年末岁初,一篇《拿数据来说话》的文章,称赞IPv6“有更高的安全性”,“不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍”,“IPv6根服务器在中国已有4个,与其他国家的网络节点是平等互联的,根本不需要通过美国的根服务器”……云云。
可是,就在前几天,美国信息系统审计组织CISA(Certified Information Systems Auditor)发布警报,Treck公司开发的TCP/IP协议栈存在严重漏洞,如果被“武器化”,攻击者可进行远程控制并发动DOS攻击。该安全漏洞TCP/IP(Track 版本6.0.1.67及之前的版本)直接影响HTTP(Hyper Text Transfer Protocol,超文本传输协议)、IPv6(Internet Protocol Version 6,因特网协议第6版)、DHCPv6(Dynamic Host Configuration Protocol v6,动态主机配置协议v6)。再进一步,受TCP/IP协议栈漏洞安全影响最大的,将是遍布各行各业的各种PLC可编程控制器。本源(桶底)漏了,还能存米、储物、容水吗?
因特网全面接入中国公众网络进入27个年头了,不知道中国的因特网特别是IPv6“专家”们,有几位读过或熟悉因特网协议栈的源代码,有几位了解美军研发并指定因特网基于TCP/IP形成的协议栈的结构、规范与路径?有几位能向全国网信从业人员、监管人员和网民说清楚,因特网协议栈是怎样强制性制约和诱惑性引导生产厂家、运营服务商、科研人员、监管人员,围着TCP/IP构成的利益链打转转、转圈圈的?
《拿数据来说话》列举的IPv6特点,都只是应用层的表像,而有的特性已经在规模化、系统化的网络实际环境生态的实践中,被验证(证伪与试错)不可行、不真实、不稳定、不科学。有关部门和运营商,应当实事求是地进行审计和总结,向党、国家和人民公布三年来“规模部署IPv6”实验和验证的真实情况。以偏概全,回避真相,压制问题,用片面的观点看待整体问题,很容易导致迷失方向、固步自封、逆势而动。
协议栈是协调网络应用层、表示层、会话层、传输层、网络层、数据链路层、物理层,7个边界清晰的开放分层系统的软件库。因特网的协议栈(软件库),就是美国为全球因特网用户定制TCP/IP协议的中心,只可顺其自然,不可自作主张。它曾促进了因特网的普及和深入,它也是因特网安全漏洞层出不穷的源头,它更是阻碍未来网络创新发展的根本。请注意,IPv6协议本身并不能解决任何安全问题,网络安全威胁主要来自于网络供应链设施、设备的漏洞和后门,来自协议栈(软件库)的源代码。
实际上,2020年6月份就发现和公布了TCP/IP协议栈的安全漏洞, CISA最近才明确警告漏洞影响的是IPv6、DHCPv6……为什么?显然,IPv6的安全不仅关系因特网供应链、需求链的安全(协议栈和协议族),而且与因特网的生存发展前景密切相关、相互依存,存在着难以预知的深层次风险和巨大隐患。
美国大选中发生的“太阳风”安全事件的调查分析表明,网信服务也是供应链安全中不可或缺的关键环节。设想,如果每个单位(甚至每个网民)都去下载TCP/IP的补丁(开源软件包),很可能遭遇源代码的二次“污染”,或成为大规模入侵网信空间的“带路人”。那时,“各扫门前雪”或“约定俗成”的“安全”误导意识,本身就是开放的安全漏洞!重要提醒,IPv6端到端的服务,将可能为上述“人人下载”TCP/IP补丁提供便利。
尽管美国行政管理局在2020年11月19日签发了关于全面过渡到IPv6协议的备忘录(M-21-07),备忘录中强调指出:“部署IPv6过程中,最大的威胁就是专业操作知识的缺乏。IPv6作为新协议,很多实施过程中的Bug(漏洞)还未被发现和修复,且很少有人具备安全运行IPv6网络所需的专业安全知识。”?CISA刚发出不久的警报,再一次明确指出了IPv6存在和潜在的协议栈漏洞的系统性不安全。同时,CISA警告,美国国土安全部(DHS)不提供任何类型的保证。
全球网信业界包括美国的科研人员早已洞察源代码漏洞、后门的严重危害性、潜在威胁性,针对因特网协议栈进行了大量的反思、革新乃至颠覆性创新的探索。华为牵头、中国三大运营商和中国信息通信研究院参与的New IP探索,以及原信息产业部组建的十进制网络标准工作组的知识产权研发成果等,都是我国网信业界积极创新的重要亮点。美国军方和一些国家的ATM(Asynchronous Transmission Mode)电路交换(Circuit Switch)专用网络,早就可以与采用TCP/IP协议的包交换网络并存。
美国因特网工程任务组(IETF),2017年7月就废除了1998年制订的“IPv6草案”及“下一代IPng(过渡)计划”。而在中国,怎么能罔顾事实,不讲科学,非要将“规模部署IPv6”或“纯IPv6”进行到底?有些人既不从基础理论入门,又不从协议栈的本源创新起步,没有任何创新设计和规划,硬着头皮、拍着脑袋依葫芦画瓢,非要不惜代价地(耗费中国人民创造的财富)盖一座美国的“中国IPv6大厦”。这样做,究竟出于什么动机和目的?
在我国,隐瞒事实真相,掩耳盗铃装糊涂、假糊涂、蒙混过关、以权谋私者,大有人在。我国长期忽略对因特网的基础研究,过度迷信和依赖美国画好“圈”的协议栈和协议族,盲目崇拜“开源”协议的“安全”假设或“理想”认定,悖逆科学真谛,违背创新精神,导致重大的网信战略失策和安全失误。
“十四五”是坚定不移地建设网络强国、数字中国的重大关键奋斗期,是我国网信领域坚持维护国家主权、安全、发展利益,奠定新发展格局、开创新发展局面的决战决胜拼搏期,我们决不能再松劲、再让渡、再后退了!
(作者系昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员;来源:昆仑策网【原创】,修订稿)
原文始发于微信公众号(昆仑策研究院):牟承晋:再也不能迷信和依赖美国画好的“圈”——TCP/IP协议栈是因特网安全危害的根源