IPv6安全特征分析

朱鑫霖

摘要文章對IPv6的安全特征以及不足做出了深入剖析，對其進一步的深入學習有著幫助作用。

關鍵詞IPv6；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）11-0194-01

隨著信息時代的到來，人們在生活和工作等各個方面對于互聯網的依賴程度都顯著提升，而隨著這種狀況的出現，互聯網環境中的數據傳輸需求也隨之呈現出幾何級的增長。承擔著保持整個網絡運行的互聯網協議群（IPS，Internet Protocol Suite）中，肩負著為計算機網絡相互連接實現通信關鍵任務的IP（Internet Protocol）協議在整個互聯網環境下功不可沒，其安全水平更是直接關系到整個數據傳輸過程的安全特征，因此收到了廣泛的關注。

1IPv6的安全特征

作為替代IPv4的最新版IP協議，IPv6（Internet Protocol Version 6）注意到了當前網絡數據傳輸環境中的更多需求特征，因此在包括安全在內的諸多方面都有所改進。

單純從發展和形成的角度看，產生于1983年并且主要面向ARPAnet實現應用的IPv4，其面向的是并不成熟的網絡環境，參與用戶和安全意識都十分有限，并且其以教育科研網和一般性企業網絡作為服務對象的存在態度，決定了它的主要工作在于實現數據的傳輸。而在當前環境之下，IPv6更需要注重安全水平的提升，以及網絡環境中更多數據用戶需求的滿足。

從安全角度看，IPv6的優勢在地址容量和報頭以及安全協議等方面都有著顯著提升。從地址角度看，IPv6的地址容量從之前的32位增加到128位，能夠支持更多地址，徹底解決了地址空間不足的問題，并且分層的地址結構也能夠支持更為快速的尋址工作，在地址自動分配方面同樣有著顯著改進。對于報頭格式方面，IPv6對其進行了大大地簡化，從而對于路由設備的資源實現了有效的節約，并且加強對擴展報頭及選項的支持，有效轉發及擴充網絡應用。而在IPSec方面，IPv6將其列為必備協議，其體系結構參見圖1。

在IPSec的結構體系中，重點包括認證報頭（AH，Authentication Header）、封裝安全負載報頭（ESP，Encapsulation Security Payload）、IP密鑰管理協議（IKMP， Internet Key Management Protocol）、以及安全連接（SA，Security Association）四個主要部分。其中AH負責為數據傳輸提供驗證和加密；而ESP則負責實現不同IPv6協議網絡之間混合業務的安全特征，通過對傳輸目標數據以及加載進行嚴格的加密，來實現避免無關用戶展開對傳輸過程的信息監聽。IKMP的作用在于實現網絡數據傳輸提供安全支持，對傳輸過程中的密鑰實現妥善的管理和分配；而SA則是在認證報頭和封裝安全負載以前對網絡層建立一條保證數據安全傳輸的邏輯連接。四個部分構成IPSec整體環境并進一步展開工作。

2IPv6安全隱患分析

雖然IPv6已經在安全方面做出了諸多考慮，并且在實際的應用環境中也相對于之前的IPv4有了明顯的改善，但是仍然存在一定的不足之處。

圖1IPSec體系結構示意圖

1）在于IPv6和IPv4二者兼容的過程。為了適應當代網絡環境的過渡需求，在對IPv4實現兼容的過程中，IPv6留有諸多方面的接口，這些接口一方面成為幫助IPv4順利實現轉型的重要途徑，但與此同時也有可能成為安全方面的隱患而存在。目前從IPv4向IPv6進行過渡的技術有很多種，其中以雙棧技術和隧道技術作為較為常見的方法。在雙棧技術中，黑客可以同時利用兩種協議展開協調攻擊，利用其存在的弱點和漏洞，或者兩種協議版本中兼容性不佳的地方來逃避檢測。而在雙棧協議中，一種協議的漏洞會間接影響到另一種協議工作的正常展開。而對于隧道技術而言，由于只是對數據包進行封裝之后展開傳輸，并不對IPv4和IPv6的地址關系進行嚴格審查，因此這種過渡技術會直接引入多種安全問題，其嚴重程度常常會超過想象。

2）在IPv6的組播技術中，組播報文會直接通過用戶數據報協議（UDP，User Datagram Protocol）來實現傳輸，也就是說失去了傳輸控制協議（TCP，Transmission Control Protocol）的監管，加之組播技術本身具有的開放特征，使得組播行為實際上支持任何成員都能夠利用組播偵聽發現協議（MLD，Multicast Listener Discover）請求臨近的路由加入組播群組，因此根本無法確保通信機密性，安全特征也會隨之喪失。

3）對于IPv6環境下無狀態地址自動配置方面，同樣存在一定的安全隱患。IPv6節點無狀態地址自動配置的功能能夠實現其本身的即插即用，大大簡化了工作方式，但是這種即插即用的狀態是基于路由器的發現機制之上的，但是這種機制使得惡意主機能夠通過冒合法路由器的方式發送偽造的RA報文，并且在報文中修改默認路由器為較高優先級，使得使用IPv6協議的節點在其默認路由器列表中選擇惡意主機作為默認網關，從而實現供給目標。此外還可以借IPv6發送NS報文進行DAD檢測的時候，針對NS請求報文發送冒名的NA響應報文，從而使IPv6階段的DAD檢測失敗，從而終止IPv6節點的自動配置過程，并且進一步針對前綴實現重新編址，并發送假冒的RA通告造成網絡中斷。

IPv6的安全隱患，除了來自上述幾個主要方面以外，在鄰居發現協議方面以及移動方面也都存在不同程度的隱患。

3結論

IPv6作為符合當前互聯網工作特征和數據傳輸需求的新一代協議，相比之前的IPv4具有更為顯著的先進性，在安全和地址容量等方面也具有更強的適用特征。但并不代表IPv6具有完全的安全性，在很多方面，IPv6仍然存在一定的不足，必須引起相關工作人員的重視。在實際的工作過程中，應當深入分析IPv6的安全特征，對其強項加以利用，對其弱項展開必要的防范，有的放矢才能收到良好效果。

參考文獻

[1]張秀愛.IPv6安全機制的研究[J].通信技術.2009（07）.

[2]張震，唐曉晟，徐惠民.IPv6安全機制研究[J].網絡縱橫，2011（04）.

endprint

摘要文章對IPv6的安全特征以及不足做出了深入剖析，對其進一步的深入學習有著幫助作用。

關鍵詞IPv6；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）11-0194-01

隨著信息時代的到來，人們在生活和工作等各個方面對于互聯網的依賴程度都顯著提升，而隨著這種狀況的出現，互聯網環境中的數據傳輸需求也隨之呈現出幾何級的增長。承擔著保持整個網絡運行的互聯網協議群（IPS，Internet Protocol Suite）中，肩負著為計算機網絡相互連接實現通信關鍵任務的IP（Internet Protocol）協議在整個互聯網環境下功不可沒，其安全水平更是直接關系到整個數據傳輸過程的安全特征，因此收到了廣泛的關注。

1IPv6的安全特征

作為替代IPv4的最新版IP協議，IPv6（Internet Protocol Version 6）注意到了當前網絡數據傳輸環境中的更多需求特征，因此在包括安全在內的諸多方面都有所改進。

單純從發展和形成的角度看，產生于1983年并且主要面向ARPAnet實現應用的IPv4，其面向的是并不成熟的網絡環境，參與用戶和安全意識都十分有限，并且其以教育科研網和一般性企業網絡作為服務對象的存在態度，決定了它的主要工作在于實現數據的傳輸。而在當前環境之下，IPv6更需要注重安全水平的提升，以及網絡環境中更多數據用戶需求的滿足。

從安全角度看，IPv6的優勢在地址容量和報頭以及安全協議等方面都有著顯著提升。從地址角度看，IPv6的地址容量從之前的32位增加到128位，能夠支持更多地址，徹底解決了地址空間不足的問題，并且分層的地址結構也能夠支持更為快速的尋址工作，在地址自動分配方面同樣有著顯著改進。對于報頭格式方面，IPv6對其進行了大大地簡化，從而對于路由設備的資源實現了有效的節約，并且加強對擴展報頭及選項的支持，有效轉發及擴充網絡應用。而在IPSec方面，IPv6將其列為必備協議，其體系結構參見圖1。

在IPSec的結構體系中，重點包括認證報頭（AH，Authentication Header）、封裝安全負載報頭（ESP，Encapsulation Security Payload）、IP密鑰管理協議（IKMP， Internet Key Management Protocol）、以及安全連接（SA，Security Association）四個主要部分。其中AH負責為數據傳輸提供驗證和加密；而ESP則負責實現不同IPv6協議網絡之間混合業務的安全特征，通過對傳輸目標數據以及加載進行嚴格的加密，來實現避免無關用戶展開對傳輸過程的信息監聽。IKMP的作用在于實現網絡數據傳輸提供安全支持，對傳輸過程中的密鑰實現妥善的管理和分配；而SA則是在認證報頭和封裝安全負載以前對網絡層建立一條保證數據安全傳輸的邏輯連接。四個部分構成IPSec整體環境并進一步展開工作。

2IPv6安全隱患分析

雖然IPv6已經在安全方面做出了諸多考慮，并且在實際的應用環境中也相對于之前的IPv4有了明顯的改善，但是仍然存在一定的不足之處。

圖1IPSec體系結構示意圖

1）在于IPv6和IPv4二者兼容的過程。為了適應當代網絡環境的過渡需求，在對IPv4實現兼容的過程中，IPv6留有諸多方面的接口，這些接口一方面成為幫助IPv4順利實現轉型的重要途徑，但與此同時也有可能成為安全方面的隱患而存在。目前從IPv4向IPv6進行過渡的技術有很多種，其中以雙棧技術和隧道技術作為較為常見的方法。在雙棧技術中，黑客可以同時利用兩種協議展開協調攻擊，利用其存在的弱點和漏洞，或者兩種協議版本中兼容性不佳的地方來逃避檢測。而在雙棧協議中，一種協議的漏洞會間接影響到另一種協議工作的正常展開。而對于隧道技術而言，由于只是對數據包進行封裝之后展開傳輸，并不對IPv4和IPv6的地址關系進行嚴格審查，因此這種過渡技術會直接引入多種安全問題，其嚴重程度常常會超過想象。

2）在IPv6的組播技術中，組播報文會直接通過用戶數據報協議（UDP，User Datagram Protocol）來實現傳輸，也就是說失去了傳輸控制協議（TCP，Transmission Control Protocol）的監管，加之組播技術本身具有的開放特征，使得組播行為實際上支持任何成員都能夠利用組播偵聽發現協議（MLD，Multicast Listener Discover）請求臨近的路由加入組播群組，因此根本無法確保通信機密性，安全特征也會隨之喪失。

3）對于IPv6環境下無狀態地址自動配置方面，同樣存在一定的安全隱患。IPv6節點無狀態地址自動配置的功能能夠實現其本身的即插即用，大大簡化了工作方式，但是這種即插即用的狀態是基于路由器的發現機制之上的，但是這種機制使得惡意主機能夠通過冒合法路由器的方式發送偽造的RA報文，并且在報文中修改默認路由器為較高優先級，使得使用IPv6協議的節點在其默認路由器列表中選擇惡意主機作為默認網關，從而實現供給目標。此外還可以借IPv6發送NS報文進行DAD檢測的時候，針對NS請求報文發送冒名的NA響應報文，從而使IPv6階段的DAD檢測失敗，從而終止IPv6節點的自動配置過程，并且進一步針對前綴實現重新編址，并發送假冒的RA通告造成網絡中斷。

IPv6的安全隱患，除了來自上述幾個主要方面以外，在鄰居發現協議方面以及移動方面也都存在不同程度的隱患。

3結論

IPv6作為符合當前互聯網工作特征和數據傳輸需求的新一代協議，相比之前的IPv4具有更為顯著的先進性，在安全和地址容量等方面也具有更強的適用特征。但并不代表IPv6具有完全的安全性，在很多方面，IPv6仍然存在一定的不足，必須引起相關工作人員的重視。在實際的工作過程中，應當深入分析IPv6的安全特征，對其強項加以利用，對其弱項展開必要的防范，有的放矢才能收到良好效果。

參考文獻

[1]張秀愛.IPv6安全機制的研究[J].通信技術.2009（07）.

[2]張震，唐曉晟，徐惠民.IPv6安全機制研究[J].網絡縱橫，2011（04）.

endprint

摘要文章對IPv6的安全特征以及不足做出了深入剖析，對其進一步的深入學習有著幫助作用。

關鍵詞IPv6；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）11-0194-01

隨著信息時代的到來，人們在生活和工作等各個方面對于互聯網的依賴程度都顯著提升，而隨著這種狀況的出現，互聯網環境中的數據傳輸需求也隨之呈現出幾何級的增長。承擔著保持整個網絡運行的互聯網協議群（IPS，Internet Protocol Suite）中，肩負著為計算機網絡相互連接實現通信關鍵任務的IP（Internet Protocol）協議在整個互聯網環境下功不可沒，其安全水平更是直接關系到整個數據傳輸過程的安全特征，因此收到了廣泛的關注。

1IPv6的安全特征

作為替代IPv4的最新版IP協議，IPv6（Internet Protocol Version 6）注意到了當前網絡數據傳輸環境中的更多需求特征，因此在包括安全在內的諸多方面都有所改進。

單純從發展和形成的角度看，產生于1983年并且主要面向ARPAnet實現應用的IPv4，其面向的是并不成熟的網絡環境，參與用戶和安全意識都十分有限，并且其以教育科研網和一般性企業網絡作為服務對象的存在態度，決定了它的主要工作在于實現數據的傳輸。而在當前環境之下，IPv6更需要注重安全水平的提升，以及網絡環境中更多數據用戶需求的滿足。

從安全角度看，IPv6的優勢在地址容量和報頭以及安全協議等方面都有著顯著提升。從地址角度看，IPv6的地址容量從之前的32位增加到128位，能夠支持更多地址，徹底解決了地址空間不足的問題，并且分層的地址結構也能夠支持更為快速的尋址工作，在地址自動分配方面同樣有著顯著改進。對于報頭格式方面，IPv6對其進行了大大地簡化，從而對于路由設備的資源實現了有效的節約，并且加強對擴展報頭及選項的支持，有效轉發及擴充網絡應用。而在IPSec方面，IPv6將其列為必備協議，其體系結構參見圖1。

在IPSec的結構體系中，重點包括認證報頭（AH，Authentication Header）、封裝安全負載報頭（ESP，Encapsulation Security Payload）、IP密鑰管理協議（IKMP， Internet Key Management Protocol）、以及安全連接（SA，Security Association）四個主要部分。其中AH負責為數據傳輸提供驗證和加密；而ESP則負責實現不同IPv6協議網絡之間混合業務的安全特征，通過對傳輸目標數據以及加載進行嚴格的加密，來實現避免無關用戶展開對傳輸過程的信息監聽。IKMP的作用在于實現網絡數據傳輸提供安全支持，對傳輸過程中的密鑰實現妥善的管理和分配；而SA則是在認證報頭和封裝安全負載以前對網絡層建立一條保證數據安全傳輸的邏輯連接。四個部分構成IPSec整體環境并進一步展開工作。

2IPv6安全隱患分析

雖然IPv6已經在安全方面做出了諸多考慮，并且在實際的應用環境中也相對于之前的IPv4有了明顯的改善，但是仍然存在一定的不足之處。

圖1IPSec體系結構示意圖

1）在于IPv6和IPv4二者兼容的過程。為了適應當代網絡環境的過渡需求，在對IPv4實現兼容的過程中，IPv6留有諸多方面的接口，這些接口一方面成為幫助IPv4順利實現轉型的重要途徑，但與此同時也有可能成為安全方面的隱患而存在。目前從IPv4向IPv6進行過渡的技術有很多種，其中以雙棧技術和隧道技術作為較為常見的方法。在雙棧技術中，黑客可以同時利用兩種協議展開協調攻擊，利用其存在的弱點和漏洞，或者兩種協議版本中兼容性不佳的地方來逃避檢測。而在雙棧協議中，一種協議的漏洞會間接影響到另一種協議工作的正常展開。而對于隧道技術而言，由于只是對數據包進行封裝之后展開傳輸，并不對IPv4和IPv6的地址關系進行嚴格審查，因此這種過渡技術會直接引入多種安全問題，其嚴重程度常常會超過想象。

2）在IPv6的組播技術中，組播報文會直接通過用戶數據報協議（UDP，User Datagram Protocol）來實現傳輸，也就是說失去了傳輸控制協議（TCP，Transmission Control Protocol）的監管，加之組播技術本身具有的開放特征，使得組播行為實際上支持任何成員都能夠利用組播偵聽發現協議（MLD，Multicast Listener Discover）請求臨近的路由加入組播群組，因此根本無法確保通信機密性，安全特征也會隨之喪失。

3）對于IPv6環境下無狀態地址自動配置方面，同樣存在一定的安全隱患。IPv6節點無狀態地址自動配置的功能能夠實現其本身的即插即用，大大簡化了工作方式，但是這種即插即用的狀態是基于路由器的發現機制之上的，但是這種機制使得惡意主機能夠通過冒合法路由器的方式發送偽造的RA報文，并且在報文中修改默認路由器為較高優先級，使得使用IPv6協議的節點在其默認路由器列表中選擇惡意主機作為默認網關，從而實現供給目標。此外還可以借IPv6發送NS報文進行DAD檢測的時候，針對NS請求報文發送冒名的NA響應報文，從而使IPv6階段的DAD檢測失敗，從而終止IPv6節點的自動配置過程，并且進一步針對前綴實現重新編址，并發送假冒的RA通告造成網絡中斷。

IPv6的安全隱患，除了來自上述幾個主要方面以外，在鄰居發現協議方面以及移動方面也都存在不同程度的隱患。

3結論

IPv6作為符合當前互聯網工作特征和數據傳輸需求的新一代協議，相比之前的IPv4具有更為顯著的先進性，在安全和地址容量等方面也具有更強的適用特征。但并不代表IPv6具有完全的安全性，在很多方面，IPv6仍然存在一定的不足，必須引起相關工作人員的重視。在實際的工作過程中，應當深入分析IPv6的安全特征，對其強項加以利用，對其弱項展開必要的防范，有的放矢才能收到良好效果。

參考文獻

[1]張秀愛.IPv6安全機制的研究[J].通信技術.2009（07）.

[2]張震，唐曉晟，徐惠民.IPv6安全機制研究[J].網絡縱橫，2011（04）.

endprint