關于IPv6網絡帶來的安全風險與應對措施

翟 昱，買爾旦·肉孜

（新疆維吾爾自治區科技發展戰略研究院，新疆 烏魯木齊 830011）

1 IPv6 網絡協議特征

第一，IPv6地址長度是180bit，每一段為一個四位十六進制數，總計有8段，同時以冒號間隔開來。

第二，報文結構。IPv6網絡數據報文一般是以40個字節的報頭與擴展報頭構建而成的。這一網絡報文頭和IPv4報文結構相比更加簡單，并且IPv6是把分片信息放置于擴展報頭里面的。在這之中，擴展報頭屬性會變成不法分子入侵網絡竊取重要信息的突破口。

第三，IPv4限制性。從事相關行業的人均已經了解到，IPv4網絡地址長度是32bit，其能夠提供大概43億個IP地址，伴隨社會持續發展，網絡用戶數量不斷增加，物聯網、人工智能、云計算等各種新技術持續發展，對IP地址的需求量也持續增多了，因此當前面臨的一個重要問題就是地址枯竭的問題。為節約IPv4公網地址，相關人員往往以NET網絡地址翻譯進行處理，不過NAT用戶損壞了端至端的應用模型。再者，IPv4網絡下的路由器等級不同，這些路由器的路由條目也比較多，從而造成處理效率始終無法得到有效提升。

2 IPv6 網絡協議具備的優點

（1）通過上述分析，我們可以了解到，該網絡具備128位地址空間，故而無須轉換地址，大大降低了網絡時延，促使信息傳輸速度變得更快了。

（2）IPv6網絡運用層次化的地址分配方式，以密碼生成地址，并且在驗證身份信息的時候，運用公私鑰，這樣可以有效預防假冒現象發生，促使訪問控制列表從復雜化變得簡單化。

（3）提升了安全性。第一，IPv6具有很大的地址空間，如此便提高了不法分子掃描檢測的困難程度，而且有效減少了DDoS攻擊出現的概率。第二，在該網絡協議之中，強制實行IPSec，可以保護通信雙方數據完整性，可以檢驗數據內容機密性，確保數據流機密性，檢驗數據起源，同時還可以提供抗重播保護。所以，可以把用戶、攻擊、報文三者對應起來，避免用戶拒認，達到安全監督控制用戶行為的目的。第三，加入了增強的組播支持且摒棄了廣播地址，為提高服務水平提供了平臺，能夠防止采用廣播地址引發的風暴與DDoS攻擊。第四，協議嚴禁運用鏈路層組播，源地址以及廣播數據包并非獨一無二辨別單個節點的數據包，故而可以避免因為IPv6報文所帶來的攻擊。

（4）通過流標簽將過去復雜的數據報文加以簡化，可以迅速處理數據包，而且還可以給多媒體數據流提供優質服務。

（5）運用IPv6網絡協議，可以采取新選項達到附加功能，按照新技術需求，拓展協議。

（6）采取無狀態地址自動配置協議以及網絡動態主機配置協議自動配置協議，無須服務器管理地址，讓網絡管理變得越來越便捷了，同時還提高了終端安全性，有效解決了網絡地址管理困難的問題。

3 存在的安全風險

3.1 技術方面

眾所周知，IPv6設計初期便思考了安全方面的問題，可是，依舊無法完全處理好該協議網絡之中的問題。首先，擴展地址可以緩解網絡地址不足的現象，不過，因為地址數量較多，查詢起來并不容易，故而給安全檢測造成了嚴重的阻礙。而且，協議本身也有缺陷和不足之處，比方說，不法分子能夠以IPv6網絡中的鄰居發現協議傳遞不正確的路由器宣告等，從而造成數據包流向模糊，實現不服務、隨意篡改數據包、攔截數據包的目的。其次，由IPv4至6運用過渡協議，不法分子能夠借助協議漏洞避開安全監督檢測，所以兩者共存一定會產生安全隱患。最后，由于各種新技術的不斷發展，IPv6和這些技術與應用相結合的過程中，引發了新的問題。并且，終端安全問題主要是網絡安全監督管理與協議安全對策的敲定。

3.2 管理方面

因為IPv6地址空間很大，所以地址分配以及管理工作做起來并不容易，因此需要發布對應的管理政策。而且，數據信息驗證、加密等各個方面要管理非常多的密鑰，才可以確保網絡數據信息不處在風險境況之下，所以需要積極參照國際組織對IPv6密鑰管理經驗，科學擬定密鑰管理條例或辦法。再者，進行IPv6網絡部署前，需要花費很多的時間和精力，以及財力培訓有關IPv6網絡有關的安全知識，不然當出現安全問題時，就會付出更大的代價，如此看來，事先提防是很有必要的，并且是勢在必行的。

3.3 產業方面

在新時代發展過程中，中國現有諸多網絡設備普遍只支持IPv4網絡，還無法直接運用IPv6。僅有極少部分網絡設備能夠支持IPv6的運用，不過這些支持IPv6網絡的設備安全性并不高，還不能夠完全應對IPv6網絡大規模推廣造成的安全隱患，產業界應當積極研發出支持IPv6網絡的安全設備。并且，要想確保網絡穩定且安全，必須要逐一檢測IPv6網絡有關設備和網絡技術，與此同時按照IPv6網絡特征思考出更加完善的檢測計劃。

4 IPv6 安全風險應對舉措

4.1 努力研究安全防護技術

第一，根據IPv6網絡協議所具備的特點而言，易于遭到擴展頭攻擊、分片攻擊等，對于這些不同的攻擊類型，需要針對攻擊特征分析攻擊的基本原理，探究攻擊檢測、預防和處理問題的方法。第二，當IPv4過渡到IPv6的時候，需要綜合過渡制度和安全問題，從而獲得無縫且安全的過渡技術，開展全新的安全體系建設。第三，將新技術與應用相融的過程中，需要進行IPv6網絡下的物聯網和云計算等方面的網絡安全技術管理研究，譬如，物聯網需要注重網絡運用于感知層的安全性，云計算則需要注重鑒于IPv6網絡的云計算平臺安全處理對策等各種問題。

4.2 給予政策上的支持，提高安全管理效率

有關行動計劃對IPv6網絡協議部署進行了具體安排，有關技術規范與政策需要實時跟進，將安全方面的問題當成IPv6網絡部署的核心內容之一。并且，需要積極舉辦IPv6網絡協議知識培訓教育活動，借此提高相關工作人員的素質，關注安全管理工作，對網絡部署環節中可能會發生的安全問題進行提早分析與研究，做到及時發現問題，繼而有效解決安全問題，避免安全問題擴大，從而帶來無法預估的損失。

4.3 推進信息安全產品研發制作

應對IPv6網絡安全風險問題的時候，需要優先改造當前已有網絡安全保障體系，提高對IPv6網絡協議地址與環境的支持。按照行動計劃所提出的基本要求，每一種安全產品都需要提升網絡地址準確定位、查詢打擊與迅速處理的能力，并且還需要推進各項工作的開展，比如網絡安全保護、安全風險評估、預警和個人信息保護工作等。

4.4 合理采用網絡協議優勢預防風險

在應對網絡安全風險的過程中，需要增強IPv6網絡基礎，合理運用網絡協議優勢預防安全風險問題的發生。第一，應當加強網絡與有關應用安全質量評估，加強網絡檢測，持續開展攻擊與預防演練，檢測與填充網絡協議漏洞，合理優化網絡協議機制，調整報文頭構成部分，繼而從根源上預防網絡協議本身所造成的安全問題。第二，應當科學采用網絡逐級和層次化分配密碼構成地址的方式，加密認證地址的同時，預防設備假冒接入以及中間人攻擊，并消滅源地址借助鄰居發現協議攻擊的安全隱患問題。第三，需要增強IPSec安全機制，科學運用該協議無法否認性與數據信息可行性、反重播以及保證數據完整性，在設置協議的過程中添加各種安全功能，比如隧道機制內置認證與加密等，避免隧道嗅探，增強吞吐能力。第四，對網絡協議無地址轉換構成的內網結構和信息暴露相關問題，需要借助隱私擴展機制，隱匿通信地址，避免重要信息暴露，從而提高網絡安全性。

5 結束語

通過以上所言，我們可以發現IPv6網絡能夠達到高效的信息安全治理，給萬物互聯帶來了技術上的支持，有著一定的先進性，并且也伴隨有安全風險問題。基于此，需要將安全放在第一位，積極探究網絡安全，找到安全漏洞，使用科學有效的安全措施，保證網絡系統安全性和穩定性，推動IPv6網絡廣泛推廣與應用。