理性應對IPv6安全風險

任何事情都具有兩面性，IPv6也一樣，在為互聯網帶來了幾乎無限的IP地址資源的同時，也改變了互聯網的安全環境，讓更大的風險隨之而至。那么，“看上去很美”的IPv6是否存在更大的安全黑洞？在人們熱情迎接IPv6的同時，是否看到了藏匿在過渡過程中的安全隱患？

IPv6的優勢

具有幾乎無限的地址空間。IPv4的理論地址數量是232-1個（不將全0地址算在內），而IPv6（下一代互聯網協議）的理論IP地址數量達2128-1個。單從地址數量看， IPv6約是IPv4的8×1028倍。如果按照全球70 億人口來計算，意味著人均可分配到1800多個IPv6地址。

IPv6 的地址分配機制遵循了聚類原則。這種優勢使路由器在路由表中僅用一條記錄就可以表示一片子網，大幅縮短了路由表的長度，這一特色可以提升路由器轉發數據包的速度。

簡化了數據報頭格式。IPv6報頭固定為40字節，去掉了IPv4報頭中的一些字段，或者將其變為可選項。這樣，數據報可以以更快的速度和更低的開銷進行報文操作。

增強了對組播及流控制的支持。它使網絡上的多媒體應用有了長足發展的機會，為QoS（服務質量） 控制提供了良好的網絡平臺。支持對QoS的更精細分類。在頭結構中專門設有類等級和流標簽字段，用于數據傳輸時的服務質量保證。

提高了網絡的安全系數。在IPv4中，IPSec（IP安全性）是可選協議，而在IPv6中則是強制標準，用戶可以對網絡層的數據進行加密并對IP報文進行校驗。

使移動設備接入互聯網變得更為便捷。移動設備與互聯網的連接必須要能夠隨意更改位置，但仍維持現有連接。移動設備對IP地址資源的占用很可能是永久性的，同一個IP地址不會被重復分配給不同的移動設備，移動互聯網必然需要數量龐大且難以枯竭的IP地址來支撐，這正是IPv6的強項。

IPv6的安全風險

首先，IPv6存在網絡漏洞。一是由于IPv6會首次將大量新的代碼功能帶到網絡上，而只要在整個互聯網上使用新代碼，就都有可能會出現大量的代碼漏洞。二是由于部署IPv6互聯網將需要更多的地址轉換設備，而這些設備也會招致分布式拒絕服務攻擊（DDoS），或者出現單點失靈的情況。三是網絡經營者對于互聯網流量的可見性也會降低，所以他們也更難發現類似僵尸網絡等類型的攻擊。

盡管IPv6的內部加密機制是為用戶與服務器之間的交流提供身份認證與保密功能的，但該功能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機制繞過防火墻和IPS檢查，直接向服務器發起攻擊，原因正在于這些安全設備無法檢測加密內容。攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協議機制偽裝各種進攻。攻擊者會讓通過的信息包看上去跟正常的IPv4流量毫無差別，從而進入企業核心網絡。

在IPv6協議中，重定向報文的主要作用是為局域網內的節點提供正確的路由選擇。而IPv6重定向協議本身的主要功能是保證主機擁有動態的、小而優的路由表，以提高報文的轉發效率。但是，由于IPv6重定向協議缺乏源地址認證，對于局域網中的惡意節點來說，就可以利用IPv6重定向報文實現數據報的非法重定向，從而實現多種攻擊措施。

其次，過渡技術存在隱患。Teredo是一項地址分配和自動隧道技術，它能通過IPv4網絡傳遞IPv6流量，幫助客戶端實現對IPv4與IPv6協議的兼容。Teredo客戶端可以在把IPv6數據包傳遞到另一目的地的同時，繞過基于網絡的源路由控制，穿透防火墻等安全設備，而在Vista系統下該功能還被默認啟用，這種技術所形成的安全漏洞很容易被黑客所利用。而Teredo的問題還沒有被完全解決，大量類似的過渡技術卻開始被更廣泛地使用，并且使用這些技術的相關產品還紛紛通過了IPv6認證。這種狀況，不免讓人對當前大批掛著IPv6認證標志的網絡安全產品的真實效果感到擔憂。

同時，可行的網絡監管系統和可靠的移動網絡技術尚缺乏。一是目前僅僅建立了IPv6網絡還不行，必須提供對大范圍的IPv6網絡進行監測、管理的手段。這對于網絡的故障定位、性能分析，保障網絡的高效運行是十分必要的。二是由于移動性是IPv6中最吸引人的應用之一，而且也有廣泛的使用范圍。然而如何使移動IPv6網絡能夠可靠地運行，需要具備3A（身份鑒別、授權、計費）功能的移動IPv6網關的支持，而這在目前還沒能解決。

QoS方面尚需改善。IPv6對QoS的考慮主要是設定了通信流類型（8bit）和數據流標記（20bit）。當然，這28bit只是用來指示特定的數據流，真正的QoS實現還需要網絡設備采用特定技術。而未來的IP電信網的業務需求是：求IP網能提供與傳統電信網相同的QoS，可是網絡的QoS不可能用無限的帶寬來實現。NGN（下一代網絡）需要新一代的QoS技術，IPv6在QoS方面尚需改善。

還不能實現真正的可擴展性。IPv6雖然從格式上解決了可擴展的問題，但是在網絡上要實現真正的可擴展性還需要有大量的協議去配合。

還沒有IPv6新業務和應用的關鍵標準。要支持IPv6進入商用階段，新業務和應用的標準建設極為重要。目前，與3G（第三代移動通信）網絡有關的IPv6國際標準主要集中在IP多媒體領域，有關移動終端支持IPv6的提案也即將成為國際標準。而這些都是IPv6新業務和應用標準化工作的重點，中國應該在這些重點領域形成自己的標準。

此外，IPv6離真正的網絡管理要求相距甚遠。IPv6網絡最顯著的特點在于128位的地址，這樣趨于無窮大的地址范圍，拓撲管理的實現變得更加復雜，原來的工具不能解決問題。同時，由于IPv6無狀態地址自動配置的技術和組播地址類型實現的變化，配置管理部分需要考慮IPv6獨特的地址分配技術。另一個問題是：性能管理、流量管理和故障管理基本依賴于SNMP（簡單網絡管理協議）、流統計（比如Netflow協議）工具和ICMP（Internet控制報文協議）等協議和技術，IPv6網絡設備必須能夠支持。但是目前各個廠商的網絡設備對這些協議支持的接口不統一，使網絡管理平臺需要對不同的設備建立不同的網絡管理軟件。這些都是保證IPv6網絡健康發展迫切需要解決的問題。

最后，現有Internet交換和路由基礎設施不適應IPv6。許多使用定制ASIC（專用集成電路）的核心和關鍵包流量的設備只能適應IPv4數據流。有些設備的制造商可以通過軟件升級的方式使其具備支持IPv6的能力。但專門設計的ASIC是無法升級的，因此路由的任務將全部落在CPU（中央處理器）的頭上。而典型的路由設備不具備特別強大的CPU。畢竟ASIC不是為此類用途設計的。路由IPv6流量會大幅度降低吞吐速度。在運行一段時間后，路由器和板卡會在越來越高的IPv6性能要求下變得非常遲鈍。雖然程度會有所不同，但一些專家估計，性能下降的幅度將可能高達60%。

們應如何應對

首先是制定明確的IPv6部署戰略。到目前，IPv6仍是從根本上突破互聯網發展瓶頸的方案，但需政府主導推動。為此，美國已經要求所有設備制造商2010年7月前必須使用IPv6標準。歐盟要求2010年25%的用戶能夠連接到IPv6。而據報道，在IPv6的全球路由表里，中國只有137個組織接入IPv6網，全球排第14位。這137個中沒有一個能支持千萬級的用戶接入。很顯然，中國還沒有真正在IPv6發力。好在國家發改委等7部委已制定了《關于下一代互聯網“十二五”發展建設的意見》，明確了下一代互聯網“五年”發展騰躍規劃。工業和信息化部關于下一代互聯網也有11個相關規劃已經或即將發布。未來仍應啟動專項，為下一代互聯網在產業和技術方面進行部署、推廣應用及注重信息安全等。應用商、網絡商和終端商應按照規劃要求，擔負起為IPv6網絡發展提供基礎網絡環境的責任，共同培育IPv6市場，并利用IPv6網絡地址豐富的特點開發適合IPv6的新型應用技術，構建新的互聯網商業模式與適合物聯網等新興應用的安全可控的網絡業務環境，而不僅僅將它作為單純的地址替代。

制訂IPv6行業標準。中國通信標準化協會從2006年開始進行IPv6有關標準化工作，并開展了大量的IPv6標準研制和預演工作，迄今為止49項已頒布、17項正在研究、6項待發布。內容涉及安全、網絡、資源、應用、傳輸等方面。其中于2012年6月1日開始實施的《基于IPv6的下一代互聯網體系架構》，以互聯網工程任務組（IETF）及國內IPv6相關標準為基礎，結合我國運營商網絡的具體情況制定，規定了基于IPv6的下一代互聯網組網架構及總體技術要求，包括下一代互聯網應具備的服務質量保障、網絡可靠性、移動性、安全管理等能力要求。國內標準雖然在網絡協議、設備標準等方面已經能夠滿足IPv6網絡建設的需要，但整體上仍處于跟隨國際標準的地位。在過渡類、應用類標準方面，我國雖在軟線技術、IVI技術標準方面有所創新但尚未完善，仍需重點研究。

其次是培育IPv6研究團隊和用戶群。據報道，法國電信將在2014年開始進行IPv6商用，意大利電信會于2013年9月在固網上開始IPv6嘗試，日本、澳大利亞已經建起了相當規模的IPv6網絡。我國也于20世紀90年代啟動下一代互聯網研究，并于2003年啟動下一代互聯網示范工程的建設。目前，該工程覆蓋了20個以上的城市，60個節點300多個駐點網，經過幾年努力已經建成世界上最大的IPv6骨干網絡。并在2008年北京奧運會、2010年上海世博會和2011年深圳大運會上獲得成功應用，初步積累了IPv6運營經驗。但現實中IPv6面臨的四大尷尬發人深思：一是IPv6的發展僅僅限于CERNET2這個小圈子里；二是電信運營商的口號大于實際行動；三是ICP/ISP都認為與己無關，沒有商業模式；四是最終用戶也無法感覺到IPv6同IPv4到底有什么區別。

全面提高信息安全技術保障與支持能力。發展中國的IPv6，要堅持產業發展與安全保障并重的原則。加快發展信息安全產業，培育龍頭骨干企業，加強下一代互聯網信息安全關鍵技術的研發，完善下一代互聯網信息安全標準體系和產品檢測體系，全面提高信息安全技術保障與支持能力。

建設基于IPv6的下一代可信域名系統。在目前環境下應從國家層面加大技術產業化投入，從域名軟件開發、域名專用設備、域名安全運維商用服務等方面入手，建設基于IPv6的下一代可信域名系統，因為這是保障我國互聯網以及企業網絡安全的最佳手段。2011年，我國自主研發的域名專用設備已率先成為全球首家通過IPv6金牌核心協議增強認證的商用DNS（域名系統）設備，同時也是中國首家全面支持DNSSEC（DNS安全擴展）的商用DNS設備。中網（knet.cn）推出的域名安全運維整體解決方案不僅全面支持IPv6核心協議，支持過渡階段網絡協議的升級和轉換，而且為了應對日益嚴峻的網絡安全形勢，全面支持DNSSEC，可以進行域名服務體系運行分析，提供安全監測平臺。這意味著在歷經IPv4技術多年跟隨后，在IPv6域名技術服務層面，中國已站在了世界領先的位置上，為我國建設基于IPv6的下一代可信網絡提供了技術保障和技術優勢。

此外，在可預見的未來為支持IPv4和IPv6的雙重存在和架構做好規劃。即同時保留兩套平行運行的網絡設備，其中一套處理IPv4流量而另一套處理IPv6流量。并積極尋求網絡升級，以確保Internet大規模的連接和IP兼容性。

對于用戶來說。一是要對網絡管理人員進行有關IPv6協議的培訓。二是要對現有的設備設置進行檢查，并升級安全工具。三是由于隧道協議將會產生新的風險，如有必要，可以在網絡邊界內封鎖IPv6隧道協議。四是要慎用非監控狀態的自動設置功能。因為這個技術允許系統產生自己的IP地址，并且檢查地址的重復性，這對于跟蹤網絡資源使用的網絡管理員來說，提出了很大的難題。需要特別指出的是，由于自動設置造成的尋址復雜性有可能導致反垃圾郵件軟件在設置IP地址黑名單時產生問題，從而產生更多的垃圾郵件和病毒，因此，這點尤其應引起注意。五是即使是對于某些通過認證的安全設備，也要慎重選擇。雖然目前不少廠商都宣稱自己擁有通過了IPv6認證的安全產品，但事實上許多廠商只是提供了一個特別的版本，僅是能夠支持與IPv6網絡通信的能力或依靠某個License運行，并不意味著這些產品能夠有效解決IPv6帶來的安全問題。甚至很多安全產品在處理類似Teredo問題時，不是存在局限性就是徹底無效。因此，在不了解它們的運作機制前，不能盲目采購。比如，企業依舊需要檢測防火墻是否可以讓一些未經檢查的IPv6流量輕松通過，而不是將其視為非IPv6應用版加以攔截、檢查；IPv6流量是否可以繞過多個深層數據包引擎的硬件組件等。

相對于人們在IPv4上積累的安全經驗來說，業界在IPv6安全方面的經驗仍有不足。在逐漸引入IPv6的日子里，所有的網絡設備都不得不支持兩個版本的網絡協議，因此增加的網絡安全風險很可能導致巨大的損失。為此，在人們看清IPv6之前，警惕與熱情顯然需要并存。