工業互聯網“咖”解丨延志偉:面向工業互聯網的IPv6地址安全配置及隱私保護
互聯網協議第六版(IPv6)是互聯網升級演進的必然趨勢、網絡技術創新的重要方向、網絡強國建設的基礎支撐。《推進互聯網協議第六版(IPv6)規模部署行動計劃》等系列文件的印發,加速了IPv6在我國的規模部署,有效促進了我國IPv6流量和規模的持續提升。同時,IPv6作為重要的互聯網基礎資源也面臨著服務能力和安全保障等多方面的挑戰,尤其是在工業互聯網領域,對IPv6地址配置安全性、可靠性等方面均有更高要求。
目前針對工業互聯網的安全防護體系主要包含設備安全、網絡安全、數據安全、控制安全和應用安全等多個方面。IPv6地址作為工業互聯網重要基礎資源,其安全配置和管理是上述各項安全防護內容的基礎和保障。因此需要密切關注IPv6在工業環境規模化應用中地址配置的安全風險,持續跟蹤前沿技術發展,不斷優化和完善地址安全保護方法,并積極圍繞工業互聯網應用特點開展相關的標準化研究、技術實驗和應用推廣工作。
2017年11月26日,中共中央辦公廳、國務院辦公廳聯合印發《推進互聯網協議第六版(IPv6)規模部署行動計劃》文件,該文件明確指出要加快推進工業互聯網IPv6應用,選擇典型行業、重點企業開展工廠企業網絡改造,創新工業互聯網應用,構建工業互聯網IPv6標準體系。
1、工業網絡IPv6升級改造需求迫切
隨著物聯網的快速發展,海量、異構且資源受限的物理對象需要連接到互聯網,并實現跨域、實時的信息流動和動態交互,這對底層網絡和系統帶來了巨大挑戰。聚焦到工業互聯網領域,越來越多的工業設備和傳感器件接入到網絡,并具有潛在的端到端通信和交互需求,因此其對IP地址資源的需求十分巨大。IPv6在解決工業互聯網海量地址需求的同時,能夠為眾多企業內網設備提供全球唯一地址,為實現更大范圍高效的端到端數據交互和信息共享提供了基礎,此外,IPv6地址的可追溯性和易管理性,也是其適用于工業互聯網的重要原因之一。由此可見,隨著工業互聯網建設中網絡IP化趨勢不斷凸顯,IPv6地址的廣泛應用成為工業互聯網快速發展的必然選擇。
同時,全面網絡連接、數據互通趨勢下的工業體系加速開放融合,傳統工業體系相對封閉隔離環境下以生產安全為導向的局域管理和運維模式,已無法適應復雜多變的工業互聯網應用環境。在智能制造環境下,為實現更廣泛的信息互通,IPv6需要深入應用到自動控制等生產環節,且將更多地使用公有地址,這些顯著的變化,對IPv6地址的管理能力提出了更高要求。進一步,工業互聯網地址配置是IPv6地址應用的基礎,是工業互聯網數據傳輸的最底層保障,必將需要更高的安全可信機制保障。
2、IPv6地址的自動配置機制
IPv6在解決了IPv4地址資源匱乏問題的同時,也定義了更靈活的地址配置機制,極大提高了IP地址的配置效率。互聯網工程任務組(Internet Engineering Task Force,IETF)定義了IPv6有狀態和無狀態兩種地址自動配置機制,即DHCPv6(Dynamic Host Configuration Protocol for IPv6)和SLAAC(Stateless Address Auto-configuration)。
互聯網工程任務組(Internet Engineering Task Force,簡稱IETF)是全球互聯網界權威的大型技術研究和標準制定的國際組織,IETF制定的技術標準是互聯網運行的核心技術協議,保障了互聯網的持續發展。IETF的標準以RFC(Request For Comments)的形式發布。IETF已經成為互聯網技術發展和標準化的重要平臺。
基于DHCPv6協議的有狀態自動地址配置通過DHCPv6消息交互機制來實現IPv6地址和相關網絡參數的自動配置,能夠為主機分配IPv6前綴、IPv6地址和其它網絡參數。由于能夠分配IPv6前綴,使其能夠更便捷的在全網絡自動配置和管理中進行應用。
SLAAC方式則是節點接收到網絡前綴后,依據底層網絡接口的以太網地址(MAC地址)生成64位后綴(IID, Interface ID),并結合網絡周期性通告的64位前綴生成對應的IPv6地址,該配置方法下IID(至少在理論上)是全局唯一的。
IPv6地址自動配置機制使得工業網絡(尤其是局域網)的管理更加方便和快捷,但與此同時,在技術層面和管理層面也仍存在著較大安全風險。
3、IPv6地址自動配置機制
帶來的安全挑戰和風險
伴隨IPv6地址自動配置機制的廣泛應用,與之相對應的網絡安全及管理問題也越發凸顯。
基于DHCPv6協議消息依然廣泛采用明文的方式傳輸,使得其消息中的隱私信息容易遭受攻擊。RFC3315中曾定義了一種完整的認證機制。該機制設計了一種服務器和客戶端共享的對稱密鑰,以實現服務器對客戶端的認證,但其對鏈路主動攻擊的防范效果不足;進一步地,RFC7824系統分析了DHCPv6中用戶隱私方面的問題;也有相關研究嘗試通過定義對稱密鑰認證和加密機制,以防范類似欺騙等主動攻擊,以防范類似欺騙等主動攻擊,及端口檢測等被動攻擊。
SLAAC方式中基于IID實現的地址配置機制也存在安全隱患。SLAAC方式下,節點依據底層網絡接口的MAC地址生成64位IID,并結合網絡周期性通告的64位前綴生成IPv6地址。因此,惡意攻擊者可以通過從不同網絡的流量中進行地址的IID對比輕易歸類設備,并進一步分析其潛在行為。
隨著網絡應用模式的不斷演進,特別是工業互聯網在生產環節的深化以及業務融合中的作用不斷凸顯,各類網絡服務在需要穩定可達的同時也必然具有更高的隱私保護需求。
4、IPv6地址安全配置相關技術
1) 基于認證和通信加密技術實現對DHCPv6安全保護優化
在傳統DHCPv6協議中,DHCPv6協議容易受到各種攻擊和竊聽風險,因此可以采用客戶端認證和通信加密兩種方式的綜合應用以提高安全性。例如在服務器身份認證時,可利用匿名Information-Request交換的方式確認身份。除此之外,還可定義簽名選項用來驗證DHCPv6消息的完整性以及對客戶端和服務器進行認證。安全的DHCPv6服務器則能夠通過加密與客戶端交互的報文信息,對客戶端的合法身份進行驗證,接受并響應合法客戶端的配置請求,分配及回收管理IPv6地址與其他參數,管理配置信息,協調其它網絡管理系統。通信加密方案中,安全DHCPv6報文格式還可以通過設置算法選項、證書選項、簽名選項等的進行相應的安全保障設計。
2)通過地址動態化實現SLAAC安全保護優化
針對MAC地址信息涉及的網絡設備的制造商、物理位置和移動軌跡等用戶信息安全、隱私泄露和惡意攻擊風險。相關研究嘗試通過設計若干方法來實現地址隨機分配,而不必與MAC地址綁定。例如,RFC3972提出了密碼生成地址機制
(Cryptographically Generated Addresses),采用對設備公鑰等信息的哈希來生成其IPv6地址的IID。此外,RFC4941也提出了IPv6隱私擴展機制,定義了臨時地址概念,該地址按照一定時間周期變化,在實際部署中,操作系統通常還需要采用隨機數來規避因密碼生成地址機制帶來的地址計算泄露風險。IETF 6MAN工作組個人草案《SLAAC with prefixes of arbitrary length in PIO (Variable SLAAC) - A Problem Statement》(2022年4月提交第四版)則進一步針對動態SLAAC的用例和實現進行了詳細說明。其它基于IPv6地址自動配置安全配置的鄰居發現、擴展地址應用草案RFC8928、RFC8981等也相繼被提出。
IETF也同時開展了對傳統SLAAC算法的替代方案研究工作,已正式發布RFC8064,明確用RFC7217取代傳統SLAAC算法,并提出不建議任何算法在IPv6地址生成中嵌入終端設備的MAC地址。同時,RFC7217中提出的模糊接口標識算法還支持終端在一個網絡中配置穩定的IPv6地址。
上述技術方案雖在不同層面解決了地址信息泄露、認證和加密等安全問題,但由于其受操作系統、硬件配套要求和應用效率等多方面因素影響,目前仍未形成較為廣泛的應用局面。
5、后續的研究和工作建議
隨著工業互聯網場景中接入設備量激增及端到端交互需求的進一步凸顯,網絡設備身份和關鍵基礎信息在通信過程中的安全隱患不斷加劇。結合國際相關標準推進工作,圍繞工業互聯網領域開展我國在IPv6地址分配機制及與其相適應的安全管理方法研究工作具有十分必要且重要的意義,建議重點從技術跟蹤、測試驗證和示范應用等三方面開展后續工作。
一是密切跟蹤國際IPv6前沿技術的發展,支撐工業互聯網安全應用。從全球層面看,IPv6的部署和應用已經進入加速發展的階段,圍繞網絡擴展協議、地址安全配置優化等相關的前瞻性研究仍在持續開展。為保證我國IPv6網絡和工業互聯網建設的先進性和可靠性,應圍繞上述研究方向長期密切跟蹤國際發展趨勢和動態,并積極融入和參與IETF等國際化組織針對路由尋址、隱私安全等的相關技術研究和標準推進工作中,進一步提升我國在該技術領域的主動性。
二是加強相關技術在我國的測試驗證和配套研究。IPv6是下一代互聯網的核心,目前已開展的IPv6及相關地址配置機制的優化研究能夠一定程度解決工業設備應用安全和生產系統隱私泄露的問題,但仍然存在大規模應用的系統性、可靠性問題。在關注前沿技術發展的同時,也應積極開展基于IPv6的相關地址配置安全優化技術研究及應用的技術測試和試驗驗證工作,并重點針對工業互聯網等典型網絡環境,適時加快相關技術實施、運行環境配置、適應性評估要求等標準規范和指導性文件的制定。
三是加強關鍵工業行業的探索應用和試點示范性建設。充分利用我國互聯網行業的優質資源,組建有針對性的研究、試驗、應用聯合團隊,通過在工業互聯網典型場景中開展針對終端用戶和工業設備的IPv6地址自動配置隱私保護相關的技術應用試點示范建設,以行業應用為實踐載體不斷探索適應我國工業互聯網網絡架構和應用需求的安全IPv6地址管理技術體系。
延志偉
博士,研究員,中國互聯網絡信息中心基礎技術實驗室副主任,工業互聯網產業聯盟理事,中國通信標準化協會TC614標識與映射組副組長,北京市科技新星。主要從事互聯網名址路由技術、網絡安全等方向的技術研究和標準化工作,累計發表學術論文90余篇,主導和參與國內行業和國家標準20余項,主導制定IETF國際標準RFC8191,獲國內外授權專利30余項,主導和參與編寫專著3部。擔任國際組織ICANN CGP和RSSAC Caucus專家組成員。
邱潔
中國互聯網絡信息中心高級工程師,主要研究方向為互聯網基礎資源管理、物聯網標識應用及安全、智慧城市、信息基礎設施管理。
AII微信公眾號
AII頭條號