程院院士汪成为就曾经预言美国将对网络空间(Cyberspace)制定战略政策,他指出互联网的研究需要“摒弃以往,摒弃经典,向前演进。”
可以预见,未来互联网将成为一国实力比拼的新领域。有关专家指出,互联网的安全、资源及体系结构,成为未来互联网研究领域关注的三大重点。
互联网创始之初,并没有考虑到安全性、移动性、可扩展性、高性能和实时性等问题,这些问题在互联网三十年的历程中,已经逐渐成为阻碍发展的瓶颈。尤其以安全性最为突出,全球 “红与黑”的博弈和较量,在近两年间达到了白热化的程度。不仅在民用的网络中上演经济利益争夺战,更激烈的是在真实的战场上。在美国的网络空间战略中,网络安全已经成为国土安全的一个组成部分。
战争中,利用计算机系统漏洞进行攻击,使得对方指挥控制系统处于瘫痪,己方部队长驱直入,演绎互联网时代的“不战而屈人之兵”战术。这样的战争在近年来屡见不鲜。2007年,爱沙尼亚互联网被袭,黑客们仅用大规模重复访问使服务器瘫痪这一简单手法,就控制了爱沙尼亚互联网的制网权;2008年8月的俄格战争中,俄罗斯在军事行动前攻击格鲁吉亚互联网并使之瘫痪。这是全球第一次针对制网权的、与传统军事行动同步的网络攻击,也是第一次大规模网络战争。以至于有专家说,网络安全漏洞已经成为战场上的阿基里斯之踵。
大量的敏感信息泄漏、地址欺骗、身份假冒、拒绝服务攻击、垃圾邮件泛滥、网络欺诈等事件层出不穷,而绝大多数安全事件无法追踪到肇事者。“现有互联网体系结构从设计、实现到维护技术的‘先天不足’,决定了不可信任性是难以克服的。”中国教育和科研计算机网CERNET专家委员会主任吴建平说,目前的互联网是不强调真实源地址认证的,只强调信息发到哪里,并不强调信息从哪里来,造成了很多网络安全问题。
这也是为什么美国会在今年连续出台关于网络空间的国际战略的重要原因。“电子911”就像一把达摩克利斯之剑,高悬在美国政府头顶。不仅美国,全球都在互联网安全的隐形威胁之下,互联网的安全脆弱性,迫使大大小小的机构与无形的黑客展开了一场全球性规模的远程搏杀。
2011年7月的数据表明,中国境内有超过360万的终端受到网络病毒感染,被木马或僵尸网络控制的主机IP地址有27万个。2011年7月,CNCERT监测到全球互联网约2417万个主机IP地址感染飞客蠕虫,按国家或地区分布感染数量排名前三位的分别是中国大陆、巴西、俄罗斯。
近几年,对灰鸽子、僵尸网络的围追堵截从明处转入暗战,潜伏的木马不时发作,大规模的威胁敦促各国政府加大对网络安全的科研和教育投入。
中国工程院汪成为院士指出,没有系统性,拆东墙补西墙的应急做法,将无法解决互联网安全可信的问题。系统安全和可信涉及到物理域、信息域、认知域和社会域,需要在互联网体系结构上进行系统性的研究。
中国很早就开始下一代可信互联网的投入和研究,2004年,CERNET在清华大学吴建平教授的带领下,对互联网的体系结构进行追根溯源,实现一种真实源地址验证的体系结构。“当前互联网体系结构里,网络中的分组转发只基于目的地址,对于源地址基本不做检查,使得伪造源地址攻击轻易而频繁。在互联网中地址是主机的标识,而缺乏源地址的验证,使得无法在网络层建立起信任关系。”吴建平教授如是说。目前该架构正在CNGI-CERNET2上进行大规模的试验。
2008年6月,国际互联网工作组IETF批准通过RFC5210(Source Address Validation Architecture (SAVA) Testbed and Deployment Experience),这是我国在国际上首次提出的“基于真实IPv6源地址的网络寻址体系结构”。此前,在CERNET等高校互联网研究人员的推动下,IETF成立了SAVI工作组,以探讨真实源地址验证的安全路线和标准方案。2010年,RFC5465再次肯定了真实源地址验证的规模实验有效性。
安全问题是历史性的难题,资源却是现实的难题。
2011年2月,全球IPv4地址走到尽头,全球互联网数字分配机构(IANA)发出公告,互联网IPv4地址池耗尽。业内人士分析,耗尽倒计时已经开始进入各地区地址注册机构。乐观估计,这个时间也不会超过一年。
此前的2009年,世界各国纷纷出台本国的宽带计划,准备大干一场,正在如火如荼之际,资源短缺无疑是一盆冷水。随后,各国展开你追我赶的资源争夺战,IPv4地址交易、IPv6应用时间表,在各个场合被讨论。
2011年6月8日,国际互联网发起了IPv6体验日活动,其中身影闪现的基本是全球顶尖的互联网网络和应用服务提供商。目前为止,能够解IP地址资源燃眉之急的就是IPv6。
以1998年RFC 2460 IPv6 Specification发布日为准,IPv6诞生。十多年间,许多国家都在犹豫不决,是否选择IPv6,但对发展中的中国来说,IPv6是解决资源问题的明智选择。
对我国来说,资源的形势最为严峻。我国IPv4地址虽排名全球第二,2010年增加超过4000万个地址,但相比于一年内网民就增加了7330万而言,国内IPv4显然是“杯水车薪”。中国电信曾预测其未来三年内将缺乏7000万~1.1亿个地址。
IPv4地址耗尽,面临的挑战是:如果没有其他解决方案,互联网规模就无法扩展,更多的人将无法上网,更多的应用将无法开展,也就是说互联网会停摆。
2003年,国家发改委等八部委启动了中国下一代互联网示范网CNGI工程,并于2008年底开始试商用,由中国电信等六大网络共同承担,100所高校、100个科研院所和70多家企业共同构成,其中C N G I-C E R N E T 2建成了全球最大的纯IPv6网络。
2004年1月15日,在比利时首都布鲁塞尔的欧盟总部,包括美国Internet2的Abilene、欧盟的GEANT、加拿大CANET4、日本的SINET、中国CERNET在内的全球八个国家的学术网络共同宣布开始提供IPv6服务。这是国际下一代互联网研究和发展的重要里程碑。
目前,世界上著名的下一代互联网计划(组织)及其试验网主要包括:美国的Internet2计划的主干网Abilene,第二代欧盟学术网的主干网GEANT2,亚太地区先进网络APAN及其主干网,跨欧亚高速网络TEIN2及其主干网,中国的CNGI及其主干网,日本第二代学术网SUPER SINET和加拿大新一代学术网CAnet4等。
在参与国际下一代互联网研究过程中,中国逐渐走近核心。在美欧中这全球三大区域主体的竞争之中,以中国为代表的亚太互联网已是举足轻重。
CERNET国家网络中心主任吴建平教授主持CNGI-CERNET2的研究,他说:“下一代互联网,是新一轮的全球战略竞争,我们不能再落后。如果我们失去下一代互联网的发言权,我们也将在很大程度上受制于人。”2007年10月,中央领导在下一代互联网的相关报告中批示:“确实需要从战略高度重视下一代互联网发展。”
与此同时,美欧日也不遗余力地加入到新一轮的资源竞争。
美国年初发布了关于美国政府部门将部署下一代互联网协议IPv6的决定,要求所有的美国政府机构在2012财年年底之前把服务器和类似于电子邮件和网站的服务升级到IPv6。与此同时,美国政府也投入大量的经费,支持向IPv6的过渡计划。
当前,两代网过渡成为各国发展互联网的头等大事。从IPv4到IPv6的过渡进展速度仍然赶不上IPv4地址耗尽的速度,IPv4网络和IPv6网络之间互访成为关键问题,通过建设IPv6网络的大量实践,CERNET提出了基于运营商路由前缀的无状态IPv4/IPv6翻译技术IVI(在罗马数字的表示中 VI代表4,VI代表6,所以IVI代表IPv4和IPv6的互联互通)。这一发明正好解决了全球面临的严峻的IPv4/IPv6的过渡难题。
这一在国际上首次提出的过渡机制,成为了IPv4互联网向IPv6互联网平滑过渡的关键技术。从2008年以来,CERNET网络中心副主任李星教授积极推动国际互联网工程组IETF的 BEHAVE工作组的工作,参与多项文稿的撰写。
同时,CERNET与华为、比威、中兴、锐捷、盛科、思科、瞻博、华三等厂商合作研制过渡设备。基于IVI机制的部分设备已在CNGI-CERNET2主干网和100个校园网大规模部署,并计划在中国电信的下一代互联网试验网中投入试运行。
安全性问题,资源短缺问题,阻碍了互联网的发展,那么,现在的互联网是否沉疴难起,需要一场变革?十年来,关于互联网体系结构的改良与革命的争论不绝于耳。
2003年,美国科学基金会(自然科学基金会NSF)启动Clean Slate 100*100研究计划,提出“推倒重来,从零开始”,这一大胆设想,引起全球互联网科学家的关注。该项目计划到2010年实现1亿家庭用100 Mb/s上网,然而该项目现在已经结束,并未达到预期的目标。
长久以来,对未来互联网的研究,交叉并行两种思路。一是推倒重来,二是渐进式修补。前者是重新设计一种全新的互联网体系结构来解决面临重大技术挑战,如美国的全球网络创新环境GENI、未来互联网体系结构(FIA)计划;后者是在现有的互联网体系结构内,针对出现的问题个别解决(例如Internet 2, Phosphorous, NGI)。
然而,反对的意见认为,“推倒重来”的仿真模型还不能反映实际应用环境;产品性试验床有实际用户但变化不够,研究性试验床有较多的变化但缺实际的用户。而修补的思路也不可行,互联网的体系已经硬化,修补可能已无济于事,反而增加复杂性,让互联网更加难以管理。
各国对下一代互联网需求的研究结果基本分析发现吻合,认识基本一致,下一代互联网的重大需求主要包括扩展性、安全性、移动性、可管理性、高性能和实时性等方面。
推倒重来的思路与修补渐进式的思路,交叉并行在互联网研究领域,推动近年来互联网科研发展。
中国工程院院士邬贺铨针对当前对互联网发展阶段的困惑,提出自己的见解,认为:“互联网的发展,就像是飞机在飞行中换引擎,面临这个难题,谈革命也是一个比较难的挑战。”他说,“现在世界上研究新一代、下一代互联网的项目有很多,我的看法是演进了,可以说IPv4演进到IPv6,IPv6再继续演进到新的领域。”
汪成为院士也认为:“网络的变化不可能突然,必然是一步一步地演进的,所以,互联网是方方面面需求牵引,技术推动,继承发展,逐步演进的。”
这样的演进思路也集中体现在中国的互联网科研领域。2003年后,以吴建平教授等牵头的高校研究人员参与了国家重点基础研究发展(“973”)计划项目的新一代互联网相关研究。2009年,得到“973”计划的继续支持,启动了新一期“973”项目“新一代互联网体系结构和协议基础研究”,在前期“973”项目的基础上,从IPv6互联网出发解决互联网的重大技术挑战,着眼于互联网的可扩展性、安全性、移动性、可管理性、高性能及实时性等六个方面,开展研究。其不仅注重体系结构的理论探索,同时更加注重体系结构和协议的基础研究,并继续深入研究多维可扩展的网络体系结构及其基本要素,以及体系结构对规模可扩展、性能可扩展、安全可扩展、服务可扩展、功能可扩展、管理可扩展的支持。
可以说,中国的互联网研究思路主流的还是基于现有的互联网体系结构来解决面临的重大技术挑战,主要采用IPv6协议的大规模试验网,攻克和试验相关的关键技术。
汪成为院士指出:“网络空间从狭义的信息拓展到广义的信息,‘0101’不等于信息,是信号;信号不等于认知,认知不等于决策,决策不等于有社会效应,现在要看最终的社会效应。”而社会效应,则有待于现实的检验。
2011年,互联网的发展出现了一些新的变化,地址匮乏,革命路线未成,演进尚须时日,网络空间战山雨欲来,未来的发展趋势注定围绕着网络环境,援引汪院士的观点预测未来的互联网技术方向选择,他认为,选择关键性技术,需要着眼于如何满足需求牵引的必然趋势,如何突破阻挠发展的瓶颈技术,如何发展战略谋划的研讨重点。锁定这三个层面,将会对我们互联网未来的研究发展产生巨大的积极影响。