IPv6網(wǎng)絡的安全風險與應對分析

互聯(lián)網(wǎng)是關(guān)系國民經(jīng)濟和社會發(fā)展的重要基礎(chǔ)設施，深刻影響著全球經(jīng)濟格局、利益格局和安全格局。IP地址（又稱為網(wǎng)際協(xié)議地址）作為互聯(lián)網(wǎng)的基石，已經(jīng)成為全球網(wǎng)絡經(jīng)濟發(fā)展中的稀缺性戰(zhàn)略資源。一方面，IP地址正面臨消耗殆盡的危險。新的業(yè)務和應用不斷涌現(xiàn)，手機、筆記本、服務器等設備都在消耗IP地址。據(jù)統(tǒng)計，目前全球可用的IPv4地址剩余量不足10%，而中國的IPv4資源分配只占全球的4.5%，這被稱作“網(wǎng)絡泰坦尼克危機”。另一方面，互聯(lián)網(wǎng)用戶數(shù)量急劇增長。根據(jù)第41次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2017年12月，我國網(wǎng)民規(guī)模達到7.72億，增長率5.6%，而IP地址增幅和數(shù)量落后于網(wǎng)民增幅和數(shù)量，因此我國IP地址短缺的形勢更為嚴峻。

面對緊缺的IP地址資源，國家從戰(zhàn)略高度推進IPv6網(wǎng)絡部署和整體規(guī)劃，搶占技術(shù)制高點。2016年12月，工業(yè)和信息化部正式發(fā)布了《信息通信行業(yè)發(fā)展規(guī)劃（2016—2020年）》，共有17次提到了IPv6，數(shù)量之多，令人驚訝。2017年11月，中共中央辦公廳、國務院辦公廳印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》（以下簡稱《行動計劃》），提出加快推進IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡強國建設、加速國家信息化進程、助力經(jīng)濟社會發(fā)展、贏得未來國際競爭新優(yōu)勢的緊迫要求。與此同時，全球通信行業(yè)的運營商和內(nèi)容提供商都在向IPv6遷移，并呈現(xiàn)出加速趨勢。谷歌、蘋果、臉書等企業(yè)紛紛要求合作伙伴必須支持IPv6才能允許入網(wǎng)。谷歌的IPv6訪問流量顯示，2015年全球IPv6流量較2012年增長10倍。BAT（百度、阿里巴巴、騰訊三大互聯(lián)網(wǎng)公司首字母的縮寫）等一大批內(nèi)容提供商均已接入IPv6網(wǎng)絡，并逐步推進內(nèi)容資源對IPv6的支持。

IPv6勢在必行

IP地址是IP協(xié)議通過提供一種地址編碼格式，為互聯(lián)網(wǎng)上的每一個網(wǎng)絡設備分配一個地址。簡單地說，可以把IP地址看作網(wǎng)絡設備的身份證號碼，所有聯(lián)網(wǎng)的設備都必須擁有一個唯一的IP地址。

IPv4是互聯(lián)網(wǎng)協(xié)議的第四個版本。1981年9月，TCP/IP協(xié)議開始發(fā)布時，互聯(lián)網(wǎng)上大約只有1000臺主機，并且?guī)缀醵际腔�于時分系統(tǒng)的大型機，很少有為單個用戶設計的計算機。因此導致早期的地址分配方案不盡合理，浪費比較嚴重，如美國五角大樓擁有的IP地址就超過了亞洲國家的總和。互聯(lián)網(wǎng)在設計之初，只是作為美國國防部和高校的內(nèi)部網(wǎng)絡，不需要特別關(guān)注網(wǎng)絡安全。IPv4對上網(wǎng)用戶動態(tài)分配地址，地址與身份不關(guān)聯(lián)，無從溯源，導致網(wǎng)絡攻擊等安全事件泛濫。

為了從根本上解決IPv4協(xié)議面臨的問題，20世紀90年代，負責互聯(lián)網(wǎng)國際標準制定的機構(gòu)——互聯(lián)網(wǎng)工程任務小組協(xié)調(diào)各方意見后，推出了IPv6協(xié)議。TCP／IP協(xié)議共同開發(fā)者、被譽為“互聯(lián)網(wǎng)之父”之一的文頓·瑟夫博士表示：“IPv4是實驗網(wǎng)絡，IPv6網(wǎng)絡是未來發(fā)展的必由之路。”

IPv6能夠提供充足的網(wǎng)絡地址和廣闊的創(chuàng)新空間，是全球公認的下一代互聯(lián)網(wǎng)商業(yè)應用解決方案。與當前主要使用的IPv4協(xié)議對比，IPv6的技術(shù)優(yōu)勢可以歸納為以下幾個方面，如表1所示。

1.在地址空間方面，IPv6徹底解決了IPv4存在的地址空間耗盡和路由表爆炸問題，地址空間增加到大約340萬億個，不但解決了IP地址耗盡的燃眉之急，更為萬物互聯(lián)時代海量設備的連接奠定了基礎(chǔ)。

2.在路由表數(shù)量方面，增大的地址空間可以實現(xiàn)對網(wǎng)絡地址的按層次劃分，實現(xiàn)多條路由表項的合并，減小路由表的規(guī)模。

3.在安全性方面，IPv6采用IPSec協(xié)議，實現(xiàn)了對用戶數(shù)據(jù)的加密，防止了數(shù)據(jù)在傳輸過程中被竊聽、劫持，為用戶提供更高的安全保障。

4.在移動性方面，IPv6增強了移動終端的移動特性、安全特性、路由特性，降低了網(wǎng)絡部署的難度，實現(xiàn)了地址自動配置，為用戶提供永久在線服務。

5.在包頭設計方面，IPv6引入了靈活的擴展頭部，實現(xiàn)了按照協(xié)議類型增加頭部字段，按照處理順序確定擴展位置的靈活配置方式，加強了對擴展包頭和選項部分的支持，使得數(shù)據(jù)包的處理效率更高，支持的業(yè)務類型更豐富。同時，頭部字段中新增加的流標簽可以為數(shù)據(jù)包提供個性化的網(wǎng)絡服務，更好地支持語音、視頻等業(yè)務。

IPv6帶來的安全風險

發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，為提高網(wǎng)絡安全管理效率和創(chuàng)新網(wǎng)絡安全機制提供了新思路。IPv6協(xié)議的超大地址空間在應對部分網(wǎng)絡攻擊方面具有天然優(yōu)勢，在可溯源性、反黑客嗅探能力、路由協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡安全性。一是龐大的地址空間可以從技術(shù)上解決網(wǎng)絡實名制和用戶身份溯源問題，實現(xiàn)網(wǎng)絡精準管理，有利于事后追查回溯，提高安全保障性。二是在IPv6的部署中，把IPSec中的兩種安全協(xié)議以擴展報頭的形式引入數(shù)據(jù)分組中，在IPv6地址之間傳輸數(shù)據(jù)進行加密，信息不會被輕易竊聽、劫持，可以提供更好的端到端之間通信的隱私保護能力。三是基于IPv6的新型地址結(jié)構(gòu)為新增根服務器提供了契機。2016年，“雪人計劃”（由中國下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起，聯(lián)合國際互聯(lián)網(wǎng)M根運營機構(gòu)、互聯(lián)網(wǎng)域名工程中心等共同創(chuàng)立）在全球16個國家完成25臺IPv6根服務器架設，其中中國部署4臺，打破我國沒有根服務器的困境。需要注意的是，由于IP網(wǎng)絡傳輸?shù)谋举|(zhì)沒有發(fā)生變化，所以IPv6同樣會面臨一系列安全問題。

1.從技術(shù)上看，雖然IPv6在設計之初就對安全問題作出了很多考慮，但是并不能處理IPv6網(wǎng)絡中的所有漏洞：（1）IPv6地址擴展雖然能夠解決網(wǎng)絡地址的緊缺問題，但由于海量地址的查詢十分復雜，這就為安全檢測帶來難度。同時，IPv6協(xié)議本身存在著安全隱患，如攻擊者可以利用IPv6特有的鄰居發(fā)現(xiàn)協(xié)議發(fā)送錯誤的路由器宣告和重定向消息等讓數(shù)據(jù)包流向不確定的方向，進而達到拒絕服務、攔截和修改數(shù)據(jù)包的目的。（2）從IPv4到IPv6將使用過渡協(xié)議，攻擊者可以利用過渡協(xié)議的漏洞繞開安全監(jiān)測進行攻擊，因此IPv4與IPv6的共存會帶來一些安全問題。（3）隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)發(fā)展，IPv6與新技術(shù)、新應用的融合進程中逐漸暴露出新的安全問題。同時終端安全問題為IPv6的安全策略制定、網(wǎng)絡安全監(jiān)管等帶來新挑戰(zhàn)。

2.從產(chǎn)業(yè)上看，目前，我國現(xiàn)有的大多數(shù)網(wǎng)絡設備僅僅支持IPv4，不能直接用于IPv6網(wǎng)絡。少數(shù)可以支持IPv6的設備安全防護能力較弱，無法應對IPv6大規(guī)模推廣帶來的安全問題，產(chǎn)業(yè)界需要大力研制與更新支持IPv6的安全的網(wǎng)絡設備。同時，為了保證IPv6的安全性和穩(wěn)定性，需要對IPv6相關(guān)的設備、網(wǎng)絡、技術(shù)進行全面的測試，并根據(jù)其特點制訂相應的測試計劃。

3.從管理上看，由于IPv6的地址空間遠遠大于IPv4，因此地址的分配和管理難度加大，應出臺相應的管理政策。同時，數(shù)據(jù)加密、驗證和簽名等需要管理大量的密鑰，以保證網(wǎng)絡數(shù)據(jù)的安全性，因此應參考國際組織對于IPv6網(wǎng)絡有關(guān)密鑰管理的知識、經(jīng)驗和相關(guān)標準，制定我國IPv6網(wǎng)絡下的密鑰管理辦法。此外，部署IPv6之前必須投入時間和財力進行IPv6安全培訓，否則一旦發(fā)生安全問題代價高昂，事前預防勢必優(yōu)于事后補救。

如何應對IPv6安全問題

如何確保IPv6健康發(fā)展，對安全問題應采取哪些策略已成為業(yè)界重點考慮的問題，建議從以下3個方面入手。

1.強化政策支持、加強安全管理。《行動計劃》對IPv6的部署工作給出了詳細安排，相關(guān)政策和技術(shù)規(guī)范須及時跟進，把安全問題作為部署IPv6的重要內(nèi)容。同時要大力開展IPv6知識教育和培訓工作，提升從業(yè)人員素質(zhì)，重視安全管理，對IPv6部署過程中可能遇到的安全問題，做到早研究、早發(fā)現(xiàn)、早解決，防患于未然。

2.加大對IPv6安全威脅和防護技術(shù)的研究投入和前瞻部署。（1）從IPv6協(xié)議的自身特點來看，容易受到分片攻擊、鄰居發(fā)現(xiàn)協(xié)議攻擊、擴展頭攻擊等，應針對各種攻擊類型的特點開展攻擊原理分析、攻擊檢測、攻擊防御、攻擊解決方案研究。（2）在IPv4向IPv6演進的過程中，應將過渡機制與安全問題結(jié)合起來，實現(xiàn)平滑、無縫、安全的過渡技術(shù)，進行新的安全體系設計。（3）在新技術(shù)新應用結(jié)合方面，應開展IPv6環(huán)境下移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等領(lǐng)域網(wǎng)絡安全技術(shù)、管理及機制研究工作，如移動互聯(lián)網(wǎng)下應關(guān)注IPv6的移動性安全管理，物聯(lián)網(wǎng)中應關(guān)注IPv6在感知層應用的安全問題，云計算方面應關(guān)注基于IPv6的云計算平臺安全解決方案等問題。

3.加快信息安全產(chǎn)品研制。應對現(xiàn)有網(wǎng)絡安全保障系統(tǒng)進行升級改造，提升對IPv6地址和網(wǎng)絡環(huán)境的支持能力。根據(jù)《行動計劃》的要求，各種安全產(chǎn)品應增強IPv6地址精準定位、偵查打擊和快速處置能力，同時應開展針對IPv6的網(wǎng)絡安全等級保護、個人信息保護、風險評估、通報預警、災難備份及恢復等工作。 

（原載于《保密工作》2018年第7期）