总体来说,IPv6相对于 IPv4的优势和特点最根本的还是极大的地址空间数量,地址空间数量的增加意味着在地址规划设计和地址分配有更多的自定义前缀可供使用。举个简单的例子,原先对于某个企业在进行地址分配时,由于IPv4地址前缀有限,通常只能按照楼层或者部门分配,而使用 IPv6时有更多的地址前缀,可以从楼层、部门、业务和终端类型等多种维度综合设计地址分配方案,便于后期的地址分类和层级管理。
现有的IPv4网络中大规模应用 NAT技术,在网络接入层存在大量私网。前文提到过,由于使用NAT技术虽然从一定限度上解决了地址资源有限的问题,但是私网地址的存在又导致了很多其他的问题,例如,NAT 技术屏蔽了用户的真实地址,很多需要准确知道用户身份的应用难以开展;端到端的保障网络服务质量无从谈起,用户躲在 NAT后无法做流媒体穿越将影响 CDN的效果;地址转换无法对用户溯源,对网络安全有不利影响等。通过IPv6规模部署,其海量地址资源可以为网络中每个终端提供唯一的公网地址。从互联网企业角度分析,没有 NAT的地址转换环节,采用IPv6传递服务在下载时间方面改进用户体验,同时纯IPv6的数据中心能降低运维的复杂性。随着互联网和移动互联网的发展,互联网应用和网页内容服务中对用 户的精准定位、差异化服务对提升用户体验会起到极大的作用,通过基于 IPv6网络协议的研发同样因为减少 NAT环节,降低程序和应用的复杂性,提高开发效率,因此全球超过 80%的桌面 OS和全部移动智能终端 OS已经能够完美支持 IPv6,并且Android、iOS实现了双栈环境下 IPv6访问优先。苹果公司在 WWDC2015宣布于2016年6月 1日之后发布的应用必须支持纯 IPv6的网络环境,否则 APP不上架苹果商店。
虽然IPv6技术本身具有 IPSec、AH和 ESP等安全机制,但是从国家和监管层面,更关注的是整体互联网安全及监管,IPv6规模部署更大限度是由于便于溯源的特点,通过规范的地址规划和分配,IPv6丰富的地址资源有可能为每个用户和终端 配置独一无二的地址,在提供端到端的服务及精细化的管理之外,也为互联网安全监管提供了技术基础。例如,美国国防部和美国政府从资金和强制要求两方面引领美国 IPv6的发展,美国还建立了 USGv6发展监控项目,长期对政府、高校、企业网站和DNS进行监测。从整体上看,IPv4协议的设计没有任何的安全考虑,特别是报文地址的伪造与欺骗使得无法对网络进行有效的监管和控制。因此,当出现网络攻击与安全威胁时,我们只能围绕攻击事件做好事前、事中和事后的防范、检测和过滤防御,缺乏有效的技术支撑手段,无法对攻击者形成真正的打击和管控。但是在 IPv6规模部署后,在网络安全机制上提供了新的解决思路,IPv6网络的安全体系下,用户、报文和攻击可以一一对应,用户对自己的任何行为都必须负责,具有不可否认性,所以 IPv6建立起严密的围绕攻击者的管控机制,实现对用户行为的安全监控。这种模式的转变,简单说就是从原先的被动防御网络攻击,逐步转变成让不法之徒不敢攻击,并不是说通过使用 IPv6网络后就一定没有网络攻击,但是身份唯一、不可否认性和利于溯源的特点,会提高网络攻击的技术成本和犯罪被追溯的风险,当付出的代价大于网络攻击的获利时,就可以减少网络攻击的事件,提高网络的整体安全性。
另外,传统网络攻击者通过地址扫描识别用户的地理位置和发现漏洞并入侵,目前的技术可实现在45分钟内扫描 IPv4的全部地址空间,但是在 IPv6的海量地址范围内,每一个 IPv6地址是 128位,假设网络前缀为 64位,那么在一个子网中就会存在 264个地址,假设攻击者以每秒百万地址的速度扫描,需要 50万年才能遍历所有的地址,无疑将显著提升网站与用户终端设备的安全。但这并不妨碍政府监管部门用扫描技术发现违法网站,在完善的IPv6地址登记和备案制度下,监管部门能够知道哪些地址是已经分配的,只扫描已分配的地址空间而不是全部的 IPv6地址空间,因此并不会对主动扫描带来太大麻烦。当然在推动IPv6规模部署的同时会有很多质疑的声音,质疑加强网络的可追溯与监管和互联网创建支出提出的自由理念相冲突,长久使用NAT技术使我们落入了私有地址的陷阱难以自拔,不仅互联网普通用户,很多政府、企业专网也都觉得 NAT技术的使用会对内网的重要资源提供更好的防护。但是大家都经历过论坛、移动电话、微博、微信等互联网产品的实名认证,当实行之初也都面对大量的互联网自由斗士的反对声音,但是经过时间的证明,我们发现这些实名认证并没有给我们使用这些产品带来不便,在地址定位和精准个人分析后,我们反而获得了更多的个性化服务。
同样在互联网环境下绝大多数使用者并不是出于攻击和破坏的目的来使用互联网,加强网络的监管从一定程度上来说大家都是获益者,并且IPv6提供的 NPT
(NetworkPrefixTranslation)(RFC6296)协议可以实现IPv6地址的一对一映射,达到政府及企业内部核心资源隐藏内部 IPv6地址的效果,对普通用户来说,IPv6通过IPSec 技术提供了端到端的数据安全加密,不用担心传输信息在网络中泄露。在早期,中国推进 IPv6的过程中也出现过针对 IPSec技术的争议,过分担心采用 IPSec内容过滤困难,然后随着互联网的演进和信息化技术的发展,加密已经成为互联网发展的趋势,IPSec因 TLS/SSL加密协议的出现而失去了存在的必要性,IPSec没有对 IPv6的监管带来比 IPv4更大的麻烦。
下面来简单介绍IPv6技术是如何有效地提供网络安全能力,IPv6技术提供的海量地址有利于更合理、更多维度地进行地址规划,在实际分配过程中,按照规划严格规范地进行IPv6地址分配同时为信息安全保障提供了基础,前文提到IPv6更多的地址前缀实现了可按照区域、业务类型甚至用户类型进行地址分配,能精准追 溯特定 IP地址、专线、IDC和云计算地址,可实行服务类型区域管制、精细化侦测与防护及监控。另外,IPv6 巨大的地址资源为实现真实源地址验证提供了可能性, 在 IPv4 网络中,因地址有限,国内运营商对上网用户采用动态分配地址方式,地址与身份不关联,用户的家庭网关通电后自动向运营商的宽带认证服务器(BRAS) 申请IP地址,宽带认证服务在后台AAA核实了用户身份信息后,在设备地址池随机为用户分配 IP地址,每个 BRAS配置的地址数量是通过登录该设备的瞬时峰值用户数确定的,与注册在该设备的所有用户数量并不匹配,所以无法为每个用户提供唯一不变的地址,这也是由国内运营商在 IPv4网络中拥有的公网地址有限决定的,
因此需要投入巨大的成本和技术手段对用户进行管理和溯源。而在IPv6网络中,地址资源可为每个固定用户分配地址,用户上网实名制,在IPv6地址中通过算法嵌入可扩展的用户网络身份标识信息,关联真实用户的身份信息,构建 IPv6地址生成、管理、分配和溯源的一体化 IPv6地址管理和溯源系统。在终端身份证明的过程中,IPv6提出了新的地址生成方式——密码生成地址。密码生成地址与公/私钥对绑定,保证地址不能被他人伪造。这如同汽车的车牌印上了指纹,别人不可能伪造这样的车牌,因为指纹造不了假。在 IPv6协议设计之初,IPSec(IPSecurity)协议族中的AH和 ESP就内嵌到协议栈中,作为IPv6的扩展头出现在 IP报文中,提供完整性、保密性和源认证保护,这无疑是从协议设计上较大地提升了安全性。
