Board logo

标题: IPv6 为网络安全带来新机遇 [打印本页]

作者: linda    时间: 2018-8-1 17:13     标题: IPv6 为网络安全带来新机遇

IPv6拥有几乎无限的地址空间,网络信息传输也更智能、更安全,围绕IPv6的新一轮发展机遇已经出现,基于IPv6的互联网应用将很大可能颠覆现有商业模式。本文提出,向IPv6的迁移是今后网络发展的基础,IPv6是不可逾越的阶段。同时也给我国带来很大的机遇,要从国际竞争、产业发展、网络治理和自主创新的高度来认识推进IPv6的意义。

互联网产生至今已有四十余年,自其诞生到蓬勃兴起,一直遵循着从民间研究开端、经个体自发使用、到既成事实确认的发展轨迹。互联网的TCP/IP协议族是互联网发展的基石,其中IP是网络层协议,规范互联网分组信息的交换和选路。目前采用的IPv4协议的地址长度为32比特,总数约43亿个IPv4地址现已分配殆尽。中国作为互联网大国,但网民平均拥有的IPv4地址仅0.469个,地址的短缺已经严重影响我国互联网的发展。

1996年国际互联网标准化机构IETF制订了IPv6第一批标准,IPv6作为新版网络层协议具有非常丰富的地址资源。近年来,出于国家安全和物联网发展等需要,IPv6支撑网络用户溯源的优势凸显,欧美等发达国家加快了向IPv6过渡的步伐。美国通过出台IPv6应用指南和规划路线图,明确提出时间表并专门设定预算,支持国防部和政府网站全面升级为IPv6,同时建立监控项目对全网IPv6使用情况进行监测。美国的IPv6用户到2016年底已达30.3%。比利时这一比例更高达48.6%。从目前发展趋势看,一两年内发达国家使用IPv6接入的用户数就会超过使用IPv4接入的用户数,尽管这些国家IPv4的地址还有很大的富裕。与此同时,印度和巴西等缺乏IPv4地址的国家也加速发展IPv6,成为新的增长点。

中国平均每个网民仅有不到半个IPv4地址,向IPv6过渡理所当然。当前IPv6网络已成为各国推动新的科技产业革命和重塑国家长期竞争力的先导领域。中国在全球这一轮IPv6发展的大潮中应该如何作为?

一、全球互联网IPv6部署及应用

据国外一些机构最新统计数据显示,IPv6部署已经国际上取得了突破性进展,主要发达国家IPv6部署率大幅提高,美国、德国、比利时、法国、瑞士、日本等国家IPv6部署率已经接近或超过40%,Google全球IPv6用户访问量已超过16%,Google、Youtube、Facebook、Amazon等全球排名靠前的网站已经全面支持IPv6。

从Google公司的访问统计来看,截止到2017年6月,通过IPv6网络访问Google网站的用户比例已经超过16%。具体统计情况见图1。



图1 Google IPv6 用户访问统计



而印度等国家由于IPv4基础设施极度薄弱,直接跳过IPv4全面推进IPv6,在IPv6下一代互联网发展上也掌握了很大的后发优势。从IPv6用户规模来看,目前印度IPv6用户绝对数量超过1亿2000万,高据榜首;其次是美国,IPv6用户数超过9800万,德国IPv6用户数超过2900万,排名第三,然后是日本和巴西等。

(一)欧美发达国家政府先行带动

从全球IPv6部署情况的统计数据看,不论是IPv6网络、IPv6用户还是IPv6内容方面,欧美发达国家已经大幅度领先,且近一两年呈现出爆发增长的趋势。为了反恐等需要,美国看中了IPv6可以溯源的优点,早在2003年美国防部就宣布300亿美元IT设备预算用来采购支持IPv6的网络软硬件设备,要求到2008年国防部的主要网络将过渡到IPv6上。2012年7月,美国政府更新《政府IPv6应用指南/规划路线图》,明确要求到2012年末,政府对外提供的所有互联网公共服务必须支持IPv6;到2014年末,政府内部办公网络全面支持IPv6,现在美政府网站对IPv6支持超过了公司和研究机构。

(二)发达国家大型内容提供商主动布局IPv6

美国拥有最多的IPv4地址,平均每个网民可以分到6个IPv4地址,但新兴的公司依旧缺乏足够的IP地址,IPv4地址交易已到每个地址10美元的价格,现在直接转向IPv6是合理的选择。另一方面,IPv6代表技术发展方向,Google、Apple、Microsoft三家巨头主导的终端操作系统率先全面支持IPv6,并且实现了双栈环境下IPv6访问优先。当以ATT、Verizon wireless 为首的运营商准备好了IPv6网络,并且下发全球可路由的IPv6地址给用户,然后IPv6用户,IPv6网络,IPv6内容都有了,IPv6 用户和流量稳步上升自然是水到渠成。这些巨型互联网公司为什么在IPv6发展部署非常积极主动呢?分析其原因主要是创新驱动。持续性的创新是这些巨型互联网公司在残酷竞争中独占鳌头的主要法宝。众所周知,IPv4由于地址空间的限制,已经阻碍创新型应用部署(如物联网、云平台应用等)。以Google为首的互联网公司认定IPv6是必然趋势,所以很坚决发力提前部署。另外一方面巨型互联网公司有雄厚的资本积累,有能力投入资金到IPv6升级改造去。

(三)移动运营商4G VoLte 发展带动IPv6 部署

第四代移动通信4G技术是基于数据包交换设计的,IP多媒体核心网络要求诸如多媒体SMS和基于LTE的语音必须承载于IP之上并能够被分发。在4G之前的移动通信话音走的是电路交换方式,对话音和数据都以分组方式处理的VoLTE应用要求智能终端实时在线,并且能够实现端到端的通信。以上需求只有拥有广阔地址空间的IPv6才能满足。全球知名移动运营商如AT&T、Verizon wireless和T-Mobile 等都在VoLTE部署时不约而同地设置IPv6优先,而VoLTE部署带来了大量的IPv6用户和完善的IPv6端到端网络,形成良性循环,从用户侧和网络侧为推动IPv6流量快速上升创造了良好的条件。

(四)IPv4地址枯竭是IPv6部署的内生动力

截至2017年1月,美国网民平均拥有IPv4地址最多(达到5.6个),中国网民平均仅有不到半个IPv4地址,与巴西、墨西哥和俄罗斯情况相当,印度问题更严重,连0.1个都不到。巴西和印度等严重缺乏IPv4地址的国家跳过私有地址而直接选择IPv6。

印度网民数增长很快,2017年已经达到4.6亿,但网民平均拥有的IPv4地址数仅为0.089个,即平均11个网民还分不到一个IPv4地址。印度国内的互联网内容提供商发展并不理想,但移动通信发展比较迅速。印度是英语国家,主要以访问Google、Facebook等境外的英语网站,当这些大型网站转向IPv6优先时,印度自然会加快向IPv6发展。印度的IPv6部署率为27.8%,用户数接近1亿3000万,已成为IPv6的全球第一大用户国。

二、 IPv6与网络安全

(一)通过规范地址分配为IPv6网络安全提供保障

1、严格按标准规范IPv6地址分配是信息安全保障的前提

IPv6技术带来的最大红利是它采用了128位的地址,具有比IPv4大得多的编码地址空间。然而,在IPv4网络下存在的网络安全问题现状如果毫无节制地平移到IPv6网络下,则使得现有IPv4体制下建立的信息安全解决办法将面临因海量地址而彻底无能为力的尴尬境地,不仅无法体现IPv6“超大地址空间”这一红利,相反地,其后果不可想象。因此,有必要从IPv6地址这一最基本的基础设施上着手,挖掘IPv6超长地址串的“杀手级”优势:采用地址编码技术对IP地址类型加以识别,地址编码可到区县级,能精准追溯地址,对可信域名管理体系加以规范,打造安全可信的信息通信网络基础设施;加强互联网流量分类识别,根据地址识别接入业务类型,支撑政府科学决策,全面、及时、准确地掌握互联网发展整体情况和发展趋势,发现存在的主要问题,引导互联网健康发展;推进网络基础设施可信性建设,杜绝网络欺诈行为,增强IP地址的可溯源性,净化网络环境,保障用户权益,为网民提供放心上网的用户体验。一旦针对IP地址规划和管理得当,国家层面在网络侧通过基于IP地址对网络流量的控制与安全管理效率也是最高的,管理代价也是最为低廉的。

2、IPv6海量的地址空间可有效防止通过地址扫描的攻击

IPv6巨大的地址空间主要是解决扩展性问题,但同时增加了意想不到的安全性。众所周知,地址扫描或端口扫描是攻击者最基本的攻击手段。利用近年来扫描的最新技术可以在45分钟扫描整个IPv4的地址空间,这种技术可以进一步被攻击者识别用户的地理位置和发现漏洞并入侵等。在IPv6网络中,攻击者的扫描可能变得非常困难,甚至彻底不可行了,同样的速度扫描整个IPv6的地址空间大概需要280年(即1.2亿亿亿年),无疑这大大提高了用户终端设备的安全。席卷全球的WannaCry病毒在IPv6网络中将无能为力。

(二)真实源地址验证和用户身份标识提升安全性

IPv4没有建立起源地址验证机制。互联网起步时是美国国防部和高校内部使用的网络,使用者彼此是有信任关系的,没有关注网络安全问题。互联网对上网用户采用动态分配地址方式,地址与身份不关联,无从谈起溯源。后来虽然认识到安全的重要性,但IPv4地址资源紧张,也不可能为用户固定分配地址。互联网从早期的小范围学术网络发展为全社会信息基础设施,但互联网源地址验证缺失的体系结构设计缺陷一直没有相应提升,使得假冒地址行为难以溯源,导致网络攻击等安全事件泛滥,成为当前互联网最重要的安全隐患之一。经过十几年研究,国际上只有局部、零散的源地址验证解决方案,但在IPv4环境下基本没有规模的采用。

(三)IPv6为新增DNS根服务器提供了机会

域名解析服务(DNS)的本质是保证“名字系统与IP地址映射的唯一性”。DNS是一个递归的层次结构,最顶级的域名解析(指顶级域名,例如国家域名和.com等域名)由根服务器完成。根服务器作为DNS系统的顶端,是互联网神经系统的中枢,是互联网的关键基础设施,根服务器的重要性不言而喻。

1、根服务器的安全风险

全球有13个根服务器,600多个镜像,我国仅有5个镜像,而且这些镜像服务器物理上在我国境内,但位于我国国家信息关防之外,由其所对应的境外的根服务器运营方所管理。从互联网关键基础设施和网络安全的角度,对部署在我国的根服务器镜像我们并没有控制权,导致我国互联网依赖外方控制的根服务器解析顶级域名,一旦发现紧急情况,缺少应变和反制手段;其次,部署在我国的根服务器镜像可能会收集所有指向根的DNS查询信息,泄露我国一些重要网站和基础设施的敏感信息;另外,缺少自主可控的根服务器系统导致抵御大规模DDoS的能力不足,现在根服务器部署镜像所采用Anycast技术手段,很容易导致局部根服务器镜像被攻陷,而缺少应急机制。我国需要正视根服务器作为互联网关键基础设施的重要作用,补足短板,优化网络,为打造网络强国奠定基础。

2、根服务器扩展的研究纳入ICANN议程

IANA管理权的过渡,虽然没有改变美国政府对根服务器运营管理的司法管控力,但在IANA新的管理体制下,重启根服务器扩展的研究成为可能,根服务器的扩展不再是禁忌话题,讨论和技术攻关的空间相比之前已经更大。近期在我国参与ICANN会议的专家的不断推动下,ICANN的根区咨询委员会(RSSAC)开始了新增根服务器运营者的讨论,并发布了潜在根运营者的关键技术要素报告。这些方案和讨论大部分还停留在草案拟定和探索阶段,而且修改协议所需要的协调时间不可预测,但总的来说有了良好开端。

3、IPv6根服务器系统

2013年下一代互联网关键技术和评测国家地方联合工程研究中心(以下简称“工程中心”)抓住互联网由IPv4向IPv6转型升级的宝贵时机,联合日本的WIDE(现M根运营者)和美国的互联网名人堂专家Paul Vixie(现C根运营者),本着互联网的精神发起了基于全球IPv6根服务器的探索与研究。2015年6月,工程中心作为三方发起者的代表,在阿根廷召开的第53届ICANN会议上公开发布了全球IPv6根服务器系统。IPv6根服务器系统在现有13个根体系的基础上,直接通过IPv6的报文空间,再增加25个纯IPv6的根服务器,纯IPv6根服务器从IANA取得根区文件后,它同样可以解析IPv4。IPv6根服务器系统联合了美国、日本、印度、俄罗斯、欧盟在内的十六个国家和地区的机构开启了IPv6根服务器系统的全球运营。截至2016年9月,全部25个IPv6根服务器部署完毕,从根服务器的数量和分布上为实现互联网的合理共治打下坚实基础。项目目前正依据全球实际运行的反馈结果,就相关技术的实用性、安全性和可靠性进行持续完善,以保证IPv6根服务器系统的安全、稳定和高效。
三、推动IPv6应用发展机不可失

(一)国际竞争的必然选择

2015年4月23日,美国五角大楼公布了网络安全新战略:预警网络战争。在长达33页的战略书中,称美国防部“应该具备使用网络操作破坏敌人指挥及控制网络、军事相关重要基础设施和武器能力。”2016年12月1日,美国白宫的“美国加强国家网络空间委员会”提交的《网络空间安全与增长的数字经济报告》从八大领域给出行动建议,要求政府与企业紧密联合行动。从2011年起,每年的6月6日被定为“世界IPv6日”。全球互联网加速向IPv6网络迁移,IPv6技术成熟、成本可控,已成为美国、德国、法国、比利时等发达国家和印度、巴西等发展中国家互联网扩充和发展的首选,IPv6 的部署率都在快速增长。

我们要抓住全球都在向下一代互联网过渡的关键机遇,加速推进我国互联网向IPv6迁移,为推进全球互联网“互联互通、共享共治”做出表率,为“一带一路”国家互联网发展提供有力支撑。否则几年后,我国互联网很有可能成为“IPv4”孤岛,在全球互联网发展、互联互通和共享共治中丧失主动权和话语权。

(二)产业发展的迫切需求

网络空间地址的严重稀缺,以及即将到来的物联网时代都在一定程度上需要快速升级到下一代互联网。我国政府对下一代互联网(IPv6)的发展高度重视,尤其是在今年发布的“十三五”规划中,明确提出“超前布局”。

信息化的强大离不开互联网产业链的构建,美国不仅发明了互联网,而且培育了Apple、Cisco、IBM、Google、Qualcomm、Intel、Microsoft、Oracle等八大金刚公司,从核心技术、关键设备到各类应用产品,都占据了先发优势,在现有互联网(IPv4网络)发展中构建了缜密的互联网全产业链体系,现在他们又率先领跑发展IPv6。

(三)网络空间治理的根本保障

一个基于下一代互联网的自主可控的互联网是互联互通基础工程的基石。不仅可以带来军事、政治领域安全可靠的互联互通,更可以带来科技和金融交易领域安全可靠的互联互通。

发展IPv6网络是大势所趋,这是中国几十年一遇的一次利用全球互联网产业链升级的机会,早发展、快发展IPv6网是我国争取全球互联网主动权的关键举措,是促进我国互联网健康、可持续发展和加强互联网治理管控的必然选择。用我国自主知识产权技术超前部署,充分利用向下一代互联网大规模部署和商用机遇,发挥IPv6在网络信息安全方面的优势,快速实现向采集、传输、存储、分析和处理为核心的新一代信息基础设施演进。从而落实《国家信息化发展战略纲要》提出的“实现技术先进、产业发达、应用领先、网络安全坚不可摧的战略目标。”

(四)自主创新的难得机遇

由于美、欧、日等国家是网络信息技术的先行者,所以在IPv4的地址、网络资源、产业等方面拥有得天独厚的优势,他们在IPv4的标准和技术上占有垄断地位。但是IPv6的过渡互通、业务应用、安全管控等方面仍存在较大创新空间。IPv6改变了数据传送格式,为下一代互联网体系结构的安全性设计提供了创新发展机会,IPv6拥有巨大地址空间,可以进一步开发利用,开拓了互联网创新的新课题。我们需要利用IPv6技术特点和我国IPv6产业基础,创新IPv6网络发展、业务应用、产业升级、治理管控的新模式、新方法、新理念。

原文:https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655120390&idx=3&sn=4efe4898aa28af24bf6e33e0e329c11c&chksm=bc8671e98bf1f8ffb736f ... Bj&pass_ticket=cDmdFJHhiQamrz1lpiC9MHFX6uf3qWFXoLdHAGSy%2F1da%2BPPuY1S9BrU0x2JM5hTf#rd




欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0