工业互联网“咖”解丨延志伟：面向工业互联网的IPv6地址安全配置及隐私保护

作者

延志伟

工业互联网产业联盟理事、中国互联网络信息中心基础技术实验室副主任

邱洁

中国互联网络信息中心高级工程师

导语

互联网协议第六版（IPv6）是互联网升级演进的必然趋势、网络技术创新的重要方向、网络强国建设的基础支撑。《推进互联网协议第六版（IPv6）规模部署行动计划》等系列文件的印发，加速了IPv6在我国的规模部署，有效促进了我国IPv6流量和规模的持续提升。同时，IPv6作为重要的互联网基础资源也面临着服务能力和安全保障等多方面的挑战，尤其是在工业互联网领域，对IPv6地址配置安全性、可靠性等方面均有更高要求。

目前针对工业互联网的安全防护体系主要包含设备安全、网络安全、数据安全、控制安全和应用安全等多个方面。IPv6地址作为工业互联网重要基础资源，其安全配置和管理是上述各项安全防护内容的基础和保障。因此需要密切关注IPv6在工业环境规模化应用中地址配置的安全风险，持续跟踪前沿技术发展，不断优化和完善地址安全保护方法，并积极围绕工业互联网应用特点开展相关的标准化研究、技术实验和应用推广工作。

2017年11月26日，中共中央办公厅、国务院办公厅联合印发《推进互联网协议第六版（IPv6）规模部署行动计划》文件，该文件明确指出要加快推进工业互联网IPv6应用，选择典型行业、重点企业开展工厂企业网络改造，创新工业互联网应用，构建工业互联网IPv6标准体系。

1 工业网络IPv6升级改造需求迫切

随着物联网的快速发展，海量、异构且资源受限的物理对象需要连接到互联网，并实现跨域、实时的信息流动和动态交互，这对底层网络和系统带来了巨大挑战。聚焦到工业互联网领域，越来越多的工业设备和传感器件接入到网络，并具有潜在的端到端通信和交互需求，因此其对IP地址资源的需求十分巨大。IPv6在解决工业互联网海量地址需求的同时，能够为众多企业内网设备提供全球唯一地址，为实现更大范围高效的端到端数据交互和信息共享提供了基础，此外，IPv6地址的可追溯性和易管理性，也是其适用于工业互联网的重要原因之一。由此可见，随着工业互联网建设中网络IP化趋势不断凸显，IPv6地址的广泛应用成为工业互联网快速发展的必然选择。

同时，全面网络连接、数据互通趋势下的工业体系加速开放融合，传统工业体系相对封闭隔离环境下以生产安全为导向的局域管理和运维模式，已无法适应复杂多变的工业互联网应用环境。在智能制造环境下，为实现更广泛的信息互通，IPv6需要深入应用到自动控制等生产环节，且将更多地使用公有地址，这些显著的变化，对IPv6地址的管理能力提出了更高要求。进一步，工业互联网地址配置是IPv6地址应用的基础，是工业互联网数据传输的最底层保障，必将需要更高的安全可信机制保障。

2 IPv6地址的自动配置机制

IPv6在解决了IPv4地址资源匮乏问题的同时，也定义了更灵活的地址配置机制，极大提高了IP地址的配置效率。互联网工程任务组（Internet Engineering Task Force，IETF）定义了IPv6有状态和无状态两种地址自动配置机制，即DHCPv6（Dynamic Host Configuration Protocol for IPv6）和SLAAC（Stateless Address Auto-configuration）。

互联网工程任务组（Internet Engineering Task Force，简称IETF）是全球互联网界权威的大型技术研究和标准制定的国际组织，IETF制定的技术标准是互联网运行的核心技术协议，保障了互联网的持续发展。IETF的标准以RFC（Request For Comments）的形式发布。IETF已经成为互联网技术发展和标准化的重要平台。

基于DHCPv6协议的有状态自动地址配置通过DHCPv6消息交互机制来实现IPv6地址和相关网络参数的自动配置，能够为主机分配IPv6前缀、IPv6地址和其它网络参数。由于能够分配IPv6前缀，使其能够更便捷的在全网络自动配置和管理中进行应用。

SLAAC方式则是节点接收到网络前缀后，依据底层网络接口的以太网地址（MAC地址）生成64位后缀（IID, Interface ID），并结合网络周期性通告的64位前缀生成对应的IPv6地址，该配置方法下IID（至少在理论上）是全局唯一的。

IPv6地址自动配置机制使得工业网络（尤其是局域网）的管理更加方便和快捷，但与此同时，在技术层面和管理层面也仍存在着较大安全风险。

3 IPv6地址自动配置机制

带来的安全挑战和风险

伴随IPv6地址自动配置机制的广泛应用，与之相对应的网络安全及管理问题也越发凸显。

基于DHCPv6协议消息依然广泛采用明文的方式传输，使得其消息中的隐私信息容易遭受攻击。RFC3315中曾定义了一种完整的认证机制。该机制设计了一种服务器和客户端共享的对称密钥，以实现服务器对客户端的认证，但其对链路主动攻击的防范效果不足；进一步地，RFC7824系统分析了DHCPv6中用户隐私方面的问题；也有相关研究尝试通过定义对称密钥认证和加密机制，以防范类似欺骗等主动攻击，以防范类似欺骗等主动攻击，及端口检测等被动攻击。

SLAAC方式中基于IID实现的地址配置机制也存在安全隐患。SLAAC方式下，节点依据底层网络接口的MAC地址生成64位IID，并结合网络周期性通告的64位前缀生成IPv6地址。因此，恶意攻击者可以通过从不同网络的流量中进行地址的IID对比轻易归类设备，并进一步分析其潜在行为。

随着网络应用模式的不断演进，特别是工业互联网在生产环节的深化以及业务融合中的作用不断凸显，各类网络服务在需要稳定可达的同时也必然具有更高的隐私保护需求。

4 IPv6地址安全配置相关技术

1） 基于认证和通信加密技术实现对DHCPv6安全保护优化

在传统DHCPv6协议中，DHCPv6协议容易受到各种攻击和窃听风险，因此可以采用客户端认证和通信加密两种方式的综合应用以提高安全性。例如在服务器身份认证时，可利用匿名Information-Request交换的方式确认身份。除此之外，还可定义签名选项用来验证DHCPv6消息的完整性以及对客户端和服务器进行认证。安全的DHCPv6服务器则能够通过加密与客户端交互的报文信息，对客户端的合法身份进行验证，接受并响应合法客户端的配置请求，分配及回收管理IPv6地址与其他参数，管理配置信息，协调其它网络管理系统。通信加密方案中，安全DHCPv6报文格式还可以通过设置算法选项、证书选项、签名选项等的进行相应的安全保障设计。

2）通过地址动态化实现SLAAC安全保护优化

针对MAC地址信息涉及的网络设备的制造商、物理位置和移动轨迹等用户信息安全、隐私泄露和恶意攻击风险。相关研究尝试通过设计若干方法来实现地址随机分配，而不必与MAC地址绑定。例如，RFC3972提出了密码生成地址机制

（Cryptographically Generated Addresses），采用对设备公钥等信息的哈希来生成其IPv6地址的IID。此外，RFC4941也提出了IPv6隐私扩展机制，定义了临时地址概念，该地址按照一定时间周期变化，在实际部署中，操作系统通常还需要采用随机数来规避因密码生成地址机制带来的地址计算泄露风险。IETF 6MAN工作组个人草案《SLAAC with prefixes of arbitrary length in PIO (Variable SLAAC) - A Problem Statement》（2022年4月提交第四版）则进一步针对动态SLAAC的用例和实现进行了详细说明。其它基于IPv6地址自动配置安全配置的邻居发现、扩展地址应用草案RFC8928、RFC8981等也相继被提出。

IETF也同时开展了对传统SLAAC算法的替代方案研究工作，已正式发布RFC8064，明确用RFC7217取代传统SLAAC算法，并提出不建议任何算法在IPv6地址生成中嵌入终端设备的MAC地址。同时，RFC7217中提出的模糊接口标识算法还支持终端在一个网络中配置稳定的IPv6地址。

上述技术方案虽在不同层面解决了地址信息泄露、认证和加密等安全问题，但由于其受操作系统、硬件配套要求和应用效率等多方面因素影响，目前仍未形成较为广泛的应用局面。

5 后续的研究和工作建议

随着工业互联网场景中接入设备量激增及端到端交互需求的进一步凸显，网络设备身份和关键基础信息在通信过程中的安全隐患不断加剧。结合国际相关标准推进工作，围绕工业互联网领域开展我国在IPv6地址分配机制及与其相适应的安全管理方法研究工作具有十分必要且重要的意义，建议重点从技术跟踪、测试验证和示范应用等三方面开展后续工作。

一是密切跟踪国际IPv6前沿技术的发展，支撑工业互联网安全应用。从全球层面看，IPv6的部署和应用已经进入加速发展的阶段，围绕网络扩展协议、地址安全配置优化等相关的前瞻性研究仍在持续开展。为保证我国IPv6网络和工业互联网建设的先进性和可靠性，应围绕上述研究方向长期密切跟踪国际发展趋势和动态，并积极融入和参与IETF等国际化组织针对路由寻址、隐私安全等的相关技术研究和标准推进工作中，进一步提升我国在该技术领域的主动性。

二是加强相关技术在我国的测试验证和配套研究。IPv6是下一代互联网的核心，目前已开展的IPv6及相关地址配置机制的优化研究能够一定程度解决工业设备应用安全和生产系统隐私泄露的问题，但仍然存在大规模应用的系统性、可靠性问题。在关注前沿技术发展的同时，也应积极开展基于IPv6的相关地址配置安全优化技术研究及应用的技术测试和试验验证工作，并重点针对工业互联网等典型网络环境，适时加快相关技术实施、运行环境配置、适应性评估要求等标准规范和指导性文件的制定。

三是加强关键工业行业的探索应用和试点示范性建设。充分利用我国互联网行业的优质资源，组建有针对性的研究、试验、应用联合团队，通过在工业互联网典型场景中开展针对终端用户和工业设备的IPv6地址自动配置隐私保护相关的技术应用试点示范建设，以行业应用为实践载体不断探索适应我国工业互联网网络架构和应用需求的安全IPv6地址管理技术体系。

作者简介

延志伟

博士，研究员，中国互联网络信息中心基础技术实验室副主任，工业互联网产业联盟理事，中国通信标准化协会TC614标识与映射组副组长，北京市科技新星。主要从事互联网名址路由技术、网络安全等方向的技术研究和标准化工作，累计发表学术论文90余篇，主导和参与国内行业和国家标准20余项，主导制定IETF国际标准RFC8191，获国内外授权专利30余项，主导和参与编写专著3部。担任国际组织ICANN CGP和RSSAC Caucus专家组成员。

作者简介

邱洁

中国互联网络信息中心高级工程师，主要研究方向为互联网基础资源管理、物联网标识应用及安全、智慧城市、信息基础设施管理。