清華大學教授李星雙棧會加大IPv6的安全挑戰

李星 清華大學教授

移動網絡的IPv6發展會更快

日前，在2018 ISC互聯網安全大會上，清華大學教授李星做了《CERNET IPv6 BCP》的報告。李星表示，移動網絡的IPv6普及將會比固定寬帶網絡的普及率更快也更高，其原因在于手機的普及率很高，更新率更快，所以在上面提供IPv6服務更加直接。

李星分析了當前國內外IPv6普及的情況，他表示，美國的IPv6驅動力主要來源于新型運營商，傳統運營商的響應很遲緩。而在中國，作為央企，三大運營商步伐比較整齊，這對IPv6的發展是一個很好的機會。他同時表示，雖然IPv6在國內會很快地推動起來，但考慮到跟世界其他不發達國家和地區的互聯網連接，將來將有很長時間是IPv4和IPv6共存的局面。

對于IPv6及互聯網創新，他表示，希望國家能充分考慮到高校作為創新前沿的特殊性，在管理機制上應當給予一定的空間，否則高校的創新就失去了土壤。

CERNET的IPv6行動

李星提到，清華大學從20年前就對IPv6進行了研究和部署。李星認為，教育網在IPv6上最主要的特征就是堅持到底，十年磨一劍。

1998年，清華大學建立了第一個基于IPv6 over IPv4技術的IPv6實驗床6BONE。2003年，CERNET做了純IPv6網，舍棄了雙棧的方法，在IPv4與IPv6互通這一關鍵問題上，CERNET 也進行了各種不同思路的探索。一開始采用IPv4 over IPv6隧道的辦法，形成了國際互聯網標準化組織IETF的若干RFC標準。2007年，開始基于無狀態IPv4/IPv6翻譯技術IVI實現IPv4和IPv6之間的互通。

李星提到，互聯網技術最核心的就是體系結構，體系結構的表現形式是IETF RFC標準。全世界現在有8000多個RFC，中國領銜的RFC大概有100多個，其中，華為最多，清華大學其次。

IVI系列技術獲得了國際互聯網標準化組織IETF的9個RFC，并已經被其他RFC標準引用達141次以上，成為IPv4和IPv6互聯互通最核心的標準。

IPv6的安全

李星表示，IPv6的安全非常值得關注。其原因還是在于木桶短板效應——如果一個系統既有IPv4又有IPv6，黑客最容易找到漏洞，因此，實施IPv4和IPv6的雙棧網絡安全其代價是單棧的數倍。但如果能采用翻譯技術把IPv4和IPv6隔開，安全狀況會好很多。

他表示，未來有幾個因素將會影響IPv6網絡的安全：第一，端到端安全。IPv4網絡主要由三大網絡運營商運營，但IPv6網絡中，許多大企業包括中國石化、石油等都有很大的地址塊，這樣將會產生大量的互聯中心，從而影響整個網絡的安全；第二，路由安全。李星表示，域名不是互聯網本質，路由才是本質。互聯網的路由是無中心分布式的，所以美國是不可能把互聯網斷掉的；第三，加密和證書。如何在IPv6上加密，仍然是一個難題。最后，是物聯網的挑戰，這是做網絡安全的人必須面對的挑戰。

IPv6究竟怎么才能成功？李星說，“在硅谷，大家說，做硬件，如果你不會浪費晶體管就會失敗，做網絡，如果你不會浪費帶寬就會失敗；我的說法是，做IPv6，如果你不會浪費IP地址,也會失敗。”