建設IPV6的安全性分析*

沈丹平

福建船政交通職業(yè)學院 福建 福州 350007

1 下一代互聯(lián)網(wǎng)部署現(xiàn)狀

2012年6月6日，下一代互聯(lián)網(wǎng)IPv6 在全球正式啟動。到目前為止，全球有超過一半的國家部署了下一代互聯(lián)網(wǎng)IPv6，眾多運營商提供了下一代互聯(lián)網(wǎng)IPv6的接入服務；美國、歐盟等國發(fā)布下一代互聯(lián)網(wǎng)IPv6的指導政策，也制定了發(fā)展計劃。發(fā)達國家在IPv6用戶數(shù)、資源、流量等位于世界前列。而我們國家在部署IPv6上面明顯落后于發(fā)達國家，在教育領域，已經有1800余所高校接入到下一代互聯(lián)網(wǎng)IPv6中，所占比例達67.7%，有650所 高等學校門戶網(wǎng)站 支持IPv6解析453所 高校門戶網(wǎng)站支持IPv6訪問。

2 下一代互聯(lián)網(wǎng)技術lPV6

發(fā)展以IPv6為基礎的下一代互聯(lián)網(wǎng)是大勢所趨，IPv6地址是一個128位的二進制數(shù)，通常被分割為8個“16進制數(shù)” ；IPv6的優(yōu)勢——安全性更高，可對網(wǎng)絡對象進行識別、身份認證和訪問控制及授權，具有數(shù)據(jù)加密和完整性；更及時，提供組播服務，大規(guī)模實時交互應用；空間無限大，每粒沙子可分到一個地址；可管理，自動配置支持的加入，實現(xiàn)了對DHCP協(xié)議的改進和擴展；高性能通信，100M字節(jié)/秒以上的端到端性能通信；更方便，IPv6與移動通信的結合將為Internet開拓全新的領域[1]。

3 基于lPV6的下一代互聯(lián)網(wǎng)面臨的安全問題

IPv6采取了一些創(chuàng)新性的安全機制，如集成了IPSec安全功能，通過擴展認證報頭（AH）和封裝安全載荷報頭（ESP）實現(xiàn)加密和驗證功能等用來維護用戶的安全。但在目前的網(wǎng)絡中IPv6網(wǎng)絡與IPv4網(wǎng)絡不兼容問題普遍存在，使它們面臨一些共同威脅。主要在于未采用雙向認證機制，這使得一些黑客或病毒能夠通過偽造用戶身份，順利通過網(wǎng)絡認證進入到網(wǎng)絡內部，造成信息破壞、隱私泄露；泛洪攻擊帶來的影響力擴大并蔓延到其他區(qū)域，如：網(wǎng)絡層被攻擊、出現(xiàn)安全漏洞后，還有可能蔓延到應用層。

IPv6使用的協(xié)議跟IPv4比，除了一些共同的安全威脅，本身也有新的安全隱患，主要體現(xiàn)在：第一許多IPv6網(wǎng)絡任務是用軟件來實現(xiàn)的，這留下了許多的潛在安全漏洞；而IPv6協(xié)議中的數(shù)據(jù)包報頭擴展帶來了潛在的、新的攻擊途徑；第二移動IPv6在訪問節(jié)點時，對象是不確定的，造成了無法追查到訪問者；第三IPv6的無狀態(tài)地址自動配置，使一部分用戶沒有權限而進行違規(guī)操作，內部網(wǎng)絡就容易造成地址沖突，或者出現(xiàn)仿冒攻擊。

IPv6 過渡技術的安全隱患，其中“隧道”技術的安全防護是外部訪問進來的時候可以對惡意的訪問還有偽裝的訪問進行限制。但是一些內置的認證漏洞如果被攻擊者所利用，就可以改變內層地址，提升自己的身份，突破外部限制，隨意地對內部網(wǎng)絡進行訪問，開展攻擊。而“雙?！奔夹g，在過渡期間同時運行著兩個邏輯網(wǎng)絡，設備及系統(tǒng)的暴露面增加了，防火墻、安全網(wǎng)關等防護設備需同時配置雙棧策略，導致策略管理復雜度加倍，防護被穿透的機會加倍。

最后在于使用IPv6連接入網(wǎng)，是沒有使用NAT作為連接的，由于沒有NAT這一道防護屏障，使內部用戶直接面向互聯(lián)網(wǎng)，信息在內外的網(wǎng)絡層間傳遞，更容易被外部用戶進行攔截，導致信息泄露。

4 構建lPv6的安全防護體系

4.1 構建動態(tài)安全防御體系的對策

基于IPv6的網(wǎng)絡協(xié)議對IPSec的包含和強制使用，IPSec可以提供訪問控制、無連接的完整性、數(shù)據(jù)源身份認證、防御包重傳攻擊、業(yè)務流保密等安全服務，較大的提升了網(wǎng)絡層的數(shù)據(jù)認證、數(shù)據(jù)完整性及機密性。但是不是所有的網(wǎng)絡安全問題IPSec都能解決的，因此通過對漏洞和網(wǎng)絡入侵的研究，可以實現(xiàn)對網(wǎng)絡中存在的安全漏洞進行檢測和修補，對入侵進行監(jiān)測能夠即時中斷、隔離。實現(xiàn)防御的整體性和動態(tài)性，并引入安全審計和信息綜合分析模塊來實現(xiàn)防御的智能性，來構建安全防御體系。

4.2 做好安全域的劃分及訪問控制

在IPv6網(wǎng)絡中根據(jù)作用的不同進行分類，每一個類別就是一個獨立的安全域。通過安全域的劃分，如果一個安全域出現(xiàn)了安全問題，其他類別的安全域可以不受影響和破壞。訪問控制也是同樣的，用戶訪問IPv6網(wǎng)絡的時候，要有身份證明才能通過網(wǎng)絡的識別。在訪問過程中，對用戶的操作進行分類，每個操作提供相對應權限及資源，只有得到系統(tǒng)響應后才能夠完成操作，沒有相應的權限是不能完成其他的操作，通過這種方式也能夠起到對IPv6網(wǎng)絡進行安全保護的效果。

4.3 管控資源互訪

在目前大部分網(wǎng)絡中，IPv4和IPv6在以后很長的一段時間內是共存的，兩者的資源互訪是非常重要的環(huán)節(jié)。資源在兩個網(wǎng)絡之間傳遞時，攻擊者可以在傳輸環(huán)節(jié)中攔截到各類信息，因此要對資源的互訪進行管控，還有必須采取外部的訪問控制。

4.4 網(wǎng)絡接入的安全認證

在IPv6的網(wǎng)絡接入口上增加安全認證，可以防止攻擊者通過身份偽裝，攻擊IPv6內部網(wǎng)絡。安全認證有多種，可分為數(shù)字認證、權限認證、口令認證等形式。安全認證的增加顯著提高對訪問信息安全性識別的精度，有效制止了攻擊者的隱藏和偽裝。

5 結束語

IPv6并不能解決所有的網(wǎng)絡安全問題。但是因為IPv6協(xié)議提供可靠的地址驗證與溯源機制，可以在上述攻擊發(fā)生后及時溯源處置，實現(xiàn)高效的信息安全治理。擁有網(wǎng)絡安全意識是保證網(wǎng)絡安全的前提，因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時，設定合理的安全部署策略。