清華大學(xué)教授李星雙棧會(huì)加大IPv6的安全挑戰(zhàn)

李星 清華大學(xué)教授

移動(dòng)網(wǎng)絡(luò)的IPv6發(fā)展會(huì)更快

日前，在2018 ISC互聯(lián)網(wǎng)安全大會(huì)上，清華大學(xué)教授李星做了《CERNET IPv6 BCP》的報(bào)告。李星表示，移動(dòng)網(wǎng)絡(luò)的IPv6普及將會(huì)比固定寬帶網(wǎng)絡(luò)的普及率更快也更高，其原因在于手機(jī)的普及率很高，更新率更快，所以在上面提供IPv6服務(wù)更加直接。

李星分析了當(dāng)前國(guó)內(nèi)外IPv6普及的情況，他表示，美國(guó)的IPv6驅(qū)動(dòng)力主要來(lái)源于新型運(yùn)營(yíng)商，傳統(tǒng)運(yùn)營(yíng)商的響應(yīng)很遲緩。而在中國(guó)，作為央企，三大運(yùn)營(yíng)商步伐比較整齊，這對(duì)IPv6的發(fā)展是一個(gè)很好的機(jī)會(huì)。他同時(shí)表示，雖然IPv6在國(guó)內(nèi)會(huì)很快地推動(dòng)起來(lái)，但考慮到跟世界其他不發(fā)達(dá)國(guó)家和地區(qū)的互聯(lián)網(wǎng)連接，將來(lái)將有很長(zhǎng)時(shí)間是IPv4和IPv6共存的局面。

對(duì)于IPv6及互聯(lián)網(wǎng)創(chuàng)新，他表示，希望國(guó)家能充分考慮到高校作為創(chuàng)新前沿的特殊性，在管理機(jī)制上應(yīng)當(dāng)給予一定的空間，否則高校的創(chuàng)新就失去了土壤。

CERNET的IPv6行動(dòng)

李星提到，清華大學(xué)從20年前就對(duì)IPv6進(jìn)行了研究和部署。李星認(rèn)為，教育網(wǎng)在IPv6上最主要的特征就是堅(jiān)持到底，十年磨一劍。

1998年，清華大學(xué)建立了第一個(gè)基于IPv6 over IPv4技術(shù)的IPv6實(shí)驗(yàn)床6BONE。2003年，CERNET做了純IPv6網(wǎng)，舍棄了雙棧的方法，在IPv4與IPv6互通這一關(guān)鍵問(wèn)題上，CERNET 也進(jìn)行了各種不同思路的探索。一開(kāi)始采用IPv4 over IPv6隧道的辦法，形成了國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織IETF的若干RFC標(biāo)準(zhǔn)。2007年，開(kāi)始基于無(wú)狀態(tài)IPv4/IPv6翻譯技術(shù)IVI實(shí)現(xiàn)IPv4和IPv6之間的互通。

李星提到，互聯(lián)網(wǎng)技術(shù)最核心的就是體系結(jié)構(gòu)，體系結(jié)構(gòu)的表現(xiàn)形式是IETF RFC標(biāo)準(zhǔn)。全世界現(xiàn)在有8000多個(gè)RFC，中國(guó)領(lǐng)銜的RFC大概有100多個(gè)，其中，華為最多，清華大學(xué)其次。

IVI系列技術(shù)獲得了國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織IETF的9個(gè)RFC，并已經(jīng)被其他RFC標(biāo)準(zhǔn)引用達(dá)141次以上，成為IPv4和IPv6互聯(lián)互通最核心的標(biāo)準(zhǔn)。

IPv6的安全

李星表示，IPv6的安全非常值得關(guān)注。其原因還是在于木桶短板效應(yīng)——如果一個(gè)系統(tǒng)既有IPv4又有IPv6，黑客最容易找到漏洞，因此，實(shí)施IPv4和IPv6的雙棧網(wǎng)絡(luò)安全其代價(jià)是單棧的數(shù)倍。但如果能采用翻譯技術(shù)把IPv4和IPv6隔開(kāi)，安全狀況會(huì)好很多。

他表示，未來(lái)有幾個(gè)因素將會(huì)影響IPv6網(wǎng)絡(luò)的安全：第一，端到端安全。IPv4網(wǎng)絡(luò)主要由三大網(wǎng)絡(luò)運(yùn)營(yíng)商運(yùn)營(yíng)，但I(xiàn)Pv6網(wǎng)絡(luò)中，許多大企業(yè)包括中國(guó)石化、石油等都有很大的地址塊，這樣將會(huì)產(chǎn)生大量的互聯(lián)中心，從而影響整個(gè)網(wǎng)絡(luò)的安全；第二，路由安全。李星表示，域名不是互聯(lián)網(wǎng)本質(zhì)，路由才是本質(zhì)?；ヂ?lián)網(wǎng)的路由是無(wú)中心分布式的，所以美國(guó)是不可能把互聯(lián)網(wǎng)斷掉的；第三，加密和證書。如何在IPv6上加密，仍然是一個(gè)難題。最后，是物聯(lián)網(wǎng)的挑戰(zhàn)，這是做網(wǎng)絡(luò)安全的人必須面對(duì)的挑戰(zhàn)。

IPv6究竟怎么才能成功？李星說(shuō)，“在硅谷，大家說(shuō)，做硬件，如果你不會(huì)浪費(fèi)晶體管就會(huì)失敗，做網(wǎng)絡(luò)，如果你不會(huì)浪費(fèi)帶寬就會(huì)失??；我的說(shuō)法是，做IPv6，如果你不會(huì)浪費(fèi)IP地址,也會(huì)失敗?！?/p>