引用本文:郎平,延志偉 . IPv6 對(duì)網(wǎng)絡(luò)安全治理的挑戰(zhàn)及影響[J]. 信息安全與通信保密,2019(05):40-47.
1引言:2017 年 11 月,中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》,并發(fā)出通知要求各地區(qū)各部門(mén)結(jié)合實(shí)際認(rèn)真貫徹落實(shí)。隨著該行動(dòng)計(jì)劃的逐步推進(jìn),有關(guān) IPv6 安全部署的文章和評(píng)論不斷出現(xiàn)。有觀點(diǎn)認(rèn)為,IPv6 會(huì)在有助于實(shí)現(xiàn)終端設(shè)備溯源的同時(shí)在一定程度上侵犯到個(gè)人隱私;也有觀點(diǎn)認(rèn)為,IPv6 將會(huì)終結(jié)美國(guó)的互聯(lián)網(wǎng)霸權(quán),提升中國(guó)在全球互聯(lián)網(wǎng)治理中的地位。本文試圖以 IPv6 發(fā)展過(guò)程以及 IPv6 地址配置為入口,分析 IPv6 部署帶來(lái)的安全風(fēng)險(xiǎn)以及對(duì)網(wǎng)絡(luò)安全治理的影響,并提出應(yīng)對(duì)建議。
IP 地址與 IPv6 的緣起
如果將網(wǎng)絡(luò)空間比喻為人體的話,互聯(lián)網(wǎng)的物理設(shè)施層可以看作是“骨骼”,是互聯(lián)網(wǎng)的有形部分。而包含協(xié)議和標(biāo)準(zhǔn)在內(nèi)的邏輯層則類(lèi)似于布滿(mǎn)神經(jīng)元的人類(lèi)神經(jīng)系統(tǒng),這些計(jì)算機(jī)代碼為物理層的所有功能提供運(yùn)行的動(dòng)力,并確保信息能夠準(zhǔn)確傳播。
全 球 網(wǎng) 絡(luò) 空 間 穩(wěn) 定 委 員 會(huì)(GCSC) 秘 書(shū)處主任克里姆伯格(Klimburg)博士認(rèn)為,基于內(nèi)在邏輯的軟件代碼界定了我們對(duì)網(wǎng)絡(luò)空間相關(guān)的所有事情的體驗(yàn)和認(rèn)知。斯坦福互聯(lián)網(wǎng)與社會(huì)研究中心創(chuàng)始人勞倫斯·萊斯格(Lawrence·Lessig)曾說(shuō)過(guò)一句名言——“代碼就是法律。”無(wú)論是有意創(chuàng)造還是無(wú)意為之,計(jì)算機(jī)代碼幫助界定的不僅是我們的網(wǎng)絡(luò)行為,還有我們對(duì)網(wǎng)絡(luò)空間的期待和想象:什么是現(xiàn)實(shí)的,什么不是現(xiàn)實(shí)的,事情是如何被完成的以及事情應(yīng)該如何被處理。從這個(gè)意義上說(shuō),技術(shù)標(biāo)準(zhǔn)和協(xié)議對(duì)互聯(lián)網(wǎng)的發(fā)展有決定性影響。全球網(wǎng)絡(luò)空間的一致、正常運(yùn)作依賴(lài)于統(tǒng)一的基礎(chǔ)性協(xié)議與標(biāo)準(zhǔn)。
其中,IP 和域名系統(tǒng)(DNS)是兩個(gè)最重要的標(biāo)準(zhǔn),它們構(gòu)成了網(wǎng)絡(luò)空間海量資源命名和尋址的基礎(chǔ)。DNS 是互聯(lián)網(wǎng)資源命名協(xié)議,解決了網(wǎng)絡(luò)空間海量資源的可擴(kuò)展管理,DNS 將人類(lèi)可讀的名字映射為機(jī)器可讀的 IP 地址,進(jìn)而支持?jǐn)?shù)據(jù)包的逐跳轉(zhuǎn)發(fā)。IP 協(xié)議確保 IP 數(shù)據(jù)包到達(dá)其指定位置,通過(guò)包交換實(shí)現(xiàn)數(shù)據(jù)的確定性傳輸。
在這個(gè)過(guò)程中,IP 地址是標(biāo)識(shí)一臺(tái)連接到互聯(lián)網(wǎng)上(個(gè)人計(jì)算機(jī)、服務(wù)器、智能手機(jī)或者可以聯(lián)網(wǎng)的智能端)設(shè)備的物理地址的一串?dāng)?shù)值,隱藏在瀏覽器上域名地址背后的、能夠被計(jì)算機(jī)讀取的一串?dāng)?shù)值。
20 世紀(jì) 80 年代,43 億數(shù)量的 IP 地址(指的是第四版互聯(lián)網(wǎng)協(xié)議 IPv4)被認(rèn)為足夠可以應(yīng)付可預(yù)見(jiàn)的未來(lái)。IPv4 地址以四組十進(jìn)制數(shù)字表示,中間用頓號(hào)隔開(kāi),數(shù)字范圍從 0 到 255(例如 208.80.152.2)。
從理論上講,連接到網(wǎng)絡(luò)上的每一臺(tái)設(shè)備都有自己的 IP 地址,如果沒(méi)有 IP 地址,它就無(wú)法接入互聯(lián)網(wǎng)。然而,近年來(lái)對(duì) IP 地址爆炸性的需求以及 IPv4 分配使用的不合理致使 IPv4 能夠提供的地址數(shù)量遠(yuǎn)無(wú)法應(yīng)對(duì)未來(lái)需求。
作為互聯(lián)網(wǎng)協(xié)議和標(biāo)準(zhǔn)制定的治理機(jī)構(gòu),互 聯(lián) 網(wǎng) 工 程 任 務(wù) 組(Internet Engineering Task Force)在 1989 年就開(kāi)始注意到 IPv4 地址數(shù)量的有限性問(wèn)題。因此,從 1990 年開(kāi)始,IETF 就開(kāi)始規(guī)劃設(shè)計(jì) IPv4 的下一代協(xié)議,除要解決 IP地址短缺問(wèn)題外,旨在擴(kuò)展更多地址承載的功能。
作為暫時(shí)性的補(bǔ)救措施,IETF 在 1994 年早期采用了無(wú)類(lèi)別地址尋址(classless addressing)的地址分配架構(gòu),在一定程度上緩解了 IP 地址的浪費(fèi)問(wèn)題。1994 年,IETF 正式提議 IPv6 發(fā)展計(jì)劃,最終,IPv6 在 1998 年底被 IETF 通過(guò)RFC2460 正式發(fā)布。
與 IPv4 地址格式不同,IPv6 地址以 8 組四位十六進(jìn)制數(shù)值表示,由 128 比特位構(gòu)成,單從數(shù)量級(jí)上來(lái)說(shuō),理論上 IPv6 可提供約 340 萬(wàn)億萬(wàn)億萬(wàn)億(2128)個(gè)地址。這不但解決了網(wǎng)絡(luò)地址資源數(shù)量的問(wèn)題,同時(shí)也為未來(lái)萬(wàn)物互聯(lián)發(fā)展提供了基礎(chǔ)。
從國(guó)際趨勢(shì)看,employees.org網(wǎng)站自 2009 年開(kāi)展了一項(xiàng)持續(xù)性的大規(guī)模 IPv6監(jiān)測(cè)項(xiàng)目,每天對(duì) Alexa 排名 Top25000 的域名進(jìn)行持續(xù)的 IPv6 解析和可用性探測(cè)。該數(shù)據(jù)已從最初的低于 1% 逐步提升到當(dāng)前的 20% 以上,說(shuō)明主流網(wǎng)站在部署實(shí)施 IPv6 方面表現(xiàn)出較為明顯的上升趨勢(shì)。
同時(shí),訪問(wèn)失敗率呈逐漸下降趨勢(shì),反映出網(wǎng)絡(luò)基礎(chǔ)設(shè)施的部署和 IPv6 鏈路的連接質(zhì)量在不斷改善。APNIC 統(tǒng)計(jì)數(shù)據(jù)也顯示,截至 2018 年 6 月底,全球 IPv6 用戶(hù)占全球互聯(lián)網(wǎng)用戶(hù)的比例已超過(guò) 18%。
其中,美國(guó) IPv6 用戶(hù)數(shù)已占其網(wǎng)民總數(shù)的 41%;印度超過(guò)美國(guó),成為全球擁有 IPv6 用戶(hù)最多的國(guó)家,IPv6 用戶(hù)占比達(dá)到 52%。思科在其 2017 年 6 月發(fā)布的《2016—2021 年度可視化網(wǎng)絡(luò)指數(shù)預(yù)測(cè)》中指出,預(yù)計(jì)到 2021 年,全球 IPv6 流量將占比37%,達(dá)到 87EB/ 月 。
2018 年 12 月,推進(jìn) IPv6 規(guī)模部署專(zhuān)家委員會(huì)在北京召開(kāi)了“中國(guó) IPv6 產(chǎn)業(yè)發(fā)展研討會(huì)”。會(huì)議指出,推進(jìn) IPv6 規(guī)模部署工作一年來(lái),在各部委的指導(dǎo)下,各地、各部門(mén)、各相關(guān)企業(yè)密切配合、務(wù)實(shí)推進(jìn),IPv6 規(guī)模部署工作取得了積極進(jìn)展、成效顯著,并初步形成了政企聯(lián)動(dòng)、高效協(xié)同、多方參與,網(wǎng)絡(luò)、應(yīng)用和終端協(xié)同推進(jìn)的良好發(fā)展局面。
截至 2018 年11 月,基礎(chǔ)電信企業(yè)分配 IPv6 地址的 LTE 和固定寬帶接入網(wǎng)絡(luò)用戶(hù)總數(shù)超 8.65 億。IPv6 的網(wǎng)站應(yīng)用也取得了很大的進(jìn)展,例如,在 2018 年天貓雙 11 期間,阿里巴巴各項(xiàng)服務(wù)已全面支持IPv6,阿里云已經(jīng)為各種網(wǎng)站和應(yīng)用提供 IPv6解決方案,為網(wǎng)站和應(yīng)用快速過(guò)渡到 IPv6 提供相關(guān)的基礎(chǔ)設(shè)施;很多手機(jī)移動(dòng) App 也主動(dòng)支持 IPv6 并標(biāo)注在登錄頁(yè),如優(yōu)酷、淘寶、支付寶、高德地圖、京東商城、大眾點(diǎn)評(píng)、攜程等。
IPv6 是下一代互聯(lián)網(wǎng)的核心,也事關(guān)未來(lái)我國(guó)互聯(lián)網(wǎng)行業(yè)的穩(wěn)步發(fā)展以及我國(guó)網(wǎng)絡(luò)安全和信息化工作的全局。2016 年 11 月 7 日,互聯(lián)網(wǎng)架構(gòu)委員會(huì)(IAB, Internet Architecture Board)發(fā)表聲明:建議各標(biāo)準(zhǔn)開(kāi)發(fā)組織的網(wǎng)絡(luò)標(biāo)準(zhǔn)需要完全支持 IPv6,不再考慮 IPv4;同時(shí),希望IETF 在新增或擴(kuò)展協(xié)議中不要再考慮 IPv4 協(xié)議的兼容,IETF 未來(lái)的協(xié)議制定工作重點(diǎn)在于優(yōu)化和使用 IPv6。
IPv6 的技術(shù)特性
IPv6 在解決了 IPv4 的地址匱乏問(wèn)題的同時(shí),還在許多方面實(shí)現(xiàn)了優(yōu)化改進(jìn),主要包括以下五點(diǎn):
第一,IPv6 具有層次化的編址方式,地址分配遵循聚類(lèi)(Aggregation)的原則,同時(shí)通過(guò)使用更小的路由表,使得路由器能在路由表中用一條記錄(Entry)表示一片子網(wǎng),大大減小了路由器中路由表的長(zhǎng)度,有利于骨干網(wǎng)路由器對(duì)數(shù)據(jù)包的快速轉(zhuǎn)發(fā)有效提高轉(zhuǎn)發(fā)速度。
第 二,IPv6 增 強(qiáng) 了 組 播 支 持 以 及 對(duì) 流 的控制能力,為多媒體應(yīng)用和服務(wù)質(zhì)量(QoS,Quality of Service) 控 制 提 供 了 更 好 的 網(wǎng) 絡(luò) 平臺(tái)。IPv6 數(shù)據(jù)包的報(bào)頭包含一個(gè) 8 位的業(yè)務(wù)流類(lèi)別(Class)和一個(gè)新的 20 位的流標(biāo)簽(Flow Label),允許發(fā)送業(yè)務(wù)流的源節(jié)點(diǎn)和轉(zhuǎn)發(fā)業(yè)務(wù)流的路由器在數(shù)據(jù)包上加上標(biāo)記,進(jìn)行除默認(rèn)處理之外的按需處理。
第三,IPv6 同時(shí)定義了更靈活的地址配置機(jī)制:無(wú)狀態(tài)和有狀態(tài)地址自動(dòng)配置機(jī)制。有狀 態(tài) 自 動(dòng) 配 置(Stateful Auto-configuration) 通過(guò)動(dòng)態(tài)主機(jī)配置協(xié)議 (Dynamic Host Configuration Protocol for IPv6,DHCPv6) 來(lái) 為 設(shè) 備 動(dòng) 態(tài) 分配 IPv6 地 址, 無(wú) 狀 態(tài) 地 址 自 動(dòng) 配 置(SLAAC, Stateless Auto-configuration)則通過(guò)鄰居發(fā)現(xiàn)協(xié)議(NDP,Neighbor Discovery Protocol) 來(lái)實(shí)現(xiàn)地址自動(dòng)配置。
第四,IPv6 簡(jiǎn)化了數(shù)據(jù)包報(bào)頭,減少處理器開(kāi)銷(xiāo)并節(jié)省網(wǎng)絡(luò)帶寬。這就使得路由器在處理 IPv6 報(bào)頭時(shí)更為高效。此外,IPv6 使用新的頭部格式,其選項(xiàng)與基本頭部分開(kāi),如果新的技術(shù)或應(yīng)用需要,可將選項(xiàng)插入到基本頭部與上層數(shù)據(jù)之間,這在簡(jiǎn)化路由處理過(guò)程中保證了協(xié)議的可擴(kuò)展性。
第五,IPv6 擁有基于海量地址空間下的即插即用優(yōu)勢(shì),可更便捷地支持移動(dòng)性,并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動(dòng)性管理。
基 于 上 述 特 性,IPv6 實(shí) 現(xiàn) 了 功 能 優(yōu) 化,其功能擴(kuò)展頭機(jī)制為網(wǎng)絡(luò)創(chuàng)新和功能擴(kuò)展留下了更大的空間,例如近期被采用較多的 SRv6(Segment Routing with IPv6)技術(shù),就是通過(guò)定義新的 IPv6 擴(kuò)展來(lái)優(yōu)化路由和流量調(diào)度。因此,IPv6 相對(duì)于 IPv4 而言,能夠?yàn)槿f(wàn)物互聯(lián)的場(chǎng)景提供更加廣闊的協(xié)議基礎(chǔ)和平臺(tái)。
IPv6 地址配置與隱私保護(hù)
IPv6 引 入 兩 種 不 同 的 地 址 配 置 機(jī) 制:在DHCPv6 中,地址由該管理域內(nèi)的 DHCPv6 服務(wù)器集中管理。因此,不同管理域的 DHCPv6 服務(wù)器可以應(yīng)用不同的地址分配策略(如連續(xù)地址和隨機(jī)地址等),從而規(guī)避了隱私泄露的風(fēng)險(xiǎn)。
而 SLAAC 模式下,設(shè)備在子網(wǎng)內(nèi)共享 64 比特的網(wǎng)絡(luò)前綴,并基于一定的地址生成規(guī)則(后64 比特)自動(dòng)生成各自的 IPv6 地址。在 SLAAC 模 式 中,IETF 標(biāo) 準(zhǔn) 規(guī) 定 IPv6 地址由自動(dòng)配置的前綴與嵌入底層鏈路地址的接
口 ID(IID, Interface Identifier)構(gòu)成,并在以太網(wǎng)中使用設(shè)備的 48 比特 mac 地址生成 IID,成為最廣泛使用的策略,如圖 1 所示。
圖 1 SLAAC 中的 EUI-64 格式
具 體 而 言, 基 于 EUI-64 的 IID 及 IPv6 地址生成步驟如下:(1)獲取底層網(wǎng)絡(luò)接口的以太網(wǎng)地址(MAC 地址);(2)反轉(zhuǎn) MAC 地址的 IEEE 組織唯一標(biāo)識(shí)(OUI, Organizationally Unique Identifier)的 U/L 位;(3)在 MAC 地址的 3 個(gè)高位和 3 個(gè)低位之間插入 0xFFFE;(4)得到的 64 位后綴(IID)結(jié)合網(wǎng)絡(luò)周期性通告的64 位前綴將生成全球唯一的 IPv6 地址。
在此模式下,IID(至少在理論上)是全局唯一的,因?yàn)槠鋪?lái)源——MAC 地址通常是全局唯一的,此外,相同供應(yīng)商制造的設(shè)備有相同的 IID 高 5 位(與 IEEE OUI 對(duì)應(yīng))。最后,某個(gè)設(shè)備其 IID在一個(gè)或多個(gè)網(wǎng)絡(luò)中保持不變,除非手動(dòng)修改了底層以太網(wǎng)地址或者更換了網(wǎng)絡(luò)接口卡。上述 EUI-64 模式下,基于全球唯一 MAC地址生成 IPv6 地址 IID 存在如下安全和隱私泄露風(fēng)險(xiǎn):
第一,設(shè)備在任何網(wǎng)絡(luò)中配置 IPv6 地址時(shí)將使用相同的 IID,惡意攻擊者可以通過(guò)從不同網(wǎng)絡(luò)的流量中進(jìn)行地址的 IID 對(duì)比輕易歸類(lèi)設(shè)備,并 進(jìn) 一 步 分 析 其 潛 在 行 為。此 外, 還 可以通過(guò)同一設(shè)備的網(wǎng)絡(luò)前綴分析該設(shè)備的移動(dòng)軌跡。
第二,MAC 地址包含了 OUI 信息,泄露了設(shè)備制造商。一方面,這意味著從地址便有可能分析得知設(shè)備類(lèi)型從而對(duì)針對(duì)性漏洞進(jìn)行攻擊;另一方面,對(duì)于鎖定具體設(shè)備來(lái)說(shuō),由于OUI 位數(shù)和 FF:FE 固定,可進(jìn)一步縮小掃描范圍。
為 了 消 除 上 述 問(wèn) 題,RFC3972 提 出 了 密碼 生 成 地 址 機(jī) 制(Cryptographically Generated Addresses),采用對(duì)設(shè)備公鑰等信息的哈希來(lái)生成其 IPv6 地址的 IID。此外,RFC4941 也提出了 IPv6 隱私擴(kuò)展機(jī)制,定義了臨時(shí)地址概念,該地址按照一定時(shí)間周期變化,并且地址之間并無(wú)關(guān)聯(lián)性且獨(dú)立于接入網(wǎng)絡(luò),從而規(guī)避了位置追蹤。
但是如果地址生成算法泄露,就有可能計(jì)算出后續(xù)可能配置地址的信息,雖然這是該方案的缺陷,但在實(shí)際部署中,操作系統(tǒng)都通過(guò)在算法中引入隨機(jī)數(shù)來(lái)規(guī)避這一風(fēng)險(xiǎn)。
由 此 可 見(jiàn),IPv6 SLAAC 的 EUI-64 模 式 存在 的 安 全 和 隱 私 風(fēng) 險(xiǎn) 由 來(lái) 已 久。為 此,IETF 6man 工作組于 2014 年發(fā)布 RFC7217,以此作為傳統(tǒng) SLAAC 算法的替代方案,但在該 RFC 發(fā)布時(shí)并未正式取代 EUI-64 模式。隨后,IETF又發(fā)布了兩篇分析 EUI-64 模式隱私與安全風(fēng)險(xiǎn)的 RFC(RFC7707 和 RFC7721), 可 被 視 為 用RFC7217 取代傳統(tǒng) SLAAC 算法的前奏。2017 年2 月,IETF 正式發(fā)布 RFC8064,用 RFC7217 取代 EUI-64 模式,并提出不建議任何算法在 IPv6地址生成中嵌入終端設(shè)備的鏈路層地址。
RFC7217 提 出 的 語(yǔ) 義 模 糊 接 口 標(biāo) 識(shí)(Semantically Opaque Interface Identifiers) 算 法支持設(shè)備在一個(gè)網(wǎng)絡(luò)中配置穩(wěn)定的 IPv6 地址,但是當(dāng)設(shè)備在子網(wǎng)之間發(fā)生移動(dòng)時(shí),地址也將變化。基于多個(gè)相關(guān)參數(shù)的哈希,IPv6 IID 將隱藏設(shè)備標(biāo)識(shí)信息。
此外,只要設(shè)備在同一接入網(wǎng)絡(luò)內(nèi),該機(jī)制計(jì)算生成的 IID 將保持不變,從而使得設(shè)備的 IPv6 地址在同一子網(wǎng)內(nèi)保持穩(wěn)定。但當(dāng)設(shè)備進(jìn)入不同接入網(wǎng)絡(luò)時(shí),由于網(wǎng)絡(luò)前綴變化將使其 IID 變化,保證了地址的動(dòng)態(tài)性。主流 linux 和 MacOS 是最先支持該算法的操作系統(tǒng)(Microsoft 起初未支持該算法,但也采用了MAC 地址隨機(jī)化的機(jī)制,且 RFC7217 作者之一便來(lái)自 Microsoft)。
從 IPv6 地址屬性看,主要分為三類(lèi):靜態(tài)地址、半靜態(tài)地址和動(dòng)態(tài)地址。靜態(tài)地址通常是手動(dòng)配置,此外,在一定意義上也包含 EUI-64 模式的地址;RFC7217 以及 CGA 所定義的模式則具有半靜態(tài)特點(diǎn);而 RFC4941 所定義的模式可被視為動(dòng)態(tài)地址類(lèi)型。半靜態(tài)和動(dòng)態(tài)地址通常應(yīng)用于客戶(hù)端設(shè)備以提供一定隱私保護(hù),而靜態(tài)地址一般應(yīng)用于路由器或者服務(wù)器以保證其能夠被其他設(shè)備穩(wěn)定尋址。但很顯然,隨著網(wǎng)絡(luò)應(yīng)用模式的演進(jìn),網(wǎng)絡(luò)設(shè)施不只有客戶(hù)端和服務(wù)器這兩種簡(jiǎn)單類(lèi)別,如也將出現(xiàn)只服務(wù)特定范圍的服務(wù)器(如 IoT 網(wǎng)關(guān)),在需要穩(wěn)定可達(dá)的同時(shí)具有隱私保護(hù)需求。總的來(lái)看,如何應(yīng)用不同的安全地址配置模式應(yīng)基于不同特定場(chǎng)景靈活設(shè)定。基于 MAC地址生成 IPv6 的地址 IID,在 IPv6 地址生成的過(guò)程中,有若干方法可以做到地址隨機(jī)分配,不必與 MAC 地址綁定。同時(shí),由于 IPv6 地址可以實(shí)現(xiàn)端到端的唯一性,因此在隱私與安全的平衡管理過(guò)程中,可以做到更加靈活。
IPv6 對(duì)網(wǎng)絡(luò)安全治理的影響
IPv6 是對(duì) IPv4 的量變升級(jí),而不是根本性的顛覆。目前,全球正處于由 IPv4 向 IPv6 升級(jí)的過(guò)渡階段,兩種協(xié)議并存,完全完成向純IPv6 的轉(zhuǎn)變還需要很長(zhǎng)時(shí)間。但是,隨著信息通信技術(shù)的加速推進(jìn)和廣泛應(yīng)用,特別是物聯(lián)網(wǎng)的發(fā)展,入網(wǎng)設(shè)備特別是原有的受限設(shè)備將會(huì)急劇增加,對(duì)地址配置的靈活高效提出了較高的要求,IPv6 的推進(jìn)已是大勢(shì)所趨,其對(duì)網(wǎng)絡(luò)安全治理也將帶來(lái)深遠(yuǎn)的影響。
從地址配置角度看,IPv6 已經(jīng)解決了設(shè)備和用戶(hù)隱私泄露的風(fēng)險(xiǎn)。在 IPv6 剛提出來(lái)的時(shí)候,用基于 MAC 地址 EUI-64 模式生成的 IPV6地址的確存在泄露設(shè)備和用戶(hù)隱私的風(fēng)險(xiǎn),但I(xiàn)ETF 很快意識(shí)到這個(gè)問(wèn)題,隨后推出了一系列隱私保護(hù)方案,從技術(shù)和標(biāo)準(zhǔn)的角度規(guī)避了上述隱私泄露的風(fēng)險(xiǎn)。
然而,考慮到上述隱私保護(hù)協(xié)議在 2017 年剛剛完成,不排除有些設(shè)備仍然采用了較低的配置方式,那么這種風(fēng)險(xiǎn)的確是存在的,因而在實(shí)施層面,也的確會(huì)因?yàn)殡[私保護(hù)協(xié)議的缺失帶來(lái)隱私泄漏的風(fēng)險(xiǎn)。
從應(yīng)用角度看,IPv6 巨大的地址空間和自動(dòng)化的地址配置方式為以物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等海量設(shè)備實(shí)時(shí)在線、端到端互聯(lián)的應(yīng)用場(chǎng)景提供了良好的支撐,同時(shí)便于溯源管理。
當(dāng)然,IPv6 的靈活配置和永遠(yuǎn)在線特點(diǎn)也存在應(yīng)用層面的安全風(fēng)險(xiǎn),包括:如何在物聯(lián)網(wǎng)設(shè)備通過(guò)IPv6 自動(dòng)配置功能獲取 IPv6 地址的過(guò)程中保證安全性,如何降低物聯(lián)網(wǎng)設(shè)備成為僵尸網(wǎng)絡(luò)的一部分;在大型云平臺(tái)的虛擬主機(jī)和虛擬網(wǎng)絡(luò)設(shè)備由原來(lái)基于 NAT 機(jī)制的 IPv4 私有地址編址向 IPv6 公有地址編制轉(zhuǎn)換過(guò)程中,如何減少攻擊風(fēng)險(xiǎn);如何在移動(dòng)互聯(lián)網(wǎng)環(huán)境避免利用 LTE用戶(hù)永遠(yuǎn)在線的特性進(jìn)行僵尸網(wǎng)絡(luò)攻擊和個(gè)人信息竊取等等。
從全球?qū)用婵矗琁Pv6 的部署和應(yīng)用已經(jīng)進(jìn)入加速發(fā)展的階段。目前,已有超過(guò) 100 個(gè)國(guó)家和地區(qū)部署了 IPv6 網(wǎng)絡(luò),有 317 個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商提供基于 IPv6 的接入服務(wù)。截至 2018 年 7 月,全球 IPv6 用戶(hù)總數(shù)超過(guò) 5.59 億,其中印度 IPv6用戶(hù)數(shù)達(dá) 2.49 億,位居世界第一,美國(guó)、巴西、德國(guó)則緊隨其后,中國(guó)位居第 13 位,用戶(hù)數(shù)356 萬(wàn);IPv6 用戶(hù)普及率比利時(shí)位居世界第一,達(dá)到 57.94%,其后是印度、德國(guó)和美國(guó),中國(guó)的 IPv6 用戶(hù)普及率則僅有 0.48%,在世界上排名第 70 位。由此可見(jiàn),IPv6 已經(jīng)成為下一階段互聯(lián)網(wǎng)發(fā)展的全球共識(shí)。
IPv6 的應(yīng)用及部署還將對(duì)網(wǎng)絡(luò)空間格局的力量博弈帶來(lái)深遠(yuǎn)的影響。
第一,發(fā)達(dá)國(guó)家在這一場(chǎng)新的競(jìng)賽中并未懈怠,特別是美國(guó)作為互聯(lián)網(wǎng)的起源地,仍然是 IPv6 部 署 和 應(yīng) 用 的 領(lǐng) 頭 羊。
2012 年, 美 國(guó)政府就更新了《政府 IPv6 應(yīng)用指南 / 規(guī)劃路線圖》,要求政府對(duì)外提供的所有互聯(lián)網(wǎng)公共服務(wù)在 2012 年末必須支持 IPv6,到 2014 年末政府辦公網(wǎng)絡(luò)全面支持 IPv6。目前,美國(guó) IPv6 地址申請(qǐng)量位居全球第一;Verizon、T-mobile 和AT&T 的 IPv6 用戶(hù)數(shù),前兩者超過(guò) 70%,后者超過(guò) 50%;Facebook、google、Twitter 等主流商業(yè)網(wǎng)站的主要應(yīng)用產(chǎn)品已全面支持 IPv6, 蘋(píng)果應(yīng)用商店已強(qiáng)制要求所有 App 必須支持 IPv6。由此可見(jiàn),互聯(lián)網(wǎng)巨頭是 IPv6 發(fā)展的重要推動(dòng)力量。
第二,發(fā)展中國(guó)家和不發(fā)達(dá)國(guó)家可以把握機(jī)遇,提升本國(guó)的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)。
特別是對(duì)那些尚未獲得 IPv4 地址資源的發(fā)展中國(guó)家和不發(fā)達(dá)國(guó)家而言,更充足的地址資源可以為提高互聯(lián)網(wǎng)接入和普及率,發(fā)展互聯(lián)網(wǎng)產(chǎn)業(yè)及推動(dòng)數(shù)字經(jīng)濟(jì)的可持續(xù)發(fā)展提供必要的保障。因此,這些國(guó)家對(duì)部署 IPv6 以及研發(fā)基于 IPv6 的場(chǎng)景解決方案抱有很大的熱情,市場(chǎng)潛力很大。印度就是一個(gè)典型的例子,盡管原有的互聯(lián)網(wǎng)設(shè)備較為落后,但依托巨大的市場(chǎng)規(guī)模,反而可以后來(lái)居上,在 IPv6的部署上趕超中國(guó)。
第三,主要大國(guó)在 IPv6 相關(guān)領(lǐng)域和全球市場(chǎng)的競(jìng)爭(zhēng)博弈將更趨激烈。對(duì)于發(fā)達(dá)國(guó)家和互聯(lián)網(wǎng)巨頭來(lái)說(shuō),由于其自身的技術(shù)和資源優(yōu)勢(shì),它不僅能夠促使互聯(lián)網(wǎng)企業(yè)挖掘新的創(chuàng)新應(yīng)用,而且也為有實(shí)力的互聯(lián)網(wǎng)企業(yè)進(jìn)入全球市場(chǎng)和實(shí)現(xiàn)各環(huán)節(jié)的全球布局提供了機(jī)遇;對(duì)于亟需提升互聯(lián)網(wǎng)接入率的不發(fā)達(dá)國(guó)家而言,這意味著他們將在培育自身企業(yè)力量的同時(shí),不得不在本國(guó)市場(chǎng)上迎接國(guó)外企業(yè)更有力的競(jìng)爭(zhēng);而對(duì)于廣大的中間地帶國(guó)家和企業(yè)而言,原有的網(wǎng)絡(luò)運(yùn)營(yíng)商和互聯(lián)網(wǎng)企業(yè)有可能因升級(jí)的更新成本而裹足不前,錯(cuò)失發(fā)展的良機(jī),也有可能為新企業(yè)的發(fā)展壯大提供機(jī)會(huì),相關(guān)產(chǎn)業(yè)的力量格局可能會(huì)發(fā)生變化。新的機(jī)遇與新的挑戰(zhàn)總是相伴而來(lái),而機(jī)遇只會(huì)留給有準(zhǔn)備的人。
結(jié) 語(yǔ)
我國(guó)在 IPv6 規(guī)模部署方面的網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本完備,應(yīng)用部署技術(shù)能力基本成熟,產(chǎn)業(yè)生態(tài)鏈條基本形成,有望與其他 IPv6 發(fā)達(dá)國(guó)家逐步縮小差距。2019 年 4 月,從當(dāng)前的發(fā)展態(tài)勢(shì)判斷,IPv6 的部署并不會(huì)從根本上改變各國(guó)在網(wǎng)絡(luò)空間的力量格局,但卻會(huì)給我國(guó)增加互聯(lián)網(wǎng)接入率、提升網(wǎng)絡(luò)基礎(chǔ)設(shè)施水平、發(fā)展數(shù)字經(jīng)濟(jì)和建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)提供一個(gè)機(jī)會(huì)窗口。
當(dāng)前,國(guó)際形勢(shì)正面臨著百年未有之大變局,大國(guó)在網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)博弈日趨激烈,我國(guó)應(yīng)合理統(tǒng)籌國(guó)內(nèi)國(guó)際兩個(gè)大局,在國(guó)內(nèi)加速推進(jìn) IPv6 部署、推動(dòng) IPv6 產(chǎn)業(yè)盡快成熟,同時(shí)客觀分析其地址配置和應(yīng)用管理存在的安全缺陷,及早規(guī)避相關(guān)風(fēng)險(xiǎn),保證其未來(lái)大規(guī)模部署和應(yīng)用時(shí)網(wǎng)絡(luò)環(huán)境的安全可信;在國(guó)際舞臺(tái)上,加快推動(dòng)我國(guó)互聯(lián)網(wǎng)企業(yè)的國(guó)際化,積極參與全球市場(chǎng)的合作與競(jìng)爭(zhēng),在提升自身競(jìng)爭(zhēng)力的同時(shí)為世界各國(guó)的共同發(fā)展做出貢獻(xiàn),這也是構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的重要一環(huán)。
作者簡(jiǎn)介 >>>
郎平,博士,中國(guó)社會(huì)科學(xué)院世界經(jīng)濟(jì)與政治研究所研究員,主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)空間國(guó)際治理與國(guó)際關(guān)系。
延志偉,博士,中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心基礎(chǔ)技術(shù)實(shí)驗(yàn)室副主任,主要研究領(lǐng)域?yàn)橄乱淮W(wǎng)絡(luò)。
選自《信息安全與通信保密》2019年第五期 (為便于排版,已省去原文參考文獻(xiàn))
