電信IPv6網絡安全保障體系研究

王 帥，沈 軍，金華敏

（中國電信股份有限公司廣東研究院 廣州 510630）

1 引言

隨著網絡新應用和新技術的不斷發展，IPv4地址已不能滿足網絡發展的需求。IPv6協議以其巨大的地址空間、內在的安全機制等特性，成為國內外下一代網絡發展的研究熱點。安全是保證網絡健康發展的重要因素，IPv6網絡安全保障體系的配套建設也成為IPv6網絡建設的重要方面，如果在IPv6網絡設計階段就對網絡安全進行通盤考慮，能夠提升網絡架構的整體安全性；同時，將網絡安全與網絡建設同步，有利于網絡資源的合理分配。而IPv6網絡從IP層協議本身進行了安全性改善，其安全性提升也為新應用的開展提供了便利，為端到端安全提供更靈活、方便的技術手段，能夠促進新的安全業務和應用的開展。但是，隨著基于IPv6的下一代網絡中應用的增加、速度的加快和規模的變大，IPv6網絡面臨著新的安全風險，因此電信IPv6網絡建設中必須同步考慮網絡安全這一重要問題。

本文從電信運營商的角度出發，把握IPv6網絡建設的脈搏，對電信IPv6網絡安全保障體系的架構進行了深入研究，給出了過渡時期電信IPv6網絡安全保障體系建設策略。

2 電信IPv6網絡安全風險

電信IPv6網絡是以IPv6協議為基礎和標志性技術的下一代互聯網。IPv6協議相對于IPv4協議在安全方面有了一定的改善，解決或緩解了IPv4環境中存在的部分安全問題，但物理層、鏈路層和應用層等安全問題在IPv6網絡環境中則仍然存在。另外，IPv6協議本身將帶來一些新的安全問題，在IPv4向IPv6的過渡過程中也可能產生新的安全風險。

（1）IPv6 安全改進

IPv6協議巨大的地址空間、固化的安全機制等新特性對提升網絡安全性有一定的作用。第一，IPv6將原先獨立于IPv4協議簇之外的報頭認證和安全信息封裝作為擴展頭置于IPv6基本協議之中，為IPv6網絡實現端到端安全認證和加密封裝提供了協議上的保證，能在一定程度上提升業務和應用的安全性；第二，IPv6協議禁止具有IPv6組播目的地址、鏈路層組播地址或鏈路層廣播地址的數據包產生ICMPv6消息，從而避免了廣播風暴的產生；第三，IPv6協議通過在中間設備上部署禁止分片、不允許重疊的分片、丟棄少于最低MTU為1 280 byte的重組數據包等機制，有效防范了IP碎片包攻擊；第四，IPv6地址數量龐大，對IPv6網絡實施掃描攻擊比較困難，通過掃描獲取有效IP地址進行傳播的蠕蟲病毒等攻擊將難以實施；第五，IPv6對地址前綴的指定及分配較規律，使得下游ISP的地址總是落在上游ISP的匯總地址空間內，對ISP而言，易于在入口實現過濾機制，有效防御虛假源地址攻擊，同時基于IPv6的真實源地址技術的發展也使解決這種安全問題成為可能。

（2）IPv6網絡中仍存在的安全風險

IPv4網絡環境中大部分安全風險在IPv6網絡環境中仍將存在，而且某些安全風險隨著IPv6協議新特性的引入將變得更加嚴重。第一，DDoS等異常流量攻擊仍然猖獗甚至更為嚴重，主要包括 TCP-flood、UDP-flood等現有DDoS攻擊，以及IPv6協議本身機制的缺陷所引起的攻擊，如鄰居發現（ND）協議報文缺乏認證可能引發的重復地 址 檢 測 （duplicate address detection，DAD） 攻 擊 、IP-flooding攻擊等。第二，針對DNS的攻擊仍將繼續存在，而且在IPv6網絡中提供域名服務的DNS更容易成為黑客攻擊的目標。第三，IPv6協議作為網絡層的協議，僅對網絡層安全有影響，其他（包括物理層、數據鏈路層、傳輸層、應用層等）各層的安全風險在IPv6網絡中仍將保持不變。

（3）IPv6網絡過渡技術安全問題

IPv4向IPv6的過渡是一個長期的過程，在IPv4與IPv6共存時期，為解決兩者間互通所采取的各種措施將帶來新的安全風險。例如，隧道方式下存在的拒絕服務攻擊、中間人攻擊，NAT-PT技術下存在的拒絕服務攻擊等。

綜合以上的分析，筆者認為，盡管IPv6協議在設計時考慮了安全問題，但IPv6網絡環境相較于IPv4網絡環境在安全性上并沒有大的提升。第一，IPv6網絡在IP層引入了IPv6協議，在網絡架構上采用雙棧等過渡技術以IPv4網絡為基礎進行逐步演進，因此在網絡安全架構上沒有質的改變。第二，IPSec機制作為IPv6數據包頭的一部分內嵌到協議本身，盡管能使IPSec中間路由過程加快，但在IPSec部署實施上與IPv4并沒有明顯不同，同樣需配套PKI等體系的建設。第三，相對于IPv4網絡環境而言，在IPv6網絡環境中實施掃描和分片類型的攻擊將更加困難，但實施溢出類和DDoS等資源占用類攻擊并未有難度上的變化，該類攻擊在網絡攻擊危害中仍占據主導地位，IPv6網絡環境的安全威脅仍很嚴峻。第四，IPv6網絡同樣需考慮應用層、傳輸層、物理層等的安全。

為防止IPv4網絡發展過程中在安全方面出現的亡羊補牢、疲于應付的局面重蹈，電信運營商應在IPv6網絡的設計和建設階段同步考慮安全問題，配合多種手段從多個維度、多個層次構建IPv6網絡保障安全體系。

3 電信IPv6網絡安全保障體系框架

根據電信網絡特點，可將電信IPv6網絡安全保障體系分為當前時間點的靜態安全防護體系以及后續動態安全運營體系兩個層面。通過IPv6網絡各平面的隔離控制以及相應安全保護和控制措施的實施保障網絡的靜態安全；同時通過安全檢測和響應等安全基礎設施和相關安全管理組織、制度和流程的配套建設，實現對網絡安全風險的動態發現和管理，并通過IPv6網絡安全業務的開展將安全防護手段向客戶網絡延伸，加強電信網絡的安全可控。最終實現網絡持續安全保障和改進的長效目標，形成安全可管可控的電信可信IPv6網絡架構。

（1）靜態安全防護體系

根據ITU-TX.805標準 （端到端通信系統安全框架），網絡可分為基礎設施層、業務層和應用層，每個網絡層次又可以劃分為管理、控制和用戶三個平面。為了實現層次化、等級化的安全防護，電信IPv6網絡靜態安全防護體系可考慮通過網絡設計和優化來保障網絡內在的健壯性，同時清晰地劃分業務、管理和控制三個平面，采用多種技術手段隔離管控，并在每個平面實施相應安全防護措施，從而使每個平面在安全方面都具備訪問控制、鑒別、不可抵賴、數據保密性、通信安全、完整性、可用性和隱私性8個屬性。具體來說，電信運營商可從以下兩個方面開展靜態安全防護體系的建設。

一方面清晰界定網絡層次，進行合理管控，實現業務平面、信令和控制平面、網絡和業務管理平面邏輯分離，在每個平面實施相應安全防護措施 （在控制平面實現網元設備之間認證及路由信息安全更新與傳遞；在業務平面實現用戶登錄認證、業務授權、業務和網絡資源可用性保證、業務安全控制要求；在管理平面實現維護終端的認證與授權，核心的數據、應用、系統、網絡平臺的保護，各支撐系統的承載方式，以及訪問控制要求、系統與外部交互要求的相應控制點、內外部的維護管理要求），并有效利用IPv6協議的IPSec特性、源地址過濾技術等加強平面內的安全保護。

另一方面合理管控三平面之間的資源互訪，在各平面安全域根據各域的特點輔以相應的安全保護和控制措施，在同一物理網絡承載不同業務，應實現帶寬管理機制，同時業務互訪應在應用層進行有限互聯，避免網絡層直聯，并在IPv4/6雙棧設備上采用嚴格的網絡過濾和訪問控制策略防范IPv4和IPv6安全問題的相互影響。

（2）動態安全運營體系

在網絡安全生命周期中，靜態安全防護體系的建設固然重要，但由于網絡安全的相對性和時效性，后續動態的網絡安全運營才是確保網絡安全水平持續提升的關鍵。對于電信運營商來說，提高網絡安全運營效率的關鍵在于運營體系的標準化、流程化和專業化，通過專業的、專職的運營隊伍來確保網絡安全運營工作的各流程、各環節落實到人并得以有效處理，配套流程化的閉環處理機制和流程以及標準化的制度和規范來提高網絡安全運營工作效率，同時通過安全事件監控、檢測、響應等安全基礎設施的建設，持續提升電信級大規模安全事件的檢測、預警、響應、應急、恢復能力。電信IPv6網絡在層次架構上依然遵循IPv4網絡的傳統架構，因此IPv6網絡同樣可針對終端、接入網、核心網、業務網絡、支撐系統等各層面的安全特點和需求部署相應安全運營措施，從而實現閉環風險控制。同時，通過配套專業化的安全組織體系和標準化的安全策略體系，提高IPv6網絡安全運營的效率。另外，應積極開展安全業務，通過前后端業務運營隊伍和運營機制、流程的配套建設，提高電信安全業務服務質量，在加強客戶網絡安全性的同時提升電信網絡的安全性。

在動態運營體系的技術層面，電信運營商可采取如下措施。

·在終端層面，為加強對客戶的可管可控，電信運營商可開展基于IPv6的M2M安全業務，通過建設統一的M2M安全業務平臺，向客戶提供諸如家庭網絡安全接入、監控、企業終端安全管理、安全代維等安全服務。

·在接入網層面，電信運營商可通過統一的接入身份認證和鑒權管理、基于IPv6的真實地址技術等來加強接入網的安全管理。

·在核心網層面，電信運營商可通過異常流量管理、

DDoS攻擊防御、垃圾郵件處理、非法路由監測等手段來防范IPv6網絡中占主導地位的流量類攻擊，并加強對于路由安全問題引起的網絡異常波動的管理，同時加強對雙棧設備的安全監控。

·在業務網絡層面，電信運營商可通過終端安全管理、安全域劃分、防病毒、訪問認證授權、數據安全保護、漏洞掃描、安全審計、集中用戶管理等手段來保護業務網絡的安全穩定運行，提高電信業務服務質量。這可通過IPv4環境下的安全設備或手段升級提供對IPv6協議的支持實現。

·在支撐系統層面，電信運營商可通過DNS安全監控管理、終端安全管理、安全域劃分、遠程安全管理、防病毒、惡意代碼防護、安全審計、集中用戶管理等手段的建設和部署加強支撐系統的安全性，提高IPv6網絡運營管理的穩定性。

4 電信IPv6網絡安全保障體系構建策略

既然IPv6與IPv4網絡在安全架構上并未有質的不同，那么在目前IPv4網絡向IPv6網絡過渡的時期，電信運營商應采取哪些策略來構建IPv6網絡安全保障體系，從而營造更安全可信的下一代網絡呢？

第一，在原有IPv4網絡環境下安全措施改進的基礎上，加強對IPv6特定安全問題的防范以及對過渡技術安全問題的防范。

·加強支撐系統安全，利用現有技術保障DNS系統安全。IPv6網絡環境下針對DNS系統的攻擊仍將猖獗，由于在IPv4/6過渡時期，IPv4/6往往采用一套DNS體系，因此仍可采用在IPv4網絡環境下的DNS安全防護技術，但須提供對IPv6協議的支持。

·提升承載網安全可用性，加強路由安全，防范異常流量。配置路由協議認證，采用可靠的路由認證機制，其中由于OSPFv3協議不提供認證功能，而是使用IPv6的安全機制來保證自身報文的合法性，因此采用OSPFv3協議的設備建議配置IPSec。同時，合理配置訪問控制策略，以防止非法流量對路由器進行拒絕服務攻擊。另外，結合異常流量檢測和控制技術對網絡流量進行監控。

·同步規劃和部署統一網絡安全運營管理支撐平臺。可利用現有平臺提供對IPv6協議的支持，通過將IPv6網元和安全設備納入管控，以提供對過渡時期IPv4/6網絡的全方位安全管理支撐。

·結合應用的開展推進IPv6 IPSec的實施。可以安全業務的形式按需部署實施IPSec，進行配套系統的部署。

·防范過渡技術引起的安全問題，避免IPv4網絡安全問題對IPv6網絡的整體安全造成影響。雙棧技術的使用將降低設備性能，更易發生DoS/DDoS攻擊，需采用高性能設備作為雙棧設備，以滿足鏈路帶寬冗余的需求，同時采用rACL、CBAC、CoPP等方式加強對雙棧設備的安全保護。

第二，利用IPv6協議安全特性研究新的安全技術增強網絡安全。目前業界針對IPv6網絡中IP地址的真實可靠性提出了一些新的技術，如真實源地址技術、標簽網技術等，但這些技術應用在電信網絡環境下如何避免對網絡性能和開銷造成影響還需進一步研究。另外，在IPv6網絡環境下自配置屬性的引入也為終端安全狀態檢測、準入控制等安全措施的實現提供了便利，可進一步研究利用這一屬性進行統一的安全策略檢查和實施。

第三，在配套IPv6防范和運行管理技術實施建設的同時，加強安全管理組織體系和流程的建設，保障安全基礎設施效能的充分發揮。

第四，積極拓展IPv6安全業務，利用IPv6安全特性提升業務和應用的安全性。由于網絡安全特性在IPv6網絡環境下的持續性，IPv4網絡環境的可管理安全（MSS）體系在IPv6網絡環境中將保持同等的生命力。同時，隨著信息化技術的發展，可重點考慮針對家庭網絡用戶的基于身份認證的保密傳輸和安全防護、傳感器網絡安全接入和保密通信、移動IPv6接入安全等安全應用。此外，還可結合云計算技術、物聯網應用等開展基于IPv6的電信安全業務。

第五，積極應對IPv6安全產品缺失的現狀，促進IPv6網絡安全設備的成熟。IPv6網絡同樣需要部署常規的如防火墻、IDS/IPS、漏洞掃描、異常流量檢測和過濾、VPN、防病毒網關等網絡安全設備，這些安全設備需要提供對IPv6協議的支持，同時在實現方式上需要根據IPv6協議的特性進行改進。電信運營商可結合IPv6網絡建設的進度和應用的需求推動廠商盡快推出成熟產品。

5 結語

隨著IPv6網絡安全研究和遷移工作的深入，電信運營商對于IPv6網絡建設以及過渡時期的安全問題日益重視。在這一背景下，本文針對電信IPv6網絡建設和過渡時期可能面臨的網絡安全風險的分析，提出了電信IPv6網絡安全保障體系的基本架構，并給出了現階段電信運營商IPv6網絡安全保障體系的構建策略。采用本文所述的框架進行電信IPv6網絡安全保障體系的構建，通過靜態安全保障以及動態安全運營手段的結合，配套完善的安全組織和策略體系，并積極拓展以IPv6為基礎的網絡安全業務，不僅可以提升電信IPv6網絡整體安全水平，達到網絡安全縱深防御的目標，形成安全可管可控的電信可信IPv6網絡架構，推動下一代網絡安全應用的發展。

1 Deering S,Hinden R.Internet protocol,version 6 (IPv6)specification.RFC 1883,December 1995

2 Hinden R,Deering S.IP version 6 addressing architecture.RFC 1884,December 1995

3 Kaeo M,Green D,Bound J,et al.IPv6 security technology paper version 1.0.North American IPv6 Task Force(NAv6TF)Technology Report,July 2006

4 Marin E.IPv6 security.6NET,May 2003