网络安全
首页 > 网络安全 > 正文

李星:纯IPv6的演进和创新之路

作者:发布时间:2023-09-06浏览次数:
“向IPv6单栈演进成为全球范围内IPv6发展的大势所趋。在推进IPv6跨越式发展的过程中,要充分关注和利用IVI翻译、真实源地址验证体系结构SAVA、切片等关键技术。”在日前召开的会议上,CERNET网络中心副主任、清华大学李星教授表示。同时,他呼吁,要为IPv6创新提供环境和平台,充分把握互联网技术发展的时代趋势,力求为“突破核心技术,建设网络强国”贡献力量。
 
李星 CERNET网络中心副主任、清华大学教授
IPv6发展趋势
  从IPv6的发展趋势来看,有一个非常有意思的现象值得我们注意。其中有几个时间节点比较关键:
  尽管CERNET从一开始就坚持纯IPv6网络的建设,但在全球范围内,纯IPv6网络的技术路线最初并未得到足够认可,无论从IETF的技术建议还是各国政府的政策多采用双栈模式。IPv6过渡技术实践之路并非一帆风顺。直到2016年11月,IETF(互联网工程任务组)最高领导层IAB(互联网体系结构委员会)发表关于支持IPv6发展的重要声明,指出未来的新协议要全部在IPv6基础上进行优化,而不需要考虑与IPv4的长期兼容。这是互联网发展过程中一个非常重要的里程碑,表明IPv6成为互联网技术无可争议的发展趋势和方向。按照这个趋势,互联网对IPv4的支持会越来越弱,总有一天会过渡到IPv6。
  2017年末,中共中央办公厅、国务院办公厅发布了《推进互联网协议第六版(IPv6)规模部署行动计划》(以下简称《行动计划》),明确指出我国基于IPv6的下一代互联网发展的总体目标、路线图、时间表和重点任务,提出用5到10年的时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络。《行动计划》立意拔得很高,充分表明我国向下一代互联网演进升级的决心。当前我们所进行的各项IPv6规模部署工作,都是《行动计划》的一部分。
  2020年末,美国管理和预算办公室(OMB)发布了IPv6部署和使用指南终稿。尽管美国的“两办通知”比中国晚了不少,但它却明确提出,双栈模式未来将难以维护,要向纯IPv6网络迁移。美国要求政府机构的新建系统或网站必须采用IPv6,并通过转换为纯IPv6、更换或退役系统,逐步停止对IPv4的使用。可以说,在向纯IPv6演进这一点上,美国快了一步。
  而我国也很快意识到了这一点。2021年7月,中央网信办等三部门发布《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(以下简称《通知》)。比起美国对政府机构纯IPv6的要求更进一步的是,《通知》提出了全方位的、向IPv6单栈演进的“三部曲”:2023年,IPv6单栈取得积极进展,新增网络地址不再使用私有IPv4地址;2025年,新增网站及应用、网络及应用基础设施部署IPv6单栈,形成创新引领、高效协同的自驱性发展态势;之后再用五年左右时间,也就是到2030年左右,完成向IPv6单栈的演进过渡。
  换言之,中国要完成向纯IPv6过渡还有8年左右的时间。以高校为例,我们可以想象一下,所有的校园网,包括信息系统、门户网站、网络终端等在8年内都需要过渡到纯IPv6。虽然IT设备折旧率很快,但时间却非常紧迫。高校必须从现在开始就未雨绸缪,为向纯IPv6演进做好充足准备,否则在IPv6过渡浪潮中就会非常被动。
IPv6发展三部曲
  新形势下推动IPv6发展,也可以将其概括为“三部曲”:一是平滑过渡,互联互通,逐步推进;二是发展与安全同步;三是跨越式发展,构建切片体系结构。
  平滑过渡
  总的来说,IPv6规模部署可以概括为五大任务:网站IPv6改造、提升IPv6活跃用户、增加IPv6流量、过渡到IPv6单栈、开发IPv6创新应用。其中最重要的是“网站IPv6改造”和“增加IPv6活跃用户”,如果网站IPv6改造好,IPv6活跃用户数量增加,IPv6流量自然会持续提升,IPv6单栈才有了演进的基础,创新应用才能够落实。只有在整个IPv6生态链持续发展的基础上,才能真正推动基于IPv6的创新。
  其中,在网站IPv6改造上,有几个问题要格外注意:第一,从公网访问和教育网内部之间的访问策略要一致;第二,除了门户网站首页,二、三级链接的改造也要完备;第三,因为IPv6没有NAT(网络地址转换),在公网访问时需要采取措施,以确保安全。
  如何才能又快又好地向IPv6平滑过渡?需要回到具体的IPv6过渡技术上。在IPv6过渡技术方面,基于双栈的IPv6过渡技术1.0,演进成基于翻译机制的IPv6过渡技术2.0,最后演进成纯IPv6的3.0。
 
图1 IPv6过渡技术:从1.0到3.0
  其中,双栈技术需要两次“硬着陆”才能完成向IPv6的过渡:第一次是从纯IPv4升级到双栈;第二次是把双栈的IPv4关掉,成为纯IPv6网络。
  而清华大学提出的、已经成为IETF的RFC标准的翻译技术可以让现有的IPv4服务器或客户端,经过翻译与IPv6网络实现互联互通;同时,新建的纯IPv6网络,也可以通过翻译与IPv4网络保持互联互通。随着IPv4流量的逐渐减少,自然地过渡到纯IPv6。由此,只需要通过两个“软着陆”,就可以实现向IPv6的过渡。
  虽然纯IPv6是未来的必然趋势,但在全球范围内,IPv4网络将会长期存在。哪怕全球仅剩下1%的IPv4用户,也要保障IPv6与其互联互通,否则就违背了互联网精神。设想一下,即使到了2030年,我国已经实现了纯IPv6互联网,但按照“一带一路”“网络空间命运共同体”等要求,中国仍然需要同全世界的IPv4互通。这就意味着,从长远看来,通过翻译技术的“软着陆”过渡,将是互联网从IPv4向IPv6演进的最关键、最主流的过渡方案。
  无状态IPv4/IPv6翻译技术(IVI)的思路可以归结为三点。第一,IPv4和IPv6本身不兼容,不可能真的“互通”。第二,翻译互通的基本原理是:通过翻译器将真实的IPv4计算机映射成虚拟的IPv6计算机,同时通过翻译器将真实的IPv6计算机映射成虚拟的IPv4计算机,使得在互相不兼容的IPv4和IPv6协议空间内,分别有真实的计算机和虚拟的计算机进行端对端的通信。第三,如何实现IPv4对IPv6的翻译是关键。IPv6地址为128位,一个IPv6的子网就有64位,可以轻易地表示32位的IPv4地址,但如何用有限的IPv4地址表示IPv6是基于算法表示和解决的,这是IVI最大的突破点。
  高校在进行校园网IPv6部署时,可以根据现实情况充分运用翻译技术。对于现有IPv4资源,可以将IVI翻译设备部署在IPv4网络和IPv6网络出口之间。这样,原IPv4资源不需要做改造,就可以被IPv6访问。
  对于新建资源,建议采用纯IPv6方案。纯IPv6资源可以通过翻译技术与此前的IPv4资源互联互通。同时,双栈网络的总体安全性取决于IPv4和IPv6中较差的一方,具有“木桶效应”,安全性难以保障。在这一点,纯IPv6也优于双栈网络。此外,对服务器来说,纯IPv6服务器更容易实现基于地址的控制,更方便进行日志管理;对客户机来说,由于iOS系统和Android系统都已经集成了IVI翻译技术,非常适合新建大规模纯IPv6无线网接入。
  对于基于IPv4的超算中心等改造成本较高的系统,可以采用双重翻译技术(IPv4即服务),通过CERNET2建一个纯IPv6超算专网,直接利用超算内部的私有IPv4地址。这样,不用改造应用系统,超算中心对外特性也将展示为IPv6。
  发展与安全同步
  要做到发展与安全同步,首先要关注IPv6的网络空间安全。
  针对互联网长期缺乏有效的真实源地址验证,使得假冒源地址横行的重大安全隐患,清华大学提出下一代互联网真实源地址验证体系结构SAVA,支持互联网真实源地址的精确定位和地址溯源,突破了下一代互联网体系结构的安全可信关键核心技术,并推动IETF成立专门工作组SAVI。近日,基于SAVA已取得的研究成果,更进一步推动IETF在路由域成立SAVNET工作组,聚焦于互联网域内和域间的源地址验证技术。将SAVA技术落地落实,是当前高校在网络安全方面应重点关注,全力部署实施的工作。
  在网络安全方面,IVI翻译技术同样可以起到非常重要的作用。现阶段,IPv6网络安全的挑战性相对较大,但IPv4经过时间和实践的千锤百炼更加安全。考虑到这一点,在IPv6安全保障上,我们可以采取这样的思路:通过虚拟的翻译技术,将IPv6的网络安全问题转化为更成熟的IPv4安全保护,大幅降低安全保障难度。
  可以将IPv6网络和IPv6主机之间的防火墙设想成一个“盒子”,盒子内部是具有双重“虚拟翻译”功能的IPv4防火墙。防护的过程是,将IPv6映射成IPv4,经过IPv4的防火墙,再映射成IPv6。这样,就可以让纯IPv6网络充分利用IPv4成熟的安全保障能力。如此一来,按照原IPv4安全等保等级,只要IPv4不被黑,IPv6就不可能被黑。实际上,用这种方法设计的IPv6防火墙,并不一定真的采用IVI翻译设备,而是充分利用了IVI技术的翻译思路。
   跨越式发展
  在IPv6部署中,要关注“切片”技术。IPv6海量的地址意味着切片是IPv6最显性的技术特征之一。比如,可以利用切片技术为校园网保安全。
  传统的校园网在安全管理上,通常采用“糖葫芦”式的串通方式,在校园网的出口处设置各种安全设备。而高校有联网、高性能、安全、科研等多方面的网络需求,采用“串联”的方式很难满足所有需求,并存在不少安全隐患。
  我们可以将校园网的需求进行如下分类。
  用户上网:包括有线、无线(多SSID)上网;
  信息系统:学校的信息系统通常在校园内部专网使用;
  视频系统:用于教学、研讨,在常态化疫情防控下,视频系统的使用需求更多;
  对外宣传:也就是通常的学校网站;
  科学研究:包括超算专网、存储专网、备份专网等;
  物联网:包括门禁专网、视频监控专网、井盖专网等。
  有了清晰的分类,就可以按照网络切片的思路将高校各种校园网需求拆分,进行功能定制和分区,并行地处理这些“安全切片”,满足校园网的多种需求,同时保障网络安全。此外,对于部分校园网功能需求,还可以采用外包方式保障安全。
IPv6带来创新机遇
   打造创新空间
  要实现创新,就要有相应的创新土壤,能够让这些创新生存,且茁壮成长。在IPv6的创新上,为激发年轻的工程师对IPv6的研究与应用,从2015年开始,CERNET网络中心和赛尔网络有限公司设立“赛尔网络下一代互联网技术创新项目”。创新项目自设立以来,共有来自370多所高校的8800余名师生提出1500余项申请;2015~2019年立项批复共680项(含滚动支持8项);已申请专利262项、软著299项,发表论文1100余篇。其中,完成了近500个可以在纯IPv6网络环境下运行的软件应用系统、APP、网站以及硬件设备等不同形式和应用的科技创新成果。
  根据对313个项目组的调研,统计到参与创新项目的学生有1425人,除去在读的100人,毕业后继续从事互联网和相关服务工作或者继续攻读互联网相关专业的有1051人,比例高达79.3%。项目引导并激励了大量专业人才从事互联网行业关键技术研究或基础研发等核心工作。调研结果显示,高校和专家均认为创新项目实施在培养人才方面起到了巨大作用。
  同样从2015年开始,CERNET网络中心开始举办“下一代互联网技术创新大赛”。创新大赛自启动以来,已成功举办五届,吸引了全国高校积极参与,参赛项目广泛覆盖IPv6技术创新和应用创新等多个领域。五届大赛共征集作品997项,参赛高校214所,双一流高校参赛比例达39.7%,获奖作品216项,申请知识产权300余项,已成为国内IPv6领域的知名赛事。
  创新大赛通过改进专家评审机制、完善赛制、与创新项目结题验收紧密结合等,不断探索、调整、改革、提高、创新,初步建立起校企协同育人机制。今年,教育部正式将大赛纳入首届IPv6技术应用创新大赛科教赛道,期待大赛能进一步激发高校学生在下一代互联网领域的创新创业能力,培养下一代互联网创新人才,也期待大赛对“纯IPv6”创新成果给予更多关注。
   把握时代机遇
  互联网技术发展日新月异,如果以十年为一个周期,在互联网的不同发展阶段,有着不同的代表性技术热点。1970年代,最重要的技术是NCP;1980年代,最重要的技术是TCP/IPv4;1990年代,是DNS和BGP;2000年代,WWW出现,最重要的技术则是HTTP;2010年代,因受斯诺登事件影响,加密的HTTPS广受关注。
 
图2 互联网核心技术演进
  那么进入2020年代,最核心的技术究竟是什么?有两个问题值得我们思考:一方面,IPv6相关技术模式会不会是下一个十年的技术热点?另一方面,中国的互联网工作者能否把握住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,成为未来互联网核心技术的主要贡献者?这样重大的互联网发展时机不容我们错过。
  当前,我国正加紧推进IPv6规模部署的国家战略。IPv6规模部署工作,不仅仅是向下一代互联网的演进升级,更是加快网络强国建设、赢得未来国际竞争新优势的紧迫要求。我们要以这样的战略高度来看待IPv6发展,力求为“突破核心技术,建设网络强国”贡献力量。为此,建议把握和落实以下三点:一是国际标准的制定权,如参与互联网RFC标准制定,参与IPv6核心技术标准制定;二是国际组织的话语权,如参与IETF、竞选IAB等组织的任职;三是基础设施的掌控权,如对IPv6互联网、路由、域名等基础设施的掌控。
  以上内容根据CERNET网络中心副主任、清华大学李星教授在2022年黑龙江省教育系统IPv6规模部署研讨会和首届IPv6技术应用创新大赛启动会上的报告整理。
  整理:项阳


  特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。