導語

互聯(lián)網(wǎng)協(xié)議第六版（IPv6）是互聯(lián)網(wǎng)升級演進的必然趨勢、網(wǎng)絡技術創(chuàng)新的重要方向、網(wǎng)絡強國建設的基礎支撐。《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》等系列文件的印發(fā)，加速了IPv6在我國的規(guī)模部署，有效促進了我國IPv6流量和規(guī)模的持續(xù)提升。同時，IPv6作為重要的互聯(lián)網(wǎng)基礎資源也面臨著服務能力和安全保障等多方面的挑戰(zhàn)，尤其是在工業(yè)互聯(lián)網(wǎng)領域，對IPv6地址配置安全性、可靠性等方面均有更高要求。

目前針對工業(yè)互聯(lián)網(wǎng)的安全防護體系主要包含設備安全、網(wǎng)絡安全、數(shù)據(jù)安全、控制安全和應用安全等多個方面。IPv6地址作為工業(yè)互聯(lián)網(wǎng)重要基礎資源，其安全配置和管理是上述各項安全防護內容的基礎和保障。因此需要密切關注IPv6在工業(yè)環(huán)境規(guī)模化應用中地址配置的安全風險，持續(xù)跟蹤前沿技術發(fā)展，不斷優(yōu)化和完善地址安全保護方法，并積極圍繞工業(yè)互聯(lián)網(wǎng)應用特點開展相關的標準化研究、技術實驗和應用推廣工作。

2017年11月26日，中共中央辦公廳、國務院辦公廳聯(lián)合印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》文件，該文件明確指出要加快推進工業(yè)互聯(lián)網(wǎng)IPv6應用，選擇典型行業(yè)、重點企業(yè)開展工廠企業(yè)網(wǎng)絡改造，創(chuàng)新工業(yè)互聯(lián)網(wǎng)應用，構建工業(yè)互聯(lián)網(wǎng)IPv6標準體系。

1

工業(yè)網(wǎng)絡IPv6升級改造需求迫切

隨著物聯(lián)網(wǎng)的快速發(fā)展，海量、異構且資源受限的物理對象需要連接到互聯(lián)網(wǎng)，并實現(xiàn)跨域、實時的信息流動和動態(tài)交互，這對底層網(wǎng)絡和系統(tǒng)帶來了巨大挑戰(zhàn)。聚焦到工業(yè)互聯(lián)網(wǎng)領域，越來越多的工業(yè)設備和傳感器件接入到網(wǎng)絡，并具有潛在的端到端通信和交互需求，因此其對IP地址資源的需求十分巨大。IPv6在解決工業(yè)互聯(lián)網(wǎng)海量地址需求的同時，能夠為眾多企業(yè)內網(wǎng)設備提供全球唯一地址，為實現(xiàn)更大范圍高效的端到端數(shù)據(jù)交互和信息共享提供了基礎，此外，IPv6地址的可追溯性和易管理性，也是其適用于工業(yè)互聯(lián)網(wǎng)的重要原因之一。由此可見，隨著工業(yè)互聯(lián)網(wǎng)建設中網(wǎng)絡IP化趨勢不斷凸顯，IPv6地址的廣泛應用成為工業(yè)互聯(lián)網(wǎng)快速發(fā)展的必然選擇。

同時，全面網(wǎng)絡連接、數(shù)據(jù)互通趨勢下的工業(yè)體系加速開放融合，傳統(tǒng)工業(yè)體系相對封閉隔離環(huán)境下以生產安全為導向的局域管理和運維模式，已無法適應復雜多變的工業(yè)互聯(lián)網(wǎng)應用環(huán)境。在智能制造環(huán)境下，為實現(xiàn)更廣泛的信息互通，IPv6需要深入應用到自動控制等生產環(huán)節(jié)，且將更多地使用公有地址，這些顯著的變化，對IPv6地址的管理能力提出了更高要求。進一步，工業(yè)互聯(lián)網(wǎng)地址配置是IPv6地址應用的基礎，是工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)淖畹讓颖Ｕ?，必將需要更高的安全可信機制保障。

2

IPv6地址的自動配置機制

IPv6在解決了IPv4地址資源匱乏問題的同時，也定義了更靈活的地址配置機制，極大提高了IP地址的配置效率?；ヂ?lián)網(wǎng)工程任務組（Internet Engineering Task Force，IETF）定義了IPv6有狀態(tài)和無狀態(tài)兩種地址自動配置機制，即DHCPv6（Dynamic Host Configuration Protocol for IPv6）和SLAAC（Stateless Address Auto-configuration）。

互聯(lián)網(wǎng)工程任務組（Internet Engineering Task Force，簡稱IETF）是全球互聯(lián)網(wǎng)界權威的大型技術研究和標準制定的國際組織，IETF制定的技術標準是互聯(lián)網(wǎng)運行的核心技術協(xié)議，保障了互聯(lián)網(wǎng)的持續(xù)發(fā)展。IETF的標準以RFC（Request For Comments）的形式發(fā)布。IETF已經成為互聯(lián)網(wǎng)技術發(fā)展和標準化的重要平臺。

基于DHCPv6協(xié)議的有狀態(tài)自動地址配置通過DHCPv6消息交互機制來實現(xiàn)IPv6地址和相關網(wǎng)絡參數(shù)的自動配置，能夠為主機分配IPv6前綴、IPv6地址和其它網(wǎng)絡參數(shù)。由于能夠分配IPv6前綴，使其能夠更便捷的在全網(wǎng)絡自動配置和管理中進行應用。

SLAAC方式則是節(jié)點接收到網(wǎng)絡前綴后，依據(jù)底層網(wǎng)絡接口的以太網(wǎng)地址（MAC地址）生成64位后綴（IID, Interface ID），并結合網(wǎng)絡周期性通告的64位前綴生成對應的IPv6地址，該配置方法下IID（至少在理論上）是全局唯一的。

IPv6地址自動配置機制使得工業(yè)網(wǎng)絡（尤其是局域網(wǎng)）的管理更加方便和快捷，但與此同時，在技術層面和管理層面也仍存在著較大安全風險。

3

IPv6地址自動配置機制

帶來的安全挑戰(zhàn)和風險

伴隨IPv6地址自動配置機制的廣泛應用，與之相對應的網(wǎng)絡安全及管理問題也越發(fā)凸顯。

基于DHCPv6協(xié)議消息依然廣泛采用明文的方式傳輸，使得其消息中的隱私信息容易遭受攻擊。RFC3315中曾定義了一種完整的認證機制。該機制設計了一種服務器和客戶端共享的對稱密鑰，以實現(xiàn)服務器對客戶端的認證，但其對鏈路主動攻擊的防范效果不足；進一步地，RFC7824系統(tǒng)分析了DHCPv6中用戶隱私方面的問題；也有相關研究嘗試通過定義對稱密鑰認證和加密機制，以防范類似欺騙等主動攻擊，以防范類似欺騙等主動攻擊，及端口檢測等被動攻擊。

SLAAC方式中基于IID實現(xiàn)的地址配置機制也存在安全隱患。SLAAC方式下，節(jié)點依據(jù)底層網(wǎng)絡接口的MAC地址生成64位IID，并結合網(wǎng)絡周期性通告的64位前綴生成IPv6地址。因此，惡意攻擊者可以通過從不同網(wǎng)絡的流量中進行地址的IID對比輕易歸類設備，并進一步分析其潛在行為。

隨著網(wǎng)絡應用模式的不斷演進，特別是工業(yè)互聯(lián)網(wǎng)在生產環(huán)節(jié)的深化以及業(yè)務融合中的作用不斷凸顯，各類網(wǎng)絡服務在需要穩(wěn)定可達的同時也必然具有更高的隱私保護需求。

4

IPv6地址安全配置相關技術

1） 基于認證和通信加密技術實現(xiàn)對DHCPv6安全保護優(yōu)化

在傳統(tǒng)DHCPv6協(xié)議中，DHCPv6協(xié)議容易受到各種攻擊和竊聽風險，因此可以采用客戶端認證和通信加密兩種方式的綜合應用以提高安全性。例如在服務器身份認證時，可利用匿名Information-Request交換的方式確認身份。除此之外，還可定義簽名選項用來驗證DHCPv6消息的完整性以及對客戶端和服務器進行認證。安全的DHCPv6服務器則能夠通過加密與客戶端交互的報文信息，對客戶端的合法身份進行驗證，接受并響應合法客戶端的配置請求，分配及回收管理IPv6地址與其他參數(shù)，管理配置信息，協(xié)調其它網(wǎng)絡管理系統(tǒng)。通信加密方案中，安全DHCPv6報文格式還可以通過設置算法選項、證書選項、簽名選項等的進行相應的安全保障設計。

2）通過地址動態(tài)化實現(xiàn)SLAAC安全保護優(yōu)化

針對MAC地址信息涉及的網(wǎng)絡設備的制造商、物理位置和移動軌跡等用戶信息安全、隱私泄露和惡意攻擊風險。相關研究嘗試通過設計若干方法來實現(xiàn)地址隨機分配，而不必與MAC地址綁定。例如，RFC3972提出了密碼生成地址機制

（Cryptographically Generated Addresses），采用對設備公鑰等信息的哈希來生成其IPv6地址的IID。此外，RFC4941也提出了IPv6隱私擴展機制，定義了臨時地址概念，該地址按照一定時間周期變化，在實際部署中，操作系統(tǒng)通常還需要采用隨機數(shù)來規(guī)避因密碼生成地址機制帶來的地址計算泄露風險。IETF 6MAN工作組個人草案《SLAAC with prefixes of arbitrary length in PIO (Variable SLAAC) - A Problem Statement》（2022年4月提交第四版）則進一步針對動態(tài)SLAAC的用例和實現(xiàn)進行了詳細說明。其它基于IPv6地址自動配置安全配置的鄰居發(fā)現(xiàn)、擴展地址應用草案RFC8928、RFC8981等也相繼被提出。

IETF也同時開展了對傳統(tǒng)SLAAC算法的替代方案研究工作，已正式發(fā)布RFC8064，明確用RFC7217取代傳統(tǒng)SLAAC算法，并提出不建議任何算法在IPv6地址生成中嵌入終端設備的MAC地址。同時，RFC7217中提出的模糊接口標識算法還支持終端在一個網(wǎng)絡中配置穩(wěn)定的IPv6地址。

上述技術方案雖在不同層面解決了地址信息泄露、認證和加密等安全問題，但由于其受操作系統(tǒng)、硬件配套要求和應用效率等多方面因素影響，目前仍未形成較為廣泛的應用局面。

后續(xù)的研究和工作建議

隨著工業(yè)互聯(lián)網(wǎng)場景中接入設備量激增及端到端交互需求的進一步凸顯，網(wǎng)絡設備身份和關鍵基礎信息在通信過程中的安全隱患不斷加劇。結合國際相關標準推進工作，圍繞工業(yè)互聯(lián)網(wǎng)領域開展我國在IPv6地址分配機制及與其相適應的安全管理方法研究工作具有十分必要且重要的意義，建議重點從技術跟蹤、測試驗證和示范應用等三方面開展后續(xù)工作。

一是密切跟蹤國際IPv6前沿技術的發(fā)展，支撐工業(yè)互聯(lián)網(wǎng)安全應用。從全球層面看，IPv6的部署和應用已經進入加速發(fā)展的階段，圍繞網(wǎng)絡擴展協(xié)議、地址安全配置優(yōu)化等相關的前瞻性研究仍在持續(xù)開展。為保證我國IPv6網(wǎng)絡和工業(yè)互聯(lián)網(wǎng)建設的先進性和可靠性，應圍繞上述研究方向長期密切跟蹤國際發(fā)展趨勢和動態(tài)，并積極融入和參與IETF等國際化組織針對路由尋址、隱私安全等的相關技術研究和標準推進工作中，進一步提升我國在該技術領域的主動性。

二是加強相關技術在我國的測試驗證和配套研究。IPv6是下一代互聯(lián)網(wǎng)的核心，目前已開展的IPv6及相關地址配置機制的優(yōu)化研究能夠一定程度解決工業(yè)設備應用安全和生產系統(tǒng)隱私泄露的問題，但仍然存在大規(guī)模應用的系統(tǒng)性、可靠性問題。在關注前沿技術發(fā)展的同時，也應積極開展基于IPv6的相關地址配置安全優(yōu)化技術研究及應用的技術測試和試驗驗證工作，并重點針對工業(yè)互聯(lián)網(wǎng)等典型網(wǎng)絡環(huán)境，適時加快相關技術實施、運行環(huán)境配置、適應性評估要求等標準規(guī)范和指導性文件的制定。

三是加強關鍵工業(yè)行業(yè)的探索應用和試點示范性建設。充分利用我國互聯(lián)網(wǎng)行業(yè)的優(yōu)質資源，組建有針對性的研究、試驗、應用聯(lián)合團隊，通過在工業(yè)互聯(lián)網(wǎng)典型場景中開展針對終端用戶和工業(yè)設備的IPv6地址自動配置隱私保護相關的技術應用試點示范建設，以行業(yè)應用為實踐載體不斷探索適應我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡架構和應用需求的安全IPv6地址管理技術體系。

審核編輯 ：李倩