IPv6與網(wǎng)絡安全2017年11月26日，中共中央辦公廳、國務院辦公廳聯(lián)合印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，指出IPv6是互聯(lián)網(wǎng)演進升級的必然趨勢、技術產業(yè)創(chuàng)新的重大契機和網(wǎng)絡安全能力強化的迫切需要，提出了全面部署IPv6的目標和時間表及行動方案。本文著重討論IPv6給網(wǎng)絡安全帶來的機遇與挑戰(zhàn)。一、IPsec不會成為推廣IPv6的障礙在IPv6的早期標準中要求使用IPsec協(xié)議對網(wǎng)絡層IP包中用戶信息進行加密，本意是保證用戶通信隱私，但不良信息也可借IPsec而隱藏，給對非法內容的監(jiān)管帶來麻煩，因此IPsec成為發(fā)展IPv6的心病。事實上IPsec不是為IPv6而專設的，在IETF標準中IPsec協(xié)議版本早于IPv6首個標準而發(fā)布，IPsec也適用于IPv4。而且其他加密手段的使用已經淡化了IPsec的影響，廣泛使用的VPN就是加密的通道，在網(wǎng)絡層之上的TLS/SSL也是加密協(xié)議，https相對http就是加密的網(wǎng)頁，這些在IPv4環(huán)境下已經存在。另外，雖然目前幾乎所有主流的操作系統(tǒng)都支持IPsec，但IPsec是無法默認就能使用的，需要可信的第三方簽發(fā)證書或者手工靜態(tài)配置共享密鑰，由于密鑰管理的復雜性，實際的使用者很少。而且僅在網(wǎng)絡層的加密仍無法解決自身協(xié)議的脆弱性和應用層的安全漏洞等問題，現(xiàn)實網(wǎng)絡開放環(huán)境中節(jié)點間的通信更多地采用上層更為靈活的TLS或SSL協(xié)議來實現(xiàn)加密，與TLS在全世界的普遍使用相比，IPsec的加密流量幾乎可以忽略不計。在IETF的標準RFC3552中承認，上層應用的開發(fā)者不能把安全寄希望于網(wǎng)絡層的IPsec，因為它很少部署。IPsec曾經被作為IPv6網(wǎng)絡節(jié)點的強制要求，但在TLS/SSL加密協(xié)議出現(xiàn)后IPsec就不再是不可替代的，從2011年發(fā)布RFC64343以后，對IPv6網(wǎng)絡節(jié)點的實現(xiàn)也不再強制要求必須支持IPsec了。因此IPsec并非IPv6的孿生體，IPv6與IPv4相比并不因為IPsec而增加新的網(wǎng)絡及信息安全風險。二、IPv6的海量地址為網(wǎng)絡安全提供了溯源的手段在IPv4體制下互聯(lián)網(wǎng)對上網(wǎng)用戶臨時動態(tài)分配地址，地址與用戶身份并沒有確定的對應關系，無從談起溯源，后來雖然認識到安全的重要性，但IPv4地址資源緊張，也不可能為用戶固定分配地址。由于IPv4地址的不足，導致私有地址大量使用，NAT（地址翻譯）破壞了端對端的透明性，給網(wǎng)絡安全事件溯源帶來了困難，假冒地址橫行，網(wǎng)絡攻擊等安全事件泛濫。另外，由于歷史原因，我國境內IPv4地址資源的申請也存在極大的不確定性，而且IPv4地址資源極為有限也沒有余地對IPv4地址進行有效的統(tǒng)一規(guī)劃和管理，無法將公共服務IPv4與普通上網(wǎng)用戶的IPv4地址分區(qū)設置，也無法從地址中區(qū)分服務類型。IPv6海量的地址為固定分配地址和建立上網(wǎng)實名制奠定了基礎，在IPv6地址中通過算法嵌入可擴展的用戶網(wǎng)絡身份標識信息，與真實用戶的身份關聯(lián)，可構建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng)，實現(xiàn)了與自治域相關聯(lián)的IP地址前綴級粒度的真實源地址驗證。另外，IPv6充足的地址空間可嚴格按照區(qū)域和業(yè)務類型甚至用戶類型進行地址分配，可以實現(xiàn)對特定IP地址溯源、按業(yè)務類型精細服務，或對特定服務類型進行區(qū)域管理、精細化監(jiān)控與安全偵測及防護等，這種基于IP地址對網(wǎng)絡流量的控制與安全管理效率高成本低。美國平均每個網(wǎng)民擁有6個IPv4地址，但美國政府為了反恐而看重對IP地址的可溯源能力，因而也積極推動IPv6的部署。IPv6海量的地址空間可有效防止通過地址掃描的攻擊。眾所周知，網(wǎng)絡攻擊者通過地址掃描識別用戶的地理位置和發(fā)現(xiàn)漏洞并入侵，目前的技術可在45分鐘內掃描IPv4的全部地址空間，每一個IPv6地址是128位，假設網(wǎng)絡前綴為64位，那么在一個子網(wǎng)中就會存在264個地址，假設攻擊者以每秒百萬地址的速度掃描，需要50萬年才能遍歷所有的地址，無疑將顯著提升網(wǎng)站與用戶終端設備的安全。但這并不妨礙政府監(jiān)管部門用掃描技術發(fā)現(xiàn)違法網(wǎng)站，在完善的IPv6地址登記和備案制度下，監(jiān)管部門能夠知道哪些地址是已經分配的，只掃描已分配的地址空間而不是全部IPv6地址空間，因此并不會對主動掃描帶來太大麻煩。三、IPv6為新增根服務器創(chuàng)造了機遇在網(wǎng)絡空間中每一個網(wǎng)站和郵件都需要有可尋址的地址，為便于記憶以域名來代替，DNS（域名解析服務）以一個遞歸的層次結構來保證名字系統(tǒng)與IP地址映射的唯一性。DNS根系統(tǒng)由以管理數(shù)據(jù)為主的根區(qū)管理系統(tǒng)和以提供解析服務為主的根服務器系統(tǒng)共同構成，DNS根服務器負責最頂級的域名（例如國家域名和.com等域名）解析。全球有13個根服務器，600多個鏡像，我國僅有5個鏡像，而且這些鏡像服務器物理上在我國境內，但由其所對應的境外的根服務器運營方所管理。我國互聯(lián)網(wǎng)依賴外方控制的根服務器解析頂級域名，一旦發(fā)現(xiàn)緊急情況，缺少應變和反制手段。另外，存在我國頂級域提交至根區(qū)的數(shù)據(jù)被惡意刪除、劫持或篡改的可能性，導致抵御大規(guī)模DDoS（拒絕服務）的能力不足。由于IPv4幀結構單個報文長度的限制，現(xiàn)有13個IPv4根服務器基本上不可能再擴展，目前在IPv4的DNS體制下雖然也有過若干改進方案，但都不能解決頂級域名解析的可控問題。IPv6體系為擴展根服務器提供了新的機遇，在IPv6新的幀格式中可安排25個IPv6根服務器，形成一組全功能、并與現(xiàn)有IPv4體系并行和互通的國際根體系。現(xiàn)有13個IPv4根服務器能同時解析IPv4與IPv6，25個IPv6根服務器借助IPv4/IPv6地址翻譯等技術也兼有解析IPv4的能力。由我國企業(yè)提出的IPv6根服務器體系方案，堅持了全球一個互聯(lián)網(wǎng)一個命名空間但多種尋址方案的理念，滿足共同管理根服務器等互聯(lián)網(wǎng)關鍵資源的國際訴求，在國際互聯(lián)網(wǎng)社區(qū)得到積極的反響，目前已在中、美、日、印、歐、非、澳、南美等16個國家架設了25臺IPv6根服務器，開展了IPv6域名解析的服務試驗與互操作性測試，并在IETF提出了相應的標準提案。IPv6根服務器體系不僅為我國擁有自主可控的根服務器提供了機會，也是中國在DNS體系創(chuàng)新方面為國際互聯(lián)網(wǎng)治理體系朝著更加公平合理安全共治的方向發(fā)展所做的貢獻。四、IPv6體系下的安全挑戰(zhàn)IPv6體系給網(wǎng)絡安全的發(fā)展提供了新的機遇，但原有的網(wǎng)絡安全的一些問題并不因IPv6就自動消失。由于IP網(wǎng)絡傳輸?shù)谋举|沒有發(fā)生變化，所以IPv6同樣會面臨現(xiàn)有IPv4網(wǎng)絡下的分片攻擊（產生大量分片或發(fā)送不完整的分片報文來耗費防火墻資源或處理時間）。IPv4網(wǎng)絡中除IP層以外的其他四層中出現(xiàn)的攻擊在IPv6網(wǎng)絡中依然會存在。在IPv6根服務器體系下，其主服務器還需要從IANA（互聯(lián)網(wǎng)數(shù)字分配機構）的頂級域服務器獲得根區(qū)更新數(shù)據(jù)，在數(shù)據(jù)來源上與IPv4沒有區(qū)別。雖然從2016年10月起，IANA的職能已從美國政府移交到ICANN（互聯(lián)網(wǎng)名稱及數(shù)字地址分配機構），ICANN表面上是多利益相關方社群，但美國政府的影響力不可忽視。特朗普政府的網(wǎng)絡安全首席顧問托馬斯·博賽特就曾公開表示：“互聯(lián)網(wǎng)是美國的發(fā)明，應該在塑造所有國家未來的過程中，能夠反映美國價值觀”。如何保證從根區(qū)管理系統(tǒng)獲取的數(shù)據(jù)不被劫持或篡改，不僅需要有技術手段，還需要從推動ICANN管理機制的改革入手，共同構建和平、安全、開放、合作的網(wǎng)絡空間，建立多邊、民主、透明的國際互聯(lián)網(wǎng)治理體系。IPv6海量的地址規(guī)模提供了上網(wǎng)實名制的基礎，海量地址的查詢變得更加復雜，但是攻擊者仍然可以通過IPv6前綴信息搜集、隧道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息從而發(fā)起攻擊。另外，雖然IPsec并不新增對不良內容監(jiān)管的威脅，但事實上各種層面上的加密已經成為互聯(lián)網(wǎng)未來發(fā)展的常態(tài)，信息安全管理要適應信息加密的現(xiàn)狀，除了技術措施外，在內容管理的機制上也需要創(chuàng)新。IPv6還會帶來網(wǎng)絡安全的新挑戰(zhàn)，攻擊者可利用IPv6報文的擴展報頭(可選且多種)構造包含異常數(shù)量擴展頭的報文，防火墻為解析報文將耗費大量資源，從而影響轉發(fā)性能。在IPv6中采用NDP(鄰居發(fā)現(xiàn)協(xié)議)取代現(xiàn)有IPv4中ARP（地址解析協(xié)議），但實現(xiàn)原理基本相同，針對ARP的攻擊如地址欺騙和泛洪等在IPv6中仍然存在，發(fā)送錯誤的路由器宣告和重定向消息等引IP流轉向，達到DDoS、攔截和修改數(shù)據(jù)的目的。再者，IPv6的無狀態(tài)地址自動分配機制也可能使非授權用戶更容易接入和使用網(wǎng)絡。此外，IPv6海量的地址以及有可能按地址所分類的業(yè)務來選路，將帶動新的路由體系和新的選路協(xié)議的開發(fā)，可能會引入新的安全漏洞。從IPv4向IPv6過渡將要持續(xù)一段時間，過渡與互通方案也會帶來新的安全問題，攻擊者可以利用過渡協(xié)議的安全漏洞來逃避安全監(jiān)測乃至實施攻擊行為，IPv4overIPv6或IPv6overIPv4的隧道機制對任何來源的數(shù)據(jù)包只進行簡單的封裝和解封，沒有內置認證、完整性和加密等安全功能，并不對IPv4和IPv6地址的關系做嚴格的檢查，攻擊者可以隨意截取隧道報文，通過偽造外層和內層地址偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設。翻譯技術將IP流在IPv4/IPv6間轉換，可能會受到如NAT設備常見的地址池耗盡等DDoS攻擊。未來在規(guī)模部署中還會出現(xiàn)更多的網(wǎng)絡安全問題。在關于IPv6規(guī)模部署的行動計劃中，網(wǎng)絡安全提升是其中的重要任務，包括的內容有：升級改造現(xiàn)有網(wǎng)絡安全保障系統(tǒng)，提升對IPv6地址和網(wǎng)絡環(huán)境的支持能力。嚴格落實IPv6網(wǎng)絡地址編碼規(guī)劃方案，加強IPv6地址備案管理，協(xié)同推進IPv6部署與網(wǎng)絡實名制，落實技術接口要求，增強IPv6地址精準定位、偵查打擊和快速處置能力。開展針對IPv6的網(wǎng)絡安全等級保護、個人信息保護、風險評估、通報預警、災難備份及恢復等工作。開展IPv6環(huán)境下的工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等領域網(wǎng)絡安全技術、管理及機制研究工作。強化網(wǎng)絡數(shù)據(jù)安全管理及個人信息保護能力，確保網(wǎng)絡安全。綜上所述，推進IPv6規(guī)模部署的方向已明確，行動在即，要抓住IPv6帶來的新機遇，充分利用和發(fā)揮IPv6內含的網(wǎng)絡安全潛力，正視IPv6帶來的網(wǎng)絡安全挑戰(zhàn)，在推進IPv6部署中發(fā)現(xiàn)問題，以創(chuàng)新來開創(chuàng)網(wǎng)絡安全的新局面。根域名服務器的安全挑戰(zhàn)因特網(wǎng)(Internet)自從1969年誕生以來，發(fā)展迅猛?，F(xiàn)在，世界各國的政治、軍事、經濟、科技、文化、教育、醫(yī)療、生活、金融等各個領域都被因特網(wǎng)聯(lián)系在一起了。

因此，下一代互聯(lián)網(wǎng)的安全對于世界各國都面臨重要挑戰(zhàn)。1.中國互聯(lián)網(wǎng)安全存在的致命問題如果把互聯(lián)網(wǎng)比作一棵樹，那么下一代互聯(lián)網(wǎng)的總核心、總樞紐(樹根)、主干網(wǎng)(樹干)都在美國。美國因特網(wǎng)是全球因特網(wǎng)的根和主干；而中國因特網(wǎng)（互聯(lián)網(wǎng)）是全球因特網(wǎng)的分支(樹枝)或者是樹葉。目前，雖然中國互聯(lián)網(wǎng)應用走在全球的前列，但是這種繁榮只是枝葉茂盛。如果樹干或者根出現(xiàn)問題，那么樹葉馬上就會干枯。

從美國的全球因特網(wǎng)總樞紐到中國，有三條海底光纜管道，分別到青島、上海(崇明島)、汕頭。這三條海底光纜與中國內地的互聯(lián)網(wǎng)光纜聯(lián)結。因此，中國不存在網(wǎng)絡主權。美國可以在半個小時之內使得中國的因特網(wǎng)系統(tǒng)癱瘓，從而使中國的城市交通監(jiān)控系統(tǒng)、鐵路調度系統(tǒng)、電力調度系統(tǒng)、航空管理系統(tǒng)、金融網(wǎng)絡系統(tǒng)、公共安全監(jiān)控系統(tǒng)等和大型重要信息系統(tǒng)面臨癱瘓風險。

中科院信息安全國家重點實驗室呂述望教授(北京知識安全工程中心主任)曾經正確地指出：“美國隨時可以關掉中國的互聯(lián)網(wǎng)?！钡侵袊呀洸捎孟鄳膽獙Υ胧苊膺@種極端現(xiàn)象的出現(xiàn)。2.IPv4、IPv6和中國受到的IP地址限制

2.1.網(wǎng)站域名、IPv4、IPv6和IP地址的概念

因特網(wǎng)上的網(wǎng)站域名是網(wǎng)站的標示，通常用英語字母和數(shù)字表示。例如，中華網(wǎng)的域名是C;網(wǎng)易公司的電子郵箱網(wǎng)站的域名是163.com。每個域名都有對應的用數(shù)字表示的地址，稱為IP地址。例如，某人電腦上網(wǎng)用的網(wǎng)站IP地址是36。

IPv4和IPv6是因特網(wǎng)域名解析協(xié)議，其作用是把域名用數(shù)字表示，再把數(shù)字轉換成機器代碼。因特網(wǎng)域名解析協(xié)議是公開的技術，而不是秘密的技術。

IPv4(InternetProtocolversion4)使用2進制域名IP地址。IPv4的域名IP數(shù)字地址有32位。IP地址的個數(shù)是2的32次方，包含了大約42億個IP地址。目前，全球的網(wǎng)站大部分使用IPv4地址。

IPv6(InternetProtocolversion6)也使用2進制域名IP地址。IPv6的域名IP數(shù)字地址有128位。IP地址的個數(shù)是2的128次方。因此，IPv6的域名IP地址足夠人類使用萬萬億年。

2.2.中國受到IPv4網(wǎng)絡IP地址的限制

IPv4域名地址是由美國分配的。中國的因特網(wǎng)用戶占全球是25%。但是，中國只擁有5%的IP地址。中國被分配的IP地址少于印度。美國麻省理工學院一所大學占有的IPv4頂級域名比中國全國占有的IPv4頂級域名還多。美國的IPv4域名地址可以用到2030年以后，但是，中國的IPv4頂級域名基本上用完了。

截至2019年12月，全球約有6.5億個有效網(wǎng)絡域名，平均大概每11個人一個域名。美國大約有1.2億個有效網(wǎng)絡域名，平均每3人一個域名。而中國目前只有1840萬個有效域名，平均每74人才有一個域名，不到世界人均水平的六分之一，是美國人均水平的二十五分之一。美國有大約1億個網(wǎng)站，中國則只有320萬個網(wǎng)站，相差30多倍。3.雪人計劃的發(fā)起和計劃的目的“雪人計劃”(YetiDNSProject)是由美國專家和日本組織提議、中國下一代互聯(lián)網(wǎng)國家工程中心主持、中國資助的大型項目。

中國下一代互聯(lián)網(wǎng)國家工程中心(ChinaFutureInternetEngineeringCenter，CFIEC)，是由北京市發(fā)改委于2012年認定的北京市工程研究中心，并于2015年由國家發(fā)改委批復升級為國家地方聯(lián)合工程研究中心。下一代互聯(lián)網(wǎng)國家工程中心專家委員會由鄔賀銓院士（時任中國工程院副院長）領銜，來自國內外36位互聯(lián)網(wǎng)基礎技術領域最具影響力的專家學者共同組成。

2015年6月23日，由中國下一代互聯(lián)網(wǎng)工程中心(CFIEC)牽頭，聯(lián)合日本W(wǎng)IDE機構(M根服務器運營者)、因特網(wǎng)先驅美國PaulVixie(保羅·維克謝)博士、因特網(wǎng)域名工程中心(ZDNS)等組織和個人共同發(fā)起、創(chuàng)立了雪人計劃。

雪人計劃是美國PaulVixie(保羅·維克謝)博士和日本W(wǎng)IDE機構提議的。雪人計劃英文名YetiDNSProject中的Yeti是日文“雪人”的英譯。保羅·維克謝是因特網(wǎng)的先驅者、國際因特網(wǎng)名人堂入選者。他是美國遠見安全(FarsightSecurity)公司的董事長和首席執(zhí)行官。

“雪人計劃(YetiDNSProject)”是基于全新技術架構的全球下一代因特網(wǎng)(IPv6)根服務器測試和運營實驗項目，其目的是打破現(xiàn)有的13個根服務器困局，為下一代因特網(wǎng)提供更多的根服務器解決方案。

4.全球IPv6網(wǎng)絡和雪人計劃的意義

4.1.雪人計劃的成果和全球IPv6網(wǎng)絡

經過兩年半的實施，到2017年12月底，雪人計劃基本完成，取得了很大成果。主要成果是建立了聯(lián)結16個國家的IPv6網(wǎng)絡。

截至2017年11月26日，在與現(xiàn)有IPv4根服務器體系架構充分兼容基礎上，雪人計劃在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根服務器設置，形成了13臺原有IPv4根服務器加25臺IPv6根服務器的新格局。其中中國部署了4臺根服務器，包括1臺主根服務器(不是真正的主根服務器)和3臺輔根服務器。

4.2.雪人計劃的積極意義

雖然雪人計劃只是一個測試計劃，而且雪人計劃的實施、完成未能保障中國互聯(lián)網(wǎng)的安全，但是，完成雪人計劃還是有積極意義的。

雪人計劃的積極意義如下：

第一，通過聯(lián)合全球機構來做測試和試運營，實際驗證在IPv6協(xié)議下根服務器可以突破13臺的限制，并且獲得了第一手的運營、故障排查和維護的經驗，為IPv4網(wǎng)絡過渡到IPv6網(wǎng)絡掃清了技術上的障礙。

第二，在全世界范圍內獲得了一大批支持的國家。他們愿意一起在IPv6時代共同治理全球因特網(wǎng)，形成了打破全球因特網(wǎng)由美國單邊治理的共識。

第三，當IPv6時代真正來臨的時候，如果美國依然想控制根服務器，中國有技術能力和影響力來召集眾多“盟友”與之抗衡。事實上，美國已經意識到因特網(wǎng)單邊管治的時代可能會結束，所以很早就作為一個成員國參與了雪人計劃IPv6網(wǎng)絡的測試。

5.雪人計劃沒有解決中國的網(wǎng)絡安全問題

很多人說，“因為中國現(xiàn)在有了4個根服務器，所以在IPv6時代我們完全可以和美國在因特網(wǎng)治理上平起平坐了”;“中國有獨立自主、安全可靠的IPv6網(wǎng)絡系統(tǒng)了”。事實并非如此。

(1)雪人計劃是一個在測試環(huán)境中的“實驗室”項目。該計劃已經在2017年12月底結束。它是一個暫時的、允許失敗的前期技術測試項目，嚴格地來說甚至不能算作是“技術原型”，更不是在生產環(huán)境中的“官方”根服務器部署。

中國正在努力推進IPv6根服務器在中國的落地。但是，中國互聯(lián)網(wǎng)協(xié)會理事長鄔賀銓院士說：“我們國家在探討IPv6建設過程中，提出過要增強(IPv6)主根的部署。不過尚不明確主根最終能否以及有多少可以建在國內?！?/p>

(2)雪人計劃設立的中國IPv6“主根服務器”并非完全獨立，不是真正的主根服務器，而是在美國的IPv4主根服務器之下的測試性服務器。IPv6根服務器繼承了IPv4中F根服務器(設在美國弗吉尼亞州)中的基礎數(shù)據(jù)，包括所有頂級域名的數(shù)據(jù)。中國的IPv6“主根服務器”受美國的IPv4主根服務器和F服務器的控制、監(jiān)視。

(3)從技術上來看，根服務器之間也并不平等。雪人計劃新增的25臺IPv6根服務器的地位事實上要低于之前的13臺IPv4根服務器。正如鄔賀銓院士所說，“IPv4的根服務器對IPv6的根服務器依然擁有解釋權。所以即便未來中國有了IPv6的根服務器，也并不意味著中國就能起到主導作用?！?/p>

(4)IPv6的安全性能不如IPv4。在IPv4網(wǎng)絡，網(wǎng)站(因特網(wǎng)空間實體)IP地址可以是動態(tài)的。而在IPv6網(wǎng)絡，每一個網(wǎng)站都有一個確定的、靜態(tài)IP地址，所以IPv6系統(tǒng)便于敵人對目標網(wǎng)站精準定位，精準打擊。因此，美國政府部門和美國軍隊都不使用IPv6。美國是故意推給中國用大量經費建設試驗性IPv6系統(tǒng)，而不是沒有能力建設IPv6系統(tǒng)。

(5)基于“同一個世界，同一個互聯(lián)網(wǎng)，同一個域名空間”的理念，雪人計劃沒有試圖進行“域名空間分叉”。雪人計劃所做的所有測試都是基于IPv4的架構下的拓展，而并非“另起爐灶”重新建立一套新的域名管理系統(tǒng)和根服務器。這就是說，無論是IPv4網(wǎng)絡還是IPv6網(wǎng)絡，全球因特網(wǎng)的總核心、主干網(wǎng)、總樞紐、主根服務器、萬維網(wǎng)總站仍然在美國，由美國的企業(yè)控制和管理。

因此，IPv6和雪人計劃根本沒有解決中國的網(wǎng)絡安全問題。

6.雪人計劃之后的任務和目標

雪人計劃在2017年12月基本完成。雪人計劃完成之后，關于IPv6網(wǎng)絡，中國的后續(xù)任務和目標是什么?

據(jù)新華社2017年11月26日報道，近日，中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，并發(fā)出通知，要求各地區(qū)各部門結合實際認真貫徹落實?！队媱潯芬螅?到10年時間，形成下一代互聯(lián)網(wǎng)自主技術體系和產業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應用網(wǎng)絡，實現(xiàn)下一代互聯(lián)網(wǎng)在經濟社會各領域深度融合應用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導力量。

中國“成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導力量”是十年的目標。

但是，正如我們在第一部分所說，全球因特網(wǎng)由美國主導，受美國控制。因此，即使中國十年內(到2027年)建成了“全球最大規(guī)模的IPv6商業(yè)應用網(wǎng)絡”，也不可能“成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導力量”。中國要成為全球IPv6網(wǎng)絡的主導力量，必須花30年左右時間。下一代互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)無論IPv4網(wǎng)絡還是IPv6網(wǎng)絡，安全威脅是一直存在的問題。IPv6協(xié)議在增加安全性的同時，也引入了一些特有的問題。目前IPv6各運營商開始大規(guī)模部署IPv6網(wǎng)絡，但是相應的IPv6安全研究和實踐沒有得到足夠的重視和發(fā)展。本文將從IPv6協(xié)議相對IPv4協(xié)議變化、IPv6協(xié)議安全改進、IPv6協(xié)議安全威脅及防護三個方面闡述一下IPv6網(wǎng)絡安全性。一、Pv6和IPv4協(xié)議安全性比較1、IPv6擴展頭IPv4協(xié)議報文頭結構冗余，影響轉發(fā)效率；同時缺乏對端到端安全、QOS、移動互聯(lián)網(wǎng)安全的有效支持。IPv6協(xié)議重點針對上述幾個方面進行了改進，采用了更加精簡有效的報文頭結構。IPv6協(xié)議選項字段都放在擴展頭中，中間轉發(fā)設備不需要處理所有擴展報文頭，提高數(shù)據(jù)包處理速度，并且通過擴展選項實現(xiàn)強制IPSec安全加密傳輸和對移動互聯(lián)網(wǎng)安全的支持。其中FragmentHeader用于分片報文傳輸；EncapsulatingSecurityPayload和AuthenticationHeader用于實現(xiàn)IPSec加密傳輸；ICMPv6擴展頭在IPv6協(xié)議中地位舉足輕重，承載了IPv6基礎協(xié)議：鄰居發(fā)現(xiàn)協(xié)議（NDP）。2、IPv6協(xié)議安全改進IPv6具備巨大的地址空間，并且設計之初就考慮了各種應用的安全，具體包括如下幾個方面。（1）可溯源和防攻擊在IPv4網(wǎng)絡中，由于地址空間的不足，普遍部署NAT，CGN技術更是引入了多級NAT。NAT的存在一方面破壞了互聯(lián)網(wǎng)端到端通信的特性，另一方面NAT隱藏了用戶的真實IP，導致事前基于過濾類的預防機制和事后追蹤溯源變的尤為困難。IPv6網(wǎng)絡地址資源豐富，不需要部署NAT，每一個終端都可以分配到一個IP地址并和個人信息進行綁定。安全設備可以通過簡單的過濾策略對節(jié)點進行安全控制，進一步提高網(wǎng)絡安全性。在IPv4網(wǎng)絡中，黑客攻擊的第一步通常是對目標主機及網(wǎng)絡進行掃描并搜集數(shù)據(jù)，以此推斷出目標網(wǎng)絡的拓撲結構及主機開放的服務、端口等信息從而進行針對性地攻擊。在IPv6網(wǎng)絡中，每一個IPv6地址是128位，假設網(wǎng)絡前綴為64位，那么在一個子網(wǎng)中就會存在264

個地址，假設攻擊者以100萬每秒的速度掃描，需要50萬年才能遍歷所有的地址。這使得網(wǎng)絡偵察的難度和代價都大大增加，從而進一步防范了攻擊。（3）IPv6的默認IPSec安全加密機制IPv4協(xié)議設計時為考慮效率并沒有考慮安全機制，IPSec是獨立于IP協(xié)議族之外的，這使得目前互聯(lián)網(wǎng)上的大部分數(shù)據(jù)流都沒有加密和驗證，攻擊者很容易對報文進行竊取和修改。另外IPv4網(wǎng)絡中，NAT和IPSec二者協(xié)議上沖突性也給IPSec的部署帶來復雜度。IPv6協(xié)議中集成了IPSec，通過認證報頭（AH）和封裝安全載荷報頭（ESP）兩個擴展頭實現(xiàn)加密、驗證功能。其中AH協(xié)議實現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認證功能，而ESP在上述功能基礎上增加安全加密功能。IPv4協(xié)議中IPSec抗重放攻擊等安全功能在IPv6協(xié)議中同樣被繼承。集成了IPSec的IPv6協(xié)議真正實現(xiàn)了端到端的安全，中間轉發(fā)設備只需要對帶有IPSec擴展包頭的報文進行普通轉發(fā)，大大減輕轉發(fā)壓力。（4）鄰居發(fā)現(xiàn)協(xié)議（NDP）和SEND在IPv6協(xié)議中，采用NDP(neighbordiscoveryprotocol)協(xié)議取代現(xiàn)有IPv4中ARP及部分ICMP控制功能如路由器發(fā)現(xiàn)、重定向等。NDP協(xié)議通過在節(jié)點之間交換ICMPv6信息報文和差錯報文實現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動配置等功能；并且通過維護鄰居可達狀態(tài)來加強通信的健壯性。NDP協(xié)議獨立于傳輸介質，可以更方便地進行功能擴展；并且現(xiàn)有的IP層加密認證機制可以實現(xiàn)對NDP協(xié)議的保護。此外，下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)協(xié)議（SEND）通過獨立于IPSec的另一種加密方式（CGA），保證了傳輸?shù)陌踩?。?）真實源地址檢查體系真實源IPv6地址驗證體系結構（SAVA）分為接入網(wǎng)（AccessNetwork）、區(qū)域內（Intra-AS）和區(qū)域間（Inter-AS）源地址驗證三個層次，從主機IP地址、IP地址前綴和自治域三個粒度構成多重監(jiān)控防御體系，該體系不但可以有效阻止仿冒源地址類攻擊；而且能夠通過監(jiān)控流量來實現(xiàn)基于真實源地址的計費和網(wǎng)管。目前基于SAVA實現(xiàn)的系統(tǒng)在CNGI-CERNET2網(wǎng)絡上進行了實驗性部署、運行和測試，已經形成標準RFC。二、IPv6網(wǎng)絡中新的安全威脅雖然IPv6協(xié)議從設計之初就增加了安全方面的考慮，但是任何協(xié)議都不可能是完美的，網(wǎng)絡中同樣存在針對IPv6協(xié)議的攻擊。安全威脅主要分為三類。第一類針對IPv6協(xié)議特點進行的攻擊；第二類IPV6新的應用下帶來的安全風險；第三類針對IPv4向IPv6過渡過程中的翻譯和隧道技術的攻擊。1.根據(jù)協(xié)議特點進行的攻擊部署IPv6后，由于IP網(wǎng)絡傳輸?shù)谋举|沒有發(fā)生變化，所以IPv6同樣會面臨一些現(xiàn)有IPv4網(wǎng)絡下的攻擊如分片攻擊和地址欺騙攻擊等。同時會出現(xiàn)一些針對專門針對IPv6協(xié)議新內容的攻擊。（1）分片攻擊IPv4協(xié)議的分片攻擊主要有以下兩種：通過在首片中不包含傳輸層信息來逃避防火墻的安全防護策略；產生大量分片使得防火墻耗費大量資源實現(xiàn)重組，或者發(fā)送不完整的分片報文強迫防火墻長時間等待集合中的其他分片。IPv6環(huán)境下攻擊方法類似，可以通過嚴格限制同一片報文的分片數(shù)目，設置合理的分片緩沖超時時間等手段來預防此類攻擊。（2）NDP協(xié)議攻擊IPv6采用NDP協(xié)議替代IPv4中的ARP協(xié)議，二者雖然協(xié)議層次不同但實現(xiàn)原理基本一致，所以針對ARP的攻擊如ARP欺騙、ARP泛洪等在IPv6協(xié)議中仍然存在，同時IPv6新增的NS、NA也成為新的攻擊目標。NDP協(xié)議寄希望于通過IPSec來實現(xiàn)安全認證機制，但是協(xié)議并沒有給出部署指導，另一方面，SEND協(xié)議可以徹底解決NDP協(xié)議的安全問題，但是目前終端及設備還普遍不支持該協(xié)議。因此現(xiàn)階段對ND欺騙的防護可以參考現(xiàn)有ARP的防范手段，其基本思路就是通過NDdetection和DHCPSnooping得到主機IP、MAC和端口的綁定關系，根據(jù)綁定關系對非法ND報文進行過濾，配合RATrust和DHCPTrust對RA報文和DHCP報文進行限制。當然，通過配置端口的最大ND表項學習數(shù)量也可以避免ND泛洪攻擊。（3）擴展頭攻擊當前協(xié)議對IPv6擴展頭數(shù)量沒有做出限制，同一種類型的擴展頭也可以出現(xiàn)多次。攻擊者可以通過構造包含異常數(shù)量擴展頭的報文對防火墻進行DOS攻擊，防火墻在解析報文時耗費大量資源，從而影響轉發(fā)性能。這種攻擊可以通過限制擴展頭的數(shù)量和同一類型擴展頭實例的數(shù)目來避免。（4）IPv6DNS攻擊目前針對DNS的攻擊較多，如“網(wǎng)絡釣魚”，“DNS緩沖中毒”等，這些攻擊會控制DNS服務器，將合法網(wǎng)站DNS記錄中的IP地址進行篡改，從而實現(xiàn)DOS或釣魚攻擊。IPv6的SLACC協(xié)議支持任一節(jié)點都可以上報DNS域名和IP地址，本意是通過該協(xié)議提高DNS的更新速率，但是這樣帶來了冒用域名的風險。DNS安全擴展協(xié)議（DNSSecurityExtension）基于PKI公私鑰體系實現(xiàn)對DNS記錄的認證及完整性保護，除了可以預防上述攻擊外，對現(xiàn)存的DNS攻擊同樣有效。三、IPv6新的應用帶來的安全風險1.IPv6網(wǎng)絡不支持NAT，這就意味著任何一臺終端都會暴露在網(wǎng)絡中。雖然IPv6巨大的地址空間使得攻擊者的掃描變的困難，但是攻擊者仍然可以通過IPv6前綴信息搜集、隧道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息從而發(fā)起攻擊，對于這種攻擊需要制定完善的邊界防護策略。IPv6強制使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，在這種情況下，無法實現(xiàn)端到端的IPSec，需要安全設備作為IPSec網(wǎng)關。2.針對IPv6過渡過程中的翻譯及隧道技術的攻擊在IPv4向IPv6演進過程中，不同階段存在不同過渡技術，這些技術基本上分為三類：雙棧技術、隧道技術和翻譯技術。目前針對各種過渡技術無成熟應用經驗，從設備商到運營商整體對安全的考慮不足，所以很可能存在以下三種安全威脅。許多操作系統(tǒng)都支持雙棧，IPv6默認是激活的，但并沒有向IPv4一樣加強部署IPv6的安全策略。由于IPv6支持自動配置，即使在沒有部署IPv6的網(wǎng)絡中，這種雙棧主機也可能受到IPv6協(xié)議攻擊。幾乎所有的隧道機制都沒有內置認證、完整性和加密等安全功能，：攻擊者可以隨意截取隧道報文，通過偽造外層和內層地址偽裝成合法用戶向隧道中注入攻擊流量；像6to4和ISATAP隧道的IPv6地址是通過特殊前綴內嵌IPv4地址構成的，攻擊者還可以據(jù)此推測主機的IPv4地址進行掃描攻擊。協(xié)議轉換技術如NAT64\NAT-PT涉及載荷轉換，無法實現(xiàn)端到端IPSec，就會受到NAT設備常見的地址池耗盡等DDOS攻擊。針對上述威脅有以下幾種預防方法：主機或防火墻需要關閉不用的IPv6服務端口，必要時可以關閉IPv6協(xié)議棧；通過配置靜態(tài)隧道防止非授權隧道接入；使用反電子欺騙技術拒絕來自錯誤隧道的數(shù)據(jù)包；使用IPSec保護隧道流量防止嗅探；翻譯設備做好自身的DDOS攻擊防護。四結論從協(xié)議層面來看IPv6相比IPv4對互聯(lián)網(wǎng)安全有了更多的考慮，但是任何協(xié)議都不是完美的，新生事物總要經過一段磨合適應期?？梢灶A見在IPv6部署伊始，很可能會爆發(fā)各種各樣的安全問題。從用戶角度看需要提高對網(wǎng)絡安全的重視和網(wǎng)絡安全知識的普及。從運營商角度看，作為下一代互聯(lián)網(wǎng)的承建者，在建設之初就應該結合下一代互聯(lián)網(wǎng)的特點制定相應的安全措施，包括建立完善真實源地址檢查機制，同時做好網(wǎng)絡監(jiān)管，提供事后溯源。作為設備商需要緊密跟蹤網(wǎng)絡安全動態(tài)，提升設備本身的IPv6協(xié)議及防護的穩(wěn)定性及完善相應的安全防護功能。相信通過大家的共同努力，一定可以營造一個健康、安全的下一代互聯(lián)網(wǎng)環(huán)境。基礎知識一.什么是IPv6IPv6是英文“InternetProtocolVersion6”（互聯(lián)網(wǎng)協(xié)議第6版）的縮寫，是用于替代IPv4的下一代IP協(xié)議，也就是下一代互聯(lián)網(wǎng)的協(xié)議，其地址數(shù)量號稱可以為全世界的每一粒沙子編上一個地址。IPv6的使用，不僅能解決網(wǎng)絡地址資源數(shù)量的問題，而且也解決了多種接入設備連入互聯(lián)網(wǎng)的障礙。其128位地址格式將以其在IP地址數(shù)量、安全性、移動性、服務質量等方面的巨大優(yōu)勢，改變現(xiàn)代信息生活?；ヂ?lián)網(wǎng)數(shù)字分配機構（IANA）在2016年已向國際互聯(lián)網(wǎng)工程任務組（IETF）提出建議，要求新制定的國際互聯(lián)網(wǎng)標準只支持IPv6，不再兼容IPv4。二IPv6的優(yōu)勢明顯地擴大了IP地址空間明顯提高了網(wǎng)絡的整體吞吐量使得整個服務質量得到了很大改善安全性有了更好的保障支持即插即用和移動性三IPv6技術特性IPv6在解決了IPv4的地址匱乏問題的同時，還在許多方面實現(xiàn)了優(yōu)化改進，主要包括以下五點：第一，IPv6具有層次化的編址方式，地址分配遵循聚類（Aggregation）的原則，同時通過使用更小的路由表，使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長度，有利于骨干網(wǎng)路由器對數(shù)據(jù)包的快速轉發(fā)有效提高轉發(fā)速度。第二，IPv6增強了組播支持以及對流的控制能力，為多媒體應用和服務質量（QoS，QualityofService）控制提供了更好的網(wǎng)絡平臺。第三，IPv6同時定義了更靈活的地址配置機制：無狀態(tài)和有狀態(tài)地址自動配置機制。第四，IPv6簡化了數(shù)據(jù)包報頭，減少處理器開銷并節(jié)省網(wǎng)絡帶寬。這就使得路由器在處理IPv6報頭時更為高效。此外，IPv6使用新的頭部格式，其選項與基本頭部分開，如果新的技術或應用需要，可將選項插入到基本頭部與上層數(shù)據(jù)之間，這在簡化路由處理過程中保證了協(xié)議的可擴展性。第五，IPv6擁有基于海量地址空間下的即插即用優(yōu)勢，可更便捷地支持移動性，并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動性管理。IPv6威脅及隱患一、IPv4安全威脅延續(xù)1、報文監(jiān)聽IPv6中可使用IPSec對其網(wǎng)絡層的數(shù)據(jù)傳輸進行加密保護，但RFC6434中不再強制要求實施IPSec，因此在未啟用IPSec的情況下，對數(shù)據(jù)包進行監(jiān)聽依舊是可行的。2、應用層攻擊IPv4網(wǎng)絡中應用層可實施的攻擊在IPv6網(wǎng)絡下依然可行，比如SQL注入、緩沖溢出等，IPS、反病毒、URL過濾等應用層的防御不受網(wǎng)絡層協(xié)議變化的影響。3、中間人攻擊啟用IPSec對數(shù)據(jù)進行認證與加密操作前需要建立SA，通常情況下動態(tài)SA的建立通過密鑰交換協(xié)議IKE、IKEv2實現(xiàn)，由DH(Diffie-Hellman)算法對IKE密鑰載荷交換進行安全保障[1]，然而DH密鑰交換并未對通信雙方的身份進行驗證，因此可能遭受中間人攻擊。4、泛洪攻擊在IPv4與IPv6中，向目標主機發(fā)送大量網(wǎng)絡流量依舊是有效的攻擊方式，泛洪攻擊可能會造成嚴重的資源消耗或導致目標崩潰。5、分片攻擊在IPv6中，中間節(jié)點不可以對分段數(shù)據(jù)包進行處理，只有端系統(tǒng)可以對IP數(shù)據(jù)包進行分分段與重組，因此攻擊者可能借助該性質構造惡意數(shù)據(jù)包。6、路由攻擊在IPv6下，由于部分路由協(xié)議并未發(fā)生變化，因此路由攻擊依舊可行。7、地址欺騙IPv6使用NDP協(xié)議替代了IPv4中的ARP協(xié)議，但由于實現(xiàn)原理基本一致，因此針對ARP協(xié)議的ARP欺騙、ARP泛洪等類似攻擊方式在IPv6中依舊可行。IPv6引入的安全隱患二、IPv6擴展首部威脅1、逐跳選項報頭安全威脅：可利用逐跳選項報頭發(fā)送大量包含路由提示選項的IPv6數(shù)據(jù)包，包含有路由提示選項的數(shù)據(jù)包要求所有路由器對該數(shù)據(jù)包進行處理并仔細查看該數(shù)據(jù)包的報頭信息，當攻擊者發(fā)送大量此類IPv6數(shù)據(jù)包時，將消耗鏈路上路由器大量資源，嚴重可造成DoS攻擊。應對方式：應當限制路由器對包含路由提示選項的數(shù)據(jù)包的處理數(shù)量。2、目的選項報頭安全威脅：移動IPv6協(xié)議的數(shù)據(jù)通信以明文進行傳輸，因此其本身便是不安全的，攻擊者可對MIPv6數(shù)據(jù)包進行嗅探進而識別其通信節(jié)點、轉交地址、家鄉(xiāng)地址、家鄉(xiāng)代理等信息，并利用這些信息偽造數(shù)據(jù)包。攻擊者可通過攔截類型為消息綁定更新的數(shù)據(jù)包，修改綁定關系中的轉交地址。此外，移動節(jié)點標識符選項揭示了用戶的家鄉(xiāng)從屬關系，攻擊者可利用該選項確定用戶身份，鎖定特定的攻擊對象。應對方式：可嘗試開啟IPSec保證數(shù)據(jù)包不會被竊聽。3、路由報頭安全威脅：在RH0路由類型(即type0)下，攻擊者可利用路由報頭選項偽裝成合法用戶接收返回的數(shù)據(jù)包。同時，RH0提供了一種流量放大機制，攻擊者可利用該類型進行拒絕服務攻擊。應對方式：應當盡快更新安全設備并升級至最新的IPv6協(xié)議版本，同時對所有的RH0數(shù)據(jù)包進行丟棄。4、分段報頭安全威脅：如若將關鍵的報頭信息切分在多個片段中，安全防護設備對關鍵信息進行提取與檢測處理會耗費大量資源，構造大量該類數(shù)據(jù)包可能對目標主機造成DoS攻擊。攻擊者可向節(jié)點發(fā)送大量不完整的分段集合，強迫節(jié)點等待片段集合的最后片段，節(jié)點在超時時間內由于只接收到部分IPv6片段進而無法完成重組，最終只能將數(shù)據(jù)包丟棄，在超時等待期間，會造成存儲資源的消耗。應對方式：防火墻應該丟棄除最后分段外所有小于1280字節(jié)的所有分段。CiscoASA防火墻的FragGuard功能可以將所有的分片組裝并進行整個數(shù)據(jù)包檢查用以確定是否存在丟失的分段或重疊分段。三、協(xié)議威脅1、ICMPv6協(xié)議安全威脅：可通過向組播地址FF02::1發(fā)送EchoRequest報文，通過接收EchoReply報文實現(xiàn)本地鏈路掃描，或以目標節(jié)點作為源地址向組播地址FF02::1發(fā)送ICMPv6EchoRequest消息實現(xiàn)Smurf攻擊?？赏ㄟ^向目標節(jié)點發(fā)送ICMPv6Packettoobig報文，減小接收節(jié)點的MTU，降低傳輸速率?？赏ㄟ^向目標節(jié)點發(fā)送過多的ICMPv6包以及發(fā)送錯誤消息，導致會話被丟棄，從而破壞已建立的通信，實現(xiàn)DoS攻擊?？赏ㄟ^向主機發(fā)送格式不正確的消息刺激主機對ICMPv6的響應，從而通發(fā)現(xiàn)潛在的攻擊目標。應對方式：可在交換機的每個物理端口設置流量限制，將超出流量限制的數(shù)據(jù)包丟棄。或在防火墻或邊界路由器上啟動ICMPv6數(shù)據(jù)包過濾機制，也可配置路由器拒絕轉發(fā)帶有組播地址的ICMPv6EchoRequest報文。可嘗試關閉PMTU發(fā)現(xiàn)機制，但其會影響到網(wǎng)絡數(shù)據(jù)的傳輸速率。2、鄰居發(fā)現(xiàn)協(xié)議(NDP)安全威脅中間人攻擊：由于NDP協(xié)議基于可信網(wǎng)絡因此并不具備認證功能，因此可通過偽造ICMPv6NA/RA報文實現(xiàn)中間人攻擊。攻擊者可以偽造NA報文，將自己的鏈路層地址并啟用覆蓋標志(O)作為鏈路上其他主機的地址進行廣播。攻擊者可偽造RA報文發(fā)送至目標節(jié)點修改其默認網(wǎng)關。重復地址檢測攻擊：當目標節(jié)點向FF02::16所有節(jié)點發(fā)送NS數(shù)據(jù)包進行重復地址檢測時，攻擊者可向該節(jié)點發(fā)送NA報文進行響應，并表明該地址已被自己使用。當節(jié)點接收到該地址已被占用消息后重新生成新的IPv6地址并再一次進行重復地址檢測時，攻擊者可繼續(xù)進行NA響應實現(xiàn)DoS攻擊。泛洪攻擊：攻擊者可偽造不同網(wǎng)絡前綴RA消息對FF02::1進行泛洪攻擊，接收節(jié)點將會根據(jù)不同的網(wǎng)絡前綴進行更新，從而消耗大量的CPU資源。應對方式安全鄰居發(fā)現(xiàn)(SEND)協(xié)議是鄰居發(fā)現(xiàn)協(xié)議中的一個安全擴展，其工作原理為使網(wǎng)絡中每個IPv6節(jié)點都有一對公私鑰以及多個鄰居擴展選項。采用SEND協(xié)議后，各個節(jié)點的接口標識符(IPv6地址低64比特)將基于當前的IPv6網(wǎng)絡前綴與公鑰進行計算產生，而不能由各個節(jié)點自行選擇。安全鄰居發(fā)現(xiàn)協(xié)議通過時間戳和Nonce選項抵御重放攻擊，并引入了CGA(密碼生成地址)與RSA簽名對數(shù)據(jù)源進行驗證以解決鄰居請求/鄰居通告欺騙的問題。SEND雖然可以解決一定的安全問題，但目前系統(tǒng)與設備對SEND的支持十分有限。RFC7113提出了IPv6安全RA方案RA-Guard，其通過阻斷非信任端口RA報文轉發(fā)來避免惡意RA可能帶來的威脅，在攻擊包實際到達目標節(jié)點之前阻塞二層設備上的攻擊數(shù)據(jù)包。使用訪問控制列表或空路由過濾對地址空間中未分配的部分的訪問，用以防止攻擊者迫使路由解析未使用的地址。3、DHCPv6安全威脅地址池耗盡攻擊攻擊者可以偽裝為大量的DHCPv6客戶端，向DHCPv6服務器請求大量的IPv6地址，耗光IPv6地址池。拒絕服務攻擊攻擊者可向DHCPv6服務器發(fā)送大量的SOLICIT消息，強制服務器在一定時間內維持一個狀態(tài)，致使服務器CPU與文件系統(tǒng)產生巨大負擔，直至無法正常工作。偽造DHCPv6服務器攻擊者可偽造成DHCPv6服務器向目標客戶端發(fā)送偽造的ADVERTISE與REPLY報文，在偽造報文中攜帶虛假的默認網(wǎng)關、DNS服務器等信息，以此實現(xiàn)重定向攻擊。應對方式對客戶端所有發(fā)送到FF02::1:2(所有DHCPv6中繼代理與服務器)和FF05::1:3(所有DHCPv6服務器)的消息數(shù)量進行速率限制。DHCPv6中內置了認證機制，認證機制中的RKAP協(xié)議[9]可以對偽造DHCPv6服務器的攻擊行為提供防范。四、IPv6對安全硬件的影響1、防火墻IPv6報頭的影響針對IPv6報文，防火墻必須對IPv6基本報頭與所有的擴展首部進行解析，才能獲取傳輸層與應用層的信息，從而確定當前數(shù)據(jù)報是否應該被允許通過或是被丟棄。由于過濾策略相比IPv4更加復雜，在一定程度上將加劇防火墻的負擔，影響防火墻的性能。IPSec的影響如若在IPv6數(shù)據(jù)包中啟用加密選項，負載數(shù)據(jù)將進行加密處理，由于包過濾型防火墻無法對負載數(shù)據(jù)進行解密，無法獲取TCP與UDP端口號，因此包過濾型防火墻無法判斷是否可以將當前數(shù)據(jù)包放行。由于地址轉換技術（NAT）和IPSec在功能上不匹配，因此很難穿越地址轉換型防火墻利用IPSec進行通信。2、IDS&IPS面對IPv6數(shù)據(jù)包，倘若啟用了加密選項，IDS與IPS則無法對加密數(shù)據(jù)進行提取與分析，無法通過報文分析獲取TCP、UDP信息，進而無法對網(wǎng)絡層進行全面的安全防護。即便只允許流量啟用AH認證報頭，但認證報頭內部具有可變長度字段ICV，因此檢測引擎并不能準確地定位開始內容檢查的位置。五、過渡技術的安全性1、雙棧技術倘若雙棧主機不具備IPv6網(wǎng)絡下的安全防護，而攻擊者與雙棧主機存在鄰接關系時，則可以通過包含IPv6前綴的路由通告應答的方式激活雙棧主機的IPv6地址的初始化，進而實施攻擊。2、隧道技術隧道注入：攻擊者可通過偽造外部IPv4與內部IPv6地址偽裝成合法用戶向隧道中注入流量。隧道嗅探：位于隧道IPv4路徑上的攻擊者可以嗅探IPv6隧道數(shù)據(jù)包，并讀取數(shù)據(jù)包內容。3、翻譯技術利用翻譯技術實現(xiàn)IPv4-IPv6網(wǎng)絡互聯(lián)互通時，需要對報文的IP層及傳輸層的相關信息進行改動，因此可能會對端到端的安全產生影響，導致IPSec的三層安全隧道在翻譯設備處出現(xiàn)斷點。（以上研究來源于狴犴安全團隊）IPv6的影響從地址配置角度看：IETF已經意識到IPV6地址的確存在泄露設備和用戶隱私的風險，隨后推出了一系列隱私保護方案，從技術和標準的角度規(guī)避了上述隱私泄露的風險。然而，考慮到上述隱私保護協(xié)議在2017年剛剛完成，不排除有些設備仍然采用了較低的配置方式，那么這種風險的確是存在的，因而在實施層面，也的確會因為隱私保護協(xié)議的缺失帶來隱私泄漏的風險。從應用角度看：IPv6巨大的地址空間和自動化的地址配置方式為以物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等海量設備實時在線、端到端互聯(lián)的應用場景提供了良好的支撐，同時便于溯源管理。當然，IPv6的靈活配置和永遠在線特點也存在應用層面的安全風險。從全球層面看：IPv6的部署和應用已經進入加速發(fā)展的階段。目前，已有超過100個國家和地區(qū)部署了IPv6網(wǎng)絡，有317個網(wǎng)絡運營商提供基于IPv6的接入服務。截至2018年7月，全球IPv6用戶總數(shù)超過5.59億，顯然IPv6已經成為下一階段互聯(lián)網(wǎng)發(fā)展的全球共識。從網(wǎng)絡空間格局的力量博弈看：第一，發(fā)達國家在這一場新的競賽中并未懈怠，特別是美國作為互聯(lián)網(wǎng)的起源地，仍然是IPv6部署和應用的領頭羊。第二，發(fā)展中國家和不發(fā)達國家可以把握機遇，提升本國的互聯(lián)網(wǎng)基礎設施建設。特別是對那些尚未獲得IPv4地址資源的發(fā)展中國家和不發(fā)達國家而言，更充足的地址資源可以為提高互聯(lián)網(wǎng)接入和普及率，發(fā)展互聯(lián)網(wǎng)產業(yè)及推動數(shù)字經濟的可持續(xù)發(fā)展提供必要的保障。第三，主要大國在IPv6相關領域和全球市場的競爭博弈將更趨激烈。專家解讀對于《IPv6網(wǎng)絡安全白皮書》，中國信通院副院長王志勤從深化IPv6安全風險認識、梳理IPv6安全工作現(xiàn)狀、分析IPv6安全客觀挑戰(zhàn)、提出IPv6安全發(fā)展建議等方面對白皮書的四大亮點進行了分析解讀。1、隨著我國下一代互聯(lián)網(wǎng)建設的穩(wěn)步推進，IPv6網(wǎng)絡和業(yè)務環(huán)境逐步成熟，針對IPv6網(wǎng)絡和業(yè)務系統(tǒng)的攻擊，以及攻擊源為IPv6地址的網(wǎng)絡攻擊等相關攻擊事件逐漸出現(xiàn)，IPv6網(wǎng)絡安全漏洞也開始浮出水面。IPv6安全風險開始顯現(xiàn)，對下一代互聯(lián)網(wǎng)演進提出同步安全保障要求。2、目前我國下一代互聯(lián)網(wǎng)建設安全保障協(xié)同工作局面已經打開。一是政府部門貫徹落實國家戰(zhàn)略計劃，加強IPv6安全工作部署；二是產、學、研、用高度協(xié)作，加快IPv6安全科研布局，強化IPv6安全技術儲備；三是推動IPv6安全實踐，深化IPv6安全技術指導創(chuàng)新。3、在我國下一代互聯(lián)網(wǎng)建設進程中，安全客觀挑戰(zhàn)依然嚴峻。一是IPv4/IPv6長期并存，過渡機制持續(xù)疊加安全風險；二是IPv6協(xié)議新特性挑戰(zhàn)既有安全手段，融合場景安全風險持續(xù)放大；三是IPv6網(wǎng)絡安全保障能力和需求存在差距，供求“剪刀差”亟需彌合。4、IPv6安全挑戰(zhàn)和機遇并存的局面已經形成，應高度重視下一代互聯(lián)網(wǎng)演進升級中面臨的安全挑戰(zhàn)，協(xié)同推進IPv6安全產品和服務的研發(fā)應用，為筑牢下一代互聯(lián)網(wǎng)安全防線提供能力保障，加快夯實下一代互聯(lián)網(wǎng)安全防御基礎，切實保障下一代互聯(lián)網(wǎng)安全、有序發(fā)展。來源：中國信通院專家觀點一、IPv6是海量地址提供溯源手段北京大學互聯(lián)網(wǎng)發(fā)展研究中心主任田麗：網(wǎng)絡安全和信息安全問題在互聯(lián)網(wǎng)時代更加凸顯，大數(shù)據(jù)收集和人工智能分析的泛濫，給個人信息保護帶來不小的挑戰(zhàn)。特別是在“IPv4網(wǎng)+”上，現(xiàn)有技術無法檢查傳輸中的任何一個數(shù)據(jù)的源地址，很多網(wǎng)絡安全隱患由此產生。中國工程院院士鄔賀銓：由于IPv4地址的不足，導致私有地址大量使用，NAT（地址翻譯）破壞了端對端的透明性，給網(wǎng)絡安全事件溯源帶來了困難，假冒地址橫行，網(wǎng)絡攻擊等安全事件泛濫。IPv6海量的地址為固定分配地址和建立上網(wǎng)實名制奠定了基礎，在IPv6地址中通過算法嵌入可擴展的用戶網(wǎng)絡身份標識信息，與真實用戶的身份關聯(lián)，可構建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng)，實現(xiàn)了與自治域相關聯(lián)的IP地址前綴級粒度的真實源地址驗證。IPv6充足的地址空間可嚴格按照區(qū)域和業(yè)務類型甚至用戶類型進行地址分配，可以實現(xiàn)對特定IP地址溯源、按業(yè)務類型精細服務，或對特定服務類型進行區(qū)域管理、精細化監(jiān)控與安全偵測及防護等，這種基于IP地址對網(wǎng)絡流量的控制與安全管理效率高、成本低。二、升級仍面臨安全挑戰(zhàn)中國大數(shù)據(jù)技術與應用聯(lián)盟副理事長王安平：互聯(lián)網(wǎng)升級IPv6是一項專業(yè)性強、涉及面廣、情況復雜的系統(tǒng)工程，國家有關部門強力推進，但由于目前市場上各企業(yè)技術實力參差不齊，導致一些國家部委機關、央企、省級政府、媒體以及互聯(lián)網(wǎng)企業(yè)在網(wǎng)站、云服務平臺、數(shù)據(jù)中心升級IPv6過程中，網(wǎng)站、云服務平臺、數(shù)據(jù)中心出現(xiàn)天窗、亂碼、宕機、癱瘓和停服等現(xiàn)象。工業(yè)和信息化部黨組成員、總工程師張峰：未來還需要著力突破網(wǎng)絡端到端貫通、網(wǎng)絡與應用協(xié)同推進等關鍵環(huán)節(jié)。要強化安全保障，實施IPv6網(wǎng)絡安全提升計劃，加強IPv6網(wǎng)絡安全能力建設，嚴格落實IPv6網(wǎng)絡地址編碼規(guī)劃方案。另外還要完善監(jiān)測體系，組織建設IPv6發(fā)展監(jiān)測平臺，加強對網(wǎng)絡、應用、終端、用戶、流量等關鍵發(fā)展指標的實時監(jiān)測與分析。中國工程院院士鄔賀銓：IPv4overIPv6或IPv6overIPv4的隧道機制對任何來源的數(shù)據(jù)包只進行簡單的封裝和解封，沒有內置認證、完整性和加密等安全功能，并不對IPv4和IPv6地址的關系做嚴格的檢查，攻擊者可以隨意截取隧道報文，通過偽造外層和內層地址偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設。以上內容來源：中國科學報現(xiàn)狀及前景全球IPv6地址規(guī)模情況2019上半年全球IPv6地址分配數(shù)量為17865*/32，2019上半年獲得IPv6地址分配數(shù)量列前三位的國家/地區(qū)，分別為中國6217*/32，俄羅斯1271*/32，德國1192*/32。截至2019年6月底，全球IPv6地址申請(/32以上)總計35168個，分配地址總數(shù)為282222*/32，地址數(shù)總計獲得4096*/32(即/20)以上的國家/地區(qū)。2019年上半年全球IPv6地址分配數(shù)量(個)資料來源：中國IPv6發(fā)展狀況白皮書、智研咨詢整理中國IPv6地址規(guī)模情況當前我國IPv6地址申請量保持較快增長，截至2019年5月，我國IPv6地址資源總量達到47282塊(/32)，居全球第一位。IPv6地址數(shù)量能夠滿足當前IPv6規(guī)模部署的要求，但是隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)快速發(fā)展，我國未來對于IPv6地址的需求量依然較大。2013-2019年5月中國IPv6地址數(shù)量資料來源：中國IPv6發(fā)展狀況白皮書、智研咨詢整理隨著5G產業(yè)化進程的加快，工業(yè)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，垂直行業(yè)和基礎電信企業(yè)紛紛加大了地址儲備。2018年8月，中國石油為推動企業(yè)工業(yè)互聯(lián)網(wǎng)發(fā)展，申請/20的IPv6地址；2018年12月，中國電信分別申請了/19、/20兩段IPv6地址，為5G商用化儲備地址；2019年1月和2月，教育網(wǎng)分別申請了/20和/21兩段IPv6地址，以滿足日益增長的地址需求。我國IPv6規(guī)模部署推進工作成效初顯，IPv6活躍用戶數(shù)實現(xiàn)快速增長。截至2019年5月底，我國已分配IPv6地址用戶數(shù)達12.07億，其中LTE網(wǎng)絡已分配IPv6地址用戶數(shù)為10.45億，固定寬帶接入網(wǎng)絡已分配IPv6地址的用戶數(shù)為1.62億。“隨著LTE網(wǎng)絡端到端改造進程的加速，呈現(xiàn)出移動網(wǎng)絡IPv6用戶數(shù)發(fā)展速度大幅領先固定網(wǎng)絡的趨勢”。2018-2019年5月我國LTE網(wǎng)絡已分配IPv6地址用戶數(shù)資料來源：中國IPv6發(fā)展狀況白皮書、智研咨詢整理截至2019年5月，三大基礎電信企業(yè)固定寬帶接入網(wǎng)絡已分配IPv6地址用戶數(shù)達1.62億。2018-2019年5月固定寬帶接入網(wǎng)絡已分配IPv6地址用戶數(shù)資料來源：中國IPv6發(fā)展狀況白皮書、智研咨詢整理截至2019年5月，LTE核心網(wǎng)總流量達508.87Gbps，骨干直聯(lián)點總流量達75.74Gbps，國際出入口流入總流量達65.30Gbps，流出總流量達15.15Gbps。截至2019年6月，國內用戶量排名前50的商業(yè)網(wǎng)站及移動應用可通過IPv6訪問的已達40家，占比為80%。由于改造周期較長、牽涉環(huán)節(jié)較多，網(wǎng)絡、應用、終端的協(xié)同發(fā)展機制有待進一步優(yōu)化，網(wǎng)站及應用改造的廣度和深度有待提升。未來我國IPv6地址將往以下幾個方向發(fā)展：一是突破關鍵核心技術。持續(xù)開展支持IPv6的芯片、操作系統(tǒng)、終端及網(wǎng)絡設備、安全系統(tǒng)的技術攻關和產業(yè)化，加快前沿基礎技術創(chuàng)新，進一步增強自主創(chuàng)新能力。二是提升網(wǎng)絡服務能力。支持基礎電信企業(yè)持續(xù)優(yōu)化提升IPv6網(wǎng)絡質量和服務能力，推動數(shù)據(jù)中心、內容分發(fā)網(wǎng)絡、云服務平臺加快IPv6改造升級，完善專線產品開通流程。三是促進應用改造升級。督促基礎電信企業(yè)做好門戶網(wǎng)站、自營App深度改造，推動各主要應用商店開展IPv6支持度檢測與標識工作，積極開展基于IPv6的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡和應用改造試點示范等。四是強化網(wǎng)絡應用協(xié)同。推動基礎電信企業(yè)盡快建立完善IPv6業(yè)務受理、開通和管理流程，通過建立問題清單、任務臺賬等方式加強網(wǎng)絡與應用改造協(xié)同對接。五是加強網(wǎng)絡安全保障。督促企業(yè)完善網(wǎng)絡安全管理制度體系，支持相關企業(yè)和機構開展工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等領域IPv6網(wǎng)絡安全威脅防范和應對研究。六是營造良好發(fā)展環(huán)境。強化IPv6地址備案系統(tǒng)的建設和備案核查、管理，支持IPv6在5G、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領域融合應用，加快建設IPv6監(jiān)測平臺，努力為IPv6建設和應用創(chuàng)造良好的環(huán)境。我國行動計劃2017年11月26日，中辦、國辦印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，提出國內要在5~10年的時間形成下一代互聯(lián)網(wǎng)自主技術體系和產業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應用網(wǎng)絡；到2025年末，我國IPv6網(wǎng)絡規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位，網(wǎng)絡、應用、終端全面支持IPv6，全面完成向下一代互聯(lián)網(wǎng)的平滑演進升級，形成全球領先的下一代互聯(lián)網(wǎng)技術產業(yè)體系。全球發(fā)展趨勢國外權威機構統(tǒng)計數(shù)據(jù)顯示，近年來IPv6部署在全球推進迅速，主要發(fā)達國家IPv6部署率持續(xù)穩(wěn)步提升，部分發(fā)展中國家推進迅速，比利時、美國等國家IPv6部署率已超過50%，Google全球IPv6用戶訪問占比已達25%，Google、Facebook等全球排名靠前的網(wǎng)站已經全面支持IPv6。一、IPv6建設進程加速1.IPv6用戶數(shù)規(guī)模龐大，活躍用戶數(shù)顯著增加2019年4月30日APNIC統(tǒng)計數(shù)據(jù)顯示，全球3483790681(34.8億)互聯(lián)網(wǎng)用戶中IPv6用戶占比為15.97%，迄今全球IPv6用戶數(shù)量約為556207093(5.56億)。截至2019年4月，通過IPv6訪問Google網(wǎng)站的用戶比例已上升至25%左右，相較于2018年初的20%，提高了5個百分點。2.IPv6網(wǎng)絡流量經歷快速增長，近期流量平穩(wěn)基于荷蘭阿姆斯特丹AMS-IX的數(shù)據(jù)顯示，自2018年7月以來，IPv6網(wǎng)絡流量增長迅速，平均流量從2018年7月的大約70Gbps增長到2019年4月的138Gbps。3.IPv6地址申請量逐年攀升，各國對IPv6的關注度逐漸加強據(jù)APNIC數(shù)據(jù)顯示，截至2019年5月1日，全球IPv6地址申請總量已達557268塊(/32)，去年同期全球IPv6地址申請總量為464525塊(/32)，增長了約20個百分點。目前我國IPv6地址申請量保持較快增長，IPv6地址資源總量達到47263塊(/32)，位列全球第一。4.運營商積極推進網(wǎng)絡基礎設施IPv6改造，移動網(wǎng)絡IPv6部署遙遙領先從整體來看，IPv6的部署率呈不斷上升態(tài)勢，移動運營商在VoLTE部署時均設置了IPv6優(yōu)先，不僅使網(wǎng)絡IPv6的部署率大大提升，由此帶來的龐大的IPv6用戶規(guī)模和完善的IPv6網(wǎng)絡，亦為IPv6流量快速上升奠定了堅實的基礎。5.網(wǎng)站應用支持率趨于平穩(wěn)，IPv6內容建設逐漸成為推進焦點截至2019年4月，據(jù)WorldIPv6Launch提供的數(shù)據(jù)顯示，年內Alexa排名Top1000的網(wǎng)站中IPv6的支持率已穩(wěn)定在25%左右。Google、YouTube、Facebook全球排名前三甲的網(wǎng)站已全面支持IPv6。部署率排名靠前的日本，Alexa排名日本國內Top50的網(wǎng)站中也僅有5個支持IPv6，IPv6內容建設逐漸成為IPv6規(guī)模部署持續(xù)推進的重點工作。二、各國推進部署IPv6的先進經驗1.主要發(fā)達國家IPv6部署依然高位平穩(wěn)推進，部分發(fā)展中國家發(fā)展勢頭迅猛，推進模式各有千秋。2.由目前IPv6部署率排名靠前的國家經驗來看，政府積極倡導、專家工作組有力支撐和運營商大力推進是IPv6得以快速部署的前提條件。3.IPv6部署率經過快速提升后，IPv6內容應用改造成為各國IPv6推進焦點。隨著信息通信技術的加速推進和廣泛應用，入網(wǎng)設備特別是受限設備數(shù)量將會急劇增加，IPv6的推進已是大勢所趨，其對網(wǎng)絡安全治理也將帶來深遠的影響。從地址配置角度看，IPv6已經解決了設備和用戶隱私泄露的風險；從應用角度看，IPv6為以物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等海量設備實時在線、端到端互聯(lián)的應用場景具有良好的支撐，同時便于溯源管理；從全球層面看，IPv6的應用及部署還將對網(wǎng)絡空間格局的力量博弈帶來深遠的影響，大國在相關領域和市場的競爭博弈將更趨激烈。2017年11月，中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，并發(fā)出通知要求各地區(qū)各部門結合實際認真貫徹落實。隨著該行動計劃的逐步推進，有關IPv6安全部署的文章和評論不斷出現(xiàn)。有觀點認為，IPv6會在有助于實現(xiàn)終端設備溯源的同時在一定程度上侵犯到個人隱私會；也有觀點認為，IPv6將會終結美國的互聯(lián)網(wǎng)霸權，提升中國在全球互聯(lián)網(wǎng)治理中的地位。本文試圖以IPv6發(fā)展過程以及IPv6地址配置為入口，分析IPv6部署帶來的安全風險以及對網(wǎng)絡安全治理的影響。一、IP地址與IPv6的緣起如果將網(wǎng)絡空間比喻為人體的話，互聯(lián)網(wǎng)的物理設施層可以看作是“骨骼”，是互聯(lián)網(wǎng)的有形部分；包含協(xié)議和標準在內的邏輯層卻類似于布滿神經元的神經系統(tǒng)——這些計算機代碼為物理層的所有功能提供運行的動力，并確保信息能夠準確傳播。如同人類的神經系統(tǒng)，邏輯層是一個略顯神秘的人工制品，與網(wǎng)絡空間的其他部分完全不同。Klimburg認為，基于內在邏輯的軟件代碼界定了我們對網(wǎng)絡空間相關的所有事情的體驗和認知。斯坦福互聯(lián)網(wǎng)與社會研究中心的創(chuàng)始人勞倫斯·萊斯格（LawrenceLessig）曾說過一句名言——“代碼就是法律。”無論是有意創(chuàng)造還是無意為之，計算機代碼幫助界定的不僅是我們的行為，還有我們對網(wǎng)絡空間的期待和想象：什么是現(xiàn)實的，什么不是現(xiàn)實的，事情是如何被完成的以及事情應該如何被處理。[1]從這個意義上說，技術標準和協(xié)議對互聯(lián)網(wǎng)的發(fā)展有決定性影響。全球網(wǎng)絡空間的一致、正常運作依賴于統(tǒng)一的基礎性協(xié)議與標準。其中，IP和域名系統(tǒng)（DomainNameSystem，DNS）是兩個最重要的標準，它們構成了網(wǎng)絡空間海量資源命名和尋址的基礎。DNS是互聯(lián)網(wǎng)資源命名協(xié)議，解決了網(wǎng)絡空間海量資源的可擴展管理，DNS將人類可讀的名字映射為機器可讀的IP地址，進而支持數(shù)據(jù)包的逐跳轉發(fā)。IP協(xié)議確保IP數(shù)據(jù)包到達其指定位置，通過包交換實現(xiàn)數(shù)據(jù)的確定性傳輸。在這個過程中，IP地址是標識一臺連接到互聯(lián)網(wǎng)上（個人計算機、服務器、智能手機或者可以聯(lián)網(wǎng)的冰箱）設備的物理地址的一串數(shù)值，是隱藏在瀏覽器上域名地址背后的、能夠被計算機讀取的一串數(shù)值。20世紀80年代，43億數(shù)量的IP地址（指的是第四版互聯(lián)網(wǎng)協(xié)議IPv4）被認為足夠可以應付可預見的未來。IPv4地址以四組十進制數(shù)字表示，中間用頓號隔開，數(shù)字范圍從0到255（例如）。從理論上講，連接到網(wǎng)絡上的每一臺設備都有自己的IP地址，如果沒有IP地址，它就無法接入互聯(lián)網(wǎng)。然而，近年來對IP地址爆炸性的需求以及IPv4初始分配使用的不合理致使IPv4能夠提供的地址數(shù)量遠無法應對當前及未來需求。作為互聯(lián)網(wǎng)協(xié)議和標準制定的主要機構，互聯(lián)網(wǎng)工程任務組（InternetEngineeringTaskForce，IEF）在1989年就開始注意到IPv4地址數(shù)量的有限性問題。因此，從1990年開始，IETF就開始規(guī)劃設計IPv4的下一代協(xié)議，除要解決IP地址短缺問題外，旨在擴展更多地址承載的功能。1994年，IETF正式提議IPv6發(fā)展計劃，最終，IPv6在1998年底被IETF通過RFC2460正式發(fā)布。二、IPv6技術特性與隱私保護與IPv4地址格式不同，IPv6地址以8組四位十六進制數(shù)值表示，由128比特位構成，單從數(shù)量級上來說，理論上IPv6可提供約340萬億（2128）個地址。這不但解決了當前網(wǎng)絡地址資源數(shù)量的問題，同時也為未來萬物互聯(lián)發(fā)展提供了基礎。IPv6在解決了IPv4的地址匱乏問題的同時，還在許多方面提出了改進，主要包括：第一，IPv6具有層次化的編址方式，有利于骨干網(wǎng)路由器對數(shù)據(jù)包的快速轉發(fā)；第二，IPv6增強了組播支持以及對流的控制能力，為不同服務質量要求的多媒體應用控制提供了更好的網(wǎng)絡平臺；第三，IPv6同時定義了更靈活的地址配置機制；第四，IPv6簡化了數(shù)據(jù)包報頭，減少處理器開銷并節(jié)省網(wǎng)絡帶寬，使得路由器在處理IPv6報頭時更為高效；第五，IPv6基于海量地址空間及即插即用優(yōu)勢，可更便捷地支持移動性，并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動性管理?；谏鲜鎏匦裕琁Pv6實現(xiàn)了功能優(yōu)化，其功能擴展頭機制對網(wǎng)絡創(chuàng)新和功能擴展留下了更大的空間。IPv6引入兩種主要的地址配置機制：一是基于動態(tài)主機配置協(xié)議（HostConfigurationProtocolforIPv6，DHCPv6）的有狀態(tài)地址配置，在該機制下，地址由該管理域內的DHCPv6服務器集中管理，不同管理域的DHCPv6服務器可以應用不同的地址分配策略（如連續(xù)地址和隨機地址等），用以規(guī)避隱私泄露的風險；二是基于地址自動配置的無狀態(tài)地址自動配置機制（Statelessaddressautoconfiguration，SLAAC），在該機制下，設備在所連接子網(wǎng)內共享64比特的網(wǎng)絡前綴，并基于一定的規(guī)則自動生成各自的后64比特主機標識符，從而組合成為唯一的IPv6地址。SLAAC機制下，設備通常使用其48比特的物理地址（MAC地址）生成IPv6地址后64比特的主機標識符，即EUI-64模式，但該機制存在一定安全和隱私風險：第一，設備在任何網(wǎng)絡中配置IPv6地址時將使用相同的主機標識符，惡意攻擊者可以通過從不同網(wǎng)絡的流量中進行地址的主機標識符對比輕易歸類設備，并進一步分析其潛在行為。此外，還可以通過同一設備的網(wǎng)絡前綴分析該設備的移動軌跡。第二，設備的物理地址（MAC地址）包含了設備制造商信息，這意味著從地址便有可能分析得知設