王 帥，沈 軍，金華敏

（中國電信股份有限公司廣東研究院 廣州 510630）

1 引言

隨著網(wǎng)絡(luò)新應(yīng)用和新技術(shù)的不斷發(fā)展，IPv4地址已不能滿足網(wǎng)絡(luò)發(fā)展的需求。IPv6協(xié)議以其巨大的地址空間、內(nèi)在的安全機(jī)制等特性，成為國內(nèi)外下一代網(wǎng)絡(luò)發(fā)展的研究熱點(diǎn)。安全是保證網(wǎng)絡(luò)健康發(fā)展的重要因素，IPv6網(wǎng)絡(luò)安全保障體系的配套建設(shè)也成為IPv6網(wǎng)絡(luò)建設(shè)的重要方面，如果在IPv6網(wǎng)絡(luò)設(shè)計(jì)階段就對網(wǎng)絡(luò)安全進(jìn)行通盤考慮，能夠提升網(wǎng)絡(luò)架構(gòu)的整體安全性；同時(shí)，將網(wǎng)絡(luò)安全與網(wǎng)絡(luò)建設(shè)同步，有利于網(wǎng)絡(luò)資源的合理分配。而IPv6網(wǎng)絡(luò)從IP層協(xié)議本身進(jìn)行了安全性改善，其安全性提升也為新應(yīng)用的開展提供了便利，為端到端安全提供更靈活、方便的技術(shù)手段，能夠促進(jìn)新的安全業(yè)務(wù)和應(yīng)用的開展。但是，隨著基于IPv6的下一代網(wǎng)絡(luò)中應(yīng)用的增加、速度的加快和規(guī)模的變大，IPv6網(wǎng)絡(luò)面臨著新的安全風(fēng)險(xiǎn)，因此電信IPv6網(wǎng)絡(luò)建設(shè)中必須同步考慮網(wǎng)絡(luò)安全這一重要問題。

本文從電信運(yùn)營商的角度出發(fā)，把握IPv6網(wǎng)絡(luò)建設(shè)的脈搏，對電信IPv6網(wǎng)絡(luò)安全保障體系的架構(gòu)進(jìn)行了深入研究，給出了過渡時(shí)期電信IPv6網(wǎng)絡(luò)安全保障體系建設(shè)策略。

2 電信IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

電信IPv6網(wǎng)絡(luò)是以IPv6協(xié)議為基礎(chǔ)和標(biāo)志性技術(shù)的下一代互聯(lián)網(wǎng)。IPv6協(xié)議相對于IPv4協(xié)議在安全方面有了一定的改善，解決或緩解了IPv4環(huán)境中存在的部分安全問題，但物理層、鏈路層和應(yīng)用層等安全問題在IPv6網(wǎng)絡(luò)環(huán)境中則仍然存在。另外，IPv6協(xié)議本身將帶來一些新的安全問題，在IPv4向IPv6的過渡過程中也可能產(chǎn)生新的安全風(fēng)險(xiǎn)。

（1）IPv6 安全改進(jìn)

IPv6協(xié)議巨大的地址空間、固化的安全機(jī)制等新特性對提升網(wǎng)絡(luò)安全性有一定的作用。第一，IPv6將原先獨(dú)立于IPv4協(xié)議簇之外的報(bào)頭認(rèn)證和安全信息封裝作為擴(kuò)展頭置于IPv6基本協(xié)議之中，為IPv6網(wǎng)絡(luò)實(shí)現(xiàn)端到端安全認(rèn)證和加密封裝提供了協(xié)議上的保證，能在一定程度上提升業(yè)務(wù)和應(yīng)用的安全性；第二，IPv6協(xié)議禁止具有IPv6組播目的地址、鏈路層組播地址或鏈路層廣播地址的數(shù)據(jù)包產(chǎn)生ICMPv6消息，從而避免了廣播風(fēng)暴的產(chǎn)生；第三，IPv6協(xié)議通過在中間設(shè)備上部署禁止分片、不允許重疊的分片、丟棄少于最低MTU為1 280 byte的重組數(shù)據(jù)包等機(jī)制，有效防范了IP碎片包攻擊；第四，IPv6地址數(shù)量龐大，對IPv6網(wǎng)絡(luò)實(shí)施掃描攻擊比較困難，通過掃描獲取有效IP地址進(jìn)行傳播的蠕蟲病毒等攻擊將難以實(shí)施；第五，IPv6對地址前綴的指定及分配較規(guī)律，使得下游ISP的地址總是落在上游ISP的匯總地址空間內(nèi)，對ISP而言，易于在入口實(shí)現(xiàn)過濾機(jī)制，有效防御虛假源地址攻擊，同時(shí)基于IPv6的真實(shí)源地址技術(shù)的發(fā)展也使解決這種安全問題成為可能。

（2）IPv6網(wǎng)絡(luò)中仍存在的安全風(fēng)險(xiǎn)

IPv4網(wǎng)絡(luò)環(huán)境中大部分安全風(fēng)險(xiǎn)在IPv6網(wǎng)絡(luò)環(huán)境中仍將存在，而且某些安全風(fēng)險(xiǎn)隨著IPv6協(xié)議新特性的引入將變得更加嚴(yán)重。第一，DDoS等異常流量攻擊仍然猖獗甚至更為嚴(yán)重，主要包括 TCP-flood、UDP-flood等現(xiàn)有DDoS攻擊，以及IPv6協(xié)議本身機(jī)制的缺陷所引起的攻擊，如鄰居發(fā)現(xiàn)（ND）協(xié)議報(bào)文缺乏認(rèn)證可能引發(fā)的重復(fù)地 址 檢 測 （duplicate address detection，DAD） 攻 擊 、IP-flooding攻擊等。第二，針對DNS的攻擊仍將繼續(xù)存在，而且在IPv6網(wǎng)絡(luò)中提供域名服務(wù)的DNS更容易成為黑客攻擊的目標(biāo)。第三，IPv6協(xié)議作為網(wǎng)絡(luò)層的協(xié)議，僅對網(wǎng)絡(luò)層安全有影響，其他（包括物理層、數(shù)據(jù)鏈路層、傳輸層、應(yīng)用層等）各層的安全風(fēng)險(xiǎn)在IPv6網(wǎng)絡(luò)中仍將保持不變。

（3）IPv6網(wǎng)絡(luò)過渡技術(shù)安全問題

IPv4向IPv6的過渡是一個(gè)長期的過程，在IPv4與IPv6共存時(shí)期，為解決兩者間互通所采取的各種措施將帶來新的安全風(fēng)險(xiǎn)。例如，隧道方式下存在的拒絕服務(wù)攻擊、中間人攻擊，NAT-PT技術(shù)下存在的拒絕服務(wù)攻擊等。

綜合以上的分析，筆者認(rèn)為，盡管IPv6協(xié)議在設(shè)計(jì)時(shí)考慮了安全問題，但I(xiàn)Pv6網(wǎng)絡(luò)環(huán)境相較于IPv4網(wǎng)絡(luò)環(huán)境在安全性上并沒有大的提升。第一，IPv6網(wǎng)絡(luò)在IP層引入了IPv6協(xié)議，在網(wǎng)絡(luò)架構(gòu)上采用雙棧等過渡技術(shù)以IPv4網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行逐步演進(jìn)，因此在網(wǎng)絡(luò)安全架構(gòu)上沒有質(zhì)的改變。第二，IPSec機(jī)制作為IPv6數(shù)據(jù)包頭的一部分內(nèi)嵌到協(xié)議本身，盡管能使IPSec中間路由過程加快，但在IPSec部署實(shí)施上與IPv4并沒有明顯不同，同樣需配套PKI等體系的建設(shè)。第三，相對于IPv4網(wǎng)絡(luò)環(huán)境而言，在IPv6網(wǎng)絡(luò)環(huán)境中實(shí)施掃描和分片類型的攻擊將更加困難，但實(shí)施溢出類和DDoS等資源占用類攻擊并未有難度上的變化，該類攻擊在網(wǎng)絡(luò)攻擊危害中仍占據(jù)主導(dǎo)地位，IPv6網(wǎng)絡(luò)環(huán)境的安全威脅仍很嚴(yán)峻。第四，IPv6網(wǎng)絡(luò)同樣需考慮應(yīng)用層、傳輸層、物理層等的安全。

為防止IPv4網(wǎng)絡(luò)發(fā)展過程中在安全方面出現(xiàn)的亡羊補(bǔ)牢、疲于應(yīng)付的局面重蹈，電信運(yùn)營商應(yīng)在IPv6網(wǎng)絡(luò)的設(shè)計(jì)和建設(shè)階段同步考慮安全問題，配合多種手段從多個(gè)維度、多個(gè)層次構(gòu)建IPv6網(wǎng)絡(luò)保障安全體系。

3 電信IPv6網(wǎng)絡(luò)安全保障體系框架

根據(jù)電信網(wǎng)絡(luò)特點(diǎn)，可將電信IPv6網(wǎng)絡(luò)安全保障體系分為當(dāng)前時(shí)間點(diǎn)的靜態(tài)安全防護(hù)體系以及后續(xù)動態(tài)安全運(yùn)營體系兩個(gè)層面。通過IPv6網(wǎng)絡(luò)各平面的隔離控制以及相應(yīng)安全保護(hù)和控制措施的實(shí)施保障網(wǎng)絡(luò)的靜態(tài)安全；同時(shí)通過安全檢測和響應(yīng)等安全基礎(chǔ)設(shè)施和相關(guān)安全管理組織、制度和流程的配套建設(shè)，實(shí)現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的動態(tài)發(fā)現(xiàn)和管理，并通過IPv6網(wǎng)絡(luò)安全業(yè)務(wù)的開展將安全防護(hù)手段向客戶網(wǎng)絡(luò)延伸，加強(qiáng)電信網(wǎng)絡(luò)的安全可控。最終實(shí)現(xiàn)網(wǎng)絡(luò)持續(xù)安全保障和改進(jìn)的長效目標(biāo)，形成安全可管可控的電信可信IPv6網(wǎng)絡(luò)架構(gòu)。

（1）靜態(tài)安全防護(hù)體系

根據(jù)ITU-TX.805標(biāo)準(zhǔn) （端到端通信系統(tǒng)安全框架），網(wǎng)絡(luò)可分為基礎(chǔ)設(shè)施層、業(yè)務(wù)層和應(yīng)用層，每個(gè)網(wǎng)絡(luò)層次又可以劃分為管理、控制和用戶三個(gè)平面。為了實(shí)現(xiàn)層次化、等級化的安全防護(hù)，電信IPv6網(wǎng)絡(luò)靜態(tài)安全防護(hù)體系可考慮通過網(wǎng)絡(luò)設(shè)計(jì)和優(yōu)化來保障網(wǎng)絡(luò)內(nèi)在的健壯性，同時(shí)清晰地劃分業(yè)務(wù)、管理和控制三個(gè)平面，采用多種技術(shù)手段隔離管控，并在每個(gè)平面實(shí)施相應(yīng)安全防護(hù)措施，從而使每個(gè)平面在安全方面都具備訪問控制、鑒別、不可抵賴、數(shù)據(jù)保密性、通信安全、完整性、可用性和隱私性8個(gè)屬性。具體來說，電信運(yùn)營商可從以下兩個(gè)方面開展靜態(tài)安全防護(hù)體系的建設(shè)。

一方面清晰界定網(wǎng)絡(luò)層次，進(jìn)行合理管控，實(shí)現(xiàn)業(yè)務(wù)平面、信令和控制平面、網(wǎng)絡(luò)和業(yè)務(wù)管理平面邏輯分離，在每個(gè)平面實(shí)施相應(yīng)安全防護(hù)措施 （在控制平面實(shí)現(xiàn)網(wǎng)元設(shè)備之間認(rèn)證及路由信息安全更新與傳遞；在業(yè)務(wù)平面實(shí)現(xiàn)用戶登錄認(rèn)證、業(yè)務(wù)授權(quán)、業(yè)務(wù)和網(wǎng)絡(luò)資源可用性保證、業(yè)務(wù)安全控制要求；在管理平面實(shí)現(xiàn)維護(hù)終端的認(rèn)證與授權(quán)，核心的數(shù)據(jù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)平臺的保護(hù)，各支撐系統(tǒng)的承載方式，以及訪問控制要求、系統(tǒng)與外部交互要求的相應(yīng)控制點(diǎn)、內(nèi)外部的維護(hù)管理要求），并有效利用IPv6協(xié)議的IPSec特性、源地址過濾技術(shù)等加強(qiáng)平面內(nèi)的安全保護(hù)。

另一方面合理管控三平面之間的資源互訪，在各平面安全域根據(jù)各域的特點(diǎn)輔以相應(yīng)的安全保護(hù)和控制措施，在同一物理網(wǎng)絡(luò)承載不同業(yè)務(wù)，應(yīng)實(shí)現(xiàn)帶寬管理機(jī)制，同時(shí)業(yè)務(wù)互訪應(yīng)在應(yīng)用層進(jìn)行有限互聯(lián)，避免網(wǎng)絡(luò)層直聯(lián)，并在IPv4/6雙棧設(shè)備上采用嚴(yán)格的網(wǎng)絡(luò)過濾和訪問控制策略防范IPv4和IPv6安全問題的相互影響。

（2）動態(tài)安全運(yùn)營體系

在網(wǎng)絡(luò)安全生命周期中，靜態(tài)安全防護(hù)體系的建設(shè)固然重要，但由于網(wǎng)絡(luò)安全的相對性和時(shí)效性，后續(xù)動態(tài)的網(wǎng)絡(luò)安全運(yùn)營才是確保網(wǎng)絡(luò)安全水平持續(xù)提升的關(guān)鍵。對于電信運(yùn)營商來說，提高網(wǎng)絡(luò)安全運(yùn)營效率的關(guān)鍵在于運(yùn)營體系的標(biāo)準(zhǔn)化、流程化和專業(yè)化，通過專業(yè)的、專職的運(yùn)營隊(duì)伍來確保網(wǎng)絡(luò)安全運(yùn)營工作的各流程、各環(huán)節(jié)落實(shí)到人并得以有效處理，配套流程化的閉環(huán)處理機(jī)制和流程以及標(biāo)準(zhǔn)化的制度和規(guī)范來提高網(wǎng)絡(luò)安全運(yùn)營工作效率，同時(shí)通過安全事件監(jiān)控、檢測、響應(yīng)等安全基礎(chǔ)設(shè)施的建設(shè)，持續(xù)提升電信級大規(guī)模安全事件的檢測、預(yù)警、響應(yīng)、應(yīng)急、恢復(fù)能力。電信IPv6網(wǎng)絡(luò)在層次架構(gòu)上依然遵循IPv4網(wǎng)絡(luò)的傳統(tǒng)架構(gòu)，因此IPv6網(wǎng)絡(luò)同樣可針對終端、接入網(wǎng)、核心網(wǎng)、業(yè)務(wù)網(wǎng)絡(luò)、支撐系統(tǒng)等各層面的安全特點(diǎn)和需求部署相應(yīng)安全運(yùn)營措施，從而實(shí)現(xiàn)閉環(huán)風(fēng)險(xiǎn)控制。同時(shí)，通過配套專業(yè)化的安全組織體系和標(biāo)準(zhǔn)化的安全策略體系，提高IPv6網(wǎng)絡(luò)安全運(yùn)營的效率。另外，應(yīng)積極開展安全業(yè)務(wù)，通過前后端業(yè)務(wù)運(yùn)營隊(duì)伍和運(yùn)營機(jī)制、流程的配套建設(shè)，提高電信安全業(yè)務(wù)服務(wù)質(zhì)量，在加強(qiáng)客戶網(wǎng)絡(luò)安全性的同時(shí)提升電信網(wǎng)絡(luò)的安全性。

在動態(tài)運(yùn)營體系的技術(shù)層面，電信運(yùn)營商可采取如下措施。

·在終端層面，為加強(qiáng)對客戶的可管可控，電信運(yùn)營商可開展基于IPv6的M2M安全業(yè)務(wù)，通過建設(shè)統(tǒng)一的M2M安全業(yè)務(wù)平臺，向客戶提供諸如家庭網(wǎng)絡(luò)安全接入、監(jiān)控、企業(yè)終端安全管理、安全代維等安全服務(wù)。

·在接入網(wǎng)層面，電信運(yùn)營商可通過統(tǒng)一的接入身份認(rèn)證和鑒權(quán)管理、基于IPv6的真實(shí)地址技術(shù)等來加強(qiáng)接入網(wǎng)的安全管理。

·在核心網(wǎng)層面，電信運(yùn)營商可通過異常流量管理、

DDoS攻擊防御、垃圾郵件處理、非法路由監(jiān)測等手段來防范IPv6網(wǎng)絡(luò)中占主導(dǎo)地位的流量類攻擊，并加強(qiáng)對于路由安全問題引起的網(wǎng)絡(luò)異常波動的管理，同時(shí)加強(qiáng)對雙棧設(shè)備的安全監(jiān)控。

·在業(yè)務(wù)網(wǎng)絡(luò)層面，電信運(yùn)營商可通過終端安全管理、安全域劃分、防病毒、訪問認(rèn)證授權(quán)、數(shù)據(jù)安全保護(hù)、漏洞掃描、安全審計(jì)、集中用戶管理等手段來保護(hù)業(yè)務(wù)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，提高電信業(yè)務(wù)服務(wù)質(zhì)量。這可通過IPv4環(huán)境下的安全設(shè)備或手段升級提供對IPv6協(xié)議的支持實(shí)現(xiàn)。

·在支撐系統(tǒng)層面，電信運(yùn)營商可通過DNS安全監(jiān)控管理、終端安全管理、安全域劃分、遠(yuǎn)程安全管理、防病毒、惡意代碼防護(hù)、安全審計(jì)、集中用戶管理等手段的建設(shè)和部署加強(qiáng)支撐系統(tǒng)的安全性，提高IPv6網(wǎng)絡(luò)運(yùn)營管理的穩(wěn)定性。

4 電信IPv6網(wǎng)絡(luò)安全保障體系構(gòu)建策略

既然IPv6與IPv4網(wǎng)絡(luò)在安全架構(gòu)上并未有質(zhì)的不同，那么在目前IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的時(shí)期，電信運(yùn)營商應(yīng)采取哪些策略來構(gòu)建IPv6網(wǎng)絡(luò)安全保障體系，從而營造更安全可信的下一代網(wǎng)絡(luò)呢？

第一，在原有IPv4網(wǎng)絡(luò)環(huán)境下安全措施改進(jìn)的基礎(chǔ)上，加強(qiáng)對IPv6特定安全問題的防范以及對過渡技術(shù)安全問題的防范。

·加強(qiáng)支撐系統(tǒng)安全，利用現(xiàn)有技術(shù)保障DNS系統(tǒng)安全。IPv6網(wǎng)絡(luò)環(huán)境下針對DNS系統(tǒng)的攻擊仍將猖獗，由于在IPv4/6過渡時(shí)期，IPv4/6往往采用一套DNS體系，因此仍可采用在IPv4網(wǎng)絡(luò)環(huán)境下的DNS安全防護(hù)技術(shù)，但須提供對IPv6協(xié)議的支持。

·提升承載網(wǎng)安全可用性，加強(qiáng)路由安全，防范異常流量。配置路由協(xié)議認(rèn)證，采用可靠的路由認(rèn)證機(jī)制，其中由于OSPFv3協(xié)議不提供認(rèn)證功能，而是使用IPv6的安全機(jī)制來保證自身報(bào)文的合法性，因此采用OSPFv3協(xié)議的設(shè)備建議配置IPSec。同時(shí)，合理配置訪問控制策略，以防止非法流量對路由器進(jìn)行拒絕服務(wù)攻擊。另外，結(jié)合異常流量檢測和控制技術(shù)對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。

·同步規(guī)劃和部署統(tǒng)一網(wǎng)絡(luò)安全運(yùn)營管理支撐平臺。可利用現(xiàn)有平臺提供對IPv6協(xié)議的支持，通過將IPv6網(wǎng)元和安全設(shè)備納入管控，以提供對過渡時(shí)期IPv4/6網(wǎng)絡(luò)的全方位安全管理支撐。

·結(jié)合應(yīng)用的開展推進(jìn)IPv6 IPSec的實(shí)施?？梢园踩珮I(yè)務(wù)的形式按需部署實(shí)施IPSec，進(jìn)行配套系統(tǒng)的部署。

·防范過渡技術(shù)引起的安全問題，避免IPv4網(wǎng)絡(luò)安全問題對IPv6網(wǎng)絡(luò)的整體安全造成影響。雙棧技術(shù)的使用將降低設(shè)備性能，更易發(fā)生DoS/DDoS攻擊，需采用高性能設(shè)備作為雙棧設(shè)備，以滿足鏈路帶寬冗余的需求，同時(shí)采用rACL、CBAC、CoPP等方式加強(qiáng)對雙棧設(shè)備的安全保護(hù)。

第二，利用IPv6協(xié)議安全特性研究新的安全技術(shù)增強(qiáng)網(wǎng)絡(luò)安全。目前業(yè)界針對IPv6網(wǎng)絡(luò)中IP地址的真實(shí)可靠性提出了一些新的技術(shù)，如真實(shí)源地址技術(shù)、標(biāo)簽網(wǎng)技術(shù)等，但這些技術(shù)應(yīng)用在電信網(wǎng)絡(luò)環(huán)境下如何避免對網(wǎng)絡(luò)性能和開銷造成影響還需進(jìn)一步研究。另外，在IPv6網(wǎng)絡(luò)環(huán)境下自配置屬性的引入也為終端安全狀態(tài)檢測、準(zhǔn)入控制等安全措施的實(shí)現(xiàn)提供了便利，可進(jìn)一步研究利用這一屬性進(jìn)行統(tǒng)一的安全策略檢查和實(shí)施。

第三，在配套IPv6防范和運(yùn)行管理技術(shù)實(shí)施建設(shè)的同時(shí)，加強(qiáng)安全管理組織體系和流程的建設(shè)，保障安全基礎(chǔ)設(shè)施效能的充分發(fā)揮。

第四，積極拓展IPv6安全業(yè)務(wù)，利用IPv6安全特性提升業(yè)務(wù)和應(yīng)用的安全性。由于網(wǎng)絡(luò)安全特性在IPv6網(wǎng)絡(luò)環(huán)境下的持續(xù)性，IPv4網(wǎng)絡(luò)環(huán)境的可管理安全（MSS）體系在IPv6網(wǎng)絡(luò)環(huán)境中將保持同等的生命力。同時(shí)，隨著信息化技術(shù)的發(fā)展，可重點(diǎn)考慮針對家庭網(wǎng)絡(luò)用戶的基于身份認(rèn)證的保密傳輸和安全防護(hù)、傳感器網(wǎng)絡(luò)安全接入和保密通信、移動IPv6接入安全等安全應(yīng)用。此外，還可結(jié)合云計(jì)算技術(shù)、物聯(lián)網(wǎng)應(yīng)用等開展基于IPv6的電信安全業(yè)務(wù)。

第五，積極應(yīng)對IPv6安全產(chǎn)品缺失的現(xiàn)狀，促進(jìn)IPv6網(wǎng)絡(luò)安全設(shè)備的成熟。IPv6網(wǎng)絡(luò)同樣需要部署常規(guī)的如防火墻、IDS/IPS、漏洞掃描、異常流量檢測和過濾、VPN、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備，這些安全設(shè)備需要提供對IPv6協(xié)議的支持，同時(shí)在實(shí)現(xiàn)方式上需要根據(jù)IPv6協(xié)議的特性進(jìn)行改進(jìn)。電信運(yùn)營商可結(jié)合IPv6網(wǎng)絡(luò)建設(shè)的進(jìn)度和應(yīng)用的需求推動廠商盡快推出成熟產(chǎn)品。

5 結(jié)語

隨著IPv6網(wǎng)絡(luò)安全研究和遷移工作的深入，電信運(yùn)營商對于IPv6網(wǎng)絡(luò)建設(shè)以及過渡時(shí)期的安全問題日益重視。在這一背景下，本文針對電信IPv6網(wǎng)絡(luò)建設(shè)和過渡時(shí)期可能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的分析，提出了電信IPv6網(wǎng)絡(luò)安全保障體系的基本架構(gòu)，并給出了現(xiàn)階段電信運(yùn)營商IPv6網(wǎng)絡(luò)安全保障體系的構(gòu)建策略。采用本文所述的框架進(jìn)行電信IPv6網(wǎng)絡(luò)安全保障體系的構(gòu)建，通過靜態(tài)安全保障以及動態(tài)安全運(yùn)營手段的結(jié)合，配套完善的安全組織和策略體系，并積極拓展以IPv6為基礎(chǔ)的網(wǎng)絡(luò)安全業(yè)務(wù)，不僅可以提升電信IPv6網(wǎng)絡(luò)整體安全水平，達(dá)到網(wǎng)絡(luò)安全縱深防御的目標(biāo)，形成安全可管可控的電信可信IPv6網(wǎng)絡(luò)架構(gòu)，推動下一代網(wǎng)絡(luò)安全應(yīng)用的發(fā)展。

1 Deering S,Hinden R.Internet protocol,version 6 (IPv6)specification.RFC 1883,December 1995

2 Hinden R,Deering S.IP version 6 addressing architecture.RFC 1884,December 1995

3 Kaeo M,Green D,Bound J,et al.IPv6 security technology paper version 1.0.North American IPv6 Task Force(NAv6TF)Technology Report,July 2006

4 Marin E.IPv6 security.6NET,May 2003