杂志汇新经济导刊

IPv6 的机遇与挑战

作者:文/海川
IPv6是未来互联网建构的基石,关乎国家安全、网络安全和国计民生,必须加快推进规模部署,构建自主技术体系和产业生态

党的十九大报告提出“突出关键共性技术、前沿引领技术、现代工程技术、颠覆性技术创新,为建设科技强国、质量强国、航天强国、网络强国、交通强国、数字中国、智慧社会提供有力支撑”。

基于IPv6的下一代互联网不仅是关键共性技术、前沿引领技术,更可能催生颠覆性技术创新。IPv6即互联网协议第六版,简单理解就是一种新的IP网址协议,给每个联网设备分配一个对应“门牌号”,帮助每个用户顺利找到对应的互联网应用。

深刻认识IPv6的重大意义

互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全球经济格局、利益格局和安全格局。TCP/IP协议是互联网发展的基石,其中IP是网络层协议,规范互联网中分组信息的交换和选路。目前采用的IPv4协议地址长度为32位,总数约43亿个IPv4地址已分配殆尽,服务质量也难以保证。

特别是作为全球拥有最多互联网用户、互联网访问量最大的国家,中国在IPv4时代没有根服务器。从某种程度上来说,根服务器控制着全球范围内的互联网,主要用来管理互联网的主目录,是构建互联网的关键设施之一。

全世界总共13台IPv4根服务器,唯一的主根服务器架设在美国,而辅根服务器有9个架设在美国,剩下3个分别位于英国、瑞典和日本。其中美国拥有IPv4地址最多,平均每个网民可分到近6个地址,而中国、巴西、墨西哥等发展中国家的网民人均仅有不到半个IPv4地址。

随着万物智联时代的到来,全球对IP地址的需求还将持续增长。据预测,到2020年全球互联设备数将超300亿,中国IP地址需求可能超过100亿。

为应对IP地址的严重不足,上世纪90年代,负责互联网国际标准制定的机构——互联网工程任务小组(IETF)协调各方意见后,推出IPv6协议,并大力推广。IPv6采用128位地址,将地址空间扩大到2的128次方。这个空间特别大,甚至可以给空中的尘埃和地球表面的每粒沙子分配地址。而且数据传输速度更快,基于IPv6的主干网或城域网的传输速率,将比现在提高100倍到1000倍。

正如谷歌董事长施密特所言,未来将有数量巨大的IP地址、传感器、可穿戴设备,以及虽感觉不到却可与之互动的东西,时时刻刻伴随你。所有的设备都将通过传感器和IP地址,通过新一代互联网链接在一起。这样一来,以人与人相联为主导的传统互联网,将拓展为人与人、人与物、物与物相联的新一代互联网。

基于IPv6的新型地址结构为新增根服务器提供了契机。2013年,中国下一代互联网国家工程中心联合日本和美国相关运营机构和专业人士发起“雪人计划”,提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。

2016年,“雪人计划”在美国、日本、印度、俄罗斯、德国、法国、中国等全球16个国家完成25台IPv6根服务器架设,其中中国部署4台(1台主根服务器和3台辅根服务器),打破我国没有根服务器的困境,形成了13台原有根加25台IPv6根的新格局。

能够提供充足网络地址和广阔创新空间的IPv6,是全球公认的下一代互联网商业应用解决方案。大力发展基于IPv6的下一代互联网,有助于显著提升我国互联网的承载能力和服务水平,更好融入国际互联网,共享全球发展成果,有力支撑经济社会发展,赢得未来发展主动。

大力发展基于IPv6的下一代互联网,有助于提升我国网络信息技术自主创新能力和产业高端发展水平,高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等新兴领域快速发展,不断催生新技术新业态,促进网络应用进一步繁荣,打造先进开放的下一代互联网技术产业生态。

大力发展基于IPv6的下一代互联网,有助于进一步创新网络安全保障手段,不断完善网络安全保障体系,显著增强网络安全态势感知和快速处置能力,大幅提升重要数据资源和个人信息安全保护水平,进一步增强互联网的安全可信和综合治理能力。

IPv6关乎国家安全、网络安全和国计民生,必须加快推进规模部署,构建自主技术体系和产业生态。最近发生的举国震惊的中兴事件,无疑反证了我国部署IPv6下一代互联网的紧迫性和重要性。当国民经济都架设在他国的根服务器上面,潜在风险可想而知!

IPv6迎来重大机遇期

核心技术,一定要掌握在自己手中。这不仅是一句誓言,更是一种行动。突破封锁,保障安全,进一步释放中国巨大的商业应用价值。中国新一代互联网要来了!

2017年11月,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》(以下简称“IPv6行动计划”),并发出通知,要求各地区各部门结合实际认真贯彻落实。

IPv6行动计划提出,用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。

按照IPv6行动计划的要求,中国互联网向IPv6演进升级将分为三个阶段,2018年底完成20%,2020年底完成50%,2025年完成100%,8年时间实现国家信息基础设施向IPv6演进升级。毫无疑问,这个迁移过程蕴藏着超级巨大的商机。

2018年5月3日,工业和信息化部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知。通知提出,实施LTE网络端到端IPv6改造,到2018年末,移动互联网IPv6用户规模不少于5000万户(基础电信企业已分配IPv6地址且一年内有IPv6上网记录的用户),其中,中国电信集团有限公司(简称中国电信)用户不少于1000万户,中国移动通信集团有限公司(简称中国移动)用户不少于3000万户,中国联合网络通信集团有限公司(简称中国联通)用户不少于1000万户。加快固定网络基础设施IPv6改造。推进应用基础设施IPv6改造,包括数据中心、内容分发网络(CDN)、云服务平台、域名系统。开展政府网站IPv6改造与工业互联网IPv6应用。强化IPv6网络安全保障。

这份通知为何如此受到关注?除了明确市场用户的改造规模,而且把国内的顶级互联网机构全部囊括进去了:中国电信、中国移动、中国联通、中国广播电视网络、中国互联网信息中心(CNNIC)、华为、阿里巴巴、百度、腾讯、京东、小米、金山云、青云、网宿科技、启明信息、魅族科技、三五互联等。

新一代互联网,这次中国捷足先登了。那么新一代互联网的市场空间有多大?美国市场研究公司Gartner预测:到2020年,物联网将带来每年300亿美元的市场利润,届时将会出现25亿个设备连接到物联网上,并将继续快速增长。麦肯锡的预测更惊人:到2025年,市场规模将达11.1万亿美元(相当于60万亿人民币)。

中国广播电视网络公司副总经理曾庆军表示,中国下一代互联网(IPv6)建设目前正在全国推开。2018年末,全国IPv6活跃用户数将达到2亿,用户占比不低于20%,互联网骨干网、广电骨干网全面支持IPv6;2020年末,全国IPv6活跃用户数超过5亿,用户占比超过50%,市地级以上新闻及广播电视媒体网站系统,广电网络全面支持IPv6。

中国信息通信研究院科技委主任蒋林涛教授表示,到现在为止,从IPv6产业方面看,中国仅次于美国,是世界第二大国。中国的IPv6产品在全世界占主导,技术上也没有任何障碍。

在蒋林涛看来,要干成事情,总体上需要两轮驱动,一个是国家驱动,一个是市场驱动。现在国家驱动力量非常强,需要国家下一代互联网产业技术创新战略联盟这样的产业组织协助国家把市场驱动这个轮子转起来。

在5月3日召开的第二届中国下一代互联网(IPv6)建设及应用峰会上,联盟发布了3个目标,第一个标准是IPv6和IPv4融合互联场景;第二个是IPv6和IPv4融合互联架构和技术要求;第三个是发布IPv4和IPv6融合互通网关4倍的技术规范。

蒋林涛表示,要把握5G发展契机,积极推动IPv6建设。众所周知,5G和工业互联网技术在传统IPv4技术下是无法驱动的,需要IPv6的支持才能实现,而我国5G技术的发展处于国际领先地位,这恰恰为推动IPv6的建设提供一个良好的契机。

IPv6的网络安全隐患

构建基于IPv6的可信任下一代互联网,是一项长期而艰巨的任务。虽然IPv6与IPv4相比,在安全性方面进行了预先设计和充分考虑,但仍然存在一些难以解决的安全隐患。

中国工程院院士邬贺铨在《IPv6与网络安全》一文中表示,IPv6体系给网络安全的发展提供了新的机遇,但原有的网络安全的一些问题并不因IPv6就自动消失。由于IP网络传输的本质没有发生变化,所以IPv6同样会面临现有IPv4网络下的分片攻击(产生大量分片或发送不完整的分片报文来耗费防火墙资源或处理时间)。IPv4网络中除IP层以外的其他四层中出现的攻击在IPv6网络中依然会存在。

在IPv6根服务器体系下,其主服务器还需要从IANA(互联网数字分配机构)的顶级域服务器获得根区更新数据,在数据来源上与IPv4没有区别。虽然从2016年10月起,IANA的职能已从美国政府移交到ICANN(互联网名称及数字地址分配机构),ICANN表面上是多利益相关方社群,但美国政府的影响力不可忽视。特朗普政府的网络安全首席顾问托马斯·博赛特就曾公开表示:“互联网是美国的发明,应该在塑造所有国家未来的过程中,能够反映美国价值观”。如何保证从根区管理系统获取的数据不被劫持或篡改,不仅需要有技术手段,还需要从推动ICANN管理机制的改革入手,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。

IPv6海量的地址规模提供了上网实名制的基础,海量地址的查询变得更加复杂,但是攻击者仍然可以通过IPv6前缀信息搜集、隧道地址猜测、虚假路由通告及DNS查询等手段搜集到活动主机信息从而发起攻击。

邬贺铨在文章中指出,IPv6还会带来网络安全的新挑战,攻击者可利用IPv6报文的扩展报头(可选且多种)构造包含异常数量扩展头的报文,防火墙为解析报文将耗费大量资源,从而影响转发性能。在IPv6中采用NDP(邻居发现协议)取代现有IPv4中ARP(地址解析协议),但实现原理基本相同,针对ARP的攻击如地址欺骗和泛洪等。在IPv6中仍然存在,发送错误的路由器宣告和重定向消息等引IP流转向,达到DDoS、拦截和修改数据的目的。再者,IPv6的无状态地址自动分配机制也可能使非授权用户更容易接入和使用网络。此外,IPv6海量的地址以及有可能按地址所分类的业务来选路,将带动新的路由体系和新的选路协议的开发,可能会引入新的安全漏洞。

从IPv4向IPv6过渡将要持续一段时间,过渡与互通方案也会带来新的安全问题,攻击者可以利用过渡协议的安全漏洞来逃避安全监测乃至实施攻击行为,IPv4 over IPv6或IPv6 over IPv4的隧道机制对任何来源的数据包只进行简单的封装和解封,没有内置认证、完整性和加密等安全功能,并不对IPv4和IPv6地址的关系做严格的检查,攻击者可以随意截取隧道报文,通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量,防火墙可能形同虚设。翻译技术将IP流在IPv4/ IPv6间转换,可能会受到如NAT设备常见的地址池耗尽等DDoS攻击。未来在规模部署中还会出现更多的网络安全问题。

在关于IPv6规模部署的行动计划中,网络安全提升是其中的重要任务,包括的内容有:升级改造现有网络安全保障系统,提升对IPv6地址和网络环境的支持能力。严格落实IPv6网络地址编码规划方案,加强IPv6地址备案管理,协同推进IPv6部署与网络实名制,落实技术接口要求,增强IPv6地址精准定位、侦查打击和快速处置能力。开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。开展IPv6环境下的工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作。强化网络数据安全管理及个人信息保护能力,确保网络安全。

到2020年,物联网将带来每年300亿美元的市场利润,届时将会出现25亿个设备连接到物联网上,并将继续快速增长。100~1000倍

基于IPv6的主干网或城域网的传输速率,将比现在提高100倍到1000倍。

 

以创新驱动“高质量发展”

数字经济:助推实体经济高质量发展

创芯迷局 芯片危机与国民激辩

提升我国创新体系开放水平

中国青年体育产业创新创业发展论坛在京举行

军民融合呼唤科技创新

相关文章