前國內(nèi)的網(wǎng)絡(luò)正在快速的向IPv6升級中,從網(wǎng)絡(luò)基礎(chǔ)設(shè)施如運(yùn)營商骨干網(wǎng)、城域網(wǎng),到互聯(lián)網(wǎng)服務(wù)商如各類云服務(wù),以及各類終端設(shè)備廠商如手機(jī)、電腦、路由器、交換機(jī)等,均在向IPv6網(wǎng)絡(luò)的升級改造中。根據(jù)國家相關(guān)部門的計劃,2019年要基本全面實現(xiàn)IPv6的支持。
那么什么是IPv6,有哪些特點,對網(wǎng)絡(luò)安全有何影響,又將如何應(yīng)對等等,關(guān)于IPv6的種種疑惑,本文將一一為大家做出闡述!
- 什么是IPv6
IPv6是英文“Internet Protocol Version 6”(互聯(lián)網(wǎng)協(xié)議第6版)的縮寫,是用于替代IPv4的下一代IP協(xié)議,也就是下一代互聯(lián)網(wǎng)的協(xié)議,其地址數(shù)量號稱可以為全世界的每一粒沙子編上一個地址。
IPv6的使用,不僅能解決網(wǎng)絡(luò)地址資源數(shù)量的問題,而且也解決了多種接入設(shè)備連入互聯(lián)網(wǎng)的障礙。其128位地址格式將以其在IP地址數(shù)量、安全性、移動性、服務(wù)質(zhì)量等方面的巨大優(yōu)勢,改變現(xiàn)代信息生活。
互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(IANA)在2016年已向國際互聯(lián)網(wǎng)工程任務(wù)組(IETF)提出建議,要求新制定的國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)只支持IPv6,不再兼容IPv4。
- IPv6的優(yōu)勢
- 明顯地擴(kuò)大了IP地址空間
- 明顯提高了網(wǎng)絡(luò)的整體吞吐量
- 使得整個服務(wù)質(zhì)量得到了很大改善
- 安全性有了更好的保障
- 支持即插即用和移動性
- IPv6技術(shù)特性
IPv6 在解決了 IPv4 的地址匱乏問題的同時,還在許多方面實現(xiàn)了優(yōu)化改進(jìn),主要包括以下五點:
- 第一,IPv6 具有層次化的編址方式,地址分配遵循聚類(Aggregation)的原則,同時通過使用更小的路由表,使得路由器能在路由表中用一條記錄(Entry)表示一片子網(wǎng),大大減小了路由器中路由表的長度,有利于骨干網(wǎng)路由器對數(shù)據(jù)包的快速轉(zhuǎn)發(fā)有效提高轉(zhuǎn)發(fā)速度。
- 第 二,IPv6 增 強(qiáng) 了 組 播 支 持 以 及 對 流 的控制能力,為多媒體應(yīng)用和服務(wù)質(zhì)量(QoS,Quality of Service) 控 制 提 供 了 更 好 的 網(wǎng) 絡(luò) 平臺。
- 第三,IPv6 同時定義了更靈活的地址配置機(jī)制:無狀態(tài)和有狀態(tài)地址自動配置機(jī)制。
- 第四,IPv6 簡化了數(shù)據(jù)包報頭,減少處理器開銷并節(jié)省網(wǎng)絡(luò)帶寬。這就使得路由器在處理 IPv6 報頭時更為高效。此外,IPv6 使用新的頭部格式,其選項與基本頭部分開,如果新的技術(shù)或應(yīng)用需要,可將選項插入到基本頭部與上層數(shù)據(jù)之間,這在簡化路由處理過程中保證了協(xié)議的可擴(kuò)展性。
- 第五,IPv6 擁有基于海量地址空間下的即插即用優(yōu)勢,可更便捷地支持移動性,并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動性管理。
- IPv6威脅及隱患
主要從微觀技術(shù)角度來加以說明
一、IPv4 安全威脅延續(xù)
1、報文監(jiān)聽
IPv6中可使用IPSec對其網(wǎng)絡(luò)層的數(shù)據(jù)傳輸進(jìn)行加密保護(hù),但RFC6434中不再強(qiáng)制要求實施IPSec,因此在未啟用IPSec的情況下,對數(shù)據(jù)包進(jìn)行監(jiān)聽依舊是可行的。
2、應(yīng)用層攻擊
IPv4網(wǎng)絡(luò)中應(yīng)用層可實施的攻擊在IPv6網(wǎng)絡(luò)下依然可行,比如SQL注入、緩沖溢出等,IPS、反病毒、URL過濾等應(yīng)用層的防御不受網(wǎng)絡(luò)層協(xié)議變化的影響。
3、中間人攻擊
啟用IPSec對數(shù)據(jù)進(jìn)行認(rèn)證與加密操作前需要建立SA,通常情況下動態(tài)SA的建立通過密鑰交換協(xié)議IKE、IKEv2實現(xiàn),由DH(Diffie-Hellman)算法對IKE密鑰載荷交換進(jìn)行安全保障[1],然而DH密鑰交換并未對通信雙方的身份進(jìn)行驗證,因此可能遭受中間人攻擊。
4、泛洪攻擊
在IPv4與IPv6中,向目標(biāo)主機(jī)發(fā)送大量網(wǎng)絡(luò)流量依舊是有效的攻擊方式,泛洪攻擊可能會造成嚴(yán)重的資源消耗或?qū)е履繕?biāo)崩潰。
5、分片攻擊
在IPv6中,中間節(jié)點不可以對分段數(shù)據(jù)包進(jìn)行處理,只有端系統(tǒng)可以對IP數(shù)據(jù)包進(jìn)行分分段與重組,因此攻擊者可能借助該性質(zhì)構(gòu)造惡意數(shù)據(jù)包。
6、路由攻擊
在IPv6下,由于部分路由協(xié)議并未發(fā)生變化,因此路由攻擊依舊可行。
7、地址欺騙
IPv6使用NDP協(xié)議替代了IPv4中的ARP協(xié)議,但由于實現(xiàn)原理基本一致,因此針對ARP協(xié)議的ARP欺騙、ARP泛洪等類似攻擊方式在IPv6中依舊可行。IPv6 引入的安全隱患
二、Pv6擴(kuò)展首部威脅
1、逐跳選項報頭
安全威脅:可利用逐跳選項報頭發(fā)送大量包含路由提示選項的IPv6數(shù)據(jù)包,包含有路由提示選項的數(shù)據(jù)包要求所有路由器對該數(shù)據(jù)包進(jìn)行處理并仔細(xì)查看該數(shù)據(jù)包的報頭信息[3],當(dāng)攻擊者發(fā)送大量此類IPv6數(shù)據(jù)包時,將消耗鏈路上路由器大量資源,嚴(yán)重可造成DoS攻擊。
應(yīng)對方式:應(yīng)當(dāng)限制路由器對包含路由提示選項的數(shù)據(jù)包的處理數(shù)量。
2、目的選項報頭
安全威脅:移動IPv6協(xié)議的數(shù)據(jù)通信以明文進(jìn)行傳輸,因此其本身便是不安全的,攻擊者可對MIPv6數(shù)據(jù)包進(jìn)行嗅探進(jìn)而識別其通信節(jié)點、轉(zhuǎn)交地址、家鄉(xiāng)地址、家鄉(xiāng)代理等信息,并利用這些信息偽造數(shù)據(jù)包。攻擊者可通過攔截類型為消息綁定更新的數(shù)據(jù)包,修改綁定關(guān)系中的轉(zhuǎn)交地址。此外,移動節(jié)點標(biāo)識符選項揭示了用戶的家鄉(xiāng)從屬關(guān)系,攻擊者可利用該選項確定用戶身份,鎖定特定的攻擊對象。
應(yīng)對方式:可嘗試開啟IPSec保證數(shù)據(jù)包不會被竊聽。
3、 路由報頭
安全威脅:在RH0路由類型(即type 0)下,攻擊者可利用路由報頭選項偽裝成合法用戶接收返回的數(shù)據(jù)包。同時,RH0提供了一種流量放大機(jī)制,攻擊者可利用該類型進(jìn)行拒絕服務(wù)攻擊。
應(yīng)對方式:應(yīng)當(dāng)盡快更新安全設(shè)備并升級至最新的IPv6協(xié)議版本,同時對所有的RH0數(shù)據(jù)包進(jìn)行丟棄。
4、分段報頭
安全威脅:如若將關(guān)鍵的報頭信息切分在多個片段中,安全防護(hù)設(shè)備對關(guān)鍵信息進(jìn)行提取與檢測處理會耗費(fèi)大量資源,構(gòu)造大量該類數(shù)據(jù)包可能對目標(biāo)主機(jī)造成DoS攻擊。攻擊者可向節(jié)點發(fā)送大量不完整的分段集合,強(qiáng)迫節(jié)點等待片段集合的最后片段,節(jié)點在超時時間內(nèi)由于只接收到部分IPv6片段進(jìn)而無法完成重組,最終只能將數(shù)據(jù)包丟棄,在超時等待期間,會造成存儲資源的消耗。
應(yīng)對方式:防火墻應(yīng)該丟棄除最后分段外所有小于1280字節(jié)的所有分段。Cisco ASA防火墻的FragGuard功能可以將所有的分片組裝并進(jìn)行整個數(shù)據(jù)包檢查用以確定是否存在丟失的分段或重疊分段。
三、協(xié)議威脅
1、 ICMPv6協(xié)議
安全威脅:可通過向組播地址FF02::1發(fā)送Echo Request報文,通過接收Echo Reply報文實現(xiàn)本地鏈路掃描,或以目標(biāo)節(jié)點作為源地址向組播地址FF02 :: 1發(fā)送ICMPv6 EchoRequest消息實現(xiàn)Smurf攻擊。可通過向目標(biāo)節(jié)點發(fā)送ICMPv6 Packet too big報文,減小接收節(jié)點的MTU,降低傳輸速率。可通過向目標(biāo)節(jié)點發(fā)送過多的ICMPv6包以及發(fā)送錯誤消息,導(dǎo)致會話被丟棄,從而破壞已建立的通信,實現(xiàn)DoS攻擊。可通過向主機(jī)發(fā)送格式不正確的消息刺激主機(jī)對ICMPv6的響應(yīng),從而通發(fā)現(xiàn)潛在的攻擊目標(biāo)。
應(yīng)對方式:可在交換機(jī)的每個物理端口設(shè)置流量限制,將超出流量限制的數(shù)據(jù)包丟棄。或在防火墻或邊界路由器上啟動ICMPv6數(shù)據(jù)包過濾機(jī)制,也可配置路由器拒絕轉(zhuǎn)發(fā)帶有組播地址的ICMPv6 EchoRequest報文。可嘗試關(guān)閉PMTU發(fā)現(xiàn)機(jī)制,但其會影響到網(wǎng)絡(luò)數(shù)據(jù)的傳輸速率。
2、鄰居發(fā)現(xiàn)協(xié)議(NDP)
安全威脅
中間人攻擊:由于NDP協(xié)議基于可信網(wǎng)絡(luò)因此并不具備認(rèn)證功能,因此可通過偽造ICMPv6 NA/RA報文實現(xiàn)中間人攻擊。攻擊者可以偽造NA報文,將自己的鏈路層地址并啟用覆蓋標(biāo)志(O)作為鏈路上其他主機(jī)的地址進(jìn)行廣播。攻擊者可偽造RA報文發(fā)送至目標(biāo)節(jié)點修改其默認(rèn)網(wǎng)關(guān)。
重復(fù)地址檢測攻擊:當(dāng)目標(biāo)節(jié)點向FF02 :: 16所有節(jié)點發(fā)送NS數(shù)據(jù)包進(jìn)行重復(fù)地址檢測時,攻擊者可向該節(jié)點發(fā)送NA報文進(jìn)行響應(yīng),并表明該地址已被自己使用。當(dāng)節(jié)點接收到該地址已被占用消息后重新生成新的IPv6地址并再一次進(jìn)行重復(fù)地址檢測時,攻擊者可繼續(xù)進(jìn)行NA響應(yīng)實現(xiàn)DoS攻擊。
泛洪攻擊:攻擊者可偽造不同網(wǎng)絡(luò)前綴RA消息對FF02 :: 1進(jìn)行進(jìn)行泛洪攻擊,接收節(jié)點將會根據(jù)不同的網(wǎng)絡(luò)前綴進(jìn)行更新,從而消耗大量的CPU資源。
應(yīng)對方式
安全鄰居發(fā)現(xiàn)(SEND)[7]協(xié)議是鄰居發(fā)現(xiàn)協(xié)議中的一個安全擴(kuò)展,其工作原理為使網(wǎng)絡(luò)中每個IPv6節(jié)點都有一對公私鑰以及多個鄰居擴(kuò)展選項。采用SEND協(xié)議后,各個節(jié)點的接口標(biāo)識符(IPv6地址低64比特)將基于當(dāng)前的IPv6網(wǎng)絡(luò)前綴與公鑰進(jìn)行計算產(chǎn)生,而不能由各個節(jié)點自行選擇。安全鄰居發(fā)現(xiàn)協(xié)議通過時間戳和Nonce選項抵御重放攻擊,并引入了CGA(密碼生成地址)與RSA簽名對數(shù)據(jù)源進(jìn)行驗證以解決鄰居請求/鄰居通告欺騙的問題。SEND雖然可以解決一定的安全問題,但目前系統(tǒng)與設(shè)備對SEND的支持十分有限。
RFC7113提出了IPv6安全RA方案RA-Guard[8],其通過阻斷非信任端口RA報文轉(zhuǎn)發(fā)來避免惡意RA可能帶來的威脅,在攻擊包實際到達(dá)目標(biāo)節(jié)點之前阻塞二層設(shè)備上的攻擊數(shù)據(jù)包。
使用訪問控制列表或空路由過濾對地址空間中未分配的部分的訪問,用以防止攻擊者迫使路由解析未使用的地址。
3、DHCPv6
安全威脅
地址池耗盡攻擊
攻擊者可以偽裝為大量的DHCPv6客戶端,向DHCPv6服務(wù)器請求大量的IPv6地址,耗光IPv6地址池。
拒絕服務(wù)攻擊
攻擊者可向DHCPv6服務(wù)器發(fā)送大量的SOLICIT消息,強(qiáng)制服務(wù)器在一定時間內(nèi)維持一個狀態(tài),致使服務(wù)器CPU與文件系統(tǒng)產(chǎn)生巨大負(fù)擔(dān),直至無法正常工作。
偽造DHCPv6服務(wù)器
攻擊者可偽造成DHCPv6服務(wù)器向目標(biāo)客戶端發(fā)送偽造的ADVERTISE與REPLY報文,在偽造報文中攜帶虛假的默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等信息,以此實現(xiàn)重定向攻擊。
應(yīng)對方式
對客戶端所有發(fā)送到FF02::1:2(所有DHCPv6中繼代理與服務(wù)器)和FF05::1:3(所有DHCPv6服務(wù)器)的消息數(shù)量進(jìn)行速率限制。
DHCPv6中內(nèi)置了認(rèn)證機(jī)制,認(rèn)證機(jī)制中的RKAP協(xié)議[9]可以對偽造DHCPv6服務(wù)器的攻擊行為提供防范。
四、IPv6 對安全硬件的影響
1、 防火墻
IPv6報頭的影響
針對IPv6報文,防火墻必須對IPv6基本報頭與所有的擴(kuò)展首部進(jìn)行解析,才能獲取傳輸層與應(yīng)用層的信息,從而確定當(dāng)前數(shù)據(jù)報是否應(yīng)該被允許通過或是被丟棄。由于過濾策略相比IPv4更加復(fù)雜,在一定程度上將加劇防火墻的負(fù)擔(dān),影響防火墻的性能。
IPSec的影響
如若在IPv6數(shù)據(jù)包中啟用加密選項,負(fù)載數(shù)據(jù)將進(jìn)行加密處理,由于包過濾型防火墻無法對負(fù)載數(shù)據(jù)進(jìn)行解密,無法獲取TCP與UDP端口號,因此包過濾型防火墻無法判斷是否可以將當(dāng)前數(shù)據(jù)包放行。
由于地址轉(zhuǎn)換技術(shù)(NAT)和IPSec在功能上不匹配,因此很難穿越地址轉(zhuǎn)換型防火墻利用IPSec進(jìn)行通信。
2、IDS&IPS
面對IPv6數(shù)據(jù)包,倘若啟用了加密選項,IDS與IPS則無法對加密數(shù)據(jù)進(jìn)行提取與分析,無法通過報文分析獲取TCP、UDP信息,進(jìn)而無法對網(wǎng)絡(luò)層進(jìn)行全面的安全防護(hù)。即便只允許流量啟用AH認(rèn)證報頭,但認(rèn)證報頭內(nèi)部具有可變長度字段ICV,因此檢測引擎并不能準(zhǔn)確地定位開始內(nèi)容檢查的位置。
五、 過渡技術(shù)的安全性
1、雙棧技術(shù)
倘若雙棧主機(jī)不具備IPv6網(wǎng)絡(luò)下的安全防護(hù),而攻擊者與雙棧主機(jī)存在鄰接關(guān)系時,則可以通過包含IPv6前綴的路由通告應(yīng)答的方式激活雙棧主機(jī)的IPv6地址的初始化,進(jìn)而實施攻擊。
2、隧道技術(shù)
- 隧道注入:攻擊者可通過偽造外部IPv4與內(nèi)部IPv6地址偽裝成合法用戶向隧道中注入流量。
- 隧道嗅探:位于隧道IPv4路徑上的攻擊者可以嗅探IPv6隧道數(shù)據(jù)包,并讀取數(shù)據(jù)包內(nèi)容。
3、翻譯技術(shù)
利用翻譯技術(shù)實現(xiàn)IPv4-IPv6網(wǎng)絡(luò)互聯(lián)互通時,需要對報文的IP層及傳輸層的相關(guān)信息進(jìn)行改動,因此可能會對端到端的安全產(chǎn)生影響,導(dǎo)致IPSec的三層安全隧道在翻譯設(shè)備處出現(xiàn)斷點。(以上研究來源于狴犴安全團(tuán)隊)
- IPv6 的影響
從地址配置角度看:
IETF 已經(jīng)意識到 IPV6地址的確存在泄露設(shè)備和用戶隱私的風(fēng)險,隨后推出了一系列隱私保護(hù)方案,從技術(shù)和標(biāo)準(zhǔn)的角度規(guī)避了上述隱私泄露的風(fēng)險。然而,考慮到上述隱私保護(hù)協(xié)議在 2017 年剛剛完成,不排除有些設(shè)備仍然采用了較低的配置方式,那么這種風(fēng)險的確是存在的,因而在實施層面,也的確會因為隱私保護(hù)協(xié)議的缺失帶來隱私泄漏的風(fēng)險。
從應(yīng)用角度看:
IPv6 巨大的地址空間和自動化的地址配置方式為以物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等海量設(shè)備實時在線、端到端互聯(lián)的應(yīng)用場景提供了良好的支撐,同時便于溯源管理。當(dāng)然,IPv6 的靈活配置和永遠(yuǎn)在線特點也存在應(yīng)用層面的安全風(fēng)險。
從全球?qū)用婵矗?/strong>
IPv6 的部署和應(yīng)用已經(jīng)進(jìn)入加速發(fā)展的階段。目前,已有超過 100 個國家和地區(qū)部署了 IPv6 網(wǎng)絡(luò),有 317 個網(wǎng)絡(luò)運(yùn)營商提供基于 IPv6 的接入服務(wù)。截至 2018 年 7 月,全球 IPv6 用戶總數(shù)超過 5.59 億,顯然IPv6 已經(jīng)成為下一階段互聯(lián)網(wǎng)發(fā)展的全球共識。
從網(wǎng)絡(luò)空間格局的力量博弈看:
第一,發(fā)達(dá)國家在這一場新的競賽中并未懈怠,特別是美國作為互聯(lián)網(wǎng)的起源地,仍然是 IPv6部署和應(yīng)用的領(lǐng)頭羊。
第二,發(fā)展中國家和不發(fā)達(dá)國家可以把握機(jī)遇,提升本國的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)。特別是對那些尚未獲得 IPv4 地址資源的發(fā)展中國家和不發(fā)達(dá)國家而言,更充足的地址資源可以為提高互聯(lián)網(wǎng)接入和普及率,發(fā)展互聯(lián)網(wǎng)產(chǎn)業(yè)及推動數(shù)字經(jīng)濟(jì)的可持續(xù)發(fā)展提供必要的保障。
第三,主要大國在 IPv6 相關(guān)領(lǐng)域和全球市場的競爭博弈將更趨激烈。
- 專家解讀
對于《IPv6網(wǎng)絡(luò)安全白皮書》,中國信通院副院長王志勤從深化IPv6安全風(fēng)險認(rèn)識、梳理IPv6安全工作現(xiàn)狀、分析IPv6安全客觀挑戰(zhàn)、提出IPv6安全發(fā)展建議等方面對白皮書的四大亮點進(jìn)行了分析解讀。
1、隨著我國下一代互聯(lián)網(wǎng)建設(shè)的穩(wěn)步推進(jìn),IPv6網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境逐步成熟,針對IPv6網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的攻擊,以及攻擊源為IPv6地址的網(wǎng)絡(luò)攻擊等相關(guān)攻擊事件逐漸出現(xiàn),IPv6網(wǎng)絡(luò)安全漏洞也開始浮出水面。IPv6安全風(fēng)險開始顯現(xiàn),對下一代互聯(lián)網(wǎng)演進(jìn)提出同步安全保障要求。
2、目前我國下一代互聯(lián)網(wǎng)建設(shè)安全保障協(xié)同工作局面已經(jīng)打開。一是政府部門貫徹落實國家戰(zhàn)略計劃,加強(qiáng)IPv6安全工作部署;二是產(chǎn)、學(xué)、研、用高度協(xié)作,加快IPv6安全科研布局,強(qiáng)化IPv6安全技術(shù)儲備;三是推動IPv6安全實踐,深化IPv6安全技術(shù)指導(dǎo)創(chuàng)新。
3、在我國下一代互聯(lián)網(wǎng)建設(shè)進(jìn)程中,安全客觀挑戰(zhàn)依然嚴(yán)峻。一是IPv4/IPv6長期并存,過渡機(jī)制持續(xù)疊加安全風(fēng)險;二是IPv6協(xié)議新特性挑戰(zhàn)既有安全手段,融合場景安全風(fēng)險持續(xù)放大;三是IPv6網(wǎng)絡(luò)安全保障能力和需求存在差距,供求“剪刀差”亟需彌合。
4、IPv6安全挑戰(zhàn)和機(jī)遇并存的局面已經(jīng)形成,應(yīng)高度重視下一代互聯(lián)網(wǎng)演進(jìn)升級中面臨的安全挑戰(zhàn),協(xié)同推進(jìn)IPv6安全產(chǎn)品和服務(wù)的研發(fā)應(yīng)用,為筑牢下一代互聯(lián)網(wǎng)安全防線提供能力保障,加快夯實下一代互聯(lián)網(wǎng)安全防御基礎(chǔ),切實保障下一代互聯(lián)網(wǎng)安全、有序發(fā)展。
專家觀點
一、IPv6是海量地址提供溯源手段
北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心主任田麗:
網(wǎng)絡(luò)安全和信息安全問題在互聯(lián)網(wǎng)時代更加凸顯,大數(shù)據(jù)收集和人工智能分析的泛濫,給個人信息保護(hù)帶來不小的挑戰(zhàn)。特別是在“IPv4網(wǎng)+”上,現(xiàn)有技術(shù)無法檢查傳輸中的任何一個數(shù)據(jù)的源地址,很多網(wǎng)絡(luò)安全隱患由此產(chǎn)生。
中國工程院院士鄔賀銓:
由于IPv4地址的不足,導(dǎo)致私有地址大量使用,NAT(地址翻譯)破壞了端對端的透明性,給網(wǎng)絡(luò)安全事件溯源帶來了困難,假冒地址橫行,網(wǎng)絡(luò)攻擊等安全事件泛濫。
IPv6海量的地址為固定分配地址和建立上網(wǎng)實名制奠定了基礎(chǔ),在IPv6地址中通過算法嵌入可擴(kuò)展的用戶網(wǎng)絡(luò)身份標(biāo)識信息,與真實用戶的身份關(guān)聯(lián),可構(gòu)建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng),實現(xiàn)了與自治域相關(guān)聯(lián)的IP地址前綴級粒度的真實源地址驗證。
IPv6充足的地址空間可嚴(yán)格按照區(qū)域和業(yè)務(wù)類型甚至用戶類型進(jìn)行地址分配,可以實現(xiàn)對特定IP地址溯源、按業(yè)務(wù)類型精細(xì)服務(wù),或?qū)μ囟ǚ?wù)類型進(jìn)行區(qū)域管理、精細(xì)化監(jiān)控與安全偵測及防護(hù)等,這種基于IP地址對網(wǎng)絡(luò)流量的控制與安全管理效率高、成本低。
二、升級仍面臨安全挑戰(zhàn)
中國大數(shù)據(jù)技術(shù)與應(yīng)用聯(lián)盟副理事長王安平:
互聯(lián)網(wǎng)升級IPv6是一項專業(yè)性強(qiáng)、涉及面廣、情況復(fù)雜的系統(tǒng)工程,國家有關(guān)部門強(qiáng)力推進(jìn),但由于目前市場上各企業(yè)技術(shù)實力參差不齊,導(dǎo)致一些國家部委機(jī)關(guān)、央企、省級政府、媒體以及互聯(lián)網(wǎng)企業(yè)在網(wǎng)站、云服務(wù)平臺、數(shù)據(jù)中心升級IPv6過程中,網(wǎng)站、云服務(wù)平臺、數(shù)據(jù)中心出現(xiàn)天窗、亂碼、宕機(jī)、癱瘓和停服等現(xiàn)象。
工業(yè)和信息化部黨組成員、總工程師張峰:
未來還需要著力突破網(wǎng)絡(luò)端到端貫通、網(wǎng)絡(luò)與應(yīng)用協(xié)同推進(jìn)等關(guān)鍵環(huán)節(jié)。要強(qiáng)化安全保障,實施IPv6網(wǎng)絡(luò)安全提升計劃,加強(qiáng)IPv6網(wǎng)絡(luò)安全能力建設(shè),嚴(yán)格落實IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案。
另外還要完善監(jiān)測體系,組織建設(shè)IPv6發(fā)展監(jiān)測平臺,加強(qiáng)對網(wǎng)絡(luò)、應(yīng)用、終端、用戶、流量等關(guān)鍵發(fā)展指標(biāo)的實時監(jiān)測與分析。
中國工程院院士鄔賀銓:
IPv4 over IPv6或IPv6 over IPv4的隧道機(jī)制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封,沒有內(nèi)置認(rèn)證、完整性和加密等安全功能,并不對IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查,攻擊者可以隨意截取隧道報文,通過偽造外層和內(nèi)層地址偽裝成合法用戶向隧道中注入攻擊流量,防火墻可能形同虛設(shè)
- 現(xiàn)狀及前景
全球IPv6地址規(guī)模情況
2019上半年全球IPv6地址分配數(shù)量為17865*/32,2019上半年獲得IPv6地址分配數(shù)量列前三位的國家/地區(qū),分別為中國6217*/32,俄羅斯1271*/32,德國1192*/32。
截至2019年6月底,全球IPv6地址申請(/32以上)總計35168個,分配地址總數(shù)為282222*/32,地址數(shù)總計獲得4096*/32(即/20)以上的國家/地區(qū)。
- 中國IPv6地址規(guī)模情況
當(dāng)前我國IPv6地址申請量保持較快增長,截至2019年5月,我國IPv6地址資源總量達(dá)到47282塊(/32),居全球第一位。IPv6地址數(shù)量能夠滿足當(dāng)前IPv6規(guī)模部署的要求,但是隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)快速發(fā)展,我國未來對于IPv6地址的需求量依然較大。
隨著5G產(chǎn)業(yè)化進(jìn)程的加快,工業(yè)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展,垂直行業(yè)和基礎(chǔ)電信企業(yè)紛紛加大了地址儲備。
- 2018年8月,中國石油為推動企業(yè)工業(yè)互聯(lián)網(wǎng)發(fā)展,申請/20的IPv6地址;
- 2018年12月,中國電信分別申請了/19、/20兩段IPv6地址,為5G商用化儲備地址;
- 2019年1月和2月,教育網(wǎng)分別申請了/20和/21兩段IPv6地址,以滿足日益增長的地址需求。
我國IPv6規(guī)模部署推進(jìn)工作成效初顯,IPv6活躍用戶數(shù)實現(xiàn)快速增長。截至2019年5月底,我國已分配IPv6地址用戶數(shù)達(dá)12.07億,其中LTE網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)為10.45億,固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址的用戶數(shù)為1.62億。
“隨著LTE網(wǎng)絡(luò)端到端改造進(jìn)程的加速,呈現(xiàn)出移動網(wǎng)絡(luò)IPv6用戶數(shù)發(fā)展速度大幅領(lǐng)先固定網(wǎng)絡(luò)的趨勢”。
截至2019年5月,三大基礎(chǔ)電信企業(yè)固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)達(dá)1.62億。
2018-2019年5月固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)
資料來源:中國IPv6發(fā)展?fàn)顩r白皮書、智研咨詢整理
截至2019年5月,LTE核心網(wǎng)總流量達(dá)508.87Gbps,骨干直聯(lián)點總流量達(dá)75.74Gbps,國際出入口流入總流量達(dá)65.30Gbps,流出總流量達(dá)15.15Gbps。
截至2019年6月,國內(nèi)用戶量排名前50的商業(yè)網(wǎng)站及移動應(yīng)用可通過IPv6訪問的已達(dá)40家,占比為80%。由于改造周期較長、牽涉環(huán)節(jié)較多,網(wǎng)絡(luò)、應(yīng)用、終端的協(xié)同發(fā)展機(jī)制有待進(jìn)一步優(yōu)化,網(wǎng)站及應(yīng)用改造的廣度和深度有待提升。
未來我國IPv6地址將往以下幾個方向發(fā)展:
- 一是突破關(guān)鍵核心技術(shù)。持續(xù)開展支持IPv6的芯片、操作系統(tǒng)、終端及網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)的技術(shù)攻關(guān)和產(chǎn)業(yè)化,加快前沿基礎(chǔ)技術(shù)創(chuàng)新,進(jìn)一步增強(qiáng)自主創(chuàng)新能力。
- 二是提升網(wǎng)絡(luò)服務(wù)能力。支持基礎(chǔ)電信企業(yè)持續(xù)優(yōu)化提升IPv6網(wǎng)絡(luò)質(zhì)量和服務(wù)能力,推動數(shù)據(jù)中心、內(nèi)容分發(fā)網(wǎng)絡(luò)、云服務(wù)平臺加快IPv6改造升級,完善專線產(chǎn)品開通流程。
- 三是促進(jìn)應(yīng)用改造升級。督促基礎(chǔ)電信企業(yè)做好門戶網(wǎng)站、自營App深度改造,推動各主要應(yīng)用商店開展IPv6支持度檢測與標(biāo)識工作,積極開展基于IPv6的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)和應(yīng)用改造試點示范等。
- 四是強(qiáng)化網(wǎng)絡(luò)應(yīng)用協(xié)同。推動基礎(chǔ)電信企業(yè)盡快建立完善IPv6業(yè)務(wù)受理、開通和管理流程,通過建立問題清單、任務(wù)臺賬等方式加強(qiáng)網(wǎng)絡(luò)與應(yīng)用改造協(xié)同對接。
- 五是加強(qiáng)網(wǎng)絡(luò)安全保障。督促企業(yè)完善網(wǎng)絡(luò)安全管理制度體系,支持相關(guān)企業(yè)和機(jī)構(gòu)開展工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等領(lǐng)域IPv6網(wǎng)絡(luò)安全威脅防范和應(yīng)對研究。
- 六是營造良好發(fā)展環(huán)境。強(qiáng)化IPv6地址備案系統(tǒng)的建設(shè)和備案核查、管理,支持IPv6在5G、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域融合應(yīng)用,加快建設(shè)IPv6監(jiān)測平臺,努力為IPv6建設(shè)和應(yīng)用創(chuàng)造良好的環(huán)境。
- 我國行動計劃
2017年11月26日,中辦、國辦印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》,提出國內(nèi)要在 5~10 年的時間形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài),建成全球最大規(guī)模的 IPv6 商業(yè)應(yīng)用網(wǎng)絡(luò);
到 2025 年末,我國 IPv6 網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位,網(wǎng)絡(luò)、應(yīng)用、終端全面支持 IPv6,全面完成向下一代互聯(lián)網(wǎng)的平滑演進(jìn)升級,形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。
- 全球發(fā)展趨勢
國外權(quán)威機(jī)構(gòu)統(tǒng)計數(shù)據(jù)顯示,近年來IPv6 部署在全球推進(jìn)迅速,主要發(fā)達(dá)國家IPv6部署率持續(xù)穩(wěn)步提升,部分發(fā)展中國家推進(jìn)迅速,比利時、美國等國家IPv6部署率已超過50%, google全球IPv6用戶訪問占比已達(dá)25%,Google、Facebook等全球排名靠前的網(wǎng)站已經(jīng)全面支持IPv6。
一、IPv6建設(shè)進(jìn)程加速
1. IPv6用戶數(shù)規(guī)模龐大,活躍用戶數(shù)顯著增加
2019年4月30日APNIC統(tǒng)計數(shù)據(jù)顯示,全球3483790681(34.8億)互聯(lián)網(wǎng)用戶中IPv6用戶占比為15.97%,迄今全球IPv6用戶數(shù)量約為556207093(5.56億)。截至2019年4月,通過IPv6訪問Google網(wǎng)站的用戶比例已上升至25%左右,相較于2018年初的20%,提高了5個百分點。
2. IPv6網(wǎng)絡(luò)流量經(jīng)歷快速增長,近期流量平穩(wěn)
基于荷蘭阿姆斯特丹AMS-IX的數(shù)據(jù)顯示,自2018年7月以來, IPv6網(wǎng)絡(luò)流量增長迅速,平均流量從2018年7月的大約70Gbps增長到2019年4月的138Gbps。
3. IPv6地址申請量逐年攀升,各國對IPv6的關(guān)注度逐漸加強(qiáng)
據(jù)APNIC數(shù)據(jù)顯示,截至2019年5月1日,全球IPv6地址申請總量已達(dá)557268塊(/32),去年同期全球IPv6地址申請總量為464525塊(/32),增長了約20個百分點。目前我國IPv6地址申請量保持較快增長,IPv6地址資源總量達(dá)到47263塊(/32),位列全球第一。
4. 運(yùn)營商積極推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施IPv6改造,移動網(wǎng)絡(luò)IPv6部署遙遙領(lǐng)先
從整體來看,IPv6的部署率呈不斷上升態(tài)勢,移動運(yùn)營商在VoLTE部署時均設(shè)置了IPv6優(yōu)先,不僅使網(wǎng)絡(luò)IPv6的部署率大大提升,由此帶來的龐大的IPv6用戶規(guī)模和完善的IPv6網(wǎng)絡(luò),亦為IPv6流量快速上升奠定了堅實的基礎(chǔ)。
5. 網(wǎng)站應(yīng)用支持率趨于平穩(wěn),IPv6內(nèi)容建設(shè)逐漸成為推進(jìn)焦點
截至2019年4月,據(jù)World IPv6 Launch提供的數(shù)據(jù)顯示,年內(nèi)Alexa排名Top1000的網(wǎng)站中IPv6的支持率已穩(wěn)定在25 %左右。Google、YouTube、Facebook全球排名前三甲的網(wǎng)站已全面支持IPv6。部署率排名靠前的日本,Alexa排名日本國內(nèi)Top50的網(wǎng)站中也僅有5個支持IPv6,IPv6內(nèi)容建設(shè)逐漸成為IPv6規(guī)模部署持續(xù)推進(jìn)的重點工作。
二、各國推進(jìn)部署IPv6的先進(jìn)經(jīng)驗
1. 主要發(fā)達(dá)國家IPv6部署依然高位平穩(wěn)推進(jìn),部分發(fā)展中國家發(fā)展勢頭迅猛,推進(jìn)模式各有千秋。
2. 由目前IPv6部署率排名靠前的國家經(jīng)驗來看,政府積極倡導(dǎo)、專家工作組有力支撐和運(yùn)營商大力推進(jìn)是IPv6得以快速部署的前提條件。
3. IPv6部署率經(jīng)過快速提升后,IPv6內(nèi)容應(yīng)用改造成為各國IPv6推進(jìn)焦點。
