彭曉明 山浩哲

（陜西省信息中心 陜西 710006）

0 引言

在科技發(fā)展的帶動(dòng)下，互聯(lián)網(wǎng)的應(yīng)用范圍不斷拓展，由IPv4所定義的有限的地址空間逐步耗盡，成為制約互聯(lián)網(wǎng)進(jìn)一步發(fā)展的瓶頸。因此，為了對(duì)地址空間進(jìn)行擴(kuò)充，IPv6得以提出并應(yīng)用。相對(duì)于IPv432位地址長(zhǎng)度，總數(shù)在43億左右的地址，IPv6采用的是128位的地址長(zhǎng)度，幾乎可以不受限制地提供海量地址，因此在全球范圍內(nèi)受到了廣泛的關(guān)注。

1 IPv6的特點(diǎn)

IPv6即Internet Protoco1 Version 6，是由IETF設(shè)計(jì)的，用于取代現(xiàn)行IP協(xié)議的下一代IP協(xié)議，其特點(diǎn)主要體現(xiàn)在：

（1）地址長(zhǎng)度達(dá)到128位，地址空間相比IPv4大大增加；

（2）使用一系列固定格式的擴(kuò)展頭部代替了IPv4中可變長(zhǎng)度的選項(xiàng)字段，而且選項(xiàng)出現(xiàn)的方式有所變化，加快了報(bào)文處理的速度；

（3）簡(jiǎn)化了報(bào)文頭部格式，加快了報(bào)文轉(zhuǎn)發(fā)速度；

（4）安全性大大提升；

（5）允許協(xié)議繼續(xù)演變，增加新的功能，以適應(yīng)未來技術(shù)的發(fā)展。

2 IPv6面臨的安全隱患

雖然相比IPv4，IPv6協(xié)議具有相當(dāng)明顯的優(yōu)勢(shì)，但是不可否認(rèn)，其中也存在著一些安全隱患，這些安全隱患主要表現(xiàn)在：

2.1 網(wǎng)絡(luò)病毒的威脅

IPv6的地址長(zhǎng)度達(dá)到128位，巨大的地址空間雖然為互聯(lián)網(wǎng)的進(jìn)一步發(fā)展提供了良好的支持，但是也容易受到網(wǎng)絡(luò)病毒的威脅。例如，通過路由器，可以輕易獲取一些關(guān)鍵主機(jī)以及服務(wù)器的地址，導(dǎo)致系統(tǒng)遭到攻擊，而一旦病毒入侵，會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成嚴(yán)重的危害。不僅如此，一些通過電子郵件傳播的病毒仍然存在，需要網(wǎng)絡(luò)管理人員的重視，加強(qiáng)應(yīng)用層的安全防范。

2.2 拒絕服務(wù)DoS的攻擊威脅

拒絕服務(wù)攻擊是指一種惡意攻擊網(wǎng)絡(luò)協(xié)議，或者通過野蠻手段，占用被攻擊對(duì)象的資源，使得目標(biāo)計(jì)算機(jī)或者網(wǎng)絡(luò)無法提供正常的資源訪問和服務(wù)，導(dǎo)致服務(wù)的停止乃至系統(tǒng)的崩潰，換言之，拒絕攻擊服務(wù)的目的并非竊取用戶信息，而是使得目標(biāo)設(shè)備無法提供正常的服務(wù)。在IPv6中，組發(fā)地址的定義方式可能被攻擊者利用，例如，在IPv6地址中，F(xiàn)F01：：1表示所有的動(dòng)態(tài)地址分配服務(wù)器，若向改地址發(fā)布IPv6報(bào)文，則報(bào)文可能會(huì)達(dá)到網(wǎng)絡(luò)中所有的動(dòng)態(tài)地址分配服務(wù)器，從而成為黑客攻擊的漏洞。另外，IPv6的加密和認(rèn)證機(jī)制同樣可能被利用成DoS攻擊。通常來講，密鑰越長(zhǎng)，安全度越高，加密需要的計(jì)算量也越大，如果攻擊者向目標(biāo)設(shè)備惡意發(fā)送大量的加密數(shù)據(jù)包，目標(biāo)主機(jī)可能需要消耗大量的CPU資源，對(duì)其進(jìn)行檢驗(yàn)，從而無暇相應(yīng)其他請(qǐng)求，導(dǎo)致DoS拒絕服務(wù)。

2.3 利用TCP協(xié)議缺陷攻擊

以SYN F1ood為例，作為當(dāng)前最常見的利用TCP協(xié)議缺陷的攻擊方式，主要是通過同步發(fā)送大量乃至海量偽造的TCP連接請(qǐng)求，消耗目標(biāo)主機(jī)的內(nèi)存資源或者CPU資源，此類攻擊是利用了TCP協(xié)議本身存在的機(jī)制漏洞，IPv6在短期內(nèi)無法有效解決。

2.4 對(duì)應(yīng)用服務(wù)的威脅

IPv6協(xié)議的安全機(jī)制和加密機(jī)制一般都是作用在傳輸層和網(wǎng)絡(luò)層，雖然在OSI體系結(jié)構(gòu)中，也提供了相應(yīng)的加密和身份認(rèn)證基礎(chǔ)，但是由于互聯(lián)網(wǎng)自身的特點(diǎn)以及不完善的應(yīng)用管理體系，使得IPv6不可能從根本上解決所有應(yīng)用層面中的安全問題。例如，黑客在竊取雙方密鑰后，冒充合法用戶，向目標(biāo)主機(jī)發(fā)動(dòng)攻擊，或者利用系統(tǒng)緩沖區(qū)溢出或者植入木馬等，對(duì)于應(yīng)用服務(wù)的威脅不僅巨大，而且存在很大的隱蔽性，一旦受到攻擊，會(huì)產(chǎn)生非常致命的后果。

3 基于IPv6的下一代互聯(lián)網(wǎng)安全策略

3.1 實(shí)名制地址分配機(jī)制

即將IP地質(zhì)與現(xiàn)實(shí)世界中的自然人一一對(duì)應(yīng)起來，將現(xiàn)實(shí)身份與網(wǎng)絡(luò)身份一一對(duì)應(yīng)，利用IPv6更大的地址空間，實(shí)現(xiàn)每人分配唯一固定IP地址的要求。這種地址分配機(jī)制包括兩種方法，一是主機(jī)號(hào)實(shí)名制，將128位地址分為網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)兩部分，網(wǎng)絡(luò)號(hào)用來進(jìn)行網(wǎng)絡(luò)尋址，主機(jī)號(hào)則用來確定網(wǎng)絡(luò)中具體的接入端。如果用戶應(yīng)特殊原因，需要進(jìn)行網(wǎng)絡(luò)遷移，只需要對(duì)網(wǎng)絡(luò)號(hào)進(jìn)行更改即可。不過，這種方法雖然便利，但是用戶每遷移一次，就需要分配一個(gè)IP地址，會(huì)在一定程度上縮減IP地址的分配空間，因此，只適合網(wǎng)絡(luò)用戶數(shù)量小于IP地址空間的情況。二是全I(xiàn)P實(shí)名制，即所有的用戶只能在本地申請(qǐng)一個(gè)唯一的IPv6地址，若出現(xiàn)網(wǎng)絡(luò)遷移，需要根據(jù)實(shí)際情況，采取針對(duì)性的措施。對(duì)于臨時(shí)性遷移，采用嵌套頭方式，為IP地址增加一個(gè)嵌套頭，形成一個(gè)新的臨時(shí)IP地址，用戶發(fā)送的每一個(gè)文件包都嵌套有原本的IP信息，能夠有效避免網(wǎng)絡(luò)的匿名性，不過對(duì)增加開銷；對(duì)于永久性遷移，將原有的IP地址注銷，之后在遷移區(qū)域重新注冊(cè)IP地址。通過實(shí)名制地址分配機(jī)制，可以有效消除IP地址假冒以及源路由攻擊的安全隱患，將網(wǎng)絡(luò)社會(huì)與現(xiàn)實(shí)社會(huì)緊密聯(lián)系起來。

3.2 報(bào)頭安全漏洞保護(hù)方案

在數(shù)據(jù)服務(wù)中，擴(kuò)展報(bào)頭能夠有效提升服務(wù)質(zhì)量，不過也帶來了相應(yīng)的安全漏洞，容易引起目的路由攻擊隱患。對(duì)此，這里采用相應(yīng)的安全漏洞保護(hù)方案，將訪問控制檢查擴(kuò)展到路由報(bào)頭地址中，以防止攻擊者繞過防火墻直接攻擊主機(jī)的情況，對(duì)安全漏洞進(jìn)行保護(hù)。

3.3 基于DSTM方案的過渡機(jī)制

DSTM方案是基于IPv4-over-IPv6隧道，經(jīng)DSTM，在純IPv6網(wǎng)上實(shí)現(xiàn)對(duì)IPv4通信流的傳輸，同時(shí)，DSTM也提供了一個(gè)分配臨時(shí)IPv4地址給IPv6/ IPv4雙棧節(jié)點(diǎn)的方法，能夠有效解決純IPv6網(wǎng)絡(luò)主機(jī)與IPv4主機(jī)或者應(yīng)用的相互連接問題。

DSTM安全機(jī)制采用的安全規(guī)范包括：

（1）在DSTM服務(wù)器中，過濾和使用隧道配置協(xié)議（TSP）以及DHC IPv6應(yīng)用認(rèn)證，確保使用DSTM服務(wù)器的主體，允許控制有權(quán)接入業(yè)務(wù)；

（2）在IPv6網(wǎng)絡(luò)中，所有支持DSTM業(yè)務(wù)的設(shè)備，都必須允許IPv4按照IPv6 in IPv6隧道的方式進(jìn)行傳輸；

（3）便于系統(tǒng)管理人員對(duì) DSTM 網(wǎng)關(guān)上創(chuàng)建的隧道以及DSTM服務(wù)器所做的分配進(jìn)行監(jiān)測(cè)和管理，便于對(duì)DSTM激活的網(wǎng)絡(luò)進(jìn)行監(jiān)督和控制，在發(fā)現(xiàn)錯(cuò)誤時(shí)，可以及時(shí)發(fā)出告警信息。

通過在DSTM服務(wù)器中應(yīng)用過濾、TSP協(xié)議、DHC IPv6應(yīng)用認(rèn)證以及相應(yīng)的隧道傳輸技術(shù)，可以有效避免非法用戶以IPv6為入口，對(duì)私有網(wǎng)絡(luò)的訪問，而通過系統(tǒng)管理人員對(duì)DSTM激活網(wǎng)絡(luò)的監(jiān)測(cè)，能夠保證攻擊者無法繞過監(jiān)測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，保證網(wǎng)絡(luò)的運(yùn)行安全。

4 結(jié)語

總而言之，IPv6作為新一代的網(wǎng)絡(luò)協(xié)議，具有非常顯著的優(yōu)勢(shì)，取代IPv4協(xié)議已經(jīng)是一種必然的趨勢(shì)。在當(dāng)前過渡的關(guān)鍵時(shí)期，相關(guān)技術(shù)人員應(yīng)該加強(qiáng)對(duì)網(wǎng)絡(luò)安全問題的分析和解決，為建設(shè)安全、誠(chéng)信、可靠的網(wǎng)絡(luò)系統(tǒng)奠定良好的基礎(chǔ)。

[1]宋婧.基于IPV6的下一代互聯(lián)網(wǎng)安全問題探討[J].江西通信科技.2011.

[2]王奕.基于 IPv6的互聯(lián)網(wǎng)安全問題探析[J].甘肅聯(lián)合大學(xué)學(xué)報(bào)(自然科學(xué)版).2010.

[3]丁文飛，孫會(huì)楠，邢彥辰，馬德仲.基于 IPv6 的下一代網(wǎng)絡(luò)安全問題的探討[J].計(jì)算機(jī)安全.2014.

[4]張影.基于 IPv6的下一代互聯(lián)網(wǎng)安全管理策略研究[J].科技創(chuàng)新與應(yīng)用.2014.