中国信通院发布《IPv6 网络安全白皮书》（附下载）

9 月 18 日，中国信息通信研究院（简称“中国信通院”）在第六届国家网络安全宣传周电信日主题论坛上发布《筑牢下一代互联网安全防线——IPv6 网络安全白皮书》。

白皮书指出，在 5G、物联网、工业互联网等新兴领域蓬勃发展，人人互联加速向万物互联迈进的时代趋势下，网络空间传统 IPv4 地址资源紧缺等问题日益凸显，以 IPv6 为代表的下一代互联网技术应运而生。

IPv6 凭借其海量地址空间、内嵌安全能力等技术优势，为泛在融合、大连接的新形势下网络信息技术的创新发展提供基础网络资源支撑，已成为促进生产生活数字化、网络化、智能化发展的核心要素，吸引世界发达国家的广泛关注和大力投入。

截至 2019 年 7 月，全国已有 12.78 亿用户获得 IPv6 地址，其中，LTE 网络用户共 11.29 亿，固定网络用户 1.49 亿，相比 2018 年初增长超过 10 倍。

随着我国 IPv6 网络和业务开始上线，IPv6 网络攻击事件也开始出现。

1.IPv6 网络攻击数量剧增，攻击范围逐渐扩大

据国内安全厂商统计，2019 年上半年共监测发现超过 9 万起 IPv6 网络攻击，其中，攻击对象覆盖政府部门、事业单位、教育机构等单位。

2.IPv6 安全漏洞客观存在，影响覆盖系统、应用等各相关层面

鉴于相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段，尚不具备较为完善的安全机制，IPv6 安全漏洞客观存在。。截止 2019 年 7 月，CVE 漏洞库中已收录 IPv6 相关漏洞 381 条，覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同层面。

白皮书深刻指出，IPv4 向 IPv6 网络升级演进是一个长期、持续的过程，IPv4/IPv6 过渡机制以及 IPv6 协议新特性带来的客观安全问题不容忽视。此外，目前已部署上线的 IPv6 业务相对有限，IPv6 安全产品和服务发展、IPv6 安全保障能力的建设也相对滞后，我国下一代互联网建设仍面临现实安全挑战。

（一）IPv4/IPv6 长期并存，过渡机制持续叠加安全风险

1.双栈机制：IPv4/IPv6 网络安全暴露面倍增

双栈机制是指网络节点同时具备 IPv4 和 IPv6 两种协议栈，具备两种协议的支持能力。

在双栈环境下，采取 IPv4 和 IPv6 并存的通信模式，因 IPv4、IPv6 中任何一种协议安全漏洞等问题引发的不良影响将会以网络设备等为据点，在 IPv4 和 IPv6 网络中双向渗透传播，无形中增加网络节点的安全暴露面。

2.隧道机制：内置安全功能缺失，安全影响范围扩大

隧道机制可实现 IPv6 数据包在 IPv4 网络中传输，其核心在于将 IPv6 数据包封装在 IPv4 数据包中，以自动、手动等多种隧道配置方式，保障被 IPv4 网络隔离开的局部 IPv6 网络间相互通信。

在隧道环境下，部分隧道机制仅要求隧道出入口节点对报文进行简单的封装和解封，缺乏内置认证、加密等安全功能，导致攻击者可能截取隧道报文，伪造用户地址并伪装成合法用户发起攻击。

3.翻译机制：机制内在特性仍面临传统网络攻击威胁

尽管翻译机制在 IPv4/IPv6 过渡期与在 IPv4 环境中作用不同，但机制特性仍未发生改变，同样面临地址池耗尽等常见 DDoS 攻击威胁，攻击者可通过伪造大量 IPv6 地址向翻译节点发起地址转换请求，消耗地址池 IPv4 资源，同时导致合法用户无法获取 IPv4 地址，进而引发 IPv4 网络无法正常访问。

白皮书认为，“相对坚实的安全保障基础使得翻译机制或将成为 IPv4/IPv6 过渡机制的首选。 ”

（二）协议新特性挑战现有安全手段，融合场景风险持续扩大

1、IPv6 地址标识复杂性骤增，挑战基于地址资源安全防护手段

尽管 IPv6 能够有效解决全球互联网地址紧缺问题，但协议类型、地址空间、地址格式、掩码格式等网络地址标识的变化，也导致 IPv6 网络中网络地址标识相对于 IPv4 网络地址标识而言，复杂性急剧增加。

在 IPv6 网络地址标识复杂性持续叠加的情况下，流量清洗、数据包过滤、入侵检测等以各类网络地址标识解析为核心的传统安全防护手段将面临严峻安全挑战。

2、IPv6 协议新特性引入新安全问题，网络安全风险此消彼长

IPv6 协议引入报文扩展头、地址自动配置等新特性，在提高网络服务质量的同时，也引入组播通信、MTU27 路径发现等新特性，可有效应对广播风暴、分片攻击等部分网络安全风险。

具体包括：

扩展头攻击

NDP 攻击

DAD 攻击

前缀欺骗攻击

MLD 攻击

3、IPv6 融合场景放大新技术安全隐患，加剧安全防御被动局面

当前，5G、物联网、工业互联网等新一代信息通信技术和新业态的快速发展应用，在未来构建物物互联的泛在连接场景中，将与 IPv6 地址紧密绑定、与 IPv6 技术深度融合，可能放大新技术新业态本身及应用过程中存在的安全隐患，加大网络安全管理难度。

（三）IPv6 网络安全需求能力“剪刀差”亟需弥合

1、IPv6 安全产品发展尚在起步，远滞后安全能力需求

就现阶段 IPv6 相关安全产品的研发应用情况来看，目前市场对 IPv6 安全产品发展的驱动效应尚未全面显现，我国 IPv6 安全产品仍处于起步发展阶段。

2、IPv6 安全问题未充分暴露，制约安全服务发展步伐

目前，我国基础网络、政企和商业网站等已具备各项 IPv6 业务支持能力，但 IPv6 网络和应用仍未大规模投入使用，导致 IPv6 安全问题未充分暴露，现有网络安全服务 IPv6 验证环境的缺失也将导致 IPv6 应用代码缺陷、安全漏洞等安全问题不能得到全面和深入的验证。

3、“IPv6+网络安全”复合型专业技术人才缺失

白皮书指出，当前，我国网络安全学科教育年度培养规模约 1 万人左右，且普遍存在从业人员知识储备、技能等方面短板，重要行业和领域网络安全运维保障、监管执法等人才短缺等现实问题。

这样的大背景下，一方面，，IPv6 新环境下网络安全专业人员正面临严峻挑战；另一方面，大量运维人员缺乏 IPv6 安全相关知识和经验。

白皮书下载地址：

《筑牢下一代互联网安全防线—IPv6网络安全白皮书》