引言
2017 年 11 月,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,并发出通知要求各地区各部门结合实际认真贯彻落实。随着该行动计划的逐步推进,有关 IPv6 安全部署的文章和评论不断出现。有观点认为,IPv6 会在有助于实现终端设备溯源的同时在一定程度上侵犯到个人隐私;也有观点认为,IPv6 将会终结美国的互联网霸权,提升中国在全球互联网治理中的地位。本文试图以 IPv6 发展过程以及 IPv6 地址配置为入口,分析 IPv6 部署带来的安全风险以及对网络安全治理的影响,并提出应对建议。
IP 地址与 IPv6 的缘起
如果将网络空间比喻为人体的话,互联网的物理设施层可以看作是“骨骼”,是互联网的有形部分。而包含协议和标准在内的逻辑层则类似于布满神经元的人类神经系统,这些计算机代码为物理层的所有功能提供运行的动力,并确保信息能够准确传播。
全球网络空间稳定委员会(GCSC)秘书处主任克里姆伯格(Klimburg)博士认为,基于内在逻辑的软件代码界定了我们对网络空间相关的所有事情的体验和认知。斯坦福互联网与社会研究中心创始人劳伦斯·莱斯格(Lawrence Lessig)曾说过一句名言——“代码就是法律。”无论是有意创造还是无意为之,计算机代码帮助界定的不仅是我们的网络行为,还有我们对网络空间的期待和想象:什么是现实的,什么不是现实的,事情是如何被完成的以及事情应该如何被处理。 从这个意义上说,技术标准和协议对互联网的发展有决定性影响。全球网络空间的一致、正常运作依赖于统一的基础性协议与标准。其中,IP 和域名系统(DNS)是两个最重要的标准,它们构成了网络空间海量资源命名和寻址的基础。DNS 是互联网资源命名协议,解决了网络空间海量资源的可扩展管理,DNS 将人类可读的名字映射为机器可读的 IP 地址,进而支持数据包的逐跳转发。IP 协议确保 IP 数据包到达其指定位置,通过包交换实现数据的确定性传输。在这个过程中,IP 地址是标识一台连接到互联网上(个人计算机、服务器、智能手机或者可以联网的智能端)设备的物理地址的一串数值,隐藏在浏览器上域名地址背后的、能够被计算机读取的一串数值。
20 世纪 80 年代,43 亿数量的 IP 地址(指的是第四版互联网协议 IPv4)被认为足够可以应付可预见的未来。IPv4 地址以四组十进制数字表示,中间用顿号隔开,数字范围从 0 到 255(例如 208.80.152.2)。从理论上讲,连接到网络上的每一台设备都有自己的 IP 地址,如果没有 IP 地址,它就无法接入互联网。然而,近年来对 IP 地址爆炸性的需求以及 IPv4 分配使用的不合理致使 IPv4 能够提供的地址数量远无法应对未来需求。
作为互联网协议和标准制定的治理机构,互联网工程任务组(Internet Engineering Task Force)在 1989 年就开始注意到 IPv4 地址数量的有限性问题。因此,从 1990 年开始,IETF 就开始规划设计 IPv4 的下一代协议,除要解决 IP地址短缺问题外,旨在扩展更多地址承载的功能。作为暂时性的补救措施,IETF 在 1994 年早期采用了无类别地址寻址(classless addressing)的地址分配架构,在一定程度上缓解了 IP 地址的浪费问题。1994 年,IETF 正式提议 IPv6 发展计划,最终,IPv6 在 1998 年底被 IETF 通过RFC2460 正式发布。
与 IPv4 地址格式不同,IPv6 地址以 8 组四位十六进制数值表示,由 128 比特位构成,单从数量级上来说,理论上 IPv6 可提供约 340 万亿万亿万亿(2128)个地址。这不但解决了网络地址资源数量的问题,同时也为未来万物互联发展提供了基础。从国际趋势看,employees.org网站自 2009 年开展了一项持续性的大规模 IPv6监测项目,每天对 Alexa 排名 Top25000 的域名进行持续的 IPv6 解析和可用性探测。该数据已从最初的低于 1% 逐步提升到当前的 20% 以上,说明主流网站在部署实施 IPv6 方面表现出较为明显的上升趋势。同时,访问失败率呈逐渐下降趋势,反映出网络基础设施的部署和 IPv6 链路的连接质量在不断改善。APNIC 统计数据也显示,截至 2018 年 6 月底,全球 IPv6 用户占全球互联网用户的比例已超过 18%。其中,美国 IPv6 用户数已占其网民总数的 41%;印度超过美国,成为全球拥有 IPv6 用户最多的国家,IPv6 用户占比达到 52%。思科在其 2017 年 6 月发布的《2016—2021 年度可视化网络指数预测》中指出,预计到 2021 年,全球 IPv6 流量将占比37%,达到 87EB/月 。
2018 年 12 月,推进 IPv6 规模部署专家委员会在北京召开了“中国 IPv6 产业发展研讨会”。会议指出,推进 IPv6 规模部署工作一年来,在各部委的指导下,各地、各部门、各相关企业密切配合、务实推进,IPv6 规模部署工作取得了积极进展、成效显著,并初步形成了政企联动、高效协同、多方参与,网络、应用和终端协同推进的良好发展局面。截至 2018 年11 月,基础电信企业分配 IPv6 地址的 LTE 和固定宽带接入网络用户总数超 8.65 亿。IPv6 的网站应用也取得了很大的进展,例如,在 2018 年天猫双 11 期间,阿里巴巴各项服务已全面支持IPv6,阿里云已经为各种网站和应用提供 IPv6解决方案,为网站和应用快速过渡到 IPv6 提供相关的基础设施;很多手机移动 APP 也主动支持 IPv6 并标注在登录页,如优酷、淘宝、支付宝、高德地图、京东商城、大众点评、携程等。
IPv6 是下一代互联网的核心,也事关未来我国互联网行业的稳步发展以及我国网络安全和信息化工作的全局。2016 年 11 月 7 日,互联网架构委员会(IAB, Internet Architecture Board)发表声明:建议各标准开发组织的网络标准需要完全支持 IPv6,不再考虑 IPv4;同时,希望IETF 在新增或扩展协议中不要再考虑 IPv4 协议的兼容,IETF 未来的协议制定工作重点在于优化和使用 IPv6。
IPv6 的技术特性
IPv6 在解决了 IPv4 的地址匮乏问题的同时,还在许多方面实现了优化改进,主要包括以下五点:
第一,IPv6 具有层次化的编址方式,地址分配遵循聚类(Aggregation)的原则,同时通过使用更小的路由表,使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,有利于骨干网路由器对数据包的快速转发有效提高转发速度。
第 二,IPv6 增强了组播支持以及对流的控制能力,为多媒体应用和服务质量(QoS,Quality of Service)控制提供了更好的网络平台。IPv6 数据包的报头包含一个 8 位的业务流类别(Class)和一个新的 20 位的流标签(Flow Label),允许发送业务流的源节点和转发业务流的路由器在数据包上加上标记,进行除默认处理之外的按需处理。
第三,IPv6 同时定义了更灵活的地址配置机制:无状态和有状态地址自动配置机制。有状 态 自 动 配 置(Stateful Auto-configuration) 通过动态主机配置协议 (Dynamic Host Configuration Protocol for IPv6,DHCPv6) 来 为 设 备 动 态 分配 IPv6 地 址, 无 状 态 地 址 自 动 配 置(SLAAC, Stateless Auto-configuration)则通过邻居发现协议(NDP,Neighbor Discovery Protocol) 来实现地址自动配置。
第四,IPv6 简化了数据包报头,减少处理器开销并节省网络带宽。这就使得路由器在处理 IPv6 报头时更为高效。此外,IPv6 使用新的头部格式,其选项与基本头部分开,如果新的技术或应用需要,可将选项插入到基本头部与上层数据之间,这在简化路由处理过程中保证了协议的可扩展性。
第五,IPv6 拥有基于海量地址空间下的即插即用优势,可更便捷地支持移动性,并可更方便地支持快速、层次、代理以及分布式等多种模式下的移动性管理。
基于上述特性,IPv6 实现了功能优化,其功能扩展头机制为网络创新和功能扩展留下了更大的空间,例如近期被采用较多的 SRv6(Segment Routing with IPv6)技术,就是通过定义新的 IPv6 扩展来优化路由和流量调度。因此,IPv6 相对于 IPv4 而言,能够为万物互联的场景提供更加广阔的协议基础和平台。
IPv6 地址配置与隐私保护
IPv6 引入两种不同的地址配置机制: 在DHCPv6 中,地址由该管理域内的 DHCPv6 服务器集中管理。因此,不同管理域的 DHCPv6 服务器可以应用不同的地址分配策略(如连续地址和随机地址等),从而规避了隐私泄露的风险。而 SLAAC 模式下,设备在子网内共享 64 比特的网络前缀,并基于一定的地址生成规则(后64 比特)自动生成各自的 IPv6 地址。在 SLAAC 模式中,IETF 标准规定 IPv6 地址由自动配置的前缀与嵌入底层链路地址的接口 ID(IID, Interface Identifier)构成,并在以太网中使用设备的 48 比特 MAC 地址生成 IID,成为最广泛使用的策略,如图 1 所示。
图 1 SLAAC 中的 EUI-64 格式
具体而言,基于 EUI-64 的 IID 及 IPv6 地址生成步骤如下:(1)获取底层网络接口的以太网地址(MAC 地址);(2)反转 MAC 地址的 IEEE 组织唯一标识(OUI, Organizationally Unique Identifier)的 U/L 位;(3)在 MAC 地址的 3 个高位和 3 个低位之间插入 0xFFFE;(4)得到的 64 位后缀(IID)结合网络周期性通告的64 位前缀将生成全球唯一的 IPv6 地址。在此模式下,IID(至少在理论上)是全局唯一的,因为其来源——MAC 地址通常是全局唯一的,此外,相同供应商制造的设备有相同的 IID 高 5 位(与 IEEE OUI 对应)。最后,某个设备其 IID在一个或多个网络中保持不变,除非手动修改了底层以太网地址或者更换了网络接口卡。上述 EUI-64 模式下,基于全球唯一 MAC地址生成 IPv6 地址 IID 存在如下安全和隐私泄露风险:
第一,设备在任何网络中配置 IPv6 地址时将使用相同的 IID,恶意攻击者可以通过从不同网络的流量中进行地址的 IID 对比轻易归类设备,并进一步分析其潜在行为。此外,还可以通过同一设备的网络前缀分析该设备的移动轨迹。
第二,MAC 地址包含了 OUI 信息,泄露了设备制造商。一方面,这意味着从地址便有可能分析得知设备类型从而对针对性漏洞进行攻击;另一方面,对于锁定具体设备来说,由于OUI 位数和 FF:FE 固定,可进一步缩小扫描范围。为了消除上述问题,RFC3972 提出了密码生成地址机制(Cryptographically Generated Addresses),采用对设备公钥等信息的哈希来生成其 IPv6 地址的 IID。此外,RFC4941 也提出了 IPv6 隐私扩展机制,定义了临时地址概念,该地址按照一定时间周期变化,并且地址之间并无关联性且独立于接入网络,从而规避了位置追踪。但是如果地址生成算法泄露,就有可能计算出后续可能配置地址的信息,虽然这是该方案的缺陷,但在实际部署中,操作系统都通过在算法中引入随机数来规避这一风险。由此可见,IPv6 SLAAC 的 EUI-64 模式存在的安全和隐私风险由来已久。为此,IETF 6man 工作组于 2014 年发布 RFC7217,以此作为传统 SLAAC 算法的替代方案,但在该 RFC 发布时并未正式取代 EUI-64 模式。随后,IETF又发布了两篇分析 EUI-64 模式隐私与安全风险的 RFC(RFC7707 和 RFC7721), 可 被 视 为 用RFC7217 取代传统 SLAAC 算法的前奏。2017 年2 月,IETF 正式发布 RFC8064,用 RFC7217 取代 EUI-64 模式,并提出不建议任何算法在 IPv6地址生成中嵌入终端设备的链路层地址。
RFC7217 提出的语义模糊接口标识(Semantically Opaque Interface Identifiers)算法支持设备在一个网络中配置稳定的 IPv6 地址,但是当设备在子网之间发生移动时,地址也将变化。基于多个相关参数的哈希,IPv6 IID 将隐藏设备标识信息。此外,只要设备在同一接入网络内,该机制计算生成的 IID 将保持不变,从而使得设备的 IPv6 地址在同一子网内保持稳定。但当设备进入不同接入网络时,由于网络前缀变化将使其 IID 变化,保证了地址的动态性。主流 Linux 和 MacOS 是最先支持该算法的操作系统(Microsoft 起初未支持该算法,但也采用了MAC 地址随机化的机制,且 RFC7217 作者之一便来自 Microsoft)。
从 IPv6 地址属性看,主要分为三类:静态地址、半静态地址和动态地址。静态地址通常是手动配置,此外,在一定意义上也包含 EUI-64 模式的地址;RFC7217 以及 CGA 所定义的模式则具有半静态特点;而 RFC4941 所定义的模式可被视为动态地址类型。半静态和动态地址通常应用于客户端设备以提供一定隐私保护,而静态地址一般应用于路由器或者服务器以保证其能够被其他设备稳定寻址。但很显然,随着网络应用模式的演进,网络设施不只有客户端和服务器这两种简单类别,如也将出现只服务特定范围的服务器(如 IoT 网关),在需要稳定可达的同时具有隐私保护需求。总的来看,如何应用不同的安全地址配置模式应基于不同特定场景灵活设定。基于 MAC地址生成 IPv6 的地址 IID,在 IPv6 地址生成的过程中,有若干方法可以做到地址随机分配,不必与 MAC 地址绑定。同时,由于 IPv6 地址可以实现端到端的唯一性,因此在隐私与安全的平衡管理过程中,可以做到更加灵活。
IPv6 对网络安全治理的影响
IPv6 是对 IPv4 的量变升级,而不是根本性的颠覆。目前,全球正处于由 IPv4 向 IPv6 升级的过渡阶段,两种协议并存,完全完成向纯IPv6 的转变还需要很长时间。但是,随着信息通信技术的加速推进和广泛应用,特别是物联网的发展,入网设备特别是原有的受限设备将会急剧增加,对地址配置的灵活高效提出了较高的要求,IPv6 的推进已是大势所趋,其对网络安全治理也将带来深远的影响。
从地址配置角度看,IPv6 已经解决了设备和用户隐私泄露的风险。在 IPv6 刚提出来的时候,用基于 MAC 地址 EUI-64 模式生成的 IPV6地址的确存在泄露设备和用户隐私的风险,但IETF 很快意识到这个问题,随后推出了一系列隐私保护方案,从技术和标准的角度规避了上述隐私泄露的风险。然而,考虑到上述隐私保护协议在 2017 年刚刚完成,不排除有些设备仍然采用了较低的配置方式,那么这种风险的确是存在的,因而在实施层面,也的确会因为隐私保护协议的缺失带来隐私泄漏的风险。
从应用角度看,IPv6 巨大的地址空间和自动化的地址配置方式为以物联网和移动互联网等海量设备实时在线、端到端互联的应用场景提供了良好的支撑,同时便于溯源管理。当然,IPv6 的灵活配置和永远在线特点也存在应用层面的安全风险,包括:如何在物联网设备通过IPv6 自动配置功能获取 IPv6 地址的过程中保证安全性,如何降低物联网设备成为僵尸网络的一部分;在大型云平台的虚拟主机和虚拟网络设备由原来基于 NAT 机制的 IPv4 私有地址编址向 IPv6 公有地址编制转换过程中,如何减少攻击风险;如何在移动互联网环境避免利用 LTE用户永远在线的特性进行僵尸网络攻击和个人信息窃取等等。
从全球层面看,IPv6 的部署和应用已经进入加速发展的阶段。目前,已有超过 100 个国家和地区部署了 IPv6 网络,有 317 个网络运营商提供基于 IPv6 的接入服务。截至 2018 年 7 月,全球 IPv6 用户总数超过 5.59 亿,其中印度 IPv6用户数达 2.49 亿,位居世界第一,美国、巴西、德国则紧随其后,中国位居第 13 位,用户数356 万;IPv6 用户普及率比利时位居世界第一,达到 57.94%,其后是印度、德国和美国,中国的 IPv6 用户普及率则仅有 0.48%,在世界上排名第 70 位。由此可见,IPv6 已经成为下一阶段互联网发展的全球共识。
IPv6 的应用及部署还将对网络空间格局的力量博弈带来深远的影响。
第一,发达国家在这一场新的竞赛中并未懈怠,特别是美国作为互联网的起源地,仍然是 IPv6 部署和应用的领头羊。2012 年,美国政府就更新了《政府 IPv6 应用指南/规划路线图》,要求政府对外提供的所有互联网公共服务在 2012 年末必须支持 IPv6,到 2014 年末政府办公网络全面支持 IPv6。目前,美国 IPv6 地址申请量位居全球第一;Verizon、T-mobile 和AT&T 的 IPv6 用户数,前两者超过 70%,后者超过 50%;Facebook、Google、Twitter 等主流商业网站的主要应用产品已全面支持 IPv6, 苹果应用商店已强制要求所有 App 必须支持 IPv6。由此可见,互联网巨头是 IPv6 发展的重要推动力量。
第二,发展中国家和不发达国家可以把握机遇,提升本国的互联网基础设施建设。特别是对那些尚未获得 IPv4 地址资源的发展中国家和不发达国家而言,更充足的地址资源可以为提高互联网接入和普及率,发展互联网产业及推动数字经济的可持续发展提供必要的保障。因此,这些国家对部署 IPv6 以及研发基于 IPv6 的场景解决方案抱有很大的热情,市场潜力很大。印度就是一个典型的例子,尽管原有的互联网设备较为落后,但依托巨大的市场规模,反而可以后来居上,在 IPv6的部署上赶超中国。
第三,主要大国在 IPv6 相关领域和全球市场的竞争博弈将更趋激烈。对于发达国家和互联网巨头来说,由于其自身的技术和资源优势,它不仅能够促使互联网企业挖掘新的创新应用,而且也为有实力的互联网企业进入全球市场和实现各环节的全球布局提供了机遇;对于亟需提升互联网接入率的不发达国家而言,这意味着他们将在培育自身企业力量的同时,不得不在本国市场上迎接国外企业更有力的竞争;而对于广大的中间地带国家和企业而言,原有的网络运营商和互联网企业有可能因升级的更新成本而裹足不前,错失发展的良机,也有可能为新企业的发展壮大提供机会,相关产业的力量格局可能会发生变化。新的机遇与新的挑战总是相伴而来,而机遇只会留给有准备的人。
结语
我国在 IPv6 规模部署方面的网络基础设施基本完备,应用部署技术能力基本成熟,产业生态链条基本形成,有望与其他 IPv6 发达国家逐步缩小差距。2019 年 4 月,从当前的发展态势判断,IPv6 的部署并不会从根本上改变各国在网络空间的力量格局,但却会给我国增加互联网接入率、提升网络基础设施水平、发展数字经济和建设网络强国提供一个机会窗口。当前,国际形势正面临着百年未有之大变局,大国在网络空间的竞争博弈日趋激烈,我国应合理统筹国内国际两个大局,在国内加速推进 IPv6 部署、推动 IPv6 产业尽快成熟,同时客观分析其地址配置和应用管理存在的安全缺陷,及早规避相关风险,保证其未来大规模部署和应用时网络环境的安全可信;在国际舞台上,加快推动我国互联网企业的国际化,积极参与全球市场的合作与竞争,在提升自身竞争力的同时为世界各国的共同发展做出贡献,这也是构建网络空间命运共同体的重要一环。
作者:
郎平,博士,中国社会科学院世界经济与政治研究所研究员,主要研究领域为网络空间国际治理与国际关系。
延志伟,博士,中国互联网络信息中心基础技术实验室副主任,主要研究领域为下一代网络。
(本文选自《信息安全与通信保密》2019年第5期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。