基于IPv6的下一代互聯(lián)網(wǎng)安全問題解析

彭曉明 山浩哲

（陜西省信息中心 陜西 710006）

0 引言

在科技發(fā)展的帶動下，互聯(lián)網(wǎng)的應用范圍不斷拓展，由IPv4所定義的有限的地址空間逐步耗盡，成為制約互聯(lián)網(wǎng)進一步發(fā)展的瓶頸。因此，為了對地址空間進行擴充，IPv6得以提出并應用。相對于IPv432位地址長度，總數(shù)在43億左右的地址，IPv6采用的是128位的地址長度，幾乎可以不受限制地提供海量地址，因此在全球范圍內(nèi)受到了廣泛的關(guān)注。

1 IPv6的特點

IPv6即Internet Protoco1 Version 6，是由IETF設計的，用于取代現(xiàn)行IP協(xié)議的下一代IP協(xié)議，其特點主要體現(xiàn)在：

（1）地址長度達到128位，地址空間相比IPv4大大增加；

（2）使用一系列固定格式的擴展頭部代替了IPv4中可變長度的選項字段，而且選項出現(xiàn)的方式有所變化，加快了報文處理的速度；

（3）簡化了報文頭部格式，加快了報文轉(zhuǎn)發(fā)速度；

（4）安全性大大提升；

（5）允許協(xié)議繼續(xù)演變，增加新的功能，以適應未來技術(shù)的發(fā)展。

2 IPv6面臨的安全隱患

雖然相比IPv4，IPv6協(xié)議具有相當明顯的優(yōu)勢，但是不可否認，其中也存在著一些安全隱患，這些安全隱患主要表現(xiàn)在：

2.1 網(wǎng)絡病毒的威脅

IPv6的地址長度達到128位，巨大的地址空間雖然為互聯(lián)網(wǎng)的進一步發(fā)展提供了良好的支持，但是也容易受到網(wǎng)絡病毒的威脅。例如，通過路由器，可以輕易獲取一些關(guān)鍵主機以及服務器的地址，導致系統(tǒng)遭到攻擊，而一旦病毒入侵，會對整個網(wǎng)絡造成嚴重的危害。不僅如此，一些通過電子郵件傳播的病毒仍然存在，需要網(wǎng)絡管理人員的重視，加強應用層的安全防范。

2.2 拒絕服務DoS的攻擊威脅

拒絕服務攻擊是指一種惡意攻擊網(wǎng)絡協(xié)議，或者通過野蠻手段，占用被攻擊對象的資源，使得目標計算機或者網(wǎng)絡無法提供正常的資源訪問和服務，導致服務的停止乃至系統(tǒng)的崩潰，換言之，拒絕攻擊服務的目的并非竊取用戶信息，而是使得目標設備無法提供正常的服務。在IPv6中，組發(fā)地址的定義方式可能被攻擊者利用，例如，在IPv6地址中，F(xiàn)F01：：1表示所有的動態(tài)地址分配服務器，若向改地址發(fā)布IPv6報文，則報文可能會達到網(wǎng)絡中所有的動態(tài)地址分配服務器，從而成為黑客攻擊的漏洞。另外，IPv6的加密和認證機制同樣可能被利用成DoS攻擊。通常來講，密鑰越長，安全度越高，加密需要的計算量也越大，如果攻擊者向目標設備惡意發(fā)送大量的加密數(shù)據(jù)包，目標主機可能需要消耗大量的CPU資源，對其進行檢驗，從而無暇相應其他請求，導致DoS拒絕服務。

2.3 利用TCP協(xié)議缺陷攻擊

以SYN F1ood為例，作為當前最常見的利用TCP協(xié)議缺陷的攻擊方式，主要是通過同步發(fā)送大量乃至海量偽造的TCP連接請求，消耗目標主機的內(nèi)存資源或者CPU資源，此類攻擊是利用了TCP協(xié)議本身存在的機制漏洞，IPv6在短期內(nèi)無法有效解決。

2.4 對應用服務的威脅

IPv6協(xié)議的安全機制和加密機制一般都是作用在傳輸層和網(wǎng)絡層，雖然在OSI體系結(jié)構(gòu)中，也提供了相應的加密和身份認證基礎，但是由于互聯(lián)網(wǎng)自身的特點以及不完善的應用管理體系，使得IPv6不可能從根本上解決所有應用層面中的安全問題。例如，黑客在竊取雙方密鑰后，冒充合法用戶，向目標主機發(fā)動攻擊，或者利用系統(tǒng)緩沖區(qū)溢出或者植入木馬等，對于應用服務的威脅不僅巨大，而且存在很大的隱蔽性，一旦受到攻擊，會產(chǎn)生非常致命的后果。

3 基于IPv6的下一代互聯(lián)網(wǎng)安全策略

3.1 實名制地址分配機制

即將IP地質(zhì)與現(xiàn)實世界中的自然人一一對應起來，將現(xiàn)實身份與網(wǎng)絡身份一一對應，利用IPv6更大的地址空間，實現(xiàn)每人分配唯一固定IP地址的要求。這種地址分配機制包括兩種方法，一是主機號實名制，將128位地址分為網(wǎng)絡號和主機號兩部分，網(wǎng)絡號用來進行網(wǎng)絡尋址，主機號則用來確定網(wǎng)絡中具體的接入端。如果用戶應特殊原因，需要進行網(wǎng)絡遷移，只需要對網(wǎng)絡號進行更改即可。不過，這種方法雖然便利，但是用戶每遷移一次，就需要分配一個IP地址，會在一定程度上縮減IP地址的分配空間，因此，只適合網(wǎng)絡用戶數(shù)量小于IP地址空間的情況。二是全IP實名制，即所有的用戶只能在本地申請一個唯一的IPv6地址，若出現(xiàn)網(wǎng)絡遷移，需要根據(jù)實際情況，采取針對性的措施。對于臨時性遷移，采用嵌套頭方式，為IP地址增加一個嵌套頭，形成一個新的臨時IP地址，用戶發(fā)送的每一個文件包都嵌套有原本的IP信息，能夠有效避免網(wǎng)絡的匿名性，不過對增加開銷；對于永久性遷移，將原有的IP地址注銷，之后在遷移區(qū)域重新注冊IP地址。通過實名制地址分配機制，可以有效消除IP地址假冒以及源路由攻擊的安全隱患，將網(wǎng)絡社會與現(xiàn)實社會緊密聯(lián)系起來。

3.2 報頭安全漏洞保護方案

在數(shù)據(jù)服務中，擴展報頭能夠有效提升服務質(zhì)量，不過也帶來了相應的安全漏洞，容易引起目的路由攻擊隱患。對此，這里采用相應的安全漏洞保護方案，將訪問控制檢查擴展到路由報頭地址中，以防止攻擊者繞過防火墻直接攻擊主機的情況，對安全漏洞進行保護。

3.3 基于DSTM方案的過渡機制

DSTM方案是基于IPv4-over-IPv6隧道，經(jīng)DSTM，在純IPv6網(wǎng)上實現(xiàn)對IPv4通信流的傳輸，同時，DSTM也提供了一個分配臨時IPv4地址給IPv6/ IPv4雙棧節(jié)點的方法，能夠有效解決純IPv6網(wǎng)絡主機與IPv4主機或者應用的相互連接問題。

DSTM安全機制采用的安全規(guī)范包括：

（1）在DSTM服務器中，過濾和使用隧道配置協(xié)議（TSP）以及DHC IPv6應用認證，確保使用DSTM服務器的主體，允許控制有權(quán)接入業(yè)務；

（2）在IPv6網(wǎng)絡中，所有支持DSTM業(yè)務的設備，都必須允許IPv4按照IPv6 in IPv6隧道的方式進行傳輸；

（3）便于系統(tǒng)管理人員對 DSTM 網(wǎng)關(guān)上創(chuàng)建的隧道以及DSTM服務器所做的分配進行監(jiān)測和管理，便于對DSTM激活的網(wǎng)絡進行監(jiān)督和控制，在發(fā)現(xiàn)錯誤時，可以及時發(fā)出告警信息。

通過在DSTM服務器中應用過濾、TSP協(xié)議、DHC IPv6應用認證以及相應的隧道傳輸技術(shù)，可以有效避免非法用戶以IPv6為入口，對私有網(wǎng)絡的訪問，而通過系統(tǒng)管理人員對DSTM激活網(wǎng)絡的監(jiān)測，能夠保證攻擊者無法繞過監(jiān)測系統(tǒng)對網(wǎng)絡進行攻擊，保證網(wǎng)絡的運行安全。

4 結(jié)語

總而言之，IPv6作為新一代的網(wǎng)絡協(xié)議，具有非常顯著的優(yōu)勢，取代IPv4協(xié)議已經(jīng)是一種必然的趨勢。在當前過渡的關(guān)鍵時期，相關(guān)技術(shù)人員應該加強對網(wǎng)絡安全問題的分析和解決，為建設安全、誠信、可靠的網(wǎng)絡系統(tǒng)奠定良好的基礎。

[1]宋婧.基于IPV6的下一代互聯(lián)網(wǎng)安全問題探討[J].江西通信科技.2011.

[2]王奕.基于 IPv6的互聯(lián)網(wǎng)安全問題探析[J].甘肅聯(lián)合大學學報(自然科學版).2010.

[3]丁文飛，孫會楠，邢彥辰，馬德仲.基于 IPv6 的下一代網(wǎng)絡安全問題的探討[J].計算機安全.2014.

[4]張影.基于 IPv6的下一代互聯(lián)網(wǎng)安全管理策略研究[J].科技創(chuàng)新與應用.2014.