1 引言

　　随着网络新应用和新技术的不断发展，IPv4地址已不能满足网络发展的需求。IPv6协议以其巨大的地址空间、内在的安全机制等特性，成为国内外下一代网络发展的研究热点。安全是保证网络健康发展的重要因素，IPv6网络安全保障体系的配套建设也成为IPv6网络建设的重要方面，如果在IPv6网络设计阶段就对网络安全进行通盘考虑，能够提升网络架构的整体安全性；同时，将网络安全与网络建设同步，有利于网络资源的合理分配。而IPv6网络从IP层协议本身进行了安全性改善，其安全性提升也为新应用的开展提供了便利，为端到端安全提供更灵活、方便的技术手段，能够促进新的安全业务和应用的开展。但是，随着基于IPv6的下一代网络中应用的增加、速度的加快和规模的变大，IPv6网络面临着新的安全风险，因此电信IPv6网络建设中必须同步考虑网络安全这一重要问题。

　　本文从电信运营商的角度出发，把握IPv6网络建设的脉搏，对电信IPv6网络安全保障体系的架构进行了深入研究，给出了过渡时期电信IPv6网络安全保障体系建设策略。

　　2 电信IPv6网络安全风险

　　电信IPv6网络是以IPv6协议为基础和标志性技术的下一代互联网。IPv6协议相对于IPv4协议在安全方面有了一定的改善，解决或缓解了IPv4环境中存在的部分安全问题，但物理层、链路层和应用层等安全问题在IPv6网络环境中则仍然存在。另外，IPv6协议本身将带来一些新的安全问题，在IPv4向IPv6的过渡过程中也可能产生新的安全风险。

　　（1）IPv6安全改进

　　IPv6协议巨大的地址空间、固化的安全机制等新特性对提升网络安全性有一定的作用。第一，IPv6将原先独立于IPv4协议簇之外的报头认证和安全信息封装作为扩展头置于IPv6基本协议之中，为IPv6网络实现端到端安全认证和加密封装提供了协议上的保证，能在一定程度上提升业务和应用的安全性；第二，IPv6协议禁止具有IPv6组播目的地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息，从而避免了广播风暴的产生；第三，IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1 280 byte的重组数据包等机制，有效防范了IP碎片包攻击；第四，IPv6地址数量庞大，对IPv6网络实施扫描攻击比较困难，通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施；第五， IPv6对地址前缀的指定及分配较规律，使得下游ISP的地址总是落在上游ISP的汇总地址空间内，对ISP而言，易于在入口实现过滤机制，有效防御虚假源地址攻击，同时基于IPv6的真实源地址技术的发展也使解决这种安全问题成为可能。

　　（2）IPv6网络中仍存在的安全风险

　　IPv4网络环境中大部分安全风险在IPv6网络环境中仍将存在，而且某些安全风险随着IPv6协议新特性的引入将变得更加严重。第一，DDoS等异常流量攻击仍然猖獗甚至更为严重，主要包括TCP-flood、UDP-flood等现有DDoS攻击，以及IPv6协议本身机制的缺陷所引起的攻击，如邻居发现（ND）协议报文缺乏认证可能引发的重复地址检测（duplicate address detection，DAD）攻击、IP-flooding攻击等。第二，针对DNS的攻击仍将继续存在，而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。第三，IPv6协议作为网络层的协议，仅对网络层安全有影响，其他（包括物理层、数据链路层、传输层、应用层等）各层的安全风险在IPv6网络中仍将保持不变。

　　（3）IPv6网络过渡技术安全问题

　　IPv4向IPv6的过渡是一个长期的过程，在IPv4与IPv6共存时期，为解决两者间互通所采取的各种措施将带来新的安全风险。例如，隧道方式下存在的拒绝服务攻击、中间人攻击，NAT-PT技术下存在的拒绝服务攻击等。

　　综合以上的分析，笔者认为，尽管IPv6协议在设计时考虑了安全问题，但IPv6网络环境相较于IPv4网络环境在安全性上并没有大的提升。第一，IPv6网络在IP层引入了IPv6协议，在网络架构上采用双栈等过渡技术以IPv4网络为基础进行逐步演进，因此在网络安全架构上没有质的改变。第二，IPSec机制作为IPv6数据包头的一部分内嵌到协议本身，尽管能使IPSec中间路由过程加快，但在IPSec部署实施上与IPv4并没有明显不同，同样需配套PKI等体系的建设。第三，相对于IPv4网络环境而言，在IPv6网络环境中实施扫描和分片类型的攻击将更加困难，但实施溢出类和DDoS等资源占用类攻击并未有难度上的变化，该类攻击在网络攻击危害中仍占据主导地位，IPv6网络环境的安全威胁仍很严峻。第四，IPv6网络同样需考虑应用层、传输层、物理层等的安全。

　　为防止IPv4网络发展过程中在安全方面出现的亡羊补牢、疲于应付的局面重蹈，电信运营商应在IPv6网络的设计和建设阶段同步考虑安全问题，配合多种手段从多个维度、多个层次构建IPv6网络保障安全体系。