聚焦IPv6安全新挑戰

文/本刊記者 王左利

近日，2018 ISC互聯網安全大會在北京舉行，IPv6安全成為大會熱議話題。

自去年年底中共中央辦公廳、國務院辦公廳發布《推進IPv6規模部署行動計劃》以來，各大運營商和主流互聯網企業紛紛制定IPv6路線圖，向IPv6過渡的大潮正在各行業掀起。

向IPv6過渡是互聯網演進升級的一大趨勢，是技術產業創新發展的重大契機，同時也是網絡安全能力強化的迫切需要。但毫無疑問，從IPv4過渡到IPv6過程中，仍然將面臨不少安全挑戰。

在ISC大會上，中國工程院院士方濱興在會上表示，網絡空間安全需要重新定義，他主張從風險緯度、保護緯度和方法緯度重新規劃網絡空間安全。國家網絡空間安全發展創新中心郭毅對IPv6的安全進行了分析，他認為，升級到IPv6，網絡首先要面對非IPv6特有的安全威脅，包括如下幾點：第一，應用層協議或服務導致的漏洞在網絡層無法消除；第二，利用嗅探工具實施網絡嗅探，可能導致信息泄露；第三，設備仿冒接入網絡；第四，未實施雙向認證的情況下，可實施中間人攻擊；第五，洪泛攻擊。其次是IPv6的特性帶來新的脆弱性。

清華大學李星教授也表示，IPv6在過渡期間的安全應被重點關注。其原因在于木桶短板效應——如果一個系統既有IPv4又有IPv6，黑客最容易找到漏洞，因此，實施IPv4和IPv6的雙棧網絡安全代價是單棧的數倍。他同時也表示，如果能采用翻譯技術把IPv4和IPv6隔開，安全狀況會好很多。

IPv6安全的背后還照映著未來互聯網的安全。網絡安全需要對現有體系進行修正和“縫補”，更應著眼體系結構重新審視。在ISC大會上，中國工程院院士、清華大學吳建平教授表示，提升互聯網安全可信主要有兩種途徑：一種是傳統思路，對出現的安全攻擊，以打補丁的方式解決單一問題；另一種是創新思路，從體系結構著眼解決互聯網安全的挑戰。他提出，缺乏源地址驗證成為互聯網最重要的安全隱患之一，從互聯網體系結構上解決全網真實源地址驗證與數據溯源，可以為解決互聯網安全問題提供重要技術途徑。IPv6真實源地址驗證體系結構SAVA正好解決這一問題，實現了全網源地址驗證、精確定位和地址溯源。他認為，“從零開始，要回歸到技術本身看互聯網的安全問題。掌握互聯網關鍵核心技術是解決互聯網安全問題的‘命門’，互聯網體系結構是互聯網安全的重要基石；IPv6下一代互聯網給網絡空間安全關鍵核心技術創新和發展帶來歷史性機遇和挑戰?！?/p>