張影

摘 要：隨著科學(xué)技術(shù)的日新月異，人類社會(huì)朝著數(shù)字化、網(wǎng)絡(luò)化、信息化的方向不斷發(fā)展，因此網(wǎng)絡(luò)在生活中發(fā)揮著舉足輕重的作用。然而隨著網(wǎng)絡(luò)的廣泛應(yīng)用，IPV4地址資源的急劇消耗，基于IPV6的新一代互聯(lián)網(wǎng)的推進(jìn)迫在眉睫。而安全問(wèn)題則是IPV6研究的重要內(nèi)容，雖然IPV6有它自己的安全機(jī)制，但仍存在很多問(wèn)題，并不能完全保證網(wǎng)絡(luò)的安全。

關(guān)鍵詞：IPV6；安全管理；策略研究

1 互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀

隨著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間正在一步步被耗盡，毋庸置疑地址空間的不足將會(huì)影響互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。為了擴(kuò)大地址空間，擬通過(guò)IPV6重新定義地址空間。IPV4采用32位地址長(zhǎng)度，只有大約43億個(gè)地址，目前已將被分配完畢，而IPV6采用128位地址長(zhǎng)度，幾乎可以不受限制地提供地址。因此，IPV6在全球范圍內(nèi)受到重視。

由于政府的重視，日本走在IPV6研發(fā)的前列。日本于1999年12月開(kāi)始提供試驗(yàn)服務(wù)，2001年4月開(kāi)始提供商用服務(wù)，到目前為止，NTT Com、Japan Telecom和KDDI等日本的主要運(yùn)營(yíng)商和ISP幾乎都已經(jīng)提供IPv6商業(yè)化接入服務(wù)，日本全國(guó)利用IPv6的環(huán)境正日益完善。研究的內(nèi)容主要包括IPv6的下一代服務(wù)模型、家電網(wǎng)絡(luò)的應(yīng)用和服務(wù)、網(wǎng)絡(luò)環(huán)境中的IPv6信息機(jī)器、使用信息家電的個(gè)人內(nèi)容交換系統(tǒng)、信息家電安全和有效的通信技術(shù)、面向流媒體的服務(wù)終端及其業(yè)務(wù)、無(wú)線互聯(lián)網(wǎng)服務(wù)、IPv6網(wǎng)絡(luò)上的IP電話、用非個(gè)人電腦設(shè)備實(shí)施的互聯(lián)網(wǎng)應(yīng)用服務(wù)、信息家電圖像的傳送和應(yīng)用、內(nèi)容傳送模型驗(yàn)證及收費(fèi)/認(rèn)證功能。

2 對(duì)于IPV6安全問(wèn)題現(xiàn)狀的分析

IPV6強(qiáng)制實(shí)施了標(biāo)準(zhǔn)化的因特網(wǎng)安全協(xié)議IPSec，因此在網(wǎng)絡(luò)安全方面存在一些優(yōu)勢(shì)，能夠提升業(yè)務(wù)和應(yīng)用的安全性，保證端到端的安全。

（1）避免了IPV4存在的一些攻擊。（2）能夠構(gòu)建安全的專用網(wǎng)絡(luò)。（3）大大提高了內(nèi)部網(wǎng)絡(luò)的保密性。

但不容樂(lè)觀的是IPV6雖然解決了IPV4存在的一些弊端，它本身也有很多安全隱患。如網(wǎng)絡(luò)病毒、蠕蟲(chóng)病毒、拒絕服務(wù)攻擊等依然可能利用IPV6的薄弱環(huán)節(jié)發(fā)起進(jìn)攻。與此同時(shí)一些網(wǎng)絡(luò)管理上的漏洞，也將威脅到基于IPV6的下一代互聯(lián)網(wǎng)的安全。

（1）病毒的威脅。IPV6擁有的地址多達(dá)128位，巨大的地址空間必然會(huì)存在很多漏洞，比如通過(guò)路由器某些關(guān)鍵主機(jī)或者服務(wù)器的地址會(huì)比較容易獲取，進(jìn)而遭到攻擊，更可怕的是，病毒一旦入侵，將會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成威脅。

（2）拒絕服務(wù)DoS的攻擊威脅。比如有攻擊者惡意向目標(biāo)主機(jī)發(fā)送大量加密的數(shù)據(jù)包，這樣就會(huì)造成目標(biāo)主機(jī)因消耗大量的CPU資源因檢測(cè)這些數(shù)據(jù)包而無(wú)法正常響應(yīng)其他請(qǐng)求，從而造成DoS拒絕服務(wù)。

（3）利用TCP協(xié)議的缺陷進(jìn)行的攻擊。以當(dāng)前最流行的攻擊SYN Foold為例，這種攻擊方式同步發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方的CPU資源被耗盡。

（4）應(yīng)用服務(wù)的威脅?；ヂ?lián)網(wǎng)雖然日益發(fā)展，但其自身以及應(yīng)用和管理體系還不完善，這使得IPV6大范圍推廣受到阻礙。一些對(duì)應(yīng)服務(wù)具有很大的隱蔽性，例如一些黑客竊取雙方的密碼后會(huì)對(duì)用戶造成惡意攻擊。

3 IPV6網(wǎng)絡(luò)管理存在的問(wèn)題

從IPV4到IPV6，地址空間發(fā)生了很大了變化，地址空間得到了擴(kuò)充，因此網(wǎng)絡(luò)管理也將面臨巨大的挑戰(zhàn)，性能管理中如何建立有效的性能分析模型，并能夠迅速有效地分析出有效地?cái)?shù)據(jù)是個(gè)重大問(wèn)題。并且考慮到效率和開(kāi)銷問(wèn)題，傳統(tǒng)的性能工具在新的環(huán)境下也顯得力不從心。此外，在配置管理方面也存在很多問(wèn)題，現(xiàn)有的管理方式依賴于網(wǎng)絡(luò)管理人員的專業(yè)熟練程度，但I(xiàn)PV6網(wǎng)絡(luò)的結(jié)構(gòu)復(fù)雜，構(gòu)成不同于往日的網(wǎng)絡(luò)，這必然會(huì)加重網(wǎng)絡(luò)管理人員的負(fù)擔(dān)和網(wǎng)絡(luò)管理的維護(hù)成本，這些問(wèn)題如不能及時(shí)解決，必然會(huì)影響網(wǎng)絡(luò)的長(zhǎng)期發(fā)展。

4 解決方案

4.1 解決IPV6網(wǎng)絡(luò)之間的通信技術(shù)。

4.1.1 基于雙核的過(guò)渡技術(shù)。Limited Dual Stack Model要求網(wǎng)絡(luò)和服務(wù)器支持主機(jī)需要IPv6從而節(jié)省IPv4地址，雖然解決了IPv6網(wǎng)絡(luò)之間的通信問(wèn)題，但是仍然無(wú)法解決IPv6和IPv4網(wǎng)絡(luò)之間的通信問(wèn)題。

4.1.2 基于隧道的過(guò)渡技術(shù)?；谒淼兰夹g(shù)的過(guò)渡方案主要有：手工配置隧道、自動(dòng)配置隧道、隧道代理、6to4隧道和6over4隧道等等。通過(guò)IPv4隧道傳送IPv6需要配置的內(nèi)容主要有：隧道接口的本地IPv6地址、隧道兩端的IPv4地址。

4.1.3 基于MPLS的過(guò)渡技術(shù)。當(dāng)前基于IPv4的MPLS日趨成熟，已經(jīng)可以借助MPLSL2/L3VPN技術(shù)來(lái)連接IPv6的網(wǎng)絡(luò)。基于MPLS技術(shù)的過(guò)渡方案有：在CE路由器上配置隧道、基于MPLS電路的IPv6透?jìng)?、在PE路由器上起用IPv6（6PE）和基于IPv6的MPLS。在CE路由器上配置隧道方案要求CE路由器支持雙棧，CE和PE之間運(yùn)行IPv4，CE負(fù)責(zé)將IPv6數(shù)據(jù)封裝在IPv4中通過(guò)MPLS傳送到對(duì)端的CE路由器。

4.2 解決IPV6和IPV4之間的網(wǎng)絡(luò)通信技術(shù)。

4.2.1 SIIT。SIIT定義了在IPv4和IPv6的分組報(bào)頭之間進(jìn)行翻譯的方法，由于這種翻譯是無(wú)狀態(tài)的。因此對(duì)于每一個(gè)分組都要進(jìn)行翻譯。這種機(jī)制可以和其它的機(jī)制（如NAT-PT）結(jié)合，用于純IPV6站點(diǎn)同純IPv4站點(diǎn)之間的通信，但是在采用網(wǎng)絡(luò)層加密和數(shù)據(jù)完整性保護(hù)的環(huán)境下這種技術(shù)不適合應(yīng)用。

4.2.2 NAT-P就是在做IPv4/IPv6地址轉(zhuǎn)換（NAT）的同時(shí)在IPv4分組和IPv6分組之間進(jìn)行報(bào)頭和語(yǔ)義的翻譯（PT）。適用于純IPv4站點(diǎn)和純IPv6站點(diǎn)之間的對(duì)于一些內(nèi)嵌地址信息的高層協(xié)議（如FTP）需要和應(yīng)用層的網(wǎng)關(guān)協(xié)作來(lái)完成翻譯。在NAT-P的基礎(chǔ)上利用端口信息，就可以實(shí)現(xiàn)NAPT-PT。

5 研究進(jìn)展

5.1 信息模型方面。網(wǎng)絡(luò)管理信息庫(kù)及描述管理信息的信息模型是網(wǎng)絡(luò)管理的重要組成部分，是連接管理者和被管理不可缺少的部分。要想由IPV4擴(kuò)展到IPV6，就需要增強(qiáng)基于IPV4的SNMP應(yīng)用，來(lái)管理混亂的網(wǎng)絡(luò)，并且從IPV6本身來(lái)說(shuō)也有一些新的特性需要被管理，因此需要新增MIB定義。目前，IETF就提出了一些關(guān)于IPV6的MIB定義。比如TCP的IPV6 MIB定義，UDP的IPV6 MID，以及RFC2465等等。

5.2 組織模型方面。一個(gè)網(wǎng)絡(luò)系統(tǒng)區(qū)別于另外一個(gè)網(wǎng)絡(luò)系統(tǒng)的重要方面包括靈活的配置網(wǎng)絡(luò)管理的組件以及靈活的指定管理功能域應(yīng)該包括的被管對(duì)象。而網(wǎng)絡(luò)管理布局的靈活性又取決于網(wǎng)絡(luò)管理工作站的分散程度，也就是取決于數(shù)據(jù)收集、處理、網(wǎng)絡(luò)控制以及監(jiān)視功能的分布狀況。由于巨大的地址空間，IPV6采取的是集中式體系結(jié)構(gòu)和分層式體系結(jié)構(gòu)。并且因?yàn)镮PV6的地址空間，工作管理站的分散程度也將是巨大的。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，IPV6環(huán)境下分布式管理體系結(jié)構(gòu)也將逐漸完善和發(fā)展。

5.3 通信模型方面。目前還是通過(guò)IPV4進(jìn)行管理，對(duì)于IPV6的網(wǎng)絡(luò)管理，要依賴于其協(xié)議的發(fā)展和完善。

5.4 功能模型：在IPV6的環(huán)境下OSI的五大功能得到了很好的發(fā)展。

5.4.1 故障管理：目前的故障管理水平還比較低，對(duì)失效事件的自動(dòng)推理過(guò)程還不夠完善，因此不能迅速的定位故障點(diǎn)。

5.4.2 配置管理：目前配置管理的方向主要是基于策略的配置管理。并且IETF已經(jīng)成立了多個(gè)工程組來(lái)來(lái)進(jìn)行相應(yīng)的推廣。

5.4.3 性能管理：性能管理方面主要考慮了五個(gè)方面的問(wèn)題。分別是如何收集性能信息、如何處理收集到的信息、如何對(duì)信息進(jìn)行加工處理、完成預(yù)測(cè)功能以及如何開(kāi)發(fā)基于IPV6的性能管理工具。

6 結(jié)束語(yǔ)

總之，要想保證在IPV6互聯(lián)網(wǎng)下網(wǎng)絡(luò)的安全性，需要建立一套全面而立體的機(jī)制，需要從整個(gè)網(wǎng)絡(luò)體系入手，無(wú)論是在設(shè)計(jì)、實(shí)現(xiàn)還是運(yùn)行階段，都要注重技術(shù)的充分實(shí)現(xiàn)。同時(shí)，也要注重管理的基礎(chǔ)性作用，重視制度和規(guī)則的制定，對(duì)各個(gè)領(lǐng)域進(jìn)行嚴(yán)格劃分，多層次服務(wù)才能真正保證網(wǎng)絡(luò)的安全性

參考文獻(xiàn)

[1]宋婧.基于IPV6的下一代互聯(lián)網(wǎng)安全問(wèn)題探討.

[2]王奕.基于IPV6的互聯(lián)網(wǎng)安全問(wèn)題探析.