建設IPV6的安全性分析*

沈丹平

福建船政交通職業學院 福建 福州 350007

1 下一代互聯網部署現狀

2012年6月6日，下一代互聯網IPv6 在全球正式啟動。到目前為止，全球有超過一半的國家部署了下一代互聯網IPv6，眾多運營商提供了下一代互聯網IPv6的接入服務；美國、歐盟等國發布下一代互聯網IPv6的指導政策，也制定了發展計劃。發達國家在IPv6用戶數、資源、流量等位于世界前列。而我們國家在部署IPv6上面明顯落后于發達國家，在教育領域，已經有1800余所高校接入到下一代互聯網IPv6中，所占比例達67.7%，有650所 高等學校門戶網站 支持IPv6解析453所 高校門戶網站支持IPv6訪問。

2 下一代互聯網技術lPV6

發展以IPv6為基礎的下一代互聯網是大勢所趨，IPv6地址是一個128位的二進制數，通常被分割為8個“16進制數” ；IPv6的優勢——安全性更高，可對網絡對象進行識別、身份認證和訪問控制及授權，具有數據加密和完整性；更及時，提供組播服務，大規模實時交互應用；空間無限大，每粒沙子可分到一個地址；可管理，自動配置支持的加入，實現了對DHCP協議的改進和擴展；高性能通信，100M字節/秒以上的端到端性能通信；更方便，IPv6與移動通信的結合將為Internet開拓全新的領域[1]。

3 基于lPV6的下一代互聯網面臨的安全問題

IPv6采取了一些創新性的安全機制，如集成了IPSec安全功能，通過擴展認證報頭（AH）和封裝安全載荷報頭（ESP）實現加密和驗證功能等用來維護用戶的安全。但在目前的網絡中IPv6網絡與IPv4網絡不兼容問題普遍存在，使它們面臨一些共同威脅。主要在于未采用雙向認證機制，這使得一些黑客或病毒能夠通過偽造用戶身份，順利通過網絡認證進入到網絡內部，造成信息破壞、隱私泄露；泛洪攻擊帶來的影響力擴大并蔓延到其他區域，如：網絡層被攻擊、出現安全漏洞后，還有可能蔓延到應用層。

IPv6使用的協議跟IPv4比，除了一些共同的安全威脅，本身也有新的安全隱患，主要體現在：第一許多IPv6網絡任務是用軟件來實現的，這留下了許多的潛在安全漏洞；而IPv6協議中的數據包報頭擴展帶來了潛在的、新的攻擊途徑；第二移動IPv6在訪問節點時，對象是不確定的，造成了無法追查到訪問者；第三IPv6的無狀態地址自動配置，使一部分用戶沒有權限而進行違規操作，內部網絡就容易造成地址沖突，或者出現仿冒攻擊。

IPv6 過渡技術的安全隱患，其中“隧道”技術的安全防護是外部訪問進來的時候可以對惡意的訪問還有偽裝的訪問進行限制。但是一些內置的認證漏洞如果被攻擊者所利用，就可以改變內層地址，提升自己的身份，突破外部限制，隨意地對內部網絡進行訪問，開展攻擊。而“雙棧”技術，在過渡期間同時運行著兩個邏輯網絡，設備及系統的暴露面增加了，防火墻、安全網關等防護設備需同時配置雙棧策略，導致策略管理復雜度加倍，防護被穿透的機會加倍。

最后在于使用IPv6連接入網，是沒有使用NAT作為連接的，由于沒有NAT這一道防護屏障，使內部用戶直接面向互聯網，信息在內外的網絡層間傳遞，更容易被外部用戶進行攔截，導致信息泄露。

4 構建lPv6的安全防護體系

4.1 構建動態安全防御體系的對策

基于IPv6的網絡協議對IPSec的包含和強制使用，IPSec可以提供訪問控制、無連接的完整性、數據源身份認證、防御包重傳攻擊、業務流保密等安全服務，較大的提升了網絡層的數據認證、數據完整性及機密性。但是不是所有的網絡安全問題IPSec都能解決的，因此通過對漏洞和網絡入侵的研究，可以實現對網絡中存在的安全漏洞進行檢測和修補，對入侵進行監測能夠即時中斷、隔離。實現防御的整體性和動態性，并引入安全審計和信息綜合分析模塊來實現防御的智能性，來構建安全防御體系。

4.2 做好安全域的劃分及訪問控制

在IPv6網絡中根據作用的不同進行分類，每一個類別就是一個獨立的安全域。通過安全域的劃分，如果一個安全域出現了安全問題，其他類別的安全域可以不受影響和破壞。訪問控制也是同樣的，用戶訪問IPv6網絡的時候，要有身份證明才能通過網絡的識別。在訪問過程中，對用戶的操作進行分類，每個操作提供相對應權限及資源，只有得到系統響應后才能夠完成操作，沒有相應的權限是不能完成其他的操作，通過這種方式也能夠起到對IPv6網絡進行安全保護的效果。

4.3 管控資源互訪

在目前大部分網絡中，IPv4和IPv6在以后很長的一段時間內是共存的，兩者的資源互訪是非常重要的環節。資源在兩個網絡之間傳遞時，攻擊者可以在傳輸環節中攔截到各類信息，因此要對資源的互訪進行管控，還有必須采取外部的訪問控制。

4.4 網絡接入的安全認證

在IPv6的網絡接入口上增加安全認證，可以防止攻擊者通過身份偽裝，攻擊IPv6內部網絡。安全認證有多種，可分為數字認證、權限認證、口令認證等形式。安全認證的增加顯著提高對訪問信息安全性識別的精度，有效制止了攻擊者的隱藏和偽裝。

5 結束語

IPv6并不能解決所有的網絡安全問題。但是因為IPv6協議提供可靠的地址驗證與溯源機制，可以在上述攻擊發生后及時溯源處置，實現高效的信息安全治理。擁有網絡安全意識是保證網絡安全的前提，因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時，設定合理的安全部署策略。