CN111641639A - 一种IPv6网络安全防护系统 - Google Patents

Abstract

本发明提供一种IPv6网络安全防护系统，包括，通过IPv6网络相互连接的静态安全防护模块和动态安全运营模块；所述静态安全防护模块，用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息；所述动态安全运营模块，用以通过安全检测及相应的安全基础设施、安全组织单元、安全策略单元及安全技术单元的配合，发现和管理网络安全风险，并通过IPv6网络向终端网络进行安全防护。本发明并在逻辑上实现三个平面的隔离；增强企业的内网安全；报障过渡时期安全；报障在IPv4网络环境下的DNS安全防护又提供对IPv6协议的支持，有效控制和预防网络安全风险及过渡技术安全风险。

Description

一种IPv6网络安全防护系统

技术领域

本发明涉及网络安全技术领域，特别是涉及一种IPv6网络安全防护系统。

背景技术

IPv6技术虽然解决了当前IP地址匮乏问题，但也为电网公司网络安全防护带了新的变化与挑战。IPv6因地址空间巨大，在应对部分安全攻击方面具有天然优势，在可溯源性、反黑客嗅探能力、邻居发现协议、安全邻居发现协议以及端到端的IPSec安全传输能力等方面提升了网络安全性。

但在IPv6网络下，新的安全问题也随之而来，如针对于安全检测的自动扫描会越来越难，用户隐私更易暴露，互联网暴露面也在增加，IP地址情报库也很难有效的管控庞大的IP地址体量，在过渡期间的双栈安全协议风险等。

IPv6网络如何防止整个企业网络不被攻击、侵入、干扰、破坏和非法使用，确保关键信息基础设施安全，是必须系统性考虑的问题。为此，需要深入研究IPv6技术特点，结合电网企业电力监控系统网络安全防护需求，深入探索IPv6网络下网络安全防护体系，严守IPv6下的网络安全。

邻居发现协议(NDP)由IETF颁布的RFC2461详细定义，它作为IPv6协议栈中的一个网络层协议，包含IPv4中的地址解析协议(ARP)、因特网控制报文协议(ICMP)中的路由器发现部分和重定向部分的所有功能。前面详细分析了NDP存在的安全隐患，NDP建议用IPsec协议保护NDP消息的安全，但无具体说明。为了增强安全机制，IETF提供了NDP的安全扩展协议SEND协议。SEND在原NDP消息基础上添加4个新的消息选项，用于对邻居发现消息源(即通信节点身份)的认证。另外，SEND定义了一个授权代表发现(ADD，Authorization DelegationDiscovery)过程，通过数字证书来验证节点是否为可信路由器。此证书格式定义了两个新的主机与路由间的ICMPv6消息——CPS和CPA，从而使得主机在路由的协助下获得一个从被验证节点到其信任的第三方的认证路径和CPA，从而使得主机在路由的协助下获得一个从被验证节点到其信任的第三方的认证路径。

一个完整的SEND消息包含了IPv6首部消息、邻居发现消息和SEND协议扩展消息选项这三个部分，如图1所示。IPv6首部的主要包含128比特源地址字段、128比特目的地址字段和8比特跳数限制字段等。邻居发现消息采用的是IPv6控制报文(ICMPv6)的格式，分为ICMPv6首部和邻居发现消息说明数据，其中，ICMPv6首部包含8比特类型字段、8比特编码字段和16比特校验和字段，邻居发现消息说明数据部分包含了邻居发现消息首部和邻居发现消息选项。SEND协议在邻居发现协议的基础上添加了新的邻居发现消息选项，这些选项具有相似的帧格式，分别实现了加密生成地址(CGA Cryptographically GeneratedAddress)，对SEND消息进行数字签名并验证，时间戳和随机数生成验证，以及授权代表发现等功能。

SEND协议作为邻居发现协议的扩展协议，在原有邻居发现消息的基础上添加了2个新的消息，认证路径请求消息(CPS，Certification Path Solicitation)和认证路径应答消息(CPA，ertification Path Advertisement)，用来实现主机节点对路由器节点真实身份的验证。

(1)CGA选项，CGA是一种将公钥信息与IP地址绑定生成的IPv6地址。加密生成地址CGA用来确保ND消息的发送者是所声明地址的拥有者。所有节点在声明一个地址之前都产生一对密钥，CGA选项用于携带公钥和相关参数，利用单向HASH函数生成IPv6地址的接口标识符

(2)RSA选项，为防止NDP消息在传递过程中被篡改，或者攻击者在获得节点的CGA地址和公钥后，冒充节点发出消息，SEND协议使用了数字签名机制来保证消息的安全。RSA签名项把基于公钥的签名附加到NDP消息中，其格式如表2所示。

RSA选项包含发送方公钥的hash值，以及根据发送方私钥和ND报文，使用RSA算法生成的数字签名。RSA选项用来验证ND报文的完整性和发送者的真实性。

(3)Timestamp选项，时间戳(Timestamp)选项的目的是为了确保无请求通告和重定向不被重放。

(4)Nonce选项，随机字段(Nonce)选项与时间戳选项作用相同。

SEND协议通过在邻居消息(NS、NA、RS、RA)中添加CGA、RSA数字签名选项、基于X.509的证书选项等，除了能实现对邻居节点的身份认证，保证节点是所声称IP地址的真实拥有者，还能够保护消息的完整性，以及完成对某一路由器是否为可信路由器的验证机制。

SEND协议规定CGA选项必须被添加在所有NS、NA和RS消息中(除非RS消息的源地址未指明)，消息的接收者通过验证由CGA选项的参数字段重新计算所得64比特哈希值hash1，是否与源地址的接口标识符部分相同(除5位特定比特值)，由此判断消息发送者是否为所声称源IP地址的真实拥有者。攻击节点若想通过伪造IP地址的方式造成拒绝服务攻击、重定向攻击或中间人攻击，必须通过“杂凑碰撞”的方式，产生一个与hash1相关的CGA地址，由于产生碰撞的威胁是较低的，因此从一定程度上防止了以伪造IP源地址方式产生的各类攻击。

为防止攻击节点获取合法节点的公钥和CGA地址后，冒充其发送SEND消息或对消息进行篡改，SEND规定所有的NS、NA、RS(除非源地址未指明)和RA消息必须添加RSA数字签名选项，即使消息接收节点通过了对发送节点的CGA验证，也必须进行RSA数字签名验证。由于攻击节点不具有合法消息发送节点的私钥，因此无法冒充发送节点生成数字签名，从而进一步保证了消息的完整性，能够阻止个别节点企图冒充合法节点实施上述三种攻击的行为。

然而SEND协议仍存在一些安全缺陷，有些安全威胁甚至是由SEND协议安全扩展功能所产生的：(1)CGA技术虽然可以实现身份认证，但并不能保证IP地址本身的正确性，非法节点可能产生自己的公钥和CGA地址并加入SEND消息中，这是由于产生CGA的公钥并不是通过证书颁发所得，若使用基于PKI(公钥基础设施)的方式，在部署和实施上则较为困难。(2)虽然合法节点可以使用与公钥相关的私钥，对SEND消息进行签名并进一步保证自己身份的合法性，但这也使得攻击者容易转而针对CGA地址以及RSA数字签名过程进行拒绝服务攻击。例如，针对CGA的产生和随后的DAD(地址碰撞检测)过程，攻击节点可以向正在生成CGA的合法节点发送DAD回复消息(NA消息)，声称自己具有此CGA地址，当碰撞次数超过2，则本次CGA生成失败，这样合法节点就必须改进算法，使得在DAD检测的时候就对NA消息进行验证。同样针对计算复杂度更高的RSA数字签名和验证，攻击节点也可能会实施拒绝服务攻击。(3)在一些不安全链路上，攻击节点可以捕获SEND消息，并更改CGA选项中的参数，造成CGA验证失败从而阻止合法节点的通信。这是由于IP报文在网络中明文传输引起的，目前的解决方法是通过IPSec对端到端的报文传输进行保护，但是攻击者仍有方法插入一个虚假IPSec数据报，造成接收端由于完整性校验不通过而丢弃报文。

通过以上分析可以得知，SEND协议通过诸如CGA和RSA验证等安全扩展功能实现了对核心功能的保护，能够阻止中间人攻击、重定向攻击和部分拒绝服务攻击，但同时会因自身复杂性引入一些拒绝服务攻击。此外，SEND协议的复杂性带来的缺陷还表现在如下两点：(1)频繁地生成、验证CGA和RSA数字签名将会消耗大量的存储和计算资源，对路由器的性能造成影响。(2)SEND协议定义的ADD(授权代表发现，Authorization DelegationDiscovery)过程基于PKI机制，需在节点上部署X.509证书，并且由于ADD过程对路由器的合法身份的验证是通过证书路径验证的形式来完成，这将极有可能是一条非常长的“信任链”，端节点必须存储证书路径上的所有证书，才能验证另一端的路由器，这个过程会产生大量的CPS和CPA消息，同时传输证书和密钥的过程也会增加较多通信流量，并消耗网络带宽和计算资源。

综上所述，SEND协议为身份认证和路由器验证功能提供的安全保护仍存在一些潜在安全威胁，如何在提高SEND协议安全性的同时使协议操作更加轻量化，是SEND协议的主要研究内容。

随着下一代互联网安全问题的逐渐显现，电网作为我国推动IPv6规模部署工作的重点之一，在加快推动网络基础设施、应用基础设施等IPv6升级改造的同时，从升级网络安全防护手段、开展IPv6网络安全风险研究等方面同步推动IPv6网络安全保障工作具有重要意义。从网络安全防护体系、基础安全风险等方面，梳理IPv6安全风险对网络安全防护体系带来的安全挑战，分析过渡技术安全风险、IPv6新增风险等IPv6网络安全相关风险，以及IPv6协议机制对自身安全性的影响，针对其各业务场景安全需求，从安全管理、过渡技术、安全设备、访问控制等方面，需要解决涵盖边界防护、资产管理、威胁情报等内容的IPv6安全策略部署。

发明内容

本发明实施例所解决的技术问题是IPv6升级改造的同时所带来的网络安全风险、安全挑战及过渡技术安全风险的问题。

本发明的一方面，提供一种IPv6网络安全防护系统，包括：

通过IPv6网络相互连接的静态安全防护模块和动态安全运营模块

所述静态安全防护模块，用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息；

所述动态安全运营模块，用以通过安全检测及相应的安全基础设施、安全组织单元、安全策略单元及安全技术单元的配合，发现和管理网络安全风险，并通过IPv6网络向终端网络进行安全防护。

进一步，所述静态安全防护模块包括通过第一IPv6网络相互连接的控制单元、业务单元、管理单元；

所述控制单元，用以网元设备之间认证及路由信息安全更新与传递；

所述业务单元，用以用户登录的认证、业务的授权、业务和网络资源的调控、业务安全的控制；

所述管理单元，用以维护终端的认证与授权，核心的数据、应用、系统及网络平台的保护，各模块的承载方式，以及访问控制、系统与外部交互要求的相应控制点、内外部的维护管理。

进一步，所述第一IPv6网络设置基础设施层、业务层和应用层；所述基础设施层内至少设置一个控制单元、一个业务单元、一个管理单元；所述业务层内至少设置一个控制单元、一个业务单元、一个管理单元；所述应用层内至少设置一个控制单元、一个业务单元、一个管理单元。

进一步，所述动态安全运行模块包括通过IPv6网络相互连接的安全组织单元、安全策略单元、安全技术单元；

所述安全组织单元，用以对系统相连网络、系统内模块进行安全组织架构的统一管理；

所述安全策略单元，用以管理实施动态安全运行模块内的运作流程和管理制度，提供网络安全的策略指引；

所述安全技术单元，用以对网络安全的监控、分析、实施及管理，为业务系统的建设、市场运营和维护提供支持，从IP网、内部网络和系统到外部客户的安全管理。

进一步，所述安全组织单元对系统内网路、系统对接的网路、系统内业务模块、安全业务模块进行统一管理，将实体化的安全部门和配套人员形成自上而下的安全组织架构，进行网络运营，对系统监控的工程建设各阶段进行风险控制。

进一步，所述安全策略单元包括，

策略模块，用以管理网络全工作的总体策略，确定网络整体的安全目标、安全需求、指导原则、实现方法及实施步骤；

管理和规范模块，用以管理网络安全的管理办法及通用技术规范，通用技术规范由通用的业务系统或设备的技术规范或要求组成，总规定由一系列的管理规定组成；

机制模块，用以控制管理办法的执行过程及系统和设备规范，监控具体管理办法的执行过程，规定具体系统或设备相关规范；

规范和配置模块，用以管理具体的操作规范和具体配置规范，根据管理办法和具体系统结合后确定具体操作规范针对具体系统或设备的可操作规范。

进一步，所述安全技术单元包括，

数据发布层，用以向各级管理员或用户提供统一门户和统一认证；

安全事件处理层，用以对安全事件的监控、告警及管控，对安全风险的分析、控制及管理；

数据采集层，用以对事件数据、漏洞数据、配置数据及性能数据的采集；

协议服务层，用以管理系统内需要调用的协议服务；

安全对象层，用以管理需要调用的安全服务。

进一步，所述动态安全运行模块针对终端、接入网、骨干网、业务网络、支撑系统各层面的进行闭环风险控制，具体为：所述动态安全运行模块通过基于IPv6的物联网对终端进行网络安全接入、监控、安全管理；所述动态安全运行模块通过统一的接入身份认证和鉴权管理及IPv6的真实地址对接入网进行安全管理；所述动态安全运行模块通过防范IPv6网络中的流量类攻击，对骨干网的网络异常波动及双栈设备进行安全监控；所述动态安全运行模块通过对业务网络内病毒、数据、漏洞及用户的管理，管理业务网络的运行；所述动态安全运行模块通过对终端或用户的安全管理和审计，建设和部署支撑系统的安全。

进一步，该系统还包括信息安全保障模块，用以系统内的不良信息进行检测、取证、预防及治理，对系统内相关信息进行统一管理及监控保障系统的信息安全。

进一步，所述信息安全保障模块具体包括，

检测单元，用以通过取备案审查结合主动拨测、被动检测对不良信息进行检测；

取证上报单元，用以通过协同管理对不良信息进行取样，建立不良信息留存日志；

预防单元，用以通过接入管理结合备案管理进行接入资源的管理，对不良信息进行预防检测及预警；

治理单元，用以监控不良信息源所有可能的发布渠道，对不良信息进行过滤。

综上，实施本发明的实施例，具有如下的有益效果：

本发明提供的IPv6网络安全防护系统，清晰划分IPv6网络的数据、控制、管理三个平面，并在逻辑上实现三个平面的隔离，避免业务平台问题影响控制平面和管理平面。各平面的逻辑隔离可以采用MPLS VPN、不同地址空间、路由控制、IP地址隔离、访问控制等技术手段。对于平面之间的访问控制，根据业务需求和管理需求，梳理各平面之间的访问要求，制订和实施平面间的访问控制策略，在各平面的交叉访问点执行访问控制策略。

在IPv6内网安全中通过部署ND、RA的异常检测系统来防范相关攻击,加强终端安全的部署。通过实施主机防火墙、入侵检测、防病毒等终端安全产品的部署，可增强企业的内网安全。

采用高性能设备作为双栈设备，以满足性能冗余需求，并采用rACL、CoPP等方式加强对双栈设备的控制面安全保护，报障过渡时期安全。

在路由器中部署基于IPv6的访问控制策略，在DNS缓存服务器中限制相应查询请求的IPv6地址段，并通过在网络边界对IPv6虚假源地址的控制，避免伪造源地址的域名查询请求。同时在检测到IPv6 DNS反射攻击时，及时部署IPv6 ACL级黑白名单保护攻击目标服务器，并对相关流量限速，报障在IPv4网络环境下的DNS安全防护又提供对IPv6协议的支持。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本发明的范畴。

图1为背景技术中SEND消息格式的示意图。

图2为背景技术中IKE数据交换过程示意图。

图3为本发明提供的IPv6网络安全防护系统的架构示意图。

图4为本发明提供的IPv6网络安全防护系统的静态安全防护模块示意图。

图5为本发明提供的IPv6网络安全防护系统的动态安全运行模块示意图。

图6为本发明提供的IPv6网络安全防护系统的安全策略单元示意图。

图7为本发明提供的IPv6网络安全防护系统的安全技术单元示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

如图3所示，为本发明提供的一种IPv6网络安全防护系统的一个实施例的示意图。在该实施例中，所述系统包括：

通过IPv6网络相互连接的静态安全防护模块21和动态安全运营模块22

如图4所示，所述静态安全防护模块21，用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息；

具体的，所述静态安全防护模块21包括通过第一IPv6网络相互连接的控制单元211、业务单元212、管理单元213；

所述控制单元211，用以网元设备之间认证及路由信息安全更新与传递，在控制平面实现网元设备之间认证及路由信息安全更新与传递；

所述业务单元212，用以用户登录的认证、业务的授权、业务和网络资源的调控、业务安全的控制，在业务平面实现用户登录认证、业务授权、业务和网络资源可用性保证、业务安全控制要求；

所述管理单元213，用以维护终端的认证与授权，核心的数据、应用、系统及网络平台的保护，各模块的承载方式，通过IPv6的IPSec协议访问控制系统与外部交互要求的相应控制点对内外部进行维护管理；在管理平面实现维护终端的认证与授权，核心的数据、应用、系统、网络平台的保护，各支撑系统的承载方式，以及访问控制要求、系统与外部交互要求的相应控制点、内外部的维护管理要求，并有效利用IPv6协议的IPSec特性、源地址过滤技术等加强平面内的安全保护。

具体一个实施例中，根据ITU-T X.805标准(端到端通信系统安全框架)，第一IPv6网络可分为基础设施层214、业务层215和应用层216，每个网络层次又可以划分为管理、控制和用户三个平面，即：所述基础设施层214内至少设置一个控制单元211、一个业务单元212、一个管理单元213；所述业务层215内至少设置一个控制单元211、一个业务单元212、一个管理单元213；所述应用层216内至少设置一个控制单元211、一个业务单元212、一个管理单元213。为了实现层次化、等级化的安全防护，IPv6网络所述静态安全防护模块21通过网络设计和优化来保障网络内在的健壮性，同时清晰地划分业务、管理和控制三个平面，采用多种技术手段隔离管控，并在每个平面实施相应安全防护措施，从而使每个平面在安全方面都具备访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私性8个属性；合理管控三平面之间的资源互访，在各平面安全域根据各域的特点辅以相应的安全保护和控制措施，在同一物理网络承载不同业务，应实现带宽管理机制，同时业务互访应在应用层216进行有限互联，避免网络层直联，并在IPv4/6双栈设备上采用严格的网络过滤和访问控制策略防范IPv4和IPv6安全问题的相互影响。

如图5所示，所述动态安全运营模块22，用以通过安全检测及相应的安全基础设施、安全组织单元221、安全策略单元222及安全技术单元223的配合，发现和管理网络安全风险，并通过IPv6网络向终端网络进行安全防护，加强网络的安全可控，所述动态安全运行模块包括通过IPv6网络相互连接的安全组织单元221、安全策略单元222、安全技术单元223；所述动态安全运行模块针对终端、接入网、骨干网、业务网络、支撑系统各层面的进行闭环风险控制；最终实现网络持续安全保障和改进的长效目标，形成安全可管可控的可信IPv6网络安全保障体系。

具体的，所述动态安全运行模块包括：所述安全组织单元221，用以对系统相连网络、系统内模块进行安全组织架构的统一管理，对系统内网路、系统对接的网路、系统内业务模块、安全业务模块进行统一管理，将实体化的安全部门和配套人员形成自上而下的安全组织架构，进行网络运营，对系统监控的工程建设各阶段进行风险控制；所述安全策略单元222，用以管理实施动态安全运行模块内的运作流程和管理制度，提供网络安全的策略指引；所述安全技术单元223，用以对网络安全的监控、分析、实施及管理，为业务系统的建设、市场运营和维护提供支持，从IP网、内部网络和系统到外部客户的安全管理。

再具体的，如图6所示，所述安全策略单元222具有层次化安全策略框架规定了策略体系的管理范畴和技术范畴，包括：策略模块2221，用以管理网络全工作的总体策略，确定网络整体的安全目标、安全需求、指导原则、实现方法及实施步骤，指导公司开展相关安全工作的纲领性内容；管理和规范模块2222，用以管理网络安全的管理办法及通用技术规范，通用技术规范由通用的业务系统或设备的技术规范或要求组成，总规定由一系列的管理规定组成，具体落实网络安全总纲中的相关要求；机制模块2223，用以控制管理办法的执行过程及系统和设备规范，监控具体管理办法的执行过程，规定具体系统或设备相关规范，支撑管理办法的执行，是管理办法具体落地的指导性方法或细化的要求，属于策略体系的管理范畴，而系统和设备规范是指具体系统或设备相关规范，是针对上一层通用规范的具体化，属于策略体系的技术范畴；规范和配置模块2224，用以管理具体的操作规范和具体配置规范，根据管理办法和具体系统结合后确定具体操作规范针对具体系统或设备的可操作规范，分别对应策略体系的管理范畴和技术范畴，其中具体操作规范针对具体系统的管理规定，是所有上层管理办法具体系统结合后的具体要求；而具体操作规范针对具体系统或设备的可操作规范，需满足所有上层规范对本系统系统/设备适用的要求。

再具体的，如图7所示，所述安全技术单元223包括：数据发布层2231，用以向各级管理员或用户提供统一门户和统一认证；安全事件处理层2232，用以对安全事件的监控、告警及管控，对安全风险的分析、控制及管理，包括各专业安全子系统(如DDOS攻击防御网管系统、攻击溯源系统、DNS数据安全分析系统、异常流量监控系统、终端安全管理系统、垃圾邮件投诉处理系统等)、SOC主体功能(包括安全风险管理、风险分析和风险控制、安全服务管理系统等)、以及对外接口；数据采集层2233，用以对事件数据、漏洞数据、配置数据及性能数据的采集，包括事件采集、漏洞采集、配置采集、资产发现及性能采集等功能模块；协议服务层2234，用以管理系统内需要调用的协议服务，提供SNMP/Trap、Netflow、Syslog、Telnet、XML等基本协议服务；安全对象层2235，用以管理需要调用的安全服务，提供防火墙、IDS/IPS、终端管理、主机、网络设备、应用、防病毒、补丁管理等安全服务。

具体一个实施例中，所述动态安全运行模块在终端层面，为加强对客户的可管可控，通过基于IPv6的物联网建设统一的物联网安全业务平台，向客户(终端)提供诸如家庭网络安全接入、监控、企业终端安全管理、安全代维等安全服务；在接入网层面，通过统一的接入身份认证和鉴权管理、基于IPv6的真实地址技术等来加强接入网的安全管理；在骨干网层面，可通过异常流量管理、DDoS攻击防御、垃圾邮件处理、非法路由监测等手段来防范IPv6网络中占主导地位的流量类攻击，并加强对于路由安全问题引起的网络异常波动的管理，同时加强对双栈设备的安全监控；在业务网络层面，可通过终端安全管理、安全域划分、防病毒、访问认证授权、数据安全保护、漏洞扫描、安全审计、集中用户管理等手段来保护业务网络的安全稳定运行，提高业务服务质量，这些服务可通过IPv4环境下的安全设备或手段升级提供对IPv6协议的支持实现；在支撑系统层面，可通过DNS安全监控管理、终端安全管理、安全域划分、远程安全管理、防病毒、恶意代码防护、安全审计、集中用户管理等手段的建设和部署加强支撑系统的安全性，提高IPv6网络运营管理的稳定性。

具体实施例中，所述动态安全运行模块(安全运营体系)由三部分构成：安全组织单元221(组织体系)、安全策略单元222(策略体系)、安全技术单元223(技术体系)。

组织体系，主要面向IP网、企业网、重要业务系统、各类安全业务实现统一安全运维管理；设立专职的实体化的安全管理部门和配套的技术队伍，形成自上而下的、完备的安全组织架构，实现网络安全运营的专业化；实现安全职责覆盖工程建设各阶段和风险控制的各环节，职责明晰，分工明确。

技术体系主要形成“两级平台，三级监控”的网络安全管理能力；为安全监控、分析、实施、管理提供全方位的技术手段；为业务系统的建设、市场运营和维护等提供安全技术支持；为网络安全业务的推出提供技术储备；逐步实现从IP网、内部网络和系统到外部客户的安全管理能力。

策略体系主要建立健全体系运作流程和管理制度，保障体系各项管理工作的落实；建立和形成包含纲领、制度、流程、指南的层次化策略体系，为网络安全工作提供策略指引。

具体的实施例中，如图3所示，该系统还包括信息安全保障模块23，用以系统内的不良信息进行检测、取证、预防及治理，对系统内相关信息进行统一管理及监控保障系统的信息安全，做到环环相扣，层层递进，全面保障南方电网互联网应用的信息安全。

检测单元231，用以通过取备案审查结合主动拨测、被动检测对不良信息进行检测，以监督审查管理为主，完善对不同级别的网站采取备案审查制度，畅通社会监督途径，提高举报响应速度，建设企业内信息共享渠道。同时辅以主动拨测和被动检测为手段的内容。通过多渠道、多手段相结合，及时发现不良和未备案站点；

取证上报单元232，用以通过协同管理对不良信息进行取样，建立不良信息留存日志，以协同管理为主，完善企业内部管理规范，建设企业信息沟通渠道，做好记录留存管理。加强与各级管理部门的联动合作，疏通上报途径。加强技术支撑管理，建立上网日志留存系统，提供接入地溯源查询手段。

预防单元233，用以通过接入管理结合备案管理进行接入资源的管理，对不良信息进行预防检测及预警，以接入管理为主，细化内部经营管理要求；以备案管理为基础，落实专人专岗负责制。加强接入资源管理，以IT系统为支撑，完善网站备案系统，建立接入资源管理平台。

治理单元234，用以监控不良信息源所有可能的发布渠道，对不良信息进行过滤，主要治理手段包括：加强黑名单管理，与政府部门协同，对严重违法者依法查处，对违规者按国家管理机构指示协同依法查处，对违反信息安全管理协议者按规定查处；同时辅以DNS、路由黑洞、DPI等封堵过滤手段等。

本发明实施例中提供的这种IPv6网络安全防护系统，从骨干网安全、边界安全、内网安全、过渡时期安全、支撑系统安全、应急相应机制完善等6个方面全方位加强IPv6网络安全防护。

骨干网安全，清晰划分IPv6网络的数据、控制、管理三个平面，并在逻辑上实现三个平面的隔离，避免业务平台问题影响控制平面和管理平面。各平面的逻辑隔离可以采用MPLS VPN、不同地址空间、路由控制、IP地址隔离、访问控制等技术手段。对于平面之间的访问控制，根据业务需求和管理需求，梳理各平面之间的访问要求，制订和实施平面间的访问控制策略，在各平面的交叉访问点执行访问控制策略。针对各平面的安全防护需求，实施如下的安全控制策略：

数据平面安全防护策略，采用访问控制列表过滤特定的地址流量，如链路本地地址FE80::/10、保留地址等；通过urpf等技术手段的配置过滤虚假源地址流量；特定网段蠕虫和木马端口流量过滤；用户接入身份鉴别和认证；异常流量监控；提供面向用户的数据通信安全业务。对于IPv6骨干网面临的异常流量攻击，应部署支持IPv6的异常流量检测和分析设备、异常流量清洗设备，对IPv6流量进行采集、分析及过滤。同时借助IPv6地址层次化分配方式加强虚假源地址防范，并实施虚假源地址过滤，在边界路由器设置流量过滤策略，过滤特殊用途的IPv6地址，在ISP边界过滤网络基础设施地址及支撑系统地址，并在性能允许情况下在接入路由器实施uRPF。

控制平面安全防护策略，启用路由协议的认证功能；加强网络设备之间路由控制信息的认证、加密和控制，避免控制平面受到虚假路由信息的干扰；部署路由稳定性监测系统。对于IPv6骨干网面临的路由安全风险，应在骨干网核心路由器和城域网出口路由器部署路由协议认证、BGP4+路由震荡抑制、基于IPv6的访问控制策略等。

管理平面安全防护策略，加强网元设备和系统的安全配置，关闭不必要的服务；实施设备和系统的访问控制，限制远程访问的地址范围；对网元设备和系统的远程安全管理实施强认证和数据加密；构建统一认证和鉴权系统，加强设备和应用的身份认证和授权。

边界网络安全，基于边界的网络安全参考模型仍是IPv6安全实施的基础。外部威胁仍是IPv6网络面临的首要威胁，网络安全域隔离可以有效隔离安全问题。边界网络安全适用于企业网络、电信支撑和业务系统。IPv4网络主要通过防火墙、IDS/IPS、路由器的访问控制列表等手段来实现边界网络安全保障，在IPv6网络环境下，这些传统安全防护手段依然有效。面对IPv6新的安全潜在威胁要求，特别需要加强以下几个方面的安全防护：特定ICMPv6信息的检测、过滤或限速；对IPv6分片的重组和深度检查和处理；对多扩展报头载荷的深度检查和处理；基于特定扩展报头类型的访问控制；组播的限制。

内网安全，在IPv6网络安全体系中，内网和终端安全的地位和重要性尤为突出，表现为：ICMPv6实现机制和组播的使用增多了内网的安全风险；IPv6环境下点对点通信的增多以及安全隧道的使用使得企业的很多安全策略必须依赖于终端安全控制来实施。

因此加强内网和终端安全实施，可以填补边界防护模型的缺失。由于现在很多终端对SEND等安全协议不支持，在IPv6内网安全中应通过部署ND、RA的异常检测系统来防范相关攻击,加强终端安全的部署。通过实施主机防火墙、入侵检测、防病毒等终端安全产品的部署，可增强企业的内网安全。具体措施如下：对于ICMPv6报文欺骗攻击防范，应在二层交换机设备上配置RA防护和ND snooping，丢弃来自非信任端口的路由通告，并实施地址绑定；在汇聚以上网络设备限制ICMPv6报文传播；过滤源地址为用户网段，目的地址为汇聚/骨干网络设备地址的ICMPv6报文，只允许来自特定网段(如运营维护网段)的ICMPv6报文；由于SEND技术对性能要求较高，且需要配套密钥、证书管理系统，实现难度较大，难以在短期内实现大规模部署，可考虑在部分局域网环境下试点实施SEND；应在路由器上关闭IPv6源路由功能，防范利用IPv6源路由扩展报头绕过访问控制策略；加强对可能存储IPv6地址文件的保护，如DNS记录、DHCP记录等，限制具有IPv6多播地址的通信，以防范IPv6下新的扫描和蠕虫攻击方式；对于IPv6协议引入的ND IP flood、多播放大、DAD等新的拒绝服务攻击，可采用路由器单位时间内地址解析次数限制、ICMPv6流量限速、部分场景试点部署SEND的方式进行防范。

过渡时期安全，由于双栈技术互通性好，实现简单，适合大规模部署，充分评估网络现状情况以及未来网络向IPv6平滑演进，同样选择双栈技术对IPv4网络进行改造升级。然而，双栈技术的使用将降低设备性能，更易于发生DoS/DDoS攻击，需采用高性能设备作为双栈设备，以满足性能冗余需求，并采用rACL、CoPP等方式加强对双栈设备的控制面安全保护。

同时要积极应对IPv6安全产品不足的现状，促进IPv6安全设备的成熟。IPv6网络同样需要部署的如防火墙、IDS/IPS、漏洞扫描、异常流量监控、VPN、内容过滤等安全设备，需要提供对IPv6协议的支持，同时在实现方式上需要根据IPv6协议的特性进行改进；南可结合IPv6网络建设的进度和应用的需求，通过产品测试选型等方式选择适合网络和业务应用的安全产品。

支撑系统安全，IPv6网络环境下针对DNS系统的攻击仍将猖獗，由于在IPv4/6过渡时期，IPv4/6往往采用一套DNS体系，因此仍可采用在IPv4网络环境下的DNS安全防护技术，但须提供对IPv6协议的支持。对于IPv6 DNS系统面临的安全风险，应在DNS系统前部署防火墙，在路由器中部署基于IPv6的访问控制策略，在DNS缓存服务器中限制相应查询请求的IPv6地址段，并通过在网络边界对IPv6虚假源地址的控制，避免伪造源地址的域名查询请求。同时在检测到IPv6 DNS反射攻击时，及时部署IPv6 ACL级黑白名单保护攻击目标服务器，并对相关流量限速。此外，部署IPv6 DNS域名安全分析系统，对DNS关键信息及操作进行监控。

除了上述常规手段外，还可采用如下措施对DNS业务支撑系统进行安全加固：采用anycast技术实现负载均衡和冗余，可提升DNS抗攻击能力；加强DNS系统进程的安全监测；DNS异常流量检测；实验和部署DNSSec技术；DNS运行主机的安全加固。

在IPv6网络环境下，需要通过DHCPv6服务器为用户分配IPv6地址，DHCPv6服务器的重要性无容置疑，因此越来越容易成为黑客的攻击目标。由于DHCPv6未配备有效的安全认证机制，在IPv6环境下同样面临类似IPv4网络的DHCP攻击，常见的DHCPv6安全攻击包括地址池耗尽攻击、拒绝服务攻击、伪造DHCPv6服务器攻击。通过对客户端发送到所有DHCPv6中继代理与服务器的DHCPv6消息数量进行速率限制，也可部署认证机制对伪造DHCPv6服务器的攻击行为提供防范。

完善应急响应机制，IPv6作为一种新的协议投入实用，不可避免会存在各种安全漏洞，特别是在部署的初期。为了应对突发的各种安全事件，应急响应机制的建立尤为重要。应急响应机制的建立包括两个方面：技术手段，全网部署异常流量监测系统，提高大网安全态势分析能力，对重要支撑系统、业务系统部署安全监控系统。制度和队伍建设，明确突发安全事件的定义和分级制度，针对各类安全事件制订安全应急响应流程，明确各类安全事件应急处理措施，成立应急响应组织机构和队伍，明确安全处理职责。

综上，实施本发明的实施例，具有如下的有益效果：

本发明提供的IPv6网络安全防护系统，清晰划分IPv6网络的数据、控制、管理三个平面，并在逻辑上实现三个平面的隔离，避免业务平台问题影响控制平面和管理平面。各平面的逻辑隔离可以采用MPLS VPN、不同地址空间、路由控制、IP地址隔离、访问控制等技术手段。对于平面之间的访问控制，根据业务需求和管理需求，梳理各平面之间的访问要求，制订和实施平面间的访问控制策略，在各平面的交叉访问点执行访问控制策略。

在IPv6内网安全中通过部署ND、RA的异常检测系统来防范相关攻击,加强终端安全的部署。通过实施主机防火墙、入侵检测、防病毒等终端安全产品的部署，可增强企业的内网安全。

采用高性能设备作为双栈设备，以满足性能冗余需求，并采用rACL、CoPP等方式加强对双栈设备的控制面安全保护，报障过渡时期安全。

在路由器中部署基于IPv6的访问控制策略，在DNS缓存服务器中限制相应查询请求的IPv6地址段，并通过在网络边界对IPv6虚假源地址的控制，避免伪造源地址的域名查询请求。同时在检测到IPv6 DNS反射攻击时，及时部署IPv6 ACL级黑白名单保护攻击目标服务器，并对相关流量限速，报障在IPv4网络环境下的DNS安全防护又提供对IPv6协议的支持。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims (10)

1.一种IPv6网络安全防护系统，其特征在于，包括通过IPv6网络相互连接的静态安全防护模块和动态安全运营模块；

所述静态安全防护模块，用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息；

所述动态安全运营模块，用以通过安全检测及相应的安全基础设施、安全组织单元、安全策略单元及安全技术单元的配合，发现和管理网络安全风险，并通过IPv6网络向终端网络进行安全防护。

2.如权利要求1所述的系统，其特征在于，所述静态安全防护模块包括通过第一IPv6网络相互连接的控制单元、业务单元、管理单元；

所述控制单元，用以网元设备之间认证及路由信息安全更新与传递；

所述业务单元，用以用户登录的认证、业务的授权、业务和网络资源的调控、业务安全的控制；

所述管理单元，用以维护终端的认证与授权，核心的数据、应用、系统及网络平台的保护，通过IPv6的IPSec协议访问控制系统与外部交互要求的相应控制点对内外部进行维护管理。

3.如权利要求2所述的系统，其特征在于，所述第一IPv6网络设置基础设施层、业务层和应用层；所述基础设施层内至少设置一个控制单元、一个业务单元、一个管理单元；所述业务层内至少设置一个控制单元、一个业务单元、一个管理单元；所述应用层内至少设置一个控制单元、一个业务单元、一个管理单元。

4.如权利要求2所述的系统，其特征在于，所述动态安全运行模块包括通过IPv6网络相互连接的安全组织单元、安全策略单元、安全技术单元；

所述安全组织单元，用以对系统相连网络、系统内模块进行安全组织架构的统一管理；

所述安全策略单元，用以管理实施动态安全运行模块内的运作流程和管理制度，提供网络安全的策略指引；

所述安全技术单元，用以对网络安全的监控、分析、实施及管理，为业务系统的建设、市场运营和维护提供支持，从IP网、内部网络和系统到外部客户的安全管理。

5.如权利要求4所述的系统，其特征在于，所述安全组织单元对系统内网路、系统对接的网路、系统内业务模块、安全业务模块进行统一管理，将实体化的安全部门和配套人员形成自上而下的安全组织架构，进行网络运营，对系统监控的工程建设各阶段进行风险控制。

6.如权利要求4所述的系统，其特征在于，所述安全策略单元包括，

策略模块，用以管理网络全工作的总体策略，确定网络整体的安全目标、安全需求、指导原则、实现方法及实施步骤；

管理和规范模块，用以管理网络安全的管理办法及通用技术规范，通用技术规范由通用的业务系统或设备的技术规范或要求组成，总规定由一系列的管理规定组成；

机制模块，用以控制管理办法的执行过程及系统和设备规范，监控具体管理办法的执行过程，规定具体系统或设备相关规范；

规范和配置模块，用以管理具体的操作规范和具体配置规范，根据管理办法和具体系统结合后确定具体操作规范针对具体系统或设备的可操作规范。

7.如权利要求4所述的系统，其特征在于，所述安全技术单元包括，

数据发布层，用以向各级管理员或用户提供统一门户和统一认证；

安全事件处理层，用以对安全事件的监控、告警及管控，对安全风险的分析、控制及管理；

数据采集层，用以对事件数据、漏洞数据、配置数据及性能数据的采集；

协议服务层，用以管理系统内需要调用的协议服务；

安全对象层，用以管理需要调用的安全服务。

8.如权利要求4所述的系统，其特征在于，所述动态安全运行模块针对终端、接入网、骨干网、业务网络、支撑系统各层面的进行闭环风险控制，具体为：所述动态安全运行模块通过基于IPv6的物联网对终端进行网络安全接入、监控、安全管理；所述动态安全运行模块通过统一的接入身份认证和鉴权管理及IPv6的真实地址对接入网进行安全管理；所述动态安全运行模块通过防范IPv6网络中的流量类攻击，对骨干网的网络异常波动及双栈设备进行安全监控；所述动态安全运行模块通过对业务网络内病毒、数据、漏洞及用户的管理，管理业务网络的运行；所述动态安全运行模块通过对终端或用户的安全管理和审计，建设和部署支撑系统的安全。

9.如权利要求1-8任一所述的系统，其特征在于，该系统还包括信息安全保障模块，用以系统内的不良信息进行检测、取证、预防及治理，对系统内相关信息进行统一管理及监控保障系统的信息安全。

10.如权利要求9所述的系统，其特征在于，所述信息安全保障模块具体包括，

检测单元，用以通过取备案审查结合主动拨测、被动检测对不良信息进行检测；

取证上报单元，用以通过协同管理对不良信息进行取样，建立不良信息留存日志；

预防单元，用以通过接入管理结合备案管理进行接入资源的管理，对不良信息进行预防检测及预警；

治理单元，用以监控不良信息源所有可能的发布渠道，对不良信息进行过滤。

Images