中国工程院院士邬贺铨:IPv6与网络安全
日期:2018年07月11日 来源:《中国信息安全》杂志
2017年11月26日,中共中央办公厅、国务院办公厅联合印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,指出IPv6是互联网演进升级的必然趋势、技术产业创新的重大契机和网络安全能力强化的迫切需要,提出了全面部署IPv6的目标和时间表及行动方案。本文着重讨论IPv6给网络安全带来的机遇与挑战。
一、IPsec不会成为推广IPv6的障碍
在IPv6的早期标准中要求使用IPsec协议对网络层IP包中用户信息进行加密,本意是保证用户通信隐私,但不良信息也可借IPsec而隐藏,给对非法内容的监管带来麻烦,因此IPsec成为发展IPv6的心病。
事实上IPsec不是为IPv6而专设的,在IETF标准中IPsec协议版本早于IPv6首个标准而发布,IPsec也适用于IPv4。而且其他加密手段的使用已经淡化了IPsec的影响,广泛使用的VPN就是加密的通道,在网络层之上的TLS/SSL也是加密协议,https相对http就是加密的网页,这些在IPv4环境下已经存在。
另外,虽然目前几乎所有主流的操作系统都支持IPsec,但IPsec是无法默认就能使用的,需要可信的第三方签发证书或者手工静态配置共享密钥,由于密钥管理的复杂性,实际的使用者很少。而且仅在网络层的加密仍无法解决自身协议的脆弱性和应用层的安全漏洞等问题,现实网络开放环境中节点间的通信更多地采用上层更为灵活的TLS或SSL协议来实现加密,与TLS在全世界的普遍使用相比,IPsec的加密流量几乎可以忽略不计。在IETF的标准RFC3552中承认,上层应用的开发者不能把安全寄希望于网络层的IPsec,因为它很少部署。
IPsec曾经被作为IPv6网络节点的强制要求,但在TLS/SSL加密协议出现后IPsec就不再是不可替代的,从2011年发布RFC 64343以后,对IPv6网络节点的实现也不再强制要求必须支持IPsec了。因此IPsec并非IPv6的孪生体,IPv6与IPv4相比并不因为IPsec而增加新的网络及信息安全风险。
二、IPv6的海量地址为网络安全提供了溯源的手段
在IPv4体制下互联网对上网用户临时动态分配地址,地址与用户身份并没有确定的对应关系,无从谈起溯源,后来虽然认识到安全的重要性,但IPv4地址资源紧张,也不可能为用户固定分配地址。由于IPv4地址的不足,导致私有地址大量使用,NAT(地址翻译)破坏了端对端的透明性,给网络安全事件溯源带来了困难,假冒地址横行,网络攻击等安全事件泛滥。另外,由于历史原因,我国境内IPv4地址资源的申请也存在极大的不确定性,而且IPv4地址资源极为有限也没有余地对IPv4地址进行有效的统一规划和管理,无法将公共服务IPv4与普通上网用户的IPv4地址分区设置,也无法从地址中区分服务类型。
IPv6海量的地址为固定分配地址和建立上网实名制奠定了基础,在IPv6地址中通过算法嵌入可扩展的用户网络身份标识信息,与真实用户的身份关联,可构建IPv6地址生成、管理、分配和溯源的一体化IPv6地址管理和溯源系统,实现了与自治域相关联的IP地址前缀级粒度的真实源地址验证。另外,IPv6充足的地址空间可严格按照区域和业务类型甚至用户类型进行地址分配,可以实现对特定IP地址溯源、按业务类型精细服务,或对特定服务类型进行区域管理、精细化监控与安全侦测及防护等,这种基于IP地址对网络流量的控制与安全管理效率高成本低。美国平均每个网民拥有6个IPv4地址,但美国政府为了反恐而看重对IP地址的可溯源能力,因而也积极推动IPv6的部署。
IPv6海量的地址空间可有效防止通过地址扫描的攻击。众所周知,网络攻击者通过地址扫描识别用户的地理位置和发现漏洞并入侵,目前的技术可在45分钟内扫描IPv4的全部地址空间,每一个IPv6地址是128位,假设网络前缀为64位,那么在一个子网中就会存在264个地址,假设攻击者以每秒百万地址的速度扫描,需要50万年才能遍历所有的地址,无疑将显著提升网站与用户终端设备的安全。但这并不妨碍政府监管部门用扫描技术发现违法网站,在完善的IPv6地址登记和备案制度下,监管部门能够知道哪些地址是已经分配的,只扫描已分配的地址空间而不是全部IPv6地址空间,因此并不会对主动扫描带来太大麻烦。
三、IPv6为新增根服务器创造了机遇
在网络空间中每一个网站和邮件都需要有可寻址的地址,为便于记忆以域名来代替,DNS(域名解析服务)以一个递归的层次结构来保证名字系统与IP地址映射的唯一性。DNS根系统由以管理数据为主的根区管理系统和以提供解析服务为主的根服务器系统共同构成,DNS根服务器负责最顶级的域名(例如国家域名和.com等域名)解析。全球有13个根服务器,600多个镜像,我国仅有5个镜像,而且这些镜像服务器物理上在我国境内,但由其所对应的境外的根服务器运营方所管理。我国互联网依赖外方控制的根服务器解析顶级域名,一旦发现紧急情况,缺少应变和反制手段。另外,存在我国顶级域提交至根区的数据被恶意删除、劫持或篡改的可能性,导致抵御大规模DDoS(拒绝服务)的能力不足。由于IPv4帧结构单个报文长度的限制,现有13个IPv4根服务器基本上不可能再扩展,目前在IPv4的DNS体制下虽然也有过若干改进方案,但都不能解决顶级域名解析的可控问题。
IPv6体系为扩展根服务器提供了新的机遇,在IPv6新的帧格式中可安排25个IPv6根服务器,形成一组全功能、并与现有IPv4体系并行和互通的国际根体系。现有13个IPv4根服务器能同时解析IPv4与IPv6,25个IPv6根服务器借助IPv4/IPv6地址翻译等技术也兼有解析IPv4的能力。由我国企业提出的IPv6根服务器体系方案,坚持了全球一个互联网一个命名空间但多种寻址方案的理念,满足共同管理根服务器等互联网关键资源的国际诉求,在国际互联网社区得到积极的反响,目前已在中、美、日、印、欧、非、澳、南美等16个国家架设了25台IPv6根服务器,开展了IPv6域名解析的服务试验与互操作性测试,并在IETF提出了相应的标准提案。IPv6根服务器体系不仅为我国拥有自主可控的根服务器提供了机会,也是中国在DNS体系创新方面为国际互联网治理体系朝着更加公平合理安全共治的方向发展所做的贡献。
四、IPv6体系下的安全挑战
IPv6体系给网络安全的发展提供了新的机遇,但原有的网络安全的一些问题并不因IPv6就自动消失。由于IP网络传输的本质没有发生变化,所以IPv6同样会面临现有IPv4网络下的分片攻击(产生大量分片或发送不完整的分片报文来耗费防火墙资源或处理时间)。IPv4网络中除IP层以外的其他四层中出现的攻击在IPv6网络中依然会存在。
在IPv6根服务器体系下,其主服务器还需要从IANA(互联网数字分配机构)的顶级域服务器获得根区更新数据,在数据来源上与IPv4没有区别。虽然从2016年10月起,IANA的职能已从美国政府移交到ICANN(互联网名称及数字地址分配机构),ICANN表面上是多利益相关方社群,但美国政府的影响力不可忽视。特朗普政府的网络安全首席顾问托马斯·博赛特就曾公开表示:“互联网是美国的发明,应该在塑造所有国家未来的过程中,能够反映美国价值观”。如何保证从根区管理系统获取的数据不被劫持或篡改,不仅需要有技术手段,还需要从推动ICANN管理机制的改革入手,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。
IPv6海量的地址规模提供了上网实名制的基础,海量地址的查询变得更加复杂,但是攻击者仍然可以通过IPv6前缀信息搜集、隧道地址猜测、虚假路由通告及DNS查询等手段搜集到活动主机信息从而发起攻击。另外,虽然IPsec并不新增对不良内容监管的威胁,但事实上各种层面上的加密已经成为互联网未来发展的常态,信息安全管理要适应信息加密的现状,除了技术措施外,在内容管理的机制上也需要创新。
IPv6还会带来网络安全的新挑战,攻击者可利用IPv6报文的扩展报头(可选且多种)构造包含异常数量扩展头的报文,防火墙为解析报文将耗费大量资源,从而影响转发性能。在IPv6中采用NDP(邻居发现协议)取代现有IPv4中ARP(地址解析协议),但实现原理基本相同,针对ARP的攻击如地址欺骗和泛洪等在IPv6中仍然存在,发送错误的路由器宣告和重定向消息等引IP流转向,达到DDoS、拦截和修改数据的目的。再者,IPv6的无状态地址自动分配机制也可能使非授权用户更容易接入和使用网络。此外,IPv6海量的地址以及有可能按地址所分类的业务来选路,将带动新的路由体系和新的选路协议的开发,可能会引入新的安全漏洞。
从IPv4向IPv6过渡将要持续一段时间,过渡与互通方案也会带来新的安全问题,攻击者可以利用过渡协议的安全漏洞来逃避安全监测乃至实施攻击行为,IPv4 over IPv6或IPv6 over IPv4的隧道机制对任何来源的数据包只进行简单的封装和解封,没有内置认证、完整性和加密等安全功能,并不对IPv4和IPv6地址的关系做严格的检查,攻击者可以随意截取隧道报文,通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量,防火墙可能形同虚设。翻译技术将IP流在IPv4/IPv6间转换,可能会受到如NAT设备常见的地址池耗尽等DDoS攻击。未来在规模部署中还会出现更多的网络安全问题。
在关于IPv6规模部署的行动计划中,网络安全提升是其中的重要任务,包括的内容有:升级改造现有网络安全保障系统,提升对IPv6地址和网络环境的支持能力。严格落实IPv6网络地址编码规划方案,加强IPv6地址备案管理,协同推进IPv6部署与网络实名制,落实技术接口要求,增强IPv6地址精准定位、侦查打击和快速处置能力。开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。开展IPv6环境下的工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作。强化网络数据安全管理及个人信息保护能力,确保网络安全。
综上所述,推进IPv6规模部署的方向已明确,行动在即,要抓住IPv6带来的新机遇,充分利用和发挥IPv6内含的网络安全潜力,正视IPv6带来的网络安全挑战,在推进IPv6部署中发现问题,以创新来开创网络安全的新局面。