♦ 参与单位
中国电信股份有限公司天津分公司
♦ 项目背景
随着IPv6规模部署加速,中国电信已建成端到端IPv6网络,但数字化转型中面临可信连接与安全运营挑战。传统安全架构无法满足IPv6环境需求,存在业务暴露、内网威胁等痛点。本项目基于零信任架构,提出IPv6可信网络方案,通过业务可信、连接可信与设备可信三大维度,解决企业级客户在IPv6应用中的安全接入、数据防护和运维简化需求,顺应市场对高效安全解决方案的迫切需求。
♦ 技术方案
本项目在天津电信新型城域网IPv6环境下,采用软件定义边界(SDP)技术实现零信任架构。通过SDP控制器、网关和客户端组件,应用单包认证(SPA)、身份鉴权(IAM)、TLS加密隧道等手段,构建以用户-权限为中心的安全访问控制体系。方案涵盖入云专线和移动办公远程接入两大典型场景,提供云安全网关、互联网暴露面防护、统一接入安全门户等通用能力。
具体流程中,SDP客户端通过SPA认证与控制器交互,动态授权后与网关建立加密隧道,实现资源最小化访问。关键技术包括动态防火墙、VPN-HUB等,确保网络隐身和细粒度管控。
♦ 创新点
1、资产隐藏:通过SPA认证和动态防火墙实现服务隐身,减少攻击面。
2、以用户为中心:颠覆传统网络边界模型,基于身份权限动态授权,实现最小化访问控制。
3、增强防御:默认拒绝策略有效抵御DDoS、APT等攻击,结合持续认证提升安全性。
4、多云适配:软件化边界灵活扩展,支持混合云环境统一管理。
5、合规与体验:满足等保要求,同时通过SDK集成优化用户访问体验。
6、创新性体现在将零信任与IPv6特性融合,拓宽安全架构应用场景。
♦ 应用效果及推广前景
应用效果上,项目在天津电信新型城域网中成功验证,有效保障IPv6终端数据安全,提升运维效率。经济效益方面,形成2B专线、2C远程接入、2H智能家居等新商业模式,推动千行百业数字化转型。产业上促进IPv6规模部署和零信任技术发展;社会效益支持国家IPv6行动计划,加快互联网安全升级。方案可复制性强,适用于政务、金融、工业等多领域,前景广阔。 
