前國(guó)內(nèi)的網(wǎng)絡(luò)正在快速的向IPv6升級(jí)中，從網(wǎng)絡(luò)基礎(chǔ)設(shè)施如運(yùn)營(yíng)商骨干網(wǎng)、城域網(wǎng)，到互聯(lián)網(wǎng)服務(wù)商如各類云服務(wù)，以及各類終端設(shè)備廠商如手機(jī)、電腦、路由器、交換機(jī)等，均在向IPv6網(wǎng)絡(luò)的升級(jí)改造中。根據(jù)國(guó)家相關(guān)部門的計(jì)劃，2019年要基本全面實(shí)現(xiàn)IPv6的支持。

那么什么是IPv6，有哪些特點(diǎn)，對(duì)網(wǎng)絡(luò)安全有何影響，又將如何應(yīng)對(duì)等等，關(guān)于IPv6的種種疑惑，本文將一一為大家做出闡述！

• 什么是IPv6

IPv6是英文“Internet Protocol Version 6”（互聯(lián)網(wǎng)協(xié)議第6版）的縮寫，是用于替代IPv4的下一代IP協(xié)議，也就是下一代互聯(lián)網(wǎng)的協(xié)議，其地址數(shù)量號(hào)稱可以為全世界的每一粒沙子編上一個(gè)地址。

IPv6的使用，不僅能解決網(wǎng)絡(luò)地址資源數(shù)量的問題，而且也解決了多種接入設(shè)備連入互聯(lián)網(wǎng)的障礙。其128位地址格式將以其在IP地址數(shù)量、安全性、移動(dòng)性、服務(wù)質(zhì)量等方面的巨大優(yōu)勢(shì)，改變現(xiàn)代信息生活。

互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）在2016年已向國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（IETF）提出建議，要求新制定的國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)只支持IPv6，不再兼容IPv4。

• IPv6的優(yōu)勢(shì)

1. 明顯地?cái)U(kuò)大了IP地址空間
2. 明顯提高了網(wǎng)絡(luò)的整體吞吐量
3. 使得整個(gè)服務(wù)質(zhì)量得到了很大改善
4. 安全性有了更好的保障
5. 支持即插即用和移動(dòng)性

• IPv6技術(shù)特性

IPv6 在解決了 IPv4 的地址匱乏問題的同時(shí)，還在許多方面實(shí)現(xiàn)了優(yōu)化改進(jìn)，主要包括以下五點(diǎn)：

• 第一，IPv6 具有層次化的編址方式，地址分配遵循聚類（Aggregation）的原則，同時(shí)通過使用更小的路由表，使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長(zhǎng)度，有利于骨干網(wǎng)路由器對(duì)數(shù)據(jù)包的快速轉(zhuǎn)發(fā)有效提高轉(zhuǎn)發(fā)速度。
• 第 二，IPv6 增 強(qiáng) 了 組 播 支 持 以 及 對(duì) 流 的控制能力，為多媒體應(yīng)用和服務(wù)質(zhì)量（QoS，Quality of Service） 控 制 提 供 了 更 好 的 網(wǎng) 絡(luò) 平臺(tái)。
• 第三，IPv6 同時(shí)定義了更靈活的地址配置機(jī)制：無狀態(tài)和有狀態(tài)地址自動(dòng)配置機(jī)制。
• 第四，IPv6 簡(jiǎn)化了數(shù)據(jù)包報(bào)頭，減少處理器開銷并節(jié)省網(wǎng)絡(luò)帶寬。這就使得路由器在處理 IPv6 報(bào)頭時(shí)更為高效。此外，IPv6 使用新的頭部格式，其選項(xiàng)與基本頭部分開，如果新的技術(shù)或應(yīng)用需要，可將選項(xiàng)插入到基本頭部與上層數(shù)據(jù)之間，這在簡(jiǎn)化路由處理過程中保證了協(xié)議的可擴(kuò)展性。
• 第五，IPv6 擁有基于海量地址空間下的即插即用優(yōu)勢(shì)，可更便捷地支持移動(dòng)性，并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動(dòng)性管理。

• IPv6威脅及隱患

主要從微觀技術(shù)角度來加以說明

一、IPv4 安全威脅延續(xù)

1、報(bào)文監(jiān)聽

IPv6中可使用IPSec對(duì)其網(wǎng)絡(luò)層的數(shù)據(jù)傳輸進(jìn)行加密保護(hù)，但RFC6434中不再?gòu)?qiáng)制要求實(shí)施IPSec，因此在未啟用IPSec的情況下，對(duì)數(shù)據(jù)包進(jìn)行監(jiān)聽依舊是可行的。

2、應(yīng)用層攻擊

IPv4網(wǎng)絡(luò)中應(yīng)用層可實(shí)施的攻擊在IPv6網(wǎng)絡(luò)下依然可行，比如SQL注入、緩沖溢出等，IPS、反病毒、URL過濾等應(yīng)用層的防御不受網(wǎng)絡(luò)層協(xié)議變化的影響。

3、中間人攻擊

啟用IPSec對(duì)數(shù)據(jù)進(jìn)行認(rèn)證與加密操作前需要建立SA，通常情況下動(dòng)態(tài)SA的建立通過密鑰交換協(xié)議IKE、IKEv2實(shí)現(xiàn)，由DH(Diffie-Hellman)算法對(duì)IKE密鑰載荷交換進(jìn)行安全保障[1]，然而DH密鑰交換并未對(duì)通信雙方的身份進(jìn)行驗(yàn)證，因此可能遭受中間人攻擊。

4、泛洪攻擊

在IPv4與IPv6中，向目標(biāo)主機(jī)發(fā)送大量網(wǎng)絡(luò)流量依舊是有效的攻擊方式，泛洪攻擊可能會(huì)造成嚴(yán)重的資源消耗或?qū)е履繕?biāo)崩潰。

5、分片攻擊

在IPv6中，中間節(jié)點(diǎn)不可以對(duì)分段數(shù)據(jù)包進(jìn)行處理，只有端系統(tǒng)可以對(duì)IP數(shù)據(jù)包進(jìn)行分分段與重組，因此攻擊者可能借助該性質(zhì)構(gòu)造惡意數(shù)據(jù)包。

6、路由攻擊

在IPv6下，由于部分路由協(xié)議并未發(fā)生變化，因此路由攻擊依舊可行。

7、地址欺騙

IPv6使用NDP協(xié)議替代了IPv4中的ARP協(xié)議，但由于實(shí)現(xiàn)原理基本一致，因此針對(duì)ARP協(xié)議的ARP欺騙、ARP泛洪等類似攻擊方式在IPv6中依舊可行。IPv6 引入的安全隱患

二、Pv6擴(kuò)展首部威脅

1、逐跳選項(xiàng)報(bào)頭

安全威脅：可利用逐跳選項(xiàng)報(bào)頭發(fā)送大量包含路由提示選項(xiàng)的IPv6數(shù)據(jù)包，包含有路由提示選項(xiàng)的數(shù)據(jù)包要求所有路由器對(duì)該數(shù)據(jù)包進(jìn)行處理并仔細(xì)查看該數(shù)據(jù)包的報(bào)頭信息[3]，當(dāng)攻擊者發(fā)送大量此類IPv6數(shù)據(jù)包時(shí)，將消耗鏈路上路由器大量資源，嚴(yán)重可造成DoS攻擊。

應(yīng)對(duì)方式：應(yīng)當(dāng)限制路由器對(duì)包含路由提示選項(xiàng)的數(shù)據(jù)包的處理數(shù)量。

2、目的選項(xiàng)報(bào)頭

安全威脅：移動(dòng)IPv6協(xié)議的數(shù)據(jù)通信以明文進(jìn)行傳輸，因此其本身便是不安全的，攻擊者可對(duì)MIPv6數(shù)據(jù)包進(jìn)行嗅探進(jìn)而識(shí)別其通信節(jié)點(diǎn)、轉(zhuǎn)交地址、家鄉(xiāng)地址、家鄉(xiāng)代理等信息，并利用這些信息偽造數(shù)據(jù)包。攻擊者可通過攔截類型為消息綁定更新的數(shù)據(jù)包，修改綁定關(guān)系中的轉(zhuǎn)交地址。此外，移動(dòng)節(jié)點(diǎn)標(biāo)識(shí)符選項(xiàng)揭示了用戶的家鄉(xiāng)從屬關(guān)系，攻擊者可利用該選項(xiàng)確定用戶身份，鎖定特定的攻擊對(duì)象。

應(yīng)對(duì)方式：可嘗試開啟IPSec保證數(shù)據(jù)包不會(huì)被竊聽。

3、 路由報(bào)頭

安全威脅：在RH0路由類型(即type 0)下，攻擊者可利用路由報(bào)頭選項(xiàng)偽裝成合法用戶接收返回的數(shù)據(jù)包。同時(shí)，RH0提供了一種流量放大機(jī)制，攻擊者可利用該類型進(jìn)行拒絕服務(wù)攻擊。

應(yīng)對(duì)方式：應(yīng)當(dāng)盡快更新安全設(shè)備并升級(jí)至最新的IPv6協(xié)議版本，同時(shí)對(duì)所有的RH0數(shù)據(jù)包進(jìn)行丟棄。

4、分段報(bào)頭

安全威脅：如若將關(guān)鍵的報(bào)頭信息切分在多個(gè)片段中，安全防護(hù)設(shè)備對(duì)關(guān)鍵信息進(jìn)行提取與檢測(cè)處理會(huì)耗費(fèi)大量資源，構(gòu)造大量該類數(shù)據(jù)包可能對(duì)目標(biāo)主機(jī)造成DoS攻擊。攻擊者可向節(jié)點(diǎn)發(fā)送大量不完整的分段集合，強(qiáng)迫節(jié)點(diǎn)等待片段集合的最后片段，節(jié)點(diǎn)在超時(shí)時(shí)間內(nèi)由于只接收到部分IPv6片段進(jìn)而無法完成重組，最終只能將數(shù)據(jù)包丟棄，在超時(shí)等待期間，會(huì)造成存儲(chǔ)資源的消耗。

應(yīng)對(duì)方式：防火墻應(yīng)該丟棄除最后分段外所有小于1280字節(jié)的所有分段。Cisco ASA防火墻的FragGuard功能可以將所有的分片組裝并進(jìn)行整個(gè)數(shù)據(jù)包檢查用以確定是否存在丟失的分段或重疊分段。

三、協(xié)議威脅

1、 ICMPv6協(xié)議

安全威脅：可通過向組播地址FF02::1發(fā)送Echo Request報(bào)文，通過接收Echo Reply報(bào)文實(shí)現(xiàn)本地鏈路掃描，或以目標(biāo)節(jié)點(diǎn)作為源地址向組播地址FF02 :: 1發(fā)送ICMPv6 EchoRequest消息實(shí)現(xiàn)Smurf攻擊?？赏ㄟ^向目標(biāo)節(jié)點(diǎn)發(fā)送ICMPv6 Packet too big報(bào)文，減小接收節(jié)點(diǎn)的MTU，降低傳輸速率?？赏ㄟ^向目標(biāo)節(jié)點(diǎn)發(fā)送過多的ICMPv6包以及發(fā)送錯(cuò)誤消息，導(dǎo)致會(huì)話被丟棄，從而破壞已建立的通信，實(shí)現(xiàn)DoS攻擊?？赏ㄟ^向主機(jī)發(fā)送格式不正確的消息刺激主機(jī)對(duì)ICMPv6的響應(yīng)，從而通發(fā)現(xiàn)潛在的攻擊目標(biāo)。

應(yīng)對(duì)方式：可在交換機(jī)的每個(gè)物理端口設(shè)置流量限制，將超出流量限制的數(shù)據(jù)包丟棄?；蛟诜阑饓蜻吔缏酚善魃蠁?dòng)ICMPv6數(shù)據(jù)包過濾機(jī)制，也可配置路由器拒絕轉(zhuǎn)發(fā)帶有組播地址的ICMPv6 EchoRequest報(bào)文。可嘗試關(guān)閉PMTU發(fā)現(xiàn)機(jī)制，但其會(huì)影響到網(wǎng)絡(luò)數(shù)據(jù)的傳輸速率。

2、鄰居發(fā)現(xiàn)協(xié)議(NDP)

安全威脅

中間人攻擊：由于NDP協(xié)議基于可信網(wǎng)絡(luò)因此并不具備認(rèn)證功能，因此可通過偽造ICMPv6 NA/RA報(bào)文實(shí)現(xiàn)中間人攻擊。攻擊者可以偽造NA報(bào)文，將自己的鏈路層地址并啟用覆蓋標(biāo)志(O)作為鏈路上其他主機(jī)的地址進(jìn)行廣播。攻擊者可偽造RA報(bào)文發(fā)送至目標(biāo)節(jié)點(diǎn)修改其默認(rèn)網(wǎng)關(guān)。

重復(fù)地址檢測(cè)攻擊：當(dāng)目標(biāo)節(jié)點(diǎn)向FF02 :: 16所有節(jié)點(diǎn)發(fā)送NS數(shù)據(jù)包進(jìn)行重復(fù)地址檢測(cè)時(shí)，攻擊者可向該節(jié)點(diǎn)發(fā)送NA報(bào)文進(jìn)行響應(yīng)，并表明該地址已被自己使用。當(dāng)節(jié)點(diǎn)接收到該地址已被占用消息后重新生成新的IPv6地址并再一次進(jìn)行重復(fù)地址檢測(cè)時(shí)，攻擊者可繼續(xù)進(jìn)行NA響應(yīng)實(shí)現(xiàn)DoS攻擊。

泛洪攻擊：攻擊者可偽造不同網(wǎng)絡(luò)前綴RA消息對(duì)FF02 :: 1進(jìn)行進(jìn)行泛洪攻擊，接收節(jié)點(diǎn)將會(huì)根據(jù)不同的網(wǎng)絡(luò)前綴進(jìn)行更新，從而消耗大量的CPU資源。

應(yīng)對(duì)方式

安全鄰居發(fā)現(xiàn)(SEND)[7]協(xié)議是鄰居發(fā)現(xiàn)協(xié)議中的一個(gè)安全擴(kuò)展，其工作原理為使網(wǎng)絡(luò)中每個(gè)IPv6節(jié)點(diǎn)都有一對(duì)公私鑰以及多個(gè)鄰居擴(kuò)展選項(xiàng)。采用SEND協(xié)議后，各個(gè)節(jié)點(diǎn)的接口標(biāo)識(shí)符(IPv6地址低64比特)將基于當(dāng)前的IPv6網(wǎng)絡(luò)前綴與公鑰進(jìn)行計(jì)算產(chǎn)生，而不能由各個(gè)節(jié)點(diǎn)自行選擇。安全鄰居發(fā)現(xiàn)協(xié)議通過時(shí)間戳和Nonce選項(xiàng)抵御重放攻擊，并引入了CGA(密碼生成地址)與RSA簽名對(duì)數(shù)據(jù)源進(jìn)行驗(yàn)證以解決鄰居請(qǐng)求/鄰居通告欺騙的問題。SEND雖然可以解決一定的安全問題，但目前系統(tǒng)與設(shè)備對(duì)SEND的支持十分有限。

RFC7113提出了IPv6安全RA方案RA-Guard[8]，其通過阻斷非信任端口RA報(bào)文轉(zhuǎn)發(fā)來避免惡意RA可能帶來的威脅，在攻擊包實(shí)際到達(dá)目標(biāo)節(jié)點(diǎn)之前阻塞二層設(shè)備上的攻擊數(shù)據(jù)包。

使用訪問控制列表或空路由過濾對(duì)地址空間中未分配的部分的訪問，用以防止攻擊者迫使路由解析未使用的地址。

3、DHCPv6

安全威脅

地址池耗盡攻擊

攻擊者可以偽裝為大量的DHCPv6客戶端，向DHCPv6服務(wù)器請(qǐng)求大量的IPv6地址，耗光IPv6地址池。

拒絕服務(wù)攻擊

攻擊者可向DHCPv6服務(wù)器發(fā)送大量的SOLICIT消息，強(qiáng)制服務(wù)器在一定時(shí)間內(nèi)維持一個(gè)狀態(tài)，致使服務(wù)器CPU與文件系統(tǒng)產(chǎn)生巨大負(fù)擔(dān)，直至無法正常工作。

偽造DHCPv6服務(wù)器

攻擊者可偽造成DHCPv6服務(wù)器向目標(biāo)客戶端發(fā)送偽造的ADVERTISE與REPLY報(bào)文，在偽造報(bào)文中攜帶虛假的默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等信息，以此實(shí)現(xiàn)重定向攻擊。

應(yīng)對(duì)方式

對(duì)客戶端所有發(fā)送到FF02::1:2(所有DHCPv6中繼代理與服務(wù)器)和FF05::1:3(所有DHCPv6服務(wù)器)的消息數(shù)量進(jìn)行速率限制。

DHCPv6中內(nèi)置了認(rèn)證機(jī)制，認(rèn)證機(jī)制中的RKAP協(xié)議[9]可以對(duì)偽造DHCPv6服務(wù)器的攻擊行為提供防范。

四、IPv6 對(duì)安全硬件的影響

1、 防火墻

IPv6報(bào)頭的影響

針對(duì)IPv6報(bào)文，防火墻必須對(duì)IPv6基本報(bào)頭與所有的擴(kuò)展首部進(jìn)行解析，才能獲取傳輸層與應(yīng)用層的信息，從而確定當(dāng)前數(shù)據(jù)報(bào)是否應(yīng)該被允許通過或是被丟棄。由于過濾策略相比IPv4更加復(fù)雜，在一定程度上將加劇防火墻的負(fù)擔(dān)，影響防火墻的性能。

IPSec的影響

如若在IPv6數(shù)據(jù)包中啟用加密選項(xiàng)，負(fù)載數(shù)據(jù)將進(jìn)行加密處理，由于包過濾型防火墻無法對(duì)負(fù)載數(shù)據(jù)進(jìn)行解密，無法獲取TCP與UDP端口號(hào)，因此包過濾型防火墻無法判斷是否可以將當(dāng)前數(shù)據(jù)包放行。

由于地址轉(zhuǎn)換技術(shù)（NAT）和IPSec在功能上不匹配，因此很難穿越地址轉(zhuǎn)換型防火墻利用IPSec進(jìn)行通信。

2、IDS&IPS

面對(duì)IPv6數(shù)據(jù)包，倘若啟用了加密選項(xiàng)，IDS與IPS則無法對(duì)加密數(shù)據(jù)進(jìn)行提取與分析，無法通過報(bào)文分析獲取TCP、UDP信息，進(jìn)而無法對(duì)網(wǎng)絡(luò)層進(jìn)行全面的安全防護(hù)。即便只允許流量啟用AH認(rèn)證報(bào)頭，但認(rèn)證報(bào)頭內(nèi)部具有可變長(zhǎng)度字段ICV，因此檢測(cè)引擎并不能準(zhǔn)確地定位開始內(nèi)容檢查的位置。

五、 過渡技術(shù)的安全性

1、雙棧技術(shù)

倘若雙棧主機(jī)不具備IPv6網(wǎng)絡(luò)下的安全防護(hù)，而攻擊者與雙棧主機(jī)存在鄰接關(guān)系時(shí)，則可以通過包含IPv6前綴的路由通告應(yīng)答的方式激活雙棧主機(jī)的IPv6地址的初始化，進(jìn)而實(shí)施攻擊。

2、隧道技術(shù)

• 隧道注入：攻擊者可通過偽造外部IPv4與內(nèi)部IPv6地址偽裝成合法用戶向隧道中注入流量。
• 隧道嗅探：位于隧道IPv4路徑上的攻擊者可以嗅探IPv6隧道數(shù)據(jù)包，并讀取數(shù)據(jù)包內(nèi)容。

3、翻譯技術(shù)

利用翻譯技術(shù)實(shí)現(xiàn)IPv4-IPv6網(wǎng)絡(luò)互聯(lián)互通時(shí)，需要對(duì)報(bào)文的IP層及傳輸層的相關(guān)信息進(jìn)行改動(dòng)，因此可能會(huì)對(duì)端到端的安全產(chǎn)生影響，導(dǎo)致IPSec的三層安全隧道在翻譯設(shè)備處出現(xiàn)斷點(diǎn)。（以上研究來源于狴犴安全團(tuán)隊(duì)）

• IPv6 的影響

從地址配置角度看：

IETF 已經(jīng)意識(shí)到 IPV6地址的確存在泄露設(shè)備和用戶隱私的風(fēng)險(xiǎn)，隨后推出了一系列隱私保護(hù)方案，從技術(shù)和標(biāo)準(zhǔn)的角度規(guī)避了上述隱私泄露的風(fēng)險(xiǎn)。然而，考慮到上述隱私保護(hù)協(xié)議在 2017 年剛剛完成，不排除有些設(shè)備仍然采用了較低的配置方式，那么這種風(fēng)險(xiǎn)的確是存在的，因而在實(shí)施層面，也的確會(huì)因?yàn)殡[私保護(hù)協(xié)議的缺失帶來隱私泄漏的風(fēng)險(xiǎn)。

從應(yīng)用角度看：

IPv6 巨大的地址空間和自動(dòng)化的地址配置方式為以物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等海量設(shè)備實(shí)時(shí)在線、端到端互聯(lián)的應(yīng)用場(chǎng)景提供了良好的支撐，同時(shí)便于溯源管理。當(dāng)然，IPv6 的靈活配置和永遠(yuǎn)在線特點(diǎn)也存在應(yīng)用層面的安全風(fēng)險(xiǎn)。

從全球?qū)用婵矗?/strong>

IPv6 的部署和應(yīng)用已經(jīng)進(jìn)入加速發(fā)展的階段。目前，已有超過 100 個(gè)國(guó)家和地區(qū)部署了 IPv6 網(wǎng)絡(luò)，有 317 個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商提供基于 IPv6 的接入服務(wù)。截至 2018 年 7 月，全球 IPv6 用戶總數(shù)超過 5.59 億，顯然IPv6 已經(jīng)成為下一階段互聯(lián)網(wǎng)發(fā)展的全球共識(shí)。

從網(wǎng)絡(luò)空間格局的力量博弈看：

第一，發(fā)達(dá)國(guó)家在這一場(chǎng)新的競(jìng)賽中并未懈怠，特別是美國(guó)作為互聯(lián)網(wǎng)的起源地，仍然是 IPv6部署和應(yīng)用的領(lǐng)頭羊。

第二，發(fā)展中國(guó)家和不發(fā)達(dá)國(guó)家可以把握機(jī)遇，提升本國(guó)的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)。特別是對(duì)那些尚未獲得 IPv4 地址資源的發(fā)展中國(guó)家和不發(fā)達(dá)國(guó)家而言，更充足的地址資源可以為提高互聯(lián)網(wǎng)接入和普及率，發(fā)展互聯(lián)網(wǎng)產(chǎn)業(yè)及推動(dòng)數(shù)字經(jīng)濟(jì)的可持續(xù)發(fā)展提供必要的保障。

第三，主要大國(guó)在 IPv6 相關(guān)領(lǐng)域和全球市場(chǎng)的競(jìng)爭(zhēng)博弈將更趨激烈。

• 專家解讀

對(duì)于《IPv6網(wǎng)絡(luò)安全白皮書》，中國(guó)信通院副院長(zhǎng)王志勤從深化IPv6安全風(fēng)險(xiǎn)認(rèn)識(shí)、梳理IPv6安全工作現(xiàn)狀、分析IPv6安全客觀挑戰(zhàn)、提出IPv6安全發(fā)展建議等方面對(duì)白皮書的四大亮點(diǎn)進(jìn)行了分析解讀。

1、隨著我國(guó)下一代互聯(lián)網(wǎng)建設(shè)的穩(wěn)步推進(jìn)，IPv6網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境逐步成熟，針對(duì)IPv6網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的攻擊，以及攻擊源為IPv6地址的網(wǎng)絡(luò)攻擊等相關(guān)攻擊事件逐漸出現(xiàn)，IPv6網(wǎng)絡(luò)安全漏洞也開始浮出水面。IPv6安全風(fēng)險(xiǎn)開始顯現(xiàn)，對(duì)下一代互聯(lián)網(wǎng)演進(jìn)提出同步安全保障要求。

2、目前我國(guó)下一代互聯(lián)網(wǎng)建設(shè)安全保障協(xié)同工作局面已經(jīng)打開。一是政府部門貫徹落實(shí)國(guó)家戰(zhàn)略計(jì)劃，加強(qiáng)IPv6安全工作部署；二是產(chǎn)、學(xué)、研、用高度協(xié)作，加快IPv6安全科研布局，強(qiáng)化IPv6安全技術(shù)儲(chǔ)備；三是推動(dòng)IPv6安全實(shí)踐，深化IPv6安全技術(shù)指導(dǎo)創(chuàng)新。

3、在我國(guó)下一代互聯(lián)網(wǎng)建設(shè)進(jìn)程中，安全客觀挑戰(zhàn)依然嚴(yán)峻。一是IPv4/IPv6長(zhǎng)期并存，過渡機(jī)制持續(xù)疊加安全風(fēng)險(xiǎn)；二是IPv6協(xié)議新特性挑戰(zhàn)既有安全手段，融合場(chǎng)景安全風(fēng)險(xiǎn)持續(xù)放大；三是IPv6網(wǎng)絡(luò)安全保障能力和需求存在差距，供求“剪刀差”亟需彌合。

4、IPv6安全挑戰(zhàn)和機(jī)遇并存的局面已經(jīng)形成，應(yīng)高度重視下一代互聯(lián)網(wǎng)演進(jìn)升級(jí)中面臨的安全挑戰(zhàn)，協(xié)同推進(jìn)IPv6安全產(chǎn)品和服務(wù)的研發(fā)應(yīng)用，為筑牢下一代互聯(lián)網(wǎng)安全防線提供能力保障，加快夯實(shí)下一代互聯(lián)網(wǎng)安全防御基礎(chǔ)，切實(shí)保障下一代互聯(lián)網(wǎng)安全、有序發(fā)展。

專家觀點(diǎn)

一、IPv6是海量地址提供溯源手段

北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心主任田麗：

網(wǎng)絡(luò)安全和信息安全問題在互聯(lián)網(wǎng)時(shí)代更加凸顯，大數(shù)據(jù)收集和人工智能分析的泛濫，給個(gè)人信息保護(hù)帶來不小的挑戰(zhàn)。特別是在“IPv4網(wǎng) ”上，現(xiàn)有技術(shù)無法檢查傳輸中的任何一個(gè)數(shù)據(jù)的源地址，很多網(wǎng)絡(luò)安全隱患由此產(chǎn)生。

中國(guó)工程院院士鄔賀銓：

由于IPv4地址的不足，導(dǎo)致私有地址大量使用，NAT（地址翻譯）破壞了端對(duì)端的透明性，給網(wǎng)絡(luò)安全事件溯源帶來了困難，假冒地址橫行，網(wǎng)絡(luò)攻擊等安全事件泛濫。

IPv6海量的地址為固定分配地址和建立上網(wǎng)實(shí)名制奠定了基礎(chǔ)，在IPv6地址中通過算法嵌入可擴(kuò)展的用戶網(wǎng)絡(luò)身份標(biāo)識(shí)信息，與真實(shí)用戶的身份關(guān)聯(lián)，可構(gòu)建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng)，實(shí)現(xiàn)了與自治域相關(guān)聯(lián)的IP地址前綴級(jí)粒度的真實(shí)源地址驗(yàn)證。

IPv6充足的地址空間可嚴(yán)格按照區(qū)域和業(yè)務(wù)類型甚至用戶類型進(jìn)行地址分配，可以實(shí)現(xiàn)對(duì)特定IP地址溯源、按業(yè)務(wù)類型精細(xì)服務(wù)，或?qū)μ囟ǚ?wù)類型進(jìn)行區(qū)域管理、精細(xì)化監(jiān)控與安全偵測(cè)及防護(hù)等，這種基于IP地址對(duì)網(wǎng)絡(luò)流量的控制與安全管理效率高、成本低。

二、升級(jí)仍面臨安全挑戰(zhàn)

中國(guó)大數(shù)據(jù)技術(shù)與應(yīng)用聯(lián)盟副理事長(zhǎng)王安平：

互聯(lián)網(wǎng)升級(jí)IPv6是一項(xiàng)專業(yè)性強(qiáng)、涉及面廣、情況復(fù)雜的系統(tǒng)工程，國(guó)家有關(guān)部門強(qiáng)力推進(jìn)，但由于目前市場(chǎng)上各企業(yè)技術(shù)實(shí)力參差不齊，導(dǎo)致一些國(guó)家部委機(jī)關(guān)、央企、省級(jí)政府、媒體以及互聯(lián)網(wǎng)企業(yè)在網(wǎng)站、云服務(wù)平臺(tái)、數(shù)據(jù)中心升級(jí)IPv6過程中，網(wǎng)站、云服務(wù)平臺(tái)、數(shù)據(jù)中心出現(xiàn)天窗、亂碼、宕機(jī)、癱瘓和停服等現(xiàn)象。

工業(yè)和信息化部黨組成員、總工程師張峰：

未來還需要著力突破網(wǎng)絡(luò)端到端貫通、網(wǎng)絡(luò)與應(yīng)用協(xié)同推進(jìn)等關(guān)鍵環(huán)節(jié)。要強(qiáng)化安全保障，實(shí)施IPv6網(wǎng)絡(luò)安全提升計(jì)劃，加強(qiáng)IPv6網(wǎng)絡(luò)安全能力建設(shè)，嚴(yán)格落實(shí)IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案。

另外還要完善監(jiān)測(cè)體系，組織建設(shè)IPv6發(fā)展監(jiān)測(cè)平臺(tái)，加強(qiáng)對(duì)網(wǎng)絡(luò)、應(yīng)用、終端、用戶、流量等關(guān)鍵發(fā)展指標(biāo)的實(shí)時(shí)監(jiān)測(cè)與分析。

中國(guó)工程院院士鄔賀銓：

IPv4 over IPv6或IPv6 over IPv4的隧道機(jī)制對(duì)任何來源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封，沒有內(nèi)置認(rèn)證、完整性和加密等安全功能，并不對(duì)IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查，攻擊者可以隨意截取隧道報(bào)文，通過偽造外層和內(nèi)層地址偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設(shè)

• 現(xiàn)狀及前景

全球IPv6地址規(guī)模情況

2019上半年全球IPv6地址分配數(shù)量為17865*/32，2019上半年獲得IPv6地址分配數(shù)量列前三位的國(guó)家/地區(qū)，分別為中國(guó)6217*/32，俄羅斯1271*/32，德國(guó)1192*/32。

截至2019年6月底，全球IPv6地址申請(qǐng)(/32以上)總計(jì)35168個(gè)，分配地址總數(shù)為282222*/32，地址數(shù)總計(jì)獲得4096*/32(即/20)以上的國(guó)家/地區(qū)。

• 中國(guó)IPv6地址規(guī)模情況

當(dāng)前我國(guó)IPv6地址申請(qǐng)量保持較快增長(zhǎng)，截至2019年5月，我國(guó)IPv6地址資源總量達(dá)到47282塊(/32)，居全球第一位。IPv6地址數(shù)量能夠滿足當(dāng)前IPv6規(guī)模部署的要求，但是隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)快速發(fā)展，我國(guó)未來對(duì)于IPv6地址的需求量依然較大。

隨著5G產(chǎn)業(yè)化進(jìn)程的加快，工業(yè)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，垂直行業(yè)和基礎(chǔ)電信企業(yè)紛紛加大了地址儲(chǔ)備。

• 2018年8月，中國(guó)石油為推動(dòng)企業(yè)工業(yè)互聯(lián)網(wǎng)發(fā)展，申請(qǐng)/20的IPv6地址；
• 2018年12月，中國(guó)電信分別申請(qǐng)了/19、/20兩段IPv6地址，為5G商用化儲(chǔ)備地址；
• 2019年1月和2月，教育網(wǎng)分別申請(qǐng)了/20和/21兩段IPv6地址，以滿足日益增長(zhǎng)的地址需求。

我國(guó)IPv6規(guī)模部署推進(jìn)工作成效初顯，IPv6活躍用戶數(shù)實(shí)現(xiàn)快速增長(zhǎng)。截至2019年5月底，我國(guó)已分配IPv6地址用戶數(shù)達(dá)12.07億，其中LTE網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)為10.45億，固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址的用戶數(shù)為1.62億。

“隨著LTE網(wǎng)絡(luò)端到端改造進(jìn)程的加速，呈現(xiàn)出移動(dòng)網(wǎng)絡(luò)IPv6用戶數(shù)發(fā)展速度大幅領(lǐng)先固定網(wǎng)絡(luò)的趨勢(shì)”。

截至2019年5月，三大基礎(chǔ)電信企業(yè)固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)達(dá)1.62億。

2018-2019年5月固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)

資料來源：中國(guó)IPv6發(fā)展?fàn)顩r白皮書、智研咨詢整理

截至2019年5月，LTE核心網(wǎng)總流量達(dá)508.87Gbps，骨干直聯(lián)點(diǎn)總流量達(dá)75.74Gbps，國(guó)際出入口流入總流量達(dá)65.30Gbps，流出總流量達(dá)15.15Gbps。

截至2019年6月，國(guó)內(nèi)用戶量排名前50的商業(yè)網(wǎng)站及移動(dòng)應(yīng)用可通過IPv6訪問的已達(dá)40家，占比為80%。由于改造周期較長(zhǎng)、牽涉環(huán)節(jié)較多，網(wǎng)絡(luò)、應(yīng)用、終端的協(xié)同發(fā)展機(jī)制有待進(jìn)一步優(yōu)化，網(wǎng)站及應(yīng)用改造的廣度和深度有待提升。

未來我國(guó)IPv6地址將往以下幾個(gè)方向發(fā)展：

• 一是突破關(guān)鍵核心技術(shù)。持續(xù)開展支持IPv6的芯片、操作系統(tǒng)、終端及網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)的技術(shù)攻關(guān)和產(chǎn)業(yè)化，加快前沿基礎(chǔ)技術(shù)創(chuàng)新，進(jìn)一步增強(qiáng)自主創(chuàng)新能力。
• 二是提升網(wǎng)絡(luò)服務(wù)能力。支持基礎(chǔ)電信企業(yè)持續(xù)優(yōu)化提升IPv6網(wǎng)絡(luò)質(zhì)量和服務(wù)能力，推動(dòng)數(shù)據(jù)中心、內(nèi)容分發(fā)網(wǎng)絡(luò)、云服務(wù)平臺(tái)加快IPv6改造升級(jí)，完善專線產(chǎn)品開通流程。
• 三是促進(jìn)應(yīng)用改造升級(jí)。督促基礎(chǔ)電信企業(yè)做好門戶網(wǎng)站、自營(yíng)App深度改造，推動(dòng)各主要應(yīng)用商店開展IPv6支持度檢測(cè)與標(biāo)識(shí)工作，積極開展基于IPv6的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)和應(yīng)用改造試點(diǎn)示范等。
• 四是強(qiáng)化網(wǎng)絡(luò)應(yīng)用協(xié)同。推動(dòng)基礎(chǔ)電信企業(yè)盡快建立完善IPv6業(yè)務(wù)受理、開通和管理流程，通過建立問題清單、任務(wù)臺(tái)賬等方式加強(qiáng)網(wǎng)絡(luò)與應(yīng)用改造協(xié)同對(duì)接。
• 五是加強(qiáng)網(wǎng)絡(luò)安全保障。督促企業(yè)完善網(wǎng)絡(luò)安全管理制度體系，支持相關(guān)企業(yè)和機(jī)構(gòu)開展工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等領(lǐng)域IPv6網(wǎng)絡(luò)安全威脅防范和應(yīng)對(duì)研究。
• 六是營(yíng)造良好發(fā)展環(huán)境。強(qiáng)化IPv6地址備案系統(tǒng)的建設(shè)和備案核查、管理，支持IPv6在5G、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等領(lǐng)域融合應(yīng)用，加快建設(shè)IPv6監(jiān)測(cè)平臺(tái)，努力為IPv6建設(shè)和應(yīng)用創(chuàng)造良好的環(huán)境。

• 我國(guó)行動(dòng)計(jì)劃

2017年11月26日，中辦、國(guó)辦印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，提出國(guó)內(nèi)要在 5~10 年的時(shí)間形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的 IPv6 商業(yè)應(yīng)用網(wǎng)絡(luò)；

到 2025 年末，我國(guó) IPv6 網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位，網(wǎng)絡(luò)、應(yīng)用、終端全面支持 IPv6，全面完成向下一代互聯(lián)網(wǎng)的平滑演進(jìn)升級(jí)，形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。

• 全球發(fā)展趨勢(shì)

國(guó)外權(quán)威機(jī)構(gòu)統(tǒng)計(jì)數(shù)據(jù)顯示，近年來IPv6 部署在全球推進(jìn)迅速，主要發(fā)達(dá)國(guó)家IPv6部署率持續(xù)穩(wěn)步提升，部分發(fā)展中國(guó)家推進(jìn)迅速，比利時(shí)、美國(guó)等國(guó)家IPv6部署率已超過50%， Google全球IPv6用戶訪問占比已達(dá)25%，Google、Facebook等全球排名靠前的網(wǎng)站已經(jīng)全面支持IPv6。

一、IPv6建設(shè)進(jìn)程加速

1. IPv6用戶數(shù)規(guī)模龐大，活躍用戶數(shù)顯著增加

2019年4月30日APNIC統(tǒng)計(jì)數(shù)據(jù)顯示，全球3483790681(34.8億)互聯(lián)網(wǎng)用戶中IPv6用戶占比為15.97%，迄今全球IPv6用戶數(shù)量約為556207093(5.56億)。截至2019年4月，通過IPv6訪問Google網(wǎng)站的用戶比例已上升至25%左右，相較于2018年初的20%，提高了5個(gè)百分點(diǎn)。

2. IPv6網(wǎng)絡(luò)流量經(jīng)歷快速增長(zhǎng)，近期流量平穩(wěn)

基于荷蘭阿姆斯特丹AMS-IX的數(shù)據(jù)顯示，自2018年7月以來， IPv6網(wǎng)絡(luò)流量增長(zhǎng)迅速，平均流量從2018年7月的大約70Gbps增長(zhǎng)到2019年4月的138Gbps。

3. IPv6地址申請(qǐng)量逐年攀升，各國(guó)對(duì)IPv6的關(guān)注度逐漸加強(qiáng)

據(jù)APNIC數(shù)據(jù)顯示，截至2019年5月1日，全球IPv6地址申請(qǐng)總量已達(dá)557268塊(/32)，去年同期全球IPv6地址申請(qǐng)總量為464525塊(/32)，增長(zhǎng)了約20個(gè)百分點(diǎn)。目前我國(guó)IPv6地址申請(qǐng)量保持較快增長(zhǎng)，IPv6地址資源總量達(dá)到47263塊(/32)，位列全球第一。

4. 運(yùn)營(yíng)商積極推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施IPv6改造，移動(dòng)網(wǎng)絡(luò)IPv6部署遙遙領(lǐng)先

從整體來看，IPv6的部署率呈不斷上升態(tài)勢(shì)，移動(dòng)運(yùn)營(yíng)商在VoLTE部署時(shí)均設(shè)置了IPv6優(yōu)先，不僅使網(wǎng)絡(luò)IPv6的部署率大大提升，由此帶來的龐大的IPv6用戶規(guī)模和完善的IPv6網(wǎng)絡(luò)，亦為IPv6流量快速上升奠定了堅(jiān)實(shí)的基礎(chǔ)。

5. 網(wǎng)站應(yīng)用支持率趨于平穩(wěn)，IPv6內(nèi)容建設(shè)逐漸成為推進(jìn)焦點(diǎn)

截至2019年4月，據(jù)World IPv6 Launch提供的數(shù)據(jù)顯示，年內(nèi)Alexa排名Top1000的網(wǎng)站中IPv6的支持率已穩(wěn)定在25 %左右。Google、YouTube、Facebook全球排名前三甲的網(wǎng)站已全面支持IPv6。部署率排名靠前的日本，Alexa排名日本國(guó)內(nèi)Top50的網(wǎng)站中也僅有5個(gè)支持IPv6，IPv6內(nèi)容建設(shè)逐漸成為IPv6規(guī)模部署持續(xù)推進(jìn)的重點(diǎn)工作。

二、各國(guó)推進(jìn)部署IPv6的先進(jìn)經(jīng)驗(yàn)

1. 主要發(fā)達(dá)國(guó)家IPv6部署依然高位平穩(wěn)推進(jìn)，部分發(fā)展中國(guó)家發(fā)展勢(shì)頭迅猛，推進(jìn)模式各有千秋。

2. 由目前IPv6部署率排名靠前的國(guó)家經(jīng)驗(yàn)來看，政府積極倡導(dǎo)、專家工作組有力支撐和運(yùn)營(yíng)商大力推進(jìn)是IPv6得以快速部署的前提條件。

3. IPv6部署率經(jīng)過快速提升后，IPv6內(nèi)容應(yīng)用改造成為各國(guó)IPv6推進(jìn)焦點(diǎn)。