海归论坛 :: 阅读主题 - 苦口婆心：IPV6大规模部署将给中国造成无比巨大的灾难

论坛首页 | 排行榜 | 在线私聊 | 专题 | 版规 | 搜索 | RSS | 注册 | 活动日历


主题: 苦口婆心：IPV6大规模部署将给中国造成无比巨大的灾难

海归论坛首页 -> 海归商务焦点讨论 | 精华区 | 嘉宾沙龙 | 白领丽人沙龙

分屏

表形显示

阅读上一个主题 :: 阅读下一个主题

作者

苦口婆心：IPV6大规模部署将给中国造成无比巨大的灾难

齐鲁剑

头衔: 海归少校
声望: 学员

加入时间: 2009/07/23
文章: 43

海归分: 10899

标题: 苦口婆心：IPV6大规模部署将给中国造成无比巨大的灾难 (1563 reads) 时间: 2010-7-20 周二, 22:53

作者：齐鲁剑 在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

发改委一份“国家发展改革委办公厅关于组织实施2008年下一代互联网业务试商用及设备产业化专项的通知”（以下简称“试商用通知”）。看了以后，我觉得非常不安。这份文件表明，国家打算让IPV6进入大规模商用。而据我的观察，过去几年国内的研究并没有真正重视IPV6的缺陷和隐患问题。而我认为，IPV6如果大规模部署将会给国家和民族利益造成极大的伤害和无穷的后患。我觉得有义务提醒政府注意这个问题。经过一段时间准备，我觉得已经有了充分的理由来请求发改委重新考虑对IPV6的立场，甚至有必要暂停IPV6的部署推进工作。
我认为，中国热衷于推动IPV6部署的专家们并没有认真透彻地分析IPV6的缺陷问题，也没有清楚地告诉政府决策部门这方面的情况和可能带来的严重后果。据我收集的信息来看，IPV6存在着严重的先天性结构上的许多安全缺陷。在这些缺陷没有得到解决之前，政府不应该推动其在中国的大规模应用，否则将会给国家带来灾难性的后果。这种后果即使从“试商用通知”也可以明显地看出来。

IPV6的安全缺陷问题

国内有关IPV6的资料基本上都宣称IPV6比IPV4有安全性能上的大幅度提高。这给人一个错觉，以为用了IPV6，中国的信息安全问题就解决了。事实并非如此。
IPV6不是一个中国自主创新的技术，而是引进美国的技术。我认为，互联网最大的问题是安全问题（其他问题都是次要的）。中国大规模部署的技术必须首先要满足信息安全的要求。第一代互联网IPV4已经给中国造成了信息安全上的严峻挑战和巨大损失。第二代必须要有根本上的改善。然而，作为互联网协议制订和控制者的美国却并不重视其安全问题。所以，依靠引进的互联网技术是无法满足中国信息安全需求的，而信息安全又是国家安全的一块重要基石。
IPV6是美国IETF制订的标准。IPV6的主要优点在于拓展了地址长度，从而增加了地址数量。在安全方面，尽管采用了IPSsec来提高数据传输中的安全性，然而对其他方面的安全却基本没有改进。这主要是因为，IPV6是修补型的技术路线，不敢对IPV4进行伤筋动骨的改造，而是基本维持了第一代互联网IPV4的老旧框架，结果是继承了所有IPV4的框架性安全缺陷，这种缺陷靠后期局部性工程改动是无法弥补的。
对中国而言，IPV6的安全缺陷包括：
第一， IPV6没有解决互联网络中的中国国家主权问题。
第二， IPV6没有改变根服务器被控制在个别西方国家手里，导致中国缺少对外互联网联系的自主控制权和保障机制。
第三，国外地址解析过程导致中国的网络信息流通信息被国外监控的情况没有改变。所谓“中国设置了根域名服务器镜像就堵住了信息安全后门”的说法是骗人的鬼话。
第四，集权式的域名注册管理机制使得中国互联网用户的信息外流。
第五，根域名解析器的管理控制权在外国手里，导致中国国内互联网的安全性、自主性都无法得到保障。
第六，网络的基本协议和各种规则是外国制订并控制，中国无法了解全部内容。
第七， IPV6和IPV4对网络管理层的安全缺少措施。
第八， IPV6使用的IPSec隧道技术不利于网络监管，反而会为骇客攻击提供通道。
第九， IPV6使用的密码算法不符合中国的要求和规范。
第十， IPV6缺少自主组织分网的灵活性，虽然能够增加地址数量，但却会越来越多地增加国民负担，向国外交纳越来越多的费用。
第十一， IPV6所继承的旧框架机制没有办法为政府内网、涉密网、专用网提供安全保障机制。
第十二，因为僵化的注册和结构体系，IPV6无法为中国提供自主建设对外信息出口安全通道的需求。
这些情况说明，IPV6不但继承了IPV4的种种安全缺陷，而且还带来了更多的安全隐患（如隧道问题）。

“试商用通知”中的安全隐患

根据以上对IPV6安全隐患的描述，再对照“试商用通知”中的精神，就可以明确地看出，即使是“商用”，IPV6也会对国家造成严重的安全威胁。我的理由如下：
第一，尽管文件强调了安全性能要求，比如提出“具有较高级别的安全性；”“具有良好的安全性和抗攻击能力”等，似乎已经满足了安全需求，但事实上，仅凭工程性技术改进是无法解决IPV6先天结构性安全缺陷的。从中国信息安全要求来看，IPV6是不合格的。所谓较高的安全性是不可靠的。所谓“具有良好的安全性和抗攻击能力”也只是在个别指标上，而无法从整体上解决中国最为关注的安全问题。前面所提到的十多项先天性安全隐患不解决，IPV6就是不安全的。在通知中强调安全性只会给不懂内情的人以误导，使其以为安全了，却不知大量的安全隐患并没有解决。即使是“商用”（民用），也会对国家安全带来许多负面影响，甚至会是灾难性后果。
第二，通知中提出要将IPV6及相关技术形成行业标准和国家标准。这意味着，IPV6将会在国家生活的方方面面都将获得采用，其影响是广泛的，而其先天性安全隐患的危害也就是极其广泛和巨大的。
第三，从通知中看出，IPV6将被用来作为下列科研设施的通讯平台：“主要针对安全、可控、可管的高性能超级计算环境、大容量数据资源中心、大信息量文献情报资源平台、网络科普和教育资源平台、大科学工程和台站等应用需求，建设新型网络环境；（3）开展高性能计算、科学数据管理技术、文献情报、高速虚拟实验室、大科学工程科研支撑等实际应用示范”。
然而，我们知道，上述许多设施是牵涉到国家敏感和机密科研信息和关键科学研究设施，这些对安全和保密都有非常高的要求。IPV6是不安全的网络协议，怎么可以用来作为这些设施的通讯平台呢？过去用了IPV4，那是因为当时不了解其缺陷。现在我们知道IPV6有安全缺陷了，还能明知故犯吗？
第四，通知提出“以已建设的CNGI骨干网、驻地网为依托，面向智能交通、地震监测、环境监测、安全监控、汽车网络、农林水利等具有重要示范意义的行业领域…构建具有一定规模的下一代互联网应用平台。”这里面提到用IPV6作为“安全监控”的平台。前面已经说过，IPV6继承了IPV4的结构上的种种缺陷，怎么可以用来做“安全监控”的平台呢？用不安全的技术来执行安全监控，这不很可笑吗？其他方面如交通、环境监测等虽然是民用网络，但也会在网上传输至关重要的国土和社会实时信息。如果用了IPV6，中国相关部门在监测的同时，国外可能也在同步地得到相关信息。在信息的国外流通问题和国家自主监管问题没有解决的情况下，怎么可以用IPV6来做平台呢？
第五，通知提出“在2010年底前至少将50所高校的网络升级到下一代互联网”。我们不知道这五十所高校包括哪些。不过肯定会包括许多承担国家重要甚至是保密科研项目的学校，而且据说还有人打算将部队院校也纳入下一代互联网（CERNET2）。不知道IPV6如何保证这些高校的保密信息不会流传到国外去。如果没有具体可行可信的安全方案，那根本就不能做。
第六，由于中国广泛地采用了光纤通信，使得敌对势力监听中国的固网通信（如电话和数据）越来越困难。但是通知提出“向用户提供基于IPv6的话音、视频、娱乐及其他增值业务”。这意味着将来固网通讯也要以IPV6为平台，也就意味着固网通讯的安全性将会因IPV6的介入而降低甚至消失（考虑到有人企图让IPV6成为所有网络的平台）。这就是我们说IPV6要比IPV4更危险、危害更大的另一个主要原因。
第七，通知提出“支持主流加密算法，保证控制信令的安全传输”。这个指示有两个安全问题。其一是，现有的IPV6用的主流算法如SHA1，MD5，等是不能满足安全系数要求的。其二是，通知只提出“支持主流加密算法”有与国家有关部门的商用密码法规相抵触的嫌疑。
第八，通知提出，要让IPV6“支持高清视频监控和智能识别”。视频监控和识别是属于国家公共安全部门如公安、边防、海关等领域内的功能。让IPV6作为这个领域的平台将严重地侵害国家公共安全保障能力。
第九，通知提出“支持多媒体数据在广播电视网和通信网之间的双向传输处理；（3）实现融合广播和通信功能的接入认-证；（4）在广播电视网和CNGI示范网络上进行设备验证和业务试验。”我们知道广播电视对于国家安全和社会稳定具有举足轻重的影响。我国的卫星电视广播就曾经多次受到来自海外的干扰。现在将具有安全缺陷、易受攻击、缺乏自主控制的IPV6作为广播电视网的平台，这是非常危险的想法。
第十，IPV6将使得民用网络无法从民用转军用。未来的一个普遍趋势是，军用的网络通讯设备一部分将会从民用技术和市场上购买。如果IPV6在商用市场上占主导甚至绝对垄断地位，那就会限制军队在民品市场的采购，也使民用技术无法为国防建设做贡献。这是因为在战时，民用网络有可能被征调来执行国防任务。但IPV6为主导的网络将对国防征用不利。
第十一，如果IPV6被大规模商用，国家的重要骨干社会设施网络如电力管理、通讯、金融、交通等都会被迫采用IPV6。这将会对国家基础公共设施的安全带来不利影响。
第十二，IPV6将挤占国家大量资金，挤压真正适合国家安全需要而开发的自主创新技术的生存空间。使得网络安全技术发展持续落后。
所以，即使用在公网上（民用网）部署，IPV6也会对国家安全带来极为严重的隐患。

对策和建议

由上可见，由于IPV6的先天结构性缺陷，是不适合在中国大规模部署的，即使是商用也不行，其也不具备整合各种网络成为全业务运作平台的条件。通知中所提出的种种要求看上去很全面、很吸引人，但是IPV6根本实现不了。
仅仅从安全这个角度来看，IPV6就存在着一大堆问题，而且会导致极为严重的后果。从安全需求看，IPV6是完全不合格的。
从其他角度看，IPV6还存在更多的问题，如移动性差、缺少自主创新、经济效益差、科技拉动力差、通讯效率差、服务质量差、公平性不够等等。这些将另外论述。
从国际趋势看，本文中的观点也是站得住脚的。正是看到IPV6的种种缺陷，目前，发达国家和地区如美国和欧盟，以及国际标准组织如国际标准组织/国际电工委员会（ISO/IEC）和国际电联（ITU-T）等都已经将精力转向革命性的全新框架设计的全新一代互联网的研发中去，而不再将整合网络的希望寄托在IPV6上。中国目前将资金和精力全部花在IPV6上是一个战略方向性错误。经过十多年花大心血建成的第二代刚建成就会遇到新一代技术的挑战，面临被淘汰的命运。
上IPV6的唯一理由是所谓的地址不足问题。但这个问题明显地被夸大了。地址紧缺没有那么急迫。地址问题不会带来灾难性后果，而不安全的IPV6却肯定会。而且，目前我国已经有更好的新技术可以解决地址不足问题。
根据以上考虑，我认为大规模部署IPV6不是一个明智的做法。目前，应该暂停IPV6的试商用，对其性能进行一次全面客观和公正的重新评估（本人此信也只是一家之言，欢迎学者专家指正并积极讨论）。如果本文中所说的问题确实存在，那么就应该果断地摒弃IPV6，另行寻找和开发新的技术路线。我理解，这样的决定是困难的。但是，为了国家和民族利益，恐怕这是不得不做的。
因此，我建议，发改委就新一代网络技术展开调查和研究，抓住机遇，争取为中国在全新框架未来网络研究领域内占领一席重要地位。同时，应该对国产的自主创新的IPV9技术给予重视和优先考虑。毕竟这是我国目前唯一第三代网络（包括互联网）技术，而且在时间和进度上领先西方发达国家。
我知道，要停掉一个规划中的项目（IPV6为基础的下一代互联网）是一个艰难的决定。但是，如果中国在目前有利的多元竞争的国际环境下，能够依靠自己力量，依据自己的需要打造一个具有世界先进水平的新型互联网，从而根治信息安全问题，带动科技创新和社会进步，那您的决定将会是利国利民，功莫大焉，善莫大焉。

作者：齐鲁剑 在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

相关主题
继续苦口婆心劝国女(最后一贴)	海归酒吧	2008-7-14 周一, 20:49
[转帖]读《人口危局：反思中国计划生育政策》	海归茶馆	2014-7-21 周一, 09:41
老狼准备回纽约摆摊混口饭吃：纽约摆摊指南：街头小贩成了一门精深学问(组图)	海归商务	2014-3-09 周日, 21:24
没事找事系列：湖口兵变：蒋经国兄弟失去兵权内幕揭秘（转帖）	海归茶馆	2012-1-24 周二, 05:01
美国人口统计：美国白人小孩低于50%	海归商务	2011-6-23 周四, 14:00
[转帖]一岁半的外孙女都雯欣突然张口大哭：“救妈妈，救奶奶……”	海归主坛	2008-5-22 周四, 15:19
苦中作乐：散律三叠，致敬肖斯塔科唯奇第五交响曲	海归茶馆	2008-5-14 周三, 22:01
[贴图]口水贴：跟着波儿贴衣服	海归风情	2007-3-10 周六, 06:43