IPv6對網絡安全治理的影響分析

翟昱 買爾旦·肉孜

摘 要：隨著IPv4地址池消耗殆盡，IPv6逐步成為未來互聯網的IP協議核心。在2017年《推進互聯網協議第六版（IPv6）規模部署行動計劃》發布后，學術界就開始出現兩種觀點，一種是IPv6出現將提升中國在全球互聯網治理當中的地位，另一種則是IPv6在實現終端設備溯源的過程可能侵犯個人隱私。從這兩個觀點來看，都代表IPv6對網絡安全治理存在影響，文章由此進行分析討論，以期可以對IPv6的部署提供一些參考建議。

關鍵詞：IPv6;IPv4;網絡安全治理

1 關于IPv6

1.1 ?IPv6的基本內容

IPv6是TCP/IP協議族當中的一個重要組成部分，作為下一代網絡協議，取代IPv4是必然的，因為IPv6具有更大的地址空間容量，使用更小的路由表，增強組播支持和對流支持，自動配置支持和更高的安全性。作為IPv4的擴展協議，本質上是為了解決IPv4網絡地址枯竭和路由表膨脹問題。

IPv6地址以8組四位十六進制數值表示，由128比特位構成，從數量級上來說，理論上IPv6的地址容量是無限的，顯然它將解決網絡地址資源數量問題并且為萬物互聯提供基礎。

1.2 ?IPv6的發展情況

國際上，1990年開始IETE開始規劃設計IPv4的下一代協議，到1994年正式提出了IPv6發展計劃，并在1998年IPv6正式發布。2009年一項IPv6監測項目展開，主要內容是針對Alexa排名25 000以內的域名進行持續的IPv6解析和可用性監測，監測數據不斷上漲，說明主流網站都在部署實施IPv6。在2018年全球IPv6用戶就已經在全球互聯網用戶數量的比例中占比18%。

國內從2017年開始部署IPv6，2018年召開中國IPv6產業發展研討會，該會議中明確了從2017年開始部署IPv6以來的成就，全國IPv6地址的LTE和固定寬帶接入網絡用戶數量已經接近10億。

1.3 ?IPv6的安全機制

本文重點針對IPv6的安全機制進行分析，作為IPv4的擴展，比較于IPv4，顯然IPv6的安全性是有顯著提升的，具體來講IPv4是一種簡單的網絡協議，存在很多漏洞，應用程序要保證安全只能通過自身攜帶的安全機制來保證數據交互安全。而IPv6完全不同，它本身全面支持IPsec，因此需要基于標準的網絡安全解決方案，以便滿足和提升不同IPv6協議實現協同工作。IPsec則通過正確使用封裝安全性ESP和AH來實現訪問機制、無連接的完整性、數據源身份驗證、對包重放攻擊的防御、加密、有限的業務機密性。

ESP即封裝化安全凈荷，它是IPv6的標準擴展頭，用來實現在網絡層的端到端連接中提供數據加密功能，這種數據加密功能可實現數據包的私密性，提供公共密鑰對數據來源進行身份認證，基于AH的序列號機制對抗重放，提供安全性網關實現有限的業務流機密性。

AH即認證報頭，其主要提供驗證功能，即對數據包的來源地址進行驗證，并提供數據完整性測試，它的存在可確保數據包的完整性，對數據包來源進行認證，若在數據包完整性當中有公鑰數字簽名算法可為數據包提供無可推卸的服務，使用序列號字段來防止重復攻擊[1]。

從上述分析來看，IPv6在網絡層的安全性上有著巨大的提升，優點很多，但是并不說它就是完美的，因為網絡安全是一個包含很多層次和問題的復雜系統問題，并不單單只是一個網絡層的問題，同時即便是從網絡層來講它也并不完美，因為它保留有IPv4的一些選項和服務系統，如TTL、分片等，從IPv4的角度來講，黑客主要就是利用分片或TTL等選項或功能來攻擊IP協議或者是逃避防火墻的檢測，所以IPv6也不能保證能夠避免這些類似的攻擊，再者，網絡安全中的攻擊和防護是動態變化的，安全防護能力增強，攻擊能力必定增強，攻擊能力增強，安全防護能力也必定會增強，所以IPv6在網絡層有了更先進的安全機制，當然能夠讓黑客的攻擊技巧更新換代。

2 IPv6對網絡安全治理的影響

2.1 關于網絡安全治理

我國當前正在進行新基建，新基建是圍繞互聯網展開的，它的保護如何構建是當前的一個重點，我國工程院、科學院相關院士指出我國網絡空間安全形勢很嚴峻，如中國科學院院士馮登國指出，我國網絡空間防護體系建設相對之后，網絡空間治理形勢不容樂觀，網絡空間戰略威懾能力尚需要提升，IT產品供應鏈形勢十分嚴峻，其中，網絡空間治理方面，馮院士指出現階段網絡空間治理缺乏有效技術手段，法律法規，這是一個相當嚴重的問題。網絡安全治理需要軟硬皆施，即不僅要強化技術上的硬實力，也要強化法律法規等方面的軟實力。如此結合本文主題來看，IPv6對網絡安全治理的影響主要是在技術硬實力方面[2]。

2.2 ?IPv6對網絡安全治理的影響表現

IPv6有兩種地址配置機制，即DHCP機制和SLAAC機制，在DHCP機制當中，地址由管理域內的相關服務器集中管理，因而不同的管理域可以應用不同的地址分配策略，從而規避隱私泄露風險。在SLAAC機制當中，設備會在子網當中共享64比特的網絡前綴，并且基于一定規則自動生成地址，IETF標準當中規定了地址由自動配置的前綴與嵌入底層鏈路地址接口ID構成，并在以太網中使用設備的48比特MAC生成IID。由于MAC相當于設備的唯一數字標簽，基于全球唯一MAC生成的IID可能存在安全和隱私泄露的風險，具體表現為，設備在任何網絡當中配置地址時將使用相同的IID，惡意攻擊者就可以利用它在不同的網絡流量中對設備進行歸類，并分析潛在行為，并可對設備網絡前綴進行分析，進而分析該設備的移動軌跡。MAC當中由于包含OUI信息（IETF組織唯一標識），一旦被攻擊就有可能泄露設備制造商的信息，如此就可能借此分析設備類型進而展開針對性的攻擊，同時也可較為精準地定位設備位置。

針對上述問題，RFC3972中突出密碼生成地址機制用以解決問題，在RFC4941中也提出IPv6的隱私擴展機制，定義了臨時地址概念，用以避免設備被定位。但實際上這些都依賴于相應的算法，如果算法泄露了，就有可能通過算法計算后續可能出現的地址配置信息，這種機制有缺陷，但存在解決的方法，即在設備操作系統中引入算法隨機數來規避。

2.3 在IPv6部署背景下的網絡安全治理思考

僅就我國而言，目前正在積極推動智慧城市建設，物聯網設備的大量運用，在根本上加速了IPv6的部署進度，因為IPv4地址池根本不能支撐大量物聯網設備的入網需求，所以IPv6的部署大勢所趨，而其存在的問題也將深刻影響網絡安全治理。

在IPv6剛剛提出時，基于MAC的地址配置方式確實存在隱私泄露風險，但是隨著標準對隱私保護的完善，從技術和標準上都逐步規避了上文中所提及的風險，但是由于這些隱私保護方案提出時間晚，且是在2017年才完成的，不排除設備依然采用低端的配置方式，因而風險依然是存在的。

從部署應用的層面來講IPv6的優點是非常多的，但是其靈活配置和永遠在線也并不是完全無安全隱患，為此結合聯合國裁軍研究所報告的相關內容來看，建議在網絡安全治理上需要做好意識培養，能力建設、信任建立和合作4個方面。意識培養，重點就是要提升網絡安全治理的意識;能力建設就是要強化技術上的硬實力和法律法規上的軟實力，進而提升治理能力;信任建立是要消除組織之間的不信任、誤解和敵意，從而提升合作透明度，和更開放的對話信息交流等;合作將帶來更大的效益[3]。

3 結語

在網絡安全治理方面IPv6引入的AH和ESP增強了網絡層的安全性，這對于IPv4而言是非常大的進步，但是也要看到IPv6的安全機制并不是特別成熟，需要額外配套隱私保護方案，這都將對現有的網絡安全體系造成沖擊，因此迫切需求更為先進的網絡安全問題解決方案。

[參考文獻]

[1]虞俊明，王燕霞，危丁梅.基于IPv6下的系統備份與還原設計與實現[J].福建電腦，2018（4）：22-23.

[2]汪迅寶，劉超，張程，等.一種基于IPv6的互轉網關體系結構[J].安徽工業大學學報（自然科學版），2018（2）：160-166.

[3]尤振華.淺析多維度的網絡安全治理[J].數字通信世界，2018（11）：147.

（編輯 傅金睿）