IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與應(yīng)對(duì)分析

互聯(lián)網(wǎng)是關(guān)系國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟(jì)格局、利益格局和安全格局。IP地址（又稱為網(wǎng)際協(xié)議地址）作為互聯(lián)網(wǎng)的基石，已經(jīng)成為全球網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展中的稀缺性戰(zhàn)略資源。一方面，IP地址正面臨消耗殆盡的危險(xiǎn)。新的業(yè)務(wù)和應(yīng)用不斷涌現(xiàn)，手機(jī)、筆記本、服務(wù)器等設(shè)備都在消耗IP地址。據(jù)統(tǒng)計(jì)，目前全球可用的IPv4地址剩余量不足10%，而中國(guó)的IPv4資源分配只占全球的4.5%，這被稱作“網(wǎng)絡(luò)泰坦尼克危機(jī)”。另一方面，互聯(lián)網(wǎng)用戶數(shù)量急劇增長(zhǎng)。根據(jù)第41次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2017年12月，我國(guó)網(wǎng)民規(guī)模達(dá)到7.72億，增長(zhǎng)率5.6%，而IP地址增幅和數(shù)量落后于網(wǎng)民增幅和數(shù)量，因此我國(guó)IP地址短缺的形勢(shì)更為嚴(yán)峻。

面對(duì)緊缺的IP地址資源，國(guó)家從戰(zhàn)略高度推進(jìn)IPv6網(wǎng)絡(luò)部署和整體規(guī)劃，搶占技術(shù)制高點(diǎn)。2016年12月，工業(yè)和信息化部正式發(fā)布了《信息通信行業(yè)發(fā)展規(guī)劃（2016—2020年）》，共有17次提到了IPv6，數(shù)量之多，令人驚訝。2017年11月，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》（以下簡(jiǎn)稱《行動(dòng)計(jì)劃》），提出加快推進(jìn)IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)、加速國(guó)家信息化進(jìn)程、助力經(jīng)濟(jì)社會(huì)發(fā)展、贏得未來國(guó)際競(jìng)爭(zhēng)新優(yōu)勢(shì)的緊迫要求。與此同時(shí)，全球通信行業(yè)的運(yùn)營(yíng)商和內(nèi)容提供商都在向IPv6遷移，并呈現(xiàn)出加速趨勢(shì)。谷歌、蘋果、臉書等企業(yè)紛紛要求合作伙伴必須支持IPv6才能允許入網(wǎng)。谷歌的IPv6訪問流量顯示，2015年全球IPv6流量較2012年增長(zhǎng)10倍。BAT（百度、阿里巴巴、騰訊三大互聯(lián)網(wǎng)公司首字母的縮寫）等一大批內(nèi)容提供商均已接入IPv6網(wǎng)絡(luò)，并逐步推進(jìn)內(nèi)容資源對(duì)IPv6的支持。

IPv6勢(shì)在必行

IP地址是IP協(xié)議通過提供一種地址編碼格式，為互聯(lián)網(wǎng)上的每一個(gè)網(wǎng)絡(luò)設(shè)備分配一個(gè)地址。簡(jiǎn)單地說，可以把IP地址看作網(wǎng)絡(luò)設(shè)備的身份證號(hào)碼，所有聯(lián)網(wǎng)的設(shè)備都必須擁有一個(gè)唯一的IP地址。

IPv4是互聯(lián)網(wǎng)協(xié)議的第四個(gè)版本。1981年9月，TCP/IP協(xié)議開始發(fā)布時(shí)，互聯(lián)網(wǎng)上大約只有1000臺(tái)主機(jī)，并且?guī)缀醵际腔�于時(shí)分系統(tǒng)的大型機(jī)，很少有為單個(gè)用戶設(shè)計(jì)的計(jì)算機(jī)。因此導(dǎo)致早期的地址分配方案不盡合理，浪費(fèi)比較嚴(yán)重，如美國(guó)五角大樓擁有的IP地址就超過了亞洲國(guó)家的總和�；ヂ�(lián)網(wǎng)在設(shè)計(jì)之初，只是作為美國(guó)國(guó)防部和高校的內(nèi)部網(wǎng)絡(luò)，不需要特別關(guān)注網(wǎng)絡(luò)安全。IPv4對(duì)上網(wǎng)用戶動(dòng)態(tài)分配地址，地址與身份不關(guān)聯(lián)，無從溯源，導(dǎo)致網(wǎng)絡(luò)攻擊等安全事件泛濫。

為了從根本上解決IPv4協(xié)議面臨的問題，20世紀(jì)90年代，負(fù)責(zé)互聯(lián)網(wǎng)國(guó)際標(biāo)準(zhǔn)制定的機(jī)構(gòu)——互聯(lián)網(wǎng)工程任務(wù)小組協(xié)調(diào)各方意見后，推出了IPv6協(xié)議。TCP／IP協(xié)議共同開發(fā)者、被譽(yù)為“互聯(lián)網(wǎng)之父”之一的文頓·瑟夫博士表示：“IPv4是實(shí)驗(yàn)網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)是未來發(fā)展的必由之路�！�

IPv6能夠提供充足的網(wǎng)絡(luò)地址和廣闊的創(chuàng)新空間，是全球公認(rèn)的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。與當(dāng)前主要使用的IPv4協(xié)議對(duì)比，IPv6的技術(shù)優(yōu)勢(shì)可以歸納為以下幾個(gè)方面，如表1所示。

1.在地址空間方面，IPv6徹底解決了IPv4存在的地址空間耗盡和路由表爆炸問題，地址空間增加到大約340萬億個(gè)，不但解決了IP地址耗盡的燃眉之急，更為萬物互聯(lián)時(shí)代海量設(shè)備的連接奠定了基礎(chǔ)。

2.在路由表數(shù)量方面，增大的地址空間可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)地址的按層次劃分，實(shí)現(xiàn)多條路由表項(xiàng)的合并，減小路由表的規(guī)模。

3.在安全性方面，IPv6采用IPSec協(xié)議，實(shí)現(xiàn)了對(duì)用戶數(shù)據(jù)的加密，防止了數(shù)據(jù)在傳輸過程中被竊聽、劫持，為用戶提供更高的安全保障。

4.在移動(dòng)性方面，IPv6增強(qiáng)了移動(dòng)終端的移動(dòng)特性、安全特性、路由特性，降低了網(wǎng)絡(luò)部署的難度，實(shí)現(xiàn)了地址自動(dòng)配置，為用戶提供永久在線服務(wù)。

5.在包頭設(shè)計(jì)方面，IPv6引入了靈活的擴(kuò)展頭部，實(shí)現(xiàn)了按照協(xié)議類型增加頭部字段，按照處理順序確定擴(kuò)展位置的靈活配置方式，加強(qiáng)了對(duì)擴(kuò)展包頭和選項(xiàng)部分的支持，使得數(shù)據(jù)包的處理效率更高，支持的業(yè)務(wù)類型更豐富。同時(shí)，頭部字段中新增加的流標(biāo)簽可以為數(shù)據(jù)包提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，更好地支持語音、視頻等業(yè)務(wù)。

IPv6帶來的安全風(fēng)險(xiǎn)

發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，為提高網(wǎng)絡(luò)安全管理效率和創(chuàng)新網(wǎng)絡(luò)安全機(jī)制提供了新思路。IPv6協(xié)議的超大地址空間在應(yīng)對(duì)部分網(wǎng)絡(luò)攻擊方面具有天然優(yōu)勢(shì)，在可溯源性、反黑客嗅探能力、路由協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡(luò)安全性。一是龐大的地址空間可以從技術(shù)上解決網(wǎng)絡(luò)實(shí)名制和用戶身份溯源問題，實(shí)現(xiàn)網(wǎng)絡(luò)精準(zhǔn)管理，有利于事后追查回溯，提高安全保障性。二是在IPv6的部署中，把IPSec中的兩種安全協(xié)議以擴(kuò)展報(bào)頭的形式引入數(shù)據(jù)分組中，在IPv6地址之間傳輸數(shù)據(jù)進(jìn)行加密，信息不會(huì)被輕易竊聽、劫持，可以提供更好的端到端之間通信的隱私保護(hù)能力。三是基于IPv6的新型地址結(jié)構(gòu)為新增根服務(wù)器提供了契機(jī)。2016年，“雪人計(jì)劃”（由中國(guó)下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起，聯(lián)合國(guó)際互聯(lián)網(wǎng)M根運(yùn)營(yíng)機(jī)構(gòu)、互聯(lián)網(wǎng)域名工程中心等共同創(chuàng)立）在全球16個(gè)國(guó)家完成25臺(tái)IPv6根服務(wù)器架設(shè)，其中中國(guó)部署4臺(tái)，打破我國(guó)沒有根服務(wù)器的困境。需要注意的是，由于IP網(wǎng)絡(luò)傳輸?shù)谋举|(zhì)沒有發(fā)生變化，所以IPv6同樣會(huì)面臨一系列安全問題。

1.從技術(shù)上看，雖然IPv6在設(shè)計(jì)之初就對(duì)安全問題作出了很多考慮，但是并不能處理IPv6網(wǎng)絡(luò)中的所有漏洞：（1）IPv6地址擴(kuò)展雖然能夠解決網(wǎng)絡(luò)地址的緊缺問題，但由于海量地址的查詢十分復(fù)雜，這就為安全檢測(cè)帶來難度。同時(shí)，IPv6協(xié)議本身存在著安全隱患，如攻擊者可以利用IPv6特有的鄰居發(fā)現(xiàn)協(xié)議發(fā)送錯(cuò)誤的路由器宣告和重定向消息等讓數(shù)據(jù)包流向不確定的方向，進(jìn)而達(dá)到拒絕服務(wù)、攔截和修改數(shù)據(jù)包的目的。（2）從IPv4到IPv6將使用過渡協(xié)議，攻擊者可以利用過渡協(xié)議的漏洞繞開安全監(jiān)測(cè)進(jìn)行攻擊，因此IPv4與IPv6的共存會(huì)帶來一些安全問題。（3）隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等技術(shù)發(fā)展，IPv6與新技術(shù)、新應(yīng)用的融合進(jìn)程中逐漸暴露出新的安全問題。同時(shí)終端安全問題為IPv6的安全策略制定、網(wǎng)絡(luò)安全監(jiān)管等帶來新挑戰(zhàn)。

2.從產(chǎn)業(yè)上看，目前，我國(guó)現(xiàn)有的大多數(shù)網(wǎng)絡(luò)設(shè)備僅僅支持IPv4，不能直接用于IPv6網(wǎng)絡(luò)。少數(shù)可以支持IPv6的設(shè)備安全防護(hù)能力較弱，無法應(yīng)對(duì)IPv6大規(guī)模推廣帶來的安全問題，產(chǎn)業(yè)界需要大力研制與更新支持IPv6的安全的網(wǎng)絡(luò)設(shè)備。同時(shí)，為了保證IPv6的安全性和穩(wěn)定性，需要對(duì)IPv6相關(guān)的設(shè)備、網(wǎng)絡(luò)、技術(shù)進(jìn)行全面的測(cè)試，并根據(jù)其特點(diǎn)制訂相應(yīng)的測(cè)試計(jì)劃。

3.從管理上看，由于IPv6的地址空間遠(yuǎn)遠(yuǎn)大于IPv4，因此地址的分配和管理難度加大，應(yīng)出臺(tái)相應(yīng)的管理政策。同時(shí)，數(shù)據(jù)加密、驗(yàn)證和簽名等需要管理大量的密鑰，以保證網(wǎng)絡(luò)數(shù)據(jù)的安全性，因此應(yīng)參考國(guó)際組織對(duì)于IPv6網(wǎng)絡(luò)有關(guān)密鑰管理的知識(shí)、經(jīng)驗(yàn)和相關(guān)標(biāo)準(zhǔn)，制定我國(guó)IPv6網(wǎng)絡(luò)下的密鑰管理辦法。此外，部署IPv6之前必須投入時(shí)間和財(cái)力進(jìn)行IPv6安全培訓(xùn)，否則一旦發(fā)生安全問題代價(jià)高昂，事前預(yù)防勢(shì)必優(yōu)于事后補(bǔ)救。

如何應(yīng)對(duì)IPv6安全問題

如何確保IPv6健康發(fā)展，對(duì)安全問題應(yīng)采取哪些策略已成為業(yè)界重點(diǎn)考慮的問題，建議從以下3個(gè)方面入手。

1.強(qiáng)化政策支持、加強(qiáng)安全管理�！缎袆�(dòng)計(jì)劃》對(duì)IPv6的部署工作給出了詳細(xì)安排，相關(guān)政策和技術(shù)規(guī)范須及時(shí)跟進(jìn)，把安全問題作為部署IPv6的重要內(nèi)容。同時(shí)要大力開展IPv6知識(shí)教育和培訓(xùn)工作，提升從業(yè)人員素質(zhì)，重視安全管理，對(duì)IPv6部署過程中可能遇到的安全問題，做到早研究、早發(fā)現(xiàn)、早解決，防患于未然。

2.加大對(duì)IPv6安全威脅和防護(hù)技術(shù)的研究投入和前瞻部署。（1）從IPv6協(xié)議的自身特點(diǎn)來看，容易受到分片攻擊、鄰居發(fā)現(xiàn)協(xié)議攻擊、擴(kuò)展頭攻擊等，應(yīng)針對(duì)各種攻擊類型的特點(diǎn)開展攻擊原理分析、攻擊檢測(cè)、攻擊防御、攻擊解決方案研究。（2）在IPv4向IPv6演進(jìn)的過程中，應(yīng)將過渡機(jī)制與安全問題結(jié)合起來，實(shí)現(xiàn)平滑、無縫、安全的過渡技術(shù)，進(jìn)行新的安全體系設(shè)計(jì)。（3）在新技術(shù)新應(yīng)用結(jié)合方面，應(yīng)開展IPv6環(huán)境下移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等領(lǐng)域網(wǎng)絡(luò)安全技術(shù)、管理及機(jī)制研究工作，如移動(dòng)互聯(lián)網(wǎng)下應(yīng)關(guān)注IPv6的移動(dòng)性安全管理，物聯(lián)網(wǎng)中應(yīng)關(guān)注IPv6在感知層應(yīng)用的安全問題，云計(jì)算方面應(yīng)關(guān)注基于IPv6的云計(jì)算平臺(tái)安全解決方案等問題。

3.加快信息安全產(chǎn)品研制。應(yīng)對(duì)現(xiàn)有網(wǎng)絡(luò)安全保障系統(tǒng)進(jìn)行升級(jí)改造，提升對(duì)IPv6地址和網(wǎng)絡(luò)環(huán)境的支持能力。根據(jù)《行動(dòng)計(jì)劃》的要求，各種安全產(chǎn)品應(yīng)增強(qiáng)IPv6地址精準(zhǔn)定位、偵查打擊和快速處置能力，同時(shí)應(yīng)開展針對(duì)IPv6的網(wǎng)絡(luò)安全等級(jí)保護(hù)、個(gè)人信息保護(hù)、風(fēng)險(xiǎn)評(píng)估、通報(bào)預(yù)警、災(zāi)難備份及恢復(fù)等工作。 

（原載于《保密工作》2018年第7期）