◎上海戎磐網(wǎng)絡(luò)科技有限公司總裁 劉旭

一、IPv6規(guī)模部署背景

2017年11月26日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，《計(jì)劃》明確了推進(jìn)IPv6部署的重要意義，提出了部署的總體要求和主要目標(biāo)，并從互聯(lián)網(wǎng)應(yīng)用、網(wǎng)絡(luò)和應(yīng)用基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全和關(guān)鍵前沿技術(shù)角度，安排了實(shí)施步驟。《計(jì)劃》同時(shí)提出，要用5-10年時(shí)間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實(shí)現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量。特別值得一提的是，《計(jì)劃》中涉及多項(xiàng)考核性指標(biāo)，比如到2018年末活躍用戶達(dá)到2億，占比不低于20%，國(guó)內(nèi)用戶排名前50的商業(yè)應(yīng)用網(wǎng)站以及應(yīng)用全面支持IPv6，到2020年用戶則達(dá)到5億，占比超過(guò)50%等。其次，在實(shí)施上，也明確了各自角色：政府引導(dǎo)，企業(yè)主導(dǎo)。在策略上，強(qiáng)調(diào)統(tǒng)籌規(guī)劃，重點(diǎn)突破，著力彌補(bǔ)IPv6應(yīng)用短板，以應(yīng)用拉動(dòng)需求等。

TCP／IP協(xié)議是互聯(lián)網(wǎng)發(fā)展的基石，其中IP是網(wǎng)絡(luò)層協(xié)議，用于規(guī)范互聯(lián)網(wǎng)中分組信息的交換和選路。目前主體采用的IPv4協(xié)議地址長(zhǎng)度為32位，總數(shù)約43億個(gè)IPv4地址已分配殆盡。為應(yīng)對(duì)地址不足，上世紀(jì)90年代，負(fù)責(zé)互聯(lián)網(wǎng)國(guó)際標(biāo)準(zhǔn)制定的機(jī)構(gòu)——互聯(lián)網(wǎng)工程任務(wù)小組（IETF）協(xié)調(diào)各方意見(jiàn)后，推出IPv6協(xié)議，并大力推廣。IPv6采用128位地址，將地址空間擴(kuò)大到2的128次方。IPv4和IPv6的主要差異對(duì)比如圖1所示。

按照全球CDN網(wǎng)絡(luò)服務(wù)提供商Akamai提供的數(shù)據(jù)顯示，目前IPv6使用率最高的國(guó)家是比利時(shí)（約占46.4%），美國(guó)排名第二（約占40.04%），印度排第三（約占36.6%）。中國(guó)排在第67位，僅占本國(guó)網(wǎng)絡(luò)地址使用總量的0.3%。全球IPv6部署程度綜合情況如圖2所示，圖中顏色越深，表明部署應(yīng)用程度越高。

值得注意的是，美國(guó)IPv6使用率今年以來(lái)提速明顯，從20%上升至40%，提升了一倍，如圖3。（數(shù)據(jù)來(lái)源：akamai.com，2017年11月30日數(shù)據(jù)統(tǒng)計(jì)）

圖1 IPv4和IPv6的主要差異對(duì)比示意圖

二、IPv6環(huán)境下網(wǎng)絡(luò)安全威脅分析

一直以來(lái)，許多人提出，IPv6因?yàn)椴恍枰狽AT（網(wǎng)絡(luò)地址映射），地址池龐大，默認(rèn)的IPSec安全加密機(jī)制，因此有可溯源性，反掃描性，反竊聽(tīng)及篡改等特性，安全性將極大提升。那么問(wèn)題來(lái)了——在IPv6網(wǎng)絡(luò)環(huán)境真的能夠解決安全問(wèn)題嗎？事實(shí)上，由于IPv6協(xié)議本身并非為解決網(wǎng)絡(luò)安全問(wèn)題而生，IPv6不僅繼承了某些IPv4的安全問(wèn)題，還有自己特有的安全威脅，并且在IPv4向IPv6遷移的過(guò)程中，還會(huì)產(chǎn)生安全威脅。

一是IPv6協(xié)議本身并沒(méi)有改變網(wǎng)絡(luò)分層體系結(jié)構(gòu)，協(xié)議層自身的加密安全特性對(duì)應(yīng)用層網(wǎng)絡(luò)安全影響有限。它突出表現(xiàn)在，在IPv4中常見(jiàn)的網(wǎng)絡(luò)掃描攻擊、非法訪問(wèn)攻擊、竊聽(tīng)攻擊、中間人攻擊、封包碎片攻擊、病毒蠕蟲(chóng)攻擊、IP地址偽造以及DHCP攻擊、甚至是DDoS等泛洪攻擊在IPv6中也依然存在。為了支持IPv6，大量應(yīng)用系統(tǒng)需要升級(jí)換代，由于IPv6地址和配置的復(fù)雜度更高，各系統(tǒng)廠商會(huì)因研發(fā)能力不同，引入更多高危漏洞，引發(fā)更嚴(yán)重的安全威脅。2016年，奇虎360發(fā)現(xiàn)一種DNS劫持導(dǎo)致商用VPN客戶端信息數(shù)據(jù)泄露的漏洞，其受到影響的服務(wù)器包括了Facebook、維基百科、雅虎等較早啟用IPv6的公司，而這種漏洞的最大特點(diǎn)是漏洞響應(yīng)只會(huì)出現(xiàn)在主機(jī)使用IPv6發(fā)起連接的時(shí)候。

二是IPv6巨量地址空間帶來(lái)的并沒(méi)有明顯降低攻擊掃描的搜索空間。許多人都認(rèn)為，IPv6巨大的地址空間使得攻擊者的掃描變的困難，但事實(shí)上，攻擊者仍然可以通過(guò)IPv6前綴信息搜集、隧道地址猜測(cè)、虛假路由通告及DNS查詢等手段搜集到活動(dòng)主機(jī)信息從而發(fā)起攻擊。與IPv4類(lèi)似，在目前的管理機(jī)制下，用于互聯(lián)網(wǎng)通訊的IPv6地址的全球路由前綴通常由上游供應(yīng)商分配，本地網(wǎng)絡(luò)管理員將組織網(wǎng)絡(luò)分成多個(gè)邏輯子網(wǎng)，而接口ID（IID）用來(lái)確定該子網(wǎng)中的特定網(wǎng)絡(luò)接口。在選擇接口ID（IPv6地址的低階64位）時(shí)有很多選擇，包括：嵌入MAC地址、采用低字節(jié)地址、嵌入IPv4地址、使用“繁復(fù)”的地址、使用隱私或臨時(shí)地址依賴于過(guò)渡技術(shù)或共存技術(shù)等。無(wú)論采用上述那種選項(xiàng)，這些選項(xiàng)都減小了潛在的搜索空間，使IPv6主機(jī)掃描攻擊變得更容易實(shí)現(xiàn)。以采用低字節(jié)地址選項(xiàng)為例，低字節(jié)地址是接口ID全是0的IPv6地址，除了最后8或16位（例如2001:db8::1、2001:db8::2等）。這些地址通常是手動(dòng)配置的（通常用于基礎(chǔ)設(shè)施），但是也可能是使用了一些動(dòng)態(tài)主機(jī)配置協(xié)議版本6（DHCPv6）服務(wù)器，這些服務(wù)器會(huì)從特定地址范圍按順序分配IPv6地址。當(dāng)采用低字節(jié)地址時(shí)，IPv6地址搜索空間被縮小到（最多）216個(gè)地址，這使IPv6主機(jī)掃描攻擊變得更為可行。同時(shí)，由于IPv6網(wǎng)絡(luò)不支持NAT，這就意味著任何一臺(tái)終端都會(huì)暴露在網(wǎng)絡(luò)中。由于地址池充沛，更多的設(shè)備會(huì)接入網(wǎng)絡(luò)，任何人、任何地點(diǎn)、任何設(shè)備都可以在任何時(shí)間（24小時(shí)）在線，有的人認(rèn)為目標(biāo)發(fā)現(xiàn)更難，而隨著設(shè)備量急劇增大，遭受網(wǎng)絡(luò)攻擊、實(shí)施網(wǎng)絡(luò)潛伏的威脅也更大。

圖2 全球IPv6部署程度綜合情況示意圖

圖3 2017年美國(guó)IPv6使用率

三是IPv6本身強(qiáng)制的加密特性會(huì)給現(xiàn)有基于特征檢測(cè)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品帶來(lái)技術(shù)挑戰(zhàn)。例如，IPv6的通道功能會(huì)影響現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制，IPv4防火墻在針對(duì)IPv6流量的細(xì)力度控制上幾乎無(wú)力，基于協(xié)議和端口的動(dòng)態(tài)包過(guò)濾對(duì)于能夠靈活變化的通道也幾近失效，不當(dāng)配置的企業(yè)網(wǎng)絡(luò)邊界控管措施在IPv6面前形同虛設(shè)。例如，Windows曾爆出的“Teredo”安全事件，Teredo自動(dòng)隧道轉(zhuǎn)換，能通過(guò)IPv4網(wǎng)絡(luò)傳遞IPv6流量，幫助客戶端實(shí)現(xiàn)對(duì)IPv4與IPv6協(xié)議的兼容。但Teredo客戶端可以在把IPv6數(shù)據(jù)包傳遞到另一目的地的同時(shí)，繞過(guò)基于網(wǎng)絡(luò)的源路由控制，穿透防火墻等安全設(shè)備。此外，IPv6的加密通道及自動(dòng)配置功能讓端到端的通訊更為便捷也更為危險(xiǎn)，還令傳統(tǒng)的基于特征檢測(cè)與分析的入侵檢測(cè)、內(nèi)容過(guò)濾及監(jiān)控審計(jì)系統(tǒng)失效?；贗Pv6的攻擊如分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)穿透攻擊、IPv6加密蠕蟲(chóng)等已見(jiàn)諸安全媒體，但卻沒(méi)有引起安全界的重視。

四是從目前網(wǎng)絡(luò)威脅發(fā)展趨勢(shì)看，從對(duì)抗“黑客”向?qū)埂昂诋a(chǎn)”的趨勢(shì)不可逆轉(zhuǎn)。數(shù)據(jù)泄露事件越來(lái)越密集、APT攻擊越來(lái)越隱蔽，表明網(wǎng)絡(luò)安全今后的重點(diǎn)之一將是對(duì)抗“黑產(chǎn)”，而對(duì)于“黑產(chǎn)”全鏈來(lái)看，針對(duì)IPv6的攻擊方法已經(jīng)很成熟。著名網(wǎng)絡(luò)安全服務(wù)提供商Arbor Networks監(jiān)測(cè)的數(shù)據(jù)表明，從2012年開(kāi)始該公司就監(jiān)測(cè)到了首例IPv6 DDOS攻擊，同時(shí)也提出，由于IPv6的網(wǎng)絡(luò)終端已經(jīng)發(fā)展得相當(dāng)龐大，這種規(guī)模已經(jīng)足夠吸引攻擊者耗費(fèi)經(jīng)歷獲取大量注入點(diǎn)以進(jìn)行針對(duì)IPv6協(xié)議的攻擊。

五是從已經(jīng)爆發(fā)的各類(lèi)應(yīng)用系統(tǒng)處理IPv6協(xié)議漏洞現(xiàn)狀看，新版本協(xié)議環(huán)境下的安全性并沒(méi)有改觀。從總體漏洞形勢(shì)看，2017年以來(lái)，CVE編號(hào)漏洞涉及IPv6的共計(jì)42個(gè)，中危以上漏洞占比超過(guò)50%，評(píng)級(jí)10分的高危漏洞1個(gè)。相關(guān)漏洞影響路由器、防火墻、網(wǎng)絡(luò)管理協(xié)議、VPN、操作系統(tǒng)等，按危害可以分成權(quán)限提升、遠(yuǎn)程信息泄露、遠(yuǎn)程執(zhí)行命令、遠(yuǎn)程拒絕服務(wù)、遠(yuǎn)程數(shù)據(jù)修改、不必要的服務(wù)等類(lèi)別，影響范圍廣泛。而2016年涉及IPv6的CVE漏洞數(shù)是27，從數(shù)據(jù)上看，IPv6相關(guān)漏洞隨著各國(guó)部署及應(yīng)用的展開(kāi)也呈現(xiàn)上升趨勢(shì)。2016年，思科爆出死亡之Ping IPv6漏洞，影響范圍巨大，在大規(guī)模部署IPv6的網(wǎng)絡(luò)環(huán)境中甚至極易造成美國(guó)東部斷網(wǎng)的類(lèi)似事件。2017年5月份爆出的Linux內(nèi)核級(jí)IPv6協(xié)議處理漏洞（CVE-2017-9242）在處理特殊數(shù)據(jù)時(shí)能夠通過(guò)特殊調(diào)用導(dǎo)致系統(tǒng)崩潰，曝出apache可編程多層虛擬交換open_vswitch在處理IPv6畸形數(shù)據(jù)包時(shí)可以觸發(fā)遠(yuǎn)程執(zhí)行功能等都表明，在新版本協(xié)議環(huán)境下，軟硬件系統(tǒng)仍面臨與舊版本相同的網(wǎng)絡(luò)安全問(wèn)題。

三、應(yīng)對(duì)IPv6環(huán)境下網(wǎng)絡(luò)安全威脅的建議

許多院士、專家等談到IPv6規(guī)模部署問(wèn)題時(shí)明確指出，如何將我國(guó)在發(fā)展IPv6上的技術(shù)優(yōu)勢(shì)轉(zhuǎn)化為現(xiàn)實(shí)優(yōu)勢(shì)，爭(zhēng)取彎道超車(chē)，挑戰(zhàn)首先來(lái)源于技術(shù)層面，安全問(wèn)題是關(guān)鍵。

一是要有全新視角審視看待和解決新型網(wǎng)絡(luò)安全問(wèn)題。此次《計(jì)劃》重點(diǎn)在于規(guī)模部署，而在大規(guī)模IPv6網(wǎng)絡(luò)環(huán)境下，許多傳統(tǒng)網(wǎng)絡(luò)安全解決方案無(wú)法適應(yīng)新的環(huán)境變化，安全問(wèn)題需要重新審視，采用全新視角看待和著手解決。機(jī)器學(xué)習(xí)、人工智能、軟件基因、去中心化安管等一批新理念、新思想、新視角應(yīng)運(yùn)而生。廣州藍(lán)盾股份以智慧安全為理念，持續(xù)推進(jìn)機(jī)器學(xué)習(xí)、AI等技術(shù)融入防火墻、態(tài)勢(shì)感知、云安全、移動(dòng)信息化安全等安全產(chǎn)品。上海戎磐網(wǎng)絡(luò)按照“以‘軟件基因’全新視角，重新認(rèn)識(shí)網(wǎng)絡(luò)安全”的使命愿景，持續(xù)開(kāi)展“一庫(kù)兩平臺(tái)”（一庫(kù)：軟件基因數(shù)據(jù)庫(kù)；兩平臺(tái)：惡意樣本基因在線檢測(cè)平臺(tái)和基因檢測(cè)服務(wù)引擎平臺(tái)）的網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)及應(yīng)用研究，在IPv6規(guī)?；渴饤l件下以全新安全視角，為新型網(wǎng)絡(luò)安全防護(hù)提供引擎、數(shù)據(jù)及技術(shù)支撐，不僅能夠?qū)阂獯a、流量行為等實(shí)施惡意性判定，而且能夠?qū)﹃P(guān)聯(lián)性、歷史沿革性等屬性提供維度更加豐富的安全檢測(cè)。

二是要有統(tǒng)一標(biāo)準(zhǔn)描述定義網(wǎng)絡(luò)安全事件。IPv6環(huán)境下更多類(lèi)型設(shè)備接入互聯(lián)網(wǎng)，萬(wàn)物互聯(lián)，對(duì)網(wǎng)絡(luò)安全事件的規(guī)范化命名和描述帶來(lái)挑戰(zhàn)。以2015年攻擊烏克蘭電網(wǎng)的攻擊事件、2016年襲擊美國(guó)大選的DNC黑客事件、2017年的物聯(lián)網(wǎng)僵尸木馬的傳播事件這些全球知名威脅事件為例，不同的安全機(jī)構(gòu)和廠商給出了十幾種名稱，同一種威脅被多次重復(fù)命名、甚至混淆命名等情況普遍存在，這樣的混亂命名，給威脅情報(bào)共享、應(yīng)急事件處置、安全機(jī)制構(gòu)建帶來(lái)了極大困難。為此，應(yīng)當(dāng)利用區(qū)塊鏈去中心化共識(shí)機(jī)制思想，遵循“首次發(fā)現(xiàn)，優(yōu)先命名”原則，以“軟件基因”為基礎(chǔ)對(duì)威脅事件進(jìn)行標(biāo)準(zhǔn)化規(guī)范，統(tǒng)一威脅事件描述標(biāo)準(zhǔn)，提升網(wǎng)絡(luò)安全事件綜合應(yīng)急響應(yīng)水平。

三是要有足夠的IPv6網(wǎng)絡(luò)安全人才儲(chǔ)備。IPv6下一代互聯(lián)網(wǎng)具有非常重要的戰(zhàn)略意義，已成為我國(guó)拓展網(wǎng)絡(luò)空間競(jìng)爭(zhēng)力的新平臺(tái)。通過(guò)下一代互聯(lián)網(wǎng)提升創(chuàng)新能力，加強(qiáng)人才培養(yǎng)，助力實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，應(yīng)成為落實(shí)《計(jì)劃》的同步戰(zhàn)略選擇。應(yīng)當(dāng)緊急圍繞下一代網(wǎng)絡(luò)安全發(fā)展趨勢(shì)、標(biāo)準(zhǔn)、技術(shù)、安全管理、測(cè)評(píng)、態(tài)勢(shì)感知、脆弱性分析的特點(diǎn)，加大高層次創(chuàng)新型人才培養(yǎng)，營(yíng)造濃厚的網(wǎng)絡(luò)安全人才創(chuàng)新創(chuàng)業(yè)氛圍，打造布局合理的人才結(jié)構(gòu)梯次，加大IPv6人才資源開(kāi)發(fā)投入，為我國(guó)下一代互聯(lián)網(wǎng)的發(fā)展培養(yǎng)和儲(chǔ)備人才打下堅(jiān)實(shí)基礎(chǔ)。