互聯網協議第六版（IPv6）安全性分析

張 濤，王 歡，周仲謀，熊 偉

（1.國網江西省電力有限公司新余供電分公司，江西新余 338000；2.國網江西省電力有限公司宜春供電分公司，江西宜春 336000）

0 引言

IPv4面臨地址嚴重匱乏、服務質量難以保障等制約互聯網持續發展的問題，成為構建新型數字化基礎設施的短板，難以支撐電網向能源互聯網升級[1]。IPv6能夠提供充足的地址空間，是下一代互聯網的基礎協議，實現更廣泛的連接，實現萬物互聯，打造新型數字化基礎設施，促進能源互聯網、工業互聯網等領域的應用創新和高速發展[1]。

IPv6在IPv4基礎上，基于轉發性能、安全防護、端到端通信保障等方面要求，從協議層面對IPv4內在問題進行了大量優化修訂，其包頭的變化如圖1所示，形成了與IPv4不相兼容的互聯網協議[2]。這些改進對身份認證、保密傳輸等安全內容有了更好支持，同時部分擴展與選項功能也對安全防護提出新的挑戰[3]。

圖1 IPv4與IPv6包頭格式比較

1 IPv6安全性分析

1.1 IPv6對安全的改進

IPv6地址空間大幅增加，使廣泛掃描探測變得困難，也有利于安全事件的定位追溯，其可匯聚、層次化的地址結構易于進行統一安全過濾。IPv6協議支持的IPsec及協議選項功能，可以實現端到端數據保護并有效應對傳統碎片重疊攻擊等威脅。

反嗅探、掃描能力提升。利用IPv6的地址規劃、虛假子網、拓撲隱藏等技術，有效隱藏網絡真實結構，增加攻擊者網絡偵查和嗅探的資源消耗，大幅提高專網反偵察能力[4]。據估算，在擁有1萬個主機的IPv6子網中，地址隨機均勻分布，以一百萬次每秒的速度掃描，發現第一個主機所需要的時間均值超過28年。

可溯源性提升。IPv6可為每個網絡設備分配唯一地址，并引入了真實源地址驗證體系結構（SAVA），確保每個設備都有真實的源地址，有利于開展事件的追查回溯[4]。SAVI技術通過建立IPv6地址、MAC地址和端口的綁定關系表，對相關協議報文和數據報文的源地址進行合法性過濾檢查。

傳輸安全性提升。相較于IPv4通過網關實現IP-sec通道，IPv6協議中缺省內置IPSec安全加密機制，使得在網絡層可更加便捷地實現端到端數據加密傳輸[3]。

IPv4中的一些攻擊得到緩解。由于IPv6協議上的改進，取消了廣播地址和NAT技術，提供了健全的分片機制，因此消除了IPv4中廣播風暴和碎片攻擊，進一步增強端到端的透明性、縮小網絡延時、便于網絡管理等。

1.2 IPv6協議自身引入的安全風險

IPv6協議族中引入的鄰居發現、無狀態自動地址分配等協議可能被非法利用，進而發起DDoS、地址欺騙、路徑欺騙等攻擊，造成用戶無法連接網絡、仿冒攻擊以及用戶信息泄露等風險。IPv4網絡中除IP層以外的其他四層中的風險在IPv6網絡中仍然存在。

IPv6中采用ND（Neighbor Discovery）協議，由于ND協議設計時未引入認證機制，導致網絡中主機不可信，攻擊者可以獲得并冒用主機MAC，通過偽造、篡改協議報文，從而實現非授權終端接入、地址欺騙攻擊、重復地址檢查攻擊等[3-5]。

非授權終端接入：攻擊者截取網絡報文，獲取并冒用主機MAC，偽裝成主機，干擾正常通行。其攻擊方式如圖2所示。

圖2 非授權終端接入

地址欺騙攻擊：攻擊者使用ND協議報文來修改受害主機的MAC地址，造成受害主機無法與網絡進行正常的通信。其攻擊方式如圖3所示。

圖3 地址欺騙攻擊

重復地址檢測攻擊：攻擊者通過干擾ND協議報文，使得受害主機的重復地址檢測過程失敗，無法獲取IP地址。其攻擊方式如圖4所示。

圖4 重復地址檢測攻擊

1.3 IPv6過渡技術安全分析

IPv4向IPv6的過渡是一個長期的過程，IPv4向IPv6的演進過程中涉及到翻譯（地址轉換）、雙棧以及隧道技術，目前針對各種過渡技術尚無成熟應用的防護經驗，各類過渡技術都存在一定的安全風險[6-7]，見圖5。

圖5 IPv6過渡技術

翻譯：通過地址翻譯設備實現IPv4與IPv6地址互相轉換，用于IPv6通過IPv4網絡通信，以及IPv4通過IPv6網絡通信，非法的訪問經由隧道規避邊界的訪問控制措施。

雙棧：網絡中運行IPv4和IPv6兩個協議棧，既能和IPv4通信，也能和IPv6通信。網絡中同時存在IPv6、IPv4兩個邏輯通道，增加了暴露面，需注意IPv6、IPv4安全策略一致性、協同性，及相關設備（網絡、安全設備）雙協議棧運行時的性能下降。

隧道：通過對IPv4和IPv6協議的報文格式轉換，實現使用不同IP協議的互通。破壞了網絡的端到端安全特性。

2 IPv6對電網安全防護體系的影響

2.1 對電力整體防護架構影響

IPv6網絡改造應遵照電力行業“安全分區、網絡專用、橫向隔離、縱向認證”的總體安全防護策略，在現有的網絡、主機、應用、數據等防護節點支持IPv6協議，并綜合考慮過渡期間的雙協議棧協同安全防護措施。

網絡與通信安全。需重點規劃IPv6地址段，加強IPv6設備的接入控制及權限控制，做好IPv6網絡監測及惡意代碼防范，提升網絡通道和網絡邊界安全性。

主機安全。需重點強化IPv6主機基線安全，合理控制雙協議棧下系統資源分配，加強對IPv6環境下入侵行為的監測阻斷，提升IPv6主機安全性。

應用安全。需重點加強IPv6環境下用戶登錄控制及權限控制，通過數據有效性檢驗等方式提升軟件容錯性，研究應用IPv6環境下漏洞掃描技術。

數據安全。需加強IPv6環境下數據加密技術、數據存儲技術及備份機制研究，實現數據的完整性、保密性和可用性保護。

2.2 對電力專用安全防護裝置影響

在“安全分區、網絡專用、橫向隔離、縱向認證”的總體安全防護策略下，電力行業研制了一些專用安全防護裝置，其中安全交互平臺、信息安全網絡隔離裝置及縱向加密認證裝置等電力專用安全防護裝置目前均不支持IPv6[8]。安全交互平臺、信息安全網絡隔離裝置在進行底層網絡升級后，可支持IPv6協議。但采用國密專用算法的縱向加密認證裝置，尚無法升級。

2.3 對通用安全裝置影響

現有通用安全設備缺乏IPv6大規模部署應用實踐，針對IPsec協議、IP與上層應用之間擴展信息檢查機制還需完善。IPv4和IPv6雙協議棧場景下，通用安全設備性能較IPv4場景會有一定下降，雙協議棧的防護策略也需保持協同，因此在部署IPv4和IPv6雙協議棧時，應進行充分的測試評估后方可施行。

3 IPv6防護建議

1）統籌IPv6網絡安全頂層規劃工作，構建IPv6的安全防護體系，加強過渡期間雙協議棧防護建設。研究建設統一的IPv6網絡地址資源管理平臺，強化IPv6地址管理和精準定位能力。

2）加快安全防護設備升級改造，提升IPv6安全防護能力。在防火墻、IDS等通用安全設備功能、性能和安全性測試基礎上，研究制定針對IPv6的安全策略配置標準，強化IPv6防護。加快信息網絡安全接入網關、信息網絡安全隔離裝置等專用設備研究，適應IPv6改造安全需求，并逐步完成在網設備及終端應用升級改造。研究針對采集終端、作業終端等IPv6升級改造技術，做好IPv6環境下用電信息采集等業務安全防護。

3）大力開展關鍵防護技術研究，推動安全標準規范制定。標準規范制定：結合行業特點，有序建立IPv6安全標準規范體系，形成覆蓋地址轉換記錄、DDoS、源地址認證等內容的IPv6網絡安全規范，支撐IPv6演進工作。關鍵技術研究：以新興業務為主，研究IPv6環境下大云物移智等新技術的安全防護措施，開展相關技術研究，支撐新技術的安全應用。

4）加大IPv6宣貫培訓力度，提高IPv6環境下的安全意識。建立分級分層、集散相結合的宣貫方式，加強對管理和技術人員宣貫培訓，提高IPv6環境下的網絡安全意識，開展形式多樣的網絡安全教育培訓。

4 結束語

當前，國家電網公司正聚焦大數據中心、工業互聯網、5G、人工智能等方面重點任務，加快建設新型數字基礎設施，向能源互聯網轉型升級，公司明確要求防范安全風險，把安全第一的理念貫穿建設全過程，提高網絡安全風險防范能力[8]。IPv6作為下一代互聯網的基礎網絡協議，研究IPv6協議安全性可以為新型數字基礎設施的部署提供安全保障。