1、 筑牢筑牢下一代互联网安全防线下一代互联网安全防线 IPv6 网络安全白皮书网络安全白皮书 中国信息通信研究院中国信息通信研究院 2019年年9月月 版权声明版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院，并受法律保，并受法律保 护护。转载、摘编或利用其它方式使用转载、摘编或利用其它方式使用本白皮书文字或者观本白皮书文字或者观 点的，应点的，应注明注明“来源：来源：中国信息通信研究院”中国信息通信研究院”。违反上述。违反上述 声明者，本声明者，本院院将追究其相关法律责任。将追究其相关法律责任。 前前 言言 当前，网络信息技术加速引领新一轮科技革命，以前所 未有的

2、广度和深度引发经济社会多方位、全领域、深层次的 技术创新和产业变革。在 5G、物联网、工业互联网等新兴领 域蓬勃发展，人人互联加速向万物互联迈进的时代趋势下， 网络空间传统 IPv4 地址资源紧缺等问题日益凸显，以 IPv6 为代表的下一代互联网技术应运而生。IPv6 凭借其海量地址 空间、内嵌安全能力等技术优势，为泛在融合、大连接的新 形势下网络信息技术的创新发展提供基础网络资源支撑，已 成为促进生产生活数字化、 网络化、 智能化发展的核心要素， 吸引世界发达国家的广泛关注和大力投入。 近年来，我国紧抓全球网络信息技术加速创新变革、信 息基础设施快速演进升级的历史机遇，全力推进下一代互联 网

3、部署应用，为经济社会发展和网络强国建设提供有力支撑。 然而，IPv4 向 IPv6 网络的升级演进是一个长期、持续的过 程，现阶段已部署上线的 IPv6 业务仍相对有限，IPv6 部署 应用过程中的网络安全风险尚未完全显现。此种客观情况对 IPv6 新环境下的网络安全防御工作而言是挑战也是机遇，与 传统网络安全防御攻击方更为被动的形势相比， 在 IPv6 环境 中，攻防双方正处于同一起跑线上。我们更应高度重视下一 代互联网演进升级中存在的安全风险， 加快提升 IPv6 网络安 全防护能力，构建形成 IPv6 网络安全防护主动局面。 我院联合安天科技股份有限公司、北京蓝汛通信技术有 限责任公司、

4、北京天融信网络安全技术有限公司、北京知道 创宇信息技术股份有限公司、北京神州绿盟信息安全科技股 份有限公司、华为技术有限公司、杭州安恒信息技术股份有 限公司、奇安信科技集团股份有限公司、上海观安信息技术 股份有限公司、深信服科技股份有限公司、深圳市腾讯计算 机系统有限公司、 网宿科技股份有限公司、 亚信科技 （成都） 有限公司、中国电信集团有限公司、中国联合网络通信集团 有限公司、中国移动通信集团有限公司1共同推出筑牢下一 代互联网安全防线IPv6 网络安全白皮书 。本白皮书从网 络安全视角， 客观审视 IPv6 发展和网络安全工作现状， 分析 探讨下一代互联网升级演进过程中的安全风险和应对举

5、措， 梳理现有网络安全工作急需， 挖掘 IPv6 安全产品和服务重点 发展方向，希望与业界分享，共同推动保障下一代互联网安 全、有序发展。 1 注：按首字母排序，排名不分先后 目目 录录 一、相关背景 . 1 （一）IPv6 改造稳步推进，基本形成市场驱动良性环境 . 1 1、网络基础设施 IPv6 升级改造基本完成 . 1 2、应用基础设施已具备 IPv6 服务能力 . 3 3、互联网应用 IPv6 活跃用户数稳步提升 . 4 （二）IPv6 安全风险开始显现，挑战下一代互联网安全保障能力 . 5 1、IPv6 网络攻击数量剧增，攻击范围逐渐扩大 . 6 2、IPv6 安全漏洞客观存在，影响

6、覆盖系统、应用等各相关层面 . 7 二、我国下一代互联网建设安全工作现状 . 8 （一）贯彻落实国家战略，加强 IPv6 安全工作部署 . 8 1、工信部：明确 IPv6 安全工作阶段性目标 . 9 2、广电总局：细化 IPv6 安全指导和安全测试验证要求 . 9 3、教育部：强调 IPv6 安全保障体系总体目标 . 10 4、央行：同步落实 IPv6 发展和安全工作 . 11 （二）加快 IPv6 安全科研布局，强化 IPv6 安全技术储备 . 11 1、强化 IPv6 安全核心要素和基础资源安全管理创新 . 12 2、开展 IPv6 安全风险研究，构建 IPv6 安全应对体系 . 13 3

7、、推动 IPv6 源地址认证和网络攻击追踪溯源研究 . 14 （三）推动 IPv6 安全实践，强化 IPv6 安全创新 . 16 1、加快 IPv6 安全标准制修订，强化 IPv6 安全指导 . 16 2、加强 IPv6 安全产品和服务探索，助力安全能力提升 . 17 3、探索 IPv6 安全解决方案，强化 IPv6 安全风险应对 . 18 三、我国下一代互联网建设仍面临的安全挑战 . 20 （一）IPv4/IPv6 长期并存，过渡机制持续叠加安全风险 . 20 1、双栈机制：IPv4/IPv6 网络安全暴露面倍增 . 21 2、隧道机制：内置安全功能缺失，安全影响范围扩大 . 22 3、翻译

8、机制：机制内在特性仍面临传统网络攻击威胁 . 23 （二）协议新特性挑战现有安全手段，融合场景风险持续扩大 . 25 1、IPv6 地址标识复杂性骤增，挑战基于地址资源安全防护手段 . 25 2、IPv6 协议新特性引入新安全问题，网络安全风险此消彼长 . 27 3、IPv6 融合场景放大新技术安全隐患，加剧安全防御被动局面 . 30 （三）IPv6 网络安全需求能力“剪刀差”亟需弥合 . 31 1、IPv6 安全产品发展尚在起步，远滞后安全能力需求 . 31 2、IPv6 安全问题未充分暴露，制约安全服务发展步伐 . 33 3、 “IPv6+网络安全”复合型专业技术人才缺失 . 34 四、保

9、障下一代互联网安全有序发展的建议 . 34 （一）主动布局 IPv6 安全产品服务和安全实践推广 . 35 （二）按需求、分场景落实 IPv6 安全产品服务部署 . 39 （三）构建 IPv6 安全创新机制，强化 IPv6 风险防范能力建设 . 43 （四）强化 IPv6 安全知识技能培训，弥合 IPv6 安全人才差距 . 44 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 1 一、相关背景 近年来，我国紧抓全球信息通信技术加速创新变革、信息基础设 施快速演进升级的历史机遇，在国家层面出台推进互联网协议第六 版（IPv6）规模部署行动计划 （以下简称行动计划 ） ，提出

10、“一条 主线、三个阶段、五项任务”总体目标，全力推进互联网演进升级和 健康创新发展，如图 1.1 所示。 图图 1.1 我国我国下一代互联网建设总体目标下一代互联网建设总体目标 目前，我国下一代互联网建设第一阶段目标任务全面完成，网络 设施全面就绪、应用改造逐步推进、活跃用户稳步提升的局面已经形 成。 但随着下一代互联网网络和业务环境逐步成熟， IPv6 网络安全风 险开始逐渐浮出水面，IPv6 网络安全事件时有发生。 （一）（一）IPv6 改造稳步推进，改造稳步推进，基本形成基本形成市场驱动良性环境市场驱动良性环境 1、网络基础设施、网络基础设施 IPv6 升级改造基本完成升级改造基本完成

11、目前，我国固网、LTE 网络已大规模分配 IPv6 地址，基本具备 IPv6 业务承载能力2。截止 2019 年 7 月，LTE 网络方面，全国 30 省3 2 数据来源：本节数据如无特别说明，均统计自推进 IPv6 规模部署专家委员会。 3 数据统计范围不包括香港、澳门、台湾、新疆。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 2 的 LTE 网络已完成 IPv6 升级改造；固定网络方面，基础电信企业骨 干网设备已全部支持 IPv6，13 个骨干网直联点已全部实现 IPv6 互联 互通， 全国30 个省城域网IPv6改造已经全面完成； 国际出入口方面， 基础电信企业

12、已开通 IPv6 国际出入口带宽 100Gbps，扩建工作不断 加快。IPv6 网络流量现状如图 1.2 所示。 图图 1.2 IPv6 流量现状流量现状 随着网络基础设施 IPv6 升级改造工作的持续推进，IPv6 网络相 关用户数稳步增长。截止 2019 年 7 月，全国已有 12.78 亿用户获得 IPv6 地址，其中，LTE 网络用户共 11.29 亿，固定网络用户 1.49 亿， 相比 2018 年初增长超过 10 倍，如图 1.3 所示。 图图 1.3 IPv6 用户数现状用户数现状 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 3 2、应用基础设施、应用基

13、础设施已具备已具备 IPv6 服务能力服务能力 我国应用基础设施改造速度不断加快， 已具备全国范围内对外提 供服务的能力。DNS 方面，我国国家顶级域名服务系统早在 2012 年 的 CNGI4二期工程中已完成 IPv6 升级改造。截止 2019 年 7 月，基础 电信企业递归域名服务器已全部完成 IPv6 升级改造，全面支持 IPv6 地址解析。IDC 方面，基础电信企业超大型/大型/中小型 IDC5升级改 造全面完成， 世纪互联等企业已完成大型 IDC 升级改造， 正加快推动 中小型 IDC 升级改造进度，如图 1.4 所示。 图图 1.4 IDC 升级改造现状升级改造现状 CDN 方面，

14、 我国 CDN 企业全部机房 IPv6 覆盖能力已达100%， 已具备面向全国提供 IPv6 相关业务加速能力， 省级 CDN 节点本地部 署已超过 60%，如图 1.5 所示。 4 CNGI：Chinas Next Generation Internet，中国下一代互联网。 5 以功率为 2.5 千瓦的标准机架为换算单位，超大型数据中心是指规模大于等于 10000 个标准机架的数据 中心；大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心；中小型数据中 心是指规模小于 3000 个标准机架的数据中心。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中

15、国信息通信研究院 4 图图 1.5 CDN 升级改造现状升级改造现状 云平台方面，阿里云、百度云、腾讯云等知名云服务平台持续推 进云服务产品 IPv6 升级改造。目前，负载均衡、对象存储、域名解 析等不同种类云服务产品已完成 IPv6 升级改造，平均改造率已超过 60%，如图 1.6 所示。 图图 1.6 云平台升级改造现状云平台升级改造现状 3、互联网互联网应用应用 IPv6 活跃用户数活跃用户数稳步提升稳步提升 随着网络及应用基础设施 IPv6 升级改造的持续推进，IPv6 网络 和应用能力稳步提升，IPv6 相关业务开始逐步上线，购物、视频、新 中国信息通信研究院 筑牢下一代互联网安全防

16、线IPv6 网络安全白皮书 5 闻等各类互联网应用 IPv6 活跃用户数稳步提升。截止 2019 年 7 月， 我国主要互联网应用活跃用户数已达 2.01 亿，如图 1.7 所示。 图图 1.7 2019 年我国年我国 IPv6 活跃用户数增长情况活跃用户数增长情况 此外，截止 2019 年 7 月，我国政府、央企、央媒、商业6等各类 网站 IPv6 升级改造也已取得积极进展，如图 1.8 所示。 图图 1.8 各类网站升级改造现状各类网站升级改造现状 （二）（二）IPv6 安全风险开始显现，安全风险开始显现，挑战挑战下一代互联网下一代互联网安全安全 保障能力保障能力 早在 2018 年 3

17、月，美国安全厂商 Neustar 已发现业内第一起基 6 统计维度为排名前 50 的商业网站。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 6 于 IPv6 协议的 DDoS 攻击， 攻击对象为存储 1900 个 IPv6 地址的 DNS 服务器7。近年来，随着我国 IPv6 网络和业务开始上线，IPv6 网络攻 击事件也开始出现， IPv6 网络安全问题相继浮出水面， 我国下一代互 联网建设正面临客观安全挑战。 1、IPv6 网络攻击数量剧增，攻击范围逐渐扩大网络攻击数量剧增，攻击范围逐渐扩大 随着 IPv6 网络开始投入使用，IPv6 网络攻击8数量急剧增加，影

18、响范围也呈现出向各行业领域扩大趋势。据国内安全厂商统计，2019 年上半年共监测发现超过 9 万起 IPv6 网络攻击，其中，攻击对象覆 盖政府部门、事业单位、教育机构等单位9，如图 1.9 所示。 图图 1.9 2019 年上半年政企事业单位遭受年上半年政企事业单位遭受 IPv6 攻击情况攻击情况 在 2019 年 3 月， 国内安全厂商拦截到攻击源为 IPv6 地址的网络 攻击 8000 万起10；在针对 283 家政府部门、教育机构、中央企业云托 管网站来自 IPv6 网络的攻击中，目录遍历攻击、WEB Shell 攻击、 SQL 注入等典型 WEB 攻击超过 90%11，如图 1.10

19、 所示。 7 IPv6 环境下需要 DNS 存储海量地址，导致 DNS 极易被攻击者选为攻击的关键对象。 8 IPv6 网络攻击包括攻击源为 IPv6 地址的攻击，以及利用 IPv6 网络或安全问题发起的各类攻击。 9 数据来源：据神州绿盟整理统计。 10 数据来源：据知道创宇整理统计。 11 数据来源：据深信服整理统计。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 7 图图 1.10 283 家云托管网站网络攻击情况家云托管网站网络攻击情况 2、IPv6 安全漏洞客观存在，影响安全漏洞客观存在，影响覆盖覆盖系统、应用等系统、应用等各各 相关相关层面层面 尽管 IPv

20、6 相关技术概念早在 1996 年已经提出， 但直到近年来才 开始引起各界的广泛关注和投入，相关硬件终端、操作系统、软件应 用等仍处部署应用初期阶段， 尚不具备较为完善的安全机制， IPv6 安 全漏洞客观存在。 截止 2019 年 7 月， CVE 漏洞库中已收录 IPv6 相关 漏洞 381 条，覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同 层面，如图 1.11 所示。 图图 1.11 IPv6 相关漏洞情况相关漏洞情况（保留四舍五入统计误差保留四舍五入统计误差） 其中，CVSS12评分超过 7 的高危漏洞占比超过 50%，如图 1.12 所示。 12 CVSS：Common Vuln

21、erability Scoring System，通用漏洞评分系统。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 8 图图 1.12 不同威胁程度不同威胁程度漏洞漏洞分布分布情况情况 二、我国下一代互联网建设安全工作现状 自行动计划发布以来，我国政产学研各界贯彻落实国家重大 战略要求，从工作部署、科研工作、产品服务、安全实践等方面全面 强化下一代互联网安全布局，持续加强我国下一代互联网安全保障。 （一）贯彻落实国家战略，加强（一）贯彻落实国家战略，加强 IPv6 安全工作部署安全工作部署 近年来，我国各政府部门立足自身职责分工，在政策方面频频发 力，出台部门相关政策文

22、件，同步强化各行业领域 IPv6 发展和安全 工作部署，如图 2.1 所示。 图图 2.1 我国政府部门我国政府部门 IPv6 相关政策文件相关政策文件 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 9 1、工信部：、工信部：明确明确 IPv6 安全工作安全工作阶段阶段性性目标目标 工信部连续两年发布相关政策文件， 分阶段细化IPv6安全要求。 2018 年 5 月，发布关于贯彻落实的通知 ，从安全管理、保障措施、安全能力三个 维度提出 IPv6 安全总体要求，包括同步升级 IPv6 安全保障系统、强 化新兴技术领域安全能力建设等； 2019 年 4 月， 发布 关于开

23、展 2019 年 IPv6 网络就绪专项行动的通知 ，提出 2019 年末 IPv6 安全主要目 标，强化落实 IPv6 网络安全保障，如图 2.2 所示。 图图 2.2 2019 年末年末 IPv6 安全主要目标安全主要目标 2、广电总局：细化、广电总局：细化 IPv6 安全指导安全指导和安全和安全测试验证测试验证要求要求 广电总局在 2018 年 3 月发布的 广电有线网络 IPv6 规模部署及 推进实施指南 中明确细化 IPv6 发展和安全实施指导。 其中， 在 IPv6 安全方面，该指南从网络攻击、口令攻击、病毒攻击等 9 种 IPv6 安 全威胁入手，分析网络侧和业务侧两个方面的 I

24、Pv6 安全防护能力， 针对终端安全、网络安全、业务安全三个方面，明确提出 IPv6 安全 防护策略，如图 2.3 所示。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 10 图图 2.3 实施指南相关实施指南相关 IPv6 安全防护策略安全防护策略 此外，该指南明确提出在 IPv6 部署过程中同步开展支持能力测 试，要求 IPv6 升级改造后的系统应符合国家安全相关标准和行业标 准，相关系统上线前应开展安全评测等。 3、教育部：、教育部：强调强调 IPv6 安全安全保障体系保障体系总体目标总体目标 2018 年 8 月，教育部发布教育部办公厅关于贯彻落实的通知 ， 明

25、确到 2020 年 末基于 IPv6 的安全保障体系基本形成的总体目标，从安全管理、安 全设备等方面，强调优化 IPv6 网络安全管理和防护，如图 2.4 所示。 图图 2.4 教育部教育部 IPv6 安全工作部署安全工作部署 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 11 4、央行：同步、央行：同步落实落实 IPv6 发展和安全工作发展和安全工作 央行因其主管的金融服务机构业务特殊性， 长期以来十分重视网 络安全工作。在 2019 年 1 月发布的 关于金融行业贯彻的实施意见中更是强调金 融服务机构 IPv6 升级改造以保障系统安全稳定运行为前提，坚持发 展与安全

26、并举，并从主要目标、实施步骤等方面明确提出，按照“初 期阶段、规模推广阶段、持续建设阶段”同步推进 IPv6 安全工作。 在 IPv6 网络安全保障方面，提出构筑有效防范 IPv6 安全风险且不低 于现有 IPv4 同等防护能力的安全防护体系，新增 IPv6 互联网接入线 路具备访问控制、入侵检测、流量清洗等安全功能。 此外，国资委在关于做好互联网协议第六版（IPv6）部署应用 有关工作的通知中，要求各中央企业制定 IPv6 相关任务清单，制 定详细工作计划，明确中央企业网站和系统改造计划完成时间，开展 IPv6 环境下移动互联网、 物联网、 工业互联网等新兴技术研究与应用， 同步强化网络安全

27、保障工作的同时， 从强化组织领导、 保障资金投入、 加大扶持力度等方面同步推动 IPv6 发展和安全相关工作。 （二）加快（二）加快 IPv6 安全科研布局，强化安全科研布局，强化 IPv6 安全技术储安全技术储 备备 为防范下一代互联网建设过程中一系列安全风险， 我国政产学研 各界围绕 IPv6 基础资源安全管理、安全风险应对等问题，开展了一 系列 IPv6 安全相关基础科研工作，旨在强化 IPv6 安全技术储备，推 动下一代互联网安全演进。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 12 1、强化、强化 IPv6 安全核心要素和安全核心要素和基础资源安全管理基础

28、资源安全管理创新创新 为强化 IPv6 风险应对技术储备，我国高校、企业、科研机构协 同合作，依托科技部国家重点研发计划“宽带通信和新型网络”重点 专项，重点开展了 IPv6 环境下基础资源管理核心技术研究，以 IPv6 地址真实性作为网络基础设施的信任锚点， 通过互联网体系架构中编 制语义、路由控制等核心要素创新，实现大规模网络实体和网络行为 关联要素可验证、可管理、可追溯，如图 2.5 所示。 图图 2.5 项目组织架构项目组织架构 该项目针对主干网、接入网等不同 IPv6 真实地址部署场景，兼 顾开放互通和安全管控， 研究提出网络实体、 身份、 行为的关联机制， 从编制语义、路由控制等角

29、度研究实体编址与用户身份、网络行为间 的关联关系的同时，构建大规模试验验证和应用示范平台，对自主技 术体系、设备系统结构等开展全场景、一体化的验证，强化提升 IPv6 环境下针对 IPv6 地址资源的安全管理能力，如图 2.6 所示。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 13 图图 2.6 项目研究框架项目研究框架 2、开展、开展 IPv6 安全风险研究，构建安全风险研究，构建 IPv6 安全应对体系安全应对体系 随着下一代互联网安全问题的逐渐显现， 基础电信企业作为我国 推动 IPv6 规模部署工作的重要主体，在加快推动网络基础设施、应 用基础设施等 IPv

30、6 升级改造的同时，从升级网络安全防护手段、开 展 IPv6 网络安全风险研究等方面同步推动 IPv6 网络安全保障工作。 其中，中国电信于 2017 年开展 IPv6 网络安全风险相关研究工作，从 网络安全防护体系、基础安全风险等方面，梳理 IPv6 安全风险对网 络安全防护体系带来的安全挑战， 分析过渡技术安全风险、 IPv6 新增 风险等 IPv6 网络安全相关风险，以及 IPv6 协议机制对自身安全性的 影响，形成 IPv6 安全风险框架，如图 2.7 所示。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 14 图图 2.7 中国电信中国电信 IPv6 安全风险

31、框架安全风险框架 基于该框架中对 IPv6 安全风险的研究分析，针对其各业务场景 安全需求，从安全管理、过渡技术、安全设备、访问控制等方面，形 成涵盖边界防护、资产管理、威胁情报等内容的 IPv6 安全策略部署 建议，如图 2.8 所示。 图图 2.8 中国电信中国电信 IPv6 安全策略部署建议安全策略部署建议 3、推动推动 IPv6 源地址认证和源地址认证和网络攻击追踪溯源网络攻击追踪溯源研究研究 清华大学早在 2003 年依托 CNGI 提出真实 IPv6 源地址验证体系 结构（SAVA） 13，旨在通过域间、域内等网络层级的源地址识别和验 13 真实 IPv6 源地址验证体系结构：So

32、urce Address Validation Architecture，SAVA。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 15 证，对伪造源地址的分组进行过滤，保证网络中所有分组源 IPv6 地 址的全网唯一性， 进而通过在接入网内和其他不同网络层级上建立不 同颗粒度的 IPv6 地址到其他类型标识的绑定关系，将 IPv6 地址逐级 定位到网络实体，实现网络攻击行为的可溯源性14，如图 2.9 所示。 图图 2.9 真实真实 IPv6 源地址验证体系结构源地址验证体系结构体系结构体系结构 近年来，清华大学同样依托科技部国家重点研发计划“宽带通信 和新型网络”重

33、点专项，持续开展下一代互联网安全相关科研工作， 提出“一体化融合网络体系结构和关键技术研究”研究项目，旨在依 托 IPv6 网络体系结构，针对空间信息网、广播电视网、移动互联网 等多种异构网络的安全高效互联互通面临的技术难题， 研究大规模可 扩展、时空大尺度、多维高性能、真实安全可信、开放互联融合的一 体化新型网络体系结构及其协议关键技术， 为未来新型网络的发展奠 定理论和技术基础。其中，在下一代互联网安全方面，该项目旨在研 究一体化融合网络真实安全可信技术，实现源地址认证、用户身份认 证、路由信息认证等功能，构建安全可信的未来一体化融合网络。 14 参考文献：李杰，吴建平，徐恪， 自治域间真

34、实源地址验证方法及技术实现 。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 16 （三）（三）推动推动 IPv6 安全实践，安全实践，强化强化 IPv6 安全安全创新创新 1、加快、加快 IPv6 安全标准制修订，强化安全标准制修订，强化 IPv6 安全指导安全指导 从国家标准、行业标准等不同层面，我国标准化组织全面启动 IPv6 安全标准制修订工作，从 IPv6 安全防护、标准体系等方面持续 强化 IPv6 安全指导，如图 2.10 所示。 图图 2.10 IPv6 安全相关标准工作安全相关标准工作 国家标准方面， TC26015的WG616聚焦IPv6网络安全标准

35、化工作， 从国内外 IPv6 发展现状入手，在分析 IPv6 网络安全风险的基础上， 研究提出涵盖应用层、网络层、终端层等不同层次的 IPv6 网络安全 体系框架，并从基础、技术、管理等方面研究提出 IPv6 网络安全标 准化路线图。行业标准方面，CCSA17主要聚焦 IPv6 环境下多种业务 场景网络安全防护要求，以及 IPv6 地址实名制等安全新问题，开展 标准制修订工作。其中，TC818的 WG319强化 IPv6 地址申请、分配、 备案等安全管理， 加快推进IPv6地址实名制管理系列标准制定工作。 15 TC260：全国信息安全标准化技术委员会。 16 WG6：通信安全标准工作组。 1

36、7 CCSA：中国通信标准化协会。 18 TC8：网络与信息安全。 19 WG3：安全管理组。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 17 目前， IPv6 地址实名制管理总体要求、 备案信息核查系统技术要求等 5 项标准均已完成报批稿，进入报批审核阶段。NTC420根据 IPv6 环 境下引入的网络安全风险， 加快推进 IDC、 CDN、 DNS 等多种业务场 景网络安全防护要求标准修订工作。目前，互联网数据中心安全防护 相关标准已进入征求意见阶段。 2、加强、加强 IPv6 安全产品和服务探索，助力安全能力提升安全产品和服务探索，助力安全能力提升 从下一代互

37、联网安全需求看， IPv6 环境下协议类型转变、 海量地 址空间等特性给安全产品功能提出新的要求。一方面，IPv4 向 IPv6 网络升级演进是长期、持续的过程，网络安全产品同时支持 IPv4 和 IPv6 已经成为其部署应用的关键要素。另一方面，基于 IPv6 的下一 代互联网自身具有浩瀚的地址空间， 也将为网络安全产品带来新的挑 战。例如，漏洞扫描类网络安全产品难以在 IPv6 环境下实施遍历式 扫描，导致其产品自身基于网络节点扫描发现系统、网络、应用漏洞 的工作模式难以高效进行。此外，IPSec 作为 IPv6 环境下可选拓展安 全功能，提供端到端加密数据通信机制的同时，也为攻击者规避防

38、火 墙、 IPS 等网络安全产品的深度分析和检查提供可趁之机。 因此， IPv6 安全产品和服务作为下一代互联网安全防线的核心组成部分， 加快其 研发、推广、部署已成为保障下一代互联网安全发展的关键。 我国安全企业加快发力，加快研发升级现有安全产品的 IPv6 支 持能力， 以及开展 IPv6 环境安全新产品探索。 目前， 我国已有 231 款 20 NTC4：网络安全防护特设组。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 18 安全产品通过 IPv6 支持认证21，实现对 IPv6 协议层面的支持，产品 类型覆盖防火墙、IDS/IPS、UTM、WAF 等，如图 2

39、.11 所示。 图图 2.11 我国通过我国通过 IPv6 支持认证的安全产品情况支持认证的安全产品情况 在 IPv6 安全服务方面，由于 IPv6 网络中传输介质、通信链路、 应用系统等关键组成部分与 IPv4 网络基本相同，代码审计、漏洞挖 掘等传统安全服务仍将适用于 IPv6 环境。在下一代互联网升级演进 过程中，我国安全企业也针对 IPv6 环境相继推出特有安全服务。例 如，部分安全企业推出 IPv6 安全改造服务，针对网络和应用基础设 施、 互联网应用等不同对象， 提供 IPv6 安全改造咨询、 方案设计等。 3、探索、探索 IPv6 安全解决方案，强化安全解决方案，强化 IPv6

40、安全风险应对安全风险应对 随着我国下一代互联网建设的持续推进，各类 IPv6 安全事件的 出现给下一代互联网安全发展敲响警钟， IPv6 安全问题逐渐引起各界 的广泛关注。为提高 IPv6 安全风险防范能力，我国企业从网络基础 设施、应用基础设施、基础资源管理等方面，加快开展 IPv6 安全实 践和探索，推动 IPv6 安全技术创新和应用，如图 2.12 所示。 21 数据来源：下一代互联网国家工程中心2018-2019 全球 IPv6 支持度白皮书 。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 19 图图 2.12 我国我国 IPv6 安全相关实践安全相关实践 网

41、络基础设施方面， 赛尔网络基于 CERNET2 主节点流量采集和 分析，优化升级教育网 IPv6 态势监测系统，实现 IPv6 环境下网络攻 击监测发现、网络流量分析与监测、安全态势感知等监测预警功能， 建设面向云计算与大数据应用的云网一体化安全平台， 结合蜜罐态势 监测、漏洞自动扫描等网络安全防护系统，实现资产安全管理、数据 保护、漏洞检测和防御等网络安全防护功能，保障教育网主干网和纯 IPv6 云平台的云网一体化安全。 应用基础设施方面， 亚信安全针对IPv6环境下DNS面临的DDoS 攻击、域名安全威胁等问题，提出 DNS 自适应安全架构，依托企业 自身威胁情报库中 IPv6 地址黑名单

42、，结合 DNS 流量监测分析系统， 对访问 DNS 的源 IP 以及域名解析 IP 实施预测分析，同时按照 DNS 安全策略，通过安全防护设备实施深度检测并阻断非法 IP 访问，形 成预测、防御、检测、响应的 DNS 安全防御闭环。阿里云针对 IPv6 环境下 IDC 开展 DDoS 防护安全实践，采用分布式计算、全链路双 栈等技术，构建 IPv6 环境下 DDoS 防御系统，以及 SaaS 化的 DDoS 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 20 防御产品， 保障企业自身业务安全的同时， 可为互联网企业提供 IPv6 环境下 DDoS 安全防护产品和服务。

43、基础资源管理方面，神州绿盟等企业针对 IPv6 海量互联网资产 难以实施高效的扫描、监测等问题，加快构建 IPv6 环境下互联网资 产发现、识别、管理等安全能力，结合大数据分析等网络安全技术， 满足 IPv6 环境下互联网资产安全监测、风险评估、威胁预警、应急 处置等安全需求，切实提升 IPv6 环境下互联网资产网络安全管理能 力。 值得注意的是，由于我国互联网应用 IPv6 升级改造进度相对滞 后，目前针对互联网应用的 IPv6 安全实践屈指可数。未来随着互联 网应用 IPv6 升级改造进度的不断提升和需求市场的逐步扩大，可以 预见将有更多企业针对互联网应用开展 IPv6 安全相关创新实践。

44、 三、我国下一代互联网建设仍面临的安全挑战 IPv6 凭借其浩瀚的网络地址空间， 能够有效解决当前全球互联网 面临的网络地址消耗殆尽等网络发展瓶颈问题。然而，IPv4 向 IPv6 网络升级演进是一个长期、 持续的过程， IPv4/IPv6 过渡机制以及 IPv6 协议新特性带来的客观安全问题不容忽视。此外，目前已部署上线的 IPv6 业务相对有限，IPv6 安全产品和服务发展、IPv6 安全保障能力 的建设也相对滞后，我国下一代互联网建设仍面临现实安全挑战。 （一）（一） IPv4/IPv6 长期长期并存并存， 过渡机制， 过渡机制持续叠加持续叠加安全风险安全风险 如前所述，在下一代互联网建

45、设过程中，IPv4 网络和 IPv6 网络 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 21 将长期并存， 为保障 IPv4 和 IPv6 网络间的相互通信， 通常采用双栈、 隧道、翻译等过渡机制实现向纯 IPv6 网络的平稳升级。然而，部分 过渡机制自身存在安全缺陷，或将引入新的安全隐患，导致下一代互 联网建设过渡期安全风险持续叠加。 1、双栈机制：、双栈机制：IPv4/IPv6 网络安全暴露面倍增网络安全暴露面倍增 双栈机制是指网络节点同时具备 IPv4 和 IPv6 两种协议栈，具备 两种协议的支持能力。在双栈环境下，源节点根据目的节点协议栈类 型选择不同的协议栈封装和发送报文， 网络设备根据接收到的报文协 议类型，选择不同的协议栈对报文进行处理和转发，如图 3.1 所示。 图图 3.1 双栈机制原理双栈机制原理 在双栈环境下，采取 IPv4 和 IPv6 并存的通信模式，因 IPv4、 IPv6 中任何一种协议安全漏洞等问题引发的不良影响将会以网络设 备等为据点，在 IPv4 和 IPv6 网络中双向渗透传播，无形中增加网络 节点的安全暴露面。例如，攻击者可利用 IPv6 协议栈漏洞，针对双 栈环境下网络设备发起 DDoS 攻击，进而影响网络设备正常工作，引 发 IPv4 和 IPv6