IPv6與網(wǎng)絡(luò)安全

2017年11月26日，中共中央辦公廳、國務(wù)院辦公廳聯(lián)合印發(fā)了《推進(jìn)互

聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，指出IPv6是互聯(lián)網(wǎng)演進(jìn)升級的

必然趨勢、技術(shù)產(chǎn)業(yè)創(chuàng)新的重大契機和網(wǎng)絡(luò)安全能力強化的迫切需要，提出了全

面部署IPv6的R標(biāo)和時間表及行動方案。本文著重討論IPv6給網(wǎng)絡(luò)安全帶來的

機遇與挑戰(zhàn)。

一、IPsec不會成為推廣IPv6的障礙

在IPv6的早期標(biāo)準(zhǔn)中要求使用IPsec協(xié)議對網(wǎng)絡(luò)層IP包中用戶信息進(jìn)行加

密，本意是保證用戶通信隱私，但不良信息也可借IPsec而隱藏，給對非法內(nèi)容

的監(jiān)管帶來麻煩，因此IPsec成為發(fā)展IPv6的心病。

事實上IPsec不是為IPv6而專設(shè)的，在IETF標(biāo)準(zhǔn)中IPsec協(xié)議版本早于IPv6

首個標(biāo)準(zhǔn)而發(fā)布,IPsec也適用于IPv4。而且其他加密手段的使用已經(jīng)淡化了IPsec

的影響，廣泛使用的VPN就是加密的通道，在網(wǎng)絡(luò)層之上的TLS/SSL也是加密

協(xié)議，https相對http就是加密的網(wǎng)頁，這些在IPv4環(huán)境下己經(jīng)存在。

另外，雖然目前幾乎所有主流的操作系統(tǒng)都支持IPsec,但I(xiàn)Psec是無法默認(rèn)

就能使用的，需要可信的第三方簽發(fā)證書或者手工靜態(tài)配置共享密鑰，由于密鑰

管理的復(fù)雜性，實際的使用者很少。而且僅在網(wǎng)絡(luò)層的加密仍無法解決自身協(xié)議

的脆弱性和應(yīng)用層的安全漏洞等問題，現(xiàn)實網(wǎng)絡(luò)開放環(huán)境中節(jié)點間的通信更多地

采用上層更為靈活的TLS或SSL協(xié)議來實現(xiàn)加密，與TLS在全世界的普遍使用

相比，IPsec的加密流量幾乎可以忽略不計。在IETF的標(biāo)準(zhǔn)RFC3552中承認(rèn)，

上層應(yīng)用的開發(fā)者不能把安全寄希望于網(wǎng)絡(luò)層的IPsec,因為它很少部署。

IPsec曾經(jīng)被作為IPv6網(wǎng)絡(luò)節(jié)點的強制要求，但在TLS/SSL加密協(xié)議出現(xiàn)后

IPsec就不再是不可替代的，從2011年發(fā)布RFC64343以后，對IPv6網(wǎng)絡(luò)節(jié)點

的實現(xiàn)也不再強制要求必須支持IPsecTo因此IPsec并非IPv6的攣生體，IPv6

與IPv4相比并不因為【Psec而增加新的網(wǎng)絡(luò)及信息安全風(fēng)險。

二、IPv6的海量地址為網(wǎng)絡(luò)安全提供了溯源的手段

在IPv4體制下互聯(lián)網(wǎng)對上網(wǎng)用戶臨時動態(tài)分配地址，地址與用戶身份并沒

有確定的對應(yīng)關(guān)系，無從談起溯源，后來雖然認(rèn)設(shè)到安全的重要性，但I(xiàn)Pv4地

址資源緊張，也不可能為用戶固定分配地址。由于IPv4地址的不足，導(dǎo)致私有

地址大量使用，NAT（地址翻譯）破壞了端對端的透明性，給網(wǎng)絡(luò)安全事件溯源

帶來了困難，假冒地址橫行，網(wǎng)絡(luò)攻擊等安全事件泛濫。另外，由于歷史原因，

我國境內(nèi)IPv4地址資源的申請也存在極大的不確定性，而且IPv4地址資源極為

有限也沒有余地對IPv4地址進(jìn)行有效的統(tǒng)一規(guī)劃和管理，無法將公共服務(wù)IPv4

與普通上網(wǎng)用戶的IPv4地址分區(qū)設(shè)置，也無法從地址中區(qū)分服務(wù)類型。

IPv6海量的地址為固定分配地址和建立上網(wǎng)實名制奠定了基礎(chǔ)，在IPv6地

址中通過算法嵌入可擴(kuò)展的用戶網(wǎng)絡(luò)身份標(biāo)識信息，與真實用戶的身份關(guān)聯(lián)，可

構(gòu)建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng)，實

現(xiàn)了與自治域相關(guān)聯(lián)的IP地址前綴級粒度的真實源地址驗證.另外，IPv6充足

的地址空間可嚴(yán)格按照區(qū)域和業(yè)務(wù)類型甚至用戶類型進(jìn)行地址分配，可以實現(xiàn)對

特定IP地址溯源、按業(yè)務(wù)類型精細(xì)服務(wù)，或?qū)μ囟ǚ?wù)類型進(jìn)行區(qū)域管理、精

細(xì)化監(jiān)控與安全偵測及防護(hù)等，這種基于IP地址對網(wǎng)絡(luò)流量的控制與安全管理

效率高成本低。美國平均每個網(wǎng)民擁有6個IPv4地址，但美國政府為了反恐而

看重對1P地址的可溯源能力，因而也積極推動IPv6的部署。

IPv6海量的地址空間可有效防止通過地址掃描的攻擊。眾所周知，網(wǎng)絡(luò)攻

擊者通過地址掃描識別用戶的地理位置和發(fā)現(xiàn)漏洞并入侵，目前的技術(shù)可在45

分鐘內(nèi)掃描IPv4的全部地址空間，每一個IPv6地址是128位，假設(shè)網(wǎng)絡(luò)前綴為

64位，那么在一個子網(wǎng)中就會存在2&個地址，假設(shè)攻擊者以每秒百萬地址的速

度掃描，需要50萬年才能遍歷所有的地址，無疑將顯著提升網(wǎng)站與用戶終端設(shè)

備的安全。但這并不妨礙政府監(jiān)管部門用掃描技術(shù)發(fā)現(xiàn)違法網(wǎng)站，在完善的IPv6

地址登記和備案制度下，監(jiān)管部門能夠知道哪些地址是已經(jīng)分配的，只掃描己分

配的地址空間而不是全部IPv6地址空間，因此并不會對主動掃描帶來太大麻煩。

三、IPv6為新增根服務(wù)器創(chuàng)造了機遇

在網(wǎng)絡(luò)空間中每一個網(wǎng)站和郵件都需要有可尋址的地址，為便于記憶以域名

來代替，DNS（域名解析服務(wù)）以一個遞歸的層次結(jié)構(gòu)來保證名字系統(tǒng)與IP地

址映射的唯一性。DNS根系統(tǒng)由以管理數(shù)據(jù)為主的根區(qū)管理系統(tǒng)和以提供解析

服務(wù)為主的根服務(wù)器系統(tǒng)共同構(gòu)成，DNS根服務(wù)器負(fù)責(zé)最頂級的域名（例如國

家域名和.com等域名）解析。全球有13個根服務(wù)器，600多個鏡像，我國僅有

5個鏡像，而且這些鏡像服務(wù)器物理上在我國境內(nèi)，但由其所對應(yīng)的境外的根服

務(wù)器運營方所管理。我國互聯(lián)網(wǎng)依賴外方控制的根服務(wù)器解析頂級域名，一旦發(fā)

現(xiàn)緊急情況，缺少應(yīng)變和反制手段。另外，存在我國頂級域提交至根區(qū)的數(shù)據(jù)被

惡意刪除、劫持或篡改的可能性，導(dǎo)致抵御大規(guī)模DDoS（拒絕服務(wù)）的能力不

足。由于IPv4幀結(jié)構(gòu)單個報文長度的限制，現(xiàn)有13個IPv4根服務(wù)器基本上不

可能再擴(kuò)展，目前在IPv4的DNS體制下雖然也有過若干改進(jìn)方案，但都不能解

決頂級域名解析的可控問題。

IPv6體系為擴(kuò)展根服務(wù)器提供了新的機遇，在IPv6新的幀格式中可安排25

個IPv6根服務(wù)器，形成一組全功能、并與現(xiàn)有IPv4體系并行和互通的國際根體

系。現(xiàn)有13個IPv4根服務(wù)器能同時解析IPv4與IPv6,25個IPv6根服務(wù)器借助

IPv4/IPv6地址翻譯等技術(shù)也兼有解析IPv4的能力。由我國企業(yè)提出的IPv6根服

務(wù)器體系方案，堅持了全球一個互聯(lián)網(wǎng)一個命名空間但多種尋址方案的理念，滿

足共同管理根服務(wù)器等互聯(lián)網(wǎng)關(guān)鍵資源的國際訴求，在國際互聯(lián)網(wǎng)社區(qū)得到積極

的反響，目前已在中、美、日、E|l、歐、非、澳、南美等16個國家架設(shè)了25

臺IPv6根服務(wù)器，開展了IPv6域名解析的服務(wù)試驗與互操作性測試，并在1ETF

提出了相應(yīng)的標(biāo)準(zhǔn)提案。IPv6根服務(wù)器體系不僅為我國擁有自主可控的根服務(wù)

器提供了機會，也是中國在DNS體系創(chuàng)新方面為國際互聯(lián)網(wǎng)治理體系朝著更加

公平合理安全共治的方向發(fā)展所做的貢獻(xiàn)。

四、IPv6體系下的安全挑戰(zhàn)

IPv6體系給網(wǎng)絡(luò)安全的發(fā)展提供了新的機遇，但原有的網(wǎng)絡(luò)安全的一些問

題并不因IPv6就自動消失。由丁1P網(wǎng)絡(luò)傳輸?shù)谋举|(zhì)沒有發(fā)生變化，所以IPv6

同樣會面臨現(xiàn)有IPv4網(wǎng)絡(luò)下的分片攻擊（產(chǎn)生大量分片或發(fā)送不完整的分片報

文來耗費防火墻資源或處理時間）。IPv4網(wǎng)絡(luò)中除IP層以外的其他四層中出現(xiàn)

的攻擊在IPv6網(wǎng)絡(luò)中依然會存在。

在IPv6根服務(wù)器體系下，其主服務(wù)器還需要從IANA（互聯(lián)網(wǎng)數(shù)字分配機

構(gòu)）的頂級域服務(wù)器獲得根區(qū)更新數(shù)據(jù)，在數(shù)據(jù)來源上與IPv4沒有區(qū)別。雖然

從2016年10月起，IANA的職能已從美國政府移交到ICANN（互聯(lián)網(wǎng)名稱及

數(shù)字地址分配機構(gòu)），ICANN表面上是多利益相關(guān)方社群，但美國政府的影響

力不可忽視。特朗普政府的網(wǎng)絡(luò)安全首席顧問托馬斯?博賽特就曾公開表示：“互

聯(lián)網(wǎng)是美國的發(fā)明，應(yīng)該在塑造所有國家未來的過程中，能夠反映美國價值觀

如何保證從根區(qū)管理系統(tǒng)獲取的數(shù)據(jù)不被劫持或篡改，不僅需要有技術(shù)手段，還

需要從推動ICANN管理機制的改革入手，共同構(gòu)建和平、安全、開放、合作的

網(wǎng)絡(luò)空間，建立多邊、民主、透明的國際互聯(lián)網(wǎng)治理體系。

IPv6海量的地址規(guī)模提供了上網(wǎng)實名制的基礎(chǔ)，海量地址的查詢變得更加

復(fù)雜，但是攻擊者仍然可以通過IPv6前綴信息搜集、隧道地址猜測、虛假路由

通告及DNS查詢等手段搜集到活動主機信息從而發(fā)起攻擊。另外，雖然IPscc

并不新增對不良內(nèi)容監(jiān)管的威脅，但事實上各種層面上的加密已經(jīng)成為互聯(lián)網(wǎng)未

來發(fā)展的常態(tài)，信息安全管理要適應(yīng)信息加密的現(xiàn)狀，除了技術(shù)措施外，在內(nèi)容

管理的機制上也需要創(chuàng)新。

IPv6還會帶來網(wǎng)絡(luò)安全的新挑戰(zhàn)，攻擊者可利用IPv6報文的擴(kuò)展報頭（可選

旦多種）構(gòu)造包含異常數(shù)量擴(kuò)展頭的報文，防火墻為解析報文將耗費大量資源，

從而影響轉(zhuǎn)發(fā)性能。在IPv6中采用NDP（鄰居發(fā)現(xiàn)協(xié)議）取代現(xiàn)有IPv4中ARP

（地址解析協(xié)議），但實現(xiàn)原理基本相同，針對ARP的攻擊如地址欺騙和泛洪

等在IPv6中仍然存在，發(fā)送錯誤的路由器宣告和重定向消息等引IP流轉(zhuǎn)向，達(dá)

到DDoS、攔截和修改數(shù)據(jù)的目的。再者，IPv6的無狀態(tài)地址自動分配機制也可

能使非授權(quán)用戶更容易接入和使用網(wǎng)絡(luò)。此外，IPv6海量的地址以及有可能按

地址所分類的業(yè)務(wù)來選路，將帶動新的路由體系和新的選路協(xié)議的開發(fā)，可能會

引入新的安全漏洞。

從IPv4向IPv6過渡將要持續(xù)一段時間，過渡與互通方案也會帶來新的安全

問題，攻擊者可以利用過渡協(xié)議的安全漏洞來逃避安全監(jiān)測乃至實施攻擊行為，

IPv4overIPv6或IPv6overIPv4的隧道機制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封

裝和解封，沒有內(nèi)置認(rèn)證、完整性和加密等安全功能，并不對IPv4和IPv6地址

的關(guān)系做嚴(yán)格的檢查，攻擊者可以隨意截取隧道報文，通過偽造外層和內(nèi)層地址

偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設(shè)。翻譯技術(shù)將IP

流在IP\，4/IPv6間轉(zhuǎn)換，可能會受到如NAT設(shè)備常見的地址池耗盡等DDoS攻

擊。未來在規(guī)模部署中還會出現(xiàn)更多的網(wǎng)絡(luò)安全問題。

在關(guān)于IPv6規(guī)模部署的行動計劃中，網(wǎng)絡(luò)安全提升是其中的重要任務(wù)，包

括的內(nèi)容有：升級改造現(xiàn)有網(wǎng)絡(luò)安全保隙系統(tǒng)，提升對IPv6地址和網(wǎng)絡(luò)環(huán)境的

支持能力。嚴(yán)格落實IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案，加強IPv6地址備案管理，協(xié)

同推進(jìn)IPv6部署與網(wǎng)絡(luò)實名制，落實技術(shù)接口要求，增強IPv6地址精準(zhǔn)定位、

偵杳打擊和快速處置能力。開展針對IPv6的網(wǎng)絡(luò)安全等級保護(hù)、個人信息保護(hù)、

風(fēng)險評估、通報預(yù)警、災(zāi)難備份及恢復(fù)等工作。開展IPv6環(huán)境下的工業(yè)互聯(lián)網(wǎng)、

物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等領(lǐng)域網(wǎng)絡(luò)安全技術(shù)、管理及機制研究工作。

強化網(wǎng)絡(luò)數(shù)據(jù)安全管理及個人信息保護(hù)能力，確保網(wǎng)絡(luò)安全。

綜上所述，推進(jìn)IPv6規(guī)模部署的方向已明確，行動在即，要抓住IPv6帶來

的新機遇，充分利用和發(fā)揮IPv6內(nèi)含的網(wǎng)絡(luò)安全潛力，正視IPv6帶來的網(wǎng)絡(luò)安

全挑戰(zhàn)，在推進(jìn)IPv6部署中發(fā)現(xiàn)問題，以創(chuàng)新來開創(chuàng)網(wǎng)絡(luò)安全的新局面。

根域名服務(wù)器的安全挑戰(zhàn)

因特網(wǎng)（Internet）自從1969年誕生以來，發(fā)展迅猛。現(xiàn)在，世界各國的政治、

軍事、經(jīng)濟(jì)、科技、文化、教育、醫(yī)療、生活、金融等各個領(lǐng)域都被因特網(wǎng)軼系

在一起了。

因此，下一代互聯(lián)網(wǎng)的安全對于世界各國都面臨重要挑戰(zhàn)。

1.中國互聯(lián)網(wǎng)安全存在的致命問題

如果把互聯(lián)網(wǎng)比作一棵樹，那么下一代互聯(lián)網(wǎng)的總核心、總樞紐（樹根）、主

干網(wǎng)（樹干）都在美國。美國因特網(wǎng)是全球因特網(wǎng)的根和主干；而中國因特網(wǎng)（互

聯(lián)網(wǎng)）是全球因特網(wǎng)的分支（樹枝）或者是樹葉。目前，雖然中國互聯(lián)網(wǎng)應(yīng)用走在

全球的前列，但是這種繁榮只是枝葉茂盛。如果樹干或者根出現(xiàn)問題，那么樹葉

馬上就會干枯。

從美國的全球因特網(wǎng)總樞紐到中國，有三條海底光纜管道，分別到青島、上海

（崇明島）、汕頭。這三條海底光纜與中國內(nèi)地的互聯(lián)網(wǎng)光纜聯(lián)結(jié)。因此，中國不

存在網(wǎng)絡(luò)主權(quán)。美國可以在半個小時之內(nèi)使得中國的因特網(wǎng)系統(tǒng)癱瘓，從而使中

國的城市交通監(jiān)控系統(tǒng)、鐵路調(diào)度系統(tǒng)、電力調(diào)度系統(tǒng)、航空管理系統(tǒng)、金融網(wǎng)

絡(luò)系統(tǒng)、公共安全監(jiān)控系統(tǒng)等和大型重要信息系統(tǒng)面臨癱瘓風(fēng)險。

中科院信息安全國家重點實驗室呂述望教授(北京知識安全工程中心主任)曾經(jīng)

正確地指出：“美國隨時可以關(guān)掉中國的互聯(lián)網(wǎng)。”但是中國己經(jīng)采用相應(yīng)的應(yīng)對

措施，避免這種極端現(xiàn)象的出現(xiàn)。

2.IPv4.IPv6和中國受到的IP地址限制

2.1.網(wǎng)站域名、IPv4、IPv6和IP地址的概念

因特網(wǎng)上的網(wǎng)站域名是網(wǎng)站的標(biāo)示，通常用英語字母和數(shù)字表示。例如，中華

網(wǎng)的域名是C;網(wǎng)易公司的電子郵箱網(wǎng)站的域名是163.como每個域名都

有對應(yīng)的用數(shù)字表示的地址，稱為IP地址.例如，某人電腦上網(wǎng)用的網(wǎng)站IP地

址是36o

IPv4和IPv6是因特網(wǎng)域名解析協(xié)議，其作用是把域名用數(shù)字表示，再把數(shù)字

轉(zhuǎn)換成機器代碼。因特網(wǎng)域名解析協(xié)議是公開的技術(shù)，而不是秘密的技術(shù)。

lPv4(InternetProtocolversion4)使用2進(jìn)制域名IP地址。IPv4的域名IP數(shù)字地

址有32位。1P地址的個數(shù)是2的32次方，包含了大約42億個IP地址。目前，

仝球的網(wǎng)站大部分使用IPv4地址。

IPv6(InternetProtocolversion6)也使用2進(jìn)制域名IP地址。IPv6的域名IP數(shù)字

地址有128位。IP地址的個數(shù)是2的128次方。為此，IPv6的域名IP地址足夠

人類使用萬萬億年。

2.2.中國受到IPv4網(wǎng)絡(luò)IP地址的限制

IPv4域名地址是由美國分配的。中國的因特網(wǎng)用戶占全球是25%。但是，中

國只擁有5%的IP地址。中國被分配的IP地址少于印度。美國麻省理工學(xué)院一

所大學(xué)占有的IPv4頂級域名比中國全國占有的IPv4頂級域名還多。美國的IPv4

域名地址可以用到2030年以后，但是，中國的IPv4頂級域名基本上用完了。

截至2019年12月，全球約有6.5億個有效網(wǎng)絡(luò)域名，平均大概每11個人一

個域名。美國大約有1.2億個有效網(wǎng)絡(luò)域名，平均每3人一個域名。而中國目前

只有1840萬個有效域名，平均每74人才有一個域名，不到世界人均水平的六分

之一，是美國人均水平的二十五分之一。美國有大約1億個網(wǎng)站，中國則只有

320萬個網(wǎng)站，相差30多倍。

3.雪人計劃的發(fā)起和計劃的目的

“雪人計劃”(YetiDNSProject)是由美國專家和日本組織提議、中國下一代互

聯(lián)網(wǎng)國家工程中心主持、中國資助的大型項目。

中國下一代互聯(lián)網(wǎng)國家工程中心(ChinaFutureInternetEngineeringCenter,

CFIEC),是由北京市發(fā)改委于2012年認(rèn)定的北京市工程研究中心，并于2015

年由國家發(fā)改委批復(fù)升級為國家地方聯(lián)合工程研究中心。下一代互聯(lián)網(wǎng)國家工程

中心專家委員會由郭賀錚院士(時任中國工程院副院長)領(lǐng)銜，來自國內(nèi)外36

位互聯(lián)網(wǎng)基礎(chǔ)技術(shù)領(lǐng)域最具影響力的專家學(xué)者共同組成.

2015年6月23日，由中國下一代互聯(lián)網(wǎng)工程中心(CFIEC)牽頭,聯(lián)合日本W(wǎng)IDE

機構(gòu)(M根服務(wù)器運營者)、因特網(wǎng)先驅(qū)美國PaulVixie(保羅?維克謝)博士、因特

網(wǎng)域名工程中心(ZDNS)等組織和個人共同發(fā)起、創(chuàng)立了雪人計劃。

雪人計劃是美國PaulVixie(保羅?維克謝)博士和E本W(wǎng)IDE機構(gòu)提議的。雪人計

劃英文名YetiDNSProject中的Yeti是日文“雪人”的英譯。保羅?維克謝是因特網(wǎng)

的先驅(qū)者、國際因特網(wǎng)名人堂入選者。他是美國遠(yuǎn)見安仝(FarsightSecurity)公司

的董事長和首席執(zhí)行官。

“雪人計劃(YetiDNSProject)”是基于全新技術(shù)架構(gòu)的全球下一代因特網(wǎng)(IPv6)

根服務(wù)器測試和運營實驗項目，其目的是打破現(xiàn)有的13個根服務(wù)器困局，為下

一代因特網(wǎng)提供更多的根服務(wù)器解決方案。

4.全球IPv6網(wǎng)絡(luò)和雪人計劃的意義

4.1.雪人計劃的成果和全球IPv6網(wǎng)絡(luò)

經(jīng)過兩年半的實施,到2017年12月底，雪人計劃基本完成,取得了很大成果。

主要成果是建立了聯(lián)結(jié)16個國家的IPv6網(wǎng)絡(luò)。

截至2017年11月26日，在與現(xiàn)有IPv4根服務(wù)器體系架構(gòu)充分兼容基帽上,

雪人計劃在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25

臺IPv6根服務(wù)器設(shè)置，形成了13臺原有IPv4根服務(wù)器加25臺IPv6根服務(wù)器

的新格局。其中中國部署了4臺根服務(wù)器，包括1臺主根服務(wù)器(不是真正的主

根服務(wù)器)和3臺輔根服務(wù)器。

4.2.雪人計劃的積極意義

雖然雪人計劃只是一個測試計劃，而旦雪人計劃的實施、完成未能保障中國

互聯(lián)網(wǎng)的安全，但是，完成雪人計劃還是有積極意義的。

雪人計劃的積極意義如下：

第一，通過聯(lián)合全球機構(gòu)來做測試和試運營，實際驗證在IPv6協(xié)議下根服務(wù)

器可以突破13臺的限制，并且獲得了第一手的運營、故障排查和維護(hù)的經(jīng)驗，

為IPv4網(wǎng)絡(luò)過渡到IPv6網(wǎng)絡(luò)掃清了技術(shù)上的障礙。

第二，在全世界范圍內(nèi)獲得了一大批支持的國家。他們愿意一起在IPv6時代

共同治理全球因特網(wǎng)，形成了打破全球因特網(wǎng)由美國單邊治理的共識。

第三，當(dāng)IPv6時代真正來臨的時?候，如果美國依然想控制根服務(wù)器，中國有

技術(shù)能力和影響力來召集眾多“盟友”與之抗衡。事實上，美國已經(jīng)意識到因特網(wǎng)

單邊管治的時代可能會結(jié)束，所以很早就作為一個成員國參與了雪人計劃IPv6

網(wǎng)絡(luò)的測試。

5.雪人計劃沒有解決中國的網(wǎng)絡(luò)安全問題

很多人說，“因為中國現(xiàn)在有了4個根服務(wù)器，所以在IPv6時代我們完全可以

和美國在因特網(wǎng)治理上平起平坐了”；"中國有獨立自主、安全可靠的IPv6網(wǎng)絡(luò)系

統(tǒng)了事實并非如此°

⑴雪人計劃是一個在測試環(huán)境中的“實驗室”項目。該計劃己經(jīng)在2017年12月

底結(jié)束。它是一個暫時的、允許失敗的前期技術(shù)測試項目，嚴(yán)格地來說甚至不能

算作是“技術(shù)原型”，更不是在生產(chǎn)環(huán)境中的“官方”根服務(wù)器部署。

中國正在努力推進(jìn)IPv6根服務(wù)器在中國的落地。但是，中國互聯(lián)網(wǎng)協(xié)會理事

長郭賀鈴院士說：“我們國家在探討IPv6建設(shè)過程中，提出過要增強(IPv6)主根

的部署。不過尚不明確主根最終能否以及有多少可以建在國內(nèi)。”

(2)雪人計劃設(shè)立的中國IPv6"主根服務(wù)器”并非完全獨立，不是真正的主根服務(wù)

器，而是在美國的IPv4主根服務(wù)器之下的測試性服務(wù)器。IPv6根服務(wù)器繼承了

IPv4中F根服務(wù)器(設(shè)在美國弗吉尼亞州)中的基礎(chǔ)數(shù)據(jù)，包括所有頂級域名的數(shù)

據(jù)。中國的IPv6”主根報務(wù)器”受美國的IPv4主根服務(wù)齡和F服務(wù)器的控制、監(jiān)

視。

(3)從技術(shù)上來看，根服務(wù)器之間也并不平等。雪人計劃新增的25臺IPv6根服務(wù)

器的地位事實上要低于之前的13臺IPv4根服務(wù)器。正如鄒賀鏗院士所說，“IPv4

的根服務(wù)器對IPv6的根服務(wù)器依然擁有解釋權(quán)。所以即便未來中國有/IPv6的

根服務(wù)器，也并不意味著中國就能起到主導(dǎo)作用?！?/p>

(4)IPv6的安全性能不如IPv4o在IPv4網(wǎng)絡(luò)，網(wǎng)站(因特網(wǎng)空間實體)IP地址可以

是動態(tài)的J而在IPv6網(wǎng)絡(luò)，每一個網(wǎng)站都有一個確定的、靜態(tài)TP地址，所以IPv6

系統(tǒng)便于敵人對目標(biāo)網(wǎng)站精準(zhǔn)定位，精準(zhǔn)打擊。因此，美國政府部門和美國軍隊

都不使用IPv6。美國是故意推給中國用大量經(jīng)費建設(shè)試驗性IPv6系統(tǒng)，而不是

沒有能力建設(shè)IPv6系統(tǒng)。

(5)基于“同一個世界，同一個互聯(lián)網(wǎng)，同一個域名空間''的理念，雪人計劃沒有試

圖進(jìn)行“域名空間分叉”。雪人計劃所做的所有測試都是基于IPv4的架構(gòu)下的拓

展，而并非“另起爐灶”重新建立一套新的域名管理系統(tǒng)和根服務(wù)器。這就是說，

無論是IPv4網(wǎng)絡(luò)還是IPv6網(wǎng)絡(luò)，全球因特網(wǎng)的總核心、主干網(wǎng)、總樞紐、主根

服務(wù)器、萬維網(wǎng)總站仍然在美國，由美國的企業(yè)控制和管理。

因此，IPv6和雪人i一劃根本沒有解決中國的網(wǎng)絡(luò)安全問題。

6.雪人計劃之后的任務(wù)和目標(biāo)

雪人計劃在2017年12月基本完成。雪人計劃完成之后，關(guān)于IPv6網(wǎng)絡(luò)，中

國的后續(xù)任務(wù)和F1標(biāo)是什么？

據(jù)新華社2017年11月26日報道，近日，中共中央辦公廳、國務(wù)院辦公廳印

發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》，并發(fā)出通知，要求

各地區(qū)各部門結(jié)合實際認(rèn)真貫徹落實?！队媱潯芬螅?到10年時間，形成

下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)

絡(luò)，實現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會各領(lǐng)域深度融合應(yīng)用，成為全球下一代互狹網(wǎng)

發(fā)展的主導(dǎo)力量。

中國“成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導(dǎo)力量”是十年的目標(biāo)。

但是，正如我們在第一部分所說，全球因特網(wǎng)由美國主導(dǎo)，受美國控制。因此，

即使中國十年內(nèi)（到2027年）建成了“全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)”，也不

可能”成為全球下一代互聯(lián)網(wǎng)發(fā)展的主導(dǎo)力量中國要成為全球IPv6網(wǎng)絡(luò)的主

導(dǎo)力量，必須花30年左右時間。

下一代互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)

無論IPv4網(wǎng)絡(luò)還是IPv6網(wǎng)絡(luò)，安全威脅是一直存在的問題。IPv6協(xié)議在增加安全性的

同時，也引入了一些特有的問題。目前IPv6各運營商開始大規(guī)模部署IPv6網(wǎng)絡(luò)，但是相應(yīng)

的IPv6安全研究和實踐沒有得到足夠的重視和發(fā)展。本文將從IPv6協(xié)議相對IPv4協(xié)改變

化、IPv6協(xié)議安全改進(jìn)、IPv6協(xié)議安全威脅及防護(hù)三個方面闡述一下IPv6網(wǎng)絡(luò)安全性。

一、Pv6和IPv4協(xié)議安全性比較

1、IPv6擴(kuò)展頭

IPv4協(xié)議報文頭結(jié)構(gòu)冗余，影響轉(zhuǎn)發(fā)效率；同時狹乏對端到端安全、QOS、移動互

聯(lián)網(wǎng)安全的有效支持。IPv6協(xié)議重點針對上述幾個方面進(jìn)行了改進(jìn)，采用了更加精簡有效

的報文頭結(jié)構(gòu)。IPv6協(xié)議選項字段都放在擴(kuò)展頭中，中間轉(zhuǎn)發(fā)設(shè)備不需要處理所有擴(kuò)展報

文頭，提高數(shù)據(jù)包處理速度，并且通過擴(kuò)展選項實現(xiàn)強制IPSec安全加密傳輸和對移動互聯(lián)

網(wǎng)安全的支持。

其中FragmentHeader用于分片報文傳輸；EncapsulatingSecurityPayload和Authentication

Header用于實現(xiàn)IPSec加密傳輸；ICMPv6擴(kuò)展頭在IPv6協(xié)議中地位舉足輕重，承載了IPv6

基礎(chǔ)協(xié)議：鄰居發(fā)現(xiàn)協(xié)議（NDP）。

2、IPv6協(xié)議安全改進(jìn)

IPv6具備巨大的地址空間，并且設(shè)計之初就考慮了各種應(yīng)用的安全，具體包括如下凡個

方面。

(1)可溯源和防攻擊

在IPv4網(wǎng)絡(luò)中，由于地址空間的不足,普遍部署NAT.CGN技術(shù)更是引入了多級NAT。

NAT的存在一方面破壞了互聯(lián)網(wǎng)端到端通信的特性，另一方面NAT隱藏了用戶的真實IP,

導(dǎo)致事前基于過濾類的預(yù)力.機制和事后追蹤溯源變的尤為困難。IPv6網(wǎng)絡(luò)地址資源豐富，

不需要部署NAT,每一個終端都可以分配到一個IP地址并和個人信息進(jìn)行綁定。安全設(shè)備

可以通過簡單的過濾策略對節(jié)點進(jìn)行安全控制，進(jìn)一步提高網(wǎng)絡(luò)安全性。

在IPv4網(wǎng)絡(luò)中，黑客攻擊的第一步通常是對目標(biāo)主機及網(wǎng)絡(luò)進(jìn)行掃描并搜集數(shù)據(jù)，以

此推斷出目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及主機開放的服務(wù)、端口等信息從而進(jìn)行針對性地攻擊。在

IPv6網(wǎng)絡(luò)中，每一個IPv6地址是128位，假設(shè)網(wǎng)絡(luò)前綴為64位，那么在一個子網(wǎng)中就會存

在264個地計,假設(shè)攻擊者以100萬每秒的速度掃描，需要5()萬年才能遍歷所有的地址。墳

使得網(wǎng)絡(luò)偵察的難度和代價都大大增加，從而進(jìn)一步防范了攻擊。

(3)IPv6的默認(rèn)"Sec安全加密機制

IPv4協(xié)議設(shè)計時為考慮效率并沒有考慮安全機制，【PSec是獨立于IP協(xié)議族之外的，

這使得目前互聯(lián)網(wǎng)上的大部分?jǐn)?shù)據(jù)流都沒有加密和驗證，攻擊者很容易對報文進(jìn)行竊取和修

改。另外IPv4網(wǎng)絡(luò)中，NAT和IPSec二者協(xié)議上沖突性也給IPScc的部署帶來復(fù)雜度。

IPv6協(xié)議中集成了IPSec,通過認(rèn)證報頭(AH)和封裝安仝載荷報頭(ESP)兩個擴(kuò)

展頭實現(xiàn)加密、驗證功能，其中AH協(xié)議實現(xiàn)數(shù)據(jù)完整性利數(shù)據(jù)源身份認(rèn)證功能，而ESP

在上述功能基礎(chǔ)上增加安全加密功能。IPv4協(xié)議中IPSec抗重放攻擊等安全功能在IPv6協(xié)

議中同樣被繼承。集成了IPSec的IPv6協(xié)議真正實現(xiàn)了端到端的安全，中間轉(zhuǎn)發(fā)設(shè)備只需

要對帶有IPSec擴(kuò)展包頭的報文進(jìn)行普通轉(zhuǎn)發(fā)，大大減輕轉(zhuǎn)發(fā)壓力。

(4)鄰居發(fā)現(xiàn)協(xié)議(NDP)和SEND

在IPv6協(xié)議中，采用NDP(neighbordiscoveryprolucul)協(xié)議取代現(xiàn)有IPv4中ARP及部

分ICMP控制功能如路由器發(fā)現(xiàn)、重定向等。

NDP協(xié)議通過在節(jié)點之間交換ICMPv6信息報文和差錯報文實現(xiàn)鏈路層地址及路由發(fā)

現(xiàn)、地址自動配置等功能；并且通過維護(hù)鄰居可達(dá)狀態(tài)來加強通信的健壯性。

NDP協(xié)議獨立于傳輸介質(zhì)，可以更方便地進(jìn)行功能擴(kuò)展；并且現(xiàn)有的IP層加密認(rèn)證機

制可以實現(xiàn)對NDP協(xié)議的保護(hù)。

此外，下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)協(xié)議（SEND）通過獨立于IPSec的另一種加密方式

（CGA）,保證了傳輸?shù)陌踩浴?/p>

（5）真實源地址檢查體系

真實源IPv6地址驗證體系結(jié)構(gòu)（SAVA）分為接入網(wǎng)（AccessNetwork）、區(qū)域內(nèi)（Intr?AS）

和區(qū)域間（Intcr-AS）源地址驗證三個層次，從主機1P地址、IP地址前綴和自治域三個粒度

構(gòu)成多重監(jiān)控防御體系，該體系不但可以有效阻止仿冒源地址類攻擊；而且能夠通過監(jiān)控流

量來實現(xiàn)基于真實源地址的計費和網(wǎng)管。目前基于SAVA實現(xiàn)的系統(tǒng)在CNGI-CERNET2網(wǎng)

絡(luò)上進(jìn)行了實驗性部署、運行和測試，已經(jīng)形成標(biāo)準(zhǔn)RFC。

二、IPv6網(wǎng)絡(luò)中新的安全威脅

雖然IPv6協(xié)議從設(shè)計之初就增加了安全方面的考慮，但是任何協(xié)議都不可能是完美的，

網(wǎng)絡(luò)中同樣存在針對IPv6協(xié)議的攻擊。安全威脅主要分為三類。

第一類針對IPv6協(xié)議特點進(jìn)行的攻擊；

第二類IPV6新的應(yīng)用下帶來的安全風(fēng)險；

第三類針對IPv4向IPv6過渡過程中的翻譯和隧道技術(shù)的攻擊。

1.根據(jù)協(xié)議特點進(jìn)行的攻擊

部署IPv6后，由于IP網(wǎng)絡(luò)傳輸?shù)谋举|(zhì)沒有發(fā)生變化，所以IPv6同樣會面臨一些現(xiàn)有

IPv4網(wǎng)絡(luò)卜的攻擊如分片攻擊和地址欺騙攻擊等。同時會出現(xiàn)一些針對專門針對IPv6協(xié)議

新內(nèi)容的攻擊。

（1）分片攻擊

IPv4協(xié)議的分片攻擊主要有以下兩種：

通過在首片中不包含傳輸層信息來逃避防火墻的安全防護(hù)策略；

產(chǎn)生大量分片使得防火湍耗費大量資源實現(xiàn)重組，或者發(fā)送不完整的分片報文強迫防火墻

長時間等待集合中的其他分片。

IPv6環(huán)境下攻擊方法類似，可以通過嚴(yán)格限制同一片報文的分片數(shù)目，設(shè)置合理的分片

緩沖超時時間等手段來預(yù)防此類攻擊。

（2）NDP協(xié)議攻擊

IPv6采用NDP協(xié)議替代IPv4中的ARP協(xié)議，二者雖然協(xié)議層次不同但實現(xiàn)原理基本

一致，所以針對ARP的攻擊如ARP欺騙、ARP泛洪等在IPv6協(xié)議中仍然存在，同時IPv6

新增的NS、NA也成為新的攻擊目標(biāo)。NDP協(xié)議奇希望于逋過IPSec來實現(xiàn)安全認(rèn)證機制，

但是協(xié)議并沒有給出部署指導(dǎo)，另一方面，SEND協(xié)議可以徹底解決NDP協(xié)議的安全問題，

但是n前終端及設(shè)備還普遍不支持該協(xié)議。

因此現(xiàn)階段對ND欺騙的防護(hù)可以參考現(xiàn)有ARP的防范手段，其基本思路就是通過ND

detection和DHCPSnooping得到主機IP、MAC和端口的綁定關(guān)系，根據(jù)綁定關(guān)系對非法

ND報文進(jìn)行過濾，配合RATrust和DHCPTrust對RA報文和DHCP報文進(jìn)行限制。當(dāng)然，

通過配置端口的最大ND表項學(xué)習(xí)數(shù)量也可以避免ND泛洪攻擊.

(3)擴(kuò)展頭攻擊

當(dāng)前協(xié)議對IPv6擴(kuò)展頭數(shù)量沒有做出限制，同一種類型的擴(kuò)展頭也可以出現(xiàn)多次。攻

擊者可以通過構(gòu)造包含異常數(shù)量擴(kuò)展頭的報文對防火墻進(jìn)行DOS攻擊，防火墻在解析報文

時耗費大量資源，從而影響轉(zhuǎn)發(fā)性能。這種攻擊可以通過限制擴(kuò)展頭的數(shù)量和同?類型擴(kuò)展

頭實例的數(shù)目來避免。

(4)IPv6DNS攻擊

目前針對DNS的攻擊較多，如“網(wǎng)絡(luò)釣魚”，“DNS緩沖中毒”等，這些攻擊會控制

DNS服務(wù)器，將合法網(wǎng)站DNS記錄中的IP地址進(jìn)行篡改，從而實現(xiàn)DOS或釣魚攻擊。IPv6

的SLACC協(xié)議支持任一節(jié)點都可以上報DNS域名和IP地址，本意是通過該協(xié)議提高DNS

的更新速率,但是這樣帶來了冒用域名的風(fēng)險。DNS安全擴(kuò)展協(xié)議(DNSSecurityExtension)

基于PKI公私鑰體系實現(xiàn)對DNS記錄的認(rèn)證及完整性保護(hù)，除了可以預(yù)防上述攻擊外，對

現(xiàn)存的DNS攻擊同樣有效°

三、IPv6新的應(yīng)用帶來的安全風(fēng)險

1.IPv6網(wǎng)絡(luò)不支持NAT,這就意味著任何一臺終端都會暴露在網(wǎng)絡(luò)中。雖然IPv6巨大

的地址空間使得攻擊者的掃描變的困難，但是攻擊者仍然可以通過IPv6前綴信息搜集、隧

道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息從而發(fā)起攻擊，對于這

種攻擊需要制定完善的邊界防護(hù)策略。

IPv6強制使用IPSec,使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP

加密，三層以上的信息都是不可見的，控制難度大大增加，在這種情況下，無法實現(xiàn)端到端

的IPSec,需要安全設(shè)備作為IPSec網(wǎng)關(guān)。

2.針對IPv6過渡過程中的翻譯及隧道技術(shù)的攻擊

在IPv4向IPv6演進(jìn)過程中，不同階段存在不同過渡技術(shù)，這些技術(shù)基本上分為三類：雙

棧技術(shù)、隧道技術(shù)和翻譯技術(shù)。

目前針對各種過渡技術(shù)無成熟應(yīng)用經(jīng)驗，從設(shè)備商到運營商整體對安全的考慮不足，所以

很可能存在以下三種安全威脅。

許多操作系統(tǒng)都支持雙棧，IPv6默認(rèn)是激活的，但并沒有向IPv4一樣加強部署IPv6的安

全策略。由于IPv6支持自動配置，即使在沒有部署IPv6的網(wǎng)絡(luò)中，這種雙棧主機也可能受

到IPv6協(xié)議攻擊。

兒乎所有的隧道機制都沒有內(nèi)置認(rèn)證、完整性和加密等安全功能，：攻擊者可以隨意截取

隧道報文，通過偽造外層和內(nèi)層地址偽裝成合法用戶向隧道中注入攻擊流量；像61。4和

ISATAP隧道的IPv6地址是通過特殊前綴內(nèi)嵌IPv4地址構(gòu)成的，攻擊者還可以據(jù)此推測主

機的IPv4地址進(jìn)行掃描攻擊。

協(xié)議轉(zhuǎn)換技術(shù)如NAT64\NAT-PT涉及載荷轉(zhuǎn)換，無法實現(xiàn)端到端IPSec,就會受到NAT

設(shè)備常見的地址池耗盡等DDOS攻擊。

針對卜.述威脅有以下幾種預(yù)防方法：主機或防火墻需要關(guān)閉不用的IPv6服務(wù)端口，必要

時可以關(guān)閉IPv6協(xié)議棧；通過配置靜態(tài)隧道防止非授權(quán)隧道接入；使用反電子欺騙技術(shù)拒

絕來自錯誤隧道的數(shù)據(jù)包；使用IPSec保護(hù)隧道流量防止嗅探；翻譯設(shè)備做好自身的DDOS

攻擊防護(hù)。

四結(jié)論

從協(xié)議層面來看IPv6相比IPv4對互聯(lián)網(wǎng)安全有了更多的考慮，但是任何協(xié)議都不是

完美的，新生事物總要經(jīng)過一段磨合適應(yīng)期?？梢灶A(yù)見在IPv6部署伊始，很可能會爆發(fā)各

種各樣的安全問題。從用戶角度看需要提高對網(wǎng)絡(luò)安全的重視和網(wǎng)絡(luò)安全知識的普及。從運

營商角度看，作為下一代互聯(lián)網(wǎng)的承建者，在建設(shè)之初就應(yīng)該結(jié)合下一代互聯(lián)網(wǎng)的特點制定

相應(yīng)的安全措施，包括建立完善真實源地址檢查機制，同時做好網(wǎng)絡(luò)監(jiān)管，提供事后溯源。

作為設(shè)備商需要緊密跟蹤網(wǎng)絡(luò)安全動態(tài)，提升設(shè)備本身的IPv6協(xié)議及防護(hù)的穩(wěn)定性及完善

相應(yīng)的安全防護(hù)功能。相信通過大家的共同努力，一定可以營造一個健康、安全的下一代互

聯(lián)網(wǎng)環(huán)境。

基礎(chǔ)知識

一.什么是IPv6

IPv6是英文“InlemetProtocolVersion6"(互聯(lián)網(wǎng)協(xié)議第6版)的縮寫，是用

于替代IPv4的下一代IP協(xié)議，也就是下一代互聯(lián)網(wǎng)的協(xié)議，其地址數(shù)量號稱

可以為全世界的每一粒沙子編上一個地址。

IPv6的使用，不僅能解決網(wǎng)絡(luò)地址資源數(shù)量的問題，而且也解決了多種接

入設(shè)備連入互聯(lián)網(wǎng)的障礙。其128位地址格式將以其在IP地址數(shù)量、安全性、

移動性、服務(wù)質(zhì)量等方面的巨大優(yōu)勢，改變現(xiàn)代信息生活。

互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(IANA)在2016年已向國際互聯(lián)網(wǎng)工程任務(wù)組(IETF)

提出建議，要求新制定的國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)只支持IPv6,不再兼容IPv4。

二IPv6的優(yōu)勢

1.明顯地擴(kuò)大了IP地址空間

2.明顯提高了網(wǎng)絡(luò)的整體吞吐量

3.使得整個服務(wù)質(zhì)量得到了很大改善

4.安全性有了更好的保障

5.支持即插即用和移動性

三IPv6技術(shù)特性

IPv6在解決了IPv4的地址匱乏問題的同時，還在許多方面實現(xiàn)了優(yōu)化改進(jìn),

主要包括以下五點：

第一，IPv6具有層次化的編址方式，地址分配遵循聚類(Aggregation)的

原則，同時通過使用更小的路由表，使得路由器能在路由表中用一條記錄(Entry)

表示一片子網(wǎng)，大大減小了路由器中路由表的長度，有利于骨干網(wǎng)路由器對數(shù)據(jù)

包的快速轉(zhuǎn)發(fā)有效提高轉(zhuǎn)發(fā)速度。

第二，IPv6增強了組播支持以及對流的控制能力，為多媒體應(yīng)用和

服務(wù)質(zhì)量(QoS,QualityofService)控制提供了更好的網(wǎng)絡(luò)平臺。

第三，IPv6同時定義了更靈活的地址配置機制：無狀態(tài)和有狀態(tài)地址自動配置

機制。

第四，IPv6簡化了數(shù)據(jù)包報頭，減少處理器開銷并節(jié)省網(wǎng)絡(luò)帶寬。這就使得路

由器在處理IPv6報頭時更為高效。此外，IPv6使用新的頭部格式，其選項與

基本頭部分開，如果新的技術(shù)或應(yīng)用需要，可將選項插入到基本頭部與上層數(shù)據(jù)

之間，送在簡化路由處理過程中保證了協(xié)議的可于展性。

第五，IPv6擁有基于海量地址空間下的即插即用優(yōu)勢，可更便捷地支持移動性,

并可更方便地支持快速、層次、代理以及分布式等多種模式下的移動性管理。

IPv6威脅及隱患

一、IPv4安全威脅延續(xù)

1、報文監(jiān)聽

IPv6中可使用IPSec對其網(wǎng)絡(luò)層的數(shù)據(jù)傳輸進(jìn)行加密保護(hù)，但RFC6434中不

再強制要求實施IPSec,因此在未啟用IPSec的情況下，對數(shù)據(jù)包進(jìn)行監(jiān)聽依舊

是可行的。

2、應(yīng)用層攻擊

IPv4網(wǎng)絡(luò)中應(yīng)用層可實施的攻擊在IPv6網(wǎng)絡(luò)卜.依然可行，比如SQL注入、緩

沖溢出等，IPS、反病毒、URL過濾等應(yīng)用層的防御不受網(wǎng)絡(luò)層協(xié)議變化的影響。

3、中間人攻擊

啟用IPSec對數(shù)據(jù)進(jìn)行認(rèn)證與加密操作前需要皂立SA,通常情況下動態(tài)SA的

建立通過密鑰交換協(xié)議IKE.IKEv2實現(xiàn)，由DH(Diffk-Hellman)算法對IKE密

鑰我荷交換進(jìn)行安全保障[1],然而DH密鑰交換并未對通信雙方的身份進(jìn)行驗

證，因此可能遭受中間人攻擊。

4、泛洪攻擊

在IPv4與IPv6中，向目標(biāo)主機發(fā)送大量網(wǎng)絡(luò)流量依舊是有效的攻擊方式，泛

洪攻擊可能會造成嚴(yán)重的資源消耗或?qū)е履繕?biāo)崩潰。

5、分片攻擊

在IPv6中，中間節(jié)點不可以對分段數(shù)據(jù)包進(jìn)行處理，只有端系統(tǒng)可以對IP數(shù)

據(jù)包進(jìn)行分分段與重組，因此攻擊者可能借助該性質(zhì)構(gòu)造惡意數(shù)據(jù)包。

6、路由攻擊

在IPv6下，由于部分路由協(xié)議并未發(fā)生變化，因此路由攻擊依舊可行。

7、地址欺騙

IPv6使用NDP協(xié)議替代了IPv4中的ARP協(xié)議，但由于實現(xiàn)原理基本一致，

因此針對ARP協(xié)議的ARP欺騙、ARP泛洪等類似攻擊方式在IPv6中依舊可行。

IPv6引入的安全隱患

二、IPv6擴(kuò)展首部威脅

1、逐跳選項報頭

安全威脅：可利用逐跳選項報頭發(fā)送大量包含路由提示選項的IPv6數(shù)據(jù)包，

包含有?路由提示選項的數(shù)據(jù)包要求所有路由器對該數(shù)據(jù)包進(jìn)行處理并仔細(xì)查看

該數(shù)據(jù)包的報頭信息，當(dāng)攻擊者發(fā)送大量此類IPv6數(shù)據(jù)包時，將消耗鏈路上路

由器大量資源，嚴(yán)重可造成DoS攻擊。

應(yīng)對方式：應(yīng)當(dāng)限制路由器對包含路由提示選項的數(shù)據(jù)包的處理數(shù)量。

2、目的選項報頭

安全威脅：移動IPv6協(xié)議的數(shù)據(jù)通信以明文進(jìn)行傳輸，因此其本身便是不安

全的，攻擊者可對MIP\，6數(shù)據(jù)包進(jìn)行嗅探進(jìn)而識別其通信節(jié)點、轉(zhuǎn)交地址、家

鄉(xiāng)地址、家鄉(xiāng)代理等信息，并利用這些信息偽造數(shù)據(jù)包。攻擊者可通過攔截類型

為消息綁定更新的數(shù)據(jù)包，修改綁定關(guān)系中的轉(zhuǎn)交地址。此外，移動節(jié)點標(biāo)識符

選項揭示了用戶的家鄉(xiāng)從屬關(guān)系，攻擊者可利用該選項確定用戶身份，鎖定特定

的攻擊對象。

應(yīng)對方式：可嘗試開啟IPSec保證數(shù)據(jù)包不會被竊聽。

3、路由報頭

安全威脅：在RH0路由類型（即type。）下，攻擊者可利用路由報頭選項偽裝成

合法用戶接收返回的數(shù)據(jù)包。同時，RH0提供了一種流量放大機制，攻擊者可

利用該類型進(jìn)行拒絕服務(wù)攻擊。

應(yīng)對方式：應(yīng)當(dāng)盡快更新安全設(shè)備并力級至最新的IPv6協(xié)議版本，同時對所

有的RH0數(shù)據(jù)包進(jìn)行丟棄。

4、分段報頭

安全威脅：如若將關(guān)鍵的報頭信息切分在多個片段中，安全防護(hù)設(shè)備對關(guān)鍵信

息進(jìn)行提取與檢測處理會耗費大量資源，構(gòu)造大量該類數(shù)據(jù)包可能對.目標(biāo)主機造

成DoS攻擊。攻擊者可向節(jié)點發(fā)送大量不完整的分段集合，強迫節(jié)點等待片段

集合的最后片段，節(jié)點在超時時間內(nèi)由于只接收到部分IPv6片段進(jìn)而無法完成

重組，最終只能將數(shù)據(jù)包丟棄，在超時等待期間，會造成存儲資源的消耗。

應(yīng)對方式:防火墻應(yīng)該丟棄除最后分段外所有小于1280字節(jié)的所有分段。Cisco

ASA防火墻的FragGuard功能可以將所有的分片組裝并進(jìn)行整個數(shù)據(jù)包檢查用

以確定是否存在丟失的分段或重疊分段。

三、協(xié)議威脅

1、ICMPv6協(xié)議

安全威脅：可通過向組播地址FF02::l發(fā)送EchoRequesi報文，通過接收Echo

Reply報文實現(xiàn)本地鏈路掃描，或以目標(biāo)節(jié)點作為源地址向組播地址FF02::1發(fā)

送ICMPv6EchoRequest消息實現(xiàn)Smurf攻擊?？赏ㄟ^向目標(biāo)節(jié)點發(fā)送ICMPv6

Packettoohig報文，減小接收節(jié)點的MTU,降低傳輸速率°可通過向目標(biāo)節(jié)點

發(fā)送過多的ICMPv6包以及發(fā)送錯誤消息，導(dǎo)致會話被丟棄，從而破壞己建立的

通信，實現(xiàn)DoS攻擊。可通過向主機發(fā)送格式不正確的消息刺激主機對ICMPv6

的響應(yīng)，從而通發(fā)現(xiàn)潛在的攻擊目標(biāo)。

應(yīng)對方式：可在交換機的每個物理端口設(shè)置流量限制，將超出流量限制的數(shù)據(jù)

包丟棄?；蛟诜阑饓蜻吔缏酚善魃蠁覫CMPv6數(shù)據(jù)包過濾機制，也可配置路

由器拒絕轉(zhuǎn)發(fā)帶有組播地址的ICMPv6EchoRequest報文?？蓢L試關(guān)閉PMTU發(fā)

現(xiàn)機制，但其會影響到網(wǎng)絡(luò)數(shù)據(jù)的傳輸速率。

2、鄰居發(fā)現(xiàn)協(xié)議(NDP)

安全威脅

中間人攻擊：由于NDP協(xié)議基于可信網(wǎng)絡(luò)因此并不具備認(rèn)證功能，因此可通

過偽造ICMPv6NA/RA報文實現(xiàn)中間人攻擊。攻擊者可以偽造NA報文，將自

己的鏈路層地址并啟用覆蓋標(biāo)志(O)作為鏈路上其他主機的地址進(jìn)行廣播。攻擊

者可偽造RA報文發(fā)送至目標(biāo)節(jié)點修改其默認(rèn)網(wǎng)關(guān)。

重復(fù)地址檢測攻擊：當(dāng)目標(biāo)節(jié)點向FF02::16所有節(jié)點發(fā)送NS數(shù)據(jù)包進(jìn)行重

復(fù)地址檢測時，攻擊者可向該節(jié)點發(fā)送NA報文進(jìn)行響應(yīng)，并表明該地址已被自

己使用。當(dāng)節(jié)點接收到該地址已被占用消息后重新生成新的IPv6地址并再一次

進(jìn)行重復(fù)地址檢測時，攻擊者可繼續(xù)進(jìn)行NA響應(yīng)實現(xiàn)DoS攻擊。

泛洪攻擊：攻擊者可偽造不同網(wǎng)絡(luò)前綴RA消息對FF02::1進(jìn)行泛洪攻擊，接

收節(jié)點將會根據(jù)不同的網(wǎng)絡(luò)前綴進(jìn)行更新，從而消耗大量的CPU資源。

應(yīng)對方式

安全鄰居發(fā)現(xiàn)（SEND）協(xié)議是鄰居發(fā)現(xiàn)協(xié)議中的一個安全擴(kuò)展，其工作原理為

使網(wǎng)絡(luò)中每個IPv6節(jié)點都有一對公私鑰以及多個鄰居擴(kuò)展選項。采用SEND協(xié)

議后，各個節(jié)點的接口標(biāo)識符（IPv6地址低64比特）將基于當(dāng)前的IPv6網(wǎng)絡(luò)前綴

與公鑰進(jìn)行計算產(chǎn)生，而不能由各個節(jié)點自行選擇。安全鄰居發(fā)現(xiàn)協(xié)議通過時間

戳和Nonce選項抵御重放攻擊，并引入了CGA（密碼生成地址）與RSA簽名對數(shù)

據(jù)源進(jìn)行驗證以解決鄰居請求/鄰居通告欺騙的問題。SEND雖然可以解決一定

的安全問題，但目前系統(tǒng)與設(shè)備對SEND的支持十分有限。

RFC7113提出了IPv6安全RA方案RA-Guard,其通過阻斷非信任端口RA報

文轉(zhuǎn)發(fā)來避免惡意RA可能帶來的威脅，在攻擊包實際到達(dá)目標(biāo)節(jié)點之前阻塞二

層設(shè)備上的攻擊數(shù)據(jù)包。

使用訪問控制列表或空路由過濾對地址空間中未分配的部分的訪問，用以防止

攻擊者迫使路由解析未使用的地址。

3、DHCPv6

安全威脅

地址池耗盡攻擊

攻擊者可以偽裝為大量的DHCPv6客戶端，向DHCPv6服務(wù)器請求大量的IPv6

地址，耗光IPv6地址池。

拒絕服務(wù)攻擊

攻擊者可向DHCPv6服務(wù)器發(fā)送大量的SOLICIT消息，強制服務(wù)器在一定時

間內(nèi)維持一個狀態(tài)，致使服務(wù)器CPU與文件系統(tǒng)產(chǎn)生巨大負(fù)擔(dān)，直至無法正常

工作。

偽造DHCPv6服務(wù)器

攻擊者可偽造成DHCPv6服務(wù)器向目標(biāo)客戶端發(fā)送偽造的ADVERTISE與

REPLY報文，在偽造報文中攜帶虛假的默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等信息，以此實

現(xiàn)重定向攻擊。

應(yīng)對方式

對客戶端所有發(fā)送到FF02::l:2（所有DHCPv6中繼代理與服務(wù)器）和

FFO5::1:3（所有DHCPv6服務(wù)器）的消息數(shù)量進(jìn)行速率限制。

DHCPv6中內(nèi)置了認(rèn)證機制，認(rèn)證機制中的RKAP協(xié)議⑼可以對偽造DHCPv6

服務(wù)器的攻擊行為提供防范。

四、IPv6對安全硬件的影響

1、防火墻

IPv6報頭的影響

針對IPv6報文，防火墻必須對IPv6基本報頭與所有的擴(kuò)展首部進(jìn)行解析，

才能獲取傳輸層與應(yīng)用層的信息，從而確定當(dāng)前數(shù)據(jù)報是否應(yīng)該被允許通過或是

被丟棄。由于過濾策略相比IPv4更加復(fù)雜，在一定程度上將加劇防火墻的負(fù)擔(dān)，

影響防火墻的性能.

IPSec的影響

如若在IPv6數(shù)據(jù)包中啟用加密選項，負(fù)載數(shù)據(jù)將進(jìn)行加密處理，由于包過濾

型防火墻無法對負(fù)載數(shù)據(jù)進(jìn)行解密，無法獲取TCP與UDP端口號，因此包過濾

型防火墻無法判斷是否可以將當(dāng)前數(shù)據(jù)包放行。

由于地址轉(zhuǎn)換技術(shù)（NAT）和IPSec在功能上不匹配，因此很難穿越地址轉(zhuǎn)換

型防火墻利用IPSec進(jìn)行通信。

2、IDS&IPS

面對IPv6數(shù)據(jù)包，倘若啟用了加密選項，IDS與IPS則無法對加密數(shù)據(jù)進(jìn)行提

取與分析，無法通過報文分析獲取TCP、UDP信息，進(jìn)而無法對網(wǎng)絡(luò)層進(jìn)行全

面的安全防護(hù)。即便只允許流量啟用AH認(rèn)證報頭，但認(rèn)證報頭內(nèi)部具有可變長

度字段ICV,因此檢測引擎并不能準(zhǔn)確地定位開始內(nèi)容檢查的位置。

五、過渡技術(shù)的安全性

1、雙棧技術(shù)

倘若雙棧主機不具備IPv6網(wǎng)絡(luò)下的安全防護(hù)，而攻擊者與雙棧主機存在鄰接

關(guān)系時，則可以通過包含IPv6前綴的路由通告應(yīng)答的方式激活雙棧主機的IPv6

地址的初始化，進(jìn)而實施攻擊。

2、隧道技術(shù)

隧道注入：攻擊者可通過偽造外部IPv4與內(nèi)部IPv6地址偽裝成合法用戶向

隧道中注入流量。

隧道嗅探：位于隧道IPv4路徑上的攻擊者可以嗅探IPv6隧道數(shù)據(jù)包，并讀

取數(shù)據(jù)包內(nèi)容。

3、翻譯技術(shù)

利用翻譯技術(shù)實現(xiàn)IPv4-IPv6網(wǎng)絡(luò)互聯(lián)互通時，需要對報文的IP層及傳輸層的

相關(guān)信息進(jìn)行改動，因此可能會對端到端的安全產(chǎn)生影響，導(dǎo)致IPSec的三層安

全隧道在翻譯設(shè)備處出現(xiàn)斷點。（以上研究來源于獨肝安全團(tuán)隊）

IPv6的影響

從地址配置角度看：

IETF已經(jīng)意識到IPV6地址的確存在泄露設(shè)備和用戶隱私的風(fēng)險，隨后推出

了一系列隱私保護(hù)方案，從技術(shù)和標(biāo)準(zhǔn)的角度規(guī)避了上述隱私泄露的風(fēng)險。然而,

考慮到上述隱私保護(hù)協(xié)議在2017年剛剛完成，不排除有些設(shè)備仍然采用了較低

的配置方式，那么這種風(fēng)險的確是存在的，因而在實施層面，也的確會因為隱私

保護(hù)協(xié)議的缺失帶來隱私泄漏的風(fēng)險。

從應(yīng)用角度看：

IPv6巨大的地址空間和自動化的地址配置方式為以物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等海

量設(shè)備實時在線、端到端互聯(lián)的應(yīng)用場景提供了良好的支撐，同時便于溯源管理。

當(dāng)然，IPv6的靈活配置和永遠(yuǎn)在線特點也存在應(yīng)用層面的安全風(fēng)險。

從全球?qū)用婵矗?/p>

IPv6的部署和應(yīng)用已經(jīng)進(jìn)入加速發(fā)展的階段。目前，已有超過100個國家和

地區(qū)部署了IPv6網(wǎng)絡(luò)，有317個網(wǎng)絡(luò)運營商提供基于IPv6的接入服務(wù)。截

至2018年7月，全球IPv6用戶總數(shù)超過5.59億，顯然IPv6已經(jīng)成為下一

階段互聯(lián)網(wǎng)發(fā)展的全球共識。

從網(wǎng)絡(luò)空間格局的力量博弈看：

第一，發(fā)達(dá)國家在這一場新的競賽中并未懈怠，特別是美國作為互聯(lián)網(wǎng)的起源

地，仍然是IPv6部署和應(yīng)用的領(lǐng)頭羊。

第二，發(fā)展中國家和不發(fā)達(dá)國家可以把握機遇，提升本國的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建

設(shè)。特別是對那些尚未獲得IPv4地址資源的發(fā)展中國家和不發(fā)達(dá)國家而言，更

充足的地址資源可以為提高互聯(lián)網(wǎng)接入和普及率，發(fā)展互聯(lián)網(wǎng)產(chǎn)業(yè)及推動數(shù)字經(jīng)

濟(jì)的可持續(xù)發(fā)展提供必要的保障。

第三，主要大國在IPv6相關(guān)領(lǐng)域和全球市場的競爭博弈將更趨激烈。

專家解讀

對于《IPv6網(wǎng)絡(luò)安全白皮書》，中國信通院副院長王志勤從深化IPv6安全風(fēng)

險認(rèn)識、梳理IPv6安全工作現(xiàn)狀、分析IPv6安全客觀挑戰(zhàn)、提出IPv6安全發(fā)

展建議等方面對白皮書的四大亮點進(jìn)行了分析解讀。

I、隨著我國卜一代互聯(lián)網(wǎng)建設(shè)的穩(wěn)步推進(jìn)，IPv6網(wǎng)絡(luò)和業(yè)務(wù)環(huán)境逐步成熟，

針對IPv6網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的攻擊，以及攻擊源為IPv6地址的網(wǎng)絡(luò)攻擊等相關(guān)攻

擊事件逐漸出現(xiàn)，IPv6網(wǎng)絡(luò)安全漏洞也開始浮出水面。IPv6安全風(fēng)險開始顯現(xiàn)，

對下一代互聯(lián)網(wǎng)演進(jìn)提出同步安全保障要求。

2、目前我國下一代互聯(lián)網(wǎng)建設(shè)安全保障協(xié)同工作局面已經(jīng)打開。一是政府部

門貫徹落實國家戰(zhàn)略計劃，加強IPv6安全工作部署；二是產(chǎn)、學(xué)、研、用高度

協(xié)作，加快IPv6安全科研布局，強化IPv6安全技術(shù)儲備；三是推動IPv6安全

實踐，深化IPv6安全技術(shù)指導(dǎo)創(chuàng)新。

3、在我國下一代互聯(lián)網(wǎng)建設(shè)進(jìn)程中，安全客觀挑戰(zhàn)依然嚴(yán)峻。一是IPv4/IPv6

長期并存，過渡機制持續(xù)疊加安全風(fēng)險；二是IPv6協(xié)議新特性挑戰(zhàn)既有安全手

段，融合場景安全風(fēng)險持續(xù)放大；三是IPv6網(wǎng)絡(luò)安全保障能力和需求存在差范，

供求“剪刀差''亟需彌合。

4、IPv6安全挑戰(zhàn)和機遇并存的局面已經(jīng)形成，應(yīng)高度重視下一代互聯(lián)網(wǎng)演進(jìn)

升級中面臨的安全挑戰(zhàn)，協(xié)同推進(jìn)IPv6安全產(chǎn)品和服務(wù)的研發(fā)應(yīng)用，為筑牢下

一代互聯(lián)網(wǎng)安全防線提供能力保障，加快夯實下一代互聯(lián)網(wǎng)安全防御基礎(chǔ)，切實

保障下一代互聯(lián)網(wǎng)安全、有序發(fā)展。

來源：中國信通院

專家觀點

一、IPv6是海量地址提供溯源手段

北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心主任田麗：

網(wǎng)絡(luò)安全和信息安全問題在互聯(lián)網(wǎng)時代更加凸顯，大數(shù)據(jù)收集和人工智能分析

的泛濫，給個人信息保護(hù)帶來不小的挑戰(zhàn)。特別是在“IPv4網(wǎng)+”上，現(xiàn)有技術(shù)無

法檢查傳輸中的任何一個數(shù)據(jù)的源地址，很多網(wǎng)絡(luò)安全隱患由此產(chǎn)生。

中國工程院院士郭賀鏗：

由于IPv4地址的不足，導(dǎo)致私有地址大量使用，NAT（地址翻譯）破壞了端

對端的透明性，給網(wǎng)絡(luò)安全事件溯源帶來了困難，假冒地址橫行，網(wǎng)絡(luò)攻擊等安

全事件泛濫。

IPv6海量的地址為固定分配地址和建立上網(wǎng)實名制奠定了基礎(chǔ)，在IPv6地址

中通過算法嵌入可擴(kuò)展的用戶網(wǎng)絡(luò)身份標(biāo)識信息，與真實用戶的身份關(guān)聯(lián)，可構(gòu)

建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng)，實現(xiàn)

了與自治域相關(guān)聯(lián)的IP地址前綴級粒度的真實源地址驗證。

IPv6充足的地址空間可嚴(yán)格按照區(qū)域和業(yè)務(wù)類型甚至用戶類型進(jìn)行地址分配，

可以實現(xiàn)對特定IP地址溯源、按業(yè)務(wù)類型精細(xì)服務(wù)，或?qū)μ囟ǚ?wù)類型進(jìn)行區(qū)

域管理、精細(xì)化監(jiān)控與安全偵測及防護(hù)等，這種基于IP地址對網(wǎng)絡(luò)流量的控制

與安全管理效率高、成本低。

二、升級仍面臨安全挑戰(zhàn)

中國大數(shù)據(jù)技術(shù)與應(yīng)用聯(lián)盟副理事長王安平：

互聯(lián)網(wǎng)升級IPv6是一項專業(yè)性強、涉及面廣、情況復(fù)雜的系統(tǒng)工程，國家有

關(guān)部門強力推進(jìn)，但由于目前市場上各企業(yè)技術(shù)實力參差不齊，導(dǎo)致一些國家部

委機關(guān)、央企、省級政府、媒體以及互聯(lián)網(wǎng)企業(yè)在網(wǎng)站、云服務(wù)平臺、數(shù)據(jù)中心

升級IPv6過程中，網(wǎng)站、云服務(wù)平臺、數(shù)據(jù)中心出現(xiàn)天窗、亂碼、宕機、癱瘓

和停服等現(xiàn)象。

工業(yè)和信息化部黨組成員、總工程師張峰：

未來還需要著力突破網(wǎng)絡(luò)端到端貫通、網(wǎng)絡(luò)與應(yīng)用協(xié)同推進(jìn)等關(guān)鍵環(huán)節(jié)。要強

化安全保障，實施IPv6網(wǎng)絡(luò)安全提升計劃，力口強IPv6網(wǎng)絡(luò)安全能力建設(shè)，嚴(yán)格

落實IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案。

另外還要完善監(jiān)測體系，組織建設(shè)IPv6發(fā)展監(jiān)測平臺，加強對網(wǎng)絡(luò)、應(yīng)用、

終端、用戶、流量等關(guān)鍵發(fā)展指標(biāo)的實時監(jiān)測與分析。

中國工程院院士郭賀鏗：

IPv4overIPv6或IPv6overIPv4的隧道機制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的

封裝和解封，沒有內(nèi)置認(rèn)證、完整性和加密等安全功能，并不對IPv4和IPv6地

址的關(guān)系做嚴(yán)格的檢查，攻擊者可以隨意截取隧道報文，通過偽造外層和內(nèi)層地

址偽裝成合法用戶向隧道中注入攻擊流量，防火墻可能形同虛設(shè)。

以上內(nèi)容來源：中國科學(xué)報

現(xiàn)狀及前景

全球IPv6地址規(guī)模情況

2019上半年全球IPv6地址分配數(shù)量為17865*/32,2019上半年獲得IPv6地址

分配數(shù)量列前二位的國家/地區(qū)，分別為中國6217*/32,俄羅斯1271*/32,德國

1192*/32o

截至2019年6月底,全球IPv6地址申請（/32以上）總計35168個，分配地址總

數(shù)為282222*732,地址數(shù)總計獲得4096*/32（即/20）以上的國家/地區(qū)。

2019年上半年全球IPv6地址分配數(shù)量（個）

資料來源:中國1PW發(fā)展?fàn)顩r白皮書、智研咨詢整理

中國IPv6地址規(guī)模情況

當(dāng)前我國IPv6地址申請量保持較快增長，截至2019年5月，我國IPv6地址

資源總量達(dá)到47282塊(/32),居全球第一位。IPv6地址數(shù)量能夠滿足當(dāng)前IPv6

規(guī)模部署的要求，但是隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)快速發(fā)展，我國未來對

于IPv6地址的需求量依然較大。

2013-2019年5月中國IPv6地址數(shù)量

50000

45000

40000

35000

30000

25000

20000

15000

10000

5000

0

■IPv6地址數(shù)早：塊七君斬紇兩

資料來源:中國IP?6發(fā)展?fàn)顩r白皮書、智研咨詢整理

隨著5G產(chǎn)業(yè)化進(jìn)程的加快，工業(yè)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的發(fā)展，垂直行業(yè)和基礎(chǔ)電

信企業(yè)紛紛加大了地址儲備。

?2018年8月，中國石油為推動企業(yè)工業(yè)互聯(lián)網(wǎng)發(fā)展，申請/20的IPv6

地址；

?2018年12月，中國電信分別申請了“9、/20兩段IPv6地址，為5G

商用化儲備地址；

?2019年1月和2月,教育網(wǎng)分別申請了/20和/21兩段IPv6地址,以

滿足日益增長的地址需求。

我國IPv6規(guī)模部署推進(jìn)工作成效初顯，IPv6活躍用戶數(shù)實現(xiàn)快速增長。截至

2019年5月底，我國已分配IPv6地址用戶數(shù)達(dá)12.07億，其中LTE網(wǎng)絡(luò)已分配

IPv6地址用戶數(shù)為10.45億，固定寬帶接入網(wǎng)絡(luò)已分配IPv6地址的用戶數(shù)為1.62

億。

“隨著LTE網(wǎng)絡(luò)端到端改造進(jìn)程的加速，呈現(xiàn)出移動網(wǎng)絡(luò)IPv6用戶數(shù)發(fā)展速度

大幅領(lǐng)先固定網(wǎng)絡(luò)的趨勢”。

2018-2019年5月我國LTE網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)

10.2410.4910.5310.5310.5910.45

■LTE網(wǎng)絡(luò)已分配IPv6地址用戶數(shù)：億戶.品折陽為

資料來源:中國1P\6發(fā)展?fàn)顩r白皮書、智研咨詢整理

截