IPv6对网络安全治理的影响分析

翟昱 买尔旦·肉孜

摘 要：随着IPv4地址池消耗殆尽，IPv6逐步成为未来互联网的IP协议核心。在2017年《推进互联网协议第六版（IPv6）规模部署行动计划》发布后，学术界就开始出现两种观点，一种是IPv6出现将提升中国在全球互联网治理当中的地位，另一种则是IPv6在实现终端设备溯源的过程可能侵犯个人隐私。从这两个观点来看，都代表IPv6对网络安全治理存在影响，文章由此进行分析讨论，以期可以对IPv6的部署提供一些参考建议。

关键词：IPv6;IPv4;网络安全治理

1 关于IPv6

1.1  IPv6的基本内容

IPv6是TCP/IP协议族当中的一个重要组成部分，作为下一代网络协议，取代IPv4是必然的，因为IPv6具有更大的地址空间容量，使用更小的路由表，增强组播支持和对流支持，自动配置支持和更高的安全性。作为IPv4的扩展协议，本质上是为了解决IPv4网络地址枯竭和路由表膨胀问题。

IPv6地址以8组四位十六进制数值表示，由128比特位构成，从数量级上来说，理论上IPv6的地址容量是无限的，显然它将解决网络地址资源数量问题并且为万物互联提供基础。

1.2  IPv6的发展情况

国际上，1990年开始IETE开始规划设计IPv4的下一代协议，到1994年正式提出了IPv6发展计划，并在1998年IPv6正式发布。2009年一项IPv6监测项目展开，主要内容是针对Alexa排名25 000以内的域名进行持续的IPv6解析和可用性监测，监测数据不断上涨，说明主流网站都在部署实施IPv6。在2018年全球IPv6用户就已经在全球互联网用户数量的比例中占比18%。

国内从2017年开始部署IPv6，2018年召开中国IPv6产业发展研讨会，该会议中明确了从2017年开始部署IPv6以来的成就，全国IPv6地址的LTE和固定宽带接入网络用户数量已经接近10亿。

1.3  IPv6的安全机制

本文重点针对IPv6的安全机制进行分析，作为IPv4的扩展，比较于IPv4，显然IPv6的安全性是有显著提升的，具体来讲IPv4是一种简单的网络协议，存在很多漏洞，应用程序要保证安全只能通过自身携带的安全机制来保证数据交互安全。而IPv6完全不同，它本身全面支持IPsec，因此需要基于标准的网络安全解决方案，以便满足和提升不同IPv6协议实现协同工作。IPsec则通过正确使用封装安全性ESP和AH来实现访问机制、无连接的完整性、数据源身份验证、对包重放攻击的防御、加密、有限的业务机密性。

ESP即封装化安全净荷，它是IPv6的标准扩展头，用来实现在网络层的端到端连接中提供数据加密功能，这种数据加密功能可实现数据包的私密性，提供公共密钥对数据来源进行身份认证，基于AH的序列号机制对抗重放，提供安全性网关实现有限的业务流机密性。

AH即认证报头，其主要提供验证功能，即对数据包的来源地址进行验证，并提供数据完整性测试，它的存在可确保数据包的完整性，对数据包来源进行认证，若在数据包完整性当中有公钥数字签名算法可为数据包提供无可推卸的服务，使用序列号字段来防止重复攻击[1]。

从上述分析来看，IPv6在网络层的安全性上有着巨大的提升，优点很多，但是并不说它就是完美的，因为网络安全是一个包含很多层次和问题的复杂系统问题，并不单单只是一个网络层的问题，同时即便是从网络层来讲它也并不完美，因为它保留有IPv4的一些选项和服务系统，如TTL、分片等，从IPv4的角度来讲，黑客主要就是利用分片或TTL等选项或功能来攻击IP协议或者是逃避防火墙的检测，所以IPv6也不能保证能够避免这些类似的攻击，再者，网络安全中的攻击和防护是动态变化的，安全防护能力增强，攻击能力必定增强，攻击能力增强，安全防护能力也必定会增强，所以IPv6在网络层有了更先进的安全机制，当然能够让黑客的攻击技巧更新换代。

2 IPv6对网络安全治理的影响

2.1 关于网络安全治理

我国当前正在进行新基建，新基建是围绕互联网展开的，它的保护如何构建是当前的一个重点，我国工程院、科学院相关院士指出我国网络空间安全形势很严峻，如中国科学院院士冯登国指出，我国网络空间防护体系建设相对之后，网络空间治理形势不容乐观，网络空间战略威慑能力尚需要提升，IT产品供应链形势十分严峻，其中，网络空间治理方面，冯院士指出现阶段网络空间治理缺乏有效技术手段，法律法规，这是一个相当严重的问题。网络安全治理需要软硬皆施，即不仅要强化技术上的硬实力，也要强化法律法规等方面的软实力。如此结合本文主题来看，IPv6对网络安全治理的影响主要是在技术硬实力方面[2]。

2.2  IPv6对网络安全治理的影响表现

IPv6有两种地址配置机制，即DHCP机制和SLAAC机制，在DHCP机制当中，地址由管理域内的相关服务器集中管理，因而不同的管理域可以应用不同的地址分配策略，从而规避隐私泄露风险。在SLAAC机制当中，设备会在子网当中共享64比特的网络前缀，并且基于一定规则自动生成地址，IETF标准当中规定了地址由自动配置的前缀与嵌入底层链路地址接口ID构成，并在以太网中使用设备的48比特MAC生成IID。由于MAC相当于设备的唯一数字标签，基于全球唯一MAC生成的IID可能存在安全和隐私泄露的风险，具体表现为，设备在任何网络当中配置地址时将使用相同的IID，恶意攻击者就可以利用它在不同的网络流量中对设备进行归类，并分析潜在行为，并可对设备网络前缀进行分析，进而分析该设备的移动轨迹。MAC当中由于包含OUI信息（IETF组织唯一标识），一旦被攻击就有可能泄露设备制造商的信息，如此就可能借此分析设备类型进而展开针对性的攻击，同时也可较为精准地定位设備位置。

针对上述问题，RFC3972中突出密码生成地址机制用以解决问题，在RFC4941中也提出IPv6的隐私扩展机制，定义了临时地址概念，用以避免设备被定位。但实际上这些都依赖于相应的算法，如果算法泄露了，就有可能通过算法计算后续可能出现的地址配置信息，这种机制有缺陷，但存在解决的方法，即在设备操作系统中引入算法随机数来规避。

2.3 在IPv6部署背景下的网络安全治理思考

仅就我国而言，目前正在积极推动智慧城市建设，物联网设备的大量运用，在根本上加速了IPv6的部署进度，因为IPv4地址池根本不能支撑大量物联网设备的入网需求，所以IPv6的部署大势所趋，而其存在的问题也将深刻影响网络安全治理。

在IPv6刚刚提出时，基于MAC的地址配置方式确实存在隐私泄露风险，但是随着标准对隐私保护的完善，从技术和标准上都逐步规避了上文中所提及的风险，但是由于这些隐私保护方案提出时间晚，且是在2017年才完成的，不排除设备依然采用低端的配置方式，因而风险依然是存在的。

从部署应用的层面來讲IPv6的优点是非常多的，但是其灵活配置和永远在线也并不是完全无安全隐患，为此结合联合国裁军研究所报告的相关内容来看，建议在网络安全治理上需要做好意识培养，能力建设、信任建立和合作4个方面。意识培养，重点就是要提升网络安全治理的意识;能力建设就是要强化技术上的硬实力和法律法规上的软实力，进而提升治理能力;信任建立是要消除组织之间的不信任、误解和敌意，从而提升合作透明度，和更开放的对话信息交流等;合作将带来更大的效益[3]。

3 结语

在网络安全治理方面IPv6引入的AH和ESP增强了网络层的安全性，这对于IPv4而言是非常大的进步，但是也要看到IPv6的安全机制并不是特别成熟，需要额外配套隐私保护方案，这都将对现有的网络安全体系造成冲击，因此迫切需求更为先进的网络安全问题解决方案。

[参考文献]

[1]虞俊明，王燕霞，危丁梅.基于IPv6下的系统备份与还原设计与实现[J].福建电脑，2018（4）：22-23.

[2]汪迅宝，刘超，张程，等.一种基于IPv6的互转网关体系结构[J].安徽工业大学学报（自然科学版），2018（2）：160-166.

[3]尤振华.浅析多维度的网络安全治理[J].数字通信世界，2018（11）：147.

（编辑 傅金睿）