久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

牟承晉：IPv6在目前中國應用場景的安全簡析

點擊：  作者：牟承晉    來源：昆侖策網【作者授權】  發布時間:2018-05-11 09:26:37

 

 

  

一、前言

 

美國因特網工程任務組（IETF）2017年7月14日發布的RFC 8200號文件（IPv6規范，標準號STD 86），宣布廢棄1998年12月提出的RFC 2460 號文件（IPv6草案），并不再稱IPv6是“下一代互聯網（Internet）協議IPng”。

 

這個過程，在占盡網絡科技先發優勢的美國，經歷了近20年的反復實驗和廣泛討論。其深層次的原因，就是IPv6設計導致的諸多安全弊端難以避免，以致于未曾預料和考慮到一系列嚴重安全和技術問題的涌現。美因特網工程任務組廢棄RFC 2460 文號的IPv6草案，表明過去根據RFC 2460發生的所有協議和標準，都必須依照RFC 8200的原則重新審視和驗證，不可照搬照用、掉以輕心。

 

美軍從2002年開始實施IPv6的過渡轉型計劃，已經超過15年。美海軍研究院和西點軍校聯合實驗認為，IPv6應用與安全問題無法得到及時發現、定位和解決。美國防部監察長認為，IPv6網絡安全威脅明顯增加。美空軍研究院報告，IPv6的主要系統架構不成熟、主機的安全防御和取證無法處理IPv6地址空間。北約網絡協同防務合作中心（CCDCOE）指出，IPv6對網絡攻擊者幾乎沒有約束，網絡入侵檢測系統可以被輕易穿透，形成信息泄露的隱蔽隧道。美國防部已將過渡IPv6任務的優先級降到最低。

 

提出IPv6草案的20年以來，美因特網工程任務組也在發現和探索IPv6尋址安全問題方面大費周章，計劃和努力提升IPv6地址的安全和隱私能力，包括靜態IPv6地址、半靜態IPv6地址、動態IPv6地址三種主要類型，至少曾發出以下重要的、不可回避的安全警示：

 

編號	主題	時間
RFC 4941	IPv6中無狀態地址自動配置的  隱私擴展功能	2007-9
RFC 7217	一種使用IPv6無狀態地址自動配置生成語義不透明接口標識符的方法（SLAAC）	2014-4
RFC 7721	IPv6 地址生成機制的安全和隱私注意事項	2016-3
RFC 8064	關于穩定的IPv6接口標識符的  建議	2017-2

 

綜上所述，IPv6地址的安全和隱私保護，并不是孤立的技術和工程問題，直接關系到以下三個方面的相互關聯：

 

1）數據管轄，涉及政策和策略以及多邊和對等；

2）數據保護，涉及互聯網（Internet）治理的方式和方法；

3）數據脫敏，涉及數據分享共享的“非零和”效應。

 

3月23日，特朗普搶在歐盟相關法案生效之前，簽署了美國會通過的《澄清合法使用境外數據的法案》（CLOUD），授權美國執法部門可以調取因特網所涉世界各地的網絡和終端數據，允許任何國家將數據存儲在美國。

 

歐盟《通用數據保護條例》法規，將于5月25日生效執行，適用范圍之廣和懲罰力度之強都前所未有。

 

波及全球的數據主權與安全之戰，開打在即，直接關系世界各國國家、企業和網民的重大利益，關系各國網絡空間主權和安全，關系各國國家主權和安全。中國不可避免地被裹挾其中，不可幸免。

 

長期以來，美國放任我國全面接入因特網，已經構成我國網絡空間從體系結構設計到建設發展實踐，被美國全面掌握了實際控制權。

 

美軍一再驗證、報告IPv6不安全、不可靠。美國因特網工程任務組也在2017年特別警示：全球開始實施的數據隱私法規對世界各地的技術公司和消費者產生巨大影響，導致IETF的程序和監管要求中的某些先前建立的最佳實踐成為不良做法，并最終決定廢棄20年前的IPv6草案。可是，我國有關部門近幾年來推廣IPv6卻顯得迫不及待，對IPv6已被實驗驗證的一系列重大安全問題缺乏重視、幾無對策，很不應該、很不正常。

 

本文僅就IPv6在我國目前的網絡空間安全應用場景，作簡要的初步分析介紹，供各方面參考、驗證和論證。

 

二、部署IPv6的必要前提

 

下述必要前提目前并未實現或并未完全實現，只能暫作假設，希望國家有關部門可以迅速落實強有力的補救措施。

 

假設一，國內的網絡應用環境完全實現端到端的純IPv6，不涉及隧道接口、雙棧轉換等過渡模式，骨干網和接入網都已具備IPv6直接路由和交換功能。

假設二，國內IPv6地址的分配，已有嚴密、統一的管理機制，有權威的專業機構負責。

假設三，所有（或常用）的域名，都已具有分配的IPv6地址，或IPv6和IPv4雙地址。

 

三、部署IPv6的必須流程與必然后果

 

下述安全情況的分析，建立在上述假設前提之上。

 

1）用戶通常是向運營商申請IPv6地址。

 

由于IPv6地址面向的是用戶終端，一個企業或一個單位或一個小區需要申請一組（或一段）IPv6地址，再組成本地網絡（LAN）為每個個人用戶和每個用戶終端提供連接網絡服務。

 

IPv6網絡中涉及的所有各級防火墻，都必須開通和支持IPv6，否則必然發生斷網。精準定位的同時，個人隱私也暴露無遺，傳統防火墻的防護功能和性能大打折扣。

 

2）遞歸域名服務器是域名空間的入口。

 

任何網絡的應用及端到端的互連互通必須首先訪問遞歸域名服務器，并通過遞歸域名服務器訪問根域名系統，形成域名解析的迭代過程。

 

目前國內專用的遞歸域名服務器都不支持IPv6，商用遞歸域名服務器也都沒有經過完備的系統及應用測試，必然導致終端用戶不得不使用境外支持IPv6的公共遞歸域名服務器（如谷歌、思科、甲骨文、IBM等），遞歸域名服務器系統又必然受制于人，網絡流通的本源數據和信息不可避免地泄露和流失。

 

 

圖1 域名應用的入口及域名解析的過程示意

 

3）目前國內大部分域名都沒有IPv6地址。

 

特別是政府網站如xxx.gov.cn，域名解析結果還會是IPv4的地址，必然迫使接入網和骨干網的所有設備、管理和維護，必須同時具備支持IPv4和IPv6路由及交換的能力，技術實現的工程成本很大。

 

由于目前國內技術人員對IPv6的研發和支持能力普遍受限，全面實現IPv6的周期會因多維的復雜性出現波折和反復，甚至出現各種各類的“網絡爛尾”。

 

4）在國內經營的境外企業，必須依法申請網絡內容服務商（ICP）經營許可，以及注冊.CN的域名。

 

國內有一些“ICP代理”和“門戶代理”公司，擅自給境外注冊的域名分配國內IP地址，并提供地址轉換網關服務和所謂的“虛擬國際以太網專線”（簡稱V-IEPL），形成物理網絡中的虛擬網絡或隧道。政府在這方面的監管嚴重缺失，安全漏洞隱患極大。

 

 

圖2 虛擬國際以太網專線（V-IEPL）的基本配置

 

5）我國沒有IPv6根域名解析系統，鏡像IPv6域名地址的系統解析能力有限。

 

即便全國（網）開通和支持IPv6，還是要按美國制定的常規域名解析機制和路由規則，數據必須流轉美國以及美國指定的映射監管站點，才能完成IPv6所有域名地址的系統解析。

 

我國目前開展的IPv6域名解析實驗（即所謂中國“雪人”計劃），僅僅是以部分鏡像域名為背景的特定功能性研究，并將在2018年底結束。而從美國設在日本的因特網M根服務器接出的25個二級根域名服務器，實際上形成了以日本為中心、遍及全球針對中國IPv6地址的映射解析與數據監管系統，除美國、日本以外，印度、法國、德國、俄羅斯、意大利、西班牙、奧地利、智利、南非、澳大利亞、瑞士、荷蘭等12國都參加了進來。

 

6）IPv6不兼容IPv4。

 

目前IPv4的網絡體系不具備支持IPv6的必要條件。落實全面開通IPv6用戶數量指標所需要的技術能力、工程支持、安全管理、資金投入、產業鏈同步等的就緒狀態和差異程度，都將可能導致難以預料的負面影響。一旦完全滿足了IPv6體系運行的必要條件，IPv4的服務則將逐步被終止。盡管我國網民和用戶的網絡應用還十分依賴IPv4，全網實施IPv6過程中所涉及方方面面的任何一個環節脫節，都將可能不得不造成IPv4斷網停服，因而引起社會重大影響和用戶重大損失。

 

魚與熊掌不可兼得，美國因特網工程任務組（IETF）已經宣布，放棄IPv6兼容IPv4的努力。

 

7）IPv6和IPv4的域名地址都是美國政府授權的因特網數字號碼分配機構（IANA）設計、維護和分配的，中國政府和任何組織、單位都無權改變或自作主張處置，實際上沒有監管權力和能力。

 

中國的關鍵信息基礎設施，包括電力、金融等行業，使用.COM、.NET域名是普遍現象，但是經美國因特網數字號碼分配機構核準和注冊的域名及地址，中國根本管不了。

 

如果大量的外國公司和中國企業經美國核準和注冊的域名伴隨著IPv6網址進入中國，恰似日本侵略中國時到處插著太陽旗，人人持有“良民證”，還得從小學習日本話。這個網絡空間主權究竟屬于誰？究竟誰有能力管控、治理網絡信息安全？

 

如此這般，IPv6一統中國網絡空間之時，即是中國網絡空間主權和話語權徹底消亡之日。

 

四、網際防火墻的崩潰

 

我國現有“長城防火墻”是針對IPv4設計和部署的。國內外一些企業專門為中國IPv4的境內外用戶和網民提供“爬墻”服務、服務器和大數據在境外托管服務等，國家監管措施無力。

 

圖3 中國的某些“門戶代理”以“爬墻”作為商業經營的賣點

 

基于IPv6的高校校園實驗網，已經使某些大學生可以輕而易舉地登陸被禁的國外網站，“長城防火墻”形同虛設。從軟件到硬件重新設計、開發、部署、維護IPv6監管防火墻談何容易？又絕非是一朝一夕可以完成。

 

IPv4“長城防火墻”崩潰，中國的網絡（因特網）門戶大開；IPv6“新長城防火墻”三年五載建不起來，豈不是“屋漏偏逢連夜雨，船遲又遇打頭風”？習近平總書記指引全國軍民在新時代新長征路上開創民族復興新局面時期，不斷涌現難以遏制的出讓、踐踏、破壞、危害我國網絡空間主權、數據主權的嚴重安全真空風險，誰來承擔責任？誰敢承擔責任？

 

（2018年5月6日）