IPv6在中国应用场景的安全简析
2018-09-26牟承晋
牟承晋
摘 要:美国因特网工程任务组(IETF)2017年7月14日發布RFC 8200号文件,宣布因特网协议第六版(IPv6)的最新标准(标准号STD 86),同时废弃1998年12月提出的RFC 2460 号文件(IPv6草案),并不再称IPv6是“下一代互联网(Internet)协议IPng”。因此,IPv6的采用和开发,应根据需要进行相应的审查和重新测试,以符合和支持最新IPv6标准。因特网区域工作组(IntArea)最近指出:“在过去几年中,全球范围广泛开始实施新的数据保护法规,正在对世界各地的技术公司和消费者产生巨大影响,导致IETF程序和监管要求中的某些先前建立的最佳实践成为不良做法。”然而,在现实中,除了数据保护法规(如CLOUD、GDPR)的影响之外,在 IPv6 的过渡过程中,一些至关重要的安全漏洞和风险被发现和警示。尤其是,美国国防部重新启动了IPv6过渡计划,并设置IPv6过渡进程为最低优先级。基于持续的研究和实践,文章对目前中国IPv6应用场景的就绪性和安全性作出简要的初步分析。
关键词:数据主权;数据管辖权;数据保护;数据脱敏;递归域名解析
中图分类号:TP309.2 文献标识码:A
Abstract: On 14th of July 2017, the IETF with the publication of RFC8200 announced that the Internet Protocol version 6 (IPv6) had become the latest Internet standard, meanwhile it obsoleted RFC2460 that was IPv6 specification initially released in December 1998. As a result, in order to be compliant with and support to the newest standard, IPv6 adoption and development should be accordingly reviewed and retested as needed. Recently Internet Area Working Group stated that, “In the past couple of years, new data privacy regulations with wide geographical scope are entering into effect with big effects for technology companies and technology consumers around the world. The combination of these changes, in IETF procedure and regulatory requirements, have caused some previously established best practices to become poor practices.” In reality, addition to data protection regulations (e.g. CLOUD, GDPR), some vital security vulnerabilities were tested and addressed during IPv6 transit. Especially, US DoD reinitiated IPv6 migration and made the progress in the lowest priority. Based on our successive research and best practice, a brief analysis of IPv6 readiness and security in the present China is given in this paper for all aspects of reference, validation and demonstration.
Key words: data sovereignty; data jurisdiction; data protection; data desensitization; recursive domain resolution
1 引言
美国因特网工程任务组(IETF)2017年7月14日发布的RFC 8200号文件(IPv6规范,标准号STD 86),宣布废弃1998年12月提出的RFC 2460 号文件(IPv6草案),并不再称IPv6是“下一代互联网协议IPng”。
这个过程,在美国经历了近20年的反复实验和广泛讨论。其深层次的原因,就是IPv6设计导致的诸多安全弊端难以避免,以致于未曾预料和考虑到一系列严重的安全和技术问题的涌现。美因特网工程任务组废弃RFC 2460 文号的IPv6草案,表明过去根据RFC 2460发生的所有协议和标准,都必须依照RFC 8200的原则重新审视和验证,不可照搬、照用,掉以轻心。
美军从2002年开始实施IPv6的过渡转型计划已经超过15年。美海军研究院和西点军校联合实验认为,IPv6的应用与安全问题无法得到及时发现、定位和解决。美国防部监察长认为,IPv6的网络安全威胁明显增加。美空军研究院报告,IPv6的主要系统架构不成熟、主机的安全防御和取证无法处理IPv6地址空间。北约网络协同防务合作中心(CCDCOE)指出,IPv6对网络攻击者几乎没有约束,网络入侵检测系统可以轻易被穿透,形成信息泄露的隐蔽隧道。美国防部已将过渡IPv6任务的优先级降到最低。
自IPv6草案提出20年以来,美因特网工程任务组也在发现和探索IPv6寻址安全问题方面大费周章,至少曾发出几项重要、不可回避的安全警示,如表1所示。
表1说明:因特网工程任务组(IETF)计划和努力提升IPv6地址的安全和隐私能力,包括三种主要类型:静态IPv6地址、半静态IPv6地址和动态IPv6地址。
综上所述,IPv6地址的安全和隐私保护,并不是孤立的技术和工程问题,直接关系到三个方面的相互关联:(1)数据管辖—涉及政策和策略以及多边和对等;(2)数据保护—涉及互联网(Internet)治理的方式和方法;(3)数据脱敏—涉及数据分享共享的“非零和”效应。
2018年3月23日,特朗普抢在欧盟相关法案生效之前,签署了美国会通过的《澄清合法使用境外数据的法案》(CLOUD),授权美国执法部门可以调取因特网所涉世界各地的网络和终端数据,允许任何国家将数据存储在美国。
欧盟《通用数据保护条例》法规,将于2018年5月25日生效执行,適用范围之广和惩罚力度之强都是前所未有。
波及全球的数据主权与安全之战,开打在即,直接到关系世界各国国家、企业和网民的重大利益,关系到各国网络空间主权和安全,关系各国国家主权和安全。
长期以来,美国“放任”我国全面接入因特网,已经构成我国网络空间从体系结构设计到建设发展实践,被美国全面掌握了实际控制权。
美军一再验证、报告IPv6不安全、不可靠。美国因特网工程任务组在2017年特别警示:全球开始实施的数据隐私法规对世界各地的技术公司和消费者产生巨大影响,导致IETF的程序和监管要求中的某些先前建立的最佳实践成为不良做法,并最终决定废弃20年前的IPv6草案。
本文仅就IPv6目前在我国的网络空间安全应用场景,作简要的初步分析。
2 部署IPv6的必要前提
下述必要前提目前并未实现或并未完全实现,只能暂作假设,希望有关部门可以迅速落实强有力的补救措施。
假设一:国内的网络应用环境完全实现端到端的纯IPv6,不涉及隧道接口、双栈转换等过渡模式,骨干网和接入网都已具备IPv6直接路由和交换功能。
假设二:国内IPv6地址的分配,已有严密、统一的管理机制,有权威的专业机构负责。
假设三:所有(或常用)的域名,都已具有分配的IPv6地址,或IPv6和IPv4双地址。
3 部署IPv6的必须流程与必然后果
下述安全情况的分析,建立在上述假设前提之上。
3.1 用户通常是向运营商申请IPv6地址
由于IPv6地址面向的是用户终端,一个企业或一
个单位或一个小区需要申请一组(或一段)IPv6地址,再组成本地网络(LAN)为每个个人用户和每个用户终端提供连接网络服务。
IPv6网络中涉及的所有各级防火墙,都必须开通和支持IPv6,否则必然发生断网。在精准定位的同时,个人隐私也暴露无遗,传统防火墙的防护功能和性能大打折扣。
3.2 递归域名服务器是域名空间的入口
任何网络的应用及端到端的互连互通,必须首先访问递归域名服务器,并通过递归域名服务器访问根域名系统,形成域名解析的迭代过程。
目前,国内专用的递归域名服务器都不支持IPv6,商用递归域名服务器也都没有经过完备的系统及应用测试,必然导致终端用户不得不使用境外支持IPv6的公共递归域名服务器(如谷歌、思科、甲骨文、IBM等),递归域名服务器系统又必然受制于人,网络流通的本源数据和信息不可避免地泄露和流失。
3.3 国内大部分域名都没有IPv6地址
目前,国内大部分域名都没有IPv6地址,特别是政府网站如xxx.gov.cn,域名解析结果还会是IPv4的地址,必然迫使接入网和骨干网的所有设备、管理和维护,必须同时具备支持IPv4和IPv6路由及交换的能力,技术实现的工程成本很大。
由于目前国内技术人员对IPv6的研发和支持能力普遍受限,全面实现IPv6的周期会因多维的复杂性出现波折和反复,甚至出现各种各类的“网络烂尾”。
3.4 依法申请网络内容服务商经营许可
在国内经营的境外企业,必须依法申请网络内容服务商(ICP)经营许可并注册.CN域名。国内有一些“ICP代理”和“门户代理”公司,擅自给境外注册的域名分配国内IP地址,并提供地址转换网关服务和所谓的“虚拟国际以太网专线”(简称V-IEPL),形成物理网络中的虚拟网络或隧道。政府在这方面的监管缺失,安全漏洞隐患极大。
3.5 没有IPv6根域名解析系统
我国没有IPv6根域名解析系统,镜像IPv6域名地址的系统解析能力有限。即便全国(网)开通和支持IPv6,还是要按美国制定的常规域名解析机制和路由规则,数据必须流转美国以及美国指定的映射监管站点,才能完成IPv6所有域名地址的系统解析。
我国目前开展的IPv6域名解析实验(即所谓中国“雪人”计划),仅是以部分镜像域名为背景的特定功能性研究,并将在2018年底结束。而从美国设在日本的因特网M根服务器接出的25个二级根域名服务器,实际上形成了以日本为中心、遍及全球针对中国IPv6地址的映射解析与数据监管系统,除美国、日本以外,印度、法国、德国、俄罗斯、意大利、西班牙、奥地利、智利、南非、澳大利亚、瑞士、荷兰等12国都参加了进来。
3.6 IPv6不兼容IPv4
目前,IPv4的网络体系不具备支持IPv6的必要条件。落实全面开通IPv6用户数量指标所需要的技术能力、工程支持、安全管理、资金投入、产业链同步等的就绪状态和差异程度,都将可能导致难以预料的负面影响。一旦完全满足了IPv6体系运行的必要条件,IPv4的服务则将逐步被终止。尽管我国网民和用户的网络应用还依赖于IPv4,全网实施IPv6过程中所涉及方方面面的任何一个环节脱节,都将可能造成IPv4断网停服,因而会引起社会强烈反响和用户重大损失。
其实,美国因特网工程任务组(IETF)早已宣布,放弃IPv6兼容IPv4的努力。
3.7 对IPv6和IPv4域名地址没有监管权
IPv6和IPv4的域名地址都是美国政府授权的因特网数字号码分配机构(IANA)设计、维护和分配的,中国政府和任何组织、单位都无权改变或自作主张处置,实际上没有监管权力和能力。
中国的关键信息基础设施,包括电力、金融等行业,使用.COM、.NET域名是普遍现象,但是经美国因特网数字号码分配机构核准和注册的域名及地址,中国根本管不了。
如果大量的外国公司和中国企业经美国核准和注册的域名伴随着IPv6网址进入中国。这个网络空间主权究竟属于谁?究竟谁有能力管控、治理网络信息安全?
4 网际防火墙的崩溃
我国现有“长城防火墙”是针对IPv4设计和部署的。国内外一些企业专门为中国IPv4的境内外用户和网民提供“爬墙”服务、服务器和大数据在境外托管服务等,国家监管措施无力。
基于IPv6的高校校园实验网,已经使某些大学生可以轻而易举地登录被禁的国外网站,“长城防火墙”形同虚设。从软件到硬件重新设计、开发、部署、维护IPv6监管防火墙谈何容易?
5 结束语
IPv6经历20年反复试验和广泛论证,全球采用与过渡状态缓慢且不平衡。深层次原因在于,IPv6设计旨在解决网络地址短缺,难以避免涉及和关联政治、经济、军事等更多宽泛领域,未曾预料和考虑到一系列涉及安全和治理问题的涌现。同时表明,IPv6的采用和过渡应结合我国网络空间的历史基础和应用现状,不可照搬、照用,掉以轻心。实践证明,没有针对数据主权强有力的预置安全保障措施,将会陷入网络空间受制于人的更加被动的困境。
参考文献
[1] S. Deering, et al, RFC8200, Internet Protocol, Version 6 (IPv6) Specification, July 2017.
[2] S. Deering, et al, RFC2460, Internet Protocol, Version 6 (IPv6) Specification, December 1998.
[3] Orrin Hatch, et al, 115TH CONGRESS, S. 2383, Clarifying Lawful Overseas Use of Data Act (CLOUD Act), FEBRUARY 6, 2018.
[4] Official Journal of the European Union, REGULATION (EU) 2016/679, General Data Protection Regulation (GDPR), April 2016.
[5] 牟承晉.主权是网络空间安全的第一要务[J].网络空间安全,2017,1.