不久前，工信部發(fā)布關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》的通知(以下簡(jiǎn)稱通知)，大力推進(jìn)IPv6部署，加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用基礎(chǔ)設(shè)施升級(jí)步伐，促進(jìn)下一代互聯(lián)網(wǎng)與經(jīng)濟(jì)社會(huì)各領(lǐng)域的融合創(chuàng)新。

其中，網(wǎng)絡(luò)安全提升被列為重要任務(wù)。通知明確要求從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全保障措施升級(jí)改造、網(wǎng)絡(luò)安全能力建設(shè)三個(gè)方面強(qiáng)化IPv6網(wǎng)絡(luò)安全保障。

那么，下一代互聯(lián)通信網(wǎng)絡(luò)部署在即，IPv6安全防護(hù)真的準(zhǔn)備好了嗎?

海量地址提供溯源手段

當(dāng)前，“線上”網(wǎng)絡(luò)和“線下”生活正在深度融合，虛擬網(wǎng)絡(luò)世界和現(xiàn)實(shí)社會(huì)生活相互交織。人們?cè)诨ヂ?lián)網(wǎng)上變成了“透明人”，個(gè)人的一舉一動(dòng)都被互聯(lián)網(wǎng)“記錄在案”，導(dǎo)致人們?cè)诰W(wǎng)絡(luò)空間越來(lái)越缺乏安全感。

北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心主任田麗談到，網(wǎng)絡(luò)安全和信息安全問(wèn)題在互聯(lián)網(wǎng)時(shí)代更加凸顯，大數(shù)據(jù)收集和人工智能分析的泛濫，給個(gè)人信息保護(hù)帶來(lái)不小的挑戰(zhàn)。特別是在“IPv4網(wǎng)+”上，現(xiàn)有技術(shù)無(wú)法檢查傳輸中的任何一個(gè)數(shù)據(jù)的源地址，很多網(wǎng)絡(luò)安全隱患由此產(chǎn)生。

“由于IPv4地址的不足，導(dǎo)致私有地址大量使用，NAT(地址翻譯)破壞了端對(duì)端的透明性，給網(wǎng)絡(luò)安全事件溯源帶來(lái)了困難，假冒地址橫行，網(wǎng)絡(luò)攻擊等安全事件泛濫。”中國(guó)工程院院士鄔賀銓此前在網(wǎng)絡(luò)空間戰(zhàn)略論壇上指出。

互聯(lián)網(wǎng)是個(gè)開(kāi)放的網(wǎng)絡(luò)，在這樣開(kāi)放的網(wǎng)絡(luò)中，所有訪問(wèn)是不可信的，每一個(gè)分組的訪問(wèn)，都不會(huì)對(duì)源地址進(jìn)行驗(yàn)證。如果能解決這個(gè)問(wèn)題，互聯(lián)網(wǎng)的安全等級(jí)會(huì)大大提高。

IPv6則為解決網(wǎng)絡(luò)空間安全問(wèn)題提供了一個(gè)非常好的機(jī)遇。鄔賀銓表示，IPv6海量的地址為固定分配地址和建立上網(wǎng)實(shí)名制奠定了基礎(chǔ)，在IPv6地址中通過(guò)算法嵌入可擴(kuò)展的用戶網(wǎng)絡(luò)身份標(biāo)識(shí)信息，與真實(shí)用戶的身份關(guān)聯(lián)，可構(gòu)建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng)，實(shí)現(xiàn)了與自治域相關(guān)聯(lián)的IP地址前綴級(jí)粒度的真實(shí)源地址驗(yàn)證。

另外，鄔賀銓認(rèn)為，IPv6充足的地址空間可嚴(yán)格按照區(qū)域和業(yè)務(wù)類(lèi)型甚至用戶類(lèi)型進(jìn)行地址分配，可以實(shí)現(xiàn)對(duì)特定IP地址溯源、按業(yè)務(wù)類(lèi)型精細(xì)服務(wù)，或?qū)μ囟ǚ?wù)類(lèi)型進(jìn)行區(qū)域管理、精細(xì)化監(jiān)控與安全偵測(cè)及防護(hù)等，這種基于IP地址對(duì)網(wǎng)絡(luò)流量的控制與安全管理效率高、成本低。

海量的地址空間還可有效防止通過(guò)地址掃描的攻擊。眾所周知，網(wǎng)絡(luò)攻擊者通過(guò)地址掃描識(shí)別用戶的地理位置發(fā)現(xiàn)漏洞并入侵，目前的技術(shù)可在45分鐘內(nèi)掃描IPv4的全部地址空間，而每一個(gè)IPv6地址是128位，假設(shè)網(wǎng)絡(luò)前綴為64位，那么在一個(gè)子網(wǎng)中就會(huì)存在264個(gè)地址，假設(shè)攻擊者以每秒百萬(wàn)地址的速度掃描，需要50萬(wàn)年才能遍歷所有的地址，無(wú)疑將顯著提升網(wǎng)站與用戶終端設(shè)備的安全。

“但這并不妨礙政府監(jiān)管部門(mén)用掃描技術(shù)發(fā)現(xiàn)違法網(wǎng)站，在完善的IPv6地址登記和備案制度下，監(jiān)管部門(mén)能夠知道哪些地址是已經(jīng)分配的，只掃描已分配的地址空間而不是全部IPv6地址空間，因此并不會(huì)給主動(dòng)掃描帶來(lái)太大麻煩。”鄔賀銓說(shuō)。

升級(jí)仍面臨安全挑戰(zhàn)

不過(guò)，從IPv4向IPv6過(guò)渡，仍然會(huì)面臨安全挑戰(zhàn)。鄔賀銓表示，從IPv4向IPv6過(guò)渡將要持續(xù)一段時(shí)間，過(guò)渡與互通方案也會(huì)帶來(lái)新的安全問(wèn)題，攻擊者可以利用過(guò)渡協(xié)議的安全漏洞來(lái)逃避安全監(jiān)測(cè)乃至實(shí)施攻擊行為。

鄔賀銓表示，IPv4 over IPv6或IPv6 over IPv4的隧道機(jī)制對(duì)任何來(lái)源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封，沒(méi)有內(nèi)置認(rèn)證、完整性和加密等安全功能，并不對(duì)IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查，攻擊者可以隨意截取隧道報(bào)文，通過(guò)偽造外層和內(nèi)層地址偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設(shè)。

中國(guó)大數(shù)據(jù)技術(shù)與應(yīng)用聯(lián)盟副理事長(zhǎng)王安平也對(duì)記者指出，互聯(lián)網(wǎng)升級(jí)IPv6是一項(xiàng)專業(yè)性強(qiáng)、涉及面廣、情況復(fù)雜的系統(tǒng)工程，國(guó)家有關(guān)部門(mén)強(qiáng)力推進(jìn)，但由于目前市場(chǎng)上各企業(yè)技術(shù)實(shí)力參差不齊，導(dǎo)致一些國(guó)家部委機(jī)關(guān)、央企、省級(jí)政府、媒體以及互聯(lián)網(wǎng)企業(yè)在網(wǎng)站、云服務(wù)平臺(tái)、數(shù)據(jù)中心升級(jí)IPv6過(guò)程中，網(wǎng)站、云服務(wù)平臺(tái)、數(shù)據(jù)中心出現(xiàn)天窗、亂碼、宕機(jī)、癱瘓和停服等現(xiàn)象。

“當(dāng)前互聯(lián)網(wǎng)升級(jí)IPv6一定要回歸IPv6的本質(zhì)，要精心設(shè)計(jì)、穩(wěn)妥推進(jìn)，把握好升級(jí)的主線和關(guān)鍵，互通是根本，安全是基礎(chǔ)，演進(jìn)是生命。”王安平表示，IPv4、IPv6屬于兩個(gè)平行網(wǎng)絡(luò)空間，升級(jí)IPv6就是要實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)空間的互聯(lián)互通，從純IPv4時(shí)代邁向純IPv6時(shí)代是一個(gè)漫長(zhǎng)的過(guò)程，這期間必須用好IPv4和IPv6之間的翻譯技術(shù)。

“安全是基礎(chǔ)，要確保現(xiàn)有網(wǎng)絡(luò)安全，離開(kāi)了網(wǎng)絡(luò)信息安全，升級(jí)IPv6就失去了意義。”王安平強(qiáng)調(diào)，當(dāng)前互聯(lián)網(wǎng)升級(jí)IPv6，一定要確保網(wǎng)絡(luò)安全，過(guò)渡期具有同樣的安全性，另外要保持網(wǎng)絡(luò)的開(kāi)放性和互通性，要符合IETF標(biāo)準(zhǔn)，采用國(guó)際主流技術(shù)。

工業(yè)和信息化部黨組成員、總工程師張峰也表示，下一步還需要著力突破網(wǎng)絡(luò)端到端貫通、網(wǎng)絡(luò)與應(yīng)用協(xié)同推進(jìn)等關(guān)鍵環(huán)節(jié)。要強(qiáng)化安全保障，實(shí)施IPv6網(wǎng)絡(luò)安全提升計(jì)劃，加強(qiáng)IPv6網(wǎng)絡(luò)安全能力建設(shè)，嚴(yán)格落實(shí)IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案。另外還要完善監(jiān)測(cè)體系，組織建設(shè)IPv6發(fā)展監(jiān)測(cè)平臺(tái)，加強(qiáng)對(duì)網(wǎng)絡(luò)、應(yīng)用、終端、用戶、流量等關(guān)鍵發(fā)展指標(biāo)的實(shí)時(shí)監(jiān)測(cè)與分析。