互联网协议第六版（IPv6）安全性分析

张 涛，王 欢，周仲谋，熊 伟

（1.国网江西省电力有限公司新余供电分公司，江西新余 338000；2.国网江西省电力有限公司宜春供电分公司，江西宜春 336000）

0 引言

IPv4面临地址严重匮乏、服务质量难以保障等制约互联网持续发展的问题，成为构建新型数字化基础设施的短板，难以支撑电网向能源互联网升级[1]。IPv6能够提供充足的地址空间，是下一代互联网的基础协议，实现更广泛的连接，实现万物互联，打造新型数字化基础设施，促进能源互联网、工业互联网等领域的应用创新和高速发展[1]。

IPv6在IPv4基础上，基于转发性能、安全防护、端到端通信保障等方面要求，从协议层面对IPv4内在问题进行了大量优化修订，其包头的变化如图1所示，形成了与IPv4不相兼容的互联网协议[2]。这些改进对身份认证、保密传输等安全内容有了更好支持，同时部分扩展与选项功能也对安全防护提出新的挑战[3]。

图1 IPv4与IPv6包头格式比较

1 IPv6安全性分析

1.1 IPv6对安全的改进

IPv6地址空间大幅增加，使广泛扫描探测变得困难，也有利于安全事件的定位追溯，其可汇聚、层次化的地址结构易于进行统一安全过滤。IPv6协议支持的IPsec及协议选项功能，可以实现端到端数据保护并有效应对传统碎片重叠攻击等威胁。

反嗅探、扫描能力提升。利用IPv6的地址规划、虚假子网、拓扑隐藏等技术，有效隐藏网络真实结构，增加攻击者网络侦查和嗅探的资源消耗，大幅提高专网反侦察能力[4]。据估算，在拥有1万个主机的IPv6子网中，地址随机均匀分布，以一百万次每秒的速度扫描，发现第一个主机所需要的时间均值超过28年。

可溯源性提升。IPv6可为每个网络设备分配唯一地址，并引入了真实源地址验证体系结构（SAVA），确保每个设备都有真实的源地址，有利于开展事件的追查回溯[4]。SAVI技术通过建立IPv6地址、MAC地址和端口的绑定关系表，对相关协议报文和数据报文的源地址进行合法性过滤检查。

传输安全性提升。相较于IPv4通过网关实现IP-sec通道，IPv6协议中缺省内置IPSec安全加密机制，使得在网络层可更加便捷地实现端到端数据加密传输[3]。

IPv4中的一些攻击得到缓解。由于IPv6协议上的改进，取消了广播地址和NAT技术，提供了健全的分片机制，因此消除了IPv4中广播风暴和碎片攻击，进一步增强端到端的透明性、缩小网络延时、便于网络管理等。

1.2 IPv6协议自身引入的安全风险

IPv6协议族中引入的邻居发现、无状态自动地址分配等协议可能被非法利用，进而发起DDoS、地址欺骗、路径欺骗等攻击，造成用户无法连接网络、仿冒攻击以及用户信息泄露等风险。IPv4网络中除IP层以外的其他四层中的风险在IPv6网络中仍然存在。

IPv6中采用ND（Neighbor Discovery）协议，由于ND协议设计时未引入认证机制，导致网络中主机不可信，攻击者可以获得并冒用主机MAC，通过伪造、篡改协议报文，从而实现非授权终端接入、地址欺骗攻击、重复地址检查攻击等[3-5]。

非授权终端接入：攻击者截取网络报文，获取并冒用主机MAC，伪装成主机，干扰正常通行。其攻击方式如图2所示。

图2 非授权终端接入

地址欺骗攻击：攻击者使用ND协议报文来修改受害主机的MAC地址，造成受害主机无法与网络进行正常的通信。其攻击方式如图3所示。

图3 地址欺骗攻击

重复地址检测攻击：攻击者通过干扰ND协议报文，使得受害主机的重复地址检测过程失败，无法获取IP地址。其攻击方式如图4所示。

图4 重复地址检测攻击

1.3 IPv6过渡技术安全分析

IPv4向IPv6的过渡是一个长期的过程，IPv4向IPv6的演进过程中涉及到翻译（地址转换）、双栈以及隧道技术，目前针对各种过渡技术尚无成熟应用的防护经验，各类过渡技术都存在一定的安全风险[6-7]，见图5。

图5 IPv6过渡技术

翻译：通过地址翻译设备实现IPv4与IPv6地址互相转换，用于IPv6通过IPv4网络通信，以及IPv4通过IPv6网络通信，非法的访问经由隧道规避边界的访问控制措施。

双栈：网络中运行IPv4和IPv6两个协议栈，既能和IPv4通信，也能和IPv6通信。网络中同时存在IPv6、IPv4两个逻辑通道，增加了暴露面，需注意IPv6、IPv4安全策略一致性、协同性，及相关设备（网络、安全设备）双协议栈运行时的性能下降。

隧道：通过对IPv4和IPv6协议的报文格式转换，实现使用不同IP协议的互通。破坏了网络的端到端安全特性。

2 IPv6对电网安全防护体系的影响

2.1 对电力整体防护架构影响

IPv6网络改造应遵照电力行业“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护策略，在现有的网络、主机、应用、数据等防护节点支持IPv6协议，并综合考虑过渡期间的双协议栈协同安全防护措施。

网络与通信安全。需重点规划IPv6地址段，加强IPv6设备的接入控制及权限控制，做好IPv6网络监测及恶意代码防范，提升网络通道和网络边界安全性。

主机安全。需重点强化IPv6主机基线安全，合理控制双协议栈下系统资源分配，加强对IPv6环境下入侵行为的监测阻断，提升IPv6主机安全性。

应用安全。需重点加强IPv6环境下用户登录控制及权限控制，通过数据有效性检验等方式提升软件容错性，研究应用IPv6环境下漏洞扫描技术。

数据安全。需加强IPv6环境下数据加密技术、数据存储技术及备份机制研究，实现数据的完整性、保密性和可用性保护。

2.2 对电力专用安全防护装置影响

在“安全分区、网络专用、横向隔离、纵向认证”的总体安全防护策略下，电力行业研制了一些专用安全防护装置，其中安全交互平台、信息安全网络隔离装置及纵向加密认证装置等电力专用安全防护装置目前均不支持IPv6[8]。安全交互平台、信息安全网络隔离装置在进行底层网络升级后，可支持IPv6协议。但采用国密专用算法的纵向加密认证装置，尚无法升级。

2.3 对通用安全装置影响

现有通用安全设备缺乏IPv6大规模部署应用实践，针对IPsec协议、IP与上层应用之间扩展信息检查机制还需完善。IPv4和IPv6双协议栈场景下，通用安全设备性能较IPv4场景会有一定下降，双协议栈的防护策略也需保持协同，因此在部署IPv4和IPv6双协议栈时，应进行充分的测试评估后方可施行。

3 IPv6防护建议

1）统筹IPv6网络安全顶层规划工作，构建IPv6的安全防护体系，加强过渡期间双协议栈防护建设。研究建设统一的IPv6网络地址资源管理平台，强化IPv6地址管理和精准定位能力。

2）加快安全防护设备升级改造，提升IPv6安全防护能力。在防火墙、IDS等通用安全设备功能、性能和安全性测试基础上，研究制定针对IPv6的安全策略配置标准，强化IPv6防护。加快信息网络安全接入网关、信息网络安全隔离装置等专用设备研究，适应IPv6改造安全需求，并逐步完成在网设备及终端应用升级改造。研究针对采集终端、作业终端等IPv6升级改造技术，做好IPv6环境下用电信息采集等业务安全防护。

3）大力开展关键防护技术研究，推动安全标准规范制定。标准规范制定：结合行业特点，有序建立IPv6安全标准规范体系，形成覆盖地址转换记录、DDoS、源地址认证等内容的IPv6网络安全规范，支撑IPv6演进工作。关键技术研究：以新兴业务为主，研究IPv6环境下大云物移智等新技术的安全防护措施，开展相关技术研究，支撑新技术的安全应用。

4）加大IPv6宣贯培训力度，提高IPv6环境下的安全意识。建立分级分层、集散相结合的宣贯方式，加强对管理和技术人员宣贯培训，提高IPv6环境下的网络安全意识，开展形式多样的网络安全教育培训。

4 结束语

当前，国家电网公司正聚焦大数据中心、工业互联网、5G、人工智能等方面重点任务，加快建设新型数字基础设施，向能源互联网转型升级，公司明确要求防范安全风险，把安全第一的理念贯穿建设全过程，提高网络安全风险防范能力[8]。IPv6作为下一代互联网的基础网络协议，研究IPv6协议安全性可以为新型数字基础设施的部署提供安全保障。