IPv6安全特征綜合分析

王巖

摘 要 文章首先針對IPv6的發(fā)展以及技術(shù)特征進(jìn)行了說明，而后進(jìn)一步對其安全進(jìn)步特征展開了討論，同時(shí)兼顧到仍然存在于網(wǎng)絡(luò)環(huán)境中的安全弊端，對于深入認(rèn)識IPv6協(xié)議有著積極意義。

關(guān)鍵詞 IPv6；安全；分析

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）05-0181-01

當(dāng)前信息環(huán)境之下，數(shù)據(jù)傳輸成為了支持整個(gè)互聯(lián)網(wǎng)展開工作的重要工作內(nèi)容。而在負(fù)責(zé)保持整個(gè)網(wǎng)絡(luò)運(yùn)行的互聯(lián)網(wǎng)協(xié)議群（IPS，Internet Protocol Suite）框架中，IP（Internet Protocol）協(xié)議則肩負(fù)著為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信關(guān)鍵任務(wù)，因此其安全特征也受到了行業(yè)內(nèi)部的一貫關(guān)注。

1 IPv6的發(fā)展以及技術(shù)特征

隨著數(shù)據(jù)傳輸技術(shù)的不斷成熟與發(fā)展，IP協(xié)議也在實(shí)現(xiàn)著不斷的進(jìn)步與完善。當(dāng)前互聯(lián)網(wǎng)工程任務(wù)組（IETF，Internet Engineering Task Force）所設(shè)計(jì)的IPv6（Internet Protocol Version 6），作為替代IPv4的最新版本IP協(xié)議，一方面對當(dāng)前日益成熟的數(shù)據(jù)傳輸服務(wù)和與日俱增的數(shù)據(jù)傳輸總量和流媒體數(shù)據(jù)作出更多服務(wù)質(zhì)量和能力方面的考慮，另一個(gè)方面也根據(jù)逐漸嚴(yán)峻的網(wǎng)絡(luò)數(shù)據(jù)傳輸安全展開了進(jìn)一步的完善和調(diào)整。與此同時(shí)，考慮到網(wǎng)絡(luò)中相關(guān)軟件與協(xié)議的進(jìn)步是一個(gè)相對緩慢的循序漸進(jìn)的過程，IPv6協(xié)議還需要與更早一些，并且已經(jīng)在網(wǎng)絡(luò)中實(shí)現(xiàn)普遍應(yīng)用的IPv4協(xié)議保持兼容。

單純從設(shè)計(jì)角度看，IPv4產(chǎn)生于20世紀(jì)80年代初，1983年應(yīng)用于ARPAnet，因此奠定了其堅(jiān)實(shí)的應(yīng)用基礎(chǔ)，這種以教育科研網(wǎng)和一般性企業(yè)網(wǎng)絡(luò)作為服務(wù)對象的數(shù)據(jù)傳輸協(xié)議，本身對于安全的考慮就有所不足，因此隨著經(jīng)濟(jì)的發(fā)展，必然會在安全層面呈現(xiàn)出一定的短板問題。針對于此種狀況，IPv6協(xié)議重點(diǎn)在如下幾個(gè)方面做出了必要改進(jìn)。

1）在網(wǎng)絡(luò)地址空間方面，IPv6協(xié)議擴(kuò)大了地址空間容量。鑒于IP協(xié)議中單地址的長度直接關(guān)系到網(wǎng)絡(luò)地址空間的質(zhì)量和安全水平，IPv6規(guī)定了其單地址長度為128bit，這是迄今為止最為龐大的地址空間，在這樣的地址空間支持之下，網(wǎng)絡(luò)病毒想要借掃描地址來實(shí)現(xiàn)對于計(jì)算機(jī)的攻擊，其難度將會大大增加。這種地址方面的改進(jìn)，對于網(wǎng)絡(luò)安全的加強(qiáng)有著直接的推動(dòng)作用。IPv6協(xié)議另一個(gè)與地址相關(guān)的方面在于其在尋址能力方面有一個(gè)顯著的提升。IPv6協(xié)議采用了層次化的地址結(jié)構(gòu)，因此能夠表現(xiàn)出良好的聚合特征，這對于路由尋址能力和對于地址的查找速度等方面都有一定的推進(jìn)作用，同時(shí)對于路由表的規(guī)格縮減也功不可沒。同時(shí)IPv6網(wǎng)絡(luò)地址管理和分配采用的這種分級方式，也對推進(jìn)網(wǎng)絡(luò)信息安全有著一定價(jià)值。

2）IPv6協(xié)議對于流概念的支持呈現(xiàn)出顯著特征。當(dāng)前數(shù)據(jù)傳輸環(huán)境中，相應(yīng)的數(shù)據(jù)傳輸物理介質(zhì)均轉(zhuǎn)向光網(wǎng)絡(luò)，這給更高速率、更多并發(fā)的數(shù)據(jù)傳輸服務(wù)提供了堅(jiān)實(shí)的基礎(chǔ)，也從一個(gè)側(cè)面推動(dòng)了流媒體的產(chǎn)生和應(yīng)用。IPv6協(xié)議將流的支持納入了考慮范圍之內(nèi)，設(shè)置了20bit流標(biāo)簽域，并作出了其他方面配套規(guī)定，用以實(shí)現(xiàn)對更多種類數(shù)據(jù)傳輸業(yè)務(wù)的支持。最后，IPv6協(xié)議還在移動(dòng)性方面做出了考慮，這也是對于當(dāng)前數(shù)據(jù)傳輸需求特征的一種迎合和改善。在這一方面，IPv6協(xié)議支持為每一個(gè)網(wǎng)絡(luò)設(shè)備提供一個(gè)單獨(dú)的IP地址，能夠?yàn)橐苿?dòng)終端提供良好的傳輸服務(wù)。并且IPv6也在協(xié)議頭格式方面做出了改變，將其開銷盡量降低，便于實(shí)現(xiàn)協(xié)議頭格式的簡單化。

2 IPv6協(xié)議的安全特征分析

鑒于IPv6協(xié)議做出了如此諸多方面的改善，其在安全方面也呈現(xiàn)出更為突出的特征。

IPv6的安全機(jī)制，重點(diǎn)包括驗(yàn)證分析、加密分析兩個(gè)方面。對于驗(yàn)證分析而言，IPv6框架包括了六個(gè)構(gòu)成部分，其中最為重要部分是認(rèn)證報(bào)頭（AH，Authentication Header），其存在的價(jià)值在于為數(shù)據(jù)傳輸提供驗(yàn)證和加密，從根本上看，這是一種基于IP數(shù)據(jù)包數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證的結(jié)構(gòu)存在。并且IETF也對IPv6協(xié)議層的安全框架做出了明確說明，因此相對而言，IPv6具有更好的標(biāo)準(zhǔn)化特征。而從加密角度看，IPv6協(xié)議能夠?yàn)镮P數(shù)據(jù)包提供包括數(shù)據(jù)加密在內(nèi)的無連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認(rèn)證以及抗重播攻擊保護(hù)的多項(xiàng)服務(wù)，并且借由封裝安全負(fù)載報(bào)頭（ESP，Encapsulation Security Payload）加以實(shí)現(xiàn)。ESP的出現(xiàn)價(jià)值在于實(shí)現(xiàn)不同IPv6協(xié)議網(wǎng)絡(luò)之間混合業(yè)務(wù)的安全特征，通過對傳輸目標(biāo)數(shù)據(jù)以及加載進(jìn)行嚴(yán)格的加密，來實(shí)現(xiàn)避免無關(guān)用戶展開對傳輸過程的信息監(jiān)聽。在實(shí)際的傳輸工作中，AH和ESP通常共同工作，用以確保IPv6網(wǎng)絡(luò)的安全特征，除此以外，還包括負(fù)責(zé)密鑰產(chǎn)生和分配相關(guān)工作的IP密鑰管理協(xié)議（IKMP，Internet Key Management Protocol），也都被包含砸IPv6協(xié)議之中，向網(wǎng)絡(luò)數(shù)據(jù)傳輸提供安全支持。

雖然IPv6協(xié)議對于網(wǎng)絡(luò)數(shù)據(jù)傳輸安全特征已經(jīng)做出了充分的考慮，但是仍然存在一定的不足之處。首先IPv4向IPv6過渡的過程中，為了確保不同協(xié)議網(wǎng)絡(luò)之間的連通性，開發(fā)出的以雙棧技術(shù)和隧道技術(shù)作為代表的過渡技術(shù)，其本身存在安全風(fēng)險(xiǎn)。雙棧技術(shù)由于需要同時(shí)支持IPv4和IPv6主機(jī)，因此彼此的安全特征會受到對方的牽制；而隧道技術(shù)本質(zhì)只是對數(shù)據(jù)包進(jìn)行封裝和解封，而并不深入進(jìn)行識別，因此隧道的引入，實(shí)際上反而會給網(wǎng)絡(luò)的安全特征帶來額外的威脅。此外對于IPv6協(xié)議而言，其中的組播技術(shù)也存在一定的安全缺陷，這種基于用戶數(shù)據(jù)報(bào)協(xié)議（UDP，User Datagram Protocol）來實(shí)現(xiàn)傳輸?shù)墓ぷ鞣绞剑捎谌狈鬏斂刂茀f(xié)議（TCP，Transmission Control Protocol）提供的可靠傳輸功能，加之組播本身的開放特征等方面，也都為IPv6網(wǎng)絡(luò)帶來安全隱患。從實(shí)際的工作層面看，IP組播支持任何主機(jī)向某組播地址發(fā)送UDP數(shù)據(jù)包，并且低層組播機(jī)構(gòu)將傳送這些UDP包到所有組成員，與此同時(shí)在組播通信環(huán)境下，任何成員都能夠利用組播偵聽發(fā)現(xiàn)協(xié)議（MLD，Multicast Listener Discover）請求臨近的路由加入組播群組，因此根本無法確保通信機(jī)密性。

3 結(jié)論

對于IPv6網(wǎng)絡(luò)而言，其安全隱患還出現(xiàn)在無狀態(tài)地址自動(dòng)配置方面以及移動(dòng)應(yīng)用環(huán)境中等諸多領(lǐng)域。基于此種安全考慮，一方面應(yīng)當(dāng)清醒認(rèn)識到IPv6協(xié)議本身的安全進(jìn)步特征，但同時(shí)也必須深入分析其本身存在的安全隱患，有的放矢的展開必要的技術(shù)限制以及彌補(bǔ)措施。只有如此，才能確保整個(gè)數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全性，為用戶提供可靠的數(shù)據(jù)傳輸服務(wù)。

參考文獻(xiàn)

[1]宋玉蓉，蘇曉萍.從IPv4向IPv6過渡的隧道技術(shù)[J].青海師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2003（4）.

[2]張秀愛.IPv6安全機(jī)制的研究[J].通信技術(shù)，2009（07）.endprint