IPv6網絡的安全風險與應對分析

互聯網是關系國民經濟和社會發展的重要基礎設施，深刻影響著全球經濟格局、利益格局和安全格局。IP地址（又稱為網際協議地址）作為互聯網的基石，已經成為全球網絡經濟發展中的稀缺性戰略資源。一方面，IP地址正面臨消耗殆盡的危險。新的業務和應用不斷涌現，手機、筆記本、服務器等設備都在消耗IP地址。據統計，目前全球可用的IPv4地址剩余量不足10%，而中國的IPv4資源分配只占全球的4.5%，這被稱作“網絡泰坦尼克危機”。另一方面，互聯網用戶數量急劇增長。根據第41次《中國互聯網絡發展狀況統計報告》顯示，截至2017年12月，我國網民規模達到7.72億，增長率5.6%，而IP地址增幅和數量落后于網民增幅和數量，因此我國IP地址短缺的形勢更為嚴峻。

面對緊缺的IP地址資源，國家從戰略高度推進IPv6網絡部署和整體規劃，搶占技術制高點。2016年12月，工業和信息化部正式發布了《信息通信行業發展規劃（2016—2020年）》，共有17次提到了IPv6，數量之多，令人驚訝。2017年11月，中共中央辦公廳、國務院辦公廳印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》（以下簡稱《行動計劃》），提出加快推進IPv6規模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯網，是加快網絡強國建設、加速國家信息化進程、助力經濟社會發展、贏得未來國際競爭新優勢的緊迫要求。與此同時，全球通信行業的運營商和內容提供商都在向IPv6遷移，并呈現出加速趨勢。谷歌、蘋果、臉書等企業紛紛要求合作伙伴必須支持IPv6才能允許入網。谷歌的IPv6訪問流量顯示，2015年全球IPv6流量較2012年增長10倍。BAT（百度、阿里巴巴、騰訊三大互聯網公司首字母的縮寫）等一大批內容提供商均已接入IPv6網絡，并逐步推進內容資源對IPv6的支持。

IPv6勢在必行

IP地址是IP協議通過提供一種地址編碼格式，為互聯網上的每一個網絡設備分配一個地址。簡單地說，可以把IP地址看作網絡設備的身份證號碼，所有聯網的設備都必須擁有一個唯一的IP地址。

IPv4是互聯網協議的第四個版本。1981年9月，TCP/IP協議開始發布時，互聯網上大約只有1000臺主機，并且幾乎都是基于時分系統的大型機，很少有為單個用戶設計的計算機。因此導致早期的地址分配方案不盡合理，浪費比較嚴重，如美國五角大樓擁有的IP地址就超過了亞洲國家的總和�；ヂ摼W在設計之初，只是作為美國國防部和高校的內部網絡，不需要特別關注網絡安全。IPv4對上網用戶動態分配地址，地址與身份不關聯，無從溯源，導致網絡攻擊等安全事件泛濫。

為了從根本上解決IPv4協議面臨的問題，20世紀90年代，負責互聯網國際標準制定的機構——互聯網工程任務小組協調各方意見后，推出了IPv6協議。TCP／IP協議共同開發者、被譽為“互聯網之父”之一的文頓·瑟夫博士表示：“IPv4是實驗網絡，IPv6網絡是未來發展的必由之路。”

IPv6能夠提供充足的網絡地址和廣闊的創新空間，是全球公認的下一代互聯網商業應用解決方案。與當前主要使用的IPv4協議對比，IPv6的技術優勢可以歸納為以下幾個方面，如表1所示。

1.在地址空間方面，IPv6徹底解決了IPv4存在的地址空間耗盡和路由表爆炸問題，地址空間增加到大約340萬億個，不但解決了IP地址耗盡的燃眉之急，更為萬物互聯時代海量設備的連接奠定了基礎。

2.在路由表數量方面，增大的地址空間可以實現對網絡地址的按層次劃分，實現多條路由表項的合并，減小路由表的規模。

3.在安全性方面，IPv6采用IPSec協議，實現了對用戶數據的加密，防止了數據在傳輸過程中被竊聽、劫持，為用戶提供更高的安全保障。

4.在移動性方面，IPv6增強了移動終端的移動特性、安全特性、路由特性，降低了網絡部署的難度，實現了地址自動配置，為用戶提供永久在線服務。

5.在包頭設計方面，IPv6引入了靈活的擴展頭部，實現了按照協議類型增加頭部字段，按照處理順序確定擴展位置的靈活配置方式，加強了對擴展包頭和選項部分的支持，使得數據包的處理效率更高，支持的業務類型更豐富。同時，頭部字段中新增加的流標簽可以為數據包提供個性化的網絡服務，更好地支持語音、視頻等業務。

IPv6帶來的安全風險

發展基于IPv6的下一代互聯網，為提高網絡安全管理效率和創新網絡安全機制提供了新思路。IPv6協議的超大地址空間在應對部分網絡攻擊方面具有天然優勢，在可溯源性、反黑客嗅探能力、路由協議以及端到端的IPSec安全傳輸能力等方面提升了網絡安全性。一是龐大的地址空間可以從技術上解決網絡實名制和用戶身份溯源問題，實現網絡精準管理，有利于事后追查回溯，提高安全保障性。二是在IPv6的部署中，把IPSec中的兩種安全協議以擴展報頭的形式引入數據分組中，在IPv6地址之間傳輸數據進行加密，信息不會被輕易竊聽、劫持，可以提供更好的端到端之間通信的隱私保護能力。三是基于IPv6的新型地址結構為新增根服務器提供了契機。2016年，“雪人計劃”（由中國下一代互聯網工程中心領銜發起，聯合國際互聯網M根運營機構、互聯網域名工程中心等共同創立）在全球16個國家完成25臺IPv6根服務器架設，其中中國部署4臺，打破我國沒有根服務器的困境。需要注意的是，由于IP網絡傳輸的本質沒有發生變化，所以IPv6同樣會面臨一系列安全問題。

1.從技術上看，雖然IPv6在設計之初就對安全問題作出了很多考慮，但是并不能處理IPv6網絡中的所有漏洞：（1）IPv6地址擴展雖然能夠解決網絡地址的緊缺問題，但由于海量地址的查詢十分復雜，這就為安全檢測帶來難度。同時，IPv6協議本身存在著安全隱患，如攻擊者可以利用IPv6特有的鄰居發現協議發送錯誤的路由器宣告和重定向消息等讓數據包流向不確定的方向，進而達到拒絕服務、攔截和修改數據包的目的。（2）從IPv4到IPv6將使用過渡協議，攻擊者可以利用過渡協議的漏洞繞開安全監測進行攻擊，因此IPv4與IPv6的共存會帶來一些安全問題。（3）隨著移動互聯網、物聯網、云計算、大數據等技術發展，IPv6與新技術、新應用的融合進程中逐漸暴露出新的安全問題。同時終端安全問題為IPv6的安全策略制定、網絡安全監管等帶來新挑戰。

2.從產業上看，目前，我國現有的大多數網絡設備僅僅支持IPv4，不能直接用于IPv6網絡。少數可以支持IPv6的設備安全防護能力較弱，無法應對IPv6大規模推廣帶來的安全問題，產業界需要大力研制與更新支持IPv6的安全的網絡設備。同時，為了保證IPv6的安全性和穩定性，需要對IPv6相關的設備、網絡、技術進行全面的測試，并根據其特點制訂相應的測試計劃。

3.從管理上看，由于IPv6的地址空間遠遠大于IPv4，因此地址的分配和管理難度加大，應出臺相應的管理政策。同時，數據加密、驗證和簽名等需要管理大量的密鑰，以保證網絡數據的安全性，因此應參考國際組織對于IPv6網絡有關密鑰管理的知識、經驗和相關標準，制定我國IPv6網絡下的密鑰管理辦法。此外，部署IPv6之前必須投入時間和財力進行IPv6安全培訓，否則一旦發生安全問題代價高昂，事前預防勢必優于事后補救。

如何應對IPv6安全問題

如何確保IPv6健康發展，對安全問題應采取哪些策略已成為業界重點考慮的問題，建議從以下3個方面入手。

1.強化政策支持、加強安全管理�！缎袆佑媱潯穼�IPv6的部署工作給出了詳細安排，相關政策和技術規范須及時跟進，把安全問題作為部署IPv6的重要內容。同時要大力開展IPv6知識教育和培訓工作，提升從業人員素質，重視安全管理，對IPv6部署過程中可能遇到的安全問題，做到早研究、早發現、早解決，防患于未然。

2.加大對IPv6安全威脅和防護技術的研究投入和前瞻部署。（1）從IPv6協議的自身特點來看，容易受到分片攻擊、鄰居發現協議攻擊、擴展頭攻擊等，應針對各種攻擊類型的特點開展攻擊原理分析、攻擊檢測、攻擊防御、攻擊解決方案研究。（2）在IPv4向IPv6演進的過程中，應將過渡機制與安全問題結合起來，實現平滑、無縫、安全的過渡技術，進行新的安全體系設計。（3）在新技術新應用結合方面，應開展IPv6環境下移動互聯網、物聯網、云計算等領域網絡安全技術、管理及機制研究工作，如移動互聯網下應關注IPv6的移動性安全管理，物聯網中應關注IPv6在感知層應用的安全問題，云計算方面應關注基于IPv6的云計算平臺安全解決方案等問題。

3.加快信息安全產品研制。應對現有網絡安全保障系統進行升級改造，提升對IPv6地址和網絡環境的支持能力。根據《行動計劃》的要求，各種安全產品應增強IPv6地址精準定位、偵查打擊和快速處置能力，同時應開展針對IPv6的網絡安全等級保護、個人信息保護、風險評估、通報預警、災難備份及恢復等工作。 

（原載于《保密工作》2018年第7期）