来源:中国科学报,作者:李惠钰 互联网是个开放的网络,在这样开放的网络中,所有访问是不可信的,每一个分组的访问,都不会对源地址进行验证。如果能解决这个问题,互联网的安全等级会大大提高。 如果IPv4是一颗鸡蛋,那么IPv6就是整个地球。由于拥有几乎无限的地址空间,IPv6给我国整个网络强国建设带来机遇。 不久前,工信部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知(以下简称通知),大力推进IPv6部署,加快网络基础设施和应用基础设施升级步伐,促进下一代互联网与经济社会各领域的融合创新。 其中,网络安全提升被列为重要任务。通知明确要求从网络安全管理、网络安全保障措施升级改造、网络安全能力建设三个方面强化IPv6网络安全保障。 那么,下一代互联通信网络部署在即,IPv6安全防护真的准备好了吗? 海量地址提供溯源手段 当前,“线上”网络和“线下”生活正在深度融合,虚拟网络世界和现实社会生活相互交织。人们在互联网上变成了“透明人”,个人的一举一动都被互联网“记录在案”,导致人们在网络空间越来越缺乏安全感。 北京大学互联网发展研究中心主任田丽谈到,网络安全和信息安全问题在互联网时代更加凸显,大数据收集和人工智能分析的泛滥,给个人信息保护带来不小的挑战。特别是在“IPv4网+”上,现有技术无法检查传输中的任何一个数据的源地址,很多网络安全隐患由此产生。 “由于IPv4地址的不足,导致私有地址大量使用,NAT(地址翻译)破坏了端对端的透明性,给网络安全事件溯源带来了困难,假冒地址横行,网络攻击等安全事件泛滥。”中国工程院院士邬贺铨此前在网络空间战略论坛上指出。 互联网是个开放的网络,在这样开放的网络中,所有访问是不可信的,每一个分组的访问,都不会对源地址进行验证。如果能解决这个问题,互联网的安全等级会大大提高。 IPv6则为解决网络空间安全问题提供了一个非常好的机遇。邬贺铨表示,IPv6海量的地址为固定分配地址和建立上网实名制奠定了基础,在IPv6地址中通过算法嵌入可扩展的用户网络身份标识信息,与真实用户的身份关联,可构建IPv6地址生成、管理、分配和溯源的一体化IPv6地址管理和溯源系统,实现了与自治域相关联的IP地址前缀级粒度的真实源地址验证。 另外,邬贺铨认为,IPv6充足的地址空间可严格按照区域和业务类型甚至用户类型进行地址分配,可以实现对特定IP地址溯源、按业务类型精细服务,或对特定服务类型进行区域管理、精细化监控与安全侦测及防护等,这种基于IP地址对网络流量的控制与安全管理效率高、成本低。 海量的地址空间还可有效防止通过地址扫描的攻击。众所周知,网络攻击者通过地址扫描识别用户的地理位置发现漏洞并入侵,目前的技术可在45分钟内扫描IPv4的全部地址空间,而每一个IPv6地址是128位,假设网络前缀为64位,那么在一个子网中就会存在264个地址,假设攻击者以每秒百万地址的速度扫描,需要50万年才能遍历所有的地址,无疑将显著提升网站与用户终端设备的安全。 “但这并不妨碍政府监管部门用扫描技术发现违法网站,在完善的IPv6地址登记和备案制度下,监管部门能够知道哪些地址是已经分配的,只扫描已分配的地址空间而不是全部IPv6地址空间,因此并不会给主动扫描带来太大麻烦。”邬贺铨说。 升级仍面临安全挑战 不过,从IPv4向IPv6过渡,仍然会面临安全挑战。邬贺铨表示,从IPv4向IPv6过渡将要持续一段时间,过渡与互通方案也会带来新的安全问题,攻击者可以利用过渡协议的安全漏洞来逃避安全监测乃至实施攻击行为。 邬贺铨表示,IPv4 over IPv6或IPv6 over IPv4的隧道机制对任何来源的数据包只进行简单的封装和解封,没有内置认证、完整性和加密等安全功能,并不对IPv4和IPv6地址的关系做严格的检查,攻击者可以随意截取隧道报文,通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量,防火墙可能形同虚设。 中国大数据技术与应用联盟副理事长王安平也对记者指出,互联网升级IPv6是一项专业性强、涉及面广、情况复杂的系统工程,国家有关部门强力推进,但由于目前市场上各企业技术实力参差不齐,导致一些国家部委机关、央企、省级政府、媒体以及互联网企业在网站、云服务平台、数据中心升级IPv6过程中,网站、云服务平台、数据中心出现天窗、乱码、宕机、瘫痪和停服等现象。 “当前互联网升级IPv6一定要回归IPv6的本质,要精心设计、稳妥推进,把握好升级的主线和关键,互通是根本,安全是基础,演进是生命。”王安平表示,IPv4、IPv6属于两个平行网络空间,升级IPv6就是要实现两个网络空间的互联互通,从纯IPv4时代迈向纯IPv6时代是一个漫长的过程,这期间必须用好IPv4和IPv6之间的翻译技术。 “安全是基础,要确保现有网络安全,离开了网络信息安全,升级IPv6就失去了意义。”王安平强调,当前互联网升级IPv6,一定要确保网络安全,过渡期具有同样的安全性,另外要保持网络的开放性和互通性,要符合IETF标准,采用国际主流技术。 工业和信息化部党组成员、总工程师张峰也表示,下一步还需要着力突破网络端到端贯通、网络与应用协同推进等关键环节。要强化安全保障,实施IPv6网络安全提升计划,加强IPv6网络安全能力建设,严格落实IPv6网络地址编码规划方案。另外还要完善监测体系,组织建设IPv6发展监测平台,加强对网络、应用、终端、用户、流量等关键发展指标的实时监测与分析。 |
|