2011年6月8日,国际互联网(Internet)协会发起“全球IPv6日”。这一天,既是在全球范围内对IPv6进行测试,也被认为是在全球推广IPv6应用的正式开始。 10年过去了,IPv6的发展和应用现状究竟如何?至少,事实和数据凸显了三个不容忽视的重要基本观点: 1)2017年7月,因特网工程任务组(简称IETF)正式发布IPv6 标准(RFC8200)。该标准废除了1998年12月发布的IPv6标准草案(RFC2460),并删除“IPv6作为因特网协议(IP)的下一代”(简称“IPng”)的表述。这就是说,IPv6既不是,也不应是被作为(或称为)下一代因特网(Internet)的协议。 2)全球IPv6商用化进程与预期相差甚远,而且增幅极其缓慢,不仅IPv6 部署在国家和地区的分布比例存在显著的差异,而且不论是在某个局域或是在任何一个国家/地区,至今都没有出现所谓的“步入市场驱动发展的快车道”。 3)从2020年6月,到2021年4月,业内发现并公布了75 个TCP/IP协议栈安全漏洞。其中,既有协议本身的设计缺陷,也有开发协议栈的软件技术失误。由于TCP/IP协议栈安全漏洞的影响广泛,导致全球对信息通信技术供应链安全的严重关注和重新审视。 上述三个观点,直接涉及IPv6的定位及何从何去。事关我国“十四五”规划和2035年愿景目标,无论遵循科学的验证与证伪态度、哲学的真理检验标准,还是坚持问题导向,奔着最紧急、最紧迫的问题探索、发现、创新科技攻关,我们都必须实事求是、旗帜鲜明地摈弃患得患失,彻底梳理长期困扰与干扰我国网信领域战略和策略的根本问题及要害问题。 网络协议(这里专指的是TCP/IP)是由技术标准来规范的。简要地回顾即可以清晰地看到,因特网协议(TCP/IP)技术标准的原创历史起源及关联关系: 备注-1:“IEN”(Internet Experiment Note),因特网实验记录;“IETF”,因特网工程任务组。 备注-2:在RFC2460中称,IPv6作为因特网协议(IP)的下一代,简称“IPng”。但是,在IPv6的最终标准中(RFC8200),废除了RFC2460,删除了“IPng”。 备注-3:TCP/IP协议的起源和基础是美国国防部的标准(RFC761/RFC760),且TCP/IP的IETF标准(RFC793/RFC791)仍然是目前的因特网标准(IETF的标准)。 对因特网的协议规范以及大量验证早已清楚地证明,IPv6与IPv4不具备兼容性(互不操作)。虽然IP协议版本升级,但是并不意味着“换代”。难以否认的是,IPv6仍然保持着美国国防部TCP/IP标准(RFC761/RFC760)和因特网计划(RFC793/RFC791)的“基因”传承(甚至是约束)。【美国国防部的标准和国防高级研究计划局的因特网计划规范】
对于全球IPv6应用的统计,由不同的数据采样视角和计算方法得到不同的结果或判断,难以得到统一的推论。 在国际互联网协会(简称ISOC)给出的IPv6部署和应用的统计来源中(截至5月30日): 1)“全球IPv6启动”机构的统计(基于自治系统AS及按IPv6数据流量的排名)链接:https://www.worldipv6launch.org/measurements/ 从这个统计中可见,基于自治系统的IPv6部署率与自治系统的IPv6数据流量,并不成相应的比例关系(排名)。
备注:尽管“中国科教网-2”的IPv6部署率达到100%,但是其IPv6数据流量(排名)远低于三大运营商。其中,网络用户的数量以及应用和服务的类型/种类是直接影响因素。 必须注意的是,以上的统计和排名,印证了因特网的“涌现”(Emerging)现象,即在同一时期内突然、大量地出现规律性群体行为,所具备的特点是:整体才有而个体不具备的非还原性(非加和性)。这就是说,尽管“中国科教网-2”的IPv6部署率达到100%,由于“中国科教网-2”仅仅是中国大陆公众网络中的一个子集(或特殊个体),不具备整体网络及其应用的特点。或者,“中国科教网-2”的IPv6部署方式和应用的模式不可能(也不应该违背客观现实和发展规律)被生硬地“复制”到中国大陆的公众网络中。 2)阿卡迈(Akamai)是全球最大的“内容推送网络”服务商,对IPv6应用的统计(基于网络的互联互通及发展趋势的国家排名)链接:https://www.akamai.com/us/en/resources/our-thinking/stateof-the-internet-report/state-of-the-internet-ipv6-adoption-visualization.jsp 备注:在Akamai的统计中包括了230个国家和地区。如果将全球IPv6应用率按10%作为区间划分(图1),可见全球IPv6应用率的分布呈现出严重的“重尾”状态,或极不平衡(有135个国家/地区的IPv6应用率为“零”,占比58.70%)。 进而,以此“区间划分”作加权平均的估计,全球IPv6应用率约为5.35%。 3)美国国家标准及技术研究院(NIST)持续地跟踪和采样统计美国政府、商业市场和高校科研机构的IPv6状态: 业内周知,域名是否支持IPv6,是IPv6应用和服务的关键。自2018年跟踪以上NIST的统计,分布数据基本没有明显的变化。 由此推断,美国IPv6的主流应用和服务仅仅是来自于有限的“热点”(约占市场的4%),如:脸书Facebook,谷歌Google。另一方面,域名的构成主要是三个部分,按“自右向左”的解析规则:● 顶级域名(TLD:Top Level Domain);● 权威域名(Authoritative Name)。
例如,中国交通银行的域名是:bankcomm.com,顶级域名是“.com”,权威域名是“.bankcom.com”。 这就是说,测量和评估域名是否支持IPv6,不仅是权威域名,而且包括顶级域名。已知,中国国家的顶级域名“.CN”配备了8个域名服务器系统,目前只有2个支持IPv6(占比25%)。 作为对比,图5列出因特网通用顶级域名(.COM,.NET,.ORG)和部分国家/地区顶级域名及其域名服务器系统目前支持IPv6的状况。“支持IPv6”的定位和状态,由此可见一斑: 美国国防部从2003 年就开始了实施IPv6 的过渡计划,但是: 其间,尽管美国白宫政府行政管理与预算局(OMB)多次指令并制订具体推进时间表,但是五角大楼的IPv6过渡仍然是“三起二落一滞后”(图6),至今其专用的顶级域名“.mil”配置的6个域名服务器系统都不支持IPv6(图5)。 一个不争的事实是,推广IPv6的部署、应用和服务,决不是技术标准所能够左右的,更不是以解决网络地址短缺所能够推动的。IPv6仅仅是因特网协议族(Suite)中的一个协议栈(Stack),所关联和影响的是一个已全球化的复杂、巨大网络生态系统,诚如苏轼曰“牵一发而头为之动,拨一毛而身为之变”,又如龚自珍诗云“一发不可牵,牵之动全身”。 美国国防部的IPv6过渡已历经18年,至今仍遥遥无期,过得迷茫,渡得彷徨,并再三“抗旨不为”、“军令不从”。其中深层次的原因,无论发达国家、网络大国、商界业界都不得不审慎思考、权衡、掂量。显然,轻言“IPv6是目前全球唯一公认的下一代因特网商用解决方案”,有失偏颇,违反规律,与事实不符,人心向背。三、因特网的协议标准规范与实用的协议栈
2018年12月21日,国内举办的“中国IPv6产业发展研讨会”上,有专家认为:“当前,网络的安全威胁主要是来自于设备漏洞和后门,而不是网络协议本身,网络协议是由技术标准来规范的,是全球公开的,很难在网络协议中设置对某些特定国家有利的技术内容。” 这个“认为”明显地偏离了现实,且背离了“技术不是中立的”的定律,掩盖了潜在安全和漏洞的误区,造成了科学技术创新和创造的误导。 必须指出,虽然因特网(和网络)的协议是由技术标准规范的,但在所开发和实现的协议栈中,标准协议仅仅是一个软件子集。任何协议栈的开发者都有足够大的“自由裁量”(或“定制”)空间,从而根据不同需要和利益关系交付不同版本的协议栈。没有任何理由和事实根据在网络协议栈中排除(或假设),对某些特定国家(和企业)设置有利或不利的技术内容。 从2020年6月,到2021年4月,业内在部分TCP/IP协议栈(如:Treck)中发现并公布了75个TCP/IP协议栈安全漏洞。其中,既有协议本身的设计缺陷,也有开发协议栈的软件技术失误。由于TCP/IP协议栈安全漏洞的影响广泛,导致全球对信息通信技术供应链安全的严重关注和重新审视。 值得注意的是,美国2020年总统大选中被发现和揭露的“太阳风”事件,该网管(应用)软件必须使用嵌入的TCP/IP协议栈,虽然在全球只有约30万客户,却“惊动”了美国国家安全委员会;对于TCP/IP协议栈的基础性高危安全漏洞,2020年12月18日,美国网信安全及基础设施安全局(CISA)发布工业控制系统警报(ICSA-20-353-01),明确TCP/IP协议栈安全漏洞的严重等级为9.8(CVSS v3),且只是针对HTTP、IPv6和DHCPv6的“有选择性”警告。 事实证明,IP协议的安全性与其协议族(如:DNS)相互关联。例如,2021年4月公布的4个TCP/IP安全漏洞,是由对9个DNS安全漏洞的溯源所发现,故命名为:Name Wreck(域名:损毁)。已知,任何连网设备都必须集成或嵌入TCP/IP协议栈(不同的来源和版本),诸如思科(Cisco)和微软公司都不得不为其产品所集成和嵌入的TCP/IP协议栈安全漏洞提供打补丁方案。然而,思科和微软等公司仅是TCP/IP协议栈的下游集成厂商(或是TCP/IP协议栈的直接客户),而发现和证实TCP/IP协议栈安全漏洞是从未知到已知的科学证伪过程。 综上,不论是设备(包括软件和硬件)漏洞和后门,或是网络协议本身的缺陷和协议栈开发技术的失误,其本质都是信息和通信技术(ICT)的供应链安全。不同的是,设备漏洞和后门的特点、属性以及表现形式不尽相同,不应以偏概全,或一概而论。毕竟,当今的网络设备几乎没有例外,都类似于“苹果设备是世界工场制造的”那样,是“多源融合,多元利益”的集合。 虽然什么是“未来网络”或“下一代因特网”尚没有广泛的共识和定义,但是有一点是肯定的,即是以2030年为目标,在新兴网络技术领域中的竞争(和垄断),伴随着前所未有的斗争(包括技术以及政治、军事和经济领域)。 成立于1962年的美国智库“战略与国际研究中心(CSIS)”,重点关注和分析国际关系,包括全球的贸易、技术、金融、能源和地缘战略等。在美国宾夕法尼亚大学《2019年全球智库报告》中,CSIS 被评选为美国在所有领域中的“第一智库”,全球“顶级的国防和国家安全智库”,以及全球最佳的四大智库之一。 2021年3月30日,CSIS“重返亚洲”项目组发布“2030年的全球网络”分析报告。其中称,到2030年,未来网络的重点新兴技术包括:● 光子网络(Photonic Networks);● 低轨卫星组网(LEO Constellations);● 同温层平台(High-Altitude Platforms)。
显而易见,“未来网络”的新兴技术是系统性、创新性和颠覆性的。难以设想,到2030年,基于植根在美国国防部40年前TCP/IP标准的任何形式网络(包括IPv6或IPvX)还能够具有什么竞争力! 宣传推广IPv6的重点是解决网络地址的短缺,同时保持全球化的互联互通。但是,IPv6的一个“致命伤”是与IPv4互不操作。即便是全面部署纯IPv6(IPv6 Only)时,也不得不作出“二选一”的抉择:或全面废弃IPv4,或IPv4与IPv6长期并存。 无论哪一种选择,都将在不同程度上面临难以预测的技术风险、投资风险和安全风险,没有任何人具备相关的经历和经验,先知先觉更是无稽之谈。如上所述,中国科教网-2的IPv6部署和应用模式,充其量也只能作为有限的参考,不能被作为大规模部署IPv6的依据。 根据目前全球IPv6的应用状况,如果考虑全球IPv6应用率的“加权平均”约为5.35%的估计,假设中国大陆全面部署了纯IPv6,如何与全球因特网(及各类网络)互联互通?同时,保留和运营IPv4和IPv6两个并行网络的成本、代价和风险,难以计算或估计!又有谁敢说负担得起?“赔本赚吆喝”的买卖,以美国为代表的资本主义国家和商家都不干,中国特色社会主义的制度体系下为什么要干? 各个国家和地区对于采用IPv6,都有各自不同的背景、历史、目的以及约束条件。根本无法假设或期待,全球IPv6推广部署和应用的同步比率和时间点,更不可能因此而摒弃那些仍然坚持使用IPv4的国家和地区的网络通信及市场开拓。 一方面,国际社会对于IPv6部署和应用状况的测量、计算和评估,或依据数据流量,或根据互联配置,或采样业务服务;但国内对IPv6部署和应用状况的重复“衡量”指标之一,是IPv6地址(并非稀缺的网络资源)的拥有量,而缺乏对等的可比性和真实性,因而出现IPv6已“步入市场驱动发展的快车道”之不切实际、不负责任的假说。 另一方面,虽然美国国防部的通信网络体系是全球化的,但是也仅仅是全球因特网中的一个子网(专网)。其中,美国国防部过渡IPv6的目标之一,是保持与公共因特网的互联互通,但是采用集约化的“零信任”模式和“网信安全成熟度模型认证”。这些措施对于公共因特网并不适合(适用)。 将全面部署IPv6(商用化)作为国家战略,与实施国际国内互联互通“双循环”的国家策略,或将逐渐显现潜在且不可调和的冲突、顾此失彼的矛盾,以及难以弥补的损失和代价。 必须呼吁,我国网络信息领域的监察、审计和监管不可缺位。不能任由任何人以任何借口无节度、无节制、无节操地挥霍人民币、外汇和国家财产、社会资源。 如果说,“IPv6相对IPv4的最大改动在于地址容量的扩展,两者的运行机制基本上是一致的,因此,从网络协议的角度来看,两者的安全性也基本上是一样的。”那么,美国国防部两次中止IPv6过渡的“原因”,就是警示和启示的一个最佳范例。 必须直面的一个事实是,虽然中国因特网在20多年的高速发展中取得令世人瞩目的成就,但是也存在偏重于商业化集成和市场化应用的普遍状况,从而导致网络通信基础持续薄弱。因此,对于IPv6的规模部署以及基于TCP/IP协议和协议栈/协议族的再构建或叠加的各种“网络”,必须且不得不(对标)反思:◆在我国国内的ICT领域,究竟有多少人力(专业技术团队)、物力和财力持续地跟踪研究和解剖分析TCP/IP协议栈/协议族?
◆对于已知(但必定还存在未知)TCP/IP协议栈和协议族的高危安全漏洞,我国应采取怎样的积极措施和行动(或举一反三)?
◆国际化信息和通信技术以及服务(ICTS)供应链包括物质(有形)和非物质(无形)的形态,其中泛在的传统及非传统性安全问题日益严峻和危殆,如何坚持问题导向以及据此坚持国家统筹发展与安全的原则?
我国网络信息领域,“卡脖子”的技术问题确实存在,“卡脑子”的思想意识问题也同步存在,根子是基础理论研究长期跟不上、深不下,源头和底层的东西长期没有搞清楚、搞透彻,甚至于长期被混淆和被误导网络协议(技术标准)与协议栈(技术开发和集成)之间的关系。 把IPv6的全面部署仅作为是为了解决网络地址短缺,而把IPv6的安全寄托在与IPv4基本一致的运营机制上,如此认为和作为如同“刻舟求剑”一般。有一个道理不用讲:“没有意识到风险是最大的风险”!IPv6协议标准是经过长达22年之久,在千千万万个专家和工程师前赴后继的共同努力下形成的技术成果,是因特网从业和共享人们共同拥有的资产财富。然而,任何技术成果的生命力和生命周期,都有待于实践与时间的检验,必须尊重历史沿革与客观事实。 在科学的道路上,只有探索、发现和创新是永恒的主题。在网络通信的技术领域,过去没有、现在没有、将来也不存在“不可逾越的阶段”、“唯一公认”的解决方案、“坚定不移推进”的技术升级演进。这些文过饰非、掩人耳目、心怀叵测之说,有悖于“创新、协调、绿色、开放、共享”的可持续发展理念,有悖于“从国家急迫需要和长远需求出发”,“勇于探索、突出原创”的“科技立则民族立、科技强则国家强”的拼搏奋斗精神。(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】,作者授权发布)【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:gy121302@163.com
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.com