中国工程院院士吴建平:我国下一代互联网发展和思考
以"新技术·新架构·新网络"为主题的"2016全球网络技术大会"于2016年12月7日-9日在北京喜来登长城饭店全面开启。在大会中,产学研用齐头并进,网络通信领域相关代表济济一堂,参会人员超过了1000人,共商全球网络架构重构。
来自中国工程院院士、清华大学教授吴建平在大会中发表题为"我国下一代互联网发展和思考"的主题演讲。吴建平认为,互联网是网络空间的重要基础设施,互联网体系结构是互联网核心技术,当一万个IETF标准出现的时候,我们如果有一千个,那么我们中国的形势就会发生变化。另外,网络空间安全已经成为国家重要的战略需求,掌握互联网核心技术是解决网络空间安全问题的命门,基于IPv6源地址验证的安全可信下一代互联网体系结构,将是IPv6下一代互联网拓展网络空间和解决网络空间安全问题的重要发展机遇。同时,他呼吁要通过掌握核心技术来解决未来网络的安全问题。
以下为吴建平的演讲实录:
吴建平:各位来宾,非常高兴参加一年一度的大会,今天我想和大家分享中国IPv6下一代互联网发展的思考。刚才张总说了,网络新名词非常丰富,我不想赶时髦,讨论这些新名词,我想回归于最基本的互联网机理做一个起步,希望那些新名词能够和这个遥相呼应。
我主要想看一下互联网和网络空间的关系,以及什么是互联网的核心技术,以及中国下一代互联网发展的回顾,看一下最新IPv6下一代互联网发展的新形势,以及IPv6会给拓展各种网络空间和解决网络空间安全问题带来的挑战与机遇。
互联网正在逐步发展成比较大的网络空间,网络空间是继陆海空天以后人类创造的第五空域,即虚拟和现实相结合的大的空域。现在搞计算机、搞网络的词汇非常多,特别是中国,追逐国际新词汇特别有特色,大量的词汇在这里放着,但是我们还要分别它们的类型。我们知道网络空间最主要的是由计算系统,小到我们的智能手机,甚至是物联网的每一个设备,大到超级计算机系统,都是计算系统,这是网络空间最根本的一部分。第二部分就是连接这些设备的网络,以互联网为基础的各种通信系统和网络形成对它们的连接。第三,就是在大的环境里形成的各种各样的影响,这是网络空间的一部分。中间两部分的应用其实也要分层次的,像云计算、物联网、智慧城市中国特色的三网融合和大数据可以作为公共应用技术,支持各行各业互联网+的应用,有共性的应用基础再加上各种各样的应用,形成了现在的网络空间。
在这个网络空间里,网络起非常重要的作用,什么是网络的核心技术?总书记在4月19号网络安全与信息化座谈会上特别谈到,尽快在核心技术上取得突破,说到互联网的核心技术是我们最大的命门,核心技术受制于人是我们最大的隐患。核心技术不光中国重视,全球都重视,它是互联网的基础,这里面也讲了核心技术的很多特点,以及搞核心技术要抓基础研究。
什么是互联网的核心技术?我相信在座的肯定有不同的答案,我觉得这个问题还是非常重要的,因为你抓不住互联网的核心技术,你就不知道互联网千变万化的变迁是从哪产生的,它和最基础的互联网有什么区别,我们鉴别各种各样的技术应该从互联网核心技术出发。
互联网核心技术实际上就是互联网的体系结构,任何事物的体系结构就是讲这个事物各部分的功能组成及相互关系,在互联网里,网络层次承上启下,它是核心技术的核心。真正的网络层是由三个要素组成,一是传输格式,因为互联网的初衷是用互联网连接所有的通信系统和网络,所以它的标准传输格式是非常重要的,即IPv4协议,它已经在互联网上生存了三四十年,现在仍然在使用。当然,它的使用现在已经将要被新的IPv6协议所替代,所以这是一个标准的传输格式。
第二就是转换方式,互联网之所以在众多的网络和技术中胜出,最重要的是采用了无连接分组交换技术,也就是IP技术。这个交换技术形成了我们互联网的核心,有这个技术才能够去使用和包容所有的通信和网络手段,这是它最成功的方面。
有了这两个还不够,互联网把数据从一端送到另一端是靠中间的路由控制算法,中间有很多的挑战和机遇。互联网的核心技术的难题就在于传输格式和转换方式相对稳定的情况下,路由控制必须要满足不断增长的应用以及不断变化的通信和合网络技术的发展。我们对互联网的很多苛求总是从某一方面产生的,如果想满足所有的需求,有一个统一的满足平台,一定是个平衡产物,所以最优的互联网体系结构和路由控制实际上是最难的。
互联网还有一个特点,整个体系结构是在不断演进中创新的,而不是很明显的一代一代。我们知道互联网在80年代初期就定下来IPv4协议的格式,一直到现在仍在使用。但是在这个过程中要不断的树立互联网面临的挑战,40年前的互联网和现在的互联网是不能同日而语的。早期的互联网到现在为止最主要的是在几个方面解决问题,一个是可扩展性,我们知道网络空间一开始没想那么大,随着互联网的发展需求越来越大,到90年代初期的时候,经过十年的发展,人们已经看到了发展势头,感觉到了IPv6协议的地址空间协议是不够的,同时也发现了控制域的许多功能不简洁,还有一些功能是无用的。所在90年代初期的时候,经过全球科技人员的共同努力,设计和标准化了新的传输格式,我们叫下一代网络传输格式,IPv6,IPv6在1997年公布完毕到现在差不多20年,这20年各个厂商各个应用系统开发商都做了大量的准备,到了2012年IPv4地址全球分配完毕,这几年IPv6呈现一个非常爆发式的增长。
下一代互联网有独特的定义,但是最近这些年来,有国际国内很多专家学者在研究探讨互联网的未来到底会是什么样的结构,想了很多的结构、很多的词来描述未来的网络,到今天为止差不多有十年的时间,十年下来的结果,我们还没有看到一个能够替代这个IP协议的新的网络结构,所以我们可以预测在未来10年、20年IPv6一定是互联网的主要协议。
这些挑战的解决会从IPv4跳到IPv6上,像可扩展问题、安全问题、高性能问题、移动性问题,移动性不只是通过传统手机无线移动通信系统,而是通过WiFi直接连接起来,以及用于工业控制等特殊部门的互联网实施性的问题。这些特点和挑战都是在互联网的发展中不断地完善的。
在互联网体系结构的发展历史上,这三个要素实际上做了不同的变迁,传输格式是1981年IPv4诞生一直到今天还在使用,IPv6是在1995—1997年最后宣布的,这两个格式就是我们传输格式的变化,转换方式,从互联网诞生是一个探索,到了第一个IPv4,用在了互联网里面,并且取得了和别的网络不同的胜出。
最近这些年,像VPN等等在历史上都是在路由控制上希望有些新的满足,满足一些新的需求,到最近SDN,这是一个非常火的词汇,它在路由控制上做了一些工作,在特殊的场合是有用的,但是在大的互联网上使用的话,困难非常多。
NFA也是一个词汇,功能虚拟化,无非就是互联网路由控制网络层实现的载体发生了结构上的变化,可能是把一个实现放在多个虚拟的网络环境里面,它只是一个实现技术,并不代表体系结构的变更。
互联网核心技术的开发叫ITF,它是1986年成立的,使命是保证互联网平稳地发展,它已经有了30多年的历史,领导层叫体系结构的理事会,目前主要的领域是在以下七个方面,活跃的工作组有一百多个,每一个工作组都是在集中解决互联网面临的挑战问题,经过几年的解决,提出解决方案,能够实现很好的解决这个问题,并且形成标准。中国在互联网核心技术掌握方面非常非常少,而且基本上刚刚入门,在2005年以前,3000个标准里面我们只有十几个,应该说这十几年我们还有比较大的进步,但是离掌握核心技术还有相当大的差距。
下一代互联网随着IPv6的诞生,人们看看能不能用IPv6来构建新一代的互联网,这是在上世纪末,1996年、1997年IPv6诞生以后,很多国家都发起了下一代互联网研究计划,他们想在新的网络空间里掌握更多的主动权。对于我们国家来说更加迫切,因为我国早期由于技术上的落后,没有申请到大量的IP地址,很多单位都是用私有地址,出口上再用公有地址转换,有了IPv6协议给我们带来了非常大的机会。
而且IPv6和IPv4是一个改朝换代的机会,因为用了不同的传输格式以后,互联网很多的网络设备、网络应用都会发生重大的变化。如果在这个机会里面能够抓住的话,我们可以掌握更多的主动权,这是一个很好的机会,但是当时在90年代末期、2000年初期的时候,国际上没有大规模用IPv6组网的经验,另外IPv6海量地址空间会带来新的挑战和困难。
在这个情况下,有57位院士给国家写信呼吁政府发起下一代互联网的研究计划,经过两年的调研和论证,国务院批复了八个部委向国家申请的启动中国下一代互联网示范工程的计划,我们叫CNGI,经过五年完成了第一阶段的工作,全国几百个单位参加了这个大工程,总投资差不多50亿,20亿国家拨款,30亿自筹,经过五年的时间,建成了当时全球最大的IPv6示范网,同时开发攻克了一批互联网IPv6关键技术,包括运营商、包括设备制造商以及应用软件的开发商等等。在2008年被评为中国十大科技进展的第二名,第一名是载人航天。
在此之后,中国就制定了下一代互联网的路线图和时间表,把2010年之前当成准备阶段,2011—2015年当成过渡阶段,把2016年以后当成完成阶段。第一阶段我们完成得比较漂亮,在国际上处于领先地位,但是第二个阶段那五年进展不尽如人意,目前我们还处于思考和追赶的阶段。
通过参加CNGI的项目,清华大学作为一个参加单位有很多的体会和经验教训,总的来说,通过这个项目还是取得了几方面创新型的成果,因为在IPv4方面,我们基本上都是跟随和学习,没有什么创新。在IPv6过程中,因为是一个新的技术,所以我们经过努力,和将近一百所大学合作,以及和设备制造商、运营商的合作,建成了全球最大的纯IPv6示范网。当时国际上都是作IPv4上搭建一个IPv6功能,实现双站,离了IPv4以后,他的IPv6是不能运行的,我们想未来如果就是IPv6网的话,我们为什么不一步到位,所以我们获得了成功。第二,主要采用国产设备,70%的设备是由中国制造来搭建IP主干网,这个在当时的IPv4网上还没有做到。
另外,有两项创新技术,一个是有了IPv6大的网络以后,IPv4怎么访问IPv6的资源,这个是当时摆在我们面前的一个非常重要的世界性难题。在这个方面,我们团结许多单位一块在国际标准化组织ITF的范畴之内取得了非常领先的成果,一个是隧道技术,还有一个是翻译技术,都取得了很大的进展。
另外一个,我们针对互联网安全的问题,在示范网里实现了真实原理验证技术和规模的应用,早期的IPv4的网络是不做验证的,所以今天的很多网络安全问题都产生于此。如果我们不解决这个问题的话,在未来的网络里,现在很多的安全问题将仍然存在,这个技术也在国际上处于领先地位。
通过这个项目,我们树立了在国际标准化组织方面关于技术创新和标准化的信心,有了初步的突破。我们也深深体会到互联网技术的核心技术是互联网创新的重点,需要持续支持,ITF是跟踪学习赶超和创新互联网技术的国际组织,另外,产学研协调发展也是实现互联网技术突破的一个重要形式。
在发展过程中,我们从2005年到现在将近一百个标准,第一次ITF的大会在北京召开,这是ITF将近一百届会议唯一一个在中国召开的。CNGI项目也在中国产生了广泛的影响,通过实现IPv6明显转变互联网空间的比例,国外的认识比我们高得多,我们只是觉得地址不够,用地址就行了。CNGI项目的IPv6实验网在2008年的奥运会上得到了很高的评价,也对中间取得的创新技术以及发展给予了非常肯定的评价。国家在这个之后又加快了部署IPv6的发展,2010年把IPv6下一代互联网列入国家战略性新兴产业,2011年12月国务院部署下一代互联网的发展。"十二五"国家又有了一系列文件部署IPv6的发展,现在我们"十三五"刚刚开始,前五年已经有部署。但实际上发展还是不尽人意,随着IPv4地址在全球的分配殆尽,从2013年开始,全球的IPv6网络呈现一个比较大的发展趋势。像全球的IPv6流量从2012—2015年增长了十倍,人们预计2018年IPv6流量超出IPv4。
我最近看了关于各个国家互联网总的用户中,IPv6用户的比例,很可惜,我们在前20名里没有找到中国,美国是第三名,比利时是第一名,他们都达到了30%甚至50%的用户比例,我们的邻居日本也有15%的用户是用IPv6的,印度的基础设施方面好像是落后的,但其实他们在IPv6上并不落后,有11%的用户。第52名是中国,我们只有7%的互联网用户,500万用户,运营商现在还没有开通IPv6的服务给大家。所以,这是中国的情况。各个大洲的用户统计,亚洲地区不算很高,4%点几,但我们只有0.7%,远远落后于各大洲的平均数。还好,另外一个数据让人不太灰心,我们中国拥有的IPv6地址数在已经分配出去的地址数里占据第二位,仅次于美国。
最近,IETF的IAB在今年IETF韩国会议的前一周发布了一个重要声明,希望IETF在新的RFC标准中停止要求新设备和新的扩展协议兼容IPv4,未来新协议全部在IPv6基础上进行优化。实际上就是使得IPv6的发展进入了一个快车道。
国家今年还有两个文件提到了IPv6的部署问题,一个是2016年3月的"十三五"规划,超前部署下一代互联网全面向互联网协议IPv6版过渡。2016年7月份的国家信息化发展战略纲要中指出加快下一步互联网大规模商用,国家的行为、国家的部署一直是持续的,可惜我们的落实出现了很多的问题。
到底是什么问题使我们国家的IPv6发展起个大早、赶个晚集?我觉得当时国家2003年的决策是非常正确非常及时的战略决策,另外我们也在2008年第一期取得了预定的战略目标。最近几年为什么发展缓慢?为什么落后于国际?我个人感觉有这么几个方面的原因,最近也一直在和有关专家政府部门的官员讨论这个问题。
第一个原因,我们国家在互联网技术使用上还是比较落后的,当然这个落后是由于种种原因产生的,一是互联网来我们国家比较晚。第二,技术落后,申请地址就会受限。像教育网地址非常丰富,但是国家整体上七亿网民只有三亿地址,平均两个人一个地址,在美国是一个有五个地址。所以说,技术落后使得地址短缺,地址短缺造成的应用就是用私有地址出口转换成公有地址。我们知道地址的转换非常降低网络效率,我们的互联网带宽低、延迟大、速度慢,一方面是基础投资不够,一方面是地址转换产生了很重要的阻力。这个原因养成了不用公有地址的习惯,你有IPv6对我来说无动于衷,国外一个用户要拿到运营商的服务必须有公有地址,否则不选择你的服务,在中国不一定这样,大家有时候选择少,另外也没有这个意识非要选择一个公有地址。
第二,互联网缺乏应有的国际竞争,互联网在2014年、2015年是排名最前面的提供商,谷歌、Facebook这些大量的迁移到IPv6上,我们国家的信息提供商实际上也参加了我们的项目,当时验收的时候也能访问他们的网站,但他们只有几个层次,深层次访问他们就不提供了。另外,他们也不在国际大的竞争环境下,关起门来,可以不让你用。另外,运营商和信息提供商互相之间还有抱怨,运营商说你没有信息服务,我发展的用户没有访问资源,信息服务商说你不发展用户,我发展的资源没人用,其实都是没有战略眼光。
另外一个,我们国家互联网安全监管措施成本和代价很高,在IPv6上面,整个迁移以后需要重新构建。有些搞安全的专家也认为IPv6本身有端到端加密的功能,使得我们国家的很多安全管理和监控有很多的困难。实际上互联网为什么把IPv6有了加密,IPv4反而没有?就是要让用户有安全措施,这个到底是好的还是不好的,大家自有判断。
最近几年我们知道五花八门的网络技术的出现,给什么是互联网的核心技术,什么是互联网的发展方向带来了很多的争议,使得产业和政府在决策方面就带来了很多难题。比较有代表性的就是几个,我们听到比较多的中国的IPv9,大家不要小瞧,还是有很大的空间,经常有部委的主管部门来问我们IPv9怎么回事,你要给他从头讲,学术界、产业界一般没有人问,政府官员问的很多,我觉得真是国际上看我们中国互联网的一个笑话。另外,这个Vinton Cerf说没有搞过互联网的人,想搞一个新的网络。
第二个就是未来互联网,我们知道2005年的时候美国开展了未来互联网的研究,主要是想在互联网解决重大技术挑战方面开辟一条新的途径,我觉得做基础研究的探索是无可非议的,他们在经过十年的探索之后,现在基本上这两个项目全部停了。但是它的影响力在国际上,无论是在中国、欧洲、亚太地区国家还是有影响力的,而且有一个滞后,很多人把这个捧为发展互联网,甚至明天就成为改变互联网的技术,这是非常可怕的。
另外一个,就是未来网络,未来网络的提法和未来互联网还不是一回事,是国际电联最早提出来的,国际电联在发展互联网上没有什么地位,但是他们提出了下一代网络的概念,实际上你仔细看的话,这个定义体系结构都没有成功的东西,不具体,都是虚拟的概念。但是它也会影响你的布局和发展,另外,空间的技术,很多人在探索把国际空间的飞行器连起来,但实际上他们是要有连网需求了,到了我们国家以后,自成体系,和互联网有一个转换就行了,这个连接其实不是大家希望的。我觉得各种各样的热点问题影响了互联网的很多决策。
实际上互联网在IPv6里面解决网络空间安全问题是一个非常好的机遇,我们知道最近几年安全问题越来越严重,最近几年产生的这些安全问题其实都是国家重要的基础设施受到了威胁,这个对于社会的安定和社会的进步会产生非常大的影响。像我们举的这几个例子大家都听说了,我也不用展开,这里面斯诺登事件要引起我们的高度重视,实际上是新的安全危机。早期有什么危害我们都知道,但是从斯诺登事件,我们知道很多安全的探测你是不知道的,美国公民不知道自己受到了大量的监视,同时在全球各地的网络中去探寻,去监视你,它对欧盟很多领导人的监控你也不知道,所以这是比较可怕的。现在的流量当中,我们在座的很多都是互联网工程师运营者,我们查查你的网络有多少流量与你无关,像这些问题应该引起我们的高度重视,是我们的网络安全问题的新形势。就像有一个人跟你说你们家的什么东西在什么地方,你就会问你怎么会知道?回到家赶紧检查,一发现都好好的,你会怎么想?肯定睡不着觉。
还有一个安全概念,好像我们有了一个物理隔离以后就安全了,这是这些年我国在网络安全方面的重要措施。有物理隔离确实可以降低网络安全风险,但是只要你采用了TCPIP的体系结构,只要有任何的侵入,进去畅通无阻,和公网的安全势态是一样的,所以说采用统一的互联网体系结构是没有安全的。只要你的体系结构是一样的,你用国产设备也没有用,所以这个是比较重要的。
为什么互联网有这么多安全问题?一个根本的问题,互联网是个开放的网络,但是在这么大的开放网络中,所有访问是不可信的,你的每一个分组访问,对你的源地址不验证。如果我们能解决这个问题,我相信互联网的安全等级会大大提高。
美国这些年对安全也是非常关注,发表了一系列计划和行动纲要,今年还发表了一个行动纲要,要从五方面入手解决安全问题。美国现在也深深感觉到互联网安全问题不是靠美国自己就能解决的,以前认为互联网被美国掌握,互联网到哪,他的利益可以到哪,当然现在不行了,所以他希望全球合作解决这个问题,因为恐怖分子也在利用互联网和他对抗。
我们国家最近几年也有比较大的变化,2014年成立了网信办,把网络强国作为我们国家发展互联网的战略目标,以及习总书记的419讲话,我觉得是我们国家网络安全和信息化发展的重要里程碑,讲了七方面的问题,特别谈到要尽快在核心技术上取得突破,这些对我们的信息化和网络安全工作都有非常重要的指导意义,大家可以看看里面的技术含量还是很高的。特别是10月9号又进一步提到在网络信息技术里要自主创新,把互联网核心技术、自主创新提到比较高的位置。
在IETF安全领域他在干什么,从定义上我们可以看到,安全领域实际上是一个依附于别的技术的一个技术,任何技术的安全问题如果没有这个技术的话,这个技术的安全问题也不存在,这是我们需要非常清楚的认识到的一个事情。但需要有独立的安全组织来解决共性问题和体系问题,离了这个安全技术绝对没有安全可言,如果和别的技术彻底分开去研究,基本上这个安全是靠不住的。
互联网的安全挑战是非常多的,我觉得互联网是网络空间里面的基础,我们不说这个系统安全,不说应用安全,仅仅说互联网的安全就有很多问题没有解决。像源地址不做认证的问题,路由会产生非常多的问题,DDOS攻击也是由于源地址。另外,大规模的域名劫持和假冒,在座的每一个人都有这样的经验体会,当你访问一个域名的时候,你发现突然到了你不希望去的地方,这些都是域名劫持产生的,国家安全法公布以后,是不是很多软件提供商会有所收敛,他们不应该这么做,因为这是违法的事情。另外一个就是主干网上信息路由的劫持,也是对运营商有非常大的危害,可能几个小时大的网络搞不通。
这些技术的出现最根本的解决办法有很多,但是我觉得最根本的还是高水平的人才问题,我们可以培养很多黑客去解决互联网漏洞,但是仅仅靠黑客来解决互联网的安全问题是靠不住的,我们更需要有高层次的人才去设计安全的互联网,这是我的观点,一定要两条腿走路才行。所以,国家在2015年经过一年的努力,正式批复了网络空间安全一级学科,我们国家授予网络空间安全学科的硕士和博士学位,今年1月份又在将近60个单位的大学申报当中,有29个单位获得了批准,2016年是网络空间安全硕士和博士的元年。这样一个学科对于我国提高网络安全技术水平有非常大的作用,我们分为五个学科部分,网络安全核心有三方面,计算系统安全、网络安全、应用安全,这三个是有所区别完全独立的。另外,有共性的密码权,在这三个学科里面都有表现,都有它的作用。还有一个就是体系,网络空间安全的基础等等。这几个学科方向的建议都有细节,时间关系就不一一展开了,系统安全里面有芯片的问题,有操作系统的问题。网络安全主要是通信和互联网安全问题,攻防。应用安全包括各种应用系统关键设施的安全、隐私保护。
国家对互联网的发展以及网络空间安全有非常多的战略部署,我就不一一列举了。我们在解决网络空间安全核心技术方面,有两条技术路线,一个是有病治病,承认互联网的体系结构也不做改进,找问题,解决现实问题是非常有效的。但同时我们要有新的思路,应该从基因上系统上设计更安全的问题。两条腿都不能荒废,不能把黑客变成英雄,真正做高水平网络安全系统的弄得没有地位,这也不行。以IPv6为基础,增加了路由源地址验证,增加了二维网络控制,使得这个网络更加安全、更加可信,起码所有的数据抓一个知道从哪来到哪去,谁负责,这是非常重要的,现在这个技术用于专网是非常有效的,如果在公有互联网上应用的话,需要全国运营商合作。这些技术可以支撑我们国家已经公布的未来六个重大科技计划和九个重大工程里面,像网络空间的项目,天地一体化的网络信息化工程,以及其他的工程都和网络空间安全有关。
最后,我有几个思考和建议,我个人认为,互联网是网络空间的重要基础设施,互联网体系结构是互联网核心技术,当一万个IETF标准的时候,如果我们有一千个,我们中国的形势就会发生变化。另外,网络空间安全已经成为国家重要的战略需求,掌握互联网核心技术是解决网络空间安全问题的命门,基于IPv6源地址验证的安全可信下一代互联网体系结构,我们认为IPv6下一代互联网是拓展网络空间和解决网络空间安全问题的重要发展机遇。另外,要掌握核心技术来解决安全问题。
我的报告完了,谢谢大家!