IPv6网络安全白皮书.pdf

筑牢 下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 2019年 9月 版权声明 本白皮书 版权属于 中国信息通信研究院 ，并受法律保护 。 转载、摘编或利用其它方式使用 本白皮书文字或者观点的，应 注明 “ 来源： 中国信息通信研究院” 。违反上述声明者，本 院 将追究其相关法律责任。 前 言 当前，网络信息技术 加速 引领新一轮科技革命，以前所未有的广度和深度引发经济社会多方位、全领域、深层次的技术 创新和 产业 变革。 在 5G、物联网、工业互联网等新兴领域蓬勃发展，人人互联加速向万物互联迈进 的时代趋势下 ，网络空间传统 IPv4 地址资源紧缺等问题日益凸显 ，以 IPv6为 代表的下一代互联网技术应运而生 。 IPv6 凭借其海量地址空间、内嵌安全能力等技术优势，为 泛在融合、大连接的新形势下 网络信息技术 的 创新发展提供 基础网络资源 支撑，已成为促进生产生活数字化、网络化、智能化发展的核心要素，吸引世界发达国家的广泛关注和 大力投入 。 近年来，我国紧抓 全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，全力推进 下一代 互联网 部署应用 ，为经济社会发展和网络强国建设提供有力支撑。然而， IPv4 向 IPv6 网络 的 升级演进是一个长期、持续的过程， 现阶段 已部署上线的 IPv6 业务 仍 相对有限， IPv6 部署应用过程中的 网络安全风险 尚未完全 显现 。此种客观情况对IPv6 新环境下 的 网络安全 防御工作而言是挑战也是机遇，与传统网络安全防御攻击方更为被动的形势相比，在 IPv6 环境中， 攻防 双方 正处于同一起跑线 上。我们更应高度 重视下一代互联网演进升级中存在的安全风险 ，加快 提升 IPv6 网络安全防护能力 ， 构建 形成 IPv6 网络安全防护 主 动局面。 我院联合安天科技股份有限公司、北京蓝汛通信技术有限责任公司、 北京天融信网络安全技术有限公司、 北京知道创宇信息技术 股份 有限公司、北京神州绿盟信息安全科技股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、网宿科技股份有限公司、亚信科技（成都）有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司、中国移动通信集团有限公司 1共同推出 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 。本白皮书从网络安全视角，客观审视 IPv6 发展和网络 安全工作现状，分析探讨下一代互联网升级演进过程中 的 安全风险和应对举 措，梳理现有网络安全工作急需， 挖掘 IPv6 安全产品和服务重点发展方向，希望与业界分享，共同推动 保障 下一代互联网 安全 、有序发展。1 注：按首字母排序，排名不分先后 目 录 一、相关背景 . 1 （一） IPv6 改造稳步推进，基本形成市场驱动良性环境 . 1 1、网络基础设施 IPv6 升级改造基本完成 . 1 2、应用基础设施已具备 IPv6 服务能力 . 3 3、互联网应用 IPv6 活跃用户数稳步提升 . 4 （二） IPv6 安全风险开始显现，挑战下一代互联网安全保障能力 . 5 1、 IPv6 网络攻击数量剧增，攻击范围逐渐扩大 . 6 2、 IPv6 安全漏洞客观存在，影响覆盖系统、应用等各相关层面 . 7 二、我国下一代互联网建设安全工作现状 . 8 （一）贯彻落实国家战略，加强 IPv6 安全工作部署 . 8 1、工信部：明确 IPv6 安全工作阶段性目标 . 9 2、广电总局：细化 IPv6 安全指导和安全测试验证要求 . 9 3、教育部：强调 IPv6 安全保障体系总体目标 . 10 4、央行：同步落实 IPv6 发展和安全工作 . 11 （二）加快 IPv6 安全科研布局，强化 IPv6 安全技术储备 . 11 1、强化 IPv6 安全核心要素和基础资源安全管理创新 . 12 2、开展 IPv6 安全风险研究，构建 IPv6 安全应对体系 . 13 3、推动 IPv6 源地址认证和网络攻击追踪溯源研究 . 14 （三）推动 IPv6 安全实践，强化 IPv6 安全创新 . 16 1、加快 IPv6 安全标准制修订，强化 IPv6 安全指导 . 16 2、加强 IPv6 安全产品和服务探索，助力安全能力提升 . 17 3、探索 IPv6 安全解决方案，强化 IPv6 安全风险应对 . 18 三、我国下一代互联网建设仍面临的安全挑战 . 20 （一） IPv4/IPv6 长期并存，过渡机制持续叠加安全风险 . 20 1、双栈机制： IPv4/IPv6 网络安全暴露面倍增 . 21 2、隧道机制：内置安全功能缺失，安全影响范围扩大 . 22 3、翻译机制：机制内在特性仍面临传统网络攻击威胁 . 23 （二）协议新特性挑战现有安全手段，融合场景风险持续扩大 . 25 1、 IPv6 地址标识复杂性骤增，挑战基于地址资源安全防护手段 . 25 2、 IPv6 协议新特性引入新安全问题，网络安全风险此消彼长 . 27 3、 IPv6 融合场景放大新技术安全隐患，加剧安全防御被动局面 . 30 （三） IPv6 网络安全需求能力“剪刀差”亟需弥合 . 31 1、 IPv6 安全产品发展尚在起步，远滞后安全能力需求 . 31 2、 IPv6 安全问题未充分暴露，制约安全服务发展步伐 . 33 3、“ IPv6+网络安全”复合型专业技术人才缺失 . 34 四、保障下一代互联网安全有序发展的建议 . 34 （一）主动布局 IPv6 安全产品服务和安全实践推广 . 35 （二）按需求、分场景落实 IPv6 安全产品服务部署 . 39 （三）构建 IPv6 安全创新机制，强化 IPv6 风险防范能力建设 . 43 （四）强化 IPv6 安全知识技能培训，弥合 IPv6 安全人才差距 . 44 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 1 一、相关背景 近年来，我国紧抓全球信息 通信 技术加速创新变革、信息基础设施快速演进升级的历史机遇，在国家层面出台推进互联网协议第六版（ IPv6）规模部署行动计划（以下简称行动计划），提出 “一条主线、三个阶段、五项任务”总体目标， 全力推进互联网演进升级和健康创新发展，如图 1.1 所示。 图 1.1 我国 下一代互联网建设总体目标 目前，我国下一代互联网建设第一阶段目标任务全面完成，网络设施 全面就绪、应用改造逐步推进、 活跃用户 稳步提升的局面已 经 形成。 但 随着下一代互联网网络和业务环境逐步成熟， IPv6 网络 安全风险开始 逐渐浮出水面 ， IPv6 网络安全事件时有发生 。 （一） IPv6改造稳步推进， 基本形成 市场驱动良性环境 1、网络基础设施 IPv6 升级改造基本完成 目前，我国固 网 、 LTE 网络已 大规模分配 IPv6 地址 ， 基本 具备IPv6 业务承载能力 2。截止 2019 年 7 月， LTE网络方面， 全国 30 省 32 数据来源：本节数据如无特别说明，均 统计 自 推进 IPv6 规模部署专家委员会 。 3 数据统计范围不包括香港、澳门、台湾、新疆。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 2 的 LTE 网络已完成 IPv6 升级改造； 固定网络方面， 基础电信企业骨干网设备已全部支持 IPv6， 13 个骨干网直联点已全部实现 IPv6 互联互通，全国 30个省城域网 IPv6改造已经全面完成； 国际出入口方面，基础电信企业已开通 IPv6 国际出入口带宽 100Gbps， 扩建工作不断加快。 IPv6 网络 流量 现状 如图 1.2 所示。 图 1.2 IPv6 流量现状 随着网络基础设施 IPv6 升级改造工作的持续推进， IPv6 网络 相关用户数稳步增长。截止 2019 年 7 月，全国已有 12.78 亿用户获得IPv6 地址，其中， LTE 网络用户共 11.29 亿，固定网络用户 1.49 亿，相比 2018 年初增长超过 10 倍，如图 1.3 所示。 图 1.3 IPv6 用户数现状 中国信息通信研究院 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 3 2、应用基础设施 已具备 IPv6 服务能力 我国应用基础设施改造速度不断加快，已具备全国范围内对外提供服务的能力。 DNS方面， 我国 国家顶级域名服务系统早在 2012 年的 CNGI4二期工程中 已 完成 IPv6 升级改造 。 截止 2019 年 7 月，基础电信企业递归域名服务器已全部完成 IPv6 升级改造，全面支持 IPv6地址解析 。 IDC方面， 基础电信企业超大型 /大型 /中小型 IDC5升级改造全面完成， 世纪互联等企业 已完成 大型 IDC 升级 改造，正加快 推动中小型 IDC 升级改造进度，如图 1.4 所示。 图 1.4 IDC 升级改造现状 CDN方面， 我国 CDN企业全部机房 IPv6覆盖能力已达 100%，已具备面向全国提供 IPv6 相关业务加速能力，省级 CDN 节点本地部署 已超过 60%，如图 1.5 所示。 4 CNGI： Chinas Next Generation Internet，中国下一代互联网。 5 以功率为 2.5 千瓦的标准机架为换算单位，超大型数据中心是指规模大于等于 10000 个标准机架的数据中心；大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心；中小型数据中心是指规模小于 3000 个标准机架的数据中心。 筑牢下一代互联网安全防线 IPv6 网络安全白皮书 中国信息通信研究院 4 图 1.5 CDN 升级改造现状 云平台方面， 阿里云、百度云、腾讯云等知名云服务平台持续推进云服务产品 IPv6 升级改造。目前，负载均衡、对象存储、域名解析等不同种类云服务产品已完成 IPv6 升级改造， 平均改造率已超过60%， 如图 1.6 所示。 图 1.6 云平台升级改造现状 3、 互联网 应用 IPv6 活跃用户数 稳步提升 随着网络 及 应用基础设施 IPv6 升级改造的持续推进， IPv6 网络和应用能力稳步提升， IPv6 相关业务开始逐步上线， 购物、视频、新