廣州熱線

IPv6可以有效改善網(wǎng)絡(luò)服務(wù)水平，提升服務(wù)體驗(yàn)和應(yīng)用價(jià)值。特別是在物聯(lián)網(wǎng)場景，通過與5G技術(shù)的結(jié)合，純IPv6將極大降低網(wǎng)絡(luò)部署及運(yùn)維成本，并借由一物一址標(biāo)識、身份溯源等技術(shù)，極大程度提升網(wǎng)絡(luò)安全能力的同時(shí)，實(shí)現(xiàn)對網(wǎng)絡(luò)的精準(zhǔn)管理。

如果我們從更加純粹的網(wǎng)絡(luò)安全角度出發(fā)，在IPv6規(guī)模部署甚至是純 IPv6的趨勢下，物聯(lián)網(wǎng)資產(chǎn)將面臨哪些安全挑戰(zhàn)？

7月31日下午，綠盟科技應(yīng)邀參與了由全球 IPv6論壇（IPv6 Forum）主辦，下一代互聯(lián)網(wǎng)國家工程中心、澳門科技大學(xué)承辦，為期兩天主題為“邁向網(wǎng)絡(luò)新紀(jì)元，助力數(shù)字新基建”的“2020全球 IPv6下一代互聯(lián)網(wǎng)峰會”，并由綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士，帶來了來自綠盟科技格物實(shí)驗(yàn)室的主題分享《IPv6趨勢下的物聯(lián)網(wǎng)資產(chǎn)安全治理的機(jī)遇與挑戰(zhàn)》。

綠盟科技創(chuàng)新中心總監(jiān)劉文懋

物聯(lián)網(wǎng)資產(chǎn)安全治理迫在眉睫

2016年，由物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò) Mirai發(fā)動的大規(guī)模 DDoS攻擊，讓人們對物聯(lián)網(wǎng)資產(chǎn)的潛在風(fēng)險(xiǎn)和實(shí)際威脅第一次有了感知。2019年，日本等國已經(jīng)開始通過頒布相應(yīng)法令來推進(jìn)物聯(lián)網(wǎng)終端的安全治理?？梢哉f，物聯(lián)網(wǎng)的安全治理迫在眉睫。

2016年起，綠盟科技格物實(shí)驗(yàn)室已連續(xù)4年通過專題報(bào)告的形式對外發(fā)布在物聯(lián)網(wǎng)安全領(lǐng)域的研究成果。綠盟科技認(rèn)為，物聯(lián)網(wǎng)資產(chǎn)安全治理的關(guān)鍵和首要階段，在于資產(chǎn)的發(fā)現(xiàn)和識別。特別在 IPv4地址空間即將耗盡，IPv6規(guī)模部署的全球趨勢下，物聯(lián)網(wǎng)資產(chǎn)的發(fā)現(xiàn)識別，更是面臨諸多挑戰(zhàn)，困難重重。

?

劉文懋博士表示，因?yàn)镮Pv6龐大地址空間的特性，以及全網(wǎng)持續(xù)推進(jìn)的趨勢，讓通過遍歷的方式進(jìn)行物聯(lián)網(wǎng)資產(chǎn)的識別發(fā)現(xiàn)基本不可能。雖然目前使用IPv6地址的實(shí)際數(shù)量還較少，但地址分布的隨機(jī)性很強(qiáng)，所以全網(wǎng)遍歷從時(shí)間和資源上都不切實(shí)際。

那么，如何在 IPv6的背景下，進(jìn)行合理、有效的物聯(lián)網(wǎng)資產(chǎn)識別？格物實(shí)驗(yàn)室給出了三個(gè)方向的探索成果：

1通過種子 IPv6地址集合尋找物聯(lián)網(wǎng)資產(chǎn)（基于概率生成預(yù)測地址集，并通過掃描HITList中地址資產(chǎn)是否開啟 IPv4常用端口進(jìn)一步確認(rèn)。）

2利用UPnP雙棧等物聯(lián)網(wǎng)協(xié)議特性幫助發(fā)現(xiàn)資產(chǎn)

3尋找IPv6地址的分布特征，以及通過Scan6等新型軟件的掃描實(shí)踐

盡管以上三個(gè)方向都是一些有益的嘗試，但總體來看，現(xiàn)階段的技術(shù)手段遠(yuǎn)未成熟。在IPv6環(huán)境中，我們發(fā)現(xiàn)同樣存在大量網(wǎng)絡(luò)地址轉(zhuǎn)換和動態(tài)地址分配的應(yīng)用，無論是攻擊者還是企業(yè)，完全掌握物聯(lián)網(wǎng)資產(chǎn)都比較困難。所以，安全風(fēng)險(xiǎn)方面，綠盟科技認(rèn)為，內(nèi)網(wǎng)部署的物聯(lián)網(wǎng)設(shè)備的暴露風(fēng)險(xiǎn)并沒有明顯增加，但始終會客觀存在。

雖然當(dāng)下還沒有令人滿意的IPv6物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)方法，但物聯(lián)網(wǎng)資產(chǎn)的安全治理卻已刻不容緩。從被動流量進(jìn)行識別分析，可能將是未來數(shù)年內(nèi)有前景的物聯(lián)網(wǎng)安全治理主要手段。以 DDoS攻擊為主，通過被動異常流量檢測結(jié)合 IPv6威脅情報(bào)的手段，可實(shí)時(shí)發(fā)現(xiàn)脆弱的IPv6資產(chǎn)，并借助云地人機(jī)融合的能力，對惡意的DDoS流量進(jìn)行立體、靈活的緩解，這種技術(shù)手段將是IPv6網(wǎng)絡(luò)中DDoS緩解的主要防護(hù)思路。

?

總體來看，IPv6將是支撐我國新基建戰(zhàn)略的關(guān)鍵網(wǎng)絡(luò)通信技術(shù)之一，特別是在URLLC、mMTC的5G場景下，海量物聯(lián)網(wǎng)終端必然會采用IPv6技術(shù)組網(wǎng)，因而，保護(hù)IPv6的物聯(lián)網(wǎng)安全，就是保護(hù)下一代關(guān)鍵基礎(chǔ)設(shè)施的整體安全。可以說，IPv6物聯(lián)網(wǎng)安全治理應(yīng)當(dāng)先行，刻不容緩。

綠盟科技格物實(shí)驗(yàn)室連續(xù)4年在物聯(lián)網(wǎng)安全治理領(lǐng)域進(jìn)行深入研究，擁有豐富的研究成果和能力積累。無論是IPv6的物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)識別，還是在IPv6的物聯(lián)網(wǎng)威脅情報(bào)，配合全網(wǎng)的安全態(tài)勢感知方案，將有助于更好的保障IPv6技術(shù)推進(jìn)過程中的互聯(lián)網(wǎng)上的關(guān)鍵基礎(chǔ)設(shè)施安全。