筑牢 下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 2019年 9月 版权声明 本白皮书 版权属于 中国信息通信研究院 ，并受法律保护 。 转载、摘编或利用其它方式使用 本白皮书文字或者观点的，应 注明 “ 来源 中国信息通信研究院” 。违反上述声明者，本 院 将追究其相关法律责任。 前 言 当前，网络信息技术 加速 引领新一轮科技革命，以前所未有的广度和深度引发经济社会多方位、全领域、深层次的技术 创新和 产业 变革。 在 5G、物联网、工业互联网等新兴领域蓬勃发展，人人互联加速向万物互联迈进 的时代趋势下 ，网络空间传统 IPv4 地址资源紧缺等问题日益凸显 ，以 IPv6为 代表的下一代互联网技术应运而生 。 IPv6 凭借其海量地址空间、内嵌安全能力等技术优势，为 泛在融合、大连接的新形势下 网络信息技术 的 创新发展提供 基础网络资源 支撑，已成为促进生产生活数字化、网络化、智能化发展的核心要素，吸引世界发达国家的广泛关注和 大力投入 。 近年来，我国紧抓 全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，全力推进 下一代 互联网 部署应用 ，为经济社会发展和网络强国建设提供有力支撑。然而， IPv4 向 IPv6 网络 的 升级演进是一个长期、持续的过程， 现阶段 已部署上线的 IPv6 业务 仍 相对有限， IPv6 部署应用过程中的 网络安全风险 尚未完全 显现 。此种客观情况对IPv6 新环境下 的 网络安全 防御工作而言是挑战也是机遇，与传统网络安全防御攻击方更为被动的形势相比，在 IPv6 环境中， 攻防 双方 正处于同一起跑线 上。我们更应高度 重视下一代互联网演进升级中存在的安全风险 ，加快 提升 IPv6 网络安全防护能力 ， 构建 形成 IPv6 网络安全防护 主 动局面。 我院联合安天科技股份有限公司、北京蓝汛通信技术有限责任公司、 北京天融信网络安全技术有限公司、 北京知道创宇信息技术 股份 有限公司、北京神州绿盟信息安全科技股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、网宿科技股份有限公司、亚信科技（成都）有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司、中国移动通信集团有限公司 1共同推出 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 。本白皮书从网络安全视角，客观审视 IPv6 发展和网络 安全工作现状，分析探讨下一代互联网升级演进过程中 的 安全风险和应对举 措，梳理现有网络安全工作急需， 挖掘 IPv6 安全产品和服务重点发展方向，希望与业界分享，共同推动 保障 下一代互联网 安全 、有序发展。1 注按首字母排序，排名不分先后 目 录 一、相关背景 . 1 （一） IPv6 改造稳步推进，基本形成市场驱动良性环境 . 1 1、网络基础设施 IPv6 升级改造基本完成 . 1 2、应用基础设施已具备 IPv6 服务能力 . 3 3、互联网应用 IPv6 活跃用户数稳步提升 . 4 （二） IPv6 安全风险开始显现，挑战下一代互联网安全保障能力 . 5 1、 IPv6 网络攻击数量剧增，攻击范围逐渐扩大 6 2、 IPv6 安全漏洞客观存在，影响覆盖系统、应用等各相关层面 7 二、我国下一代互联网建设安全工作现状 . 8 （一）贯彻落实国家战略，加强 IPv6 安全工作部署 8 1、工信部明确 IPv6 安全工作阶段性目标 . 9 2、广电总局细化 IPv6 安全指导和安全测试验证要求 . 9 3、教育部强调 IPv6 安全保障体系总体目标 10 4、央行同步落实 IPv6 发展和安全工作 11 （二）加快 IPv6 安全科研布局，强化 IPv6 安全技术储备 11 1、强化 IPv6 安全核心要素和基础资源安全管理创新 12 2、开展 IPv6 安全风险研究，构建 IPv6 安全应对体系 . 13 3、推动 IPv6 源地址认证和网络攻击追踪溯源研究 14 （三）推动 IPv6 安全实践，强化 IPv6 安全创新 16 1、加快 IPv6 安全标准制修订，强化 IPv6 安全指导 . 16 2、加强 IPv6 安全产品和服务探索，助力安全能力提升 17 3、探索 IPv6 安全解决方案，强化 IPv6 安全风险应对 . 18 三、我国下一代互联网建设仍面临的安全挑战 20 （一） IPv4/IPv6 长期并存，过渡机制持续叠加安全风险 . 20 1、双栈机制 IPv4/IPv6 网络安全暴露面倍增 21 2、隧道机制内置安全功能缺失，安全影响范围扩大 . 22 3、翻译机制机制内在特性仍面临传统网络攻击威胁 . 23 （二）协议新特性挑战现有安全手段，融合场景风险持续扩大 25 1、 IPv6 地址标识复杂性骤增，挑战基于地址资源安全防护手段 . 25 2、 IPv6 协议新特性引入新安全问题，网络安全风险此消彼长 . 27 3、 IPv6 融合场景放大新技术安全隐患，加剧安全防御被动局面 . 30 （三） IPv6 网络安全需求能力“剪刀差”亟需弥合 31 1、 IPv6 安全产品发展尚在起步，远滞后安全能力需求 . 31 2、 IPv6 安全问题未充分暴露，制约安全服务发展步伐 . 33 3、“ IPv6网络安全”复合型专业技术人才缺失 . 34 四、保障下一代互联网安全有序发展的建议 34 （一）主动布局 IPv6 安全产品服务和安全实践推广 . 35 （二）按需求、分场景落实 IPv6 安全产品服务部署 . 39 （三）构建 IPv6 安全创新机制，强化 IPv6 风险防范能力建设 43 （四）强化 IPv6 安全知识技能培训，弥合 IPv6 安全人才差距 44 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 1 一、相关背景 近年来，我国紧抓全球信息 通信 技术加速创新变革、信息基础设施快速演进升级的历史机遇，在国家层面出台推进互联网协议第六版（ IPv6）规模部署行动计划（以下简称行动计划），提出 “一条主线、三个阶段、五项任务”总体目标， 全力推进互联网演进升级和健康创新发展，如图 1.1 所示。 图 1.1 我国 下一代互联网建设总体目标 目前，我国下一代互联网建设第一阶段目标任务全面完成，网络设施 全面就绪、应用改造逐步推进、 活跃用户 稳步提升的局面已 经 形成。 但 随着下一代互联网网络和业务环境逐步成熟， IPv6 网络 安全风险开始 逐渐浮出水面 ， IPv6 网络安全事件时有发生 。 （一） IPv6改造稳步推进， 基本形成 市场驱动良性环境 1、网络基础设施 IPv6 升级改造基本完成 目前，我国固 网 、 LTE 网络已 大规模分配 IPv6 地址 ， 基本 具备IPv6 业务承载能力 2。截止 2019 年 7 月， LTE网络方面， 全国 30 省 32 数据来源本节数据如无特别说明，均 统计 自 推进 IPv6 规模部署专家委员会 。 3 数据统计范围不包括香港、澳门、台湾、新疆。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 2 的 LTE 网络已完成 IPv6 升级改造； 固定网络方面， 基础电信企业骨干网设备已全部支持 IPv6， 13 个骨干网直联点已全部实现 IPv6 互联互通，全国 30个省城域网 IPv6改造已经全面完成； 国际出入口方面，基础电信企业已开通 IPv6 国际出入口带宽 100Gbps， 扩建工作不断加快。 IPv6 网络 流量 现状 如图 1.2 所示。 图 1.2 IPv6 流量现状 随着网络基础设施 IPv6 升级改造工作的持续推进， IPv6 网络 相关用户数稳步增长。截止 2019 年 7 月，全国已有 12.78 亿用户获得IPv6 地址，其中， LTE 网络用户共 11.29 亿，固定网络用户 1.49 亿，相比 2018 年初增长超过 10 倍，如图 1.3 所示。 图 1.3 IPv6 用户数现状 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 3 2、应用基础设施 已具备 IPv6 服务能力 我国应用基础设施改造速度不断加快，已具备全国范围内对外提供服务的能力。 DNS方面， 我国 国家顶级域名服务系统早在 2012 年的 CNGI4二期工程中 已 完成 IPv6 升级改造 。 截止 2019 年 7 月，基础电信企业递归域名服务器已全部完成 IPv6 升级改造，全面支持 IPv6地址解析 。 IDC方面， 基础电信企业超大型 /大型 /中小型 IDC5升级改造全面完成， 世纪互联等企业 已完成 大型 IDC 升级 改造，正加快 推动中小型 IDC 升级改造进度，如图 1.4 所示。 图 1.4 IDC 升级改造现状 CDN方面， 我国 CDN企业全部机房 IPv6覆盖能力已达 100，已具备面向全国提供 IPv6 相关业务加速能力，省级 CDN 节点本地部署 已超过 60，如图 1.5 所示。 4 CNGI Chinas Next Generation Internet，中国下一代互联网。 5 以功率为 2.5 千瓦的标准机架为换算单位，超大型数据中心是指规模大于等于 10000 个标准机架的数据中心；大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心；中小型数据中心是指规模小于 3000 个标准机架的数据中心。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 4 图 1.5 CDN 升级改造现状 云平台方面， 阿里云、百度云、腾讯云等知名云服务平台持续推进云服务产品 IPv6 升级改造。目前，负载均衡、对象存储、域名解析等不同种类云服务产品已完成 IPv6 升级改造， 平均改造率已超过60， 如图 1.6 所示。 图 1.6 云平台升级改造现状 3、 互联网 应用 IPv6 活跃用户数 稳步提升 随着网络 及 应用基础设施 IPv6 升级改造的持续推进， IPv6 网络和应用能力稳步提升， IPv6 相关业务开始逐步上线， 购物、视频、新中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 5 闻等各类互联网应用 IPv6 活跃用户数 稳步 提升。截止 2019 年 7 月，我国主要互联网应用活跃用户数已达 2.01 亿，如图 1.7 所示。 图 1.7 2019 年我国 IPv6 活跃用户数增长情况 此外， 截止 2019 年 7 月， 我国 政府、央企、央媒、商业 6等各类网站 IPv6 升级改造也已取得积极进展，如图 1.8 所示。 图 1.8 各类网站升级改造现状 （二） IPv6安全风险开始显现， 挑战 下一代互联网 安全保障能力 早在 2018 年 3 月，美国安全厂商 Neustar 已发现业内第一起基6 统计维度为排名前 50 的商业网站。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 6 于 IPv6协议的 DDoS攻击，攻击对象为存储 1900个 IPv6地址的 DNS服务器 7。近年来，随着我国 IPv6 网络和业务开始上线， IPv6 网络攻击事件也开始出现， IPv6 网络安全问题相继浮出水面，我国下一代互联网建设正面临客观安全挑战。 1、 IPv6 网络攻击数量剧增，攻击范围逐渐扩大 随着 IPv6 网络开始投入使用， IPv6 网络攻击 8数量急剧增加，影响范围也呈现出向各行业领域扩大趋势。据国内安全厂商统计， 2019年上半年共监测发现超过 9 万起 IPv6 网 络攻击，其中，攻击对象覆盖政府部门、事业单位、教育机构等单位 9，如图 1.9 所示。 图 1.9 2019 年上半年政企事业单位遭受 IPv6 攻击情况 在 2019 年 3 月 ，国内安全厂商拦截 到 攻击源为 IPv6 地址的网络攻击 8000 万起 10；在针对 283 家政府部门、教育机构、中央企业云托管网站来自 IPv6 网络的攻击中，目录遍历攻击、 WEB Shell 攻击、SQL 注入等典型 WEB 攻击超过 9011，如图 1.10 所示。 7 IPv6 环境下需要 DNS 存储海量地址，导致 DNS 极易被攻击者选为攻击的关键对象。 8 IPv6 网络攻击包括 攻击源为 IPv6 地址的攻击，以及利用 IPv6 网络或安全问题发起的各类攻击。 9 数据来源据神州绿盟整理统计。 10 数据来源据知道创宇整理统计。 11 数据来源据深信服整理统计。 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 7 图 1.10 283 家云托管网站网络攻击情况 2、 IPv6 安全漏洞客观存在，影响 覆盖 系统、应用等 各相关 层面 尽管 IPv6 相关技术概念早在 1996 年已经提出，但直到近年来才开始引起各界 的 广泛 关注和投入，相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段，尚不具备较为完善的安全机制， IPv6 安全漏洞客观存在。截止 2019 年 7 月， CVE 漏洞库中已收录 IPv6 相关漏洞 381 条， 覆盖 系统 漏洞 、应用 漏洞 、硬件 漏洞 、协议 漏洞 等不同层面，如图 1.11 所示。 图 1.11 IPv6 相关漏洞情况 （保留四舍五入统计误差） 其中， CVSS12评分超过 7 的高危漏洞占比超过 50，如图 1.12所示。 12 CVSS Common Vulnerability Scoring System， 通用漏洞评分系统。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 8 图 1.12 不同威胁程度 漏洞 分布 情况 二、我国下一代互联网 建设 安全工作现状 自行动计划发布以来，我国政产学研各界贯彻落实国家重大战略 要求 ，从工作部署、科研工作、产品服务、安全实践等方面 全面强化下一代互联网安全布局，持续 加强 我国下一代互联网 安全保障 。 （一）贯彻落实国家战略，加强 IPv6安全工作部署 近年来，我国各政府部门立足自身职责分工，在政策方面频频发力，出台部门相关政策文件，同步强化各行业 领域 IPv6 发展和安全工作部署，如图 2.1 所示。 图 2.1 我国政府部门 IPv6 相关政策文件 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 9 1、工信部 明确 IPv6 安全工作 阶段 性 目标 工信部连续两年发布相关政策文件，分阶段 细化 IPv6安全要求。2018 年 5 月，发布关于贯彻落实 的通知，从安全管理、保障措施、安全能力三个维度提出 IPv6 安全总体要求，包括同步升级 IPv6 安全保障系统、强化新兴技术领域安全能力建设等 ； 2019 年 4 月 ， 发布关于开展 2019年 IPv6 网络就绪专项行动的通知 ， 提出 2019 年末 IPv6 安全主要目标，强化 落实 IPv6 网络安全保障，如图 2.2 所示。 图 2.2 2019 年末 IPv6 安全主要目标 2、广电总局细化 IPv6 安全指导 和安全 测试验证 要求 广电总局在 2018 年 3 月发布的广电有线网络 IPv6 规模部署及推进实施指南中明确细化 IPv6 发展和安全实施指导 。 其中，在 IPv6安全方面，该指南从网络攻击、口令攻击、病毒攻击等 9 种 IPv6 安全威胁入手，分析网络侧和业务侧两个方面的 IPv6 安全防护能力，针对终端安全、网络安全、业务安全三个方面，明确提出 IPv6 安全防护策略，如图 2.3 所示。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 10 图 2.3 实施指南相关 IPv6 安全防护策略 此外，该指南明确提出在 IPv6 部署过程中同步开展支持能力测试， 要求 IPv6 升级改造后的系统应符合国家安全相关标准和行业标准 ，相关 系统上线前应开展安全评测等。 3、教育部 强调 IPv6 安全 保障体系 总体目标 2018 年 8 月，教育部发布教育部办公厅关于贯彻落实 的通知，明确到 2020 年末基于 IPv6 的安全保障体系基本形成的总体目标，从安全管理、 安全 设备等方面， 强调 优化 IPv6 网络安全管理和防护，如图 2.4 所示。 图 2.4 教育部 IPv6 安全工作部署 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 11 4、央行同步 落实 IPv6 发展和安全工作 央行因其主管的金融服务机构业务特殊性，长期 以来十分 重视网络安全工作 。 在 2019 年 1 月发布的关于金融行业贯彻 的实施意见中更是强调金融服务机构 IPv6 升级改造以保障系统安全稳定运行为前提，坚持发展与安全并举，并从主要目标、实施步骤等方面明确提出，按照“ 初期阶段、规模推广阶段、持续建设阶段 ”同步推 进 IPv6 安全工作。在 IPv6 网络安全保障方面，提出构筑有效防范 IPv6 安全风险且不低于现有 IPv4 同等防护能力的安全防护体系，新增 IPv6 互联网接入线路具备访问控制、入侵检测、流量 清洗 等安全功能。 此外，国资委在关于做好互联网协议第六版（ IPv6）部署应用有关工作的通知中，要求各中央企业制定 IPv6 相关任务清单，制定详细工作计划，明确中央企业网站和系统改造计划完成时间，开展IPv6 环境下移动互联网、物联网、工业互联网等新兴技术研究与应用，同步强化网络安全保障工作的同时，从强化组织领导、保障资金投入、加大扶持力度等方面同步推动 IPv6 发展和安全相关工作。 （二）加快 IPv6安全科研布局，强化 IPv6安全技术储备 为防范下一代互联网建设过程中一系列安全风险，我国政产学研各界围绕 IPv6 基础资源安全管理、安全风险应对等问题，开展 了一系列 IPv6 安全相关 基础 科研工作， 旨在 强化 IPv6 安全技术储备，推动下一代互联网安全 演进 。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 12 1、强化 IPv6 安全核心要素和 基础资源安全管理 创新 为强化 IPv6 风险应对技术储备，我国高校、企业、科研机构协同合作，依托科技部 国家重点研发计划 “宽带通信和新型网络” 重点专项 ， 重点 开展 了 IPv6 环境下基础资源管理核心技术研究，以 IPv6地址真实性作为网络基础设施的信任锚点，通过互联网体系架构中编制语义、路由控制等核心要素创新，实现大规模网络实体和网络行为关联要素可验证、可管理、可追溯，如图 2.5 所示。 图 2.5 项目组织架构 该项目针对主干网、接入网等不同 IPv6 真实地址部署场景，兼顾开放互通和安全管控，研究提出网络实体、身份、行为的关联机制，从编制语义、路由控制等角度研究实体编址与用户身份、网络行为间的关联关系的同时，构建大规模试验验证和应用示范平台，对自主技术体系、设备系统结构等开展全场景、一体化的验证，强化提升 IPv6环境下针对 IPv6 地址资源的安全管理能力，如图 2.6 所示。 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 13 图 2.6 项目研究框架 2、开展 IPv6 安全风险研究，构建 IPv6 安全应对体系 随着下一代互联网安全问题的逐渐显现，基础电信企业作为我国推动 IPv6 规模部署工作的重要 主体 ，在加快推动网络基础设施、应用基础设施等 IPv6 升级改造的同时，从升级网络安全防护手段、开展 IPv6 网络安全风险研究等方面同步推动 IPv6 网络安全保障工作。其中，中国电信于 2017 年开展 IPv6 网络安全风险相关研究工作，从网络安全防护体系、基础安全风险等方面，梳理 IPv6 安全风险对网络安全防护体系带来的安全挑战，分析过渡技术安全风险、 IPv6 新增风险等 IPv6 网络安全相关风险，以及 IPv6 协议机制对自身安全性的影响，形成 IPv6 安全风险框架，如图 2.7 所示。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 14 图 2.7 中国电信 IPv6 安全风险框架 基于 该框架中对 IPv6 安全风险的研究分析， 针对其各业务场景安全需求，从安全管理、过渡技术、安全设备、访问控制等方面，形成涵盖边界防护、资产管理、威胁情报等内容的 IPv6 安全策略部署建议，如图 2.8 所示。 图 2.8 中国电信 IPv6 安全策略部署建议 3、 推动 IPv6 源地址认证和 网络攻击追踪溯源 研究 清华大学早在 2003 年依托 CNGI 提出真实 IPv6 源地址验证体系结构 （ SAVA） 13，旨在通过域间、域内等网络层级的源地址识别和验13 真实 IPv6 源地址验证体系结构 Source Address Validation Architecture， SAVA。 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 15 证，对伪造源地址的分组进行过滤，保证网络中所有分组源 IPv6 地址的全网唯一性，进而通过在接入网内和其他不同网络层级上建立不同颗粒度的 IPv6 地址到其他类型标识的绑定关系，将 IPv6 地址逐级定位到网络实体，实现网络攻击行为的可溯源性 14，如图 2.9 所示。 图 2.9 真实 IPv6 源地址验证体系结构 体系结构 近年来，清华大学同样依托科技部 国家重点研发计划 “宽带通信和新型网络” 重点专项 ，持续开展下一代互联网安全相关科研工作，提出“一体化融合网络体系结构和关键技术研究”研究项目，旨在依托 IPv6 网络体系结构，针对空间信息网、广播电视网、移动互联网等多种异构网络的安全高效互联互通面临的技术难题，研究大规模可扩展、时空大尺度、多维高性能、真实安全可信、开放互联融合的一体化新型网络体系结构及其协议关键技术，为未来新型网络的发展奠定理论和技术基础。其中，在下一代互联网安全方面，该项目旨在研究一体化融合网络真实安全可信技术，实现源地址认证、用户身份认证、路由信息认证等功能，构建安全可信的未来一体化融 合网络。 14 参考文献 李杰 ， 吴建平 ， 徐恪 ， 自治域间真实源地址验证方法及技术实现 。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 16 （三） 推动 IPv6安全实践， 强化 IPv6安全 创新 1、加快 IPv6 安全标准制修订，强化 IPv6 安全指导 从 国家标准、行业标准等不同层面 ，我国 标准 化 组织全面启动IPv6 安全标准制修订工作，从 IPv6 安全防护、标准体系等方面持续强化 IPv6 安全指导，如图 2.10 所示。 图 2.10 IPv6 安全相关标准工作 国家标准方面， TC26015的 WG616聚焦 IPv6网络安全标准化工作，从国内外 IPv6 发展现状入手，在分析 IPv6 网络安全风险的基础上，研究提出涵盖应用层、网络层、终端层等不同层次的 IPv6 网络安全体系框架，并从基础、技术、管理等方面研究提出 IPv6 网络安全标准化路线图。 行业标准方面， CCSA17主要聚焦 IPv6 环境下多种业务场景网络安全防护要求，以及 IPv6 地址实名制等安全新问题，开展标准制修订工作。其中， TC818的 WG319强化 IPv6 地址申请、分配、备案等安全管理，加快推进 IPv6地址实名制管理系列标准制定工作。15 TC260全国信息安全标准化技术委员会。 16 WG6通信安全标准工作组。 17 CCSA中国通信标准化协会。 18 TC8网络与信息安全。 19 WG3安全管理组。 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 17 目前， IPv6 地址实名制管理总体要求、备案信息核查系统技术要求等5 项标准均已完成报批稿，进入报批审核阶段。 NTC420根据 IPv6 环境下引入的网络安全风险，加快推进 IDC、 CDN、 DNS 等多种业务场景网络安全防护要求标准修订工作。目前，互联网数据中心安全防护相关 标准已进入征求意见阶段。 2、加强 IPv6 安全产品和服务探索，助力安全能力提升 从下一代互联网安全需求看， IPv6 环境下协议类型转变、海量地址空间等特性给安全产品功能提出新的要求。一方面， IPv4 向 IPv6网络升级演进是长期、持续的过程，网络安全产品同时支持 IPv4 和IPv6 已经成为其部署应用的关键要素。另一方面，基于 IPv6 的下一代互联网自身具有浩瀚的地址空间，也将为网络安全产品带来新的挑战。例如，漏洞扫描类网络安全产品难以在 IPv6 环境下实施遍历式扫描，导致其产品自身基于网络节点扫描发现系统、网络、应用漏洞的工作模式难以高效进行。此外， IPSec 作为 IPv6 环境下可选拓展安全功能，提供端到端加密数据通信机制的同时，也为攻击者规避防火墙、 IPS 等网络安全产品的深度分析和检查提供可趁之机。因此， IPv6安全产品和服务作为下一代互联网安全防线的核心组成部分，加快其研发、推广、部署 已成为保障下一代互联网安全发展的关键 。 我国安全企业加快发力，加快研发升级现有安全产品 的 IPv6 支持能力， 以及 开展 IPv6 环境安全新产品探索。目前，我国已有 231 款20 NTC4网络安全 防护 特设组。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 18 安全产品通过 IPv6 支持认证 21， 实现对 IPv6 协议层面的支持，产品类型覆盖防火墙、 IDS/IPS、 UTM、 WAF 等， 如图 2.11 所示。 图 2.11 我国通过 IPv6 支持认证的安全产品情况 在 IPv6 安全服务方面， 由于 IPv6 网络中传输介质、通信链路、应用系统等关键组成部分与 IPv4 网络基本相同，代码审计、漏洞挖掘等传统安全服务仍 将适 用于 IPv6 环境。在下一代互联网升级演进过程中，我国安全企业也针对 IPv6 环境相继推出特有安全服务。例如，部分安全企业推出 IPv6 安全改造服务，针对网络和应用基础设施、互联网应用等不同对象，提供 IPv6 安全改造咨询、方案设计等。 3、探索 IPv6 安全解决方案，强化 IPv6 安全风险应对 随着我国下一代互联网建设的持续推进，各类 IPv6 安全事件的出现给下一代互联网安全发展敲响警钟， IPv6 安全问题逐渐引起各界的广泛关注。为提高 IPv6 安全风险防范能力，我国企业 从 网络基础设施、应用基础设施、基础资源管理等方面，加快开展 IPv6 安全实践和探索，推动 IPv6 安全技术创新和应用，如图 2.12 所示。 21 数据来源下一代互联网国家工程中心 2018-2019 全球 IPv6 支持度白皮书。 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 19 图 2.12 我国 IPv6 安全相关实践 网络基础设施方面， 赛尔网络基于 CERNET2 主节点流量采集和分析，优化升级教育网 IPv6 态势监测系统，实现 IPv6 环境下网 络攻击监测发现、网络流量分析与监测、安全态势感知等监测预警功能 ，建设 面向云计算与大数据应用的云网一体化安全平台， 结合 蜜罐态势监测 、漏洞自动扫描等网络安全防护系统，实现资产安全管理、数据保护、漏洞检测和防御等网络安全防护功能，保障 教育网主干网 和纯IPv6 云平台的云网一体化安全。 应用基础设施方面， 亚信安全针对 IPv6环境下 DNS面临的 DDoS攻击、域名安全威胁等问题，提出 DNS 自适应安全架构，依托企业自身威胁情报库中 IPv6 地址黑名单，结合 DNS 流量监测分析系统，对访问 DNS 的源 IP 以及域名解析 IP 实施预测分析，同时按照 DNS安全策略，通过安全防护设备实施深度检测并阻断非法 IP 访问，形成预测、防御、检测、响应的 DNS 安全防御闭环。阿里云针对 IPv6环境下 IDC 开展 DDoS 防护安全实践，采用分布式计算、全链路双栈等技术，构建 IPv6 环境下 DDoS 防御系统，以及 SaaS 化的 DDoS筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 20 防御产品，保障企业自身业务安全的同时，可为互联网企业提供 IPv6环境下 DDoS 安全防护产品和服务。 基础资源管理方面， 神州绿盟等企业针对 IPv6 海量互联网资产难以实施高效的扫描、监测等问题，加快构建 IPv6 环境下互联网资产发现、识别、管理等安全能力，结合大数据分析等网络安全技术，满足 IPv6 环境下互联网资产安全监测、风险评估、威胁预警、应急处置等安全需求，切实提升 IPv6 环境下互联网资产网络安全管理能力。 值得注意的是 ，由于我国互联网应用 IPv6 升级改造进度相对滞后，目前针对互联网应用的 IPv6 安全实践屈指可数。未来随着互联网应用 IPv6 升级改造进度的不断提升 和需求市场的逐步扩大 ，可以预见将有更多企业针对互联网应用开展 IPv6 安全相关创新实践。 三、我国下一代互联网建设仍面临的安全 挑战 IPv6 凭借其浩瀚的网络地址空间， 能够 有效解决当前全球互联网面临的网络地址消耗殆尽等 网络发展瓶颈 问题。然而， IPv4 向 IPv6网络升级演进是一个长期、持续的过程， IPv4/IPv6 过渡机制以及 IPv6协议新特性带来的客观安全问题不容忽视。此外， 目前已部署上线的IPv6 业务相对有限， IPv6 安全产品和服务发展 、 IPv6 安全保障能力的建设 也相对滞后，我国下一代互联网建设仍面临 现实 安全挑战。 （一） IPv4/IPv6长期 并存 ，过渡机制 持续叠加 安全风险 如前所述，在下一代互联网建设过程中， IPv4 网络和 IPv6 网络中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 21 将长期并存，为保障 IPv4 和 IPv6 网络间的相互通信，通常采用双栈、 隧道、翻译等过渡机制实现向纯 IPv6 网络的平稳升级 。然而， 部分过渡机制自身存在安全缺陷，或 将 引入新的安全隐患，导致下一代互联网建设过渡期安全风险持续叠加 。 1、双栈机制 IPv4/IPv6 网络安全暴露面倍增 双栈机制是指网络节点同时具备 IPv4 和 IPv6 两种协议栈，具备两种协议的支持能力。在双栈环境下，源节点根据目的节点协议栈类型选择不同的协议栈封装和发送报文， 网络 设备根据接收到的报文协议类型，选择不同的协议栈对报文进行处理和转发，如图 3.1 所示。 图 3.1 双栈机制原理 在双栈环境下， 采取 IPv4 和 IPv6 并存的通信模式，因 IPv4、IPv6 中任何一种协议安全 漏洞等问题引发的不良影响将会 以网络设备等为据点，在 IPv4 和 IPv6 网络中 双向渗透 传播 ，无形中增加网络节点的安全暴露面 。例如，攻击者可利用 IPv6 协议栈漏洞，针对双栈环境下网络设备发起 DDoS 攻击，进而影响网络设备正常工作，引发 IPv4 和 IPv6 网络均无法正常访问，如图 3.2 所示。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 22 图 3.2 双栈机制安全风险 2、隧道机制内置安全功能缺失，安全影响范围扩大 隧道机制可实现 IPv6 数据包在 IPv4 网络中传输，其核心在于将IPv6 数据包封装在 IPv4 数据包中，以自动、手动等多种隧道配置方式，保障被 IPv4 网络隔离开的局部 IPv6 网络间相互通信。以 IPv6 to IPv4 和 IPv6 over IPv4 为例，地址格式如图 3.3 所示。 图 3.3 常见隧道机制地址格式 在隧道环境下，部分隧道机制仅要求隧道出入口节点对报文进行简单的封装和解封，缺乏内置认证、加密等安全功能，导致攻击者可能截取隧道报文，伪造用户地址并伪装成合法用户发起攻击。以 IPv6 over IPv4 为例，攻击者可伪造内层、外层地址发起仿冒攻击等安全风险。此外，由于部分隧道机制未采取对隧道封装内容的检查，攻击者中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 23 可通过隧道封装攻击报文，导致攻击流量可通过隧道向其他网络辐射，形成隧道化的攻击模式，如图 3.4 所示。 图 3.4 隧道机制安全风险 3、翻译机制机制内在特性 仍 面临 传统 网络攻击威胁 IPv4/IPv6 过渡期通常采用网络地址转换 （ NAT） 22技术实现 IPv4和 IPv6 地址间的相互转换。 与 IPv4 环境下 23不同，在 IPv4/IPv6 过渡期， NAT 技术 可实现 IPv4 地址 和 IPv6 地址 间的双向映射 ，通过翻译节点实现 IPv4 和 IPv6 地址间的相互转换 。由于 IPv4 地址紧缺的现象仍客观存在， IPv4 地址与 IPv6 地址间的一对一映射将造成 IPv4 地址资源的浪费，目前主流的技术方案通常采用 IPv4 地址和端口号与IPv6 地址间映射的方式 24， 在节约 IPv4 地址资源的同时， 保障 IPv4和 IPv6 网络间相互访问，如图 3.5 所示。 22 网络地址转换 Network Address Translation， NAT。 23 在 IPv4 环境下，通常采用 NAT 技术将一个公有 IPv4 地址映射为多个 IPv4 内网地址，实现外网与内网间 IPv4 地址相互转换。 24 因 IP端口号共有 216个 ，故一个 IPv4 地址最大支持映射 216个 IPv6 地址。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 24 图 3.5 翻译机制原理 目前，由于 IPv6 相关业务尚未大规模部署上线，仍存在大量主机通过翻译机制访问 IPv4 网络资源。 尽管 翻译机制 在 IPv4/IPv6 过渡期与 在 IPv4 环境 中 作用不同，但机制特性仍未发生改变，同样面临地址池耗尽等常见 DDoS 攻击威胁，攻击者可通过伪造大量 IPv6 地址向翻译节点发起地址转换请求，消耗地址池 IPv4 资源， 同时 导致合法用户无法获取 IPv4 地址，进而引发 IPv4 网络无法正常访问，如图 3.6 所示。 图