♦ 參與單位
中國電信股份有限公司天津分公司
♦ 項目背景
隨著IPv6規(guī)模部署加速,中國電信已建成端到端IPv6網(wǎng)絡(luò),但數(shù)字化轉(zhuǎn)型中面臨可信連接與安全運營挑戰(zhàn)。傳統(tǒng)安全架構(gòu)無法滿足IPv6環(huán)境需求,存在業(yè)務(wù)暴露、內(nèi)網(wǎng)威脅等痛點。本項目基于零信任架構(gòu),提出IPv6可信網(wǎng)絡(luò)方案,通過業(yè)務(wù)可信、連接可信與設(shè)備可信三大維度,解決企業(yè)級客戶在IPv6應(yīng)用中的安全接入、數(shù)據(jù)防護和運維簡化需求,順應(yīng)市場對高效安全解決方案的迫切需求。
♦ 技術(shù)方案
本項目在天津電信新型城域網(wǎng)IPv6環(huán)境下,采用軟件定義邊界(SDP)技術(shù)實現(xiàn)零信任架構(gòu)。通過SDP控制器、網(wǎng)關(guān)和客戶端組件,應(yīng)用單包認證(SPA)、身份鑒權(quán)(IAM)、TLS加密隧道等手段,構(gòu)建以用戶-權(quán)限為中心的安全訪問控制體系。方案涵蓋入云專線和移動辦公遠程接入兩大典型場景,提供云安全網(wǎng)關(guān)、互聯(lián)網(wǎng)暴露面防護、統(tǒng)一接入安全門戶等通用能力。
具體流程中,SDP客戶端通過SPA認證與控制器交互,動態(tài)授權(quán)后與網(wǎng)關(guān)建立加密隧道,實現(xiàn)資源最小化訪問。關(guān)鍵技術(shù)包括動態(tài)防火墻、VPN-HUB等,確保網(wǎng)絡(luò)隱身和細粒度管控。
♦ 創(chuàng)新點
1、資產(chǎn)隱藏:通過SPA認證和動態(tài)防火墻實現(xiàn)服務(wù)隱身,減少攻擊面。
2、以用戶為中心:顛覆傳統(tǒng)網(wǎng)絡(luò)邊界模型,基于身份權(quán)限動態(tài)授權(quán),實現(xiàn)最小化訪問控制。
3、增強防御:默認拒絕策略有效抵御DDoS、APT等攻擊,結(jié)合持續(xù)認證提升安全性。
4、多云適配:軟件化邊界靈活擴展,支持混合云環(huán)境統(tǒng)一管理。
5、合規(guī)與體驗:滿足等保要求,同時通過SDK集成優(yōu)化用戶訪問體驗。
6、創(chuàng)新性體現(xiàn)在將零信任與IPv6特性融合,拓寬安全架構(gòu)應(yīng)用場景。
♦ 應(yīng)用效果及推廣前景
應(yīng)用效果上,項目在天津電信新型城域網(wǎng)中成功驗證,有效保障IPv6終端數(shù)據(jù)安全,提升運維效率。經(jīng)濟效益方面,形成2B專線、2C遠程接入、2H智能家居等新商業(yè)模式,推動千行百業(yè)數(shù)字化轉(zhuǎn)型。產(chǎn)業(yè)上促進IPv6規(guī)模部署和零信任技術(shù)發(fā)展;社會效益支持國家IPv6行動計劃,加快互聯(lián)網(wǎng)安全升級。方案可復(fù)制性強,適用于政務(wù)、金融、工業(yè)等多領(lǐng)域,前景廣闊。 
