互联网是关系国民经济和社会发展的重要基础设施，深刻影响着全球经济格局、利益格局和安全格局。IP地址（又称为网际协议地址）作为互联网的基石，已经成为全球网络经济发展中的稀缺性战略资源。一方面，IP地址正面临消耗殆尽的危险。新的业务和应用不断涌现，手机、笔记本、服务器等设备都在消耗IP地址。据统计，目前全球可用的IPv4地址剩余量不足10%，而中国的IPv4资源分配只占全球的4.5%，这被称作“网络泰坦尼克危机”。另一方面，互联网用户数量急剧增长。根据第41次《中国互联网络发展状况统计报告》显示，截至2017年12月，我国网民规模达到7.72亿，增长率5.6%，而IP地址增幅和数量落后于网民增幅和数量，因此我国IP地址短缺的形势更为严峻。

面对紧缺的IP地址资源，国家从战略高度推进IPv6网络部署和整体规划，抢占技术制高点。2016年12月，工业和信息化部正式发布了《信息通信行业发展规划（2016—2020年）》，共有17次提到了IPv6，数量之多，令人惊讶。2017年11月，中共中央办公厅、篮球比分办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》（以下简称《行动计划》），提出加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网，是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。与此同时，全球通信行业的运营商和内容提供商都在向IPv6迁移，并呈现出加速趋势。谷歌、苹果、脸书等企业纷纷要求合作伙伴必须支持IPv6才能允许入网。谷歌的IPv6访问流量显示，2015年全球IPv6流量较2012年增长10倍。BAT（百度、阿里巴巴、腾讯三大互联网公司首字母的缩写）等一大批内容提供商均已接入IPv6网络，并逐步推进内容资源对IPv6的支持。

IPv6势在必行

IP地址是IP协议通过提供一种地址编码格式，为互联网上的每一个网络设备分配一个地址。简单地说，可以把IP地址看作网络设备的身份证号码，所有联网的设备都必须拥有一个唯一的IP地址。

IPv4是互联网协议的第四个版本。1981年9月，TCP/IP协议开始发布时，互联网上大约只有1000台主机，并且几乎都是基于时分系统的大型机，很少有为单个用户设计的计算机。因此导致早期的地址分配方案不尽合理，浪费比较严重，如美国五角大楼拥有的IP地址就超过了亚洲国家的总和。互联网在设计之初，只是作为美国国防部和高校的内部网络，不需要特别关注网络安全。IPv4对上网用户动态分配地址，地址与身份不关联，无从溯源，导致网络攻击等安全事件泛滥。

为了从根本上解决IPv4协议面临的问题，20世纪90年代，负责互联网国际标准制定的机构——互联网工程任务小组协调各方意见后，推出了IPv6协议。TCP／IP协议共同开发者、被誉为“互联网之父”之一的文顿·瑟夫博士表示：“IPv4是实验网络，IPv6网络是未来发展的必由之路。”

IPv6能够提供充足的网络地址和广阔的创新空间，是全球公认的下一代互联网商业应用解决方案。与当前主要使用的IPv4协议对比，IPv6的技术优势可以归纳为以下几个方面，如表1所示。

1.在地址空间方面，IPv6彻底解决了IPv4存在的地址空间耗尽和路由表爆炸问题，地址空间增加到大约340万亿个，不但解决了IP地址耗尽的燃眉之急，更为万物互联时代海量设备的连接奠定了基础。

2.在路由表数量方面，增大的地址空间可以实现对网络地址的按层次划分，实现多条路由表项的合并，减小路由表的规模。

3.在安全性方面，IPv6采用IPSec协议，实现了对用户数据的加密，防止了数据在传输过程中被窃听、劫持，为用户提供更高的安全保障。

4.在移动性方面，IPv6增强了移动终端的移动特性、安全特性、路由特性，降低了网络部署的难度，实现了地址自动配置，为用户提供永久在线服务。

5.在包头设计方面，IPv6引入了灵活的扩展头部，实现了按照协议类型增加头部字段，按照处理顺序确定扩展位置的灵活配置方式，加强了对扩展包头和选项部分的支持，使得数据包的处理效率更高，支持的业务类型更丰富。同时，头部字段中新增加的流标签可以为数据包提供个性化的网络服务，更好地支持语音、视频等业务。

IPv6带来的安全风险

发展基于IPv6的下一代互联网，为提高网络安全管理效率和创新网络安全机制提供了新思路。IPv6协议的超大地址空间在应对部分网络攻击方面具有天然优势，在可溯源性、反黑客嗅探能力、路由协议以及端到端的IPSec安全传输能力等方面提升了网络安全性。一是庞大的地址空间可以从技术上解决网络实名制和用户身份溯源问题，实现网络精准管理，有利于事后追查回溯，提高安全保障性。二是在IPv6的部署中，把IPSec中的两种安全协议以扩展报头的形式引入数据分组中，在IPv6地址之间传输数据进行加密，信息不会被轻易窃听、劫持，可以提供更好的端到端之间通信的隐私保护能力。三是基于IPv6的新型地址结构为新增根服务器提供了契机。2016年，“雪人计划”（由中国下一代互联网工程中心领衔发起，联合国际互联网M根运营机构、互联网域名工程中心等共同创立）在全球16个国家完成25台IPv6根服务器架设，其中中国部署4台，打破我国没有根服务器的困境。需要注意的是，由于IP网络传输的本质没有发生变化，所以IPv6同样会面临一系列安全问题。

1.从技术上看，虽然IPv6在设计之初就对安全问题作出了很多考虑，但是并不能处理IPv6网络中的所有漏洞：（1）IPv6地址扩展虽然能够解决网络地址的紧缺问题，但由于海量地址的查询十分复杂，这就为安全检测带来难度。同时，IPv6协议本身存在着安全隐患，如攻击者可以利用IPv6特有的邻居发现协议发送错误的路由器宣告和重定向消息等让数据包流向不确定的方向，进而达到拒绝服务、拦截和修改数据包的目的。（2）从IPv4到IPv6将使用过渡协议，攻击者可以利用过渡协议的漏洞绕开安全监测进行攻击，因此IPv4与IPv6的共存会带来一些安全问题。（3）随着移动互联网、物联网、云计算、大数据等技术发展，IPv6与新技术、新应用的融合进程中逐渐暴露出新的安全问题。同时终端安全问题为IPv6的安全策略制定、网络安全监管等带来新挑战。

2.从产业上看，目前，我国现有的大多数网络设备仅仅支持IPv4，不能直接用于IPv6网络。少数可以支持IPv6的设备安全防护能力较弱，无法应对IPv6大规模推广带来的安全问题，产业界需要大力研制与更新支持IPv6的安全的网络设备。同时，为了保证IPv6的安全性和稳定性，需要对IPv6相关的设备、网络、技术进行全面的测试，并根据其特点制订相应的测试计划。

3.从管理上看，由于IPv6的地址空间远远大于IPv4，因此地址的分配和管理难度加大，应出台相应的管理政策。同时，数据加密、验证和签名等需要管理大量的密钥，以保证网络数据的安全性，因此应参考国际组织对于IPv6网络有关密钥管理的知识、经验和相关标准，制定我国IPv6网络下的密钥管理办法。此外，部署IPv6之前必须投入时间和财力进行IPv6安全培训，否则一旦发生安全问题代价高昂，事前预防势必优于事后补救。

如何应对IPv6安全问题

如何确保IPv6健康发展，对安全问题应采取哪些策略已成为业界重点考虑的问题，建议从以下3个方面入手。

1.强化政策支持、加强安全管理。《行动计划》对IPv6的部署工作给出了详细安排，相关政策和技术规范须及时跟进，把安全问题作为部署IPv6的重要内容。同时要大力开展IPv6知识教育和培训工作，提升从业人员素质，重视安全管理，对IPv6部署过程中可能遇到的安全问题，做到早研究、早发现、早解决，防患于未然。

2.加大对IPv6安全威胁和防护技术的研究投入和前瞻部署。（1）从IPv6协议的自身特点来看，容易受到分片攻击、邻居发现协议攻击、扩展头攻击等，应针对各种攻击类型的特点开展攻击原理分析、攻击检测、攻击防御、攻击解决方案研究。（2）在IPv4向IPv6演进的过程中，应将过渡机制与安全问题结合起来，实现平滑、无缝、安全的过渡技术，进行新的安全体系设计。（3）在新技术新应用结合方面，应开展IPv6环境下移动互联网、物联网、云计算等领域网络安全技术、管理及机制研究工作，如移动互联网下应关注IPv6的移动性安全管理，物联网中应关注IPv6在感知层应用的安全问题，云计算方面应关注基于IPv6的云计算平台安全解决方案等问题。

3.加快信息安全产品研制。应对现有网络安全保障系统进行升级改造，提升对IPv6地址和网络环境的支持能力。根据《行动计划》的要求，各种安全产品应增强IPv6地址精准定位、侦查打击和快速处置能力，同时应开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。 

（原载于《保密工作》2018年第7期）