一文全面了解IPv6( 四 ) _IPv6

1、随着我国下一代互联网建设的稳步推进，IPv6网络和业务环境逐步成熟，针对IPv6网络和业务系统的攻击，以及攻击源为IPv6地址的网络攻击等相关攻击事件逐渐出现，IPv6网络安全漏洞也开始浮出水面。IPv6安全风险开始显现，对下一代互联网演进提出同步安全保障要求。
2、目前我国下一代互联网建设安全保障协同工作局面已经打开。一是政府部门贯彻落实国家战略计划，加强IPv6安全工作部署；二是产、学、研、用高度协作，加快IPv6安全科研布局，强化IPv6安全技术储备；三是推动IPv6安全实践，深化IPv6安全技术指导创新。
3、在我国下一代互联网建设进程中，安全客观挑战依然严峻。一是IPv4/IPv6长期并存，过渡机制持续叠加安全风险；二是IPv6协议新特性挑战既有安全手段，融合场景安全风险持续放大；三是IPv6网络安全保障能力和需求存在差距，供求“剪刀差”亟需弥合。
4、IPv6安全挑战和机遇并存的局面已经形成，应高度重视下一代互联网演进升级中面临的安全挑战，协同推进IPv6安全产品和服务的研发应用，为筑牢下一代互联网安全防线提供能力保障，加快夯实下一代互联网安全防御基础，切实保障下一代互联网安全、有序发展。
专家观点
一、IPv6是海量地址提供溯源手段
北京大学互联网发展研究中心主任田丽：
网络安全和信息安全问题在互联网时代更加凸显，大数据收集和人工智能分析的泛滥，给个人信息保护带来不小的挑战。特别是在“IPv4网+”上，现有技术无法检查传输中的任何一个数据的源地址，很多网络安全隐患由此产生。
中国工程院院士邬贺铨：
由于IPv4地址的不足，导致私有地址大量使用，NAT（地址翻译）破坏了端对端的透明性，给网络安全事件溯源带来了困难，假冒地址横行，网络攻击等安全事件泛滥。
IPv6海量的地址为固定分配地址和建立上网实名制奠定了基础，在IPv6地址中通过算法嵌入可扩展的用户网络身份标识信息，与真实用户的身份关联，可构建IPv6地址生成、管理、分配和溯源的一体化IPv6地址管理和溯源系统，实现了与自治域相关联的IP地址前缀级粒度的真实源地址验证。
IPv6充足的地址空间可严格按照区域和业务类型甚至用户类型进行地址分配，可以实现对特定IP地址溯源、按业务类型精细服务，或对特定服务类型进行区域管理、精细化监控与安全侦测及防护等，这种基于IP地址对网络流量的控制与安全管理效率高、成本低。
二、升级仍面临安全挑战
中国大数据技术与应用联盟副理事长王安平：
互联网升级IPv6是一项专业性强、涉及面广、情况复杂的系统工程，国家有关部门强力推进，但由于目前市场上各企业技术实力参差不齐，导致一些国家部委机关、央企、省级政府、媒体以及互联网企业在网站、云服务平台、数据中心升级IPv6过程中，网站、云服务平台、数据中心出现天窗、乱码、宕机、瘫痪和停服等现象。
工业和信息化部党组成员、总工程师张峰：
未来还需要着力突破网络端到端贯通、网络与应用协同推进等关键环节。要强化安全保障，实施IPv6网络安全提升计划，加强IPv6网络安全能力建设，严格落实IPv6网络地址编码规划方案。
另外还要完善监测体系，组织建设IPv6发展监测平台，加强对网络、应用、终端、用户、流量等关键发展指标的实时监测与分析。
中国工程院院士邬贺铨：
IPv4 over IPv6或IPv6 over IPv4的隧道机制对任何来源的数据包只进行简单的封装和解封，没有内置认证、完整性和加密等安全功能，并不对IPv4和IPv6地址的关系做严格的检查，攻击者可以随意截取隧道报文，通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量，防火墙可能形同虚设

现状及前景

全球IPv6地址规模情况
2019上半年全球IPv6地址分配数量为17865*/32，2019上半年获得IPv6地址分配数量列前三位的国家/地区，分别为中国6217*/32，俄罗斯1271*/32，德国1192*/32 。
截至2019年6月底，全球IPv6地址申请(/32以上)总计35168个，分配地址总数为282222*/32，地址数总计获得4096*/32(即/20)以上的国家/地区。