邬贺铨：互联网的演进和安全挑战

      9月23日，由中国互联网协会、中国信息安全测评中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)指导，360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行，中国互联网协会理事长、中国工程院院士邬贺铨发表题为《互联网的演进和安全挑战》演讲。

　　以下为邬贺铨演讲全文：

　　尊敬的各位领导，各位嘉宾早上好！很高兴参加2013ISC中国互联网安全大会，ISC是中国互联网安全大会的简称，也是中国互联网协会的简称，中国互联网协会非常关注信息安全，因此，我很高兴在这里来参加这个会，不过我本人不是信息安全的专家，我会从网络技术发展和安全影响、挑战谈一下我的看法。

　　互联网的发展经历了40年，从70年代的APNET(音)到90年代的中国互联网，到全球互联网，到下一代互联网，中国互联网从P2P WEB2.0，互联网的地质结构从IPv4到IPv6，到微博、博客可以在上面进行信息交互的平台，互联网的业务早年是数据，后来发展到话音、数据，从有线接入、宽带接入，从拨号接入到永远在线，40年来互联网发生了翻天覆地的变化，我们可看看，互联网设计之初以人为使用者，主机为中心，固定使用的，因为网络整个是个黑匣子，当时在内部使用的，应该说业务流可信任的，美国国防部的APNET和商务部有关的，现在和互联网之初设定的假定已经完全不一样，互联网有可扩展性、可移动性、移动性、泛载性、异构性的挑战，互联网也发生了变化，互联网的体系命名到地址功能，转发与控制功能过去是合一的，将来可能是分离的，内容传输模式会从服务器的关系到P2P以及服务器到服务器，IP层的功能会从路由交换到承载。

　　这是2012年网络安全事件，第三层、第四层的安全事件占到75%，属于应用层的安全事件占到1/4，可以说每个程度都可能会发生互联网信息安全的问题。现在大家都在谈论下一代互联网或未来网络，我们希望下一代互联网、未来网络的特征，第一个特征就是安全的，当然希望它能支持移动性的普适计算，能跨越物理空间和自址联网，我们希望下一代互联网是安全、可信、可用的，下一代互联网应该是可信的互联网，是移动的互联网，能支持物 联王的互联网和支持泛载网络应用的互联网。

　　我们现在面临地址的不足，IPv6不得不选择，数量多到地球上每一粒沙子都可以有一个地址，IPv6还可以采用IPsig，使得IP包通信加密的好处，所以IPv6可以支持IP层可跟踪性和加密层的协议应用，但IPSIG(音)的应用也使我们的内容过滤，监管带来困难，而且IPv6的使用不是一天一夜之间就从IPv4转到IPv6，需要很长时间的兼容共存，有各种各样互通方式，翻译的，双站的，隧道的，每一种互通的问题都给信息安全带来了新的课题和新的挑战。即使用了IPSIG也不见得IPv6就解决问题了。IPv6的设想性是美好的，但端点的安全和协议的质量是大问题，早在IPv6之前就有过很多甚至比IPv6茂盛更安全的一些协议应用，都采用了加密的办法，他们相对IPv6来讲并不比IPv6差，但效果上仍然面临安全的攻击和挑战。在有些使用了IPv6的场合已经有报告发生了安全事故，像智能电网，美国联邦航空管理局的下一代空管系统。IPv6的设计是在十多年以前，发生在互联网主要问题暴露之前。IPv6的设施目前还不如IPv4成熟，而且IPv6在利用具有连接共享的漫游PC作为无线通信时，IPv6还会带来一些新的安全挑战。当然我说的IPv6有一些安全问题，但它并不会比IPv4差，所以从这个意义上，由于中国没有IPv4地址，因此过渡到IPv6是个必然的选择。但IPv6的安全问题仍然需要加以特别重视。

　　DNS是我们上网所必须要遇到的，但DNS本身仍然存在着可能很多安全漏洞，服务器数据受到病毒破坏，而用户不可能知道DNS的应答来源和数据是不是正确的。在DNS上注册获取他们IP地址反向映射，使用户进入他们假冒的网站，带来DNS安全性的漏洞，所以对DNS来讲现在都提倡要使用DNSsec，这是域名系统安全协议，它的目标对DNS进行数字签名，提供信息的完整性，会使用到加密的算法。当然DNSsec也会带来一些安全挑战，因为签发目前是由目录服务管理实体来进行的，根区域目前还在美国ICAN来管理，所有到CN的域名解释和安全域名认证不掌握在我们手上。如果一个私钥被破坏了，目前没有能力它是不是错误的密钥，也是值得我们安全领域专家来研究的问题，互联网未来的发展。

　　互联网要支持多种多样的业务，有分组交换、链路交换、多媒体，而物理层是个统一的设备，我们现在采用分片的、虚拟化的、可编程的方式，使物理层按照不同的业务需求，逻辑上分为不同的区域，物理层上是一个网络，逻辑上根据业务不同组成了不同网络，通过这种方式实现网络虚拟化，可以共享物理网的设施，但逻辑上是隔离的，是多个异构的虚拟网能共存在一个基础设施上。这是下一代互联网的基础，现在大家都在谈论下一代互联网，下一代互联网有两条路线，一条是演进型的路线，基本在现有网络做一个大的改进，但是保持后向兼容，已经提出了一些身份和位置分离、命名数据网、内容中心网。另一条路线是希望重新设计一个互联网，和原有互联网不兼容，也提出一些技术方案，刚才提到的分片虚拟化可编程。两条路线的差别是要不要和互联网兼容，两条路线也不完全对立，也是互相竞争可以互相借鉴的。这里提到的两条路线的技术也是可以互相利用的。

　　当然，后IP本身是革命性路线的一种，但绝不是全部，究竟革命性路线和演进型路线哪一条和互联网更快更近，我们希望下一代互联网是安全、可信的、移动的，可扩展的，可管理的，刚才说到要支持我们分片虚拟可编程，现在比较热的一个词是软件定义网SDN，具有节点控制功能，业务控制功能，是和在一起的，传统路由器根据IP地址移居最简单的优先路径算法来算，不考虑全局的优化，但是现在随着大数据的出现，我们可以知道互联网流量突发性在时间、空间上都有很多不确定性，因此，一个刚性的路由网络它很难支持未来互联网的发展，所以现在提出软件定义网，把传统路由器的节点控制功能脱出来变成一个网络合成操作系统，把应用控制功能抽上来，应用层变成比较纯的传送与转发功能，通过网络操作系统的集中控制，我们可以根据业务需要和流量突发情况来这个路由器，实现全网优化，这种方式叫软件定义网，它能适应大数据时代的是否数据流量动态性。

　　但网络控制系统和网络控制器会成为将来信息安全被攻击的首要目标，因此需要把原来防护路由器本身的安全现在要提升到网络安全系统和网络控制器，要加强它的安全功能。另外，过去我们都说什么东西都要在IP 层做交换，实际上随着网络容量越来越大，IP每个端口要达到1000W，光层面上做，同样容量，每个端口只需要25W，而且干线网上，新节点上，80%—90%的业务流并不需要落地，因此并不都需要在IP层上交换。因此，能在光层上做的交换决不在电层上讲，能在LBS层上做也不在IP层上做，通过这样的方式实现绿色化的通信网络。这样的变化业带来安全挑战。与路由器相比，光层不容易受攻击，但光层和电层交换需要引进信令，信令系统也就会带来新的安全问题。在移动互联网应用时，当我们从一个端走到另一端位置变了，身份没有变，因此，未来的互联网我们希望分离身份与位置，位置在网络层的表示，身份在传送层来表示，甚至在应用层来表示。这样的好处可以避免我们通过卫士找到身份，或者通过身份能找到我们的位置，这就介绍了根据位置窃取身份的风险。但这对用户的追随和对网络安全的溯源难度也加大了，坏人不容易找到你，你也不容易找到坏人了。

　　过去我们国家有三大直连节点北京、上海之广州，同一个省里电信和联通用户互通甚至要到北京来互通，所以对通信来讲，用户的感觉并不好，所以工信部现在提出来，要增加我们国家骨干网的互联直通结点，从3个扩大到8个，骨干网布局的多中心会改进跨网的互通性能，也分散了交换中心被攻击的风险，从这个意义上说，对信息网络安全是有好处的。

　　随着大数据发展，驱动网络扁平化，省与省之间的网基本是直连，对网络的安全也是有好处的，增加了迂回路由。城域网的体系也发生了变化，早年我们都在讲大终端到大主机，很长一段时间很时髦的是客户服务器，所有客户都到服务器上取东西，一个热门的节目所有客户都在服务器上取，服务器需要连续不断重复发送很多次，服务器的端口就是个瓶颈，因此，随着终端能力提高，我们就就出现P2P，各自终端只需要取各自内容很小一部分就可以交换。这个体系也用了很长一段时间，现在我们可能需要换到服务器到服务器的体系，大数据时代，数据存储在大量几何分布的各类服务器之中，用户一个搜索请求、查询可能涉及到多个服务器，服务器之间的信息交换远多于客户到服务器之间的信息交换。

　　最近五年，我们国家节路网的贷款流量增长了6倍，而城域网流量增长了22倍，这足以说明我们城域网服务器与服务其之间的流量交换大大上升，网络体系需要从客户到服务器，以及P2P的体系过渡到S2S，实际S2S也是C2C，是客户到云的关系。因此，把过去一般的信息安全现在上升到云计算的安全里来考虑。随着视频业务的发展，ICP供应商加大了内容分布力度，节点尽可能靠近用户，用户通过DNS查阅，DNS根据用户的IP地址判断用户所希望哪一个网站，哪一个服务器来给用户提供信息，通过这样的方式，用户可以在靠近的服务器里取到他所需要的网站信息。当然对于非视频节目，我们还可以通过内容与流量管理平台来优化。CDN出现带来了安全的好处，当出现某一个网站站点不可用的时候，传统没用CDN情况下，这个用户访问就分发不了，在CDN上，网民访问请求可以被CDN指定健康网络系统响应，不会造成服务的终端。CDN对相当多我们的数据都进行了实时悲愤，增加了内容提供方的内容安全信息，所以内容分配网对信息安全是有好处的。

　　现在我们在谈信源中心与数据中心的分离。新建的数据中心里，2015年57%的可能都是云数据中心，也说到2014年全球数据中心处理能力一般都放到云计算上了，而云计算我们希望能放在能源供应和气候条件比较好的地方，在我们国家基本是西北或西南一些地方，而这些地方过去并不是信息中心的所在地，我们信源中心过去基本集中在东部，现在云计算的出现会使我们的网络布局从用户以信源为中心向能源为中心的转变，云会改变互联网的流量和流向。

　　云计算能力的分布化、虚拟化、服务化是云计算的技术基础，但安全性、方便性是云计算广泛应用的制约因素，云计算平台成为攻击的集中目标，而且云计算平台一旦出现故障会使大规模的服务瘫痪，所以我们也要印证虚拟机的方法隔离在云里多种客户之间的身份，还有加密和密钥管理等等。现在都在谈论大数据，大数据挖掘也有很多安全性的问题，究竟谁在运行特定的大数据请求，运行大数据请求的人，他们通常都在大数据里用Mapledus(音)，哪些在这里面工作，这些工作是不是揭露数据所个程序所列的内容，有没有超出允许的容限，有没有操作异常的文件数，这都涉及大数据管理文化。既要保证数据在允许范围内开放共享，也要保护企业和个人的隐私。移动通信也发生了变化，过去移动通信话音过去走电路交换，现在走到全IP过去移动话音相对是比较安全的，可是在未来纯IP移动网了，移动话音也会容易遭到信息安全的威胁。移动网过去我们是多等级的，经过基站控制器到网关，现在为了提高速率我们简化了，从增强型基站直接到交换核心EPC，当然带来了简化的层次，但也带来了安全危险。过去需要四步才能走到网络上，现在一步就走到网络上了，所以对网络的安全防护要求也比过去高了。当然，现在的移动网络和各种各样的协作通信，异构网络等方式对我们整个移动通信都带来了多种移动安全的挑战。

　　移动网络体系，我们知道本地操作系统经过各种内核，Web运行环境，浏览器框架，通过网络和云平台，走到Web的应用，有重应用、轻应用等等，这里面涉及到的环节非常多，每一个环节都可能带来网络和信息安全问题。移动互联网的安全，我们实际上是包括从最左边的认证，身份的识别，接入控制到网络安全，到攻击防护，到数据保护，到应用的安全，以及管理安全，也涉及到多个环节。移动互联网的安全问题，甚至比桌面互联网更严重。因为移动互联网的操作系统现在还是多元的，对我们国家来说，我们的操作系统应该说现在还都不能实现自主可控，移动针对智能手机的病毒1/3是木马，现在有5万多种，移动终端的设备多样性比桌面多得多，管理起来比较难，移动终端是小型的，功耗也不大，因此它没办法像PC那样内置功能完善的防病毒软件。

　　移动操作系统尽管像Andriod本身已经考虑了多种安全因素，用签名系统强制用户应用来确认身份，但它的证书并不是Google所要求的，黑客仍然可以无需发放Google的证明。所以技术上采取措施以外，在使用习惯上也要进行很多改进，要着手移动应用尝试超越许可的运行，在接入控制时，我们现在移动操作系统往往点桌面上的图表，并没有输入它真正的网址，而这个图标里对应的网址也可能被篡改了，所以在接入的时候最好还是使用ID和资源接入许可，每个应用都应该以它创作的身份签名，加密密码数据，防止终端丢了之后数据失窃。每个应用都应该维持在他自己的虚拟机里。

　　企业网的安全值得重视。2012年农业和其他领域受到信息安全攻击占到工业部门的10%，美国国土电力系统的Syber报告从2009年的3起到2011年5起。美国2012年4月，黑客入侵智能电表并修改电表数据。

　　随着互联网应用越来越深入，特别是智能终端多样性、私密性，信息安全的挑战与日俱增，安全与发展相伴，互联网的发展给信息安全提出了很多新命题，而信息安全的技术进展又开拓了新的应用，信息安全的攻防总是魔高一尺，道高一丈，永远没有止境，只有创新是永恒的解决方法。