IPv6+技術的安全風險與安全機制

摘要：隨著信息技術的快速發展，IPv6+技術作為互聯網發展的前沿陣地，其安全性不僅關乎技術的持續進步，更與廣大用戶的切身利益緊密相連。基于此，圍繞IPv6+技術的安全風險與安全機制展開深入探討，提出一種基于IPv6的層級化網絡架構設計方案，通過擴展內部網關協議網絡拓撲結構，實現對IPv6資源的精細化劃分與高效管理。在網絡切片方面，設計包括用戶權限驗證與訪問控制、安全接入策略、切片安全隔離技術以及分段加密技術等一系列安全措施，以避免不同層級間的資源相互干擾，確保信息的保密性和完整性，旨在為相關人員提供參考。

關鍵詞：IPv6+；安全風險；安全機制

一、前言

IPv6（Internet Protocol version 6）作為下一代互聯網協議，具有龐大的地址空間、增強的安全性和更高的效率，正逐步取代IPv4，引領互聯網進行新一輪變革。IPv6+技術則是一種融合SRv6、網絡切片等先進技術，為用戶提供更加靈活、高效、安全的網絡服務。隨著信息技術的快速發展和應用場景的日益豐富，IPv6+技術也面臨著前所未有的安全挑戰，網絡切片作為IPv6+技術的核心組成部分，其安全性直接關系到整個網絡系統的穩定運行和用戶的隱私保護。因此，深入研究IPv6+技術的安全風險與安全機制，特別是針對網絡切片的安全問題，對促進互聯網安全發展具有重要意義。

二、IPv6+網絡協議的安全風險

（一）從IPv4網絡繼承的安全風險

盡管IPv6在多方面超越IPv4，但它仍然面臨著嗅探攻擊、拒絕服務攻擊、中介攻擊以及應用層攻擊等多種安全威脅。這些攻擊手段在IPv4時代就已經存在，并會繼續對IPv6網絡的發展構成挑戰[1]。

（二）IPv6+新協議引入的安全風險

IPv6在設計之初，雖然注重性能的提升，但在安全性方面的考慮仍存在較多不足。這種設計上的局限性為黑客提供可乘之機，使他們能夠利用網絡的薄弱環節，發動新的攻擊方式。具體如下：

1.IPv6擴展頭風險

IPv6引入的擴展報頭是其與IPv4之間的顯著區別之一[2]。這種報頭不受頭數限制，且同一類別的標頭可以重復出現。但當遇到大量分組時，攻擊者可以構造包含多個頭的分組，通過阻塞這些分組來實施存取控制攻擊。由于每個節點都需要檢查并操作這些報頭，因此擴展頭的逐個增加會導致處理延遲，甚至可能引發拒絕服務攻擊。

2.ICMPv6安全風險

ICMPv6結合IPv4 ICMP、地址解析、后向地址分析等基礎通信技術，具有地址生成、地址解析、差錯控制、組播控制等功能。但這些功能也為攻擊者提供利用ICMPv6漏洞進行攻擊的機會。攻擊者可以針對ICMPv6的弱點，設計并實施針對IPv6網絡的攻擊[3]。

3.NDP協議的安全隱患

IPv6以NDP為基礎對IPv4進行技術改進。盡管兩者在技術上存在差異，但其實現機制基本相同，導致ARP欺詐、中間人攻擊等多種攻擊方式在IPv6網絡中仍然有效。這些攻擊方式利用NDP協議的漏洞，對IPv6網絡的安全性構成嚴重威脅。

4.DAD和前綴欺騙攻擊

在IPv6網絡中，攻擊者可以在給某臺電腦分配IP地址后，監聽DAD（地址解析協議）過程，并向其發送鄰居非法聲明（NA），使受害者無法設定IP地址，從而無法接入網絡。這種攻擊利用NAD過程中NA分組合法性驗證的缺陷。

三、IPv6+技術網絡安全風險與安全策略

針對IPv6協議中潛在的安全問題，IETF（互聯網工程任務組）發布的RFC9099等文檔對其進行了深入的探討與研究。同時，CCSA（中國通信標準化協會）也發布了《IPv6安全標準化關鍵問題研究》等行業標準。這些標準不僅概述了IPv6的發展現狀和可標準化的應用領域，還對其安全性進行系統的闡述。

隨著IPv6+技術的不斷發展，其網絡安全風險也日益凸顯。目前，國際上僅有IET的《SRv6安全顧問團》以及CCSA的《SRv6網絡安全技術研究》等項目針對IPv6+的網絡安全問題進行專項研究[4]。這些研究內容廣泛，包括但不限于IPv6+的安全性分析、具體安全問題的深入探討以及《SRv6網絡安全技術研究》等多個方面。此外，還涉及一系列創新性的協議和技術，如“網絡應用感知”等，以進一步提升IPv6+網絡的安全性和穩定性。

（一）SRv6的安全風險與安全策略

SRv6（分段路由IPv6）作為IPv6的一項創新技術，利用SRH（分段路由頭）實現數據包的靈活傳輸。但隨著SRv6技術的廣泛應用，其潛在的安全風險也日益凸顯。

1.SRv6安全風險分析

（1）信息竊取與監聽

攻擊者可能通過監聽SRv6網絡中的數據包，收集SRv6節點的關鍵信息，如節點位置、SR策略等，進而構建SRv6網絡的拓撲結構。雖然這些信息本身不一定直接泄露用戶隱私，但攻擊者可以利用這些信息策劃更復雜的攻擊。如通過數據包分析，攻擊者可以竊取敏感數據或進行定向攻擊。

（2）數據包篡改與偽造

攻擊者可能對SRv6數據包進行回放、插入、刪除或修改，從而破壞數據的完整性和真實性。數據包回放是指攻擊者復制并重新發送數據包，以干擾正常通信。信息隱藏則是攻擊者故意生成并插入虛假信息到網絡中[5]。此外，攻擊者還可能修改數據包路由，使數據包能夠隨意訪問或攔截，導致數據丟失或延遲，給用戶帶來經濟損失。

（3）段路由安全漏洞

SRv6的碎片列表可能被攻擊者篡改，導致數據包偏離預定路徑。攻擊者可以通過添加、刪除或替換SID（段標識符）來操縱數據包的傳輸路徑，實現路徑攻擊。

（4）特定路徑/流量攻擊

攻擊者可以利用SRv6的特定功能，如特殊地址，來實施流量劫持、提高流量等不正當攻擊。同時，攻擊者還可以繞過特定節點或路徑，進行非法接入、惡意攻擊等行為。

（5）拒絕服務（DoS）攻擊

SRv6的隱藏特性使得攻擊者可以創建大量隱藏的數據包，在網絡中反復轉發，造成大帶寬的DoS攻擊。這種攻擊不僅會影響網絡性能，還可能導致整個網絡癱瘓。

（6）規則與策略攻擊

攻擊者可以利用SRv6的規則和策略進行攻擊，如通過SID實現任意節點的接入和刪除、重放和被動監聽等功能。這種攻擊方式具有高度的隱蔽性和破壞性。

（7）對安全設備的影響

SRv6的引入對傳統的安全設備構成挑戰。由于SRv6的外部消息和信道機制難以被傳統安全設備識別，可能導致SRv6報文無法正常傳輸。SRv6的IP地址頻繁變化也增加安全設備獲取真實目的和起源的難度。

2.SRv6安全機制

在傳統網絡環境中，源路由報文的安全防護往往通過移除源路由報文或禁用源路由功能來實現。但SRv6技術在確保源路由功能不變的同時，也為信息系統的安全性帶來新的挑戰。為應對這一挑戰，IETF在RFC7855和RFC8799文檔中明確SRv6網絡中的信任區域界限，即只有被信任的設備才能被視為安全。

（1）邊緣濾波機制

第一，在信任域設備的外側接口上配置ACL規則。當SRv6的信任區域從當前設備轉移到另一個受信任的SRv6設備時，如果數據包的來源是可分配的SID地址，但該地址并非來自信任區域內部，則該數據包將被丟棄。同樣，如果數據包中的SID列表的目的地址及其后續的SID列表均來自一個可配置的SID地址范圍，而這些信息通常不應泄露給外部，一旦檢測到此類數據包，也將被丟棄[6]。

第二，在內外接口上設置ACL規則。當SRv6數據包的目的地址為本地SID，但其源地址并非來自本地SID或可信任的源地址范圍時，該數據包同樣會被丟棄。這是因為SRv6數據包通常只能在企業設備內部進行封裝，因此，若目的地址為本地SID，則源地址必須是內部SID或內部介質地址。

第三，SRv6僅利用明確標識為SID發布的本地IPv6接口地址進行通信。對于未宣布為SID的本地IPv6介質地址，即使它們被添加到分區列表中，也不會觸發SID的處理。當本地IPv6接口中存在SID（即SL=0）時，節點要么會忽略SRH處理，要么會將其作為錯誤而移除。

（2）增強型SRH頭部驗證

SRv6路由器增信頭的安全性依賴于SRH的完整性。通過采用HMAC（基于哈希的消息認證碼）技術，對SRv6的來源進行身份驗證，并對SRv6數據包進行完整性校驗，可以有效防止數據包被篡改而引發的攻擊。

盡管SRv6提出的信任域邊界過濾算法能夠有效防御來自外部的攻擊，但在當前協議中，對于段路由的認證和安全性問題，尚未提出一種全新的解決方案。因此，未來在SRv6技術的發展中，仍需不斷探索和完善其安全機制，以確保信息系統的穩定運行和數據的安全傳輸。

（二）SFC的安全風險與安全策略

SRv6 SFC，作為SRv6 SDN架構的擴展，通過引入服務功能（SF）來滿足用戶的定制化服務需求，但這一特性也帶來潛在的安全風險。

1.SRv6 SFC安全風險剖析

攻擊者可能利用服務功能鏈（SFC）的漏洞，繞過預設的服務功能，如例如計費、安全檢查等，從而對用戶發起攻擊。不同服務所提供的安全保障水平參差不齊，使得SRv6 SFC系統面臨著來自多方面的安全威脅。

2.SFC安全機制構建

（1）SRv6信托域防護

通過劃分SRv6 SFC的信任時間區間，并對業務分組、業務功能及業務鏈進行細致劃分，構建出安全可靠的分區防護機制，為SRv6 SFC提供全方位的安全保障。

（2）控制器與網絡設備安全

研究的重點在于確保控制器本身及其在網絡設備中的控制面和數據面的安全，包括但不限于控制器在極端環境下的穩定運行，以及網絡設備的安全防護策略。

（3）業務功能安全增強

提出以客戶為中心的安全防護標準，通過增強業務功能的安全性，提升整個網絡的安全防護能力。

（4）接入認證機制

在SRv6 SFC的接入過程中，對用戶進行嚴格的身份認證，以確保只有合法的用戶才能訪問SRv6 SFC服務。這一機制有助于實現對SRv6 SFC的有效攔截和防護。

（5）SRv6 SFC路徑檢測

本項目提出基于SRv6的SFC路徑定制、檢測與優化策略，以確保SFC路徑的準確性和安全性。

（6）多用戶安全隔離

為降低安全風險，應根據不同用戶采取相應的安全驗證機制，實現多用戶之間的安全隔離。

（三） APN的安全風險與安全策略

1.APN安全風險剖析

當前，有源神經網絡（APN）的標準尚未在全球范圍內確立，其安全機制的研究也處于初級階段。在IPv6數據包中，由于接入點可能超出互聯網服務提供商（ISP）的網絡信任邊界，因此在將必要信息封裝于IPv6數據包的擴展頭部時，會面臨潛在的安全威脅。

APN的信任范圍如圖1所示，其報頭后方是ISP的內部網絡，業務傳感節點及其連接鏈路構成互聯網的業務骨干，這些節點最終連接到網絡管理的數據中心，確保高可靠性，但APN仍面臨以下四大安全隱患。

（1）在某一應用（無論是終端還是服務器）中，惡意程序可能竊取其他軟件的APN ID。例如，通過電子郵件應用獲取其他應用的APN ID，從而非法獲取更多的網絡通信流量。

（2）在同一設備中，若某應用未獲得訪問接口業務的權限，卻試圖竊取已獲權應用的訪問接口ID，將構成安全威脅。

（3）當APN ID被傳輸至應用的某個用戶設備時，若該設備通過一條不可信的路徑到達APN頭部，則該ID存在被盜取或篡改的風險。

（4）惡意用戶可能會同時使用多個APN ID，進行非法操作或攻擊。

2.APN安全機制構建

針對上述安全風險，可在軟件層面構建一個完善的客戶端/服務器架構，以確保網絡訪問的順暢與安全。還可引入“外部信任”的概念，即在報文發出后，通過特定手段確保報文中的APN標識符是可信且不可篡改的。

為確保APN ID的可靠性和安全性，通過設計一種能同時包含用戶和數據的信息機制。通過采用HMAC（基于哈希的消息認證碼）、數字簽名和PSec（安全協議）等先進技術，在業務敏感的邊緣節點接收到數據包后，對數據包進行嚴格的認證。若數據包通過認證，則將其映射到相應的網絡資源，如SRv6路徑、網絡切片等；若未通過認證，則對通信進行過濾或降級至普通安全級別。這種身份認證機制能夠有效地防止多個用戶間的數據偽造、盜用、仿冒和篡改，從而大幅提升APN系統的整體安全性。

（四）網絡切片的安全風險與安全策略

在此基礎之上，本文提出一種基于IPv6的層級化網絡架構設計方案，該方案通過擴展內部網關協議（IGP）網絡拓撲結構，實現對IPv6資源的精細化劃分與高效管理。SRv6 SID（段路由IPv6標識符）依據SRv6 SID協議進行數據的分組傳輸與封裝。本項目擬以Slice-1D為藍本，依托IPv6報頭，將Slice-ID及其相關聯的切片參數進行封裝，從而構建起一套完整的網絡切片體系。

1.用戶權限驗證與訪問控制

除進行身份確認外，還需對用戶進行安全性檢驗，確保用戶僅能訪問其權限范圍內的網絡切片，同時防止用戶非法訪問未授權的網絡切片。

2.安全接入策略

在接入層面通過對訪問控制信息（ACI）進行調優，將符合IP地址要求的服務添加到切片通道中，從而實現安全的網絡接入。

3.切片安全隔離技術

利用靈活的E技術和時隙化技術，增強多層網絡間的頻帶隔離能力，有效降低各層網絡間相互干擾所帶來的資源損耗，實現切片間的安全隔離。

4.分段加密技術

針對芯片內網絡的拓撲特性和可擴展性，研究多節點之間的端到端安全需求，并采用分段加密技術，以確保數據在傳輸過程中的安全性。

四、結語

綜上所述，隨著信息技術的不斷發展和攻擊手段的不斷更新，IPv6+技術的安全挑戰也將持續存在。通過對IPv6+技術安全風險與安全機制進行深入探討，有助于構建一個安全、可靠、高效的IPv6+網絡環境，對提高網絡安全具有重要意義。

參考文獻

[1]孫監湖，周文，朱學勤，等.IPv6技術在計算機監控系統應用中的安全風險研究[J].水電站機電技術，2024，47（06）：84-87.

[2]佟恬，趙菁，龐冉，等.IPv6+技術的安全風險與安全機制[J].郵電設計技術，2024（04）：32-38.

[3]王宏杰，徐勝超，楊波，等.基于SRv6技術的云網安全服務鏈自動編排方法[J].計算機與現代化，2024（01）：1-5+12+28.

[4]強鋒，郭紹波.基于IPv6+的云網融合建設策略[J].網絡安全技術與應用，2023（11）：12-13.

[5]陳勵凡.IPv6+技術在新型電力系統中的應用[J].數字通信世界，2023（04）：137-140.

[6]劉喬俊，關宏宇，楊清.IPv6+背景下電信運營商城域云網架構演進趨勢淺析[J].通信與信息技術，2023（01）：6-12.

作者單位：華北油田公司數智技術公司

責任編輯：張津平 尚丹