牟承晋：IPv6在目前中国应用场景的安全简析

点击：  作者：牟承晋    来源：昆仑策网【作者授权】  发布时间:2018-05-11 09:26:37

 

 

  

一、前言

 

美国因特网工程任务组（IETF）2017年7月14日发布的RFC 8200号文件（IPv6规范，标准号STD 86），宣布废弃1998年12月提出的RFC 2460 号文件（IPv6草案），并不再称IPv6是“下一代互联网（Internet）协议IPng”。

 

这个过程，在占尽网络科技先发优势的美国，经历了近20年的反复实验和广泛讨论。其深层次的原因，就是IPv6设计导致的诸多安全弊端难以避免，以致于未曾预料和考虑到一系列严重安全和技术问题的涌现。美因特网工程任务组废弃RFC 2460 文号的IPv6草案，表明过去根据RFC 2460发生的所有协议和标准，都必须依照RFC 8200的原则重新审视和验证，不可照搬照用、掉以轻心。

 

美军从2002年开始实施IPv6的过渡转型计划，已经超过15年。美海军研究院和西点军校联合实验认为，IPv6应用与安全问题无法得到及时发现、定位和解决。美国防部监察长认为，IPv6网络安全威胁明显增加。美空军研究院报告，IPv6的主要系统架构不成熟、主机的安全防御和取证无法处理IPv6地址空间。北约网络协同防务合作中心（CCDCOE）指出，IPv6对网络攻击者几乎没有约束，网络入侵检测系统可以被轻易穿透，形成信息泄露的隐蔽隧道。美国防部已将过渡IPv6任务的优先级降到最低。

 

提出IPv6草案的20年以来，美因特网工程任务组也在发现和探索IPv6寻址安全问题方面大费周章，计划和努力提升IPv6地址的安全和隐私能力，包括静态IPv6地址、半静态IPv6地址、动态IPv6地址三种主要类型，至少曾发出以下重要的、不可回避的安全警示：

 

编号	主题	时间
RFC 4941	IPv6中无状态地址自动配置的  隐私扩展功能	2007-9
RFC 7217	一种使用IPv6无状态地址自动配置生成语义不透明接口标识符的方法（SLAAC）	2014-4
RFC 7721	IPv6 地址生成机制的安全和隐私注意事项	2016-3
RFC 8064	关于稳定的IPv6接口标识符的  建议	2017-2

 

综上所述，IPv6地址的安全和隐私保护，并不是孤立的技术和工程问题，直接关系到以下三个方面的相互关联：

 

1）数据管辖，涉及政策和策略以及多边和对等；

2）数据保护，涉及互联网（Internet）治理的方式和方法；

3）数据脱敏，涉及数据分享共享的“非零和”效应。

 

3月23日，特朗普抢在欧盟相关法案生效之前，签署了美国会通过的《澄清合法使用境外数据的法案》（CLOUD），授权美国执法部门可以调取因特网所涉世界各地的网络和终端数据，允许任何国家将数据存储在美国。

 

欧盟《通用数据保护条例》法规，将于5月25日生效执行，适用范围之广和惩罚力度之强都前所未有。

 

波及全球的数据主权与安全之战，开打在即，直接关系世界各国国家、企业和网民的重大利益，关系各国网络空间主权和安全，关系各国国家主权和安全。中国不可避免地被裹挟其中，不可幸免。

 

长期以来，美国放任我国全面接入因特网，已经构成我国网络空间从体系结构设计到建设发展实践，被美国全面掌握了实际控制权。

 

美军一再验证、报告IPv6不安全、不可靠。美国因特网工程任务组也在2017年特别警示：全球开始实施的数据隐私法规对世界各地的技术公司和消费者产生巨大影响，导致IETF的程序和监管要求中的某些先前建立的最佳实践成为不良做法，并最终决定废弃20年前的IPv6草案。可是，我国有关部门近几年来推广IPv6却显得迫不及待，对IPv6已被实验验证的一系列重大安全问题缺乏重视、几无对策，很不应该、很不正常。

 

本文仅就IPv6在我国目前的网络空间安全应用场景，作简要的初步分析介绍，供各方面参考、验证和论证。

 

二、部署IPv6的必要前提

 

下述必要前提目前并未实现或并未完全实现，只能暂作假设，希望国家有关部门可以迅速落实强有力的补救措施。

 

假设一，国内的网络应用环境完全实现端到端的纯IPv6，不涉及隧道接口、双栈转换等过渡模式，骨干网和接入网都已具备IPv6直接路由和交换功能。

假设二，国内IPv6地址的分配，已有严密、统一的管理机制，有权威的专业机构负责。

假设三，所有（或常用）的域名，都已具有分配的IPv6地址，或IPv6和IPv4双地址。

 

三、部署IPv6的必须流程与必然后果

 

下述安全情况的分析，建立在上述假设前提之上。

 

1）用户通常是向运营商申请IPv6地址。

 

由于IPv6地址面向的是用户终端，一个企业或一个单位或一个小区需要申请一组（或一段）IPv6地址，再组成本地网络（LAN）为每个个人用户和每个用户终端提供连接网络服务。

 

IPv6网络中涉及的所有各级防火墙，都必须开通和支持IPv6，否则必然发生断网。精准定位的同时，个人隐私也暴露无遗，传统防火墙的防护功能和性能大打折扣。

 

2）递归域名服务器是域名空间的入口。

 

任何网络的应用及端到端的互连互通必须首先访问递归域名服务器，并通过递归域名服务器访问根域名系统，形成域名解析的迭代过程。

 

目前国内专用的递归域名服务器都不支持IPv6，商用递归域名服务器也都没有经过完备的系统及应用测试，必然导致终端用户不得不使用境外支持IPv6的公共递归域名服务器（如谷歌、思科、甲骨文、IBM等），递归域名服务器系统又必然受制于人，网络流通的本源数据和信息不可避免地泄露和流失。

 

 

图1 域名应用的入口及域名解析的过程示意

 

3）目前国内大部分域名都没有IPv6地址。

 

特别是政府网站如xxx.gov.cn，域名解析结果还会是IPv4的地址，必然迫使接入网和骨干网的所有设备、管理和维护，必须同时具备支持IPv4和IPv6路由及交换的能力，技术实现的工程成本很大。

 

由于目前国内技术人员对IPv6的研发和支持能力普遍受限，全面实现IPv6的周期会因多维的复杂性出现波折和反复，甚至出现各种各类的“网络烂尾”。

 

4）在国内经营的境外企业，必须依法申请网络内容服务商（ICP）经营许可，以及注册.CN的域名。

 

国内有一些“ICP代理”和“门户代理”公司，擅自给境外注册的域名分配国内IP地址，并提供地址转换网关服务和所谓的“虚拟国际以太网专线”（简称V-IEPL），形成物理网络中的虚拟网络或隧道。政府在这方面的监管严重缺失，安全漏洞隐患极大。

 

 

图2 虚拟国际以太网专线（V-IEPL）的基本配置

 

5）我国没有IPv6根域名解析系统，镜像IPv6域名地址的系统解析能力有限。

 

即便全国（网）开通和支持IPv6，还是要按美国制定的常规域名解析机制和路由规则，数据必须流转美国以及美国指定的映射监管站点，才能完成IPv6所有域名地址的系统解析。

 

我国目前开展的IPv6域名解析实验（即所谓中国“雪人”计划），仅仅是以部分镜像域名为背景的特定功能性研究，并将在2018年底结束。而从美国设在日本的因特网M根服务器接出的25个二级根域名服务器，实际上形成了以日本为中心、遍及全球针对中国IPv6地址的映射解析与数据监管系统，除美国、日本以外，印度、法国、德国、俄罗斯、意大利、西班牙、奥地利、智利、南非、澳大利亚、瑞士、荷兰等12国都参加了进来。

 

6）IPv6不兼容IPv4。

 

目前IPv4的网络体系不具备支持IPv6的必要条件。落实全面开通IPv6用户数量指标所需要的技术能力、工程支持、安全管理、资金投入、产业链同步等的就绪状态和差异程度，都将可能导致难以预料的负面影响。一旦完全满足了IPv6体系运行的必要条件，IPv4的服务则将逐步被终止。尽管我国网民和用户的网络应用还十分依赖IPv4，全网实施IPv6过程中所涉及方方面面的任何一个环节脱节，都将可能不得不造成IPv4断网停服，因而引起社会重大影响和用户重大损失。

 

鱼与熊掌不可兼得，美国因特网工程任务组（IETF）已经宣布，放弃IPv6兼容IPv4的努力。

 

7）IPv6和IPv4的域名地址都是美国政府授权的因特网数字号码分配机构（IANA）设计、维护和分配的，中国政府和任何组织、单位都无权改变或自作主张处置，实际上没有监管权力和能力。

 

中国的关键信息基础设施，包括电力、金融等行业，使用.COM、.NET域名是普遍现象，但是经美国因特网数字号码分配机构核准和注册的域名及地址，中国根本管不了。

 

如果大量的外国公司和中国企业经美国核准和注册的域名伴随着IPv6网址进入中国，恰似日本侵略中国时到处插着太阳旗，人人持有“良民证”，还得从小学习日本话。这个网络空间主权究竟属于谁？究竟谁有能力管控、治理网络信息安全？

 

如此这般，IPv6一统中国网络空间之时，即是中国网络空间主权和话语权彻底消亡之日。

 

四、网际防火墙的崩溃

 

我国现有“长城防火墙”是针对IPv4设计和部署的。国内外一些企业专门为中国IPv4的境内外用户和网民提供“爬墙”服务、服务器和大数据在境外托管服务等，国家监管措施无力。

 

图3 中国的某些“门户代理”以“爬墙”作为商业经营的卖点

 

基于IPv6的高校校园实验网，已经使某些大学生可以轻而易举地登陆被禁的国外网站，“长城防火墙”形同虚设。从软件到硬件重新设计、开发、部署、维护IPv6监管防火墙谈何容易？又绝非是一朝一夕可以完成。

 

IPv4“长城防火墙”崩溃，中国的网络（因特网）门户大开；IPv6“新长城防火墙”三年五载建不起来，岂不是“屋漏偏逢连夜雨，船迟又遇打头风”？习近平总书记指引全国军民在新时代新长征路上开创民族复兴新局面时期，不断涌现难以遏制的出让、践踏、破坏、危害我国网络空间主权、数据主权的严重安全真空风险，谁来承担责任？谁敢承担责任？

 

（2018年5月6日）