网络安全 -587- IPv6 网络安全研究 筑牢下一代电网互联网安全 云南电网有限责任公司信息中心，罗震宇 摘 要：现在网络技术的发展迅速，给人带来很大的便利的同时，也产生一些问题。其中黑客、病毒等问题尤为突 出，网络安全显得尤为重要。IPv6 作为下一代互联网的关键性技术，正逐步取代 IPv4 成为支撑互联网运转的核心协议， IPv6 重点解决了 IPv4 地址空间和网络安全两方面的问题。 但是网络安全问题在 IPv6 网络环境中则仍然存在。 另外， IPv6 协议本身将带来一些新的安全问题，在 IPv4 向 IPv6 的过渡过程中也可能产生新的安全风险。因此使用 IPv6 的过程，也 是客服其缺点的过程。 关键词：IPv6；网络安全技术 我国加快 IPv6 规模部署，对建设网络强国、提 升网络安全起到积极推动作用。 IPv6 相较 IPv4 具有 简单高效、灵活扩展、即插即用、端到端安全、QoS 完善、 移动性良好等技术优势。 自 2018 年以来， IPv6 的大规模商用部署在我国迅速展开，呈现出突飞猛 进态势。南方电网 IPv6 规模部署的总体目标是用 5 年左右时间，基本建成具有典型行业示范效应的南 方电网 IPv6 应用网络，实现下一代互联网技术在电 力能源应用领域的深度融合应用，成为公司数字电 网发展的重要支撑的信息通信平台。 IPv6 凭借其浩瀚的网络地址空间，能够有效解 决当前互联网面临的网络地址消耗殆尽等网络发展 瓶颈问题。然而，IPv4 向 IPv6 网络升级演进是一个 长期、持续的过程，IPv4/IPv6 过渡机制以及 IPv6 协议新特性带来的客观安全问题不容忽视。此外， 目前已部署上线的 IPv6 业务相对有限， IPv6 安全产 品和服务发展、IPv6 安全保障能力的建设也相对滞 后，电网下一代互联网建设仍面临现实安全挑战。 1、可溯源和防攻击 IPv6 的地址空间巨大， 理论上不会再有 IPv6 地 址短缺困境，也不需要广泛使用 NAT 设备节省 IPv6 公网地址。IPv6 终端之间可以直接建立点到点的连 接，无需地址转换，因此 IPv6 地址非常容易溯源。 IPv6 地址分为 64 位的网络前缀和 64 位的接口 地址。一个 64 位的前缀地址支持 64 位的主机数量， 攻击者无法扫描一个 IPv6 网段内所有可能的主机。 假设攻击者以每秒扫描 100 万个主机的速度扫描， 大约 50 万年左右才能遍历一个 64 位前缀内所有的 主机地址。64 位的主机地址使得网络扫描的难度和 代价都大大增加，从而进一步防范了攻击。 2、支持 IPSec 安全加密机制 IPv6 协议中默认集成了 IPSec 安全功能，通过 扩展认证报头（AH）和封装安全载荷报头（ESP）实 现加密和验证功能。 AH 协议实现数据完整性和数据源身份认证功 能，ESP 在上述功能基础上增加安全加密功能。集成 了 IPSec 的 IPv6 协议真正实现了端到端的安全，中 间转发设备只需要对带有 IPSec 扩展包头的报文进 行普通转发，而不对 IPSec 扩展包头进行处理，大