互联网
体系的思纖讨
胳梦宇
国家计算机网络应急技术处理协调中心云南分中心
摘要:随着信息技术的变革创新,数字经济快速发展,网络空间已成为支撑社会运行、服务百姓生活的重要载体,网络安全及信息安全问题日益凸显,现有网络实名制体系已无法满足国家网络空间治理的要求。本文旨 在探讨通过实名分配IPv6地址的方式实现“一人一址”的网络实名制,解决丨Pv4地址资源匮乏导致的各 类问题,同时结合实际应用,研究相应体系如何服务于政府部门,提高网络空间治理水平及能力。 关键词:IPv6;网络实名制;地址分配
0引言
网络实名制以用户真实姓名为约束,是政府开展互联网 监管和治理的基础,是对非法行为追溯打击的依据,是引导 网民加强自律、规范上网行为的重要手段。目前,我国网络实名制总体依托于电信业务登记实名制,缺乏统一的网络身 份管理及验证机制。现有模式在监管部门实际工作中已逐渐暴露出各类问题,协同流程不畅通、信息査询有效性不足、应急处置响应效率低,第三方非必要采集个人信息乱象突出。 本文主要讨论通过实名制IP地址分配的方式构建更为完善的网络实名制体系的思路及可行性。需要说明的是,文中 讨论的“一人一址”概念意在突出IP地址实名分配后带有明 确的治向性,而非自然人与IP地址严格的一一对应关系。
1现有网络实名制体系无法满足国家网 络空间治理的要求
1.1广域网地址严重匮乏,监管及溯源成本高
1.1.1NAT的大设使用味致IPv4地址!a现出匿名f t特征
中国互联网络信息中心发布的第45次互联网统计报告显 示,截至2020年3月,我国网民规模达到9.04亿,而截至2019年底,我国分配IPv4地址总量仅为3.87亿个,可用资源 严重匮乏。为解决IPv4地址不足的问题,电信运营企业大量 采用NAT (网络地址转换)技术引人私有地址,造成网络结构中存在多
级地址转换,加之地址动态分配和代理服务器的存在,导致用于溯源用户的信息不够完整,即便是地址分配 者也无法及时准确掌握使用者信息,IPv4地址逐渐呈现出匿名性的特征。
1.1.2监荇部NI■办查处置工作的沟通成本A
虽然NAT技术也提供了基于IP地址、时间戳及端口信息 的溯源机制,但其准确性及可追溯期完全依赖于日志留存时间和用户登记信息的真实性、完整性。同时因涉及个人信息及上网日志査询,运营企业内部一般设有严格的分区域分级别的审批流程及数据管理要求,内部跨部门区域间以及外部监管部门间均需要沟通和协调,但各方缺乏集中协同的平台,整个溯源过程需要消耗大量人力和时间成本。
1.2现有上网实名登记模式存在_定的局限性
现有上网实名制以电信业务实名制为基础,由于存量用 户包括渠道商养卡体量庞大,现场核验成本较高,部分用户 在早期采用短信或电子渠道实名制补录方式,不可避免存在错误信息和冒用他人身份证进行登记的情况,导致录人身份与实际使用人的关联关系不可靠,存在“实名不实人”的情况。目前合法可信的实名查询接口相对昂贵,且对授权访问行业和范围有严格限制,部分应用服务商无法核实用户注册的真实姓名是否与登记姓名一致,鉴別仿冒身份存在困难。 丨.3第三方参与收集身份认证信息増加数据安全风险点
国家网信办在2016年发布的《移动互联网应用程序信息服务管理规定〉>0月确要求服务方对App注册用户进行实名认证。由于缺乏官方统一的认证接口或凭据,企业以此为由自行收集并存储大量用户个人信息,包括身份认证信息及登录凭据。由于第三方安全防护及管理水平参差不齐,监管部门无法将监 测能力完全覆盖,每一个收集方都可能成为新的风险点,一
I2021.0265全国身份证验证系统
互联网
旦数据得不到有效保护被黑客窃取,甚至是被内部人员贩卖,都将造成严重后果。
2基于IPv6技术构建一人一址网络实名 制体系的思路
2.1建设有唯一性的官方网络身份管理平台
网络身份管理是将真实用户映射至网络空间,提供可信服务、开展行为监管的基础,是国家网络空间综合治理能力的 关键手段。经研究分析国内外网络身份管理模式及经验,结 合国情,我国应将网络身份管理公共服务化,确保唯一性和权威性,并将其作为实名分配IPv6地址的基础和关联验证项。
以获利为目的的第三方机构在需要长期运作的网络身份管理体系中并不适合担任身份提供者及保管者
的角,从长 远来看,网络身份管理公共服务化是社会发展的必然需求,应由政府主导对技术标准及解决方案进行评估,并作为管理主体建立统一、长期、面向社会免费开放的网络身份管理体系。网络身份管理平台的工作流程可基于传统P K L1(公钥基础设施)模式,用户发起注册或申请认证的请求直接调用平台服务接n,在使用平台公钥进行加密后,由认证的第三方通过业务接口发起认证请求并获取结果,用户无需在第三方录人和保存任何敏感信息。中科院在2010年提出构建层次化的IPv6实 名地址空间,以解决实名上网中的身份标识问题,也是基于 IP地址分配体系建立地址资源PKI对实名地址进行分配、管 理和认证,实验结果证明相应机制能完成实名通信和隐私保护的设计目标。
政府作为认证信息采集和网络身份提供者,一方面可充分利用行政手段和渠道优势开展实名信息采集核验和政策引导宣传,确保基础数据真实可信;同时平台只接受加密验证请求并只返回比对结果,仅允许第三方发起验证请求或进行二次授权,减少风险点和暴露面,提高数据安全性;另一方面,通过整合资源,提供官方认证的可信数字身份,统一为末端用户及行业参与者提供全生命周期及全行业覆盖的网络身份管理服务。通过推行实名身份认证的普遍服务,可推动全量应用服务接人验证,在免除中小企业认证成本及降低数据安全风险的同时,扩大监管覆盖范围,以技术手段支撑应用服务实名制注册要求的落地。
2.2实名分配IPv6地址
基于官方统一的网络身份管理体系,可提高实名认证信息的真实性,降低第三方机构参与个人信息收集带来的数据安全风险,但仍存在除原始验证信息外缺乏凭证或关联项的问题,需结合IP地址实名制分配,以上网实名和业务实名信息双向关联,提高对冒用身份用户的识别能力,支撑监管部 门开展精准化的互联网治理。
利用IPv6地址资源及技术特点构建有序、安全及可信网 络一直以来是行业研究的重点方向,清华大学吴建平教授团队提出的真实IPv6源地址验证体系结构(SAVA ),以轻权、松耦合、多重防御和支持增量部署为设计原则,对互联网中 转发分组的源地址进行验证,以确保每一个转发分组的IP源 地址的真实性,可以从底层结构上提升互联网的安全性和可信任性,是可信任下一代互联网的重要技术基础。2017年,邬贺铨院士在接受采访时表示,IPv6时代将能实现真正的网络实名制,未来1P地址会采用类似电话号码采取既定规律的分配形式,以便定位用户。
2.2.1 IPv6特竹:满足实名制分W耑求
IP地址实名制意味着每一家电信运营企业需要向每一个自然人至少分配1个IP地址,IPv6的海量地址资源是实现实 名制分配的基础。
除地址数量外,IPv6相比IPv4无论在报文扩展、移动性、安全性,还是路由效率及配置部署难度上,都有显著的优势。在单一层次的用户分配层面,固网用户使用场景相对简单,电信运营企业可直接向
申请接人的宽带账号及关联的物理链路分配固定IP地址。移动用户跨区域使用场景中,IPv6允许 用户在不使用外地代理的情况下,将家乡地址保留在报文中,利用自动配置或提前固定分配的转交地址在外地链路进行通信。运营企业可将用户的IP地址与已认证SIM卡识别特征(如 序列号及1MSI码)或终端画像关联(如IMEI号及MAC地址),在延续运营企业归属地接人方式的基础上确保实名分配IP地 址在全流程中可用、可追溯。
在互联网多层次的路由和寻址结构层面,基于SAVA体系 通过在接入子网、自治系统内及自治系统间构建源地址路由、交换、转发、验证协议或相关规则,可确保带有真实IPv6源地 址的分组数据不丢失,无法伪造,最终指向实名关联用户。实 际应用场景中,由于互联网与实验网的管理者、参与角和用 户结构有本质区别,不能简单套用原有模式,可将单一运营商 内部省网及州市城域网整体视为第一级自治系统进行管理,要 求单位用户内部按照第二级自治系统进行管理,并对内部个人 用户应用接人子网相关验证机制。第一级自治系统内部和第二 级自治系统之间可应用自治系统间相关验证机制,其中单一运 营商可通过管理手段要求各省有策略地配置BGP(边界网关协 议)路由,通过省间直接互联的形式降低建设及运维成本。
2.2.2规划设汁IP地址分配策略
使用无状态自动配置方式生成的地址具有一定的生存周
66 2021.02I V t^lt
期,并会根据设备变更和网络环境改变而变化,不便于统一 管理,为满足管理需求,设计合理高效的IPv6地址分配方式 是丨P实名制的最重要的前置工作。
IPv6实名制地址分配策略目前有以下三种设计思路:
-是电信运营企业根据业务需求提前划分IP地址块,确 定区域地址池,通过DHCPV6服务进行首次使用时的自动分配后,再使用本地数据库记录映射固化至实名用户属性,持 续更新和维护IP地址分配状态。这种方法实现简单、易于部署,但对IPv6地址规划和分配有较高要求。
二是根据用户身份证号进行不可逆运算,生成唯一的散列值作为丨P地址主机号的主要组成部分。这种方法可将身份 证号和实名制IP地址建立关联,实现在不同运营企业、不同 地区的同一用户的IP主要辨识部分的信息完全一致,并可实 现提前分配、按需使用,降低管理成本,但对算法本身的设计有一定要求,且在计算中会丢失身份证原有的地区特征信息,1P分配和实际接人区域关联性较低,无法进行路由聚合。
三是按照类似身份证编码的方式,由主管单位统一以网 络层级、运营商、省市、区县、局点、用户类型、用户、主 机的层级结构设计框架,分配码位。这种方法最为直观,地 址规律性强,同一用户和区域内用户体使用相邻IP,利于 路由聚合及统一管理,是可行性较高的分配策略
2.2.3建设集中化的管f l体系及能力
大量实名制IP地址分配后,除SAVA本身所需构建的网 络设备及转发信息数据库能力外,一人一址的映射关系需要依 赖数据库集及各类前端应用解决方案进行支撑和管理,客户 侧将新增相关业务流程,涉及IP地址管理相关系统的规模及复杂度将明显上升,为各方参与者提出了更高的管理要求。
从电信运营企业的角度,需要统建IP地址信息管理及服 务平台,对现有核心网及接人网相关网元进行优化改造,明 确地址新增、变更、注销、回收、审核的T.作机制及前端业务操作流程,提前预留溯源相关系统接口。同时应明确相关制度规范,识别关键资产,集中开展内网安全风险检测、安 全态势感知、数据使用合规性监测和数据安全审计工作。
从监管部门的角度,需要统筹建设溯源管理协同平台和敏感数据共享机制,明确主要管理方,并以信息系统同化和整合行政审批及信息流转流程,充分开展跨部门协作,开展 基于工单任务制的溯源查证工作,降低沟通成本,提高处置效率,以有效打击涉网违法犯罪活动。同时,行业主管单位应介人运营企业地址信息管理及服务平台管理.明确数据保护及日志留存要求,定期开展检查。3利用一人一址网络实名制推进网络空 间治理
3.1精准化治网管网,构建良好的网络生态
通过建设网络身份管理平台并开展IP地址实名制分配,可以将治理手段精确落实到个人。一方面可强化实名制的约束效果,清理黑卡,提高冒用成本,同时依托快速准确的溯源模式,加强打击涉网犯罪的力度及处置效率;另一方面,区别于传统的“一刀切”模式,为监管部门建设精准化的管控手段提供了技术基础,实现从行为管控到人管控的变革,基于网络实名提供差异化服务,推动内容限制、年龄分级等制度落地,构建更为自由、开放和健康的网络行业生态。
3.2构建国家级大数据公共安全应急体系
新冠肺炎疫情期间,大数据及IT辅助手段的广泛应用有效支撑了联防联控工作,但由于各商业系统、各区域及各行业主管单位使用身份凭证信息存在差异,日志数据没有互通 渠道,通过技术手段完整还原一段时间特定体的行为轨迹和关联人信息存在较大困难,基层抗疫单位在流调及密接追踪上需耗费大量的人力和时间。全网唯一且便于追溯的实名网络身份标识有助于建立全国性大数据公共安全事件应急响应体系,通过制定严格的激活条件和执行流程,统一标准及接口要求,可搭建在特殊公共安全事件应急响应时期整合跨行业跨区域的敏感数据采集、共享和分析能力。
3.3推动IPv6技术规模应用
IPv6协议已发布近22年,技术标准体系趋于完善,主流 终端设备已提供支持,但一直以来在我国都未能得到充分普及和规模应用。究其根本,新兴技术成熟催生应用发展,再 通过杀手级应用成功挖掘商
业价值,实现规模商用的传统规律不适用于此类支撑基础服务的底层关键技术。运营企业及应用服务提供商并不能从规模部署IPv6中看到业务增长点或 收益点,甚至需要在两种协议并行兼容上投人更高成本,相 较于其他业务,一般用户的使用体验不会因为协议升级而有明显差异,业务两端需求均不迫切。惟有基于国家网络空间治理需要,以建立政府管理手段为目标,才能反向推动此类技术全面部署,形成普遍服务能力后,再基于其技术特征和优势,打造商业生态,创新业务模式。
4结束语
建设统一网络身份管理平台,发放可信数据身份,并利 用丨Pv6相关技术实现IP地址实名制分配,从而完善上网实名 制体系,能有效提高实名信息真实性,促进网民自律,提升
(下转第73页)
I2021.0267
图9机器视角检测系统
技术重构实现仓库实时监控,智能仓储管理系统基于5G的实 时高精度定位技术+3D建模技术搭建,实现仓储关键物资的 安全管理和追踪=通过智能仓储管理系统帮助仓储工作人员实现仓储关键物资的在线管理.保障物资安全,为物资安置 和管理提供直观的决策依据。
智能仓储管理系统功能包括可视化平台、基础资料维护、物料定位器绑定、出入库管理、库存査询、库存超期提醒、库存报表、权限和账户管理。通过可视化平台直观展示关键物资所处的库区和位置,直观展示库区和物料的关键信息,实时追踪物资的静态和动态位置:
3.6.5 AR远程_
采用基于增强现实(AR)协同装配方法,利用5G网络 将工人看到的场景直接传递给后台专家,专家通过视频、语音、标记等交互手段对工人进行直观指导3
4结束语
徐工集团基于5G的创新应用,提高了生产效率、保障了生产安全,也提升了企业的影响力,目前徐工集团已陆续在平台上增加了其他应用近二十个,而且项目得到政府有关部门的高度认可,相关省市领导也多次来企业参观。
随着5G的大规模商用,通过5G和MEC的结合,可以 为企业提供本地化、低时延的边缘应用,这些创新应用场景融 合了 5G、云计算、大数据、人工智能、物联网等技术,不但 满足企业生产管理中应用数字化、智能化升级的需求,而且具 备低时延、降传输、大带宽、高安全的特性,实现了计算边缘化、应用本地化、数据的安全化,为企业的数字化转型提供了新的 发展方向。本文主要分析了 5CH工业互联网平台的组网部署,希望能对基于5G的企业工业互联网平台搭建有一定的帮助。
(收稿日期:2020-08-02;技术审稿:周倩;
责任编辑:韩菁菁)
ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo (上接第67页)
监管和溯源工作效率,加强对涉网犯罪行为的打击力度,同时 降低第三方信息数据安全风险,有助于国家网络空间治理水平 的提升,并可反向推动关键基础技术的规模部署。当前推行“一 人一址”网络实名制的时机与基础技术已趋于成熟,可行性 高,但由于涉及跨区域跨行业跨部门的T.作协调及资源整合,其业务及数据处理流程、政策性风险、服务性能、安全保障及管理要求等工作仍需进一步研究。
(收稿日期:2020-12-05;技术审稿:李忠超;
责任编辑:赵明亮)
v t^i t|2021.02
73
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议