張 濤，王 歡，周仲謀，熊 偉

（1.國網(wǎng)江西省電力有限公司新余供電分公司，江西新余 338000；2.國網(wǎng)江西省電力有限公司宜春供電分公司，江西宜春 336000）

0 引言

IPv4面臨地址嚴重匱乏、服務(wù)質(zhì)量難以保障等制約互聯(lián)網(wǎng)持續(xù)發(fā)展的問題，成為構(gòu)建新型數(shù)字化基礎(chǔ)設(shè)施的短板，難以支撐電網(wǎng)向能源互聯(lián)網(wǎng)升級[1]。IPv6能夠提供充足的地址空間，是下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議，實現(xiàn)更廣泛的連接，實現(xiàn)萬物互聯(lián)，打造新型數(shù)字化基礎(chǔ)設(shè)施，促進能源互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域的應(yīng)用創(chuàng)新和高速發(fā)展[1]。

IPv6在IPv4基礎(chǔ)上，基于轉(zhuǎn)發(fā)性能、安全防護、端到端通信保障等方面要求，從協(xié)議層面對IPv4內(nèi)在問題進行了大量優(yōu)化修訂，其包頭的變化如圖1所示，形成了與IPv4不相兼容的互聯(lián)網(wǎng)協(xié)議[2]。這些改進對身份認證、保密傳輸?shù)劝踩珒?nèi)容有了更好支持，同時部分擴展與選項功能也對安全防護提出新的挑戰(zhàn)[3]。

圖1 IPv4與IPv6包頭格式比較

1 IPv6安全性分析

1.1 IPv6對安全的改進

IPv6地址空間大幅增加，使廣泛掃描探測變得困難，也有利于安全事件的定位追溯，其可匯聚、層次化的地址結(jié)構(gòu)易于進行統(tǒng)一安全過濾。IPv6協(xié)議支持的IPsec及協(xié)議選項功能，可以實現(xiàn)端到端數(shù)據(jù)保護并有效應(yīng)對傳統(tǒng)碎片重疊攻擊等威脅。

反嗅探、掃描能力提升。利用IPv6的地址規(guī)劃、虛假子網(wǎng)、拓撲隱藏等技術(shù)，有效隱藏網(wǎng)絡(luò)真實結(jié)構(gòu)，增加攻擊者網(wǎng)絡(luò)偵查和嗅探的資源消耗，大幅提高專網(wǎng)反偵察能力[4]。據(jù)估算，在擁有1萬個主機的IPv6子網(wǎng)中，地址隨機均勻分布，以一百萬次每秒的速度掃描，發(fā)現(xiàn)第一個主機所需要的時間均值超過28年。

可溯源性提升。IPv6可為每個網(wǎng)絡(luò)設(shè)備分配唯一地址，并引入了真實源地址驗證體系結(jié)構(gòu)（SAVA），確保每個設(shè)備都有真實的源地址，有利于開展事件的追查回溯[4]。SAVI技術(shù)通過建立IPv6地址、MAC地址和端口的綁定關(guān)系表，對相關(guān)協(xié)議報文和數(shù)據(jù)報文的源地址進行合法性過濾檢查。

傳輸安全性提升。相較于IPv4通過網(wǎng)關(guān)實現(xiàn)IP-sec通道，IPv6協(xié)議中缺省內(nèi)置IPSec安全加密機制，使得在網(wǎng)絡(luò)層可更加便捷地實現(xiàn)端到端數(shù)據(jù)加密傳輸[3]。

IPv4中的一些攻擊得到緩解。由于IPv6協(xié)議上的改進，取消了廣播地址和NAT技術(shù)，提供了健全的分片機制，因此消除了IPv4中廣播風(fēng)暴和碎片攻擊，進一步增強端到端的透明性、縮小網(wǎng)絡(luò)延時、便于網(wǎng)絡(luò)管理等。

1.2 IPv6協(xié)議自身引入的安全風(fēng)險

IPv6協(xié)議族中引入的鄰居發(fā)現(xiàn)、無狀態(tài)自動地址分配等協(xié)議可能被非法利用，進而發(fā)起DDoS、地址欺騙、路徑欺騙等攻擊，造成用戶無法連接網(wǎng)絡(luò)、仿冒攻擊以及用戶信息泄露等風(fēng)險。IPv4網(wǎng)絡(luò)中除IP層以外的其他四層中的風(fēng)險在IPv6網(wǎng)絡(luò)中仍然存在。

IPv6中采用ND（Neighbor Discovery）協(xié)議，由于ND協(xié)議設(shè)計時未引入認證機制，導(dǎo)致網(wǎng)絡(luò)中主機不可信，攻擊者可以獲得并冒用主機MAC，通過偽造、篡改協(xié)議報文，從而實現(xiàn)非授權(quán)終端接入、地址欺騙攻擊、重復(fù)地址檢查攻擊等[3-5]。

非授權(quán)終端接入：攻擊者截取網(wǎng)絡(luò)報文，獲取并冒用主機MAC，偽裝成主機，干擾正常通行。其攻擊方式如圖2所示。

圖2 非授權(quán)終端接入

地址欺騙攻擊：攻擊者使用ND協(xié)議報文來修改受害主機的MAC地址，造成受害主機無法與網(wǎng)絡(luò)進行正常的通信。其攻擊方式如圖3所示。

圖3 地址欺騙攻擊

重復(fù)地址檢測攻擊：攻擊者通過干擾ND協(xié)議報文，使得受害主機的重復(fù)地址檢測過程失敗，無法獲取IP地址。其攻擊方式如圖4所示。

圖4 重復(fù)地址檢測攻擊

1.3 IPv6過渡技術(shù)安全分析

IPv4向IPv6的過渡是一個長期的過程，IPv4向IPv6的演進過程中涉及到翻譯（地址轉(zhuǎn)換）、雙棧以及隧道技術(shù)，目前針對各種過渡技術(shù)尚無成熟應(yīng)用的防護經(jīng)驗，各類過渡技術(shù)都存在一定的安全風(fēng)險[6-7]，見圖5。

圖5 IPv6過渡技術(shù)

翻譯：通過地址翻譯設(shè)備實現(xiàn)IPv4與IPv6地址互相轉(zhuǎn)換，用于IPv6通過IPv4網(wǎng)絡(luò)通信，以及IPv4通過IPv6網(wǎng)絡(luò)通信，非法的訪問經(jīng)由隧道規(guī)避邊界的訪問控制措施。

雙棧：網(wǎng)絡(luò)中運行IPv4和IPv6兩個協(xié)議棧，既能和IPv4通信，也能和IPv6通信。網(wǎng)絡(luò)中同時存在IPv6、IPv4兩個邏輯通道，增加了暴露面，需注意IPv6、IPv4安全策略一致性、協(xié)同性，及相關(guān)設(shè)備（網(wǎng)絡(luò)、安全設(shè)備）雙協(xié)議棧運行時的性能下降。

隧道：通過對IPv4和IPv6協(xié)議的報文格式轉(zhuǎn)換，實現(xiàn)使用不同IP協(xié)議的互通。破壞了網(wǎng)絡(luò)的端到端安全特性。

2 IPv6對電網(wǎng)安全防護體系的影響

2.1 對電力整體防護架構(gòu)影響

IPv6網(wǎng)絡(luò)改造應(yīng)遵照電力行業(yè)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體安全防護策略，在現(xiàn)有的網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等防護節(jié)點支持IPv6協(xié)議，并綜合考慮過渡期間的雙協(xié)議棧協(xié)同安全防護措施。

網(wǎng)絡(luò)與通信安全。需重點規(guī)劃IPv6地址段，加強IPv6設(shè)備的接入控制及權(quán)限控制，做好IPv6網(wǎng)絡(luò)監(jiān)測及惡意代碼防范，提升網(wǎng)絡(luò)通道和網(wǎng)絡(luò)邊界安全性。

主機安全。需重點強化IPv6主機基線安全，合理控制雙協(xié)議棧下系統(tǒng)資源分配，加強對IPv6環(huán)境下入侵行為的監(jiān)測阻斷，提升IPv6主機安全性。

應(yīng)用安全。需重點加強IPv6環(huán)境下用戶登錄控制及權(quán)限控制，通過數(shù)據(jù)有效性檢驗等方式提升軟件容錯性，研究應(yīng)用IPv6環(huán)境下漏洞掃描技術(shù)。

數(shù)據(jù)安全。需加強IPv6環(huán)境下數(shù)據(jù)加密技術(shù)、數(shù)據(jù)存儲技術(shù)及備份機制研究，實現(xiàn)數(shù)據(jù)的完整性、保密性和可用性保護。

2.2 對電力專用安全防護裝置影響

在“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體安全防護策略下，電力行業(yè)研制了一些專用安全防護裝置，其中安全交互平臺、信息安全網(wǎng)絡(luò)隔離裝置及縱向加密認證裝置等電力專用安全防護裝置目前均不支持IPv6[8]。安全交互平臺、信息安全網(wǎng)絡(luò)隔離裝置在進行底層網(wǎng)絡(luò)升級后，可支持IPv6協(xié)議。但采用國密專用算法的縱向加密認證裝置，尚無法升級。

2.3 對通用安全裝置影響

現(xiàn)有通用安全設(shè)備缺乏IPv6大規(guī)模部署應(yīng)用實踐，針對IPsec協(xié)議、IP與上層應(yīng)用之間擴展信息檢查機制還需完善。IPv4和IPv6雙協(xié)議棧場景下，通用安全設(shè)備性能較IPv4場景會有一定下降，雙協(xié)議棧的防護策略也需保持協(xié)同，因此在部署IPv4和IPv6雙協(xié)議棧時，應(yīng)進行充分的測試評估后方可施行。

3 IPv6防護建議

1）統(tǒng)籌IPv6網(wǎng)絡(luò)安全頂層規(guī)劃工作，構(gòu)建IPv6的安全防護體系，加強過渡期間雙協(xié)議棧防護建設(shè)。研究建設(shè)統(tǒng)一的IPv6網(wǎng)絡(luò)地址資源管理平臺，強化IPv6地址管理和精準定位能力。

2）加快安全防護設(shè)備升級改造，提升IPv6安全防護能力。在防火墻、IDS等通用安全設(shè)備功能、性能和安全性測試基礎(chǔ)上，研究制定針對IPv6的安全策略配置標準，強化IPv6防護。加快信息網(wǎng)絡(luò)安全接入網(wǎng)關(guān)、信息網(wǎng)絡(luò)安全隔離裝置等專用設(shè)備研究，適應(yīng)IPv6改造安全需求，并逐步完成在網(wǎng)設(shè)備及終端應(yīng)用升級改造。研究針對采集終端、作業(yè)終端等IPv6升級改造技術(shù)，做好IPv6環(huán)境下用電信息采集等業(yè)務(wù)安全防護。

3）大力開展關(guān)鍵防護技術(shù)研究，推動安全標準規(guī)范制定。標準規(guī)范制定：結(jié)合行業(yè)特點，有序建立IPv6安全標準規(guī)范體系，形成覆蓋地址轉(zhuǎn)換記錄、DDoS、源地址認證等內(nèi)容的IPv6網(wǎng)絡(luò)安全規(guī)范，支撐IPv6演進工作。關(guān)鍵技術(shù)研究：以新興業(yè)務(wù)為主，研究IPv6環(huán)境下大云物移智等新技術(shù)的安全防護措施，開展相關(guān)技術(shù)研究，支撐新技術(shù)的安全應(yīng)用。

4）加大IPv6宣貫培訓(xùn)力度，提高IPv6環(huán)境下的安全意識。建立分級分層、集散相結(jié)合的宣貫方式，加強對管理和技術(shù)人員宣貫培訓(xùn)，提高IPv6環(huán)境下的網(wǎng)絡(luò)安全意識，開展形式多樣的網(wǎng)絡(luò)安全教育培訓(xùn)。

4 結(jié)束語

當前，國家電網(wǎng)公司正聚焦大數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)、5G、人工智能等方面重點任務(wù)，加快建設(shè)新型數(shù)字基礎(chǔ)設(shè)施，向能源互聯(lián)網(wǎng)轉(zhuǎn)型升級，公司明確要求防范安全風(fēng)險，把安全第一的理念貫穿建設(shè)全過程，提高網(wǎng)絡(luò)安全風(fēng)險防范能力[8]。IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)協(xié)議，研究IPv6協(xié)議安全性可以為新型數(shù)字基礎(chǔ)設(shè)施的部署提供安全保障。