自主创新之四：基于真实源地址认证，构建可信网络

　　互联网在给各行业带来天翻地覆的变化的同时，也带来了巨大的挑战，这就是网络安全问题。它几乎成为互联网永恒的话题。

　　在分析研究第一代互联网的安全问题时，最大的问题是寻址结构问题。即现在的互联网在处理一条信息时，不管来源，只管送到哪里，这就相当于信上没有从哪里来的地址信息，只有送达地点信息。再加上没有真实地址，难以寻找安全攻击的源头，造成了安全漏洞，形成最大安全问题，所有安全问题由此而产生。

　　要解决这一问题，一是需要充足的IP地址，二是需要解决认证等技术。IPv6已经解决了IP地址的问题，剩下的就是源地址认证问题。正是基于这一分析，在CNGI-CERNET2的研究建设上提出了必须从技术上保证网络寻址结构的设计，以创建安全可信网络。

　　源地址网络寻址体系的建立，将彻底改变互联网不可信的形象，对于提高互联网的管理水平，将产生颠覆性变化。这一在新一代互联网的创新思路，已经引起了国际互联网界的重视。2008年7月底，爱尔兰都柏林，第72届IETF国际互联网工作组会议新成立一个工作组——SAVI(“真实源地址”工作组)，这是由中国人推动成立的IETF工作组。

　　SAVI工作组以接入子网内的源地址验证为起点，系统地完成源地址验证相关机制的标准化问题。研究和实现真实地址寻址结构，可以为上层安全服务提供一个可信任的网络基础设施，对于构建可信任的下一代互联网有着重要的意义。这些可信任应用可以解决传统电子邮件系统中邮件地址的真实性问题;解决垃圾邮件的追查机制，杜绝垃圾邮件和邮件病毒;解决传统BBS系统中用户行为责任追溯和用户隐私保护之间的矛盾问题;解决SIP通信系统在可信网络的环境中的安全问题等。

　　与此同时公布的RFC5210正是这一创新思想的集中体现，这个文档提出了一个真实源地址认证寻址结构。通过这一结构，可以直接解决一些伪造源地址的DDoS攻击，比如Reflection攻击等;可以使得互联网中的流量更加容易追踪，使得设计安全机制和网络管理更加容易;可以实现基于源地址的计费、管理和测量。这也是中国大陆第一个非信息类的RFC。

　　在下一代互联网上能赢得机会，赢得尊重，最根本的原因是，我们建设下一代互联网就是一个自主创新的过程，是一个彻底的发明与创造，而不像第一代互联网仅仅是跟进。因为是新东西，没有成熟的模式可照抄，照搬，必须自己去探索。我们虽然起步晚了一点，但我们没有再一味跟着美国跑，而是用自己的脑子去发现问题，去提出解决的办法。领先的美国，惰性促使其并不是积极地创新，而这正是我们后进者的优势。我们用创新赢得了时间，赢得了机会，从而赢得了尊重。