近日，中国工程院院士邬贺铨在2023西湖论剑·数字安全大会主论坛发表了主题演讲。他表示，随着数据上升为重要的生产要素，跨境数据流动的安全管理面临巨大挑战。通过IPv6可以提升数据安全能力，支撑跨境数据流动的有效管理，护航数据安全流动。

IPv6主导期的趋势

邬贺铨认为，IPv6主导期主要呈现三个趋势：第一，从IPv4向IPv6的过渡在加速，APNIC（亚太互联网络信息中心）统计到2023年3月全球IPv6活跃用户数已占网民数超35%，中国已近70%；第二，从IPv4/IPv6双栈向IPv6 only即单栈发展，纯IPv6向IPv6过渡更彻底且使网络更简单；第三，IPv6向IPv6+发展,利用扩展报头增加了应用感知APN6、随流检测iFIT、分段选路SRv6、新型组播BIER、确定性网络DIP、业务链SFC等能力，进行数据流动的有效管理。

IPv6+的核心技术能力

在会议上，邬贺铨深入介绍了IPv6+的核心技术能力。他指出，APN6（应用感知网）可明示数据流属性，为网络针对性提供满足QoS（服务质量）的信道提供指示。APN6还可以包含更多的应用信息，例如区分服务、分层服务质量、网络切片、确定性网络、业务功能链等。更重要的还可嵌入数据流分类标志（包括敏感性），支撑对数据路由的管理。邬贺铨指出，互联网路由的随机性使得源与宿都在境内的数据也有绕道到境外的风险，且同一业务流的前后IP包可选择不同的路径，带来数据流动管理的难题。iFIT（随流检测）可实现路径还原与性能监测，有助于发现和防止境内数据绕道出境，追踪来访或调用数据是否合规，还可以作为5G核心网用户面功能UPF分流数据的审计。此外，SRv6（分段选路）可根据数据流动管理与应用类型提供专线产品和网络切片，有效提升对数据流感知与管控能力。邬贺铨认为，随着企业数字化转型的深入，大量应用部署在云端，需要一线快速上云和灵活多云访问。IPv6数据专线通过E2E SRv6 + EVPN 统一承载，降低网络复杂度，解耦业务和网络连接，实现业务的快速发放。以SRv6承载L2/L3 VPN业务可以实现业务软隔离、业务与连接解耦、满足不同业务QoS要求、专线路由可管可控可溯源和业务的SLA随流监控。

IPv6保障数据全生命周期的安全

在跨境数据流动场景下，境内外网络的所有者与运营者不同，很难要求境内与境外网络通过控制面互通，境内数据流转同样存在运营商与数据中心运营者控制面互通的难题。IPv6通过对地址的开发，进一步发挥数据面互通异构网络的作用，避免了控制面的复杂性和不可操作性。而IPv6在数据面网络层感知数据和实施路由，略微增加数据面复杂性但大为简化了控制面。据悉，基于IPv6数据流管理能力已经在5G+工业互联网场景得到广泛应用。邬贺铨表示，除了数据传输过程的安全，在数据全生命周期都需要安全，特别是在数据存储和应用环节，常常需要进行跨企业的数据互通，就需要利用多方计算技术对数据进行同态加密，实现数据可用不可见，通过多方面努力构建数据全生命周期的防护体系。邬贺铨指出，数据上升为重要的生产要素，赋能数字产业化与产业数字化，数据流通将促进数据融合、盘活数据、激发数据价值。同时，数据流通和使用也会带来安全风险，特别是跨境数据流动的管理面临巨大挑战，监管的技术支撑手段不足。IPv6作为新型基础设施建设中的底层设施，可携带数据类型指示及对信道的要求，指定数据传输路径并溯源，其海量地址展示丰富的可编程空间，开发支撑数据流动管理和算网融合的更多功能。

展望未来

由于IPv6在数据业务管理方面的创新应用刚刚起步，因此亟需开发更多的潜能，开展试验验证，积极推进标准化，推动落地应用，护航数据要素安全流动。（内容整理自邬贺铨《IPv6护航数据安全流动》主题演讲）