邬贺铨院士：正视IPv6带来的网络安全挑战！

小顾有话说~~

IPv6是互联网演进升级的必然趋势，也是技术产业创新的重大契机和网络安全能力强化的迫切需要，抓住IPv6带来的新机遇，充分利用和发挥IPv6内含的网络安全潜力，正视 IPv6带来的网络安全挑战显得尤为重要。本期中国工程院院士、成都市科技顾问团顾问邬贺铨围绕IPV6与网络安全作出分析，一起来看看吧~~

//

IPv6 的海量地址为网络安全提供了溯源的手段

//

→→IPv6海量地址为固定分配地址和建立上网实名制奠定基础。

由于IPv4地址的不足，导致私有地址大量使用，NAT（地址翻译）破坏了端对端的透明性，给网络安全事件溯源带来了困难，假冒地址横行，网络攻击等安全事件泛滥。另外，由于历史原因，我国境内IPv4地址资源的申请也存在极大的不确定性，而且IPv4地址资源极为有限也没有余地对IPv4地址进行有效的统一规划和管理，无法将公共服务IPv4与普通上网用户的IPv4地址分区设置，也无法从地址中区分服务类型。而IPv6海量的地址为固定分配地址和建立上网实名制奠定了基础，在IPv6地址中通过算法嵌入可扩展的用户网络身份标识信息，与真实用户的身份关联，可构建IPv6地址生成、管理、分配和溯源的一体化IPv6地址管理和溯源系统，实现了与自治域相关联的IP地址前缀级粒度的真实源地址验证。另外，IPv6充足的地址空间可严格按照区域和业务类型甚至用户类型进行地址分配，可以实现对特定IP地址溯源、按业务类型精细服务，或对特定服务类型进行区域管理、精细化监控与安全侦测及防护等，这种基于IP地址对网络流量的控制与安全管理效率高成本低。美国平均每个网民拥有 6个IPv4地址，但美国政府为了反恐而看重对IP地址的可溯源能力，因而也积极推动IPv6的部署。

→→IPv6海量的地址空间可有效防止通过地址扫描的攻击。众所周知，网络攻击者通过地址扫描识别用户的地理位置和发现漏洞并入侵，目前的技术可在45分钟内扫描IPv4的全部地址空间，每一个IPv6地址是128位，假设网络前缀为64位，那么在一个子网中就会存在264个地址，假设攻击者以每秒百万地址的速度扫描，需要50万年才能遍历所有的地址，无疑将显著提升网站与用户终端设备的安全。但这并不妨碍政府监管部门用扫描技术发现违法网站，在完善的IPv6地址登记和备案制度下，监管部门能够知道哪些地址是已经分配的，只扫描已分配的地址空间而不是全部IPv6地址空间，因此并不会对主动扫描带来太大麻烦。

//

IPv6 体系下的网络安全挑战

//

→→IPv6同样会面临现有IPv4网络下的分片攻击。由于IP网络传输的本质没有发生变化，所以IPv6同样会面临现有IPv4网络下的分片攻击（产生大量分片或发送不完整的分片来耗费防火墙资源或处理时间）。IPv4网络中除IP层以外的其他四层中出现的攻击在 IPv6网络中依然会存在。在IPv6根服务器体系下，其主服务器还需要从IANA（互联网数字分配机构）的顶级域服务器获得根区更新数据，在数据来源上与IPv4没有区别。如何保证从根区管理系统获取的数据不被劫持或篡改，不仅需要有技术手段，还需要从推动ICANN 管理机制的改革入手，共同构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的国际互联网治理体系。

→→IPv6海量的地址规模易造成新的安全漏洞。虽然IPv6海量的地址规模提供了上网实名制的基础，海量地址的查询也变得更加复杂，但是攻击者仍然可以通过IPv6前缀信息搜集、隧道地址猜测、虚假路由通告及DNS查询等手段搜集到活动主机信息从而发起攻击。另外，虽然IPsec并不新增对不良内容监管的威胁，但事实上各种层面上的加密已经成为互联网未来发展的常态，信息安全管理要适应信息加密的现状，除了技术措施外，在内容管理的机制上也需要创新。IPv6还会带来网络安全的新挑战，攻击者可利用IPv6报文的扩展报头(可选且多种)构造包含异常数量扩展头的报文，防火墙为解析报文将耗费大量资源，从而影响转发性能。在IPv6中采用NDP(邻居发现协议)取代现有IPv4中ARP（地址解析协议），但实现原理基本相同，针对ARP的攻击如地址欺骗和泛洪等在IPv6中仍然存在,发送错误的路由器宣告和重定向消息等引IP流转向，达到DDoS、拦截和修改数据的目的。再者，IPv6的无状态地址自动分配机制也可能使非授权用户更容易接入和使用网络。此外，IPv6海量的地址以及有可能按地址所分类的业务来选路，将带动新的路由体系和新的选路协议的开发，可能会引入新的安全漏洞。

→→从IPv4向IPv6过渡也会带来新的安全问题。从IPv4向 IPv6过渡将要持续一段时间，过渡与互通方案也会带来新的安全问题，攻击者可以利用过渡协议的安全漏洞来逃避安全监测乃至实施攻击行为，IPv4 over IPv6或IPv6 over IPv4的隧道机制对任何来源的数据包只进行简单的封装和解封，没有内置认证、完整性和加密等安全功能，并不对IPv4和IPv6地址的关系做严格的检查，攻击者可以随意截取隧道报文，通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量，防火墙可能形同虚设。翻译技术将IP流在 IPv4/IPv6间转换，可能会受到如NAT设备常见的地址池耗尽等DDoS 攻击。未来在规模部署中还会出现更多的网络安全问题。

//

在IPv6部署中，要将确保网络安全提升到重要位置

//

在关于IPv6规模部署的行动计划中，网络安全提升是其中的重要任务，包括的内容有：升级改造现有网络安全保障系统，提升对 IPv6地址和网络环境的支持能力。严格落实IPv6网络地址编码规划方案，加强IPv6地址备案管理，协同推进IPv6部署与网络实名制，落实技术接口要求，增强IPv6地址精准定位、侦查打击和快速处置能力。开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。开展IPv6环境下的工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作。强化网络数据安全管理及个人信息保护能力，确保网络安全。

作者：邬贺铨 中国工程院院士、成都市科学技术顾问团顾问

来源：《网络空间战略论坛》

编审：鲁立文

责编：李 霞

编辑：舒 展