清华大学教授李星双栈会加大IPv6的安全挑战

李星 清华大学教授

移动网络的IPv6发展会更快

日前，在2018 ISC互联网安全大会上，清华大学教授李星做了《CERNET IPv6 BCP》的报告。李星表示，移动网络的IPv6普及将会比固定宽带网络的普及率更快也更高，其原因在于手机的普及率很高，更新率更快，所以在上面提供IPv6服务更加直接。

李星分析了当前国内外IPv6普及的情况，他表示，美国的IPv6驱动力主要来源于新型运营商，传统运营商的响应很迟缓。而在中国，作为央企，三大运营商步伐比较整齐，这对IPv6的发展是一个很好的机会。他同时表示，虽然IPv6在国内会很快地推动起来，但考虑到跟世界其他不发达国家和地区的互联网连接，将来将有很长时间是IPv4和IPv6共存的局面。

对于IPv6及互联网创新，他表示，希望国家能充分考虑到高校作为创新前沿的特殊性，在管理机制上应当给予一定的空间，否则高校的创新就失去了土壤。

CERNET的IPv6行动

李星提到，清华大学从20年前就对IPv6进行了研究和部署。李星认为，教育网在IPv6上最主要的特征就是坚持到底，十年磨一剑。

1998年，清华大学建立了第一个基于IPv6 over IPv4技术的IPv6实验床6BONE。2003年，CERNET做了纯IPv6网，舍弃了双栈的方法，在IPv4与IPv6互通这一关键问题上，CERNET 也进行了各种不同思路的探索。一开始采用IPv4 over IPv6隧道的办法，形成了国际互联网标准化组织IETF的若干RFC标准。2007年，开始基于无状态IPv4/IPv6翻译技术IVI实现IPv4和IPv6之间的互通。

李星提到，互联网技术最核心的就是体系结构，体系结构的表现形式是IETF RFC标准。全世界现在有8000多个RFC，中国领衔的RFC大概有100多个，其中，华为最多，清华大学其次。

IVI系列技术获得了国际互联网标准化组织IETF的9个RFC，并已经被其他RFC标准引用达141次以上，成为IPv4和IPv6互联互通最核心的标准。

IPv6的安全

李星表示，IPv6的安全非常值得关注。其原因还是在于木桶短板效应——如果一个系统既有IPv4又有IPv6，黑客最容易找到漏洞，因此，实施IPv4和IPv6的双栈网络安全其代价是单栈的数倍。但如果能采用翻译技术把IPv4和IPv6隔开，安全状况会好很多。

他表示，未来有几个因素将会影响IPv6网络的安全：第一，端到端安全。IPv4网络主要由三大网络运营商运营，但IPv6网络中，许多大企业包括中国石化、石油等都有很大的地址块，这样将会产生大量的互联中心，从而影响整个网络的安全；第二，路由安全。李星表示，域名不是互联网本质，路由才是本质。互联网的路由是无中心分布式的，所以美国是不可能把互联网断掉的；第三，加密和证书。如何在IPv6上加密，仍然是一个难题。最后，是物联网的挑战，这是做网络安全的人必须面对的挑战。

IPv6究竟怎么才能成功？李星说，“在硅谷，大家说，做硬件，如果你不会浪费晶体管就会失败，做网络，如果你不会浪费带宽就会失败；我的说法是，做IPv6，如果你不会浪费IP地址,也会失败。”