基于IPV6的下一代互聯網安全管理策略研究

張影

摘 要：隨著科學技術的日新月異，人類社會朝著數字化、網絡化、信息化的方向不斷發展，因此網絡在生活中發揮著舉足輕重的作用。然而隨著網絡的廣泛應用，IPV4地址資源的急劇消耗，基于IPV6的新一代互聯網的推進迫在眉睫。而安全問題則是IPV6研究的重要內容，雖然IPV6有它自己的安全機制，但仍存在很多問題，并不能完全保證網絡的安全。

關鍵詞：IPV6；安全管理；策略研究

1 互聯網的發展現狀

隨著互聯網的迅速發展，IPv4定義的有限地址空間正在一步步被耗盡，毋庸置疑地址空間的不足將會影響互聯網的進一步發展。為了擴大地址空間，擬通過IPV6重新定義地址空間。IPV4采用32位地址長度，只有大約43億個地址，目前已將被分配完畢，而IPV6采用128位地址長度，幾乎可以不受限制地提供地址。因此，IPV6在全球范圍內受到重視。

由于政府的重視，日本走在IPV6研發的前列。日本于1999年12月開始提供試驗服務，2001年4月開始提供商用服務，到目前為止，NTT Com、Japan Telecom和KDDI等日本的主要運營商和ISP幾乎都已經提供IPv6商業化接入服務，日本全國利用IPv6的環境正日益完善。研究的內容主要包括IPv6的下一代服務模型、家電網絡的應用和服務、網絡環境中的IPv6信息機器、使用信息家電的個人內容交換系統、信息家電安全和有效的通信技術、面向流媒體的服務終端及其業務、無線互聯網服務、IPv6網絡上的IP電話、用非個人電腦設備實施的互聯網應用服務、信息家電圖像的傳送和應用、內容傳送模型驗證及收費/認證功能。

2 對于IPV6安全問題現狀的分析

IPV6強制實施了標準化的因特網安全協議IPSec，因此在網絡安全方面存在一些優勢，能夠提升業務和應用的安全性，保證端到端的安全。

（1）避免了IPV4存在的一些攻擊。（2）能夠構建安全的專用網絡。（3）大大提高了內部網絡的保密性。

但不容樂觀的是IPV6雖然解決了IPV4存在的一些弊端，它本身也有很多安全隱患。如網絡病毒、蠕蟲病毒、拒絕服務攻擊等依然可能利用IPV6的薄弱環節發起進攻。與此同時一些網絡管理上的漏洞，也將威脅到基于IPV6的下一代互聯網的安全。

（1）病毒的威脅。IPV6擁有的地址多達128位，巨大的地址空間必然會存在很多漏洞，比如通過路由器某些關鍵主機或者服務器的地址會比較容易獲取，進而遭到攻擊，更可怕的是，病毒一旦入侵，將會對整個網絡造成威脅。

（2）拒絕服務DoS的攻擊威脅。比如有攻擊者惡意向目標主機發送大量加密的數據包，這樣就會造成目標主機因消耗大量的CPU資源因檢測這些數據包而無法正常響應其他請求，從而造成DoS拒絕服務。

（3）利用TCP協議的缺陷進行的攻擊。以當前最流行的攻擊SYN Foold為例，這種攻擊方式同步發送大量偽造的TCP連接請求，從而使得被攻擊方的CPU資源被耗盡。

（4）應用服務的威脅。互聯網雖然日益發展，但其自身以及應用和管理體系還不完善，這使得IPV6大范圍推廣受到阻礙。一些對應服務具有很大的隱蔽性，例如一些黑客竊取雙方的密碼后會對用戶造成惡意攻擊。

3 IPV6網絡管理存在的問題

從IPV4到IPV6，地址空間發生了很大了變化，地址空間得到了擴充，因此網絡管理也將面臨巨大的挑戰，性能管理中如何建立有效的性能分析模型，并能夠迅速有效地分析出有效地數據是個重大問題。并且考慮到效率和開銷問題，傳統的性能工具在新的環境下也顯得力不從心。此外，在配置管理方面也存在很多問題，現有的管理方式依賴于網絡管理人員的專業熟練程度，但IPV6網絡的結構復雜，構成不同于往日的網絡，這必然會加重網絡管理人員的負擔和網絡管理的維護成本，這些問題如不能及時解決，必然會影響網絡的長期發展。

4 解決方案

4.1 解決IPV6網絡之間的通信技術。

4.1.1 基于雙核的過渡技術。Limited Dual Stack Model要求網絡和服務器支持主機需要IPv6從而節省IPv4地址，雖然解決了IPv6網絡之間的通信問題，但是仍然無法解決IPv6和IPv4網絡之間的通信問題。

4.1.2 基于隧道的過渡技術。基于隧道技術的過渡方案主要有：手工配置隧道、自動配置隧道、隧道代理、6to4隧道和6over4隧道等等。通過IPv4隧道傳送IPv6需要配置的內容主要有：隧道接口的本地IPv6地址、隧道兩端的IPv4地址。

4.1.3 基于MPLS的過渡技術。當前基于IPv4的MPLS日趨成熟，已經可以借助MPLSL2/L3VPN技術來連接IPv6的網絡。基于MPLS技術的過渡方案有：在CE路由器上配置隧道、基于MPLS電路的IPv6透傳、在PE路由器上起用IPv6（6PE）和基于IPv6的MPLS。在CE路由器上配置隧道方案要求CE路由器支持雙棧，CE和PE之間運行IPv4，CE負責將IPv6數據封裝在IPv4中通過MPLS傳送到對端的CE路由器。

4.2 解決IPV6和IPV4之間的網絡通信技術。

4.2.1 SIIT。SIIT定義了在IPv4和IPv6的分組報頭之間進行翻譯的方法，由于這種翻譯是無狀態的。因此對于每一個分組都要進行翻譯。這種機制可以和其它的機制（如NAT-PT）結合，用于純IPV6站點同純IPv4站點之間的通信，但是在采用網絡層加密和數據完整性保護的環境下這種技術不適合應用。

4.2.2 NAT-P就是在做IPv4/IPv6地址轉換（NAT）的同時在IPv4分組和IPv6分組之間進行報頭和語義的翻譯（PT）。適用于純IPv4站點和純IPv6站點之間的對于一些內嵌地址信息的高層協議（如FTP）需要和應用層的網關協作來完成翻譯。在NAT-P的基礎上利用端口信息，就可以實現NAPT-PT。

5 研究進展

5.1 信息模型方面。網絡管理信息庫及描述管理信息的信息模型是網絡管理的重要組成部分，是連接管理者和被管理不可缺少的部分。要想由IPV4擴展到IPV6，就需要增強基于IPV4的SNMP應用，來管理混亂的網絡，并且從IPV6本身來說也有一些新的特性需要被管理，因此需要新增MIB定義。目前，IETF就提出了一些關于IPV6的MIB定義。比如TCP的IPV6 MIB定義，UDP的IPV6 MID，以及RFC2465等等。

5.2 組織模型方面。一個網絡系統區別于另外一個網絡系統的重要方面包括靈活的配置網絡管理的組件以及靈活的指定管理功能域應該包括的被管對象。而網絡管理布局的靈活性又取決于網絡管理工作站的分散程度，也就是取決于數據收集、處理、網絡控制以及監視功能的分布狀況。由于巨大的地址空間，IPV6采取的是集中式體系結構和分層式體系結構。并且因為IPV6的地址空間，工作管理站的分散程度也將是巨大的。但隨著網絡技術的發展，IPV6環境下分布式管理體系結構也將逐漸完善和發展。

5.3 通信模型方面。目前還是通過IPV4進行管理，對于IPV6的網絡管理，要依賴于其協議的發展和完善。

5.4 功能模型：在IPV6的環境下OSI的五大功能得到了很好的發展。

5.4.1 故障管理：目前的故障管理水平還比較低，對失效事件的自動推理過程還不夠完善，因此不能迅速的定位故障點。

5.4.2 配置管理：目前配置管理的方向主要是基于策略的配置管理。并且IETF已經成立了多個工程組來來進行相應的推廣。

5.4.3 性能管理：性能管理方面主要考慮了五個方面的問題。分別是如何收集性能信息、如何處理收集到的信息、如何對信息進行加工處理、完成預測功能以及如何開發基于IPV6的性能管理工具。

6 結束語

總之，要想保證在IPV6互聯網下網絡的安全性，需要建立一套全面而立體的機制，需要從整個網絡體系入手，無論是在設計、實現還是運行階段，都要注重技術的充分實現。同時，也要注重管理的基礎性作用，重視制度和規則的制定，對各個領域進行嚴格劃分，多層次服務才能真正保證網絡的安全性

參考文獻

[1]宋婧.基于IPV6的下一代互聯網安全問題探討.

[2]王奕.基于IPV6的互聯網安全問題探析.