【安全圈】IPv8草案發(fā)布，互聯(lián)網(wǎng)迎來(lái)重大變革！100%兼容IPv4

關(guān)鍵詞

IPV8

盡管IPv6已經(jīng)推行超過(guò)二十年，但由于其與舊有網(wǎng)絡(luò)協(xié)議（IPv4）并不兼容，導(dǎo)致全球遷移進(jìn)度未如預(yù)期。終于，IETF近日發(fā)布全新Internet Protocol Version 8 (IPv8)網(wǎng)絡(luò)協(xié)議草案，將采用64-bit地址空間并完全兼容IPv4。這意味著IPv6協(xié)議已宣告失敗，IPv8才是IPv4的真正接班人。

IPv6雖然解決了地址問(wèn)題，但因不兼容IPv4導(dǎo)致無(wú)法普及。IETF吸取了慘痛教訓(xùn)，IPv8采取向下兼容策略——IPv4是IPv8的子集，現(xiàn)有IPv4裝置和應(yīng)用程序不需要任何修改，即可在IPv8網(wǎng)絡(luò)中運(yùn)作。這解決了企業(yè)最擔(dān)心的強(qiáng)制遷移成本問(wèn)題。

IPv8采用64-bit地址空間，結(jié)構(gòu)化為r.r.r.r:h.h.h.h（路由前綴：主機(jī)地址）。如果前綴位元設(shè)定為零（例如0.0.0.0:192.168.1.1），該地址將被直接視為標(biāo)準(zhǔn)IPv4地址處理。因此現(xiàn)有網(wǎng)絡(luò)裝置、應(yīng)用程序與底層架構(gòu)無(wú)需大規(guī)模改動(dòng)或硬件更換，即可直接接入IPv8環(huán)境。草案強(qiáng)調(diào)，IPv8的部署不設(shè)截止轉(zhuǎn)型日（Flag Day），支援長(zhǎng)期平滑演進(jìn)。

在IPv8體系下，每個(gè)自治系統(tǒng)編號(hào)（ASN）的持有者將獲得一個(gè)完整的/32主機(jī)地址空間，即超過(guò)42億個(gè)獨(dú)立地址。全球路由表將受限于ASN的數(shù)量，結(jié)構(gòu)上更加穩(wěn)定，大幅減輕核心路由器對(duì)超大路由表的處理壓力。

除地址擴(kuò)充外，IPv8還提出了一套全新的區(qū)域伺服器（Zone Server）管理哲學(xué)。過(guò)去網(wǎng)絡(luò)管理員需要分別配置DNS、DHCP、NTP及OAuth2等多種服務(wù)，而IPv8將這些功能統(tǒng)合成單一平臺(tái)。

為了防止日益嚴(yán)重的網(wǎng)絡(luò)劫持與路徑欺詐，IPv8引入了名為成本因子（Cost Factor, CF）的路由算法。該算法不僅考量網(wǎng)絡(luò)擁塞，還將「地理距離」納入計(jì)算。如果一個(gè)封包的傳輸速度超過(guò)物理光速限制，系統(tǒng)將立即識(shí)別異常路由，從根本上杜絕虛假路徑的干擾。

有別于傳統(tǒng)IPv4是預(yù)設(shè)信任的設(shè)計(jì)，IPv8的邏輯是「預(yù)設(shè)不信任」——所有過(guò)境到互聯(lián)網(wǎng)的封包，在出口路由器處必須經(jīng)過(guò)DNS8與WHOIS8的雙重驗(yàn)證。裝置在發(fā)送封包前必須持有合法的認(rèn)證令牌（Token）。缺乏有效認(rèn)證的裝置將難以在網(wǎng)絡(luò)中漫游或發(fā)送偽造來(lái)源的流量，從源頭遏止僵尸網(wǎng)絡(luò)（Botnet）的形成。

雖然大規(guī)模的流量飽和攻擊（Volumetric Attack）依然可能對(duì)實(shí)體鏈路造成壓力，但I(xiàn)Pv8透過(guò)身份令牌化與路徑物理檢測(cè)，讓偽造來(lái)源與隱匿路徑這兩種DDoS核心手段變得極其困難。

目前，IPv8草案已詳細(xì)定義了核心協(xié)議、路由行為（BGP8/OSPF8）以及與Wi-Fi 8的整合，預(yù)計(jì)將在未來(lái)六個(gè)月內(nèi)開(kāi)放業(yè)界討論。

雖然IPv6已推行多年，但I(xiàn)Pv8協(xié)議的目的很明顯：廢掉IPv6，讓IPv4直接升級(jí)至IPv8。全球互聯(lián)網(wǎng)將迎來(lái)一場(chǎng)前所未有的平滑升級(jí)革命。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！