摘要： 随着全球IPv6部署与应用的日益广泛，IPv6网络安全威胁事件逐步增多。目前的IPv6防火墙和入侵检测系统存在用例少、测试准确度低、测试流程复杂等问题。为此，开发了基于多类型威胁的模糊测试框架，提出了IPv6安全防护有效性检测方法，对IPv6防火墙和入侵检测系统的防护有效性进行主动检测。从IPv6网络隐蔽信道、IPv6邻居发现协议、IPv6扩展报头3个方面对Windows Defender 4.12.16299.1004、Ubuntu UFW 0.36防火墙和Suricata 3.2入侵检测系统进行了防护有效性检测。实验结果表明，所提检测方法与Firewalking等方法相比，具有更高的检测可靠性和更全面的安全威胁测试用例。

关键词： IPv6； 防火墙； 入侵检测系统； 模糊测试； 防护有效性检测

中图分类号： TP393.08

文献标志码： A

文章编号： 1671-6841（2024）06-0062-08

DOI： 10.13705/j.issn.1671-6841.2023019

A Protection Effectiveness Detection Method for IPv6 Security Based

on Multiple Types of Threats

WANG Jichang1， ZHANG Liancheng2， YANG Jianbo3， LIN Bin1， GUO Yi2， XIA Wenhao1， YANG Chaoqiang1

（1.School of Cyber Science and Engineering， Zhengzhou University， Zhengzhou 450002， China;

2.College of Cyberspace Security， PLA Strategic Support Force Information Engineering University，

Zhengzhou 450001， China;

3.Institute of Urban Environment， Chinese Academy of Science， Xiamen 361021， China）

Abstract： As IPv6 was deployed and used widely around the world， IPv6 faced increasing network security threats. The current IPv6 firewall and intrusion detection system had some problems such as lack of test cases， low accuracy and complicated testing process. For these reasons， the active detection of IPv6 firewall and intrusion detection system were carried out， the fuzzy detection framework based on multiple types of threats was established， and the protection effectiveness detection method for IPv6 security was put forward. Windows Defender 4.12.16299.1004， Ubuntu UFW 0.36 firewalls and Suricata 3.2 intrusion detection system were tested on IPv6 network covert channel， IPv6 neighbor discovery protocol and IPv6 extension header. The test results showed that the proposed method had higher detection reliability and more comprehensive threat test cases than Firewalking and other detection techniques.

Key words： IPv6; firewall; intrusion detection system; fuzzy testing; protection effectiveness detection

0 引言

作为替代互联网协议第4版（Internet protocol version 4，IPv4）的下一代互联网解决方案，IPv6为工业互联网、人工智能等新型网络与技术的蓬勃应用与快速发展提供了更广泛的互联网连接。随着世界各国积极推进IPv6的部署，IPv6网络威胁数量急剧增加，影响范围也呈现出向各行业领域扩大趋势。IPv6防火墙和入侵检测系统（intrusion detection system，IDS）作为最基本的网络安全防护设备，是抵御IPv6网络恶意行为的第一道和第二道防线。

当前大多数防火墙已开始逐步支持IPv6防护，如Windows下的Windows Defender防火墙、Linux下的ip6tables防火墙、思科公司的Firepower防火墙等。此外，Snort、Suricata等主流入侵检测系统也逐步支持对IPv6部分威胁的特征检测。这些防火墙和入侵检测系统对于IPv6网络安全威胁的真实防护能力亟须检测与评估。

本文开发了基于多类型威胁的模糊测试框架，提出了IPv6安全防护有效性检测方法，通过发现IPv6防护系统存在的漏洞，进而可为针对性“修补”漏洞和指向性“加固”防护奠定基础，确保IPv6防火墙和入侵检测系统能全方位防御IPv6网络恶意流量。

1 相关工作

目前已有研究工作致力于网络安全防护系统的防护有效性检测。

基于错误数据包的检测方法通过发送错误数据包让位于防火墙背后的路由器产生互联网控制报文协议（Internet control message protocol，ICMP）报文。如果接收到此类ICMP差错报文，则说明该测试数据包穿过了相应的防火墙。

基于端口扫描的检测方法利用发送传输控制协议（transmission control protocol，TCP）报文或者用户数据包协议（user datagram protocol，UDP）报文，并借助回应报文来判断这些数据包能否通过相应的防火墙，据此分析防火墙防护能力。

Firewalking检测方法由Goldsmith等［1］提出，其利用IP报头中的生存时间（time to live，TTL）字段，将数据包的TTL字段值设为恰好能够到达防火墙的值。当该数据包穿过了防火墙，处于防火墙下一跳的路由器会收到一个TTL超时数据包，之后会回复一个ICMP差错报文，借此判断数据包能否穿过防火墙。

Antonios等［2-5］使用了Scapy工具［6］构造一系列基于互联网控制报文协议第6版（Internet control message protocol version 6，ICMPv6）报文的扩展报头测试用例，在命令行模式下对目标系统Ubuntu 10.04、FreeBSD 9、Windows 7等自带的防火墙进行检测，通过观察是否收到回送应答报文对目标防护设备的防护性能进行分析。

以上研究工作在防火墙防护有效性检测方面取得了一定进展，但都是通过目标防护系统是否发出回应来分析防火墙的防护性能。在面对需要使用ICMP报文的测试中，作为判断依据的ICMP报文极有可能被防火墙拦截，导致检测结果不可靠，并会对防护性能分析过程造成干扰。

辜苛峻等［7］提出了基于多类型数据包的IPv6防火墙防护能力评测方法，通过对思科ASA5505防火墙进行测试证实了方法的可行性，但该方法并没有对入侵检测系统进行有效性分析。此外，该方法未对IPv6隐蔽信道、IPv6邻居发现协议（neighbor discovery protocol，NDP）存在的安全威胁进行防护有效性检测。

为此，针对现有检测技术测试用例少、测试准确度低、测试流程复杂问题，本文对IPv6防火墙和入侵检测系统防护有效性检测方法展开研究。

2 IPv6安全威胁分析及构造

作为下一代互联网解决方案，IPv6除了继承IPv4网络的旧有安全威胁（如应用层安全威胁等），也遭受新协议带来的新型安全威胁（如邻居发现欺骗、扩展报头安全威胁等），同时还面临IPv4/IPv6过渡与共存的双重叠加安全威胁。

通过对已发布IPv6漏洞和现有IPv6网络威胁的分析［8］，发现IPv6网络所面临的主要威胁集中在IPv6隐蔽信道安全威胁［9-10］、IPv6邻居发现协议安全威胁、IPv6扩展报头安全威胁3个方面［11-13］，如表1所示。

本节介绍上述3个方面的安全威胁并针对性构造测试数据包，以测试IPv6防火墙和入侵检测系统对各类型安全威胁的防护有效性。

2.1 IPv6隐蔽信道安全威胁

由于IPv6协议标准存在定义不严谨字段、保留字段等问题，威胁者可利用IPv6报头构建隐蔽信道。根据隐蔽信道构建机制的不同，构建了节点忽略模式、保留模式、定义不完整模式和误用模式4种IPv6网络隐蔽信道威胁［16］。

节点忽略模式分为分片标识字段伪造、段剩余字段值调制、选项字段值调制和下一报头字段值调制4种威胁。保留模式分为分片扩展报头保留字段嵌入和逐跳选项扩展报头保留字段嵌入2种威胁［17］。定义不完整模式分为流量类别定义不完整和流标签定义不完整2种威胁。误用模式分为逐跳选项扩展报头PadN选项填充误用和目的选项扩展报头PadN选项填充误用2种威胁。

利用节点忽略模式、保留模式、定义不完整模式和误用模式构建IPv6隐蔽信道威胁的利用字段、构建方式及防火墙和入侵检测系统预期操作如表2所示。

2.2 IPv6邻居发现协议安全威胁

IPv6邻居发现协议威胁通过改变NDP协议中的参数字段来构建安全威胁报文，通过分析将IPv6邻居发现协议威胁分为路由器公告（router advertisement，RA）报文默认路由欺骗威胁、RA报文跳数限制欺骗威胁、RA报文最大传输单元（maximum transmission unit，MTU）参数欺骗威胁、邻居公告（neighbor advertisement，NA）报文欺骗威胁和邻居请求（neighbor solicitation，NS）报文欺骗威胁5种，IPv6邻居发现协议威胁的利用字段、构建方式及防火墙和入侵检测系统预期操作如表3所示［19］。

2.3 IPv6扩展报头安全威胁

IPv6扩展报头机制是IPv6协议的新特性之一，它使得IPv6功能的扩展具有高度的灵活性和自主性，但也引入不少安全威胁［18］。

IPv6扩展报头安全威胁主要包含不符合RFC规范的IPv6报头链、IPv6扩展报头选项威胁［20］。

2.3.1 不符合RFC规范的IPv6报头链

IPv6协议中没有对扩展报头的长度和数量进行限制，但RFC 8200［19］对其提出了建议，故利用IPv6报头（A）、逐跳选项扩展报头（B）、目的选项扩展报头（C）、路由扩展报头（D）和分片扩展报头（E）构造了7种扩展报头组合，以检测防火墙和入侵检测系统是否按照RFC规范对IPv6报文进行处理。IPv6报头链组合类型、防火墙和入侵检测系统的预期操作如表4所示。

2.3.2 IPv6扩展报头选项威胁

为指示路由类型，路由扩展报头中包含路由类型字段。威胁者可以利用路由扩展报头的类型0或其他类型路由报头，在网络中引起放大效应，在RFC 5095［20］中，路由类型0的路由扩展报头被弃用。因此构建了2种威胁数据包（如表5所示）以检测防火墙和入侵检

测系统对RFC 5095的支持程度和对路由扩展报头威胁的防护能力［21］。

未知扩展报头的传输可能会导致安全隐患，可能是格式错误或威胁者精心制作的数据包的一部分，中间设备应丢弃包含无法识别的扩展报头的整个数据包。故构造了如表6所示的未知扩展报头报文以检测IPv6防火墙和入侵检测系统对未知扩展报头威胁的防护能力。

目的选项扩展报头与逐跳选项扩展报头拥有相同的选项结构（type-length-value，TLV）。RFC 4942除了规范超大包（Jumbo）逐跳选项的使用外，还要求除Pad1与PadN选项类型外，其余选项类型只能出现一次。故构造了如表7所示的选项组合，测试防火墙和入侵检测系统对RFC4942［22］的支持程度和对选项类型威胁的防护能力。

3 基于多类型威胁的IPv6安全防护有效性检测方法

由于目前的检测技术［23］并没有对防火墙IPv6防护能力进行测试，且没有对入侵检测系统进行有效性分析，本文开发了基于多类型威胁的模糊测试框架，并提出了一种IPv6安全防护有效性检测方法。

本节阐述所提检测方法的总体架构，并详细描述模糊测试框架的测试用例构造模块和执行测试模块。

3.1 总体架构

为了对IPv6防火墙和入侵检测系统防护有效性进行全过程分析，本文所提防护有效性检测方法中连接通信模块采用客户端/服务器（C/S）模式，基于多类型威胁的模糊测试框架实现对IPv6防火墙和入侵检测系统的有效性检测，结果分析模块对实验结果分析并回传到客户端，架构总体结构如图1所示。

首先设计了连接通信模块，采用客户端/服务器的总体结构使检测结果准确可靠，测试开始之前客户端和服务器先建立连接，各个模块在建立连接的基础上进行发送与接收的过程，能够更加高效准确地完成过程监控与结果处理。

模糊测试框架作为核心模块起着IPv6威胁发现和威胁测试的作用，首先对IPv6 RFC标准协议分析和对防火墙与入侵检测系统进行防护有效性分析，有针对性构造不同威胁类型的测试用例数据包。之后将威胁数据包从客户端发送至服务端对IPv6防火墙和入侵检测系统进行有效性测试。

结果分析模块在模糊测试框架工作完成后向客户端发送可视化的威胁数据包测试结果和测试报告日志，从报告日志可以分析出IPv6防火墙和入侵检测系统对于IPv6安全威胁的防护能力。

3.2 模糊测试框架

模糊测试框架分为两个组成部分，一部分为测试用例构造模块，另一部分为执行测试模块。

3.2.1 测试用例构造模块

测试用例构造模块先对IPv6历史漏洞信息和IPv6 RFC标准进行协议层面的分析，得到协议目前存在的缺陷和漏洞。之后对防火墙与入侵检测系统进行IPv6方面的管理配置和过滤规则防护有效性分析，找到两种网络安全设备可能存在的配置漏洞。

结合协议分析和防护有效性分析的结果，有针对性地构造不同威胁类型的测试用例数据包，模块结构如图2所示。

3.2.2 执行测试模块

执行测试模块通过客户端发送载荷中嵌有“START”字符串的威胁数据包，服务端收到数据包后进行分析，收到带有“BYE”的数据包表示本次测试结束。如果服务端接收相应的威胁数据包且入侵检测系统没有告警，说明构造的威胁数据包成功穿透了IPv6防火墙，并且绕过了入侵检测系统的审查，服务端返回本次测试的结果至客户端。

为了保证服务端检测分析的数据包是来自客户端所发送的真实数据包，所有的数据包的载荷中都会包含一段“TestN”的字段（N是当前模块序列号）。服务端对每次收到的数据包进行检查，如果没有该字段，则跳过当前数据包去分析下一个数据包，如图3所示。

4 测试及结果分析

本节介绍了测试方案和实际测试环境，展示了所提方法对典型IPv6防火墙和入侵检测系统防护有效性的检测效果，并对检测结果进行分析［24-26］。

4.1 测试方案与测试环境

本文搭建如图4所示的IPv6网络拓扑进行测试。

客户端主机运行Ubuntu 18.04操作系统，配置为3.10 GHz英特尔酷睿i5-10500处理器、32 GB内存。服务端主机运行Ubuntu 18.04操作系统，配置为3.10 GHz英特尔酷睿i5-10500处理器、16 GB内存。

待测试的防火墙版本分别为Windows Defender 4.12.16299.1004和Ubuntu UFW 0.36（ip6tables定制版），待测试的入侵检测系统版本为Suricata 3.2。

对Windows Defender 4.12.16299.1004和Ubuntu UFW 0.36的访问控制策略和Suricata 3.2的规则进行配置，Windows Defender和UFW默认允许正常的IP、ICMP、TCP、UDP数据包通过，Suricata使用默认的威胁开放规则集。

4.2 有效性测试与结果分析

利用所提方法检测IPv6防火墙和入侵检测系统的防护有效性，在检测过程中利用Wireshark数据包捕获工具，实时捕获IPv6数据包，利用捕获的流量来分析检测是否按照预期进行，同时结合检测结果说明本方法对IPv6防火墙和入侵检测系统防护有效性检测的结果是否有效。

4.2.1 IPv6隐蔽信道安全威胁测试

构造保留模式、定义不完整模式、误用模式和节点忽略模式4种模式的IPv6隐蔽信道威胁数据包，每种威胁类型数据包数量为20，对防火墙和入侵检测系统进行防护有效性检测。

对于4种模式IPv6存储型网络隐蔽信道，由于利用IPv6报头或IPv6扩展报头中某些字段作为嵌密载体来传输秘密信息，而防火墙能够在网络层进行IPv6报文过滤，入侵检测系统能配置规则对IPv6报文进行字段级检查，所以防火墙和入侵检测系统应该对存储型隐蔽信道具备良好的检查能力。

表8展示了Windows Defender、Ubuntu UFW防火墙拦截和Suricata入侵检测系统告警的每类威胁数据包数量，可以看出IPv6隐蔽信道安全威胁都能被防火墙拦截和入侵检测系统告警，测试结果符合预期结果，体现了网络安全设备对IPv6隐蔽信道安全威胁的良好防护性能。

4.2.2 IPv6邻居发现协议安全威胁测试

根据IPv6邻居发现威胁实验结果（表8）来看，IPv6邻居发现协议安全威胁无法被防火墙与入侵检测系统拦截和告警。

NDP协议默认链路节点可信，即默认所有网络节点均按照协议标准发送无异常的数据报文，利用该特性，恶意主机可利用NDP的漏洞发送伪造的恶意报文制造各种各样的威胁，由于利用NDP协议构建的威胁数据包对外表现均为正常数据包，防火墙和入侵检测系统无法进行拦截或告警，测试结果也符合预期，说明防火墙和入侵检测系统需要加强对NDP协议威胁的防护。

4.2.3 IPv6扩展报头安全威胁测试

对不符合RFC规范的IPv6报头链的检测结果表明，两种防火墙对扩展报头顺序数量并没有要求，但Suricata会对不符合RFC规范的IPv6报头链数据包告警，该特性可能被用来对没有配置入侵检测系统的网络设备产生安全威胁。

对IPv6扩展报头选项威胁的测试结果表明，Suricata、Windows Defender和Ubuntu UFW检测并拦截了未知类型扩展报头和路由类型为0的路由扩展报头的IPv6数据包。目的选项扩展报头和逐跳选项扩展报头携带的任意选项组合均能通过防火墙且躲过入侵检测系统的监控，由于中间节点和目标节点会对两种扩展报头进行处理，若不规范其报文选项，则威胁者可以利用这一弱点对传输路径上的中间节点或目标节点进行拒绝服务。

4.3 防护能力对比

本文使用防火墙对威胁数据包的拦截率和入侵检测系统的告警率，评价不同防火墙和入侵检测系统对IPv6网络威胁的防护能力。

表9对比了本文所提方法测得的两种防火墙对IPv6网络威胁的防护能力。实验结果表明，Windows Defender防火墙对IPv6网络威胁的防护能力要稍弱于Ubuntu UFW，且Windows和Ubuntu系统在安装Suricata入侵检测系统后的防护能力都有小幅度的提高。这说明在日常网络防护中需要防火墙和入侵检测系统两道防线的相互配合，才能达到有效防护IPv6网络威胁的效果。

测试结果同时表明，本文所提方法可有效检测出Windows Defender、Ubuntu UFW防火墙的IPv6网络威胁防护薄弱点，后续可针对检测出的薄弱点进行改进和修复。

4.4 检测能力对比

本文使用对防火墙和入侵检测系统的威胁测试类型和测试准确度，评价不同检测技术的检测能力和防火墙对入侵检测系统防护的有效性。

表10对比了本文所提方法与Firewalking等检测方法对防火墙和入侵检测系统防护能力。实验结果表明，本文所提方法采用C/S模式，对IPv6威胁进行全面分析，比Firewalking、基于错误数据包和基于端口扫描的检测方法拥有更高的检测准确度，比基于多类型数据包的检测方法拥有更加全面的威胁测试用例。测试结果同时也表明，本文所提方法还可对入侵检测系统进行防护有效性检测。

5 结束语

本文开发了基于多类型威胁的模糊检测框架，提出了一种IPv6安全防护有效性检测方法来检测IPv6防火墙和入侵检测系统在处理各种类型IPv6安全威胁数据包时所可能存在的安全问题，通过对Windows Defender 4.12.16299.1004、Ubuntu UFW 0.36防火墙和Suricata 3.2入侵检测系统的检测，证明了本方法相较于已有工作具有更高的检测准确度和更加全面的威胁测试用例，并且能够对入侵检测系统防护有效性进行检测。

未来的研究工作是发现更多的IPv6防火墙和入侵检测系统的防护薄弱点，构建更加全面的IPv6威胁数据包检测用例，对欺骗、后门、验证绕过和端口扫描等恶意行为的检测也是后续的研究重点。

参考文献：

［1］ GOLDSMITH D，SCHIFFMAN M.Firewalking ［EB/OL］.（1998-10-18） ［2022-11-20］.http∥packetfactory.openwall.net/projects/firewalk/firewalk-final.pdf.

［2］ ANTONIOS A．Fragmentation （overlapping） attacks one year later ［R］∥

IPv6 Security Summit.Heidelberg：Troopers，2013.

［3］ ANTONIOS A. Security impacts of abusing IPv6 extension headers［C］∥Proceedings of the Black Hat Security．London：Informa，2012：1-10．

［4］ ANTONIOS A．The impact of extension headers on IPv6 access control lists real-life use cases［R］∥IPv6 Security Summit.Heidelberg：Troopers，2016．

［5］ ANTONIOS A，REY E．Evasion of high-end IPS devices in the age of IPv6［C］∥Proceedings of the Black Hat Security EU．London：Informa，2014：1-20．

［6］ PHILIPPE B. Scapy ［EB/OL］. （2021-04-20）［2022-11-20］.http：∥www.secdev.org/projects/scapy/.

［7］ 辜苛峻， 张连成， 郭毅， 等. 基于多类型数据包的IPv6防火墙防护能力评测方法［J］. 计算机应用研究， 2019， 36（7）： 2154-2158.

GU K J， ZHANG L C， GUO Y， et al. IPv6 firewall defensive capability testing method based on varied packets［J］. Application research of computers， 2019， 36（7）： 2154-2158.

［8］ 孙建平， 王振兴， 张连成， 等. IPv6报头安全威胁及检测［J］. 计算机应用研究， 2012， 29（4）： 1409-1412， 1416.

SUN J P， WANG Z X， ZHANG L C， et al. IPv6 packet header security threat and detection［J］. Application research of computers， 2012， 29（4）： 1409-1412， 1416.

［9］ 郭浩然， 王振兴， 余冲， 等. 基于IPv6 报头的隐蔽通道分析与防范［J］. 计算机工程， 2009， 35（14）：160-162， 165.

GUO H R， WANG Z X， YU C， et al. Analysis and preservation of covert channel based on IPv6 header［J］. Computer engineering， 2009， 35（14）：160-162， 165.

［10］杨智丹， 刘克胜， 李丽. IPv6中的网络隐蔽通道技术研究［J］. 东南大学学报（自然科学版）， 2007， 37（S1）： 141-148.

YANG Z D， LIU K S， LI L. Research on network-based covert channels in IPv6［J］. Journal of southeast university （natural science edition）， 2007， 37（S1）： 141-148.

［11］NAAGAS M A， MALICDEM A R， PALAOAG T D. DEH-DoSv6： a defendable security model against IPv6 extension headers denial of service attack［J］. Bulletin of electrical engineering and informatics， 2021， 10（1）： 274-282.

［12］JUNIPER N.IPv6 flow-based processing overview ［EB/OL］.（2022-10-18）［2022-11-20］.https：∥www.juniper.net/documentation/us/en/software/junos/flow-packet-processing/flow-packet-processing.pdf.

［13］GONT F， HILLIARD N， DRING G， et al. Operational implications of IPv6 packets with extension headers［EB/OL］.（2020-07-15）［2022-11-18］. https：∥datatracker.ietf.org/doc/draft-gont-v6ops-ipv6-ehs-packet-drops/04.

［14］WENDZEL S， ZANDER S， FECHNER B， et al. Pattern-based survey and categorization of network covert channel techniques［J］. ACM computing surveys， 2015， 47（3）： 1-26.

［15］MAVANI M， RAGHA L. Security implication and detection of threats due to manipulating IPv6 extension headers［C］∥Annual IEEE India Conference. Piscataway： IEEE Press， 2014： 1-6.

［16］HANSEN R A，GINO L，SAVIO D.Covert6：a tool to corroborate the existence of IPv6 covert channels［C］∥Annual Conference on Digital Forensics， Security and Law.Florida：ADFSL，2016：101-112.

［17］BARKER K. The security implications of IPv6［J］. Network security， 2013， 2013（6）： 5-9.

［18］CAICEDO C E， JOSHI J B D， TULADHAR S R. IPv6 security challenges［J］. Computer， 2009， 42（2）： 36-42.

［19］STEVE E D，ROBERT M H．RFC 8200，internet protocol，version 6 （IPv6） specification ［S］．Wilmington：IETF，2017．

［20］NEVILLENEIL G，SAVOLA P，ABLEY J．RFC 5095，deprecation of type 0 routing headers in IPv6 ［S］．Wilmington：IETF，2007．

［21］PARTRIDGE C， JACKSON A. RFC 2711， IPv6 router alert option［S］. Wilmington： IETF， 1999．

［22］DAVIES D．RFC4942，IPv6 transition/coexistence security considerations ［S］．Wilmington：IETF，2007.

［23］BDAIR A H，ABDULLAH R，MANICKAM S，et al．Brief of intrusion detection systems in detecting ICMPv6 attacks［C］∥Proceedings of the 6th International Conference on Computational Science and Technology．Berlin：Springer Press，2019：199-213．

［24］KITTAN K，SIEDLER S.ft6：Firewall tester for IPv6［EB/OL］.（2020-02-18） ［2022-11-20］.https∥redmine.cs.uni-potsdam.de/projects/ft6.

［25］VAIDYA A，KSHIRSAGAR D．Analysis of feature selection techniques to detect DoS attacks using rule-based classifiers ［C］∥Proceedings of International Conference on Communication Engineering and Technology．Singapore：Springer Press，2022：311-319．

［26］PRAJEESHA， SINHA K， TRIPATHI A， et al. Security detection module of IPv6 network［C］∥The 6th International Conference for Convergence in Technology. Piscataway：IEEE Press， 2021： 1-5.