引言
2017 年 11 月,中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,併發出通知要求各地區各部門結合實際認真貫徹落實。隨著該行動計劃的逐步推進,有關 IPv6 安全部署的文章和評論不斷出現。有觀點認為,IPv6 會在有助於實現終端設備溯源的同時在一定程度上侵犯到個人隱私;也有觀點認為,IPv6 將會終結美國的互聯網霸權,提升中國在全球互聯網治理中的地位。本文試圖以 IPv6 發展過程以及 IPv6 地址配置為入口,分析 IPv6 部署帶來的安全風險以及對網絡安全治理的影響,並提出應對建議。
IP 地址與 IPv6 的緣起
如果將網絡空間比喻為人體的話,互聯網的物理設施層可以看作是“骨骼”,是互聯網的有形部分。而包含協議和標準在內的邏輯層則類似於佈滿神經元的人類神經系統,這些計算機代碼為物理層的所有功能提供運行的動力,並確保信息能夠準確傳播。
全 球 網 絡 空 間 穩 定 委 員 會(GCSC) 秘 書處主任克里姆伯格(Klimburg)博士認為,基於內在邏輯的軟件代碼界定了我們對網絡空間相關的所有事情的體驗和認知。斯坦福互聯網與社會研究中心創始人勞倫斯·萊斯格(Lawrence·Lessig)曾說過一句名言——“代碼就是法律。”無論是有意創造還是無意為之,計算機代碼幫助界定的不僅是我們的網絡行為,還有我們對網絡空間的期待和想象:什麼是現實的,什麼不是現實的,事情是如何被完成的以及事情應該如何被處理。 從這個意義上說,技術標準和協議對互聯網的發展有決定性影響。
全球網絡空間的一致、正常運作依賴於統一的基礎性協議與標準。其中,IP 和域名系統(DNS)是兩個最重要的標準,它們構成了網絡空間海量資源命名和尋址的基礎。DNS 是互聯網資源命名協議,解決了網絡空間海量資源的可擴展管理,DNS 將人類可讀的名字映射為機器可讀的 IP 地址,進而支持數據包的逐跳轉發。IP 協議確保 IP 數據包到達其指定位置,通過包交換實現數據的確定性傳輸。
在這個過程中,IP 地址是標識一臺連接到互聯網上(個人計算機、服務器、智能手機或者可以聯網的智能端)設備的物理地址的一串數值,隱藏在瀏覽器上域名地址背後的、能夠被計算機讀取的一串數值。
20 世紀 80 年代,43 億數量的 IP 地址(指的是第四版互聯網協議 IPv4)被認為足夠可以應付可預見的未來。IPv4 地址以四組十進制數字表示,中間用頓號隔開,數字範圍從 0 到 255(例如 208.80.152.2)。從理論上講,連接到網絡上的每一臺設備都有自己的 IP 地址,如果沒有 IP 地址,它就無法接入互聯網。
然而,近年來對 IP 地址爆炸性的需求以及 IPv4 分配使用的不合理致使 IPv4 能夠提供的地址數量遠無法應對未來需求。
作為互聯網協議和標準制定的治理機構,互 聯 網 工 程 任 務 組(Internet Engineering Task Force)在 1989 年就開始注意到 IPv4 地址數量的有限性問題。因此,從 1990 年開始,IETF 就開始規劃設計 IPv4 的下一代協議,除要解決 IP地址短缺問題外,旨在擴展更多地址承載的功能。
作為暫時性的補救措施,IETF 在 1994 年早期採用了無類別地址尋址(classless addressing)的地址分配架構,在一定程度上緩解了 IP 地址的浪費問題。1994 年,IETF 正式提議 IPv6 發展計劃,最終,IPv6 在 1998 年底被 IETF 通過RFC2460 正式發佈。
與 IPv4 地址格式不同,IPv6 地址以 8 組四位十六進制數值表示,由 128 比特位構成,單從數量級上來說,理論上 IPv6 可提供約 340 萬億萬億萬億(2128)個地址。這不但解決了網絡地址資源數量的問題,同時也為未來萬物互聯發展提供了基礎。從國際趨勢看,employees.org網站自 2009 年開展了一項持續性的大規模 IPv6監測項目,每天對 Alexa 排名 Top25000 的域名進行持續的 IPv6 解析和可用性探測。
該數據已從最初的低於 1% 逐步提升到當前的 20% 以上,說明主流網站在部署實施 IPv6 方面表現出較為明顯的上升趨勢。同時,訪問失敗率呈逐漸下降趨勢,反映出網絡基礎設施的部署和 IPv6 鏈路的連接質量在不斷改善。APNIC 統計數據也顯示,截至 2018 年 6 月底,全球 IPv6 用戶佔全球互聯網用戶的比例已超過 18%。
其中,美國 IPv6 用戶數已佔其網民總數的 41%;印度超過美國,成為全球擁有 IPv6 用戶最多的國家,IPv6 用戶佔比達到 52%。思科在其 2017 年 6 月發佈的《2016—2021 年度可視化網絡指數預測》中指出,預計到 2021 年,全球 IPv6 流量將佔比37%,達到 87EB/ 月 。
2018 年 12 月,推進 IPv6 規模部署專家委員會在北京召開了“中國 IPv6 產業發展研討會”。會議指出,推進 IPv6 規模部署工作一年來,在各部委的指導下,各地、各部門、各相關企業密切配合、務實推進,IPv6 規模部署工作取得了積極進展、成效顯著,並初步形成了政企聯動、高效協同、多方參與,網絡、應用和終端協同推進的良好發展局面。
截至 2018 年11 月,基礎電信企業分配 IPv6 地址的 LTE 和固定寬帶接入網絡用戶總數超 8.65 億。IPv6 的網站應用也取得了很大的進展,例如,在 2018 年天貓雙 11 期間,阿里巴巴各項服務已全面支持IPv6,阿里雲已經為各種網站和應用提供 IPv6解決方案,為網站和應用快速過渡到 IPv6 提供相關的基礎設施;很多手機移動 APP 也主動支持 IPv6 並標註在登錄頁,如優酷、淘寶、支付寶、高德地圖、京東商城、大眾點評、攜程等。
IPv6 是下一代互聯網的核心,也事關未來我國互聯網行業的穩步發展以及我國網絡安全和信息化工作的全局。2016 年 11 月 7 日,互聯網架構委員會(IAB, Internet Architecture Board)發表聲明:建議各標準開發組織的網絡標準需要完全支持 IPv6,不再考慮 IPv4;同時,希望IETF 在新增或擴展協議中不要再考慮 IPv4 協議的兼容,IETF 未來的協議制定工作重點在於優化和使用 IPv6。
IPv6 的技術特性
IPv6 在解決了 IPv4 的地址匱乏問題的同時,還在許多方面實現了優化改進,主要包括以下五點:
第一,IPv6 具有層次化的編址方式,地址分配遵循聚類(Aggregation)的原則,同時通過使用更小的路由表,使得路由器能在路由表中用一條記錄(Entry)表示一片子網,大大減小了路由器中路由表的長度,有利於骨幹網路由器對數據包的快速轉發有效提高轉發速度。
第 二,IPv6 增 強 了 組 播 支 持 以 及 對 流 的控制能力,為多媒體應用和服務質量(QoS,Quality of Service) 控 制 提 供 了 更 好 的 網 絡 平臺。IPv6 數據包的報頭包含一個 8 位的業務流類別(Class)和一個新的 20 位的流標籤(Flow Label),允許發送業務流的源節點和轉發業務流的路由器在數據包上加上標記,進行除默認處理之外的按需處理。
第三,IPv6 同時定義了更靈活的地址配置機制:無狀態和有狀態地址自動配置機制。有狀 態 自 動 配 置(Stateful Auto-configuration) 通過動態主機配置協議 (Dynamic Host Configuration Protocol for IPv6,DHCPv6) 來 為 設 備 動 態 分配 IPv6 地 址, 無 狀 態 地 址 自 動 配 置(SLAAC, Stateless Auto-configuration)則通過鄰居發現協議(NDP,Neighbor Discovery Protocol) 來實現地址自動配置。
第四,IPv6 簡化了數據包報頭,減少處理器開銷並節省網絡帶寬。這就使得路由器在處理 IPv6 報頭時更為高效。此外,IPv6 使用新的頭部格式,其選項與基本頭部分開,如果新的技術或應用需要,可將選項插入到基本頭部與上層數據之間,這在簡化路由處理過程中保證了協議的可擴展性。
第五,IPv6 擁有基於海量地址空間下的即插即用優勢,可更便捷地支持移動性,並可更方便地支持快速、層次、代理以及分佈式等多種模式下的移動性管理。
基 於 上 述 特 性,IPv6 實 現 了 功 能 優 化,其功能擴展頭機制為網絡創新和功能擴展留下了更大的空間,例如近期被採用較多的 SRv6(Segment Routing with IPv6)技術,就是通過定義新的 IPv6 擴展來優化路由和流量調度。因此,IPv6 相對於 IPv4 而言,能夠為萬物互聯的場景提供更加廣闊的協議基礎和平臺。
IPv6 地址配置與隱私保護
IPv6 引 入 兩 種 不 同 的 地 址 配 置 機 制: 在DHCPv6 中,地址由該管理域內的 DHCPv6 服務器集中管理。因此,不同管理域的 DHCPv6 服務器可以應用不同的地址分配策略(如連續地址和隨機地址等),從而規避了隱私洩露的風險。而 SLAAC 模式下,設備在子網內共享 64 比特的網絡前綴,並基於一定的地址生成規則(後64 比特)自動生成各自的 IPv6 地址。在 SLAAC 模 式 中,IETF 標 準 規 定 IPv6 地址由自動配置的前綴與嵌入底層鏈路地址的接
口 ID(IID, Interface Identifier)構成,並在以太網中使用設備的 48 比特 MAC 地址生成 IID,成為最廣泛使用的策略,如圖 1 所示。
圖 1 SLAAC 中的 EUI-64 格式
具 體 而 言, 基 於 EUI-64 的 IID 及 IPv6 地址生成步驟如下:(1)獲取底層網絡接口的以太網地址(MAC 地址);(2)反轉 MAC 地址的 IEEE 組織唯一標識(OUI, Organizationally Unique Identifier)的 U/L 位;(3)在 MAC 地址的 3 個高位和 3 個低位之間插入 0xFFFE;(4)得到的 64 位後綴(IID)結合網絡週期性通告的64 位前綴將生成全球唯一的 IPv6 地址。
在此模式下,IID(至少在理論上)是全局唯一的,因為其來源——MAC 地址通常是全局唯一的,此外,相同供應商製造的設備有相同的 IID 高 5 位(與 IEEE OUI 對應)。
最後,某個設備其 IID在一個或多個網絡中保持不變,除非手動修改了底層以太網地址或者更換了網絡接口卡。上述 EUI-64 模式下,基於全球唯一 MAC地址生成 IPv6 地址 IID 存在如下安全和隱私洩露風險:
第一,設備在任何網絡中配置 IPv6 地址時將使用相同的 IID,惡意攻擊者可以通過從不同網絡的流量中進行地址的 IID 對比輕易歸類設備,並 進 一 步 分 析 其 潛 在 行 為。 此 外, 還 可以通過同一設備的網絡前綴分析該設備的移動軌跡。
第二,MAC 地址包含了 OUI 信息,洩露了設備製造商。一方面,這意味著從地址便有可能分析得知設備類型從而對針對性漏洞進行攻擊;另一方面,對於鎖定具體設備來說,由於OUI 位數和 FF:FE 固定,可進一步縮小掃描範圍。為 了 消 除 上 述 問 題,RFC3972 提 出 了 密碼 生 成 地 址 機 制(Cryptographically Generated Addresses),採用對設備公鑰等信息的哈希來生成其 IPv6 地址的 IID。
此外,RFC4941 也提出了 IPv6 隱私擴展機制,定義了臨時地址概念,該地址按照一定時間週期變化,並且地址之間並無關聯性且獨立於接入網絡,從而規避了位置追蹤。但是如果地址生成算法洩露,就有可能計算出後續可能配置地址的信息,雖然這是該方案的缺陷,但在實際部署中,操作系統都通過在算法中引入隨機數來規避這一風險。
由 此 可 見,IPv6 SLAAC 的 EUI-64 模 式 存在 的 安 全 和 隱 私 風 險 由 來 已 久。 為 此,IETF 6man 工作組於 2014 年發佈 RFC7217,以此作為傳統 SLAAC 算法的替代方案,但在該 RFC 發佈時並未正式取代 EUI-64 模式。隨後,IETF又發佈了兩篇分析 EUI-64 模式隱私與安全風險的 RFC(RFC7707 和 RFC7721), 可 被 視 為 用RFC7217 取代傳統 SLAAC 算法的前奏。2017 年2 月,IETF 正式發佈 RFC8064,用 RFC7217 取代 EUI-64 模式,並提出不建議任何算法在 IPv6地址生成中嵌入終端設備的鏈路層地址。
RFC7217 提 出 的 語 義 模 糊 接 口 標 識(Semantically Opaque Interface Identifiers) 算 法支持設備在一個網絡中配置穩定的 IPv6 地址,但是當設備在子網之間發生移動時,地址也將變化。基於多個相關參數的哈希,IPv6 IID 將隱藏設備標識信息。
此外,只要設備在同一接入網絡內,該機制計算生成的 IID 將保持不變,從而使得設備的 IPv6 地址在同一子網內保持穩定。但當設備進入不同接入網絡時,由於網絡前綴變化將使其 IID 變化,保證了地址的動態性。主流 Linux 和 MacOS 是最先支持該算法的操作系統(Microsoft 起初未支持該算法,但也採用了MAC 地址隨機化的機制,且 RFC7217 作者之一便來自 Microsoft)。
從 IPv6 地址屬性看,主要分為三類:靜態地址、半靜態地址和動態地址。靜態地址通常是手動配置,此外,在一定意義上也包含 EUI-64 模式的地址;RFC7217 以及 CGA 所定義的模式則具有半靜態特點;而 RFC4941 所定義的模式可被視為動態地址類型。半靜態和動態地址通常應用於客戶端設備以提供一定隱私保護,而靜態地址一般應用於路由器或者服務器以保證其能夠被其他設備穩定尋址。
但很顯然,隨著網絡應用模式的演進,網絡設施不只有客戶端和服務器這兩種簡單類別,如也將出現只服務特定範圍的服務器(如 IoT 網關),在需要穩定可達的同時具有隱私保護需求。
總的來看,如何應用不同的安全地址配置模式應基於不同特定場景靈活設定。基於 MAC地址生成 IPv6 的地址 IID,在 IPv6 地址生成的過程中,有若干方法可以做到地址隨機分配,不必與 MAC 地址綁定。同時,由於 IPv6 地址可以實現端到端的唯一性,因此在隱私與安全的平衡管理過程中,可以做到更加靈活。
IPv6 對網絡安全治理的影響
IPv6 是對 IPv4 的量變升級,而不是根本性的顛覆。目前,全球正處於由 IPv4 向 IPv6 升級的過渡階段,兩種協議並存,完全完成向純IPv6 的轉變還需要很長時間。但是,隨著信息通信技術的加速推進和廣泛應用,特別是物聯網的發展,入網設備特別是原有的受限設備將會急劇增加,對地址配置的靈活高效提出了較高的要求,IPv6 的推進已是大勢所趨,其對網絡安全治理也將帶來深遠的影響。
從地址配置角度看,IPv6 已經解決了設備和用戶隱私洩露的風險。在 IPv6 剛提出來的時候,用基於 MAC 地址 EUI-64 模式生成的 IPV6地址的確存在洩露設備和用戶隱私的風險,但IETF 很快意識到這個問題,隨後推出了一系列隱私保護方案,從技術和標準的角度規避了上述隱私洩露的風險。
然而,考慮到上述隱私保護協議在 2017 年剛剛完成,不排除有些設備仍然採用了較低的配置方式,那麼這種風險的確是存在的,因而在實施層面,也的確會因為隱私保護協議的缺失帶來隱私洩漏的風險。
從應用角度看,IPv6 巨大的地址空間和自動化的地址配置方式為以物聯網和移動互聯網等海量設備實時在線、端到端互聯的應用場景提供了良好的支撐,同時便於溯源管理。當然,IPv6 的靈活配置和永遠在線特點也存在應用層面的安全風險,包括:如何在物聯網設備通過IPv6 自動配置功能獲取 IPv6 地址的過程中保證安全性,如何降低物聯網設備成為殭屍網絡的一部分;在大型雲平臺的虛擬主機和虛擬網絡設備由原來基於 NAT 機制的 IPv4 私有地址編址向 IPv6 公有地址編制轉換過程中,如何減少攻擊風險;如何在移動互聯網環境避免利用 LTE用戶永遠在線的特性進行殭屍網絡攻擊和個人信息竊取等等。
從全球層面看,IPv6 的部署和應用已經進入加速發展的階段。目前,已有超過 100 個國家和地區部署了 IPv6 網絡,有 317 個網絡運營商提供基於 IPv6 的接入服務。截至 2018 年 7 月,全球 IPv6 用戶總數超過 5.59 億,其中印度 IPv6用戶數達 2.49 億,位居世界第一,美國、巴西、德國則緊隨其後,中國位居第 13 位,用戶數356 萬;IPv6 用戶普及率比利時位居世界第一,達到 57.94%,其後是印度、德國和美國,中國的 IPv6 用戶普及率則僅有 0.48%,在世界上排名第 70 位。由此可見,IPv6 已經成為下一階段互聯網發展的全球共識。
IPv6 的應用及部署還將對網絡空間格局的力量博弈帶來深遠的影響。
第一,發達國家在這一場新的競賽中並未懈怠,特別是美國作為互聯網的起源地,仍然是 IPv6 部 署 和 應 用 的 領 頭 羊。2012 年, 美 國政府就更新了《政府 IPv6 應用指南 / 規劃路線圖》,要求政府對外提供的所有互聯網公共服務在 2012 年末必須支持 IPv6,到 2014 年末政府辦公網絡全面支持 IPv6。
目前,美國 IPv6 地址申請量位居全球第一;Verizon、T-mobile 和AT&T 的 IPv6 用戶數,前兩者超過 70%,後者超過 50%;Facebook、Google、Twitter 等主流商業網站的主要應用產品已全面支持 IPv6, 蘋果應用商店已強制要求所有 App 必須支持 IPv6。由此可見,互聯網巨頭是 IPv6 發展的重要推動力量。
第二,發展中國家和不發達國家可以把握機遇,提升本國的互聯網基礎設施建設。特別是對那些尚未獲得 IPv4 地址資源的發展中國家和不發達國家而言,更充足的地址資源可以為提高互聯網接入和普及率,發展互聯網產業及推動數字經濟的可持續發展提供必要的保障。因此,這些國家對部署 IPv6 以及研發基於 IPv6 的場景解決方案抱有很大的熱情,市場潛力很大。印度就是一個典型的例子,儘管原有的互聯網設備較為落後,但依託巨大的市場規模,反而可以後來居上,在 IPv6的部署上趕超中國。
第三,主要大國在 IPv6 相關領域和全球市場的競爭博弈將更趨激烈。對於發達國家和互聯網巨頭來說,由於其自身的技術和資源優勢,它不僅能夠促使互聯網企業挖掘新的創新應用,而且也為有實力的互聯網企業進入全球市場和實現各環節的全球佈局提供了機遇;對於亟需提升互聯網接入率的不發達國家而言,這意味著他們將在培育自身企業力量的同時,不得不在本國市場上迎接國外企業更有力的競爭;而對於廣大的中間地帶國家和企業而言,原有的網絡運營商和互聯網企業有可能因升級的更新成本而裹足不前,錯失發展的良機,也有可能為新企業的發展壯大提供機會,相關產業的力量格局可能會發生變化。新的機遇與新的挑戰總是相伴而來,而機遇只會留給有準備的人。
結語
我國在 IPv6 規模部署方面的網絡基礎設施基本完備,應用部署技術能力基本成熟,產業生態鏈條基本形成,有望與其他 IPv6 發達國家逐步縮小差距。2019 年 4 月,從當前的發展態勢判斷,IPv6 的部署並不會從根本上改變各國在網絡空間的力量格局,但卻會給我國增加互聯網接入率、提升網絡基礎設施水平、發展數字經濟和建設網絡強國提供一個機會窗口。
當前,國際形勢正面臨著百年未有之大變局,大國在網絡空間的競爭博弈日趨激烈,我國應合理統籌國內國際兩個大局,在國內加速推進 IPv6 部署、推動 IPv6 產業儘快成熟,同時客觀分析其地址配置和應用管理存在的安全缺陷,及早規避相關風險,保證其未來大規模部署和應用時網絡環境的安全可信;在國際舞臺上,加快推動我國互聯網企業的國際化,積極參與全球市場的合作與競爭,在提升自身競爭力的同時為世界各國的共同發展做出貢獻,這也是構建網絡空間命運共同體的重要一環。
作者 >>>
郎平,博士,中國社會科學院世界經濟與政治研究所研究員,主要研究領域為網絡空間國際治理與國際關係。
延志偉,博士,中國互聯網絡信息中心基礎技術實驗室副主任,主要研究領域為下一代網絡。
(本文選自《信息安全與通信保密》2019年第5期)
閱讀更多 信息安全與通信保密 的文章
