嫦娥奔月为什么要带只兔子
社科網首頁|客戶端|官方微博|報刊投稿|郵箱 中國社會科學網
時評
IPv6對網絡安全治理的挑戰及影響
2019-06-01 22:28:00

文章原發于《信息安全與通信保密》2019年第5期

  IPv6對網絡安全治理的挑戰及影響

  郎平 延志偉

  2017年11月,中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,并發出通知要求各地區各部門結合實際認真貫徹落實。隨著該行動計劃的逐步推進,有關IPv6安全部署的文章和評論不斷出現。有觀點認為,IPv6會在有助于實現終端設備溯源的同時在一定程度上侵犯到個人隱私會;也有觀點認為,IPv6將會終結美國的互聯網霸權,提升中國在全球互聯網治理中的地位。本文試圖以IPv6發展過程以及IPv6地址配置為入口,分析IPv6部署帶來的安全風險以及對網絡安全治理的影響。

  一、IP地址與IPv6的緣起

  如果將網絡空間比喻為人體的話,互聯網的物理設施層可以看作是“骨骼”,是互聯網的有形部分;包含協議和標準在內的邏輯層卻類似于布滿神經元的神經系統——這些計算機代碼為物理層的所有功能提供運行的動力,并確保信息能夠準確傳播。如同人類的神經系統,邏輯層是一個略顯神秘的人工制品,與網絡空間的其他部分完全不同。

  Klimburg認為,基于內在邏輯的軟件代碼界定了我們對網絡空間相關的所有事情的體驗和認知。斯坦福互聯網與社會研究中心的創始人勞倫斯·萊斯格(Lawrence Lessig)曾說過一句名言——“代碼就是法律。”無論是有意創造還是無意為之,計算機代碼幫助界定的不僅是我們的行為,還有我們對網絡空間的期待和想象:什么是現實的,什么不是現實的,事情是如何被完成的以及事情應該如何被處理。[1]從這個意義上說,技術標準和協議對互聯網的發展有決定性影響。

  全球網絡空間的一致、正常運作依賴于統一的基礎性協議與標準。其中,IP和域名系統(Domain Name System,DNS)是兩個最重要的標準,它們構成了網絡空間海量資源命名和尋址的基礎。DNS是互聯網資源命名協議,解決了網絡空間海量資源的可擴展管理,DNS將人類可讀的名字映射為機器可讀的IP地址,進而支持數據包的逐跳轉發。IP協議確保IP數據包到達其指定位置,通過包交換實現數據的確定性傳輸。在這個過程中,IP地址是標識一臺連接到互聯網上(個人計算機、服務器、智能手機或者可以聯網的冰箱)設備的物理地址的一串數值,是隱藏在瀏覽器上域名地址背后的、能夠被計算機讀取的一串數值。

  20世紀80年代,43億數量的IP地址(指的是第四版互聯網協議IPv4)被認為足夠可以應付可預見的未來。IPv4地址以四組十進制數字表示,中間用頓號隔開,數字范圍從0到255(例如208.80.152.2)。從理論上講,連接到網絡上的每一臺設備都有自己的IP地址,如果沒有IP地址,它就無法接入互聯網。然而,近年來對IP地址爆炸性的需求以及IPv4初始分配使用的不合理致使IPv4能夠提供的地址數量遠無法應對當前及未來需求。

  作為互聯網協議和標準制定的主要機構,互聯網工程任務組(Internet EngineeringTask Force,IEF)在1989年就開始注意到IPv4地址數量的有限性問題。因此,從1990年開始,IETF就開始規劃設計IPv4的下一代協議,除要解決IP地址短缺問題外,旨在擴展更多地址承載的功能。1994年,IETF正式提議IPv6發展計劃,最終,IPv6在1998年底被IETF通過RFC2460正式發布。

  二、IPv6技術特性與隱私保護

  與IPv4地址格式不同,IPv6地址以8組四位十六進制數值表示,由128比特位構成,單從數量級上來說,理論上IPv6可提供約340萬億萬億萬億(2128)個地址。這不但解決了當前網絡地址資源數量的問題,同時也為未來萬物互聯發展提供了基礎。

  IPv6在解決了IPv4的地址匱乏問題的同時,還在許多方面提出了改進,主要包括:第一,IPv6具有層次化的編址方式,有利于骨干網路由器對數據包的快速轉發;第二,IPv6增強了組播支持以及對流的控制能力,為不同服務質量要求的多媒體應用控制提供了更好的網絡平臺;第三,IPv6同時定義了更靈活的地址配置機制;第四,IPv6簡化了數據包報頭,減少處理器開銷并節省網絡帶寬,使得路由器在處理IPv6報頭時更為高效;第五,IPv6基于海量地址空間及即插即用優勢,可更便捷地支持移動性,并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動性管理。基于上述特性,IPv6實現了功能優化,其功能擴展頭機制對網絡創新和功能擴展留下了更大的空間。

  IPv6引入兩種主要的地址配置機制:一是基于動態主機配置協議(Host Configuration Protocol for IPv6,DHCPv6)的有狀態地址配置,在該機制下,地址由該管理域內的DHCPv6服務器集中管理,不同管理域的DHCPv6服務器可以應用不同的地址分配策略(如連續地址和隨機地址等),用以規避隱私泄露的風險;二是基于地址自動配置的無狀態地址自動配置機制(Stateless address autoconfiguration,SLAAC),在該機制下,設備在所連接子網內共享64比特的網絡前綴,并基于一定的規則自動生成各自的后64比特主機標識符,從而組合成為唯一的IPv6地址。

  SLAAC機制下,設備通常使用其48比特的物理地址(MAC地址)生成IPv6地址后64比特的主機標識符,即EUI-64模式,但該機制存在一定安全和隱私風險:第一,設備在任何網絡中配置IPv6地址時將使用相同的主機標識符,惡意攻擊者可以通過從不同網絡的流量中進行地址的主機標識符對比輕易歸類設備,并進一步分析其潛在行為。此外,還可以通過同一設備的網絡前綴分析該設備的移動軌跡。第二,設備的物理地址(MAC地址)包含了設備制造商信息,這意味著從地址便有可能分析得知設備類型從而對針對性漏洞進行攻擊。

  為此,IETF于2014年發布RFC 7217,以作為傳統SLAAC算法的替代方案,但在該RFC發布時并未正式取代EUI-64模式。隨后,IETF又發布了兩篇分析EUI-64模式隱私與安全風險的文稿(RFC7707和RFC7721),可被視為用RFC7217取代傳統SLAAC算法的前奏。2017年2月,IETF正式發布RFC8064,用RFC7217取代EUI-64模式,提出不建議任何算法在IPv6地址生成中嵌入終端設備的物理地址。

  從IPv6地址屬性看,主要分為三類:靜態地址、半靜態地址和動態地址。靜態地址通常是手動配置,此外,在一定意義上也包含EUI-64模式的地址;RFC7217所定義的模式則具有半靜態特點;而RFC4941所定義的模式可被視為動態地址類型。半靜態和動態地址通常應用于客戶端設備以提供一定隱私保護,而靜態地址一般應用于路由器或者服務器以保證其能夠被其他設備穩定尋址。但很顯然,隨著網絡應用模式的演進,網絡設施不只有客戶端和服務器這兩種簡單類別,如也將出現只服務特定范圍的服務器(如物聯網網關),這類設備可能需要穩定可達的同時具有隱私保護需求。但總的來看,IPv6地址配置已經通過支持多種模式基本滿足了不同場景的隱私保護需求。

  三、IPv6對網絡安全治理的影響

  IPv6是對IPv4的量變升級,而不是根本性的顛覆。目前,全球正處于由IPv4向IPv6升級的過渡階段,兩種協議并存,完全完成向純IPv6的轉變還需要很長時間[2]。但是,隨著信息通信技術的加速推進和廣泛應用,特別是物聯網的發展,入網設備特別是原有的受限設備將會急劇增加,對地址配置的靈活高效提出了較高的要求,IPv6的推進已是大勢所趨,其對網絡安全治理也將帶來深遠的影響。

  從地址配置角度看,IPv6已經解決了設備和用戶隱私泄露的風險。在IPv6剛提出來的時候,用基于物理地址EUI-64模式生成的IPv6地址的確存在泄露設備和用戶隱私的風險,但IETF很快意識到這個問題,隨后推出了一系列隱私保護方案,從技術和標準的角度規避了上述隱私泄露的風險。然而,考慮到上述隱私保護協議在2017年剛剛完成,不排除有些設備仍然采用了較低的配置方式,那么這種風險的確是存在的[3],因而在實施層面,也的確會因為隱私保護協議的缺失帶來隱私泄漏的風險。

  從應用角度看,IPv6巨大的地址空間和自動化的地址配置方式為以物聯網和移動互聯網等海量設備實時在線、端到端互聯的應用場景具有良好的支撐,同時便于溯源管理。當然,IPv6的靈活配置和永遠在線特點也存在應用層面的安全風險,包括:如何在物聯網設備通過IPv6自動配置功能獲取IPv6地址的過程中保證安全性,如何降低物聯網設備成為僵尸網絡的一部分;在大型云平臺的虛擬主機和虛擬網絡設備由原來基于地址翻譯機制的IPv4私有地址編址向IPv6公有地址編制轉換過程中,如何減少攻擊風險;如何在移動互聯網環境避免利用無線網絡用戶永遠在線的特性進行僵尸網絡攻擊和個人信息竊取等等。

  從全球層面看,IPv6的部署和應用已經進入加速發展的階段。目前,已有超過100個國家和地區部署了IPv6網絡,有317個網絡運營商提供基于IPv6的接入服務。截至2018年7月,全球IPv6用戶總數超過5.59億,其中印度IPv6用戶數達2.49億,位居世界第一,美國、巴西、德國則緊隨其后,中國位居第13位,用戶數356萬;IPv6用戶普及率比利時位居世界第一,達到57.94%,其后是印度、德國和美國,中國的IPv6用戶普及率則僅有0.48%,在世界上排名第70位。[4]由此可見,IPv6已經成為下一階段互聯網發展的全球共識。

  IPv6的應用及部署還將對網絡空間格局的力量博弈帶來深遠的影響。

  第一,發達國家在這一場新的競賽中并未懈怠,特別是美國作為互聯網的起源地,仍然是IPv6部署和應用的領頭羊。2012年,美國政府就更新了《政府IPv6應用指南/規劃路線圖》,要求政府對外提供的所有互聯網公共服務在2012年末必須支持IPv6,到2014年末政府辦公網絡全面支持IPv6。目前,美國IPv6地址申請量位居全球第一;Verizon、T-mobile和AT&T的IPv6用戶數,前兩者超過70%,后者超過50%;Facebook、Google、Twitter等主流商業網站的主要應用產品已全面支持IPv6,蘋果應用商店已強制要求所有app必須支持IPv6。[5]由此可見,互聯網巨頭是IPv6發展的重要推動力量。

  第二,發展中國家和不發達國家可以把握機遇,提升本國的互聯網基礎設施建設。特別是對那些尚未獲得v4地址資源的發展中國家和不發達國家而言,更充足的地址資源可以為提高互聯網接入和普及率,以及發展互聯網產業及推動數字經濟的可持續發展提供必要的保障,因而,這些國家對部署IPv6以及研發基于IPv6的場景解決方案抱有很大的熱情,市場潛力很大。印度就是一個典型的例子,盡管原有的互聯網設備較為落后,但依托巨大的市場規模,反而可以后來居上,在IPv6的部署上趕超中國。

  第三,主要大國在IPv6相關領域和全球市場的競爭博弈將更趨激烈。對于發達國家和互聯網巨頭來說,由于其自身的技術和資源優勢,它不僅能夠促使互聯網企業挖掘新的創新應用,而且也為有實力的互聯網企業進入全球市場和實現各環節的全球布局提供了機遇;對于亟需提升互聯網接入率的不發達國家而言,這意味著他們將在培育自身企業力量的同時,不得不在本國市場上迎接國外企業更有力的競爭;而對于廣大的中間地帶國家和企業而言,原有的網絡運營商和互聯網企業有可能因升級的更新成本而裹足不前,錯失發展的良機,也有可能為新企業的發展壯大提供機會,相關產業的力量格局可能會發生變化。新的機遇與新的挑戰總是相伴而來,而機遇則只會留給有準備的人。

  結語

  我國在IPv6規模部署方面的網絡基礎設施基本完備、應用部署技術能力基本成熟、產業生態鏈條基本形成,有望與其他IPv6發達國家逐步縮小差距。從當前的發展態勢判斷,IPv6的部署并不會從根本上改變各國在網絡空間的力量格局,但卻會給我增加互聯網接入率、提升網絡基礎設施水平、發展數字經濟和建設網絡強國提供一個機會窗口。當前,國際形勢正面臨著百年未有之大變局,大國在網絡空間的競爭博弈日趨激烈,我應合理統籌國內國際兩個大局,在國內在加速推進IPv6部署、推動IPv6產業盡快成熟,同時客觀分析其地址配置和應用管理存在的安全缺陷,及早規避相關風險,保證其未來大規模部署和應用時網絡環境的安全可信;在國際舞臺上,加快推動我國互聯網企業的國際化,積極參與全球市場的合作與競爭,在提升自身競爭力的同時為世界各國的共同發展做出貢獻,這也是構建網絡空間命運共同體的重要一環。

  [1] Alexander Klimburg, TheDarkening Web---The War for Cyberspace, New York: Penguin Press, 2017.

  [2]向純IPv6演進是無法預測的漫長的過程,有可能永遠不會收斂,這中間也可能出現革新TCP/IP的尋址機制。

  [3] APNIC Geoff Huston (2018年12月10日測試):1,262,896個客戶端IPv6地址中,僅有3,149個地址采用EUI-64模式。

  [4] Http://resources.potaroo.net/iso3166/v6cc.html(截至2018年7月16日)

  [5]“堅定不移推進IPv6規模部署,加快互聯網升級演進”,人民網,2018年12月24日。

  (郎平,中國社會科學院世界經濟與政治研究所研究員,研究方向為網絡空間國際治理;延志偉,中國互聯網絡信息中心基礎技術實驗室副主任,研究方向為下一代網絡。本文在寫作過程中得到了中國網絡空間研究院李欲曉院長、中國信息通信研究院互聯網治理中心劉越博士、國家信息化專家咨詢委員會秘書處喬燕婷處長以及其他同事的指導和寫作建議,在此致謝。文章原發于《信息安全與通信保密》2019年第5期。)

嫦娥奔月为什么要带只兔子