導(dǎo)語(yǔ)

互聯(lián)網(wǎng)協(xié)議第六版（IPv6）是互聯(lián)網(wǎng)升級(jí)演進(jìn)的必然趨勢(shì)、網(wǎng)絡(luò)技術(shù)創(chuàng)新的重要方向、網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的基礎(chǔ)支撐。《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》等系列文件的印發(fā)，加速了IPv6在我國(guó)的規(guī)模部署，有效促進(jìn)了我國(guó)IPv6流量和規(guī)模的持續(xù)提升。同時(shí)，IPv6作為重要的互聯(lián)網(wǎng)基礎(chǔ)資源也面臨著服務(wù)能力和安全保障等多方面的挑戰(zhàn)，尤其是在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，對(duì)IPv6地址配置安全性、可靠性等方面均有更高要求。

目前針對(duì)工業(yè)互聯(lián)網(wǎng)的安全防護(hù)體系主要包含設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、控制安全和應(yīng)用安全等多個(gè)方面。IPv6地址作為工業(yè)互聯(lián)網(wǎng)重要基礎(chǔ)資源，其安全配置和管理是上述各項(xiàng)安全防護(hù)內(nèi)容的基礎(chǔ)和保障。因此需要密切關(guān)注IPv6在工業(yè)環(huán)境規(guī)模化應(yīng)用中地址配置的安全風(fēng)險(xiǎn)，持續(xù)跟蹤前沿技術(shù)發(fā)展，不斷優(yōu)化和完善地址安全保護(hù)方法，并積極圍繞工業(yè)互聯(lián)網(wǎng)應(yīng)用特點(diǎn)開展相關(guān)的標(biāo)準(zhǔn)化研究、技術(shù)實(shí)驗(yàn)和應(yīng)用推廣工作。

2017年11月26日，中共中央辦公廳、國(guó)務(wù)院辦公廳聯(lián)合印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》文件，該文件明確指出要加快推進(jìn)工業(yè)互聯(lián)網(wǎng)IPv6應(yīng)用，選擇典型行業(yè)、重點(diǎn)企業(yè)開展工廠企業(yè)網(wǎng)絡(luò)改造，創(chuàng)新工業(yè)互聯(lián)網(wǎng)應(yīng)用，構(gòu)建工業(yè)互聯(lián)網(wǎng)IPv6標(biāo)準(zhǔn)體系。

1

工業(yè)網(wǎng)絡(luò)IPv6升級(jí)改造需求迫切

隨著物聯(lián)網(wǎng)的快速發(fā)展，海量、異構(gòu)且資源受限的物理對(duì)象需要連接到互聯(lián)網(wǎng)，并實(shí)現(xiàn)跨域、實(shí)時(shí)的信息流動(dòng)和動(dòng)態(tài)交互，這對(duì)底層網(wǎng)絡(luò)和系統(tǒng)帶來(lái)了巨大挑戰(zhàn)。聚焦到工業(yè)互聯(lián)網(wǎng)領(lǐng)域，越來(lái)越多的工業(yè)設(shè)備和傳感器件接入到網(wǎng)絡(luò)，并具有潛在的端到端通信和交互需求，因此其對(duì)IP地址資源的需求十分巨大。IPv6在解決工業(yè)互聯(lián)網(wǎng)海量地址需求的同時(shí)，能夠?yàn)楸姸嗥髽I(yè)內(nèi)網(wǎng)設(shè)備提供全球唯一地址，為實(shí)現(xiàn)更大范圍高效的端到端數(shù)據(jù)交互和信息共享提供了基礎(chǔ)，此外，IPv6地址的可追溯性和易管理性，也是其適用于工業(yè)互聯(lián)網(wǎng)的重要原因之一。由此可見(jiàn)，隨著工業(yè)互聯(lián)網(wǎng)建設(shè)中網(wǎng)絡(luò)IP化趨勢(shì)不斷凸顯，IPv6地址的廣泛應(yīng)用成為工業(yè)互聯(lián)網(wǎng)快速發(fā)展的必然選擇。

同時(shí)，全面網(wǎng)絡(luò)連接、數(shù)據(jù)互通趨勢(shì)下的工業(yè)體系加速開放融合，傳統(tǒng)工業(yè)體系相對(duì)封閉隔離環(huán)境下以生產(chǎn)安全為導(dǎo)向的局域管理和運(yùn)維模式，已無(wú)法適應(yīng)復(fù)雜多變的工業(yè)互聯(lián)網(wǎng)應(yīng)用環(huán)境。在智能制造環(huán)境下，為實(shí)現(xiàn)更廣泛的信息互通，IPv6需要深入應(yīng)用到自動(dòng)控制等生產(chǎn)環(huán)節(jié)，且將更多地使用公有地址，這些顯著的變化，對(duì)IPv6地址的管理能力提出了更高要求。進(jìn)一步，工業(yè)互聯(lián)網(wǎng)地址配置是IPv6地址應(yīng)用的基礎(chǔ)，是工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)淖畹讓颖Ｕ希貙⑿枰叩陌踩尚艡C(jī)制保障。

2

IPv6地址的自動(dòng)配置機(jī)制

IPv6在解決了IPv4地址資源匱乏問(wèn)題的同時(shí)，也定義了更靈活的地址配置機(jī)制，極大提高了IP地址的配置效率。互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，IETF）定義了IPv6有狀態(tài)和無(wú)狀態(tài)兩種地址自動(dòng)配置機(jī)制，即DHCPv6（Dynamic Host Configuration Protocol for IPv6）和SLAAC（Stateless Address Auto-configuration）。

互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，簡(jiǎn)稱IETF）是全球互聯(lián)網(wǎng)界權(quán)威的大型技術(shù)研究和標(biāo)準(zhǔn)制定的國(guó)際組織，IETF制定的技術(shù)標(biāo)準(zhǔn)是互聯(lián)網(wǎng)運(yùn)行的核心技術(shù)協(xié)議，保障了互聯(lián)網(wǎng)的持續(xù)發(fā)展。IETF的標(biāo)準(zhǔn)以RFC（Request For Comments）的形式發(fā)布。IETF已經(jīng)成為互聯(lián)網(wǎng)技術(shù)發(fā)展和標(biāo)準(zhǔn)化的重要平臺(tái)。

基于DHCPv6協(xié)議的有狀態(tài)自動(dòng)地址配置通過(guò)DHCPv6消息交互機(jī)制來(lái)實(shí)現(xiàn)IPv6地址和相關(guān)網(wǎng)絡(luò)參數(shù)的自動(dòng)配置，能夠?yàn)橹鳈C(jī)分配IPv6前綴、IPv6地址和其它網(wǎng)絡(luò)參數(shù)。由于能夠分配IPv6前綴，使其能夠更便捷的在全網(wǎng)絡(luò)自動(dòng)配置和管理中進(jìn)行應(yīng)用。

SLAAC方式則是節(jié)點(diǎn)接收到網(wǎng)絡(luò)前綴后，依據(jù)底層網(wǎng)絡(luò)接口的以太網(wǎng)地址（MAC地址）生成64位后綴（IID, Interface ID），并結(jié)合網(wǎng)絡(luò)周期性通告的64位前綴生成對(duì)應(yīng)的IPv6地址，該配置方法下IID（至少在理論上）是全局唯一的。

IPv6地址自動(dòng)配置機(jī)制使得工業(yè)網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷，但與此同時(shí)，在技術(shù)層面和管理層面也仍存在著較大安全風(fēng)險(xiǎn)。

3

IPv6地址自動(dòng)配置機(jī)制

帶來(lái)的安全挑戰(zhàn)和風(fēng)險(xiǎn)

伴隨IPv6地址自動(dòng)配置機(jī)制的廣泛應(yīng)用，與之相對(duì)應(yīng)的網(wǎng)絡(luò)安全及管理問(wèn)題也越發(fā)凸顯。

基于DHCPv6協(xié)議消息依然廣泛采用明文的方式傳輸，使得其消息中的隱私信息容易遭受攻擊。RFC3315中曾定義了一種完整的認(rèn)證機(jī)制。該機(jī)制設(shè)計(jì)了一種服務(wù)器和客戶端共享的對(duì)稱密鑰，以實(shí)現(xiàn)服務(wù)器對(duì)客戶端的認(rèn)證，但其對(duì)鏈路主動(dòng)攻擊的防范效果不足；進(jìn)一步地，RFC7824系統(tǒng)分析了DHCPv6中用戶隱私方面的問(wèn)題；也有相關(guān)研究嘗試通過(guò)定義對(duì)稱密鑰認(rèn)證和加密機(jī)制，以防范類似欺騙等主動(dòng)攻擊，以防范類似欺騙等主動(dòng)攻擊，及端口檢測(cè)等被動(dòng)攻擊。

SLAAC方式中基于IID實(shí)現(xiàn)的地址配置機(jī)制也存在安全隱患。SLAAC方式下，節(jié)點(diǎn)依據(jù)底層網(wǎng)絡(luò)接口的MAC地址生成64位IID，并結(jié)合網(wǎng)絡(luò)周期性通告的64位前綴生成IPv6地址。因此，惡意攻擊者可以通過(guò)從不同網(wǎng)絡(luò)的流量中進(jìn)行地址的IID對(duì)比輕易歸類設(shè)備，并進(jìn)一步分析其潛在行為。

隨著網(wǎng)絡(luò)應(yīng)用模式的不斷演進(jìn)，特別是工業(yè)互聯(lián)網(wǎng)在生產(chǎn)環(huán)節(jié)的深化以及業(yè)務(wù)融合中的作用不斷凸顯，各類網(wǎng)絡(luò)服務(wù)在需要穩(wěn)定可達(dá)的同時(shí)也必然具有更高的隱私保護(hù)需求。

4

IPv6地址安全配置相關(guān)技術(shù)

1） 基于認(rèn)證和通信加密技術(shù)實(shí)現(xiàn)對(duì)DHCPv6安全保護(hù)優(yōu)化

在傳統(tǒng)DHCPv6協(xié)議中，DHCPv6協(xié)議容易受到各種攻擊和竊聽風(fēng)險(xiǎn)，因此可以采用客戶端認(rèn)證和通信加密兩種方式的綜合應(yīng)用以提高安全性。例如在服務(wù)器身份認(rèn)證時(shí)，可利用匿名Information-Request交換的方式確認(rèn)身份。除此之外，還可定義簽名選項(xiàng)用來(lái)驗(yàn)證DHCPv6消息的完整性以及對(duì)客戶端和服務(wù)器進(jìn)行認(rèn)證。安全的DHCPv6服務(wù)器則能夠通過(guò)加密與客戶端交互的報(bào)文信息，對(duì)客戶端的合法身份進(jìn)行驗(yàn)證，接受并響應(yīng)合法客戶端的配置請(qǐng)求，分配及回收管理IPv6地址與其他參數(shù)，管理配置信息，協(xié)調(diào)其它網(wǎng)絡(luò)管理系統(tǒng)。通信加密方案中，安全DHCPv6報(bào)文格式還可以通過(guò)設(shè)置算法選項(xiàng)、證書選項(xiàng)、簽名選項(xiàng)等的進(jìn)行相應(yīng)的安全保障設(shè)計(jì)。

2）通過(guò)地址動(dòng)態(tài)化實(shí)現(xiàn)SLAAC安全保護(hù)優(yōu)化

針對(duì)MAC地址信息涉及的網(wǎng)絡(luò)設(shè)備的制造商、物理位置和移動(dòng)軌跡等用戶信息安全、隱私泄露和惡意攻擊風(fēng)險(xiǎn)。相關(guān)研究嘗試通過(guò)設(shè)計(jì)若干方法來(lái)實(shí)現(xiàn)地址隨機(jī)分配，而不必與MAC地址綁定。例如，RFC3972提出了密碼生成地址機(jī)制

（Cryptographically Generated Addresses），采用對(duì)設(shè)備公鑰等信息的哈希來(lái)生成其IPv6地址的IID。此外，RFC4941也提出了IPv6隱私擴(kuò)展機(jī)制，定義了臨時(shí)地址概念，該地址按照一定時(shí)間周期變化，在實(shí)際部署中，操作系統(tǒng)通常還需要采用隨機(jī)數(shù)來(lái)規(guī)避因密碼生成地址機(jī)制帶來(lái)的地址計(jì)算泄露風(fēng)險(xiǎn)。IETF 6MAN工作組個(gè)人草案《SLAAC with prefixes of arbitrary length in PIO (Variable SLAAC) - A Problem Statement》（2022年4月提交第四版）則進(jìn)一步針對(duì)動(dòng)態(tài)SLAAC的用例和實(shí)現(xiàn)進(jìn)行了詳細(xì)說(shuō)明。其它基于IPv6地址自動(dòng)配置安全配置的鄰居發(fā)現(xiàn)、擴(kuò)展地址應(yīng)用草案RFC8928、RFC8981等也相繼被提出。

IETF也同時(shí)開展了對(duì)傳統(tǒng)SLAAC算法的替代方案研究工作，已正式發(fā)布RFC8064，明確用RFC7217取代傳統(tǒng)SLAAC算法，并提出不建議任何算法在IPv6地址生成中嵌入終端設(shè)備的MAC地址。同時(shí)，RFC7217中提出的模糊接口標(biāo)識(shí)算法還支持終端在一個(gè)網(wǎng)絡(luò)中配置穩(wěn)定的IPv6地址。

上述技術(shù)方案雖在不同層面解決了地址信息泄露、認(rèn)證和加密等安全問(wèn)題，但由于其受操作系統(tǒng)、硬件配套要求和應(yīng)用效率等多方面因素影響，目前仍未形成較為廣泛的應(yīng)用局面。

后續(xù)的研究和工作建議

隨著工業(yè)互聯(lián)網(wǎng)場(chǎng)景中接入設(shè)備量激增及端到端交互需求的進(jìn)一步凸顯，網(wǎng)絡(luò)設(shè)備身份和關(guān)鍵基礎(chǔ)信息在通信過(guò)程中的安全隱患不斷加劇。結(jié)合國(guó)際相關(guān)標(biāo)準(zhǔn)推進(jìn)工作，圍繞工業(yè)互聯(lián)網(wǎng)領(lǐng)域開展我國(guó)在IPv6地址分配機(jī)制及與其相適應(yīng)的安全管理方法研究工作具有十分必要且重要的意義，建議重點(diǎn)從技術(shù)跟蹤、測(cè)試驗(yàn)證和示范應(yīng)用等三方面開展后續(xù)工作。

一是密切跟蹤國(guó)際IPv6前沿技術(shù)的發(fā)展，支撐工業(yè)互聯(lián)網(wǎng)安全應(yīng)用。從全球?qū)用婵矗琁Pv6的部署和應(yīng)用已經(jīng)進(jìn)入加速發(fā)展的階段，圍繞網(wǎng)絡(luò)擴(kuò)展協(xié)議、地址安全配置優(yōu)化等相關(guān)的前瞻性研究仍在持續(xù)開展。為保證我國(guó)IPv6網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)建設(shè)的先進(jìn)性和可靠性，應(yīng)圍繞上述研究方向長(zhǎng)期密切跟蹤國(guó)際發(fā)展趨勢(shì)和動(dòng)態(tài)，并積極融入和參與IETF等國(guó)際化組織針對(duì)路由尋址、隱私安全等的相關(guān)技術(shù)研究和標(biāo)準(zhǔn)推進(jìn)工作中，進(jìn)一步提升我國(guó)在該技術(shù)領(lǐng)域的主動(dòng)性。

二是加強(qiáng)相關(guān)技術(shù)在我國(guó)的測(cè)試驗(yàn)證和配套研究。IPv6是下一代互聯(lián)網(wǎng)的核心，目前已開展的IPv6及相關(guān)地址配置機(jī)制的優(yōu)化研究能夠一定程度解決工業(yè)設(shè)備應(yīng)用安全和生產(chǎn)系統(tǒng)隱私泄露的問(wèn)題，但仍然存在大規(guī)模應(yīng)用的系統(tǒng)性、可靠性問(wèn)題。在關(guān)注前沿技術(shù)發(fā)展的同時(shí)，也應(yīng)積極開展基于IPv6的相關(guān)地址配置安全優(yōu)化技術(shù)研究及應(yīng)用的技術(shù)測(cè)試和試驗(yàn)驗(yàn)證工作，并重點(diǎn)針對(duì)工業(yè)互聯(lián)網(wǎng)等典型網(wǎng)絡(luò)環(huán)境，適時(shí)加快相關(guān)技術(shù)實(shí)施、運(yùn)行環(huán)境配置、適應(yīng)性評(píng)估要求等標(biāo)準(zhǔn)規(guī)范和指導(dǎo)性文件的制定。

三是加強(qiáng)關(guān)鍵工業(yè)行業(yè)的探索應(yīng)用和試點(diǎn)示范性建設(shè)。充分利用我國(guó)互聯(lián)網(wǎng)行業(yè)的優(yōu)質(zhì)資源，組建有針對(duì)性的研究、試驗(yàn)、應(yīng)用聯(lián)合團(tuán)隊(duì)，通過(guò)在工業(yè)互聯(lián)網(wǎng)典型場(chǎng)景中開展針對(duì)終端用戶和工業(yè)設(shè)備的IPv6地址自動(dòng)配置隱私保護(hù)相關(guān)的技術(shù)應(yīng)用試點(diǎn)示范建設(shè)，以行業(yè)應(yīng)用為實(shí)踐載體不斷探索適應(yīng)我國(guó)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)和應(yīng)用需求的安全I(xiàn)Pv6地址管理技術(shù)體系。

審核編輯 ：李倩