牟承晉:IPv6在目前中國(guó)應(yīng)用場(chǎng)景的安全簡(jiǎn)析
點(diǎn)擊: 作者:牟承晉 來(lái)源:昆侖策網(wǎng)【作者授權(quán)】 發(fā)布時(shí)間:2018-05-11 09:26:37
一、前言
美國(guó)因特網(wǎng)工程任務(wù)組(IETF)2017年7月14日發(fā)布的RFC 8200號(hào)文件(IPv6規(guī)范,標(biāo)準(zhǔn)號(hào)STD 86),宣布廢棄1998年12月提出的RFC 2460 號(hào)文件(IPv6草案),并不再稱IPv6是“下一代互聯(lián)網(wǎng)(Internet)協(xié)議IPng”。
這個(gè)過(guò)程,在占盡網(wǎng)絡(luò)科技先發(fā)優(yōu)勢(shì)的美國(guó),經(jīng)歷了近20年的反復(fù)實(shí)驗(yàn)和廣泛討論。其深層次的原因,就是IPv6設(shè)計(jì)導(dǎo)致的諸多安全弊端難以避免,以致于未曾預(yù)料和考慮到一系列嚴(yán)重安全和技術(shù)問題的涌現(xiàn)。美因特網(wǎng)工程任務(wù)組廢棄RFC 2460 文號(hào)的IPv6草案,表明過(guò)去根據(jù)RFC 2460發(fā)生的所有協(xié)議和標(biāo)準(zhǔn),都必須依照RFC 8200的原則重新審視和驗(yàn)證,不可照搬照用、掉以輕心。
美軍從2002年開始實(shí)施IPv6的過(guò)渡轉(zhuǎn)型計(jì)劃,已經(jīng)超過(guò)15年。美海軍研究院和西點(diǎn)軍校聯(lián)合實(shí)驗(yàn)認(rèn)為,IPv6應(yīng)用與安全問題無(wú)法得到及時(shí)發(fā)現(xiàn)、定位和解決。美國(guó)防部監(jiān)察長(zhǎng)認(rèn)為,IPv6網(wǎng)絡(luò)安全威脅明顯增加。美空軍研究院報(bào)告,IPv6的主要系統(tǒng)架構(gòu)不成熟、主機(jī)的安全防御和取證無(wú)法處理IPv6地址空間。北約網(wǎng)絡(luò)協(xié)同防務(wù)合作中心(CCDCOE)指出,IPv6對(duì)網(wǎng)絡(luò)攻擊者幾乎沒有約束,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以被輕易穿透,形成信息泄露的隱蔽隧道。美國(guó)防部已將過(guò)渡IPv6任務(wù)的優(yōu)先級(jí)降到最低。
提出IPv6草案的20年以來(lái),美因特網(wǎng)工程任務(wù)組也在發(fā)現(xiàn)和探索IPv6尋址安全問題方面大費(fèi)周章,計(jì)劃和努力提升IPv6地址的安全和隱私能力,包括靜態(tài)IPv6地址、半靜態(tài)IPv6地址、動(dòng)態(tài)IPv6地址三種主要類型,至少曾發(fā)出以下重要的、不可回避的安全警示:
|
編號(hào) |
主題 |
時(shí)間 |
|
RFC 4941 |
IPv6中無(wú)狀態(tài)地址自動(dòng)配置的 隱私擴(kuò)展功能 |
2007-9 |
|
RFC 7217 |
一種使用IPv6無(wú)狀態(tài)地址自動(dòng)配置生成語(yǔ)義不透明接口標(biāo)識(shí)符的方法(SLAAC) |
2014-4 |
|
RFC 7721 |
IPv6 地址生成機(jī)制的安全和隱私注意事項(xiàng) |
2016-3 |
|
RFC 8064 |
關(guān)于穩(wěn)定的IPv6接口標(biāo)識(shí)符的 建議 |
2017-2 |
綜上所述,IPv6地址的安全和隱私保護(hù),并不是孤立的技術(shù)和工程問題,直接關(guān)系到以下三個(gè)方面的相互關(guān)聯(lián):
1)數(shù)據(jù)管轄,涉及政策和策略以及多邊和對(duì)等;
2)數(shù)據(jù)保護(hù),涉及互聯(lián)網(wǎng)(Internet)治理的方式和方法;
3)數(shù)據(jù)脫敏,涉及數(shù)據(jù)分享共享的“非零和”效應(yīng)。
3月23日,特朗普搶在歐盟相關(guān)法案生效之前,簽署了美國(guó)會(huì)通過(guò)的《澄清合法使用境外數(shù)據(jù)的法案》(CLOUD),授權(quán)美國(guó)執(zhí)法部門可以調(diào)取因特網(wǎng)所涉世界各地的網(wǎng)絡(luò)和終端數(shù)據(jù),允許任何國(guó)家將數(shù)據(jù)存儲(chǔ)在美國(guó)。
歐盟《通用數(shù)據(jù)保護(hù)條例》法規(guī),將于5月25日生效執(zhí)行,適用范圍之廣和懲罰力度之強(qiáng)都前所未有。
波及全球的數(shù)據(jù)主權(quán)與安全之戰(zhàn),開打在即,直接關(guān)系世界各國(guó)國(guó)家、企業(yè)和網(wǎng)民的重大利益,關(guān)系各國(guó)網(wǎng)絡(luò)空間主權(quán)和安全,關(guān)系各國(guó)國(guó)家主權(quán)和安全。中國(guó)不可避免地被裹挾其中,不可幸免。
長(zhǎng)期以來(lái),美國(guó)放任我國(guó)全面接入因特網(wǎng),已經(jīng)構(gòu)成我國(guó)網(wǎng)絡(luò)空間從體系結(jié)構(gòu)設(shè)計(jì)到建設(shè)發(fā)展實(shí)踐,被美國(guó)全面掌握了實(shí)際控制權(quán)。
美軍一再驗(yàn)證、報(bào)告IPv6不安全、不可靠。美國(guó)因特網(wǎng)工程任務(wù)組也在2017年特別警示:全球開始實(shí)施的數(shù)據(jù)隱私法規(guī)對(duì)世界各地的技術(shù)公司和消費(fèi)者產(chǎn)生巨大影響,導(dǎo)致IETF的程序和監(jiān)管要求中的某些先前建立的最佳實(shí)踐成為不良做法,并最終決定廢棄20年前的IPv6草案。可是,我國(guó)有關(guān)部門近幾年來(lái)推廣IPv6卻顯得迫不及待,對(duì)IPv6已被實(shí)驗(yàn)驗(yàn)證的一系列重大安全問題缺乏重視、幾無(wú)對(duì)策,很不應(yīng)該、很不正常。
本文僅就IPv6在我國(guó)目前的網(wǎng)絡(luò)空間安全應(yīng)用場(chǎng)景,作簡(jiǎn)要的初步分析介紹,供各方面參考、驗(yàn)證和論證。
二、部署IPv6的必要前提
下述必要前提目前并未實(shí)現(xiàn)或并未完全實(shí)現(xiàn),只能暫作假設(shè),希望國(guó)家有關(guān)部門可以迅速落實(shí)強(qiáng)有力的補(bǔ)救措施。
假設(shè)一,國(guó)內(nèi)的網(wǎng)絡(luò)應(yīng)用環(huán)境完全實(shí)現(xiàn)端到端的純IPv6,不涉及隧道接口、雙棧轉(zhuǎn)換等過(guò)渡模式,骨干網(wǎng)和接入網(wǎng)都已具備IPv6直接路由和交換功能。
假設(shè)二,國(guó)內(nèi)IPv6地址的分配,已有嚴(yán)密、統(tǒng)一的管理機(jī)制,有權(quán)威的專業(yè)機(jī)構(gòu)負(fù)責(zé)。
假設(shè)三,所有(或常用)的域名,都已具有分配的IPv6地址,或IPv6和IPv4雙地址。
三、部署IPv6的必須流程與必然后果
下述安全情況的分析,建立在上述假設(shè)前提之上。
1)用戶通常是向運(yùn)營(yíng)商申請(qǐng)IPv6地址。
由于IPv6地址面向的是用戶終端,一個(gè)企業(yè)或一個(gè)單位或一個(gè)小區(qū)需要申請(qǐng)一組(或一段)IPv6地址,再組成本地網(wǎng)絡(luò)(LAN)為每個(gè)個(gè)人用戶和每個(gè)用戶終端提供連接網(wǎng)絡(luò)服務(wù)。
IPv6網(wǎng)絡(luò)中涉及的所有各級(jí)防火墻,都必須開通和支持IPv6,否則必然發(fā)生斷網(wǎng)。精準(zhǔn)定位的同時(shí),個(gè)人隱私也暴露無(wú)遺,傳統(tǒng)防火墻的防護(hù)功能和性能大打折扣。
2)遞歸域名服務(wù)器是域名空間的入口。
任何網(wǎng)絡(luò)的應(yīng)用及端到端的互連互通必須首先訪問遞歸域名服務(wù)器,并通過(guò)遞歸域名服務(wù)器訪問根域名系統(tǒng),形成域名解析的迭代過(guò)程。
目前國(guó)內(nèi)專用的遞歸域名服務(wù)器都不支持IPv6,商用遞歸域名服務(wù)器也都沒有經(jīng)過(guò)完備的系統(tǒng)及應(yīng)用測(cè)試,必然導(dǎo)致終端用戶不得不使用境外支持IPv6的公共遞歸域名服務(wù)器(如谷歌、思科、甲骨文、IBM等),遞歸域名服務(wù)器系統(tǒng)又必然受制于人,網(wǎng)絡(luò)流通的本源數(shù)據(jù)和信息不可避免地泄露和流失。
圖1 域名應(yīng)用的入口及域名解析的過(guò)程示意
3)目前國(guó)內(nèi)大部分域名都沒有IPv6地址。
特別是政府網(wǎng)站如xxx.gov.cn,域名解析結(jié)果還會(huì)是IPv4的地址,必然迫使接入網(wǎng)和骨干網(wǎng)的所有設(shè)備、管理和維護(hù),必須同時(shí)具備支持IPv4和IPv6路由及交換的能力,技術(shù)實(shí)現(xiàn)的工程成本很大。
由于目前國(guó)內(nèi)技術(shù)人員對(duì)IPv6的研發(fā)和支持能力普遍受限,全面實(shí)現(xiàn)IPv6的周期會(huì)因多維的復(fù)雜性出現(xiàn)波折和反復(fù),甚至出現(xiàn)各種各類的“網(wǎng)絡(luò)爛尾”。
4)在國(guó)內(nèi)經(jīng)營(yíng)的境外企業(yè),必須依法申請(qǐng)網(wǎng)絡(luò)內(nèi)容服務(wù)商(ICP)經(jīng)營(yíng)許可,以及注冊(cè).CN的域名。
國(guó)內(nèi)有一些“ICP代理”和“門戶代理”公司,擅自給境外注冊(cè)的域名分配國(guó)內(nèi)IP地址,并提供地址轉(zhuǎn)換網(wǎng)關(guān)服務(wù)和所謂的“虛擬國(guó)際以太網(wǎng)專線”(簡(jiǎn)稱V-IEPL),形成物理網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)或隧道。政府在這方面的監(jiān)管嚴(yán)重缺失,安全漏洞隱患極大。
圖2 虛擬國(guó)際以太網(wǎng)專線(V-IEPL)的基本配置
5)我國(guó)沒有IPv6根域名解析系統(tǒng),鏡像IPv6域名地址的系統(tǒng)解析能力有限。
即便全國(guó)(網(wǎng))開通和支持IPv6,還是要按美國(guó)制定的常規(guī)域名解析機(jī)制和路由規(guī)則,數(shù)據(jù)必須流轉(zhuǎn)美國(guó)以及美國(guó)指定的映射監(jiān)管站點(diǎn),才能完成IPv6所有域名地址的系統(tǒng)解析。
我國(guó)目前開展的IPv6域名解析實(shí)驗(yàn)(即所謂中國(guó)“雪人”計(jì)劃),僅僅是以部分鏡像域名為背景的特定功能性研究,并將在2018年底結(jié)束。而從美國(guó)設(shè)在日本的因特網(wǎng)M根服務(wù)器接出的25個(gè)二級(jí)根域名服務(wù)器,實(shí)際上形成了以日本為中心、遍及全球針對(duì)中國(guó)IPv6地址的映射解析與數(shù)據(jù)監(jiān)管系統(tǒng),除美國(guó)、日本以外,印度、法國(guó)、德國(guó)、俄羅斯、意大利、西班牙、奧地利、智利、南非、澳大利亞、瑞士、荷蘭等12國(guó)都參加了進(jìn)來(lái)。
6)IPv6不兼容IPv4。
目前IPv4的網(wǎng)絡(luò)體系不具備支持IPv6的必要條件。落實(shí)全面開通IPv6用戶數(shù)量指標(biāo)所需要的技術(shù)能力、工程支持、安全管理、資金投入、產(chǎn)業(yè)鏈同步等的就緒狀態(tài)和差異程度,都將可能導(dǎo)致難以預(yù)料的負(fù)面影響。一旦完全滿足了IPv6體系運(yùn)行的必要條件,IPv4的服務(wù)則將逐步被終止。盡管我國(guó)網(wǎng)民和用戶的網(wǎng)絡(luò)應(yīng)用還十分依賴IPv4,全網(wǎng)實(shí)施IPv6過(guò)程中所涉及方方面面的任何一個(gè)環(huán)節(jié)脫節(jié),都將可能不得不造成IPv4斷網(wǎng)停服,因而引起社會(huì)重大影響和用戶重大損失。
魚與熊掌不可兼得,美國(guó)因特網(wǎng)工程任務(wù)組(IETF)已經(jīng)宣布,放棄IPv6兼容IPv4的努力。
7)IPv6和IPv4的域名地址都是美國(guó)政府授權(quán)的因特網(wǎng)數(shù)字號(hào)碼分配機(jī)構(gòu)(IANA)設(shè)計(jì)、維護(hù)和分配的,中國(guó)政府和任何組織、單位都無(wú)權(quán)改變或自作主張?zhí)幹茫瑢?shí)際上沒有監(jiān)管權(quán)力和能力。
中國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施,包括電力、金融等行業(yè),使用.COM、.NET域名是普遍現(xiàn)象,但是經(jīng)美國(guó)因特網(wǎng)數(shù)字號(hào)碼分配機(jī)構(gòu)核準(zhǔn)和注冊(cè)的域名及地址,中國(guó)根本管不了。
如果大量的外國(guó)公司和中國(guó)企業(yè)經(jīng)美國(guó)核準(zhǔn)和注冊(cè)的域名伴隨著IPv6網(wǎng)址進(jìn)入中國(guó),恰似日本侵略中國(guó)時(shí)到處插著太陽(yáng)旗,人人持有“良民證”,還得從小學(xué)習(xí)日本話。這個(gè)網(wǎng)絡(luò)空間主權(quán)究竟屬于誰(shuí)?究竟誰(shuí)有能力管控、治理網(wǎng)絡(luò)信息安全?
如此這般,IPv6一統(tǒng)中國(guó)網(wǎng)絡(luò)空間之時(shí),即是中國(guó)網(wǎng)絡(luò)空間主權(quán)和話語(yǔ)權(quán)徹底消亡之日。
四、網(wǎng)際防火墻的崩潰
我國(guó)現(xiàn)有“長(zhǎng)城防火墻”是針對(duì)IPv4設(shè)計(jì)和部署的。國(guó)內(nèi)外一些企業(yè)專門為中國(guó)IPv4的境內(nèi)外用戶和網(wǎng)民提供“爬墻”服務(wù)、服務(wù)器和大數(shù)據(jù)在境外托管服務(wù)等,國(guó)家監(jiān)管措施無(wú)力。
圖3 中國(guó)的某些“門戶代理”以“爬墻”作為商業(yè)經(jīng)營(yíng)的賣點(diǎn)
基于IPv6的高校校園實(shí)驗(yàn)網(wǎng),已經(jīng)使某些大學(xué)生可以輕而易舉地登陸被禁的國(guó)外網(wǎng)站,“長(zhǎng)城防火墻”形同虛設(shè)。從軟件到硬件重新設(shè)計(jì)、開發(fā)、部署、維護(hù)IPv6監(jiān)管防火墻談何容易?又絕非是一朝一夕可以完成。
IPv4“長(zhǎng)城防火墻”崩潰,中國(guó)的網(wǎng)絡(luò)(因特網(wǎng))門戶大開;IPv6“新長(zhǎng)城防火墻”三年五載建不起來(lái),豈不是“屋漏偏逢連夜雨,船遲又遇打頭風(fēng)”?習(xí)近平總書記指引全國(guó)軍民在新時(shí)代新長(zhǎng)征路上開創(chuàng)民族復(fù)興新局面時(shí)期,不斷涌現(xiàn)難以遏制的出讓、踐踏、破壞、危害我國(guó)網(wǎng)絡(luò)空間主權(quán)、數(shù)據(jù)主權(quán)的嚴(yán)重安全真空風(fēng)險(xiǎn),誰(shuí)來(lái)承擔(dān)責(zé)任?誰(shuí)敢承擔(dān)責(zé)任?
(2018年5月6日)
責(zé)任編輯:紅星
特別申明:
1、本文只代表作者個(gè)人觀點(diǎn),不代表本站觀點(diǎn),僅供大家學(xué)習(xí)參考;
2、本站屬于非營(yíng)利性網(wǎng)站,如涉及版權(quán)和名譽(yù)問題,請(qǐng)及時(shí)與本站聯(lián)系,我們將及時(shí)做相應(yīng)處理;
3、歡迎各位網(wǎng)友光臨閱覽,文明上網(wǎng),依法守規(guī),IP可查。
作者 相關(guān)信息
牟承晉:IPv6在目前中國(guó)應(yīng)用場(chǎng)景的安全簡(jiǎn)析
2018-05-11牟承晉:“一箭穿‘芯’”是對(duì)中國(guó)網(wǎng)絡(luò)空間主
2018-04-22牟承晉:軍民融合、舉國(guó)協(xié)力,推進(jìn)我國(guó)主權(quán)網(wǎng)絡(luò)
2018-03-29牟承晉:警惕有人在我國(guó)網(wǎng)絡(luò)主權(quán)進(jìn)程中,故意興
2017-10-09內(nèi)容 相關(guān)信息
牟承晉:IPv6在目前中國(guó)應(yīng)用場(chǎng)景的安全簡(jiǎn)析
2018-05-11對(duì)話工程院院士鄔賀銓:為何說(shuō)部署IPv6可重塑國(guó)家競(jìng)爭(zhēng)力
2017-12-03? 昆侖專題 ?
? 十九大報(bào)告深度談 ?
? 新征程 新任務(wù) 新前景 ?
? 國(guó)資國(guó)企改革 ?
? 雄安新區(qū)建設(shè) ?
? 黨要管黨 從嚴(yán)治黨 ?
熱點(diǎn)排行
懲治漢奸:這只“美國(guó)漢奸”又出來(lái)咬人了!呼吁全民痛打!
王立華:這次修憲有“五個(gè)好”
《芳華》是在瓦解敵軍,還是在瓦解我軍?
建言點(diǎn)贊
倪光南談芯片產(chǎn)業(yè)投資:應(yīng)整合資源,不要遍地開花
中國(guó)工程院院士倪光南:“中國(guó)芯”有“兩座大山”要跨越
白鋼:要多講中國(guó)社會(huì)主義,少?gòu)?qiáng)調(diào)“特色”——社會(huì)主義本身就是一種普世價(jià)值? 社會(huì)調(diào)查 ?
圖片新聞
