淺析IPv6網(wǎng)絡的安全風險與應對措施

◆錢福利

淺析IPv6網(wǎng)絡的安全風險與應對措施

◆錢福利

（江蘇號百信息服務有限公司 江蘇 210006）

目前，全球范圍內IPv6取代IPv4已經(jīng)成為一種必然趨勢，我國也在不斷嘗試IPv6的規(guī)模化發(fā)展，但目前IPv6依舊存在一定的安全風險。基于此，本文首先對IPv6網(wǎng)絡安全風險進行闡述，進而對IPv6網(wǎng)絡安全隱患的應對措施加以探討，以有效促進IPv6網(wǎng)絡安全水平的提升。

IPv6；網(wǎng)絡安全；DNS系統(tǒng)

0 引言

目前IPv4協(xié)議在實際應用中逐漸暴露出IP地址信息安全性不足的問題，且網(wǎng)絡地址資源嚴重匱乏，地址資源分配十分枯竭，這種情況下，IPv6協(xié)議的應用優(yōu)勢逐漸突出，成為替代IPv4協(xié)議的重要網(wǎng)絡，國內電信運營商已逐步開展IPv6商用推廣。

1 IPv6協(xié)議下面臨的安全挑戰(zhàn)

1.1 IPv6在過渡階段

世界各國在嘗試推進IPv4與IPv6的過渡中，都經(jīng)歷較長的時間過渡期，這一過程中，網(wǎng)絡非法攻擊者可能通過IPv4至IPv6的過渡協(xié)議利用安全漏洞躲避安全監(jiān)測進行非法入侵，影響網(wǎng)絡安全。隧道機制的運行，會對數(shù)據(jù)包進行一定的封裝與解封操作，內置認證不足，缺乏安全保障，且并不會對IPv4及IPv6的地址關系進行嚴格檢查，導致隧道報文容易泄露，并通過對內層及外層地址的偽造，以合法用戶的形式向隧道注入流量。另外，在IPv4向IPv6進行過渡的過程中，NAT轉換技術的應用使IP流在不同協(xié)議間轉換，諸如NAT設備地址池消耗殆盡等問題的存在導致DDoS攻擊問題。

1.2 鄰居發(fā)現(xiàn)協(xié)議

IPv6所采用的鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol，簡稱NDP）能夠及時發(fā)現(xiàn)相同鏈路上的其他節(jié)點，通過這些節(jié)點可以實現(xiàn)地址的有效解析，明確鏈路路由器，對鄰居可達信息加以維持。通過鄰居發(fā)現(xiàn)協(xié)議，進行錯誤路由器宣告的發(fā)送，會導致IP數(shù)據(jù)包向非指定位置傳輸，以實現(xiàn)數(shù)據(jù)包修改，拒絕數(shù)據(jù)包服務或數(shù)據(jù)攔截等目的，在實際的IPv6協(xié)議運行中，鄰居發(fā)現(xiàn)協(xié)議存在一定的安全隱患。

1.3 可移動性隱患

IPv6協(xié)議下的可移動性特征，能夠使網(wǎng)絡節(jié)點無須進行IP地址的更改，即可實現(xiàn)網(wǎng)絡接入，并滿足該節(jié)點與其他節(jié)點相互通信的實際需求。可移動性特征的存在，為節(jié)點通信提供便捷，但由于可移動節(jié)點所具備的不固定特征，也會給不法分子以可乘之機。

IPv6協(xié)議的移動，會面臨一定的安全隱患，而導致安全隱患的問題，很大程度是由于綁定更新信息的偽造，這樣就會導致某些網(wǎng)絡節(jié)點出現(xiàn)錯誤綁定緩存信息的生成，導致網(wǎng)絡偽造節(jié)點無法及時接收數(shù)據(jù)信息。移動IPv6草案在早期階段，采用IPSec實現(xiàn)安全防護，目前IPv6則采用自定義安全機制，在沒有形成一套規(guī)范的安全機制以前，IPv6協(xié)議存在一定的安全隱患。

2 IPv6的安全防護措施

IPv6環(huán)境下，構建安全合理的IPv6網(wǎng)絡，保證安全防護體系的整體性與安全性是個重要的課題。隨著網(wǎng)絡安全建設工作的不斷開展，目前網(wǎng)絡安全領域已經(jīng)超越了單一安全系統(tǒng)建設階段，網(wǎng)絡用戶需要進行各種安全產(chǎn)品及安全子系統(tǒng)之間的協(xié)作保障，保證安全防護體系的可信性及安全性，優(yōu)化網(wǎng)絡安全防護能力。

2.1 DNS的安全防護效果

IPv4協(xié)議的網(wǎng)絡應用程序編寫過程中，編程人員會在代碼編寫過程寫入服務器固定IPv4地址，以實現(xiàn)數(shù)據(jù)信息通信效率的有效提升。IPv6網(wǎng)絡應用程序編程過程中，因為IPv6地址長度較長，難以充分記憶，因而在進行IPv6網(wǎng)絡應用程序的編程時，采用域名及DNS訪問目標網(wǎng)址以替代難以記憶的固定地址，在這種情況下，IPv6網(wǎng)絡中的DNS的重要性就進一步提升，為現(xiàn)代網(wǎng)絡架構提供核心的基礎支撐。

IPv4網(wǎng)絡運行中，DNS系統(tǒng)所記錄的域名解析請求主要為NAT設備地址；在IPv6網(wǎng)絡運行中，DNS系統(tǒng)所記錄的域名解析請求主要為用戶設備所產(chǎn)生的IPv6地址，因而在實際運行中，將產(chǎn)生大量用戶IPv6源地址被保存于DNS系統(tǒng)日志中，真實的IPv6地址可能由于不法分子非法入侵DNS并竊取DNS系統(tǒng)日志數(shù)據(jù)而造成信息泄露[1]。

部分Windows等操作系統(tǒng)采用隨機生成IPv6協(xié)議的臨時地址，并進行租期設置，對設備MAC地址及真實IPv6地址及信息加以隱藏，但許多舊的設備及版本在運行其操作系統(tǒng)與物聯(lián)網(wǎng)設備時，依舊采用以EUI-64為基礎的真實地址接入網(wǎng)絡并進行信息通信。

IPv4協(xié)議中，DNS系統(tǒng)主要對DDoS安全攻擊進行防護；在IPv6協(xié)議中，DNS系統(tǒng)不僅要防護DDoS，還要做好DNS系統(tǒng)自身安全及日志數(shù)據(jù)安全防護工作，有效避免數(shù)據(jù)信息泄露。在未來，DNS系統(tǒng)服務器可能成為未來安全隱患的重要攻擊點。IPv6網(wǎng)絡安全管理工作中，應充分重視網(wǎng)絡協(xié)議下DNS系統(tǒng)安全防護工作。

2.2 IPv6協(xié)議的安全部署

在中央網(wǎng)絡安全及信息化領導小組會議上，習近平總書記強調網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題。為此，在全面推進IPv6協(xié)議取代IPv4協(xié)議的情況下，應重點突出IPv6網(wǎng)絡協(xié)議安全防護工作。加快IPv6的大規(guī)模應用，應探討有效解決網(wǎng)絡安全問題的策略，為提高網(wǎng)絡安全管理效率并創(chuàng)新網(wǎng)絡安全機制探索新的技術方向，深入研究IPv6的下一代互聯(lián)網(wǎng)，不斷促進網(wǎng)絡安全保障手段的創(chuàng)新與優(yōu)化，對網(wǎng)絡安全保障體系加以完善，提高網(wǎng)絡安全態(tài)勢感知能力，提高網(wǎng)絡安全問題的處置效率，為互聯(lián)網(wǎng)安全提供良好支撐。我國制定的《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》中，明確提出了IPv6安全防護工作原則，強調發(fā)展與安全并重，促進網(wǎng)絡安全系統(tǒng)規(guī)劃建設與運行，確保網(wǎng)絡運行安全，及互聯(lián)網(wǎng)協(xié)議的平滑過渡。

（1）對網(wǎng)絡安全保障進行強化，對國家網(wǎng)絡安全系統(tǒng)加以維護，對現(xiàn)有網(wǎng)絡安全報賬系統(tǒng)進行升級與改造，有效提高網(wǎng)絡安全態(tài)勢感知能力，實現(xiàn)高效處置，進行有效偵查；（2）開展地址安全管理工作，對IPv6地址申請、配置、備案及管理工作進行統(tǒng)籌，有效實現(xiàn)IPv6網(wǎng)絡地址編碼規(guī)劃方案的有效落實，實現(xiàn)IPv6部署及網(wǎng)絡實名制的協(xié)同推進：（3）優(yōu)化網(wǎng)絡安全防護工作，針對IPv6網(wǎng)絡安全防護工作，開展個人信息保護、網(wǎng)絡風險評估、安全通報預警，并做好安全備份及系統(tǒng)恢復工作；（4）針對網(wǎng)絡新型領域開展網(wǎng)絡安全保障。采用IPv6協(xié)議及現(xiàn)代化的人工智能、大數(shù)據(jù)、云計算等技術相互結合，強化新興領域網(wǎng)絡安全保障能力的有效提升。

2.3 搭建安全可信的IPv6網(wǎng)絡

盡管大多數(shù)國家在推進IPv6網(wǎng)絡協(xié)議的建設及大規(guī)模應用時IPv6網(wǎng)絡會面臨一定新的問題、存在新的安全隱患，但是IPv4協(xié)議網(wǎng)絡已經(jīng)逐漸進入終點，退出互聯(lián)網(wǎng)舞臺是時代發(fā)展之必然。因而，應不斷強化IPv6的規(guī)模部署，同時也應當做好IPv6協(xié)議的安全防護工作。

要想構建安全可信的IPv6網(wǎng)絡，應當建設完善的基礎資源服務體制，首先應對實際網(wǎng)絡規(guī)劃真實的IP地址。IPv4網(wǎng)絡大量采用了NAT及私網(wǎng)地址，IP網(wǎng)絡源地址無法溯源，難以實現(xiàn)有效管理與控制，導致安全隱患難以消除。IPv6網(wǎng)絡采用了真實的IPv6地址，對其不可靠安全因素加以消除，通過IPv6地址的實名制管理，以實現(xiàn)IP地址的可溯源、可追蹤，以構建更加安全的網(wǎng)絡環(huán)境。

同時應搭建具備可信性的域名管理系統(tǒng)，重要的信息系統(tǒng)域名需采用中國自主管理及自主控制的頂級域名及解析系統(tǒng)，以實現(xiàn)域名解析風險的弱化。IPv6協(xié)議網(wǎng)絡環(huán)境下，應提供安全可行的DNS系統(tǒng)服務。過去所采用的IPv4共計13個DNS系統(tǒng)服務器，但中國并沒有獨立的DNS系統(tǒng)服務器，且全球互聯(lián)網(wǎng)治理機制并不完善，網(wǎng)絡安全隱患依舊十分嚴重。這種情況下采用IPv6根服務器系統(tǒng)，可以為網(wǎng)絡用戶提供DNS等選擇方向，同時也可以為網(wǎng)絡用戶提供容災應急服務，有效避免全球根DNS系統(tǒng)服務出現(xiàn)安全問題，避免中國互聯(lián)網(wǎng)環(huán)境的安全運行受到影響，避免中國互聯(lián)網(wǎng)遭受安全損失[2]。

3 結語

出于有效提高我國網(wǎng)絡安全性及科研水平的考量，我國應全面促進以人工智能技術為代表的高端智能化技術發(fā)展與應用，不斷探索科學技術發(fā)展與創(chuàng)新的能力，探索IPv6網(wǎng)絡協(xié)議安全防護措施。

[1]趙肅波.中國IPv6發(fā)展與網(wǎng)絡安全挑戰(zhàn)[J].信息安全研究, 2019,5(03):261-272.

[2]角浩鉞, 牛雯.工業(yè)物聯(lián)網(wǎng)環(huán)境下IPv6技術面臨的安全問題[J].信息與電腦(理論版), 2019(03):169-171.