張 濤，王 歡，周仲謀，熊 偉

（1.國網(wǎng)江西省電力有限公司新余供電分公司，江西新余 338000；2.國網(wǎng)江西省電力有限公司宜春供電分公司，江西宜春 336000）

0 引言

IPv4面臨地址嚴(yán)重匱乏、服務(wù)質(zhì)量難以保障等制約互聯(lián)網(wǎng)持續(xù)發(fā)展的問題，成為構(gòu)建新型數(shù)字化基礎(chǔ)設(shè)施的短板，難以支撐電網(wǎng)向能源互聯(lián)網(wǎng)升級(jí)[1]。IPv6能夠提供充足的地址空間，是下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議，實(shí)現(xiàn)更廣泛的連接，實(shí)現(xiàn)萬物互聯(lián)，打造新型數(shù)字化基礎(chǔ)設(shè)施，促進(jìn)能源互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域的應(yīng)用創(chuàng)新和高速發(fā)展[1]。

IPv6在IPv4基礎(chǔ)上，基于轉(zhuǎn)發(fā)性能、安全防護(hù)、端到端通信保障等方面要求，從協(xié)議層面對(duì)IPv4內(nèi)在問題進(jìn)行了大量優(yōu)化修訂，其包頭的變化如圖1所示，形成了與IPv4不相兼容的互聯(lián)網(wǎng)協(xié)議[2]。這些改進(jìn)對(duì)身份認(rèn)證、保密傳輸?shù)劝踩珒?nèi)容有了更好支持，同時(shí)部分?jǐn)U展與選項(xiàng)功能也對(duì)安全防護(hù)提出新的挑戰(zhàn)[3]。

圖1 IPv4與IPv6包頭格式比較

1 IPv6安全性分析

1.1 IPv6對(duì)安全的改進(jìn)

IPv6地址空間大幅增加，使廣泛掃描探測變得困難，也有利于安全事件的定位追溯，其可匯聚、層次化的地址結(jié)構(gòu)易于進(jìn)行統(tǒng)一安全過濾。IPv6協(xié)議支持的IPsec及協(xié)議選項(xiàng)功能，可以實(shí)現(xiàn)端到端數(shù)據(jù)保護(hù)并有效應(yīng)對(duì)傳統(tǒng)碎片重疊攻擊等威脅。

反嗅探、掃描能力提升。利用IPv6的地址規(guī)劃、虛假子網(wǎng)、拓?fù)潆[藏等技術(shù)，有效隱藏網(wǎng)絡(luò)真實(shí)結(jié)構(gòu)，增加攻擊者網(wǎng)絡(luò)偵查和嗅探的資源消耗，大幅提高專網(wǎng)反偵察能力[4]。據(jù)估算，在擁有1萬個(gè)主機(jī)的IPv6子網(wǎng)中，地址隨機(jī)均勻分布，以一百萬次每秒的速度掃描，發(fā)現(xiàn)第一個(gè)主機(jī)所需要的時(shí)間均值超過28年。

可溯源性提升。IPv6可為每個(gè)網(wǎng)絡(luò)設(shè)備分配唯一地址，并引入了真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)（SAVA），確保每個(gè)設(shè)備都有真實(shí)的源地址，有利于開展事件的追查回溯[4]。SAVI技術(shù)通過建立IPv6地址、MAC地址和端口的綁定關(guān)系表，對(duì)相關(guān)協(xié)議報(bào)文和數(shù)據(jù)報(bào)文的源地址進(jìn)行合法性過濾檢查。

傳輸安全性提升。相較于IPv4通過網(wǎng)關(guān)實(shí)現(xiàn)IP-sec通道，IPv6協(xié)議中缺省內(nèi)置IPSec安全加密機(jī)制，使得在網(wǎng)絡(luò)層可更加便捷地實(shí)現(xiàn)端到端數(shù)據(jù)加密傳輸[3]。

IPv4中的一些攻擊得到緩解。由于IPv6協(xié)議上的改進(jìn)，取消了廣播地址和NAT技術(shù)，提供了健全的分片機(jī)制，因此消除了IPv4中廣播風(fēng)暴和碎片攻擊，進(jìn)一步增強(qiáng)端到端的透明性、縮小網(wǎng)絡(luò)延時(shí)、便于網(wǎng)絡(luò)管理等。

1.2 IPv6協(xié)議自身引入的安全風(fēng)險(xiǎn)

IPv6協(xié)議族中引入的鄰居發(fā)現(xiàn)、無狀態(tài)自動(dòng)地址分配等協(xié)議可能被非法利用，進(jìn)而發(fā)起DDoS、地址欺騙、路徑欺騙等攻擊，造成用戶無法連接網(wǎng)絡(luò)、仿冒攻擊以及用戶信息泄露等風(fēng)險(xiǎn)。IPv4網(wǎng)絡(luò)中除IP層以外的其他四層中的風(fēng)險(xiǎn)在IPv6網(wǎng)絡(luò)中仍然存在。

IPv6中采用ND（Neighbor Discovery）協(xié)議，由于ND協(xié)議設(shè)計(jì)時(shí)未引入認(rèn)證機(jī)制，導(dǎo)致網(wǎng)絡(luò)中主機(jī)不可信，攻擊者可以獲得并冒用主機(jī)MAC，通過偽造、篡改協(xié)議報(bào)文，從而實(shí)現(xiàn)非授權(quán)終端接入、地址欺騙攻擊、重復(fù)地址檢查攻擊等[3-5]。

非授權(quán)終端接入：攻擊者截取網(wǎng)絡(luò)報(bào)文，獲取并冒用主機(jī)MAC，偽裝成主機(jī)，干擾正常通行。其攻擊方式如圖2所示。

圖2 非授權(quán)終端接入

地址欺騙攻擊：攻擊者使用ND協(xié)議報(bào)文來修改受害主機(jī)的MAC地址，造成受害主機(jī)無法與網(wǎng)絡(luò)進(jìn)行正常的通信。其攻擊方式如圖3所示。

圖3 地址欺騙攻擊

重復(fù)地址檢測攻擊：攻擊者通過干擾ND協(xié)議報(bào)文，使得受害主機(jī)的重復(fù)地址檢測過程失敗，無法獲取IP地址。其攻擊方式如圖4所示。

圖4 重復(fù)地址檢測攻擊

1.3 IPv6過渡技術(shù)安全分析

IPv4向IPv6的過渡是一個(gè)長期的過程，IPv4向IPv6的演進(jìn)過程中涉及到翻譯（地址轉(zhuǎn)換）、雙棧以及隧道技術(shù)，目前針對(duì)各種過渡技術(shù)尚無成熟應(yīng)用的防護(hù)經(jīng)驗(yàn)，各類過渡技術(shù)都存在一定的安全風(fēng)險(xiǎn)[6-7]，見圖5。

圖5 IPv6過渡技術(shù)

翻譯：通過地址翻譯設(shè)備實(shí)現(xiàn)IPv4與IPv6地址互相轉(zhuǎn)換，用于IPv6通過IPv4網(wǎng)絡(luò)通信，以及IPv4通過IPv6網(wǎng)絡(luò)通信，非法的訪問經(jīng)由隧道規(guī)避邊界的訪問控制措施。

雙棧：網(wǎng)絡(luò)中運(yùn)行IPv4和IPv6兩個(gè)協(xié)議棧，既能和IPv4通信，也能和IPv6通信。網(wǎng)絡(luò)中同時(shí)存在IPv6、IPv4兩個(gè)邏輯通道，增加了暴露面，需注意IPv6、IPv4安全策略一致性、協(xié)同性，及相關(guān)設(shè)備（網(wǎng)絡(luò)、安全設(shè)備）雙協(xié)議棧運(yùn)行時(shí)的性能下降。

隧道：通過對(duì)IPv4和IPv6協(xié)議的報(bào)文格式轉(zhuǎn)換，實(shí)現(xiàn)使用不同IP協(xié)議的互通。破壞了網(wǎng)絡(luò)的端到端安全特性。

2 IPv6對(duì)電網(wǎng)安全防護(hù)體系的影響

2.1 對(duì)電力整體防護(hù)架構(gòu)影響

IPv6網(wǎng)絡(luò)改造應(yīng)遵照電力行業(yè)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體安全防護(hù)策略，在現(xiàn)有的網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等防護(hù)節(jié)點(diǎn)支持IPv6協(xié)議，并綜合考慮過渡期間的雙協(xié)議棧協(xié)同安全防護(hù)措施。

網(wǎng)絡(luò)與通信安全。需重點(diǎn)規(guī)劃IPv6地址段，加強(qiáng)IPv6設(shè)備的接入控制及權(quán)限控制，做好IPv6網(wǎng)絡(luò)監(jiān)測及惡意代碼防范，提升網(wǎng)絡(luò)通道和網(wǎng)絡(luò)邊界安全性。

主機(jī)安全。需重點(diǎn)強(qiáng)化IPv6主機(jī)基線安全，合理控制雙協(xié)議棧下系統(tǒng)資源分配，加強(qiáng)對(duì)IPv6環(huán)境下入侵行為的監(jiān)測阻斷，提升IPv6主機(jī)安全性。

應(yīng)用安全。需重點(diǎn)加強(qiáng)IPv6環(huán)境下用戶登錄控制及權(quán)限控制，通過數(shù)據(jù)有效性檢驗(yàn)等方式提升軟件容錯(cuò)性，研究應(yīng)用IPv6環(huán)境下漏洞掃描技術(shù)。

數(shù)據(jù)安全。需加強(qiáng)IPv6環(huán)境下數(shù)據(jù)加密技術(shù)、數(shù)據(jù)存儲(chǔ)技術(shù)及備份機(jī)制研究，實(shí)現(xiàn)數(shù)據(jù)的完整性、保密性和可用性保護(hù)。

2.2 對(duì)電力專用安全防護(hù)裝置影響

在“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體安全防護(hù)策略下，電力行業(yè)研制了一些專用安全防護(hù)裝置，其中安全交互平臺(tái)、信息安全網(wǎng)絡(luò)隔離裝置及縱向加密認(rèn)證裝置等電力專用安全防護(hù)裝置目前均不支持IPv6[8]。安全交互平臺(tái)、信息安全網(wǎng)絡(luò)隔離裝置在進(jìn)行底層網(wǎng)絡(luò)升級(jí)后，可支持IPv6協(xié)議。但采用國密專用算法的縱向加密認(rèn)證裝置，尚無法升級(jí)。

2.3 對(duì)通用安全裝置影響

現(xiàn)有通用安全設(shè)備缺乏IPv6大規(guī)模部署應(yīng)用實(shí)踐，針對(duì)IPsec協(xié)議、IP與上層應(yīng)用之間擴(kuò)展信息檢查機(jī)制還需完善。IPv4和IPv6雙協(xié)議棧場景下，通用安全設(shè)備性能較IPv4場景會(huì)有一定下降，雙協(xié)議棧的防護(hù)策略也需保持協(xié)同，因此在部署IPv4和IPv6雙協(xié)議棧時(shí)，應(yīng)進(jìn)行充分的測試評(píng)估后方可施行。

3 IPv6防護(hù)建議

1）統(tǒng)籌IPv6網(wǎng)絡(luò)安全頂層規(guī)劃工作，構(gòu)建IPv6的安全防護(hù)體系，加強(qiáng)過渡期間雙協(xié)議棧防護(hù)建設(shè)。研究建設(shè)統(tǒng)一的IPv6網(wǎng)絡(luò)地址資源管理平臺(tái)，強(qiáng)化IPv6地址管理和精準(zhǔn)定位能力。

2）加快安全防護(hù)設(shè)備升級(jí)改造，提升IPv6安全防護(hù)能力。在防火墻、IDS等通用安全設(shè)備功能、性能和安全性測試基礎(chǔ)上，研究制定針對(duì)IPv6的安全策略配置標(biāo)準(zhǔn)，強(qiáng)化IPv6防護(hù)。加快信息網(wǎng)絡(luò)安全接入網(wǎng)關(guān)、信息網(wǎng)絡(luò)安全隔離裝置等專用設(shè)備研究，適應(yīng)IPv6改造安全需求，并逐步完成在網(wǎng)設(shè)備及終端應(yīng)用升級(jí)改造。研究針對(duì)采集終端、作業(yè)終端等IPv6升級(jí)改造技術(shù)，做好IPv6環(huán)境下用電信息采集等業(yè)務(wù)安全防護(hù)。

3）大力開展關(guān)鍵防護(hù)技術(shù)研究，推動(dòng)安全標(biāo)準(zhǔn)規(guī)范制定。標(biāo)準(zhǔn)規(guī)范制定：結(jié)合行業(yè)特點(diǎn)，有序建立IPv6安全標(biāo)準(zhǔn)規(guī)范體系，形成覆蓋地址轉(zhuǎn)換記錄、DDoS、源地址認(rèn)證等內(nèi)容的IPv6網(wǎng)絡(luò)安全規(guī)范，支撐IPv6演進(jìn)工作。關(guān)鍵技術(shù)研究：以新興業(yè)務(wù)為主，研究IPv6環(huán)境下大云物移智等新技術(shù)的安全防護(hù)措施，開展相關(guān)技術(shù)研究，支撐新技術(shù)的安全應(yīng)用。

4）加大IPv6宣貫培訓(xùn)力度，提高IPv6環(huán)境下的安全意識(shí)。建立分級(jí)分層、集散相結(jié)合的宣貫方式，加強(qiáng)對(duì)管理和技術(shù)人員宣貫培訓(xùn)，提高IPv6環(huán)境下的網(wǎng)絡(luò)安全意識(shí)，開展形式多樣的網(wǎng)絡(luò)安全教育培訓(xùn)。

4 結(jié)束語

當(dāng)前，國家電網(wǎng)公司正聚焦大數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)、5G、人工智能等方面重點(diǎn)任務(wù)，加快建設(shè)新型數(shù)字基礎(chǔ)設(shè)施，向能源互聯(lián)網(wǎng)轉(zhuǎn)型升級(jí)，公司明確要求防范安全風(fēng)險(xiǎn)，把安全第一的理念貫穿建設(shè)全過程，提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范能力[8]。IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)協(xié)議，研究IPv6協(xié)議安全性可以為新型數(shù)字基礎(chǔ)設(shè)施的部署提供安全保障。