王继龙， 王 会， 安常青

(清华大学 网络科学与网络空间研究院， 北京 100084)

互联网向基于IPv6的下一代互联网演进已成为全球共识。IPv6技术与5G、物联网技术共同发展，将真正实现万物互联，随之而来的数据泄露、网络攻击等安全问题也更加突出。互联网是全球共享的重要资源和关键基础设施，任何网络安全威胁和攻击都可能在全球蔓延，所有国家都需要共同面对各种网络安全威胁。清华大学网络科学与网络空间研究院王继龙教授团队联合13个其他国家的15个研究机构和中国的7个研究机构成功申报并推进“面向IPv6的网络空间国际治理联合研发与示范”项目，针对IPv6网络空间国际治理中存在的问题进行研究，创新体系结构、突破关键技术、研发原型设备和系统、开展规模应用示范，提高网络空间国际治理能力。

一、IPv6网络空间国际治理的体系结构研究

互联网的本质是独立自治的运营商通过各种协议互联形成一个连通的网络，很多数据报文在从发送者到接收者的路径上需要经过多家运营商和多个国家。大量的IPv6 网络空间国际治理任务需要执行跨运营商甚至跨国的网络测量和取证，而当前的网络空间并不支持这些跨自治实体(运营商、国家等)的测量取证需求，只能通过复杂的线下过程实现测量需求和测量结果的交互。这可能是旷日持久的过程。因此，网络空间治理亟须建立跨实体协同的技术支撑平台。

“面向IPv6的网络空间国际治理联合研发与示范”项目组(以下简称“项目组”)创新地提出“治理网络”这一核心理念，在当前的网络空间之上构建用于协调治理任务的重叠网络，实现“以网治网”。通过该治理网络，不同国家、不同类型、不同架构的 IPv6 治理系统之间能够进行开放的互联，从而实现 IPv6 治理的设施协同、人际协同和机制协同，各实体的治理系统根据授权自动完成跨实体的治理任务需要的数据采集和数据共享。

在开放互联的同时，跨实体共享的服务和数据必须授权才能访问，保障各参与方的敏感信息安全；引入精心设计的协作与激励机制，保障参与方能从参与该治理网络中获益。从而激励各方自动积极参与，促使跨国跨域的治理网络的形成，避免国际立法或协商的复杂、冗长、低效过程。

二、IPv6网络空间国际治理的关键支撑技术研究

在治理需要的关键技术方面，互联网技术的发展给网络空间治理带来了很多技术上的挑战。项目组主要聚焦以下三个关键技术：

第一，IPv4网络中IP地址共232个，必要时可以对全网每个地址进行扫描以了解网络情况，如发现互联网中的设备基本信息、自动理解设备间的互联情况(即网络拓扑)等。IPv6 网络中IP地址高达2128个，大量地址处于闲置状态，也就是说地址空间巨大且分布非常稀疏。这种情况下，难以简单直接地对海量地址空间探测完成高效准确的主动测量，必须研究高效的活跃IP地址推断技术，有针对性地对活跃IP地址进行探测。同时，地址空间巨大也使探测开销急剧增加，如何通过高效的探针调度算法使大量探针一起协同完成探测也是需要研究的问题。

第二，除了对网络设备(地址)进行探测外，治理任务也经常需要对网络报文携带的内容信息进行分析。但IPv6网络中加密流量(如https)逐渐普及，这就需要研究加密流量识别技术；同时，隐蔽通道也使得监管方很难对其流量进行感知分析，有必要研究基于智能挖掘的加密流量隐蔽通道发现技术，结合隧道标识技术，探索各种已知、未知格式的隐蔽VPN隧道服务有效发现方法；此外，技术发展使得链路带宽快速增长，400G链路已成为现实，这要求报文内容分析技术必须能快速处理通过的所有报文，也就是高速链路流量实时分析技术。

第三，在IPv6巨大的地址空间和高速增长的带宽面前，全网节点完整记录网络行为信息无法实现，这使人们很难对网络事件进行全网追溯。因此，要针对各种特定网络行为研发支持精确追溯的全路径痕迹信息记录技术，以满足IPv6国际网间威胁溯源需求。溯源算法必须具备防重放、防猜测、安全性高、轻量级的特性。

三、IPv6网络空间国际治理的治理规则研究

在治理规则方面，网络空间国际治理问题只依靠单个国家的立法、行政和司法努力难以为继，需要跨国协作才能够有效应对，尽管已经存在一些双边或多边的跨境法律合作体制，但却因为国际合作的协调成本和执法成本等问题而无法高效解决问题。因此，亟需提出高效可行的 IPv6 网络空间国际治理创新规则体系，而国际规则的建立需要各方参与和达成广泛共识。

基于项目研发的 IPv6 国际治理技术支撑平台，项目组提出新的柔性治理规则。通过建立国际 IPv6 网络空间治理的信用体系，支持基于信用的柔性治理决策和调控机制，通过调控信用督促各实体更好地管理自己的网络、积极参与到跨域治理行动，从而实现一个更为健康的网络空间，避免目前的立法和执行困境，并兼容现有的国际规则。

四、项目团队和治理网络部署示范

互联网技术具有实验物理学特点，项目研究工作需要真实的网络数据，需要部署在真实网络环境中实验验证。同时，国际协同的网络治理必须以跨国合作研究为前提。因此，项目组努力推动 IPv6 网络空间治理技术支撑平台的跨国部署和协作测量，构建大规模 IPv6 国际治理网络，基于真实网络测量数据，协同开展以反垃圾邮件、反网络攻击、反钓鱼网站为代表的 IPv6 网络空间国际治理行动。

在网络技术领域，项目团队包含来自13个国家的研究机构。包括：英国萨里大学、德国哥廷根大学、跨欧亚信息网络合作中心 TEIN*CC、新加坡科研教育网 SingAREN、马来西亚科研教育网 MYREN、泰国科研教育网 ThaiREN、阿富汗科研教育网 AfgREN、斯里兰卡教育科研网 LEARN、尼泊尔科研教育网 NREN、巴基斯坦教育科研网 PERN、孟加拉科研教育网 BdREN、缅甸仰光计算机研究大学、柬埔寨科研教育网 CamREN。在法学相关领域，项目团队邀请马来西亚马来亚大学法学院、泰国皇太后大学法学院参与，他们与清华大学法学院一起共同构成项目组 IPv6 互联网国际治理规则方面的研究团队。

这些国家均为跨欧亚信息网 TEIN 合作国家，但各个国家的 IPv6 网络发达程度不同，新加坡科研教育网SingAREN拥有 100Gbps 高速链路，阿富汗科研教育网AfgREN则还在艰难建设中，各合作单位的网络设备、链路、管理模式、用户行为等都存在很大的差别，而且这些网络都在持续发展，为项目的需求调研、试验验证和示范应用等提供了更加真实的测试和部署环境。

五、结语

目前各界对面向 IPv6 的网络空间国际治理的机理和技术以及 IPv6 网络空间国际治理体系的认识还较为初步。项目组以发展出支持跨域、跨国协同的治理技术及平台为目的，在此基础上尝试建立基于信用的 IPv6 网络空间国际治理柔性规则体系，将治理问题体现为网络空间信用，推动建立 IPv6 网络空间国际治理的国际信用体系。