文/本刊记者 王左利

近日，2018 ISC互联网安全大会在北京举行，IPv6安全成为大会热议话题。

自去年年底中共中央办公厅、国务院办公厅发布《推进IPv6规模部署行动计划》以来，各大运营商和主流互联网企业纷纷制定IPv6路线图，向IPv6过渡的大潮正在各行业掀起。

向IPv6过渡是互联网演进升级的一大趋势，是技术产业创新发展的重大契机，同时也是网络安全能力强化的迫切需要。但毫无疑问，从IPv4过渡到IPv6过程中，仍然将面临不少安全挑战。

在ISC大会上，中国工程院院士方滨兴在会上表示，网络空间安全需要重新定义，他主张从风险纬度、保护纬度和方法纬度重新规划网络空间安全。国家网络空间安全发展创新中心郭毅对IPv6的安全进行了分析，他认为，升级到IPv6，网络首先要面对非IPv6特有的安全威胁，包括如下几点：第一，应用层协议或服务导致的漏洞在网络层无法消除；第二，利用嗅探工具实施网络嗅探，可能导致信息泄露；第三，设备仿冒接入网络；第四，未实施双向认证的情况下，可实施中间人攻击；第五，洪泛攻击。其次是IPv6的特性带来新的脆弱性。

清华大学李星教授也表示，IPv6在过渡期间的安全应被重点关注。其原因在于木桶短板效应——如果一个系统既有IPv4又有IPv6，黑客最容易找到漏洞，因此，实施IPv4和IPv6的双栈网络安全代价是单栈的数倍。他同时也表示，如果能采用翻译技术把IPv4和IPv6隔开，安全状况会好很多。

IPv6安全的背后还照映着未来互联网的安全。网络安全需要对现有体系进行修正和“缝补”，更应着眼体系结构重新审视。在ISC大会上，中国工程院院士、清华大学吴建平教授表示，提升互联网安全可信主要有两种途径：一种是传统思路，对出现的安全攻击，以打补丁的方式解决单一问题；另一种是创新思路，从体系结构着眼解决互联网安全的挑战。他提出，缺乏源地址验证成为互联网最重要的安全隐患之一，从互联网体系结构上解决全网真实源地址验证与数据溯源，可以为解决互联网安全问题提供重要技术途径。IPv6真实源地址验证体系结构SAVA正好解决这一问题，实现了全网源地址验证、精确定位和地址溯源。他认为，“从零开始，要回归到技术本身看互联网的安全问题。掌握互联网关键核心技术是解决互联网安全问题的‘命门’，互联网体系结构是互联网安全的重要基石；IPv6下一代互联网给网络空间安全关键核心技术创新和发展带来历史性机遇和挑战。”