信息化觀察網(wǎng)

本文來自微信公眾號“郵電設(shè)計技術(shù)”，作者/佟恬、趙菁、龐冉、曹暢。

IPv6/IPv6+適用于更多的場景、更多樣的用戶需求以及更復(fù)雜的安全環(huán)境，在全面推進IPv6商用部署和IPv6+創(chuàng)新研究的過程中，網(wǎng)絡(luò)安全問題也被更加重視。然而IPv6+新技術(shù)尚在研究和試點中，其安全威脅還未充分暴露，需要結(jié)合國內(nèi)外最新標準研究進展和試點應(yīng)用經(jīng)驗來分析IPv6+新協(xié)議、新技術(shù)、新地址編碼可能會帶來的安全風(fēng)險和問題，強化IPv6+技術(shù)安全管理和防護手段，以做到安全保護措施與IPv6網(wǎng)絡(luò)改造同步規(guī)劃、同步建設(shè)、同步使用，為構(gòu)建IPv6/IPv6+下一代網(wǎng)絡(luò)安全防護體系開展前瞻布局研究。

0 1

概述

互聯(lián)網(wǎng)是國民經(jīng)濟和社會發(fā)展的重要基礎(chǔ)設(shè)施，IPv6是互聯(lián)網(wǎng)升級演進的必然趨勢，是網(wǎng)絡(luò)技術(shù)創(chuàng)新的重要方向。IPv6/IPv6+將適用于更多的應(yīng)用場景、更多樣的用戶需求以及更復(fù)雜的安全環(huán)境。隨著IPv6規(guī)模部署和IPv6演進技術(shù)（IPv6+）研究工作的不斷開展，產(chǎn)業(yè)界也更加注重IPv6網(wǎng)絡(luò)的安全問題，然而IPv6+新技術(shù)尚在研究和試點中，其安全威脅還未充分暴露，需要由內(nèi)而外的對IPv6+網(wǎng)絡(luò)的安全風(fēng)險、安全策略與措施展開研究，提升IPv6網(wǎng)絡(luò)安全的保障能力。本文結(jié)合國內(nèi)外最新研究進展，充分分析IPv6+協(xié)議的安全風(fēng)險，提出IPv6+內(nèi)生安全解決思路。

0 2

IPv6網(wǎng)絡(luò)的安全優(yōu)勢

IPv6以其充足的地址空間、層次化的地址結(jié)構(gòu)、簡化的報文頭格式、靈活的擴展頭、增強的鄰居發(fā)現(xiàn)機制而快速發(fā)展。相比于IPv4網(wǎng)絡(luò)，IPv6在資產(chǎn)管理、保護能力等方面均有明顯優(yōu)勢，具體可以描述為以下4點。

a）資產(chǎn)管理能力增強。IPv6具備充足的地址編碼空間，可為每個終端配置全球唯一的“身份證”，可以應(yīng)用到網(wǎng)絡(luò)資產(chǎn)探測、流量綜合分析及流量行為異常檢測、資產(chǎn)唯一標識等場景。

b）保護能力增強。許多網(wǎng)絡(luò)攻擊者通過地址掃描識別用戶的地理位置，發(fā)現(xiàn)漏洞并入侵，IPv6海量地址空間可以避免野蠻掃描風(fēng)險，有效降低被嗅探的風(fēng)險，提升網(wǎng)站與用戶終端設(shè)備的安全性。IPv6可以更好地支持源地址驗證，因為IPv6地址構(gòu)造是可匯聚的、層次化的，其地址前綴的分配較規(guī)律，這將會使下游互聯(lián)網(wǎng)服務(wù)提供商（Internet service provider，ISP）的地址總是落在上游ISP的匯總地址空間內(nèi)，易于ISP在入口實現(xiàn)過濾，有效防御虛假源地址攻擊，也增加了IPv6網(wǎng)絡(luò)的安全性。此外，利用IPv6的地址規(guī)劃、虛假子網(wǎng)、拓撲隱藏等技術(shù)，有效隱藏網(wǎng)絡(luò)真實結(jié)構(gòu)，也會增加攻擊者網(wǎng)絡(luò)偵查和嗅探的資源消耗，提高專網(wǎng)反偵察能力。

c）傳輸安全能力增強。IPv6協(xié)議支持互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSec），為通信雙方提供數(shù)據(jù)完整性保護、數(shù)據(jù)內(nèi)容的機密性驗證、有限的數(shù)據(jù)流機密性保證和數(shù)據(jù)起源驗證，并提供了抗報文重放保護。因而，可以將用戶、報文和攻擊一一對應(yīng)，實現(xiàn)對用戶行為的安全監(jiān)控，在網(wǎng)絡(luò)層實現(xiàn)端到端數(shù)據(jù)加密傳輸。

d）監(jiān)控、檢測與溯源能力增強。IPv6網(wǎng)絡(luò)可以規(guī)范地址管理策略，實現(xiàn)終端標識信息與位置信息的擴展、實現(xiàn)用戶與IP綁定，禁止自生成地址和隱私擴展地址等。在威脅的檢測和阻斷方面，通過基于媒體訪問控制（Media Access Control，MAC）地址或端口的阻斷可以精確地識別和阻斷威脅終端，通過五元組/三元組精準阻斷威脅流量而不影響正常業(yè)務(wù)。IPv4網(wǎng)絡(luò)中由于大量私網(wǎng)的存在，使得惡意行為很難溯源，在IPv6網(wǎng)絡(luò)中，節(jié)點采用公網(wǎng)地址取代私網(wǎng)地址，每一個地址都是真實的，易于對威脅行為溯源。

基于上述優(yōu)勢，IPv6可以避免或緩解IPv4存在的不足和安全風(fēng)險。

a）防范網(wǎng)絡(luò)放大攻擊。ICMPv6（Internet Control Message Protocol for the Internet Protocol Version 6）在設(shè)計上不響應(yīng)組播地址和廣播地址的消息，可以有效避免IPv4網(wǎng)絡(luò)中利用廣播地址發(fā)起的廣播風(fēng)暴攻擊和分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊的風(fēng)險。

b）防止已知的碎片攻擊。IPv6不僅對碎片機制進行了嚴格限制，還提供了更健全的分片機制，通過發(fā)送偽造碎片報文發(fā)動攻擊的方式在IPv6下不再有效。

c）有效抵御基于遍歷掃描的網(wǎng)絡(luò)蠕蟲攻擊。IPv6網(wǎng)段地址空間巨大，基于地址遍歷的網(wǎng)絡(luò)漏洞掃描不再適用。因此，病毒及網(wǎng)絡(luò)蠕蟲通過遍歷掃描和隨機選擇IP地址的方式在IPv6網(wǎng)絡(luò)中傳播變得極為困難，有效防范了蠕蟲病毒的傳播。

d）對網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施的安全性提供擴展。DNSv6定義了域名系統(tǒng)（Domain Name System，DNS）安全擴展協(xié)議，提供認證和完整性保障，避免域名被篡改。

e）避免NAT使用帶來的安全隱患和管理困難。NAT通過將私有地址和公網(wǎng)地址進行轉(zhuǎn)換，解決了IPv4地址不足的問題，隱藏并保護網(wǎng)絡(luò)內(nèi)部的終端，避免來自公共互聯(lián)網(wǎng)的攻擊，起到一定安全作用，但也帶來了安全隱患和管理上的困難，IPv6網(wǎng)絡(luò)中無需NAT地址轉(zhuǎn)換。

f）有效防御基于IP地址欺騙的攻擊方式。IPv6有較為健全的認證機制，有能力在第一跳阻止惡意設(shè)備，可以最大限度預(yù)防中間人攻擊。

0 3

IPv6網(wǎng)絡(luò)協(xié)議的安全風(fēng)險

IPv6協(xié)議是對IPv4協(xié)議的優(yōu)化和改進，因此會繼承IPv4協(xié)議的一些安全問題，也可能出現(xiàn)新的安全漏洞，面臨原有安全機制無法應(yīng)對新技術(shù)新業(yè)務(wù)下的威脅。本章將對IPv6網(wǎng)絡(luò)協(xié)議面臨的安全風(fēng)險進行介紹。

3.1從IPv4網(wǎng)絡(luò)繼承的安全風(fēng)險

IPv6相較于IPv4在保密性和完整性方面有較大幅度的改進，但有些安全風(fēng)險并沒有因為IPv6協(xié)議的出現(xiàn)而發(fā)生改變，例如：嗅探攻擊、拒絕服務(wù)攻擊、中間人攻擊、應(yīng)用層攻擊等，這些攻擊都可能對IPv6網(wǎng)絡(luò)造成潛在的危害。

3.2 IPv6新協(xié)議引入新的安全風(fēng)險

IP協(xié)議在設(shè)計之初幾乎沒有考慮安全問題，IPv6協(xié)議在安全性的考慮上要比IPv4更加周全，但IPv6/IPv6+協(xié)議的應(yīng)用依然會引入一些新的安全風(fēng)險，攻擊者總能找到協(xié)議交互機制上的漏洞并加以利用，出現(xiàn)一些專門針對IPv6新協(xié)議的攻擊。本節(jié)對IPv6協(xié)議特有的安全風(fēng)險進行介紹。

a）IPv6擴展頭攻擊。IPv6相比IPv4報文格式的一個重要變化就是引入了擴展頭，協(xié)議對擴展頭數(shù)量沒有限制，同種類型的擴展頭被允許在IPv6擴展報文頭中多次出現(xiàn)。攻擊者可以通過構(gòu)造異常數(shù)量擴展頭的報文對防火墻或目標主機進行DoS攻擊，防火墻或者目標主機在解析報文時將耗費大量資源，從而影響設(shè)備性能。逐跳選項擴展頭可能導(dǎo)致拒絕服務(wù)攻擊，因為網(wǎng)絡(luò)中所有節(jié)點都需要檢查并處理該報頭。

b）ICMPv6協(xié)議攻擊。ICMPv6是IPv6協(xié)議簇中的一個基礎(chǔ)協(xié)議，合并了IPv4中的因特網(wǎng)控制報文協(xié)議（Internet Control Message Protocol，ICMP）、地址解析協(xié)議（Address Resolution Protocol，ARP）、反向地址解析協(xié)議（Reverse Address Resolution Protocol，RARP）等多個協(xié)議的功能。ICMPv6協(xié)議控制著IPv6網(wǎng)絡(luò)中的地址生成、地址解析、差錯控制、組播控制等關(guān)鍵環(huán)節(jié)，因此攻擊者可能利用ICMPv6協(xié)議的漏洞和機制達到攻擊目標。

c）NDP協(xié)議攻擊。IPv6網(wǎng)絡(luò)采用NDP協(xié)議實現(xiàn)了IPv4網(wǎng)絡(luò)中的ARP協(xié)議的功能，二者雖然協(xié)議層次不同但實現(xiàn)機制大同小異，所以針對ARP協(xié)議的攻擊如ARP欺騙、ARP泛洪攻擊、中間人攻擊等在IPv6網(wǎng)絡(luò)中仍然存在。

d）重復(fù)地址監(jiān)測（Duplicate Address Detection，DAD）攻擊和前綴欺騙攻擊。攻擊者在某個主機的IP地址自動分配過程中監(jiān)聽DAD過程，在偵聽到鄰居請求（Neighbor Solicitation，NS）報文時，通過發(fā)送非法的鄰居通告（Neighbor Advertisement，NA）報文來宣稱占用該地址，破壞主機的地址分配的過程，造成該主機無法完成網(wǎng)絡(luò)地址配置從而無法聯(lián)網(wǎng)。DAD攻擊產(chǎn)生的根本原因，是無法對NA報文的合法性進行驗證。攻擊者還可能把DAD攻擊和前綴欺騙攻擊結(jié)合起來，首先通過DAD攻擊使新入網(wǎng)設(shè)備不能獲得正確的IP地址，同時發(fā)布自己的前綴，并且開啟本機路由轉(zhuǎn)發(fā)功能，這樣攻擊者將能成為本鏈路所有主機的默認路由器，實施中間人攻擊。

0 4

IPv6+網(wǎng)絡(luò)安全風(fēng)險與安全策略

IPv6+是以IPv6為基礎(chǔ)，通過擴展報文頭來支持一系列新的網(wǎng)絡(luò)應(yīng)用，包括SRv6、業(yè)務(wù)鏈（Service Function Chain，SFC）、網(wǎng)絡(luò)切片、隨流檢測、IPv6封裝的比特位索引顯式復(fù)制（Bit Index Explicit Replication IPv6 encapsulation，BIERv6）、應(yīng)用感知網(wǎng)絡(luò)等一系列協(xié)議創(chuàng)新。

IPv6+可以升級網(wǎng)絡(luò)導(dǎo)航能力、為業(yè)務(wù)提供專屬通道、提升運維能力和安全防御能力。針對IPv6網(wǎng)絡(luò)運維中的安全問題，在國際標準方面，IETF RFC9099分析了對IPv6網(wǎng)絡(luò)運營安全的考慮，RFC9098分析了IPv6擴展頭在運營中存在的問題。在國內(nèi)標準方面，CCSA行業(yè)標準《IPv6安全標準化關(guān)鍵問題研究》對IPv6安全標準化現(xiàn)狀與趨勢、IPv6安全標準化的領(lǐng)域和技術(shù)、IPv6安全標準等內(nèi)容進行了梳理。

在IPv6+創(chuàng)新技術(shù)方面，國內(nèi)外標準組織近年來積極開展了IPv6+的研究與標準化工作，但IPv6+安全方面，目前只有IETF的SRv6 Security Considerations個人草案和CCSA的《SRv6網(wǎng)絡(luò)安全技術(shù)研究》對SRv6的安全威脅進行了分析。

4.1 SRv6的安全風(fēng)險與安全策略

基于IPv6轉(zhuǎn)發(fā)平面的段路由（Segment Routing IPv6，SRv6）是指采用IPv6數(shù)據(jù)平面的段路由（Segment Routing，SR）技術(shù)，利用一種新型的IPv6路由擴展報頭（Segment Routing Header，SRH）來施加一個有序的路徑列表來控制數(shù)據(jù)包的轉(zhuǎn)發(fā)。為保障SRv6網(wǎng)絡(luò)安全可靠運行，需要注意或解決一些安全問題，本節(jié)分析了SRv6網(wǎng)絡(luò)中常見的安全威脅，并提出避免或減輕這些安全威脅的方法。

4.1.1 SRv6安全風(fēng)險分析

在SRv6網(wǎng)絡(luò)中，攻擊者可以通過監(jiān)聽SRH來竊取網(wǎng)絡(luò)拓撲，篡改SRH發(fā)起源路由攻擊等，具體如下。

a）偵聽攻擊竊取SRv6相關(guān)信息。SRv6的段列表中保存著報文轉(zhuǎn)發(fā)路徑中經(jīng)過的多個網(wǎng)元或服務(wù)的地址信息，SRv6網(wǎng)絡(luò)中的沿途攻擊者通過各種探測手段獲取IPv6頭部和SRH擴展頭中攜帶的節(jié)點信息、SR策略等SRv6相關(guān)信息，以獲取網(wǎng)絡(luò)拓撲及推斷出路由策略。雖然偵聽攻擊收集的信息不會損害用戶數(shù)據(jù)的機密性，但攻擊者利用收集的信息可發(fā)動其他攻擊。攻擊者還可能竊取報文payload信息，但這并不是SRv6特有的風(fēng)險。

b）報文的重放、插入、刪除、修改等。報文重放是指攻擊者記錄數(shù)據(jù)包進行報文重放攻擊；報文插入是指攻擊者惡意生成包含虛假信息的報文并將報文注入網(wǎng)絡(luò)；報文修改是指攻擊者在報文傳輸過程中對報文進行修改，典型的如修改段路由直接影響報文的SR策略；報文刪除是指攻擊者通過攔截和刪除網(wǎng)絡(luò)中的數(shù)據(jù)包，阻止數(shù)據(jù)包到達目的地，其中選擇性丟包可能比隨機丟包造成更嚴重的損失；報文修改是將流量轉(zhuǎn)移到攻擊者可以訪問且擁有更多處理資源的另一個節(jié)點，從而為更復(fù)雜的在途攻擊提供便利。上述攻擊一般是由對傳輸報文具有訪問權(quán)限的沿途攻擊者實施的。

c）段路由的安全威脅。攻擊者可通過篡改SRv6段列表實現(xiàn)任意定義流量轉(zhuǎn)發(fā)路徑，致使數(shù)據(jù)包路由到不同的路徑上，而不是通過預(yù)期的路徑路由。對SRH的修改包括將1個或多個段標識（Segment Identifiers，SIDs）添加到段列表中，刪除1個或多個SIDs，或?qū)⑻鎿Q掉其中一些SIDs；另一種可能的修改類型是通過添加、刪除或修改SRH中的TLV字段，SR修改攻擊可以通過以下1種或多種方式篡改轉(zhuǎn)發(fā)路徑，影響報文的轉(zhuǎn)發(fā)行為（見圖1）。

圖1 SRv6源路由威脅示意

（a）定制特定路徑/服務(wù)。攻擊者通過在SRv6段列表中增加某些地址，獲取未經(jīng)授權(quán)的服務(wù)，例如流量加速等。

（b）避開特定節(jié)點或路徑。攻擊者可以操縱目的IP地址或SRH來避開特定的節(jié)點或路徑，使報文避免各種處理步驟。比如繞過計費服務(wù)、避免訪問控制、繞過安全防護策略以實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的非法訪問、流量攻擊等。

（c）發(fā)起DoS攻擊。攻擊者利用SRv6作為損害網(wǎng)絡(luò)性能或?qū)е翫oS的手段。通過在SRv6段列表中插入重復(fù)SRv6地址，控制流量在網(wǎng)絡(luò)中重復(fù)轉(zhuǎn)發(fā)以放大流量，發(fā)起大帶寬DoS攻擊，或?qū)?shù)據(jù)引流到非預(yù)期的目的地，降低網(wǎng)絡(luò)性能和目的端服務(wù)器性能。

d）對SRv6控制和管理平面的攻擊。當SRv6控制平面和管理平面被入侵，會對網(wǎng)絡(luò)造成不可預(yù)估的影響，內(nèi)部攻擊者可以通過發(fā)布SIDs來操縱網(wǎng)絡(luò)中使用的SR策略，從而實施一系列攻擊，包括非法注入控制平面信息、選擇性刪除合法報文、報文重放和被動監(jiān)聽等。其中，非法注入控制面信息可以由非路徑攻擊者執(zhí)行，而報文刪除、重放和監(jiān)聽則由沿途攻擊者執(zhí)行。

e）對安全設(shè)備的影響。SRv6是運營商網(wǎng)絡(luò)中常用的隧道技術(shù)，入口PE將負載封裝在一個外部IPv6首部中，其中SRH攜帶SR策略段列表以及VPN業(yè)務(wù)SID。SRv6網(wǎng)絡(luò)中的安全設(shè)備需要處理SRv6數(shù)據(jù)包，這可能會影響網(wǎng)絡(luò)的安全設(shè)備。一是網(wǎng)絡(luò)中較舊的安全設(shè)備不知道SRv6附加首部和隧道機制，可能會丟棄或以其他方式阻礙SRv6報文轉(zhuǎn)發(fā)；二是SRv6報文在SRv6域內(nèi)轉(zhuǎn)發(fā)時，其目的地址不斷變化，且常使用入口PE設(shè)備的loopback地址作為源IP地址，網(wǎng)絡(luò)安全設(shè)備無法學(xué)習(xí)到真正的目的地址和源地址，難以對某些SRv6流量進行訪問控制。例如，在SRv6報文轉(zhuǎn)發(fā)路徑上，SR-aware防火墻會檢查雙向VPN流量報文的關(guān)聯(lián)關(guān)系，當PE1到PE2的報文的為，反方向報文為時，往返報文的源、目的IP地址信息是非對稱的，安全設(shè)備會因為正向VPN流量和反向VPN流量的源地址和目的地址不同，認為是不同的流，導(dǎo)致合法流量被防火墻阻斷過濾，影響安全設(shè)備的有效性。

4.1.2 SRv6安全機制

傳統(tǒng)源路由威脅防護一般采用直接丟棄源路由報文、關(guān)閉源路由轉(zhuǎn)發(fā)功能，而SRv6網(wǎng)絡(luò)需要在正常轉(zhuǎn)發(fā)SRv6報文的同時防護SRv6源路由攻擊，無法直接采用丟棄源路由報文的方法進行安全防護，這對網(wǎng)絡(luò)安全防護提出了新的挑戰(zhàn)。IETF的RFC 7855和RFC 8799等標準文稿定義了SRv6網(wǎng)絡(luò)需要規(guī)定網(wǎng)絡(luò)邊緣，即明確網(wǎng)絡(luò)可信域，可信域內(nèi)的設(shè)備將被認為是安全的。

a）邊界過濾。在可信域邊界通過部署訪問控制列表（Access Control List，ACL）策略對從可信域外進入的報文進行流量過濾，丟棄從外部非法訪問內(nèi)部信息的流量，包括如下3個方面。

（a）在可信域邊緣設(shè)備的對外接口上配置ACL規(guī)則。如果SRv6報文從非SRv6可信域進入SRv6可信域，若收到的SRv6報文的源地址來自本域可分配SID地址塊，則丟棄報文；如果SRv6報文從一個SRv6可信域進入另一個SRv6可信域，若SRv6報文的目的地址以及SRH中SID List的后續(xù)SID來自本域可分配SID地址塊，則丟棄報文。這是因為正常情況下不應(yīng)該將內(nèi)部SID泄露到域外，若被域外用戶獲取和使用，則認定攜帶該地址的報文為攻擊報文。

（b）對外接口和對內(nèi)接口上配置ACL規(guī)則。當SRv6報文的目的地址為本地SID時，且源地址不是內(nèi)部SID或內(nèi)部接口地址，或者源地址不在SID空間范圍內(nèi)時，則將報文丟棄。這是由于只有內(nèi)部的設(shè)備才能進行SRv6報文封裝，所以當目的地址為本地SID時，源地址必須是內(nèi)部SID或者內(nèi)部接口地址。

（c）SRv6只對顯式發(fā)布為SID的本地IPv6接口地址進行End操作。即未聲明成SID的本地IPv6接口地址如果被插入段列表，將匹配到接口地址路由，而不會觸發(fā)SID的處理操作。如果本地IPv6接口地址插入最后一個SID，即SL=0時，節(jié)點需跳過SRH的處理。如果該地址被插入Segment List中間，即SL>0，則它被當作錯誤處理，將會被丟棄。

b）SRH擴展頭校驗。SRv6路由擴展首部的安全屬性由SRH解決。基于HMAC對通信源進行身份驗證和SRv6報文頭校驗，防止報文被篡改帶來的攻擊。

c）管控面安全。SRv6可信域邊界過濾可用于抵御外部攻擊者對控制平面和管理平面的攻擊，但無法抵御內(nèi)部攻擊者對其的攻擊?，F(xiàn)有的控制平面或管理平面協(xié)議中，對段路由沒有定義任何特定的安全機制，建議采用認證和安全機制來驗證信息的真實性。

4.2 SFC的安全風(fēng)險與安全策略

SRv6 SFC在SRv6 SDN架構(gòu)基礎(chǔ)上增加了服務(wù)功能（Service Function，SF），SF可能是傳統(tǒng)的防火墻、TCP加速等網(wǎng)絡(luò)服務(wù)，也可能是各種應(yīng)用服務(wù)，SRv6 SFC為用戶提供定制化服務(wù)能力。

4.2.1 SRv6 SFC的安全風(fēng)險分析

攻擊者可竊取網(wǎng)絡(luò)和服務(wù)等相關(guān)信息，通過仿冒、篡改服務(wù)功能鏈獲取非授權(quán)服務(wù)功能（如TCP加速），繞過已定制的服務(wù)功能（如計費服務(wù)、安全檢測服務(wù)等）造成網(wǎng)絡(luò)/服務(wù)提供商損失、實現(xiàn)網(wǎng)絡(luò)攻擊。此外，服務(wù)功能的安全防護能力不一，容易成為黑客攻擊的突破口，進而將威脅擴散到整個SRv6 SFC網(wǎng)絡(luò)。

4.2.2 SFC安全機制

SRv6 SFC的安全防護需要在SRv6網(wǎng)絡(luò)安全防護基礎(chǔ)上，防止非授權(quán)用戶接入到SRv6 SFC網(wǎng)絡(luò)，防止SF的威脅擴散到SRv6 SFC網(wǎng)絡(luò)，防止篡改SRv6段列表獲取非授權(quán)服務(wù)或繞過已定制的服務(wù)，防止SRv6 SFC多租戶之間威脅擴散等。

SRv6 SFC網(wǎng)絡(luò)安全機制應(yīng)包括SRv6 SDN網(wǎng)絡(luò)安全防護、SRv6 SFC接入認證、SRv6 SFC路徑校驗、SF安全加固、多用戶隔離措施等，具體如下。

a）SRv6信任域防御。定義SRv6 SFC信任域，將流分類器、業(yè)務(wù)功能轉(zhuǎn)發(fā)器、業(yè)務(wù)功能劃分到信任域內(nèi)，開啟SRv6信任域相關(guān)防護措施，避免源路由威脅進入SRv6 SFC網(wǎng)絡(luò)，避免攻擊者任意定義SRv6 SFC服務(wù)。

b）控制面安全。包括控制器自身安全、控制器北向接口和南向接口安全、網(wǎng)元控制面和數(shù)據(jù)面安全等。

c）業(yè)務(wù)功能SF安全加固。為SF制定統(tǒng)一的安全防護基線，提升業(yè)務(wù)功能安全性，避免SF成為網(wǎng)絡(luò)攻擊突破口。

d）接入認證。用戶流量進入SRv6 SFC時，首先對用戶身份進行校驗。認證成功后，為用戶流量提供SRv6 SFC功能，避免攻擊流量進入SRv6 SFC網(wǎng)絡(luò)，避免非授權(quán)用戶獲取業(yè)務(wù)服務(wù)。

e）SRv6 SFC路徑校驗。在SRv6 SFC轉(zhuǎn)發(fā)過程中對SRv6段列表路徑進行校驗，可采用SRv6 HMAC、SID加密校驗等技術(shù)，為用戶提供安全可靠的定制化服務(wù)。

f）SRv6用戶隔離。為不同用戶提供獨立的業(yè)務(wù)和網(wǎng)絡(luò)服務(wù)，為不同用戶提供獨立的校驗密鑰，避免用戶間威脅的擴散。

綜上所述，如圖2所示，當用戶流量進入SRv6 SFC網(wǎng)絡(luò)時，首先根據(jù)SRv6信任域過濾，丟棄目的地址是信任域內(nèi)SRv6地址的報文，避免SRv6源路由威脅進入到SRv6 SFC信任域。然后邊界網(wǎng)關(guān)對用戶進行接入認證，認證通過后為用戶提供SRv6 SFC服務(wù)。報文轉(zhuǎn)發(fā)過程中，開啟SRv6路徑校驗技術(shù)，丟棄校驗失敗報文，防止攻擊者篡改路徑獲取非授權(quán)服務(wù)或繞過已定制的服務(wù)。

圖2 SRv6 SFC安全防護

4.3 APN的安全風(fēng)險與安全策略

4.3.1 APN安全風(fēng)險分析

APN的標準尚在推進中，國內(nèi)外標準對其安全風(fēng)險和安全機制的研究較少。APN分為網(wǎng)絡(luò)側(cè)APN方案和主機側(cè)APN方案，網(wǎng)絡(luò)側(cè)APN是在網(wǎng)絡(luò)側(cè)的頭節(jié)點和邊緣節(jié)點感知應(yīng)用，為用戶流量添加應(yīng)用標記，APN ID的添加在ISP內(nèi)部可信網(wǎng)絡(luò)中，因此安全風(fēng)險較小可以忽略。應(yīng)用側(cè)APN是應(yīng)用側(cè)/云側(cè)設(shè)備直接將應(yīng)用標識信息和需求信息封裝進IPv6數(shù)據(jù)報文擴展頭中，APN ID是在ISP網(wǎng)絡(luò)信任域外添加的，可能會帶來安全問題。APN的可信域如圖3所示，這里假設(shè)設(shè)備操作系統(tǒng)可信，APN頭節(jié)點之后的ISP內(nèi)部網(wǎng)絡(luò)是可信的，業(yè)務(wù)感知節(jié)點及其之后的鏈路是ISP的核心網(wǎng)，并連接到APP服務(wù)器的數(shù)據(jù)中心，鏈路安全性較高。APN的相關(guān)安全問題可以分為4類。

圖3 APN的可信域及安全風(fēng)險示意

a）應(yīng)用側(cè)（端側(cè)/服務(wù)器側(cè)）內(nèi)，一個惡意應(yīng)用盜取了其他應(yīng)用的APN ID，比如郵件APP獲取了視頻會議APP的APN ID，從而獲得了高優(yōu)先級的網(wǎng)絡(luò)服務(wù)。

b）應(yīng)用側(cè)（端側(cè)/服務(wù)器側(cè)）之間，不同應(yīng)用側(cè)設(shè)備上的相同應(yīng)用，沒有購買APN服務(wù)的應(yīng)用竊取購買APN服務(wù)的應(yīng)用的APN ID。

c）應(yīng)用側(cè)設(shè)備打上APN ID之后，到APN頭節(jié)點經(jīng)過不可信路徑，可能被竊取和篡改。

d）惡意用戶可能會申請許多APN ID。

4.3.2 APN安全機制分析

APN的安全也分為應(yīng)用側(cè)的安全可信和網(wǎng)絡(luò)側(cè)的安全可信。應(yīng)用側(cè)內(nèi)的可信，需要通過端側(cè)/服務(wù)器內(nèi)的安全機制來保證，不同APP之間不能互相搶占和使用不屬于自己的APN ID。在應(yīng)用側(cè)外的可信，即報文一旦發(fā)出，需要由網(wǎng)絡(luò)側(cè)的安全機制來保證報文內(nèi)攜帶的APN ID可信無篡改。

APN ID的可信與安全：由于APN ID本身攜帶了應(yīng)用層的信息和用戶的信息，如果使用不當，可能會涉及隱私泄露問題。因此建議以一種輕量的方式來保證應(yīng)用側(cè)打上的APN ID在網(wǎng)絡(luò)側(cè)是可以被信任的，沒有被篡改和仿冒。網(wǎng)絡(luò)中業(yè)務(wù)感知邊緣節(jié)點接收到報文后，通過HMAC、數(shù)字簽名、IPSec等技術(shù)進行校驗，如果身份認證通過，則映射進入相應(yīng)網(wǎng)絡(luò)資源（如SRv6路徑、切片等）；如果身份認證不通過，則流量過濾或者進入普通等級路徑。接入認證有效防止單設(shè)備內(nèi)的不同應(yīng)用之間相互偽裝/盜用應(yīng)用信息、不同設(shè)備的相同應(yīng)用之間相互偽裝/盜用應(yīng)用信息、不同設(shè)備的不同應(yīng)用之間相互偽裝/盜用應(yīng)用信息、應(yīng)用信息發(fā)送后在到達接收方之前被篡改。

4.4網(wǎng)絡(luò)切片的安全風(fēng)險與安全策略

基于IPv6的網(wǎng)絡(luò)切片在網(wǎng)絡(luò)基礎(chǔ)物理架構(gòu)上，通過擴展IGP多拓撲結(jié)構(gòu)實現(xiàn)切片的劃分與管理。OSPF、ISIS等IGP路由協(xié)議為每個切片域管理SRv6 SID空間，基于切片內(nèi)的SRv6 SID進行切片業(yè)務(wù)轉(zhuǎn)發(fā)，SRv6在進行切片封裝轉(zhuǎn)發(fā)時封裝切片定制的切片參數(shù)。此外通過分配不同的切片Slice-ID實現(xiàn)切片資源的區(qū)分，業(yè)務(wù)轉(zhuǎn)發(fā)時，在IPv6頭中進行擴展，封裝切片Slice-ID以及相應(yīng)的切片參數(shù)。

切片攻擊者可以通過偽造被攻擊切片的封裝信息，實現(xiàn)跨切片的數(shù)據(jù)訪問，因此，需要將切片彼此隔離，不同網(wǎng)絡(luò)切片的資源不應(yīng)相互影響，以盡量減少對數(shù)據(jù)機密性和完整性的攻擊。切片有如下安全機制。

a）對用戶進行安全認證以及授權(quán)。授權(quán)用戶訪問相應(yīng)安全級別的網(wǎng)絡(luò)切片，限制用戶訪問非授權(quán)的網(wǎng)絡(luò)切片。

b）安全引流。在用戶接入側(cè)，通過實施增強ACL等方式，對用戶流量進行過濾，將符合IP地址規(guī)劃的流量引入切片通道。

c）切片安全隔離技術(shù)。為不同切片設(shè)置不同的安全級別，對于高級別的切片通道可以部署FlexE、時隙化小顆粒等技術(shù)，增強切片帶寬隔離能力，避免當網(wǎng)絡(luò)切片進行擴縮容時相互影響導(dǎo)致資源缺失。

d）部署切片安全技術(shù)?；诰W(wǎng)絡(luò)切片組網(wǎng)環(huán)境以及切片隔離技術(shù)進行設(shè)計，滿足切片的靈活擴展、不同切片的端到端安全特性的需求。

0 5

未來與展望

隨著數(shù)字化進程的加速推進，網(wǎng)絡(luò)安全已經(jīng)成為社會和國家穩(wěn)定發(fā)展的重要保障。作為下一代互聯(lián)網(wǎng)技術(shù)的引領(lǐng)技術(shù)，IPv6+基于IPv6技術(shù)全面升級，不僅繼承了IPv6技術(shù)原有的安全威脅，也導(dǎo)致攻擊鏈更加智能化和多樣化，危害程度更高。在國家政策、技術(shù)發(fā)展和需求的多重驅(qū)動下，IPv6+網(wǎng)絡(luò)內(nèi)生安全機制與關(guān)鍵技術(shù)研究也已成為未來網(wǎng)絡(luò)發(fā)展的重要方向，此外，還應(yīng)充分挖掘IPv6+賦能安全的能力，構(gòu)建基于IPv6+技術(shù)體系的新安全網(wǎng)絡(luò)，推進網(wǎng)絡(luò)安全體系和能力建設(shè)，為下一代互聯(lián)網(wǎng)安全可信保駕護航。

參考文獻

［1］李振斌，胡志波，李星.SRv6網(wǎng)絡(luò)編程：開啟IP網(wǎng)絡(luò)新時代［M］.北京：人民郵電出版社，2020.

［2］傅小兵，宗春鴻，嚴寒冰，等.基于IPv6的互聯(lián)網(wǎng)絡(luò)安全探討［J］.中國新通信，2024，26（2）：16-18.

［3］許國棟.IPv6網(wǎng)絡(luò)的安全風(fēng)險點與應(yīng)對建議［J］.數(shù)字技術(shù)與應(yīng)用，2023，41（2）：237-239.

［4］賀樂樂，毛云軒.基于IPv6規(guī)模部署下的網(wǎng)絡(luò)安全風(fēng)險防范措施研究［J］.數(shù)字通信世界，2022（11）：41-43.

［5］李振斌，趙鋒.“IPv6+”技術(shù)標準體系［J］.電信科學(xué)，2020，36（8）：11-21.

［6］魯冬杰，楊凱，莊小君，等.基于SRv6的網(wǎng)絡(luò)安全技術(shù)研究［J］.電信工程技術(shù)與標準化，2022，35（12）：27-33.

［7］李樹軍，蔡長安.IPv6源路由機制安全性分析與攻擊技術(shù)研究［J］.成都大學(xué)學(xué)報（自然科學(xué)版），2010，29（1）：60-63.

［8］IETE.IPv6 Segment Routing Header（SRH）：RFC 8754［S/OL］.［2023-12-25］.https：//www.rfc-editor.org/rfc/rfc8754.

［9］IETE.Source packet routing in networking（spring）problem statement and requirements：RFC 7855［S/OL］.［2023-12-25］.https：//www.rfc-editor.org/rfc/rfc7855.

［10］BURAGLIO N，MIZRAHI T，TONG T，et al.SRv6 Security Considerations：draft-bdmgct-spring-srv6-security-01［S/OL］.［2023-12-25］.

https：//datatracker.ietf.org/doc/draft-bdmgct-spring-srv6-secu?rity/.

［11］FILSFILS C，CAMARILLO P，LEDDY J，et al.SRv6 network programming：draft-ietf-spring-srv6-network-programming-15［S/OL］.［2023-12-25］.https：//datatracker.ietf.org/doc/html/draft-ietfspring-srv6-network-programming-15.

［12］IETF.Service Function Chaining（SFC）Architecture：RFC7665［S/OL］.［2023-12-25］.https：//datatracker.ietf.org/doc/rfc7665/.

［13］王士誠，況鵬，何林.基于“IPv6+”的應(yīng)用感知網(wǎng)絡(luò)（APN6）［J］.電信科學(xué)，2020，36（8）：36-42.

［14］IETE.Operational Security Considerations for IPv6 Networks：RFC9099［S/OL］.［2023-12-25］.https：//datatracker.ietf.org/doc/rfc9099/.

［15］IETE.Operational Implications of IPv6 Packets with Extension Headers：RFC9098［S/OL］.［2023-12-25］.https：//datatracker.ietf.org/doc/rfc9098/.

［16］IETE.Limited Domains and Internet Protocols：RFC8799［S/OL］.［2023-12-25］.https：//www.rfc-editor.org/rfc/rfc8799.html.

作者簡介

圖片

佟恬，研究員，碩士，主要從事下一代互聯(lián)網(wǎng)、IPv6網(wǎng)絡(luò)安全、源地址驗證方向的研究工作；

趙菁，研究員，碩士，主要從事下一代互聯(lián)網(wǎng)、IPv6網(wǎng)絡(luò)安全、DNS方向的研究工作；

龐冉，首席研究員，碩士，主要從事下一代互聯(lián)網(wǎng)、算力網(wǎng)絡(luò)方向研究工作；

曹暢，高級工程師，博士，主要從事算力網(wǎng)絡(luò)、下一代互聯(lián)網(wǎng)等方向的研究工作。