IPv6對網(wǎng)絡(luò)安全治理的影響分析

翟昱 買爾旦·肉孜

摘 要：隨著IPv4地址池消耗殆盡，IPv6逐步成為未來互聯(lián)網(wǎng)的IP協(xié)議核心。在2017年《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》發(fā)布后，學(xué)術(shù)界就開始出現(xiàn)兩種觀點，一種是IPv6出現(xiàn)將提升中國在全球互聯(lián)網(wǎng)治理當(dāng)中的地位，另一種則是IPv6在實現(xiàn)終端設(shè)備溯源的過程可能侵犯個人隱私。從這兩個觀點來看，都代表IPv6對網(wǎng)絡(luò)安全治理存在影響，文章由此進行分析討論，以期可以對IPv6的部署提供一些參考建議。

關(guān)鍵詞：IPv6;IPv4;網(wǎng)絡(luò)安全治理

1 關(guān)于IPv6

1.1 ?IPv6的基本內(nèi)容

IPv6是TCP/IP協(xié)議族當(dāng)中的一個重要組成部分，作為下一代網(wǎng)絡(luò)協(xié)議，取代IPv4是必然的，因為IPv6具有更大的地址空間容量，使用更小的路由表，增強組播支持和對流支持，自動配置支持和更高的安全性。作為IPv4的擴展協(xié)議，本質(zhì)上是為了解決IPv4網(wǎng)絡(luò)地址枯竭和路由表膨脹問題。

IPv6地址以8組四位十六進制數(shù)值表示，由128比特位構(gòu)成，從數(shù)量級上來說，理論上IPv6的地址容量是無限的，顯然它將解決網(wǎng)絡(luò)地址資源數(shù)量問題并且為萬物互聯(lián)提供基礎(chǔ)。

1.2 ?IPv6的發(fā)展情況

國際上，1990年開始IETE開始規(guī)劃設(shè)計IPv4的下一代協(xié)議，到1994年正式提出了IPv6發(fā)展計劃，并在1998年IPv6正式發(fā)布。2009年一項IPv6監(jiān)測項目展開，主要內(nèi)容是針對Alexa排名25 000以內(nèi)的域名進行持續(xù)的IPv6解析和可用性監(jiān)測，監(jiān)測數(shù)據(jù)不斷上漲，說明主流網(wǎng)站都在部署實施IPv6。在2018年全球IPv6用戶就已經(jīng)在全球互聯(lián)網(wǎng)用戶數(shù)量的比例中占比18%。

國內(nèi)從2017年開始部署IPv6，2018年召開中國IPv6產(chǎn)業(yè)發(fā)展研討會，該會議中明確了從2017年開始部署IPv6以來的成就，全國IPv6地址的LTE和固定寬帶接入網(wǎng)絡(luò)用戶數(shù)量已經(jīng)接近10億。

1.3 ?IPv6的安全機制

本文重點針對IPv6的安全機制進行分析，作為IPv4的擴展，比較于IPv4，顯然IPv6的安全性是有顯著提升的，具體來講IPv4是一種簡單的網(wǎng)絡(luò)協(xié)議，存在很多漏洞，應(yīng)用程序要保證安全只能通過自身攜帶的安全機制來保證數(shù)據(jù)交互安全。而IPv6完全不同，它本身全面支持IPsec，因此需要基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全解決方案，以便滿足和提升不同IPv6協(xié)議實現(xiàn)協(xié)同工作。IPsec則通過正確使用封裝安全性ESP和AH來實現(xiàn)訪問機制、無連接的完整性、數(shù)據(jù)源身份驗證、對包重放攻擊的防御、加密、有限的業(yè)務(wù)機密性。

ESP即封裝化安全凈荷，它是IPv6的標(biāo)準(zhǔn)擴展頭，用來實現(xiàn)在網(wǎng)絡(luò)層的端到端連接中提供數(shù)據(jù)加密功能，這種數(shù)據(jù)加密功能可實現(xiàn)數(shù)據(jù)包的私密性，提供公共密鑰對數(shù)據(jù)來源進行身份認(rèn)證，基于AH的序列號機制對抗重放，提供安全性網(wǎng)關(guān)實現(xiàn)有限的業(yè)務(wù)流機密性。

AH即認(rèn)證報頭，其主要提供驗證功能，即對數(shù)據(jù)包的來源地址進行驗證，并提供數(shù)據(jù)完整性測試，它的存在可確保數(shù)據(jù)包的完整性，對數(shù)據(jù)包來源進行認(rèn)證，若在數(shù)據(jù)包完整性當(dāng)中有公鑰數(shù)字簽名算法可為數(shù)據(jù)包提供無可推卸的服務(wù)，使用序列號字段來防止重復(fù)攻擊[1]。

從上述分析來看，IPv6在網(wǎng)絡(luò)層的安全性上有著巨大的提升，優(yōu)點很多，但是并不說它就是完美的，因為網(wǎng)絡(luò)安全是一個包含很多層次和問題的復(fù)雜系統(tǒng)問題，并不單單只是一個網(wǎng)絡(luò)層的問題，同時即便是從網(wǎng)絡(luò)層來講它也并不完美，因為它保留有IPv4的一些選項和服務(wù)系統(tǒng)，如TTL、分片等，從IPv4的角度來講，黑客主要就是利用分片或TTL等選項或功能來攻擊IP協(xié)議或者是逃避防火墻的檢測，所以IPv6也不能保證能夠避免這些類似的攻擊，再者，網(wǎng)絡(luò)安全中的攻擊和防護是動態(tài)變化的，安全防護能力增強，攻擊能力必定增強，攻擊能力增強，安全防護能力也必定會增強，所以IPv6在網(wǎng)絡(luò)層有了更先進的安全機制，當(dāng)然能夠讓黑客的攻擊技巧更新?lián)Q代。

2 IPv6對網(wǎng)絡(luò)安全治理的影響

2.1 關(guān)于網(wǎng)絡(luò)安全治理

我國當(dāng)前正在進行新基建，新基建是圍繞互聯(lián)網(wǎng)展開的，它的保護如何構(gòu)建是當(dāng)前的一個重點，我國工程院、科學(xué)院相關(guān)院士指出我國網(wǎng)絡(luò)空間安全形勢很嚴(yán)峻，如中國科學(xué)院院士馮登國指出，我國網(wǎng)絡(luò)空間防護體系建設(shè)相對之后，網(wǎng)絡(luò)空間治理形勢不容樂觀，網(wǎng)絡(luò)空間戰(zhàn)略威懾能力尚需要提升，IT產(chǎn)品供應(yīng)鏈形勢十分嚴(yán)峻，其中，網(wǎng)絡(luò)空間治理方面，馮院士指出現(xiàn)階段網(wǎng)絡(luò)空間治理缺乏有效技術(shù)手段，法律法規(guī)，這是一個相當(dāng)嚴(yán)重的問題。網(wǎng)絡(luò)安全治理需要軟硬皆施，即不僅要強化技術(shù)上的硬實力，也要強化法律法規(guī)等方面的軟實力。如此結(jié)合本文主題來看，IPv6對網(wǎng)絡(luò)安全治理的影響主要是在技術(shù)硬實力方面[2]。

2.2 ?IPv6對網(wǎng)絡(luò)安全治理的影響表現(xiàn)

IPv6有兩種地址配置機制，即DHCP機制和SLAAC機制，在DHCP機制當(dāng)中，地址由管理域內(nèi)的相關(guān)服務(wù)器集中管理，因而不同的管理域可以應(yīng)用不同的地址分配策略，從而規(guī)避隱私泄露風(fēng)險。在SLAAC機制當(dāng)中，設(shè)備會在子網(wǎng)當(dāng)中共享64比特的網(wǎng)絡(luò)前綴，并且基于一定規(guī)則自動生成地址，IETF標(biāo)準(zhǔn)當(dāng)中規(guī)定了地址由自動配置的前綴與嵌入底層鏈路地址接口ID構(gòu)成，并在以太網(wǎng)中使用設(shè)備的48比特MAC生成IID。由于MAC相當(dāng)于設(shè)備的唯一數(shù)字標(biāo)簽，基于全球唯一MAC生成的IID可能存在安全和隱私泄露的風(fēng)險，具體表現(xiàn)為，設(shè)備在任何網(wǎng)絡(luò)當(dāng)中配置地址時將使用相同的IID，惡意攻擊者就可以利用它在不同的網(wǎng)絡(luò)流量中對設(shè)備進行歸類，并分析潛在行為，并可對設(shè)備網(wǎng)絡(luò)前綴進行分析，進而分析該設(shè)備的移動軌跡。MAC當(dāng)中由于包含OUI信息（IETF組織唯一標(biāo)識），一旦被攻擊就有可能泄露設(shè)備制造商的信息，如此就可能借此分析設(shè)備類型進而展開針對性的攻擊，同時也可較為精準(zhǔn)地定位設(shè)備位置。

針對上述問題，RFC3972中突出密碼生成地址機制用以解決問題，在RFC4941中也提出IPv6的隱私擴展機制，定義了臨時地址概念，用以避免設(shè)備被定位。但實際上這些都依賴于相應(yīng)的算法，如果算法泄露了，就有可能通過算法計算后續(xù)可能出現(xiàn)的地址配置信息，這種機制有缺陷，但存在解決的方法，即在設(shè)備操作系統(tǒng)中引入算法隨機數(shù)來規(guī)避。

2.3 在IPv6部署背景下的網(wǎng)絡(luò)安全治理思考

僅就我國而言，目前正在積極推動智慧城市建設(shè)，物聯(lián)網(wǎng)設(shè)備的大量運用，在根本上加速了IPv6的部署進度，因為IPv4地址池根本不能支撐大量物聯(lián)網(wǎng)設(shè)備的入網(wǎng)需求，所以IPv6的部署大勢所趨，而其存在的問題也將深刻影響網(wǎng)絡(luò)安全治理。

在IPv6剛剛提出時，基于MAC的地址配置方式確實存在隱私泄露風(fēng)險，但是隨著標(biāo)準(zhǔn)對隱私保護的完善，從技術(shù)和標(biāo)準(zhǔn)上都逐步規(guī)避了上文中所提及的風(fēng)險，但是由于這些隱私保護方案提出時間晚，且是在2017年才完成的，不排除設(shè)備依然采用低端的配置方式，因而風(fēng)險依然是存在的。

從部署應(yīng)用的層面來講IPv6的優(yōu)點是非常多的，但是其靈活配置和永遠(yuǎn)在線也并不是完全無安全隱患，為此結(jié)合聯(lián)合國裁軍研究所報告的相關(guān)內(nèi)容來看，建議在網(wǎng)絡(luò)安全治理上需要做好意識培養(yǎng)，能力建設(shè)、信任建立和合作4個方面。意識培養(yǎng)，重點就是要提升網(wǎng)絡(luò)安全治理的意識;能力建設(shè)就是要強化技術(shù)上的硬實力和法律法規(guī)上的軟實力，進而提升治理能力;信任建立是要消除組織之間的不信任、誤解和敵意，從而提升合作透明度，和更開放的對話信息交流等;合作將帶來更大的效益[3]。

3 結(jié)語

在網(wǎng)絡(luò)安全治理方面IPv6引入的AH和ESP增強了網(wǎng)絡(luò)層的安全性，這對于IPv4而言是非常大的進步，但是也要看到IPv6的安全機制并不是特別成熟，需要額外配套隱私保護方案，這都將對現(xiàn)有的網(wǎng)絡(luò)安全體系造成沖擊，因此迫切需求更為先進的網(wǎng)絡(luò)安全問題解決方案。

[參考文獻]

[1]虞俊明，王燕霞，危丁梅.基于IPv6下的系統(tǒng)備份與還原設(shè)計與實現(xiàn)[J].福建電腦，2018（4）：22-23.

[2]汪迅寶，劉超，張程，等.一種基于IPv6的互轉(zhuǎn)網(wǎng)關(guān)體系結(jié)構(gòu)[J].安徽工業(yè)大學(xué)學(xué)報（自然科學(xué)版），2018（2）：160-166.

[3]尤振華.淺析多維度的網(wǎng)絡(luò)安全治理[J].數(shù)字通信世界，2018（11）：147.

（編輯 傅金睿）