如今IPv4(互聯(lián)網(wǎng)協(xié)議第4版)地址趨近枯竭，IPv6(互聯(lián)網(wǎng)協(xié)議第6版)由于能提供充足的網(wǎng)絡地址，因此成為全球公認的下一代互聯(lián)網(wǎng)商業(yè)應用解決方案。然而，近日有媒體刊文稱，IPv6的普及，可能會導致越來越多的物聯(lián)網(wǎng)設備從原本的“隱蔽”狀態(tài)轉向“暴露”狀態(tài)，整體安全風險隨之增加。

那么事實真是如此嗎?由此可能會產(chǎn)生哪些危險?針對這些問題，科技日報記者采訪了相關專家。

普及IPv6會增加設備暴露風險

IPv6是互聯(lián)網(wǎng)工程任務組(IETF)設計的下一代IP協(xié)議，它的提出很大程度上是為了解決IPv4網(wǎng)絡地址資源受限問題。同時，IPv6本身將安全性作為重要的設計準則之一，客觀上較IPv4的安全性更強。IPv6的應用與普及，不僅解決了網(wǎng)絡地址資源數(shù)量受限的問題，更重要的是，它解決了此前多種設備連網(wǎng)的技術問題。

設備以單獨IP地址直接連入網(wǎng)絡，需要占用大量的地址空間。在IPv4時代，因地址數(shù)量有限，相關技術人員多采用NAT(Network Address Translation，網(wǎng)絡地址轉換)技術來解決網(wǎng)絡地址不足的問題。即通過NAT給用戶分配內(nèi)網(wǎng)地址而非公網(wǎng)地址，從而將使用NAT技術的設備“隱藏”起來。外界無法看到該設備的內(nèi)網(wǎng)地址，只有通過NAT轉換才能連上內(nèi)網(wǎng)設備，由此可以有效降低來自網(wǎng)絡外部的攻擊風險。

“IPv6極大地拓展了地址空間，地址數(shù)量夠用了，也就無需再使用NAT技術了。每臺物聯(lián)網(wǎng)設備均可配有獨立的公網(wǎng)地址，以供公網(wǎng)直接訪問。”北京理工大學網(wǎng)絡攻防對抗技術研究所所長閆懷志告訴科技日報記者，原本在IPv4環(huán)境中“隱蔽”在NAT技術下的物聯(lián)網(wǎng)設備，在采用IPv6后，就會以公網(wǎng)地址示人了。因此，這確實有可能導致物聯(lián)網(wǎng)設備暴露數(shù)量的劇增。同時，在擁有公網(wǎng)地址后，物聯(lián)網(wǎng)設備地址變化的可能性大大降低，這也為攻擊者持續(xù)跟蹤分析提供了便利。

此外，較之傳統(tǒng)IP網(wǎng)絡，在閆懷志看來，物聯(lián)網(wǎng)可能會存在更多安全隱患。“物聯(lián)網(wǎng)設備大多屬于軟硬件高度耦合型系統(tǒng)，不僅可能存在軟件缺陷，也可能存在硬件漏洞，而且設備故障可在軟硬件之間傳播。”閆懷志說。

“牽手”路上還有不少攔路虎

除了會增加設備“露頭被打”的風險外，物聯(lián)網(wǎng)“牽手”IPv6還有其他“甜蜜的負擔”——比如廉價設備難以承載IPv6協(xié)議、高昂的設備監(jiān)管成本等等。

閆懷志介紹道，傳統(tǒng)設備很多是難以聯(lián)網(wǎng)的“啞”設備。“這種設備即便具有聯(lián)網(wǎng)功能，通常也只能支持IPv4。如果這些設備要用IPv6協(xié)議接入物聯(lián)網(wǎng)，無論是利用隧道技術對其進行改造，還是在這些設備上直接添加軟硬件模塊，都會增加設備制造成本，也在一定程度上會阻礙物聯(lián)網(wǎng)推廣應用。”他說。

同時，傳統(tǒng)的“IPv4地址+NAT”解決方案仍有較大的市場空間。利用NAT技術，即便不使用IPv6，企業(yè)、學校等機構也能使其物聯(lián)網(wǎng)設備連網(wǎng)，無需為其分配公網(wǎng)IP。“接入IPv6，前期需要一筆不小的投入，大家都想少花錢、多辦事，因此會有更多人愿意選擇原有的NAT技術。”閆懷志說。

“IPv6與物聯(lián)網(wǎng)二者‘聯(lián)姻’，是大勢所趨、不可阻擋，但從實際普及進展來看，還存在諸多困難和挑戰(zhàn)。首先，將IPv6應用于物聯(lián)網(wǎng)，其高昂的成本就是第一只攔路虎。其次，現(xiàn)有大量物聯(lián)網(wǎng)設備應用的都是IPv4協(xié)議系統(tǒng)，因此必須使其能同時兼容IPv6和IPv4。”北京志通天下科技有限公司網(wǎng)絡事業(yè)部總監(jiān)曾佳說。

那么，為什么會出現(xiàn)這些推廣和普及方面的障礙呢?

實際上，中國是最早成功應用IPv6的國家之一，早期曾一度實現(xiàn)全球領先。但由于種種原因，在2008年之后應用推廣速度減緩，業(yè)內(nèi)人士對我國IPv6 “起了個大早，趕了個晚集”的現(xiàn)狀痛心不已。同時，采用“IPv4地址+NAT”方案來緩解IP地址短缺的折中方案，使得運營者和用戶落入IPv4的“舒適區(qū)”中無法自拔。由于技術和市場的雙重制約，IPv6生態(tài)遠未形成，導致我國從IPv4向IPv6遷移進度緩慢。“這些原因，嚴重貽誤了我國部署推廣IPv6的有利先機。”閆懷志說。

現(xiàn)階段是難得的“磨合期”

2017年，中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》，其中提到要在近年開展IPv6環(huán)境下工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等領域網(wǎng)絡安全技術、管理及機制研究工作。

“雖然IPv6與物聯(lián)網(wǎng)的結合應用還存在諸多問題和困難，但這些都可以通過不斷完善來解決。推進IPv6在物聯(lián)網(wǎng)應用領域的落地工作，既有必要又有可能。”閆懷志說。

從技術上看，為降低落地難度，可以因地制宜，針對不同情況采取不同方案。比如，采用“本地+IPv6互聯(lián)”方式，本地物聯(lián)網(wǎng)設備互聯(lián)仍采用現(xiàn)有技術，而在大范圍聯(lián)網(wǎng)時采用IPv6技術。條件具備時，可改進IPv6路由機制，將IPv6直接延伸至本地物聯(lián)網(wǎng)，使其滿足低算力、低功耗、低容量的物聯(lián)網(wǎng)環(huán)境組網(wǎng)需求。

從管理上來看，國家應出臺相應的鼓勵政策，在資金、生產(chǎn)、經(jīng)營等方面給予優(yōu)惠，引導網(wǎng)絡運營商、物聯(lián)網(wǎng)用戶向“IPv6+物聯(lián)網(wǎng)”的方向加速轉移。

此外，國家還可以在條件基本具備的領域或地區(qū)建立“IPv6+物聯(lián)網(wǎng)”應用試點，培育形成示范效應，并將可復制的成功經(jīng)驗，逐步向全行業(yè)、全國推廣。在這個過程中，還應主動推動工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能以及網(wǎng)絡空間安全等新技術與“IPv6+物聯(lián)網(wǎng)應用”的深度融合，形成中國信息高科技領域良性互動、永續(xù)發(fā)展的生動局面。

在閆懷志看來，目前IPv6大規(guī)模應用還處在試點階段，此時正是蹣跚學步的IPv6“牽手”物聯(lián)網(wǎng)的好時候。

“大規(guī)模應用試點階段是難得的‘磨合期’，正好可從頂層架構來設計IPv6與物聯(lián)網(wǎng)的深度融合。物聯(lián)網(wǎng)萬物互聯(lián)的理念和IPv6地址充足的特點，決定了二者緊密結合的趨勢不可逆轉。物聯(lián)網(wǎng)需要IPv6的支持，反過來物聯(lián)網(wǎng)的普及又必將對IPv6的發(fā)展產(chǎn)生巨大的推動作用。”他說。

當前，“互聯(lián)網(wǎng)+”時代的到來，對物聯(lián)網(wǎng)的應用提出了強烈需求。閆懷志認為，我國推進IPv6與物聯(lián)網(wǎng)的結合，應在“需求牽引”的利好形勢下，加速“技術推動”，牢牢抓住IPv6的發(fā)展契機，以物聯(lián)網(wǎng)的發(fā)展為依托，大力加快IPv6取代IPv4的進程。同時，應充分發(fā)揮IPv6在地址空間充足、節(jié)點冗余性強、移動性好的優(yōu)勢，使之成為物聯(lián)網(wǎng)應用的核心基礎網(wǎng)絡技術。

關鍵詞： IPv6普及 設備暴露