如果IPv4是一顆雞蛋，那么IPv6就是整個地球。由于擁有幾乎無限的地址空間，IPv6給我國整個網絡強國建設帶來機遇。

不久前，工信部發(fā)布關于貫徹落實《推進互聯網協議第六版（IPv6）規(guī)模部署行動計劃》的通知（以下簡稱通知），大力推進IPv6部署，加快網絡基礎設施和應用基礎設施升級步伐，促進下一代互聯網與經濟社會各領域的融合創(chuàng)新。

其中，網絡安全提升被列為重要任務。通知明確要求從網絡安全管理、網絡安全保障措施升級改造、網絡安全能力建設三個方面強化IPv6網絡安全保障。

那么，下一代互聯通信網絡部署在即，IPv6安全防護真的準備好了嗎？

海量地址提供溯源手段

當前，“線上”網絡和“線下”生活正在深度融合，虛擬網絡世界和現實社會生活相互交織。人們在互聯網上變成了“透明人”，個人的一舉一動都被互聯網“記錄在案”，導致人們在網絡空間越來越缺乏安全感。

北京大學互聯網發(fā)展研究中心主任田麗談到，網絡安全和信息安全問題在互聯網時代更加凸顯，大數據收集和人工智能分析的泛濫，給個人信息保護帶來不小的挑戰(zhàn)。特別是在“IPv4網+”上，現有技術無法檢查傳輸中的任何一個數據的源地址，很多網絡安全隱患由此產生。

“由于IPv4地址的不足，導致私有地址大量使用，NAT（地址翻譯）破壞了端對端的透明性，給網絡安全事件溯源帶來了困難，假冒地址橫行，網絡攻擊等安全事件泛濫。”中國工程院院士鄔賀銓此前在網絡空間戰(zhàn)略論壇上指出。

互聯網是個開放的網絡，在這樣開放的網絡中，所有訪問是不可信的，每一個分組的訪問，都不會對源地址進行驗證。如果能解決這個問題，互聯網的安全等級會大大提高。

IPv6則為解決網絡空間安全問題提供了一個非常好的機遇。鄔賀銓表示，IPv6海量的地址為固定分配地址和建立上網實名制奠定了基礎，在IPv6地址中通過算法嵌入可擴展的用戶網絡身份標識信息，與真實用戶的身份關聯，可構建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統，實現了與自治域相關聯的IP地址前綴級粒度的真實源地址驗證。

另外，鄔賀銓認為，IPv6充足的地址空間可嚴格按照區(qū)域和業(yè)務類型甚至用戶類型進行地址分配，可以實現對特定IP地址溯源、按業(yè)務類型精細服務，或對特定服務類型進行區(qū)域管理、精細化監(jiān)控與安全偵測及防護等，這種基于IP地址對網絡流量的控制與安全管理效率高、成本低。

海量的地址空間還可有效防止通過地址掃描的攻擊。眾所周知，網絡攻擊者通過地址掃描識別用戶的地理位置發(fā)現漏洞并入侵，目前的技術可在45分鐘內掃描IPv4的全部地址空間，而每一個IPv6地址是128位，假設網絡前綴為64位，那么在一個子網中就會存在264個地址，假設攻擊者以每秒百萬地址的速度掃描，需要50萬年才能遍歷所有的地址，無疑將顯著提升網站與用戶終端設備的安全。

“但這并不妨礙政府監(jiān)管部門用掃描技術發(fā)現違法網站，在完善的IPv6地址登記和備案制度下，監(jiān)管部門能夠知道哪些地址是已經分配的，只掃描已分配的地址空間而不是全部IPv6地址空間，因此并不會給主動掃描帶來太大麻煩?！编w賀銓說。

升級仍面臨安全挑戰(zhàn)

不過，從IPv4向IPv6過渡，仍然會面臨安全挑戰(zhàn)。鄔賀銓表示，從IPv4向IPv6過渡將要持續(xù)一段時間，過渡與互通方案也會帶來新的安全問題，攻擊者可以利用過渡協議的安全漏洞來逃避安全監(jiān)測乃至實施攻擊行為。

鄔賀銓表示，IPv4 over IPv6或IPv6 over IPv4的隧道機制對任何來源的數據包只進行簡單的封裝和解封，沒有內置認證、完整性和加密等安全功能，并不對IPv4和IPv6地址的關系做嚴格的檢查，攻擊者可以隨意截取隧道報文，通過偽造外層和內層地址偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設。

中國大數據技術與應用聯盟副理事長王安平也對記者指出，互聯網升級IPv6是一項專業(yè)性強、涉及面廣、情況復雜的系統工程，國家有關部門強力推進，但由于目前市場上各企業(yè)技術實力參差不齊，導致一些國家部委機關、央企、省級政府、媒體以及互聯網企業(yè)在網站、云服務平臺、數據中心升級IPv6過程中，網站、云服務平臺、數據中心出現天窗、亂碼、宕機、癱瘓和停服等現象。

“當前互聯網升級IPv6一定要回歸IPv6的本質，要精心設計、穩(wěn)妥推進，把握好升級的主線和關鍵，互通是根本，安全是基礎，演進是生命?！蓖醢财奖硎荆琁Pv4、IPv6屬于兩個平行網絡空間，升級IPv6就是要實現兩個網絡空間的互聯互通，從純IPv4時代邁向純IPv6時代是一個漫長的過程，這期間必須用好IPv4和IPv6之間的翻譯技術。

“安全是基礎，要確?，F有網絡安全，離開了網絡信息安全，升級IPv6就失去了意義?！蓖醢财綇娬{，當前互聯網升級IPv6，一定要確保網絡安全，過渡期具有同樣的安全性，另外要保持網絡的開放性和互通性，要符合IETF標準，采用國際主流技術。

工業(yè)和信息化部黨組成員、總工程師張峰也表示，下一步還需要著力突破網絡端到端貫通、網絡與應用協同推進等關鍵環(huán)節(jié)。要強化安全保障，實施IPv6網絡安全提升計劃，加強IPv6網絡安全能力建設，嚴格落實IPv6網絡地址編碼規(guī)劃方案。另外還要完善監(jiān)測體系，組織建設IPv6發(fā)展監(jiān)測平臺，加強對網絡、應用、終端、用戶、流量等關鍵發(fā)展指標的實時監(jiān)測與分析。