如今IPv4(互联网协议第4版)地址趋近枯竭,IPv6(互联网协议第6版)由于能提供充足的网络地址,因此成为全球公认的下一代互联网商业应用解决方案。然而,近日有媒体刊文称,IPv6的普及,可能会导致越来越多的物联网设备从原本的“隐蔽”状态转向“暴露”状态,整体安全风险随之增加。
那么事实真是如此吗?由此可能会产生哪些危险?针对这些问题,科技日报记者采访了相关专家。
普及IPv6会增加设备暴露风险
IPv6是互联网工程任务组(IETF)设计的下一代IP协议,它的提出很大程度上是为了解决IPv4网络地址资源受限问题。同时,IPv6本身将安全性作为重要的设计准则之一,客观上较IPv4的安全性更强。IPv6的应用与普及,不仅解决了网络地址资源数量受限的问题,更重要的是,它解决了此前多种设备连网的技术问题。
设备以单独IP地址直接连入网络,需要占用大量的地址空间。在IPv4时代,因地址数量有限,相关技术人员多采用NAT(Network Address Translation,网络地址转换)技术来解决网络地址不足的问题。即通过NAT给用户分配内网地址而非公网地址,从而将使用NAT技术的设备“隐藏”起来。外界无法看到该设备的内网地址,只有通过NAT转换才能连上内网设备,由此可以有效降低来自网络外部的攻击风险。
“IPv6极大地拓展了地址空间,地址数量够用了,也就无需再使用NAT技术了。每台物联网设备均可配有独立的公网地址,以供公网直接访问。”北京理工大学网络攻防对抗技术研究所所长闫怀志告诉科技日报记者,原本在IPv4环境中“隐蔽”在NAT技术下的物联网设备,在采用IPv6后,就会以公网地址示人了。因此,这确实有可能导致物联网设备暴露数量的剧增。同时,在拥有公网地址后,物联网设备地址变化的可能性大大降低,这也为攻击者持续跟踪分析提供了便利。
此外,较之传统IP网络,在闫怀志看来,物联网可能会存在更多安全隐患。“物联网设备大多属于软硬件高度耦合型系统,不仅可能存在软件缺陷,也可能存在硬件漏洞,而且设备故障可在软硬件之间传播。”闫怀志说。
“牵手”路上还有不少拦路虎
除了会增加设备“露头被打”的风险外,物联网“牵手”IPv6还有其他“甜蜜的负担”——比如廉价设备难以承载IPv6协议、高昂的设备监管成本等等。
闫怀志介绍道,传统设备很多是难以联网的“哑”设备。“这种设备即便具有联网功能,通常也只能支持IPv4。如果这些设备要用IPv6协议接入物联网,无论是利用隧道技术对其进行改造,还是在这些设备上直接添加软硬件模块,都会增加设备制造成本,也在一定程度上会阻碍物联网推广应用。”他说。
同时,传统的“IPv4地址+NAT”解决方案仍有较大的市场空间。利用NAT技术,即便不使用IPv6,企业、学校等机构也能使其物联网设备连网,无需为其分配公网IP。“接入IPv6,前期需要一笔不小的投入,大家都想少花钱、多办事,因此会有更多人愿意选择原有的NAT技术。”闫怀志说。
“IPv6与物联网二者‘联姻’,是大势所趋、不可阻挡,但从实际普及进展来看,还存在诸多困难和挑战。首先,将IPv6应用于物联网,其高昂的成本就是第一只拦路虎。其次,现有大量物联网设备应用的都是IPv4协议系统,因此必须使其能同时兼容IPv6和IPv4。”北京志通天下科技有限公司网络事业部总监曾佳说。
那么,为什么会出现这些推广和普及方面的障碍呢?
实际上,中国是最早成功应用IPv6的国家之一,早期曾一度实现全球领先。但由于种种原因,在2008年之后应用推广速度减缓,业内人士对我国IPv6 “起了个大早,赶了个晚集”的现状痛心不已。同时,采用“IPv4地址+NAT”方案来缓解IP地址短缺的折中方案,使得运营者和用户落入IPv4的“舒适区”中无法自拔。由于技术和市场的双重制约,IPv6生态远未形成,导致我国从IPv4向IPv6迁移进度缓慢。“这些原因,严重贻误了我国部署推广IPv6的有利先机。”闫怀志说。
现阶段是难得的“磨合期”
2017年,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,其中提到要在近年开展IPv6环境下工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作。
“虽然IPv6与物联网的结合应用还存在诸多问题和困难,但这些都可以通过不断完善来解决。推进IPv6在物联网应用领域的落地工作,既有必要又有可能。”闫怀志说。
从技术上看,为降低落地难度,可以因地制宜,针对不同情况采取不同方案。比如,采用“本地+IPv6互联”方式,本地物联网设备互联仍采用现有技术,而在大范围联网时采用IPv6技术。条件具备时,可改进IPv6路由机制,将IPv6直接延伸至本地物联网,使其满足低算力、低功耗、低容量的物联网环境组网需求。
从管理上来看,国家应出台相应的鼓励政策,在资金、生产、经营等方面给予优惠,引导网络运营商、物联网用户向“IPv6+物联网”的方向加速转移。
此外,国家还可以在条件基本具备的领域或地区建立“IPv6+物联网”应用试点,培育形成示范效应,并将可复制的成功经验,逐步向全行业、全国推广。在这个过程中,还应主动推动工业互联网、云计算、大数据、人工智能以及网络空间安全等新技术与“IPv6+物联网应用”的深度融合,形成中国信息高科技领域良性互动、永续发展的生动局面。
在闫怀志看来,目前IPv6大规模应用还处在试点阶段,此时正是蹒跚学步的IPv6“牵手”物联网的好时候。
“大规模应用试点阶段是难得的‘磨合期’,正好可从顶层架构来设计IPv6与物联网的深度融合。物联网万物互联的理念和IPv6地址充足的特点,决定了二者紧密结合的趋势不可逆转。物联网需要IPv6的支持,反过来物联网的普及又必将对IPv6的发展产生巨大的推动作用。”他说。
当前,“互联网+”时代的到来,对物联网的应用提出了强烈需求。闫怀志认为,我国推进IPv6与物联网的结合,应在“需求牵引”的利好形势下,加速“技术推动”,牢牢抓住IPv6的发展契机,以物联网的发展为依托,大力加快IPv6取代IPv4的进程。同时,应充分发挥IPv6在地址空间充足、节点冗余性强、移动性好的优势,使之成为物联网应用的核心基础网络技术。
