筑牢下一代互联网安全防线-IPv6 网络安全白皮书

1、前言5G域蓬勃发展，人人互联加速向万物互联迈进的时代趋势下， IPv4 IPv6 IPv6 凭借其海量地址吸引世界发达国家的广泛关注和大力投入。然而，IPv4 IPv6 网络的升级演进是一个长期、持续的过IPv6 业务仍相对有限，IPv6 部署 IPv6 环境IPv6网络安全防护能力，构建形成 IPv6 网络安全防护主动局面。（成都） 1IPv6 探讨下一代互联网升级演进过程中的安全风险和应对举措， IPv6 安全产品和服务重点1 注：按首字母排序，排名不分先后目录 HYPERLINK l _bookmark0 一、相背景1 HYPERLINK l _bookmark1 （一）IPv6改造步推

2、进基本市场驱良性境1 HYPERLINK l _bookmark2 1、络基设施IPv6级改基本成1 HYPERLINK l _bookmark3 2、用基设施具备IPv6务能力3 HYPERLINK l _bookmark4 3、联网应用IPv6活跃户数步升4 HYPERLINK l _bookmark5 （二）IPv6安全险开始现，下一代联网保障能力.5 HYPERLINK l _bookmark6 1IPv6网络击量剧增攻击逐渐扩大 HYPERLINK l _bookmark7 2IPv6安全洞观存在影响系统、用等关层面7 HYPERLINK l _bookmark8 二、我下一联网建安

3、全现状8 HYPERLINK l _bookmark9 （一）彻落家战略加强IPv6安全工部署8 HYPERLINK l _bookmark10 1、信部明确IPv6全工阶段目标9 HYPERLINK l _bookmark11 2、电总：细化IPv6安全导和全测试证要求9 HYPERLINK l _bookmark12 3、育部强调IPv6全保体系体目标10 HYPERLINK l _bookmark13 4、行：步落实IPv6发展安全作11 HYPERLINK l _bookmark14 （二）加快IPv6全科研局，强化IPv6安技术备11 HYPERLINK l _bookmark15

4、1、强化IPv6核心要和基源安全理创新12 HYPERLINK l _bookmark16 2、开展IPv6风险研，构建IPv6安全对体系13 HYPERLINK l _bookmark17 3、推动IPv6址认证网络追踪溯研究14 HYPERLINK l _bookmark18 （三）推动IPv6全实践强化IPv6安全创新16 HYPERLINK l _bookmark19 1、加快IPv6标准制订，强化IPv6安指导16 HYPERLINK l _bookmark20 2、加强IPv6产品和务探助力安能力升17 HYPERLINK l _bookmark21 3、探索IPv6解决方，强化I

5、Pv6安全险应对18 HYPERLINK l _bookmark22 三、我下一联网建仍面安全挑战20 HYPERLINK l _bookmark23 （一）IPv4/IPv6期并存过渡持续叠安全险20 HYPERLINK l _bookmark24 1、栈机：IPv4/IPv6络安暴面倍增21 HYPERLINK l _bookmark25 2、道机：内安全功缺失全影响围扩大22 HYPERLINK l _bookmark26 3、译机：机内在特仍面统网络击威胁23 HYPERLINK l _bookmark27 （二）议新挑战现安全，融合景风续扩大25 HYPERLINK l _bookm

6、ark28 1IPv625 HYPERLINK l _bookmark29 2IPv6协议特引入新全问网络安风险彼长27 HYPERLINK l _bookmark30 3IPv630 HYPERLINK l _bookmark31 （三）IPv6网络全需求力“差”亟弥合31 HYPERLINK l _bookmark32 1IPv6安全品展尚在步，后安全力需求31 HYPERLINK l _bookmark33 2IPv6安全题充分暴，制全服务展步伐33 HYPERLINK l _bookmark34 3“IPv6+络安”复合专业人才缺失34 HYPERLINK l _bookmark35

7、四、保下一联网安有序的建议34 HYPERLINK l _bookmark36 （一）动布局IPv6安全品服和全实践广35 HYPERLINK l _bookmark37 （二）需求场景落实IPv6安产品服部署39 HYPERLINK l _bookmark38 （三）构建IPv6全创新制，强化IPv6风防范力设43 HYPERLINK l _bookmark39 （四）强化IPv6全知识能培弥合IPv6全人差距44一、相关背景1.1 图 1.1 我国下一代互联网建设总体目标险开始逐渐浮出水面，IPv6 网络安全事件时有发生。1.1 图 1.1 我国下一代互联网建设总体目标险开始逐渐浮出水面，

8、IPv6 网络安全事件时有发生。（一 1、网络基础设施 IPv6 升级改造基本完成 IPv6 IPv6 22019 7 30 32 数据来源：本节数据如无特别说明，均统计自推进 IPv6 规模部署专家委员会。3 数据统计范围不包括香港、澳门、台湾、新疆。图 1.2 IPv6 流量现状IPv6 IPv6 网络相2019 7 12.78 1.49 2018 10 1.3 所示。图 1.2 IPv6 流量现状IPv6 IPv6 网络相2019 7 12.78 1.49 2018 10 1.3 所示。图 1.3 IPv6 用户数现状2、应用基础设施已具备 IPv6 服务能力2012 年的CNGI4IP

9、v6 2019 7 IPv6 IPv6 IDC /IDC5升级改IDC IDC 1.4 图 1.4 IDC 升级改造现状CDN CDN IPv6 100%， IPv6 CDN 60%1.5 4 CNGI：Chinas Next Generation Internet，中国下一代互联网。5 2.5 10000 3000 10000 3000 图 1.5 CDN 升级改造现状IPv6 IPv6 60%1.6 图 1.6 云平台升级改造现状3、互联网应用 IPv6 活跃用户数稳步提升IPv6 IPv6 网络IPv6 2019 7 2.01 1.7 1.7 2019 IPv6 活跃用户数增长情况201

10、9 7 6等各类IPv6 1.8 图 1.8 各类网站升级改造现状（二早在 2018 年 3 月，美国安全厂商 Neustar 已发现业内第一起基6 统计维度为排名前 50 的商业网站。IPv6 DDoS 1900 个IPv6 7IPv6 网络攻1、IPv6 网络攻击数量剧增，攻击范围逐渐扩大IPv6 89 IPv6 91.91.9 2019 IPv6 攻击情况2019 3 IPv6 8000 283 IPv6 WEB Shell 90%111.10 7 IPv6 环境下需要 DNS 存储海量地址，导致 DNS 极易被攻击者选为攻击的关键对象。8 IPv6 网络攻击包括攻击源为 IPv6 地址

11、的攻击，以及利用 IPv6 网络或安全问题发起的各类攻击。9 数据来源：据神州绿盟整理统计。10 数据来源：据知道创宇整理统计。11 数据来源：据深信服整理统计。图 1.10 283 家云托管网站网络攻击情况2、IPv6 安全漏洞客观存在，影响覆盖系统、应用等各相关层面IPv6 1996 安2019 7 IPv6 相关381 层面，如图 1.11 所示。图 1.11 IPv6 相关漏洞情况（保留四舍五入统计误差）其中，CVSS12评分超过 7 的高危漏洞占比超过 50%，如图 1.12所示。12 CVSS：Common Vulnerability Scoring System，通用漏洞评分系统

12、。图 1.12 不同威胁程度漏洞分布情况二、我国下一代互联网建设安全工作现状（一）贯彻落实国家战略，加强 IPv6 安全工作部署IPv6 2.1 所示。图 2.1 我国政府部门 IPv6 相关政策文件1、工信部：明确 IPv6 安全工作阶段性目标IPv6 5 （IPv6） IPv6 IPv6 4 2019 IPv6 2019 IPv6 IPv6 2.2 图 2.2 2019 年末 IPv6 安全主要目标2、广电总局：细化 IPv6 安全指导和安全测试验证要求2018 3 IPv6 IPv6 IPv6 9 IPv6 IPv6 IPv6 安全2.3 所示。图 2.3 实施指南相关 IPv6 安全防

13、护策略IPv6 IPv6 3、教育部：强调 IPv6 安全保障体系总体目标2018 年 8 月，教育部发布教育部办公厅关于贯彻落实2020 年IPv6 IPv6 2.4 图 2.4 教育部 IPv6 安全工作部署4IPv6 发展和安全工作2019 1 的实施意见中更是强调金IPv6 IPv6 IPv6 IPv6 IPv4 IPv6 部署应用IPv6 IPv6 （二）加快 IPv6 安全科研布局，强化 IPv6 安全技术储备IPv6 IPv6 IPv6 1、强化 IPv6 安全核心要素和基础资源安全管理创新关联要素可验证、可管理、可追溯，如图 2.5 所示。图 2.5 项目组织架构IPv6 关联

14、要素可验证、可管理、可追溯，如图 2.5 所示。图 2.5 项目组织架构IPv6 IPv6 IPv6 2.6图 2.6 项目研究框架2、开展 IPv6 安全风险研究，构建 IPv6 安全应对体系IPv6 IPv6 IPv6 IPv6 2017 IPv6 IPv6 IPv6 新增IPv6 IPv6 IPv6 2.7 所示。图 2.7 中国电信 IPv6 安全风险框架IPv6 IPv6 2.8 图 2.8 中国电信 IPv6 安全策略部署建议3、推动 IPv6 源地址认证和网络攻击追踪溯源研究2003 年依托CNGI IPv6 13 真实 IPv6 源地址验证体系结构：Source Address

15、 Validation Architecture，SAVA。IPv6 地IPv6 IPv6 142.9 所示。图 2.9 真实 IPv6 源地址验证体系结构体系结构IPv6 14 参考文献：李杰，吴建平，徐恪，自治域间真实源地址验证方法及技术实现。（三）推动 IPv6 安全实践，强化 IPv6 安全创新1、加快 IPv6 安全标准制修订，强化 IPv6 安全指导从国家标准、行业标准等不同层面，我国标准化组织全面启动IPv6 IPv6 IPv6 2.10 所示。图 2.10 IPv6 安全相关标准工作C615的16聚焦IP6 IPv6 IPv6 IPv6 IPv6 CCSA17IPv6 IPv6

16、 TC818WG319IPv6 IPv6 15 TC260：全国信息安全标准化技术委员会。16 WG6：通信安全标准工作组。17 CCSA：中国通信标准化协会。18 TC8：网络与信息安全。19 WG3：安全管理组。 NTC420IPv6 环IDCCDNDNS 2、加强 IPv6 安全产品和服务探索，助力安全能力提升IPv4 IPv6 IPv4 和IPv6 IPv6 IPv6 IPv6 IPS 。IPv6 支IPv6 231 款20 NTC4：网络安全防护特设组。安全产品通过 IPv6 支持认证21，实现对 IPv6 协议层面的支持，产品类型覆盖防火墙、IDS/IPS、UTM、WAF 等，如图

17、 2.11 所示。图 2.11 我国通过 IPv6 支持认证的安全产品情况IPv6 IPv6 IPv4 IPv6 IPv6 IPv6 IPv6 3、探索 IPv6 安全解决方案，强化 IPv6 安全风险应对IPv6 Iv6 IPv6 IPv6 IPv6 2.12 21 数据来源：下一代互联网国家工程中心2018-2019 全球 IPv6 支持度白皮书。图 2.12 我国 IPv6 安全相关实践CERNET2 IPv6 IPv6 亚信安全针对IPv6 环境下DNS 面临的DDoS DNS IPv6 DNS DNS IP IP IP 访问，形DNS IPv6 IDC DDoS IPv6 DDoS

18、SaaS DDoS防御产品，保障企业自身业务安全的同时，可为互联网企业提供 IPv6环境下 DDoS 安全防护产品和服务。基础资源管理方面，神州绿盟等企业针对 IPv6 海量互联网资产难以实施高效的扫描、监测等问题，加快构建 IPv6 环境下互联网资产发现、识别、管理等安全能力，结合大数据分析等网络安全技术， 满足 IPv6 环境下互联网资产安全监测、风险评估、威胁预警、应急处置等安全需求，切实提升 IPv6 环境下互联网资产网络安全管理能力。IPv6 IPv6 IPv6 IPv6 三、我国下一代互联网建设仍面临的安全挑战IPv6 IPv4 IPv6 IPv6 IPv6 （一 IPv4 IPv

19、6 网络IPv4 IPv6 IPv6 1、双栈机制：IPv4/IPv6 网络安全暴露面倍增IPv4 IPv6 3.1 图 3.1 双栈机制原理IPv4 IPv6 IPv4、IPv6 中任何一种协议安全漏洞等问题引发的不良影响将会以网络设IPv4 IPv6 IPv6 DDoS IPv4 IPv6 3.2 图 3.2 双栈机制安全风险2、隧道机制：内置安全功能缺失，安全影响范围扩大IPv6 IPv4 IPv4 IPv4 IPv6 IPv6 to IPv4 IPv6 over IPv4 3.3 所示。图 3.3 常见隧道机制地址格式IPv6 overIPv4 3.4图 3.4 隧道机制安全风险3、翻

20、译机制：机制内在特性仍面临传统网络攻击威胁IPv4/IPv6 IPv6 IPv4 23IPv4/IPv6 IPv4 IPv6 IPv4 IPv6 IPv4 地址与IPv6 IPv4 地IPv4 24IPv4 IPv6 3.5 22 网络地址转换：Network Address Translation，NAT。23 IPv4 IPv4 IPv4 IPv4 地址相互转换。24 因 IP 端口号共有 216 个，故一个 IPv4 地址最大支持映射 216 个 IPv6 地址。IPv6 IPv4 IPv6 IPv4 IPv4/IPv6 过渡IPv4 DDoS IPv6 IPv4 合法用户无法获取IPv

21、4 IPv4 3.6 图 3.6 翻译机制安全风险IPv4 IPv6 IPv4 3.7 IPv4/IPv6 。图 3.7 IPv4/IPv6 过渡机制安全性对比分析（二）协议新特性挑战现有安全手段，融合场景风险持续扩大1、IPv6 地址标识复杂性骤增，挑战基于地址资源安全防护手段IPv6 IPv6 网络中网络地址标识相对于IPv4 3.7 所示。图 3.7 网络地址标识复杂性对比等安全防御工作，如表 3.1 所示。表3.1IPv6 网络地址标识对安全防护手段的影响具体包括： DDoS IPv6 等安全防御工作，如表 3.1 所示。表3.1IPv6 网络地址标识对安全防护手段的影响具体包括： D

22、DoS IPv6 IPv4 环境下安全技术影响设备主要部署场景安全影响流量解析DPI、抗 DDoSCDN、IDC防护等影响对攻击流量实时清洗能力数据包过滤防火墙云、CDN、IDC防护等存在虚假数据包跨越的可能标识解析和规则匹配IDS、IPS、WAF云、CDN、IDC、网站防护等影响对入侵事件识别和发现效率/25 DPI：Deep Packet Inspection，深度报文检测。26 IDS/IPS：Intrusion Detection Systems/ Intrusion Protection Systems，入侵检测系统/入侵防御系统。IP IPv6 IPv6 I/SIPv6 IDS/I

23、PS 2、IPv6 协议新特性引入新安全问题，网络安全风险此消彼长IPv6 MTU27 攻击等IPv6 IPv6 IPv6 协27 MTU：Maximum Transmission Uni，最大传输单元。DoS DDoS 攻击，迫3.8 所示。图 3.8 扩展头攻击NDP 攻击：IPv6 NDP28IPv4 ARP ICMPv4 NDP 未3.9图 3.9 NDP 攻击28 NDP：Neighbor Discovery Protocol，邻居发现协议。DAD29 IPv6 NA30NS31 DAD NA DAD NS NA IPv6 IPv6 3.10 图 3.10 DAD 攻击IPv6 32

24、RA 33RA ID IPv6 地IPv6 RA IPv6 DAD IPv6 所示。29 DAD：Duplicate Address Detection，重复地址检测。30 NS：Neighbor Solicitation，邻节点请求。31 NA：Neighbor Announcement，邻节点公告。32 另一种地址自动配置方式通过路由请求报文（Router Solicitation，RS）获取路由前缀。33 RA：Router Advertisement，路由广播。图 3.11 前缀欺骗攻击MLD34攻击 IPv6 MLD MLD 3、IPv6 融合场景放大新技术安全隐患，加剧安全防御被动

25、局面IPv6 IPv6 34 MLD：Multicast Listener Discovery，组播侦听发现。IPv6 5GDDoS 3.12 图 3.12 IPv6 与 5G 融合场景安全风险（三）IPv6 网络安全需求能力“剪刀差”亟需弥合1、IPv6 安全产品发展尚在起步，远滞后安全能力需求IPv6 IPv6 IPv6 IPv6 面显现，我国 IPv6 安全产品仍处于起步发展阶段，如图 3.13 所示。图 3.13 IPv6 安全产品发展和成熟度象限IPv6 IPv6 IPv6 IPv6IPv6 安全产品基本支持IPv6 IPv6 IPv6 IPv6 IPv6IPv6 IPv6 IPv6

26、 IDS/IPS IPv6 IPv6 特定类型的安全产品缺失也将对下一代互联网建设过程中的安全保障带来深远影响，如表 3.2 所示。2、IPv6 安全问题未充分暴露，制约安全服务发展步伐IPv42、IPv6 安全问题未充分暴露，制约安全服务发展步伐IPv4 IPv6 IPv6 IPv6 IPv6 IPv6 和深入的验证，如表 3.3 所示。表 3.3 常见安全服务缺失对 IPv6 安全保障工作影响安全产品缺失影响防火墙基础防御屏障缺失抗 DDoS高容量 DDoS 攻击应对能力不足IDS/IPS无法有效识别、响应、处置 IPv6 攻击入侵事件WAF网络应用安全难以保障，难以防御典型 Web 攻击

27、身份识别与访问控制无法实施有效的用户身份识别和网络信息管理漏洞扫描缺乏自动化的漏洞识别和发现能力安全审计难以有效追踪发现 IPv6 异常事件安全服务缺失影响安全集成系统工程建设过程中违规行为无法发现，埋下未知安全隐患运维服务难以发现 IPv6 网络、应用、设备中可能存在安全管理风险维保服务难以发现 IPv6 设备安全管理风险代码审计难以发现 IPv6 相关应用中可能存在代码设计缺陷教育培训相关工作人员 IPv6 安全知识技能难以得到有效提升渗透测试难以有效识别和发现 IPv6 相关资产潜在安全漏洞等隐患漏洞挖掘风险评估3IPv6+网络安全”复合型专业技术人才缺失1 35 NDP IPv6IPv

28、6 IPv6 安全IPv6 2003 IPv6 IPv6 IPv6 IPv4 IPv6 IPv6 IPv6 四、保障下一代互联网安全有序发展的建议IPv6 35 （208IPv6 4.1 图 4.1 IPv6 网络安全协同工作机制IPv6 IPv6 IPv6 4.1 图 4.1 IPv6 网络安全协同工作机制（一）主动布局 IPv6 安全产品服务和安全实践推广IPv6 IPv6 安IPv6 4.1 表 4.1 加快研发推广的 IPv6 安全产品和服务清单类别细分类别产品/服务IPv6 环境下安全功能升级安全产品安全防护防火墙支持 IPv6 安全策略配置，IPv6 数据量监测、分析和过滤，IPv

29、6 网络内部结构、运行状况信息屏蔽等IDS/IPS识别和防御 IPv6 网络攻击入侵事件WAFIPv6 数据包分析校验，用户请求扫描过滤，异常数据包阻断隔离等漏洞扫描IPv6 安全漏洞自动化识别和发现抗 DDoSIPv6 网络攻击流量的识别和过滤安全服务安全集成安全集成服务一站式 IPv6 安全升级改造服务安全运维运维服务IPv6 安全评估、监控和安全响应等维保服务IPv6 安全设备的故障排除、隐患排查和组件更换等渗透测试IPv6 网络、系统、应用等漏洞的探测挖掘安全咨询教育培训针对 IPv6 的安全知识和技能培训在安全产品方面，IPv6 IPv6 IPv6 IPv6 IPv6 过IPv6 IDS/IPS IPv6 IPv6 IPv6 IPv6 HTTP /HTTPS IPv6 DDoS IPv6 IPv6 IPv6 IDS/IPS DDoS攻击安全防护功能，但多通过控制数据访问速率、