IPv6可以有效改善網路服務水平，提升服務體驗和應用價值。特別是在物聯網場景，透過與5G 技術的結合，純IPv6將極大降低網路部署及運維成本，並藉由一物一址標識、身份溯源等技術，極大程度提升網路安全能力的同時，實現對網路的精準管理。

如果我們從更加純粹的網路安全形度出發，在IPv6規模部署甚至是純 IPv6的趨勢下，物聯網資產將面臨哪些安全挑戰？

7月31日下午，綠盟科技應邀參與了由全球 IPv6論壇（IPv6 Forum）主辦，下一代網際網路國家工程中心、澳門科技大學承辦，為期兩天主題為“邁向網路新紀元，助力數字新基建”的“2020全球 IPv6 下一代網際網路峰會”，並由綠盟科技創新中心總監劉文懋博士，帶來了來自綠盟科技格物實驗室的主題分享《IPv6趨勢下的物聯網資產安全治理的機遇與挑戰》。

綠盟科技創新中心總監 劉文懋

物聯網資產安全治理迫在眉睫

2016年，由物聯網殭屍網路 Mirai發動的大規模 DDoS 攻擊，讓人們對物聯網資產的潛在風險和實際威脅第一次有了感知。2019年，日本等國已經開始透過頒佈相應法令來推進物聯網終端的安全治理。可以說，物聯網的安全治理迫在眉睫。

2016年起，綠盟科技格物實驗室已連續4年透過專題報告的形式對外發布在物聯網安全領域的研究成果。綠盟科技認為，物聯網資產安全治理的關鍵和首要階段，在於資產的發現和識別。特別在 IPv4地址空間即將耗盡，IPv6 規模部署的全球趨勢下，物聯網資產的發現識別，更是面臨諸多挑戰，困難重重。

劉文懋博士表示，因為IPv6龐大地址空間的特性，以及全網持續推進的趨勢，讓透過遍歷的方式進行物聯網資產的識別發現基本不可能。雖然目前使用IPv6地址的實際數量還較少，但地址分佈的隨機性很強，所以全網遍歷從時間和資源上都不切實際。

那麼，如何在 IPv6的背景下，進行合理、有效的物聯網資產識別？格物實驗室給出了三個方向的探索成果：

1、透過種子 IPv6地址集合尋找物聯網資產（基於機率生成預測地址集，並透過掃描HITList中地址資產是否開啟 IPv4常用埠進一步確認。）

2、使用用UPnP雙棧等物聯網協議特性幫助發現資產

3、尋找IPv6地址的分佈特徵，以及透過Scan6等新型軟體的掃描實踐

儘管以上三個方向都是一些有益的嘗試，但總體來看，現階段的技術手段遠未成熟。在IPv6環境中，我們發現同樣存在大量網路地址轉換和動態地址分配的應用，無論是攻擊者還是企業，完全掌握物聯網資產都比較困難。所以，安全風險方面，綠盟科技認為，內網部署的物聯網裝置的暴露風險並沒有明顯增加，但始終會客觀存在。

雖然當下還沒有令人滿意的IPv6物聯網資產發現方法，但物聯網資產的安全治理卻已刻不容緩。從被動流量進行識別分析，可能將是未來數年內有前景的物聯網安全治理主要手段。以 DDoS 攻擊為主，透過被動異常流量檢測結合 IPv6威脅情報的手段，可實時發現脆弱的IPv6資產，並藉助雲地人機融合的能力，對惡意的DDoS流量進行立體、靈活的緩解，這種技術手段將是IPv6網路中DDoS緩解的主要防護思路。

總體來看，IPv6將是支撐我國新基建戰略的關鍵網路通訊技術之一，特別是在URLLC、mMTC的5G場景下，海量物聯網終端必然會採用IPv6技術組網，因而，保護IPv6的物聯網安全，就是保護下一代關鍵基礎設施的整體安全。可以說，IPv6物聯網安全治理應當先行，刻不容緩。

綠盟科技格物實驗室連續4年在物聯網安全治理領域進行深入研究，擁有豐富的研究成果和能力積累。無論是IPv6的物聯網資產發現識別，還是在IPv6的物聯網威脅情報，配合全網的安全態勢感知方案，將有助於更好的保障IPv6技術推進過程中的網際網路上的關鍵基礎設施安全。