黨的十九大報告提出“突出關鍵共性技術、前沿引領技術、現代工程技術、颠覆性技術創新,為建設科技強國、質量強國、航天強國、網絡強國、交通強國、數字中國、智慧社會提供有力支撐”。
基于IPv6的下一代互聯網不僅是關鍵共性技術、前沿引領技術,更可能催生颠覆性技術創新。IPv6即互聯網協議第六版,簡單理解就是一種新的IP網址協議,給每個聯網設備分配一個對應“門牌号”,幫助每個用戶順利找到對應的互聯網應用。
深刻認識IPv6的重大意義
互聯網是關系國民經濟和社會發展的重要基礎設施,深刻影響着全球經濟格局、利益格局和安全格局。TCP/IP協議是互聯網發展的基石,其中IP是網絡層協議,規範互聯網中分組信息的交換和選路。目前采用的IPv4協議地址長度為32位,總數約43億個IPv4地址已分配殆盡,服務質量也難以保證。
特别是作為全球擁有最多互聯網用戶、互聯網訪問量最大的國家,中國在IPv4時代沒有根服務器。從某種程度上來說,根服務器控制着全球範圍内的互聯網,主要用來管理互聯網的主目錄,是構建互聯網的關鍵設施之一。
全世界總共13台IPv4根服務器,唯一的主根服務器架設在美國,而輔根服務器有9個架設在美國,剩下3個分别位于英國、瑞典和日本。其中美國擁有IPv4地址最多,平均每個網民可分到近6個地址,而中國、巴西、墨西哥等發展中國家的網民人均僅有不到半個IPv4地址。
随着萬物智聯時代的到來,全球對IP地址的需求還将持續增長。據預測,到2020年全球互聯設備數将超300億,中國IP地址需求可能超過100億。
為應對IP地址的嚴重不足,上世紀90年代,負責互聯網國際标準制定的機構——互聯網工程任務小組(IETF)協調各方意見後,推出IPv6協議,并大力推廣。IPv6采用128位地址,将地址空間擴大到2的128次方。這個空間特别大,甚至可以給空中的塵埃和地球表面的每粒沙子分配地址。而且數據傳輸速度更快,基于IPv6的主幹網或城域網的傳輸速率,将比現在提高100倍到1000倍。
正如谷歌董事長施密特所言,未來将有數量巨大的IP地址、傳感器、可穿戴設備,以及雖感覺不到卻可與之互動的東西,時時刻刻伴随你。所有的設備都将通過傳感器和IP地址,通過新一代互聯網鍊接在一起。這樣一來,以人與人相聯為主導的傳統互聯網,将拓展為人與人、人與物、物與物相聯的新一代互聯網。
基于IPv6的新型地址結構為新增根服務器提供了契機。2013年,中國下一代互聯網國家工程中心聯合日本和美國相關運營機構和專業人士發起“雪人計劃”,提出以IPv6為基礎、面向新興應用、自主可控的一整套根服務器解決方案和技術體系。
2016年,“雪人計劃”在美國、日本、印度、俄羅斯、德國、法國、中國等全球16個國家完成25台IPv6根服務器架設,其中中國部署4台(1台主根服務器和3台輔根服務器),打破我國沒有根服務器的困境,形成了13台原有根加25台IPv6根的新格局。
能夠提供充足網絡地址和廣闊創新空間的IPv6,是全球公認的下一代互聯網商業應用解決方案。大力發展基于IPv6的下一代互聯網,有助于顯著提升我國互聯網的承載能力和服務水平,更好融入國際互聯網,共享全球發展成果,有力支撐經濟社會發展,赢得未來發展主動。
大力發展基于IPv6的下一代互聯網,有助于提升我國網絡信息技術自主創新能力和産業高端發展水平,高效支撐移動互聯網、物聯網、工業互聯網、雲計算、大數據、人工智能、區塊鍊等新興領域快速發展,不斷催生新技術新業态,促進網絡應用進一步繁榮,打造先進開放的下一代互聯網技術産業生态。
大力發展基于IPv6的下一代互聯網,有助于進一步創新網絡安全保障手段,不斷完善網絡安全保障體系,顯著增強網絡安全态勢感知和快速處置能力,大幅提升重要數據資源和個人信息安全保護水平,進一步增強互聯網的安全可信和綜合治理能力。
IPv6關乎國家安全、網絡安全和國計民生,必須加快推進規模部署,構建自主技術體系和産業生态。最近發生的舉國震驚的中興事件,無疑反證了我國部署IPv6下一代互聯網的緊迫性和重要性。當國民經濟都架設在他國的根服務器上面,潛在風險可想而知!
IPv6迎來重大機遇期
核心技術,一定要掌握在自己手中。這不僅是一句誓言,更是一種行動。突破封鎖,保障安全,進一步釋放中國巨大的商業應用價值。中國新一代互聯網要來了!
2017年11月,中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》(以下簡稱“IPv6行動計劃”),并發出通知,要求各地區各部門結合實際認真貫徹落實。
IPv6行動計劃提出,用5到10年時間,形成下一代互聯網自主技術體系和産業生态,建成全球最大規模的IPv6商業應用網絡,實現下一代互聯網在經濟社會各領域深度融合應用,成為全球下一代互聯網發展的重要主導力量。
按照IPv6行動計劃的要求,中國互聯網向IPv6演進升級将分為三個階段,2018年底完成20%,2020年底完成50%,2025年完成100%,8年時間實現國家信息基礎設施向IPv6演進升級。毫無疑問,這個遷移過程蘊藏着超級巨大的商機。
2018年5月3日,工業和信息化部發布關于貫徹落實《推進互聯網協議第六版(IPv6)規模部署行動計劃》的通知。通知提出,實施LTE網絡端到端IPv6改造,到2018年末,移動互聯網IPv6用戶規模不少于5000萬戶(基礎電信企業已分配IPv6地址且一年内有IPv6上網記錄的用戶),其中,中國電信集團有限公司(簡稱中國電信)用戶不少于1000萬戶,中國移動通信集團有限公司(簡稱中國移動)用戶不少于3000萬戶,中國聯合網絡通信集團有限公司(簡稱中國聯通)用戶不少于1000萬戶。加快固定網絡基礎設施IPv6改造。推進應用基礎設施IPv6改造,包括數據中心、内容分發網絡(CDN)、雲服務平台、域名系統。開展政府網站IPv6改造與工業互聯網IPv6應用。強化IPv6網絡安全保障。
這份通知為何如此受到關注?除了明确市場用戶的改造規模,而且把國内的頂級互聯網機構全部囊括進去了:中國電信、中國移動、中國聯通、中國廣播電視網絡、中國互聯網信息中心(CNNIC)、華為、阿裡巴巴、百度、騰訊、京東、小米、金山雲、青雲、網宿科技、啟明信息、魅族科技、三五互聯等。
新一代互聯網,這次中國捷足先登了。那麼新一代互聯網的市場空間有多大?美國市場研究公司Gartner預測:到2020年,物聯網将帶來每年300億美元的市場利潤,屆時将會出現25億個設備連接到物聯網上,并将繼續快速增長。麥肯錫的預測更驚人:到2025年,市場規模将達11.1萬億美元(相當于60萬億人民币)。
中國廣播電視網絡公司副總經理曾慶軍表示,中國下一代互聯網(IPv6)建設目前正在全國推開。2018年末,全國IPv6活躍用戶數将達到2億,用戶占比不低于20%,互聯網骨幹網、廣電骨幹網全面支持IPv6;2020年末,全國IPv6活躍用戶數超過5億,用戶占比超過50%,市地級以上新聞及廣播電視媒體網站系統,廣電網絡全面支持IPv6。
中國信息通信研究院科技委主任蔣林濤教授表示,到現在為止,從IPv6産業方面看,中國僅次于美國,是世界第二大國。中國的IPv6産品在全世界占主導,技術上也沒有任何障礙。
在蔣林濤看來,要幹成事情,總體上需要兩輪驅動,一個是國家驅動,一個是市場驅動。現在國家驅動力量非常強,需要國家下一代互聯網産業技術創新戰略聯盟這樣的産業組織協助國家把市場驅動這個輪子轉起來。
在5月3日召開的第二屆中國下一代互聯網(IPv6)建設及應用峰會上,聯盟發布了3個目标,第一個标準是IPv6和IPv4融合互聯場景;第二個是IPv6和IPv4融合互聯架構和技術要求;第三個是發布IPv4和IPv6融合互通網關4倍的技術規範。
蔣林濤表示,要把握5G發展契機,積極推動IPv6建設。衆所周知,5G和工業互聯網技術在傳統IPv4技術下是無法驅動的,需要IPv6的支持才能實現,而我國5G技術的發展處于國際領先地位,這恰恰為推動IPv6的建設提供一個良好的契機。
IPv6的網絡安全隐患
構建基于IPv6的可信任下一代互聯網,是一項長期而艱巨的任務。雖然IPv6與IPv4相比,在安全性方面進行了預先設計和充分考慮,但仍然存在一些難以解決的安全隐患。
中國工程院院士邬賀铨在《IPv6與網絡安全》一文中表示,IPv6體系給網絡安全的發展提供了新的機遇,但原有的網絡安全的一些問題并不因IPv6就自動消失。由于IP網絡傳輸的本質沒有發生變化,所以IPv6同樣會面臨現有IPv4網絡下的分片攻擊(産生大量分片或發送不完整的分片報文來耗費防火牆資源或處理時間)。IPv4網絡中除IP層以外的其他四層中出現的攻擊在IPv6網絡中依然會存在。
在IPv6根服務器體系下,其主服務器還需要從IANA(互聯網數字分配機構)的頂級域服務器獲得根區更新數據,在數據來源上與IPv4沒有區别。雖然從2016年10月起,IANA的職能已從美國政府移交到ICANN(互聯網名稱及數字地址分配機構),ICANN表面上是多利益相關方社群,但美國政府的影響力不可忽視。特朗普政府的網絡安全首席顧問托馬斯·博賽特就曾公開表示:“互聯網是美國的發明,應該在塑造所有國家未來的過程中,能夠反映美國價值觀”。如何保證從根區管理系統獲取的數據不被劫持或篡改,不僅需要有技術手段,還需要從推動ICANN管理機制的改革入手,共同構建和平、安全、開放、合作的網絡空間,建立多邊、民主、透明的國際互聯網治理體系。
IPv6海量的地址規模提供了上網實名制的基礎,海量地址的查詢變得更加複雜,但是攻擊者仍然可以通過IPv6前綴信息搜集、隧道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息從而發起攻擊。
邬賀铨在文章中指出,IPv6還會帶來網絡安全的新挑戰,攻擊者可利用IPv6報文的擴展報頭(可選且多種)構造包含異常數量擴展頭的報文,防火牆為解析報文将耗費大量資源,從而影響轉發性能。在IPv6中采用NDP(鄰居發現協議)取代現有IPv4中ARP(地址解析協議),但實現原理基本相同,針對ARP的攻擊如地址欺騙和泛洪等。在IPv6中仍然存在,發送錯誤的路由器宣告和重定向消息等引IP流轉向,達到DDoS、攔截和修改數據的目的。再者,IPv6的無狀态地址自動分配機制也可能使非授權用戶更容易接入和使用網絡。此外,IPv6海量的地址以及有可能按地址所分類的業務來選路,将帶動新的路由體系和新的選路協議的開發,可能會引入新的安全漏洞。
從IPv4向IPv6過渡将要持續一段時間,過渡與互通方案也會帶來新的安全問題,攻擊者可以利用過渡協議的安全漏洞來逃避安全監測乃至實施攻擊行為,IPv4overIPv6或IPv6overIPv4的隧道機制對任何來源的數據包隻進行簡單的封裝和解封,沒有内置認證、完整性和加密等安全功能,并不對IPv4和IPv6地址的關系做嚴格的檢查,攻擊者可以随意截取隧道報文,通過僞造外層和内層地址僞裝成合法用戶向隧道中注入攻擊流量,防火牆可能形同虛設。翻譯技術将IP流在IPv4/IPv6間轉換,可能會受到如NAT設備常見的地址池耗盡等DDoS攻擊。未來在規模部署中還會出現更多的網絡安全問題。
在關于IPv6規模部署的行動計劃中,網絡安全提升是其中的重要任務,包括的内容有:升級改造現有網絡安全保障系統,提升對IPv6地址和網絡環境的支持能力。嚴格落實IPv6網絡地址編碼規劃方案,加強IPv6地址備案管理,協同推進IPv6部署與網絡實名制,落實技術接口要求,增強IPv6地址精準定位、偵查打擊和快速處置能力。開展針對IPv6的網絡安全等級保護、個人信息保護、風險評估、通報預警、災難備份及恢複等工作。開展IPv6環境下的工業互聯網、物聯網、雲計算、大數據、人工智能等領域網絡安全技術、管理及機制研究工作。強化網絡數據安全管理及個人信息保護能力,确保網絡安全。
到2020年,物聯網将帶來每年300億美元的市場利潤,屆時将會出現25億個設備連接到物聯網上,并将繼續快速增長。100~1000倍
基于IPv6的主幹網或城域網的傳輸速率,将比現在提高100倍到1000倍。