工業(yè)互聯(lián)網(wǎng)“咖”解丨延志偉:面向工業(yè)互聯(lián)網(wǎng)的IPv6地址安全配置及隱私保護
互聯(lián)網(wǎng)協(xié)議第六版(IPv6)是互聯(lián)網(wǎng)升級演進的必然趨勢、網(wǎng)絡(luò)技術(shù)創(chuàng)新的重要方向、網(wǎng)絡(luò)強國建設(shè)的基礎(chǔ)支撐。《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》等系列文件的印發(fā),加速了IPv6在我國的規(guī)模部署,有效促進了我國IPv6流量和規(guī)模的持續(xù)提升。同時,IPv6作為重要的互聯(lián)網(wǎng)基礎(chǔ)資源也面臨著服務(wù)能力和安全保障等多方面的挑戰(zhàn),尤其是在工業(yè)互聯(lián)網(wǎng)領(lǐng)域,對IPv6地址配置安全性、可靠性等方面均有更高要求。
目前針對工業(yè)互聯(lián)網(wǎng)的安全防護體系主要包含設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、控制安全和應(yīng)用安全等多個方面。IPv6地址作為工業(yè)互聯(lián)網(wǎng)重要基礎(chǔ)資源,其安全配置和管理是上述各項安全防護內(nèi)容的基礎(chǔ)和保障。因此需要密切關(guān)注IPv6在工業(yè)環(huán)境規(guī)模化應(yīng)用中地址配置的安全風險,持續(xù)跟蹤前沿技術(shù)發(fā)展,不斷優(yōu)化和完善地址安全保護方法,并積極圍繞工業(yè)互聯(lián)網(wǎng)應(yīng)用特點開展相關(guān)的標準化研究、技術(shù)實驗和應(yīng)用推廣工作。
2017年11月26日,中共中央辦公廳、國務(wù)院辦公廳聯(lián)合印發(fā)《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》文件,該文件明確指出要加快推進工業(yè)互聯(lián)網(wǎng)IPv6應(yīng)用,選擇典型行業(yè)、重點企業(yè)開展工廠企業(yè)網(wǎng)絡(luò)改造,創(chuàng)新工業(yè)互聯(lián)網(wǎng)應(yīng)用,構(gòu)建工業(yè)互聯(lián)網(wǎng)IPv6標準體系。
1、工業(yè)網(wǎng)絡(luò)IPv6升級改造需求迫切
隨著物聯(lián)網(wǎng)的快速發(fā)展,海量、異構(gòu)且資源受限的物理對象需要連接到互聯(lián)網(wǎng),并實現(xiàn)跨域、實時的信息流動和動態(tài)交互,這對底層網(wǎng)絡(luò)和系統(tǒng)帶來了巨大挑戰(zhàn)。聚焦到工業(yè)互聯(lián)網(wǎng)領(lǐng)域,越來越多的工業(yè)設(shè)備和傳感器件接入到網(wǎng)絡(luò),并具有潛在的端到端通信和交互需求,因此其對IP地址資源的需求十分巨大。IPv6在解決工業(yè)互聯(lián)網(wǎng)海量地址需求的同時,能夠為眾多企業(yè)內(nèi)網(wǎng)設(shè)備提供全球唯一地址,為實現(xiàn)更大范圍高效的端到端數(shù)據(jù)交互和信息共享提供了基礎(chǔ),此外,IPv6地址的可追溯性和易管理性,也是其適用于工業(yè)互聯(lián)網(wǎng)的重要原因之一。由此可見,隨著工業(yè)互聯(lián)網(wǎng)建設(shè)中網(wǎng)絡(luò)IP化趨勢不斷凸顯,IPv6地址的廣泛應(yīng)用成為工業(yè)互聯(lián)網(wǎng)快速發(fā)展的必然選擇。
同時,全面網(wǎng)絡(luò)連接、數(shù)據(jù)互通趨勢下的工業(yè)體系加速開放融合,傳統(tǒng)工業(yè)體系相對封閉隔離環(huán)境下以生產(chǎn)安全為導向的局域管理和運維模式,已無法適應(yīng)復雜多變的工業(yè)互聯(lián)網(wǎng)應(yīng)用環(huán)境。在智能制造環(huán)境下,為實現(xiàn)更廣泛的信息互通,IPv6需要深入應(yīng)用到自動控制等生產(chǎn)環(huán)節(jié),且將更多地使用公有地址,這些顯著的變化,對IPv6地址的管理能力提出了更高要求。進一步,工業(yè)互聯(lián)網(wǎng)地址配置是IPv6地址應(yīng)用的基礎(chǔ),是工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)淖畹讓颖U希貙⑿枰叩陌踩尚艡C制保障。
2、IPv6地址的自動配置機制
IPv6在解決了IPv4地址資源匱乏問題的同時,也定義了更靈活的地址配置機制,極大提高了IP地址的配置效率。互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force,IETF)定義了IPv6有狀態(tài)和無狀態(tài)兩種地址自動配置機制,即DHCPv6(Dynamic Host Configuration Protocol for IPv6)和SLAAC(Stateless Address Auto-configuration)。
互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force,簡稱IETF)是全球互聯(lián)網(wǎng)界權(quán)威的大型技術(shù)研究和標準制定的國際組織,IETF制定的技術(shù)標準是互聯(lián)網(wǎng)運行的核心技術(shù)協(xié)議,保障了互聯(lián)網(wǎng)的持續(xù)發(fā)展。IETF的標準以RFC(Request For Comments)的形式發(fā)布。IETF已經(jīng)成為互聯(lián)網(wǎng)技術(shù)發(fā)展和標準化的重要平臺。
基于DHCPv6協(xié)議的有狀態(tài)自動地址配置通過DHCPv6消息交互機制來實現(xiàn)IPv6地址和相關(guān)網(wǎng)絡(luò)參數(shù)的自動配置,能夠為主機分配IPv6前綴、IPv6地址和其它網(wǎng)絡(luò)參數(shù)。由于能夠分配IPv6前綴,使其能夠更便捷的在全網(wǎng)絡(luò)自動配置和管理中進行應(yīng)用。
SLAAC方式則是節(jié)點接收到網(wǎng)絡(luò)前綴后,依據(jù)底層網(wǎng)絡(luò)接口的以太網(wǎng)地址(MAC地址)生成64位后綴(IID, Interface ID),并結(jié)合網(wǎng)絡(luò)周期性通告的64位前綴生成對應(yīng)的IPv6地址,該配置方法下IID(至少在理論上)是全局唯一的。
IPv6地址自動配置機制使得工業(yè)網(wǎng)絡(luò)(尤其是局域網(wǎng))的管理更加方便和快捷,但與此同時,在技術(shù)層面和管理層面也仍存在著較大安全風險。
3、IPv6地址自動配置機制
帶來的安全挑戰(zhàn)和風險
伴隨IPv6地址自動配置機制的廣泛應(yīng)用,與之相對應(yīng)的網(wǎng)絡(luò)安全及管理問題也越發(fā)凸顯。
基于DHCPv6協(xié)議消息依然廣泛采用明文的方式傳輸,使得其消息中的隱私信息容易遭受攻擊。RFC3315中曾定義了一種完整的認證機制。該機制設(shè)計了一種服務(wù)器和客戶端共享的對稱密鑰,以實現(xiàn)服務(wù)器對客戶端的認證,但其對鏈路主動攻擊的防范效果不足;進一步地,RFC7824系統(tǒng)分析了DHCPv6中用戶隱私方面的問題;也有相關(guān)研究嘗試通過定義對稱密鑰認證和加密機制,以防范類似欺騙等主動攻擊,以防范類似欺騙等主動攻擊,及端口檢測等被動攻擊。
SLAAC方式中基于IID實現(xiàn)的地址配置機制也存在安全隱患。SLAAC方式下,節(jié)點依據(jù)底層網(wǎng)絡(luò)接口的MAC地址生成64位IID,并結(jié)合網(wǎng)絡(luò)周期性通告的64位前綴生成IPv6地址。因此,惡意攻擊者可以通過從不同網(wǎng)絡(luò)的流量中進行地址的IID對比輕易歸類設(shè)備,并進一步分析其潛在行為。
隨著網(wǎng)絡(luò)應(yīng)用模式的不斷演進,特別是工業(yè)互聯(lián)網(wǎng)在生產(chǎn)環(huán)節(jié)的深化以及業(yè)務(wù)融合中的作用不斷凸顯,各類網(wǎng)絡(luò)服務(wù)在需要穩(wěn)定可達的同時也必然具有更高的隱私保護需求。
4、IPv6地址安全配置相關(guān)技術(shù)
1) 基于認證和通信加密技術(shù)實現(xiàn)對DHCPv6安全保護優(yōu)化
在傳統(tǒng)DHCPv6協(xié)議中,DHCPv6協(xié)議容易受到各種攻擊和竊聽風險,因此可以采用客戶端認證和通信加密兩種方式的綜合應(yīng)用以提高安全性。例如在服務(wù)器身份認證時,可利用匿名Information-Request交換的方式確認身份。除此之外,還可定義簽名選項用來驗證DHCPv6消息的完整性以及對客戶端和服務(wù)器進行認證。安全的DHCPv6服務(wù)器則能夠通過加密與客戶端交互的報文信息,對客戶端的合法身份進行驗證,接受并響應(yīng)合法客戶端的配置請求,分配及回收管理IPv6地址與其他參數(shù),管理配置信息,協(xié)調(diào)其它網(wǎng)絡(luò)管理系統(tǒng)。通信加密方案中,安全DHCPv6報文格式還可以通過設(shè)置算法選項、證書選項、簽名選項等的進行相應(yīng)的安全保障設(shè)計。
2)通過地址動態(tài)化實現(xiàn)SLAAC安全保護優(yōu)化
針對MAC地址信息涉及的網(wǎng)絡(luò)設(shè)備的制造商、物理位置和移動軌跡等用戶信息安全、隱私泄露和惡意攻擊風險。相關(guān)研究嘗試通過設(shè)計若干方法來實現(xiàn)地址隨機分配,而不必與MAC地址綁定。例如,RFC3972提出了密碼生成地址機制
(Cryptographically Generated Addresses),采用對設(shè)備公鑰等信息的哈希來生成其IPv6地址的IID。此外,RFC4941也提出了IPv6隱私擴展機制,定義了臨時地址概念,該地址按照一定時間周期變化,在實際部署中,操作系統(tǒng)通常還需要采用隨機數(shù)來規(guī)避因密碼生成地址機制帶來的地址計算泄露風險。IETF 6MAN工作組個人草案《SLAAC with prefixes of arbitrary length in PIO (Variable SLAAC) - A Problem Statement》(2022年4月提交第四版)則進一步針對動態(tài)SLAAC的用例和實現(xiàn)進行了詳細說明。其它基于IPv6地址自動配置安全配置的鄰居發(fā)現(xiàn)、擴展地址應(yīng)用草案RFC8928、RFC8981等也相繼被提出。
IETF也同時開展了對傳統(tǒng)SLAAC算法的替代方案研究工作,已正式發(fā)布RFC8064,明確用RFC7217取代傳統(tǒng)SLAAC算法,并提出不建議任何算法在IPv6地址生成中嵌入終端設(shè)備的MAC地址。同時,RFC7217中提出的模糊接口標識算法還支持終端在一個網(wǎng)絡(luò)中配置穩(wěn)定的IPv6地址。
上述技術(shù)方案雖在不同層面解決了地址信息泄露、認證和加密等安全問題,但由于其受操作系統(tǒng)、硬件配套要求和應(yīng)用效率等多方面因素影響,目前仍未形成較為廣泛的應(yīng)用局面。
5、后續(xù)的研究和工作建議
隨著工業(yè)互聯(lián)網(wǎng)場景中接入設(shè)備量激增及端到端交互需求的進一步凸顯,網(wǎng)絡(luò)設(shè)備身份和關(guān)鍵基礎(chǔ)信息在通信過程中的安全隱患不斷加劇。結(jié)合國際相關(guān)標準推進工作,圍繞工業(yè)互聯(lián)網(wǎng)領(lǐng)域開展我國在IPv6地址分配機制及與其相適應(yīng)的安全管理方法研究工作具有十分必要且重要的意義,建議重點從技術(shù)跟蹤、測試驗證和示范應(yīng)用等三方面開展后續(xù)工作。
一是密切跟蹤國際IPv6前沿技術(shù)的發(fā)展,支撐工業(yè)互聯(lián)網(wǎng)安全應(yīng)用。從全球?qū)用婵矗琁Pv6的部署和應(yīng)用已經(jīng)進入加速發(fā)展的階段,圍繞網(wǎng)絡(luò)擴展協(xié)議、地址安全配置優(yōu)化等相關(guān)的前瞻性研究仍在持續(xù)開展。為保證我國IPv6網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)建設(shè)的先進性和可靠性,應(yīng)圍繞上述研究方向長期密切跟蹤國際發(fā)展趨勢和動態(tài),并積極融入和參與IETF等國際化組織針對路由尋址、隱私安全等的相關(guān)技術(shù)研究和標準推進工作中,進一步提升我國在該技術(shù)領(lǐng)域的主動性。
二是加強相關(guān)技術(shù)在我國的測試驗證和配套研究。IPv6是下一代互聯(lián)網(wǎng)的核心,目前已開展的IPv6及相關(guān)地址配置機制的優(yōu)化研究能夠一定程度解決工業(yè)設(shè)備應(yīng)用安全和生產(chǎn)系統(tǒng)隱私泄露的問題,但仍然存在大規(guī)模應(yīng)用的系統(tǒng)性、可靠性問題。在關(guān)注前沿技術(shù)發(fā)展的同時,也應(yīng)積極開展基于IPv6的相關(guān)地址配置安全優(yōu)化技術(shù)研究及應(yīng)用的技術(shù)測試和試驗驗證工作,并重點針對工業(yè)互聯(lián)網(wǎng)等典型網(wǎng)絡(luò)環(huán)境,適時加快相關(guān)技術(shù)實施、運行環(huán)境配置、適應(yīng)性評估要求等標準規(guī)范和指導性文件的制定。
三是加強關(guān)鍵工業(yè)行業(yè)的探索應(yīng)用和試點示范性建設(shè)。充分利用我國互聯(lián)網(wǎng)行業(yè)的優(yōu)質(zhì)資源,組建有針對性的研究、試驗、應(yīng)用聯(lián)合團隊,通過在工業(yè)互聯(lián)網(wǎng)典型場景中開展針對終端用戶和工業(yè)設(shè)備的IPv6地址自動配置隱私保護相關(guān)的技術(shù)應(yīng)用試點示范建設(shè),以行業(yè)應(yīng)用為實踐載體不斷探索適應(yīng)我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)和應(yīng)用需求的安全IPv6地址管理技術(shù)體系。
延志偉
博士,研究員,中國互聯(lián)網(wǎng)絡(luò)信息中心基礎(chǔ)技術(shù)實驗室副主任,工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟理事,中國通信標準化協(xié)會TC614標識與映射組副組長,北京市科技新星。主要從事互聯(lián)網(wǎng)名址路由技術(shù)、網(wǎng)絡(luò)安全等方向的技術(shù)研究和標準化工作,累計發(fā)表學術(shù)論文90余篇,主導和參與國內(nèi)行業(yè)和國家標準20余項,主導制定IETF國際標準RFC8191,獲國內(nèi)外授權(quán)專利30余項,主導和參與編寫專著3部。擔任國際組織ICANN CGP和RSSAC Caucus專家組成員。
邱潔
中國互聯(lián)網(wǎng)絡(luò)信息中心高級工程師,主要研究方向為互聯(lián)網(wǎng)基礎(chǔ)資源管理、物聯(lián)網(wǎng)標識應(yīng)用及安全、智慧城市、信息基礎(chǔ)設(shè)施管理。
AII微信公眾號
AII頭條號