前言：想要寫出一篇引人入勝的文章？我們特意為您整理了有線電視網絡設備安全技術淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：按照國家廣播電視總局關于推進IPv6規模部署和應用的要求，運營商正逐年落實IPv6部署和應用工作，有線電視網絡IPv6應用規模不斷提升。與此同時，運營商應同步開展IPv6網絡安全部署實踐，以更好地應對當前IPv6攻擊不斷攀升的態勢。本文圍繞有線電視網絡設備IPv6安全關鍵技術展開研究，對IPv6網絡安全性進行分析，對有線電視網絡中的通用網絡設備路由協議的安全風險和防護進行研究，以期為IPv6網絡安全實踐提供一些參考。

關鍵詞：IPv6網絡安全路由協議

1引言

IPv6協議是下一代互聯網協議，在地址空間、安全性等方面有巨大提升。物聯網、云計算、大數據、人工智能等新技術驅動網絡空間向萬物互聯演進，利用IPv6技術解決地址短缺問題、培育創新空間是大勢所趨。世界各國已充分認識到規模部署IPv6的迫切性，全球通信行業及開展新興技術應用的企業都在向IPv6遷移。目前，全球IPv6支持能力水平穩步提升，APNICLabs國家/地區IPv6支持能力統計數據顯示，截至2022年3月8日，全球IPv6支持能力達29.8%。2021年，中央網信辦、發改委、工信部聯合發布《關于加快推進互聯網協議第六版（IPv6）規模部署和應用工作的通知》，明確了“十四五”時期應全面深入推進IPv6規模部署和應用，加快促進互聯網演進升級。隨后，廣電行業制定了相應的工作任務臺賬，全面推進廣電行業IPv6規模部署和應用。在IPv6規模部署過程中，安全問題是非常重要的。在網絡層面，IPv6網絡面臨協議、機制自身存在的安全問題，通用網絡設備路由器和路由協議在IPv6環境下也面臨著新的安全挑戰。

2IPv6網絡安全性分析

2.1IPv6協議的特征和安全性增強

與IPv4相比，IPv6在地址空間、首部格式、安全性支持、配置和維護等方面進行了改進，同時實現了安全性的增強。安全性的增強一方面源于地址空間大大提升，另一方面源于IPv6協議族中提供了若干安全特性。IPv6的主要特征如下。2.1.1地址空間的擴展。IPv6將地址長度從IPv4的64位擴展到128位，地址空間容量是IPv4的296倍，地址空間得到極大擴展。IPv6海量地址空間提升了網絡掃描和網絡勘察的難度，在網絡層實施傳統的順序掃描或隨機掃描策略將是不可行的。2.1.2層級化的編制方式和豐富的地址類型。IPv6采用了可聚合的層級化的子網分級編址方式，并定義了全球聚合單播地址、本地鏈路地址、多播/選播地址等一系列地址類型，有助于提高路由表的空間聚合效率和路由交換性能，更加適合交換式的高速網絡環境。2.1.3高效的協議首部。IPv6的協議報文首部格式采用基本首部和擴展首部相結合的定義方式?；臼撞烤哂泄潭ǖ拈L度，便于節點進行快速處理，可以減少處理開銷，提升數據包轉發的效率。擴展首部采用選項鏈表形式，可以為協議功能的擴展提供高度的靈活性和自主性。2.1.4支持IPsecIPv6以一組RFC定義了網絡安全。協議框架IPsec，包括了鑒別首部機制（AH）和安全負載封裝機制（ESP），以及支持多種密鑰加密方式的因特網密鑰管理交換協議（IKE）等，以保障IP層數據包的安全傳輸。2.1.5IP層鄰居發現協議與無狀態地址自動配置IPv6協議族中定義基于IP的鄰居發現協議，替代IPv4中采用的鏈路層ARP協議和部分ICMP功能，在三層實現地址解析和鄰居發現，并提供無狀態地址自動配置功能，提升了協議在不同二層介質條件下的適用性，減輕了二層網絡壓力，而且可以使用三層的安全機制增強網絡維護管理機制的健壯性。

2.2IPv6網絡的安全風險

網絡層面的IPv6安全風險分析主要從IPv6協議機制出發來展開，包括網絡編址機制、IPv6報文格式、ICMPv6協議、鄰居發現協議等。2.2.1網絡編址機制的安全風險。網絡尋址空間的大小對于目前的網絡安全分析技術將產生直接的影響。任何類型的攻擊的第一個階段通常都涉及對目標的勘察，攻擊者會評估目標，選定穿透防御最容易的方法以及實施攻擊的最優方式，并確定攻擊實際上是否成功。與IPv4相比，IPv6高達128位的地址長度顯著提升了網絡掃描的難度，傳統的基于網絡層的隨機掃描和順序掃描策略在IPv6下難以實施。然而，若IPv6編址方式不合理，如采用將EUI-64地址轉換為IPv6地址的編制方式、在IPv6地址中嵌入IPv4地址的編制方式、在IPv6地址中嵌入端口號的編制方式或采用十六進制“字”構造IPv6地址的方式等[1]，則會降低掃描的搜索空間，減弱網絡掃描的難度。2.2.2IPv6報文格式的安全風險。IPv6采用了基本首部和可選的擴展首部相結合的分組格式。基本首部格式簡練且具有相對固定的長度；擴展首部以選項鏈表的形式替代了IPv4下單一且長度不定的IP頭選項字段，以提供良好的協議擴展性。IPv6在安全性方面優于IPv4，但其設計仍然有不嚴密之處，為安全威脅的產生創造了便利條件。IPv6基本首部中存在未完全定義字段和保留字段，如版本、流量類型、流標簽、下一報頭、跳限制等字段。一方面，攻擊者可能將字段設置為未定義取值，用以干擾安全設備或消耗資源，甚至實施拒絕服務（DoS）攻擊；另一方面，攻擊者可能利用這些字段來構建隱蔽信道，它能使通信雙方繞過系統安全訪問機制的檢查，并以違反系統安全策略的方式傳遞秘密信息。IPv6擴展首部機制是IPv6協議的新特性之一。擴展首部的引入最大程度地減少了節點處理IPv6協議首部的開銷，而且它使得未來IPv6功能的擴展具有高度的靈活性和自主性。IPv6協議主要定義了逐跳選項首部、分段首部、目的地選項首部、路由首部、認證首部、封裝安全載荷首部等擴展首部。IPv6協議還明確規定了發送節點對IPv6擴展首部的順序和次數的要求，但同時IPv6協議要求IPv6節點必須能夠接收并嘗試處理以任意順序構成的擴展首部。任意類型的擴展首部能夠以不同的順序或是未定的次數在IPv6數據包中出現，這種不受約束的特性存在極大的安全隱患，比如將許多擴展首部鏈接在一起精心構造的報文，可能會被用來規避防火墻和入侵防御系統的安全控制；處理冗長的擴展首部會帶來極大的資源消耗，由此可能導致拒絕服務攻擊；擴展首部存在大量的數據空間，可能會被用于實現隱蔽通信等。2.2.3ICMPv6協議的安全風險。ICMPv6協議是IPv6協議族中的一個基礎協議，合并了IPv4中的ICMP(控制報文協議)、IGMP(組成員協議)、ARP(地址解析協議)、NDP（鄰居發現協議）等多個協議的功能。每個IPv6節點都必須完全實現ICMPv6的基礎協議。對于ICMPv6協議的攻擊，主要分為四類：一是通過偽造虛假報文或產生大量不合法報文等方式，利用ICMPv6報文造成拒絕服務攻擊；二是利用精心編制的ICMPv6消息開展網絡嗅探，通過探測站點以確定拓撲并識別潛在的攻擊目標；三是利用重定向消息發起重定向攻擊；四是一些ICMPv6錯誤數據報文可能需要雙向通過防火墻，而報文透明傳輸容易被用來進行隱蔽通信等。2.2.4鄰居發現協議的安全風險。鄰居發現協議是IPv6中的一種重要協議，定義在ICMPv6中，屬于ICMPv6的消息性報文。鄰居發現協議定義了路由器公告（RA）報文、路由器信息請求（RS）報文、鄰居請求（NS）報文、鄰居公告（NA）報文和重定向報文。利用這些報文，鄰居發現協議主要實現地址解析、重復地址檢測、鄰居不可達檢測、無狀態地址自動配置和重定向功能。IPv6節點通過鄰居發現協議確定鏈路上鄰居節點的鏈路層地址，尋找進行包轉發的鄰居路由器。另外，節點使用鄰居發現協議可以確定鄰居的可達性，并能檢測改變了的鏈路層地址。基于鄰居發現協議的攻擊是IPv6下一個需要面對的十分重要的安全威脅，主要分為兩類：一類是基于鄰居發現協議的拒絕服務攻擊，包括RA報文配置虛假的地址前綴或網絡參數（MTU、跳數限制等）造成主機的拒絕服務、重復地址檢測中通過虛假的NS或NA報文干擾造成拒絕服務攻擊、鄰居不可達檢測中通過虛假的NA報文回應NS報文造成拒絕服務攻擊等；另一類是基于鄰居發現協議的欺騙攻擊，包括偽裝路由器發送虛假RA報文實施監聽或中間人欺騙攻擊、使用RS/NS/NA報文實施鄰居緩存欺騙攻擊或地址欺騙攻擊，以及發送虛假的重定向報文實施重定向攻擊。

3通用網絡設備路由協議安全風險及防護

有線網絡運營商內部環境的安全是IPv6安全的一個重要領域。一個網絡運營商如何保障其網絡的安全會直接影響整個互聯網的安全。有線網絡運營商IP數據網通常劃分為骨干網、城域網和接入網。骨干網匯聚了全省的所有業務，通常由核心層、匯接層和出口層組成，如圖1所示。核心層負責省內各城域網絡間的訪問流量；匯接層負責接入層流量的匯聚和轉發；出口層負責與ISP/ICP等外部網絡間的Internet訪問流量。有線電視IP數據骨干網的主要網絡設備通常為路由器、三層交換機等，一臺網絡設備可以劃分為4個不同流量平面，即數據平面、管理平面、控制平面和服務平面。網絡設備的控制平面主要涉及信令協議，路由協議是其中的一種重要協議。路由器使用路由協議以收斂IP轉發數據庫。目前，最常用的支持IPv6的路由協議分別是邊界網關協議BGP4+、路由信息協議下一代（RIPng）、最短路徑優先路由協議版本3（OSPFv3）和中間系統到中間系統版本6（ISISv6）。在網絡中，路由器容易受到中斷攻擊、消耗路由器計算資源的攻擊、緩沖區溢出攻擊或重放攻擊，這些攻擊可能造成DoS或數據包的次優路由。此外，路由器被攻擊的方式可能還包括大量路由信息的注入、錯誤路由信息注入以及其他可能導致其性能下降的流量。路由協議最初是針對友好環境設計的，用以處理數據流量的路由，所有路由器協作完成加快收斂時間的共同目標，意味著路由協議本身面對攻擊是脆弱的。因此，在控制層面需要采取措施保證路由器及其路由協議的安全。路由器應對威脅的一種重要方式是使用密碼學方法認證在路由器之間發送的消息。邊界網關協議BGP4+支持使用MD5認證或Keychain認證；RIPng支持MD5認證，同時還可使用IPsec認證；OSPFv3通常使用IPsec認證保證鄰接鄰居之間的信息安全；ISISv6則采用自身協議定義的ISIS認證方式。針對DoS攻擊，路由器實行白名單安全機制，為每個端口建立“白名單安全”標簽，在“白名單安全”列表中的端口之間可以實現快速的報文互換；針對大量路由信息注入的攻擊，應采取單鄰居路由數量限制的策略，限制存入路由數據庫的路徑數目或設置接收路徑數目的限制值。

4結語

在IPv6規模部署與應用的同時，需要同步加強IPv6網絡安全保障。本文從網絡層面展開對IPv6相關網絡安全性的分析，有助于加深對于網絡層面IPv6安全問題的理解；對有線電視網絡設備中的路由器及路由協議的安全風險和防護進行分析，為有線網絡設備控制平面的網絡安全實踐提供了參考。

參考文獻

[1]張連成,郭毅.IPv6網絡安全威脅分析[J].信息通信技術,2019,13(6):7-14.

作者:趙翠 趙明 湯新坤 單位:國家廣播電視總局廣播電視科學研究院