申健　朱婧

摘 要：IPv4因其存在的固有缺陷已不能滿足網絡服務和應用的普及與發(fā)展需求，由IPv4向IPv6過渡是互聯(lián)網發(fā)展的必然趨勢。IPv6協(xié)議特有的安全特點在提高網絡安全性能的同時，也帶來了新的安全問題。介紹IPv4向IPv6過渡階段應用的雙協(xié)議棧技術、隧道技術和網絡地址轉換/協(xié)議轉換技術，結合校園網的實際運行情況，分析了雙協(xié)議棧網絡可能遇到的網絡安全隱患，并給出了相應的對策。

關鍵詞：校園網；IPv4；IPv6；雙協(xié)議棧；安全隱患；對策

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2095-1302（2015）04-00-03

0 引 言

互聯(lián)網的飛速發(fā)展使得各種網絡服務和應用日益豐富，人類的日常生產和生活已經越來越依賴于網絡這個交流平臺。但現有的互聯(lián)網則是基于IPv4技術使用32位地址段，最多能提供約43億個IP地址。隨著互聯(lián)網的進一步發(fā)展，以IPv4技術為基礎的現有互聯(lián)網已不能滿足需要，其原因是IPv4地址資源已經耗盡，在安全和服務質量以及對移動、智能網絡的支持上都存在嚴重不足。新一代互聯(lián)網協(xié)議IPv6的主要特點是：擁有128位地址空間，解決了IP地址不足的問題；是可匯聚、分級的地址結構，有效減少了各級路由表問題，提高服務質量，方便使用；通過移動頭（Mobility Header）和返回路徑可達過程（Return Routability Procedure）能夠更好地支持移動性[1]。

互聯(lián)網能否健康發(fā)展，安全是至關重要的因素之一。IPv6通過內置的IPSec安全協(xié)議和對網絡層數據進行加密保證了數據的完整性和機密性，使得端對端數據傳輸具有較高的安全特性[2]。但僅僅這樣并不能代表IPv6網絡的安全可靠，隨著該技術的廣泛應用，其協(xié)議本身存在的安全問題、對入侵攻擊的防護等都為進一步發(fā)展帶來了安全隱患。本文結合長安大學具體情況，分析校園網IPv6網絡在實際中遇到的安全問題，討論其解決方法。

1 IPv6的安全優(yōu)勢

IPv6是網絡技術史上的一次重要升級，它從最初設計時就對安全問題進行了關注，因此和IPv4相比，IPv6在IP層擁有更高的安全性。

1.1 IPSec（Internet Protocol Security）安全性機制

IPSec是一種開放標準的框架結構，通過使用加密的安全服務以確保在Internet協(xié)議網絡層上進行保密而安全的通訊。IPSec的安全特性屬于IPv6協(xié)議的外在安全特性，作為一種協(xié)議套件它可以“無縫”地為IP提供安全保障[3]。但實質上可以說IPSec對于IPv4更像一個補丁程序，而對IPv6它已經被看做是協(xié)議整體的一部分。

IPSec的結構體系包括3部分：

（1）AH（Authentication Header）身份驗證協(xié)議，為數據包提供身份驗證功能。

（2）ESP（Encapsulated Security Payload）安全載荷協(xié)議，為數據包提供加密保證防止篡改。

（3）IKE（Internet Key Exchange）密鑰交換協(xié)議，為數據包交流安全提供保障。

這3個基本協(xié)議用來提供來源認證、數據完整性、數據機密性和訪問控制等保護形式。除此之外，還有密鑰管理協(xié)議ISAKMP（提供共享安全信息）、解釋域、算法和策略[4]等。如圖1所示，IPSec增強了數據傳輸的安全性。

1.2 IPv6特有的安全性

IPv6擁有128位的地址空間，理論上能提供2128-1個地址。與IPv4不同，IPv6的子網掩碼是64位，每一個網段約有264個地址。對于如此巨大的地址空間來說掃描整個子網需要的時間極其漫長，這就對通過自動掃描來查殺繁殖的網絡病毒造成了極大的困難。

在IPv4網絡中，每一個IPv4地址或者子網都可以分布在全世界任何一個地方，這種情況使得假冒IPv4源地址成為一件很容易的事，黑客可以使用隨機產生的地址來作為攻擊數據包的源地址。與IPv4不同，IPv6是可匯聚、分級的地址結構，即IPv6上級互聯(lián)網供應商可以對自己客戶的地址段進行匯聚，在路由器或者網關設備中對網絡流量進行過濾，只允許客戶地址范圍內的源地址通過。這樣，黑客就不能使用任意IP來假冒源地址，而且能夠使跟蹤和回溯假冒地址變得很容易[5]。

2 IPv6的安全缺陷

與IPv4相比，IPv6在數據保密性、完整性和網絡的可控性及抗攻擊性等方面都有了較大改善，一些IPv4網絡中常見的攻擊在IPv6網絡中已經失效，但使用證明其仍然存在不少安全問題。

2.1 來自非網絡層的攻擊

IPv4和IPv6都是工作在網絡層上通過IP地址屏蔽底層不同的物理網絡，并對傳輸層提供服務的協(xié)議。與IPv4相比，IPv6網絡中數據包傳輸的基本機制并沒有改變，仍然是在控制平面學習路由并通過已知的路由信息轉發(fā)數據包。因此，IPv4網絡中來自除去網絡層的其他層面中的攻擊在IPv6網絡中依然會出現。例如，通過TCP中存在的漏洞發(fā)動針對網絡路由器的“重啟式”攻擊，通過偽造MAC欺騙數據鏈路層設備[6]，以及DNS的安全性、SNMP的安全性和木馬、蠕蟲等都屬于這一類。

2.2 ICMPv6的缺陷

ICMPv6[7]即互聯(lián)網控制信息協(xié)議版本6，它包括了IPv4中的IMCP功能和ARP功能，是IPv6的重要組成部分。IPv6網絡正常工作需要ICMPv6協(xié)議，不能像IPv4網絡一般將其禁用，這就導致ICMPv6會被利用產生拒絕服務攻擊，以及偽造其他節(jié)點產生諸如超時、不可達和參數錯誤等信息，從而影響正常通信。

2.3 鄰居發(fā)現協(xié)議的漏洞

鄰居發(fā)現協(xié)議是IPv6的基礎協(xié)議，用來發(fā)現同一鏈路上的其他節(jié)點、進行地址解析和鄰居不可達檢測等。但利用鄰居發(fā)現協(xié)議，能夠通過發(fā)送錯誤的路由器宣告和錯誤的重定向消息，讓數據包流向不確定的地方，進而可能出現拒絕服務、攔截和修改數據包等現象[8]。

2.4 無狀態(tài)地址分配的隱患

雖然無狀態(tài)地址分配[9]這一技術為合法的網絡用戶使用IPv6網絡帶來了方便，但無狀態(tài)地址分配中的地址沖突檢測機制也給網絡造成了安全隱患。該協(xié)議認為任何自動配置的節(jié)點都是合法節(jié)點，新節(jié)點只要回復對臨時地址進行的鄰居請求，請求方就會認為地址已經被使用而放棄該臨時地址，這樣攻擊者就能順利地連接到本地網絡中。

2.5 移動IPv6的安全問題

移動IPv6[10]中也存在不少安全問題，例如由錯誤的綁定信息而引起的拒絕服務攻擊、劫持攻擊、中間人攻擊和假冒攻擊等。

3 校園網IPv6的安全隱患

IPv4網絡在向IPv6網絡的過渡過程中一般應用三種過渡技術，即雙協(xié)議棧技術、隧道技術和網絡地址轉換技術。

3.1 過渡技術分析

（1）雙協(xié)議棧技術指的是單個網絡節(jié)點上既有IPv4棧又有IPv6棧，能夠同時支持IPv4和IPv6兩種協(xié)議，即該節(jié)點不但能與IPv4協(xié)議節(jié)點進行通信，還能與IPv6節(jié)點進行通信。這種技術在過渡初期是必須的，它能夠解決IPv4網絡和IPv6網絡之間的兼容問題，而雙協(xié)議棧技術也是其他過渡技術的基礎[10]。

（2）隧道技術是指將一種協(xié)議的報頭封裝在另一種協(xié)議里面來進行通信。IPv6隧道就是將IPv6數據封裝在IPv4的數據報中，等達到另一端后再進行解封。對于過渡過程中出現的“IPv6孤島”，隧道技術能夠使它在“IPv4海洋”中進行通信，但不能實現IPv4節(jié)點與IPv6節(jié)點之間的通信。

（3）網絡地址轉換技術在網絡層、傳輸層和應用層上實現協(xié)議之間的轉換，能夠使純IPv4節(jié)點和純IPv6節(jié)點之間進行通信。因其地址和協(xié)議都在網絡設備上進行轉換，不需要進行升級。

3.2 校園網IPv6過渡技術應用

長安大學校園網自開始建設至今，用戶數已超過3萬，整個校園網劃分為3個子網：教學科研及辦公區(qū)子網、住宅區(qū)子網和學生區(qū)子網。學校向Cernet（中國教育和科研計算機網）申請的真實地址段總計48個C類地址段約合1.2萬個地址。但真實地址數遠遠不能滿足實際需求，僅學生區(qū)子網用戶規(guī)模就超過1.3萬，只能使用私有IPv4地址。為解決IPv4真實地址匱乏并與國際互聯(lián)網技術同步發(fā)展，自2003年開始國家啟動了中國下一代互聯(lián)網示范工程“CNGI”項目，我校是其中的示范應用單位之一。經過幾年的建設發(fā)展，已建成了獨立的IPv6子網，搭建了IPv4和IPv6雙協(xié)議棧網絡及服務器，聯(lián)通了教育網的其他高校IPv6子網，實現了教育網內部的IPv6網絡通信。具體做法是在教育網范圍內通過獨立的光纖鏈路直接對IPv6資源進行訪問，在校園網內部采用雙協(xié)議棧技術；主機和路由器同時開啟IPv4和IPv6兩種協(xié)議，同時獲取到IPv4和IPv6兩個網絡地址。這樣，每一位校園網用戶都能同時訪問校園網內外的IPv4和IPv6資源。

3.3 校園網IPv6的安全問題

雙協(xié)議棧技術讓校園網用戶能夠同時訪問IPv4和IPv6兩種網絡資源，在過渡階段達到IPv4網絡和IPv6網絡的兼容，如圖2所示。實際運行狀態(tài)下通過網絡管理人員的反饋信息分析和所進行的安全測試，結合雙協(xié)議棧技術本身的安全問題，發(fā)現并提出了校園網雙協(xié)議棧網絡可能出現的安全隱患。

（1）在規(guī)劃IPv6網絡的時候，若對地址前綴的指定以及采取依次降序或者升序來分配地址的方法，將使得IPv6的地址實際使用范圍大大縮小。其原因在于IPv6地址過長，管理員為了方便記憶經常會給服務器配置比較特殊的IPv6地址。這種做法會造成類似蠕蟲或者木馬的掃描漏洞程序能夠較為容易地發(fā)現網段中的重要服務器，并實施攻擊。

（2）雙協(xié)議棧路由器以隧道方式通過IPv4網絡傳送IPv6包，一旦IPv4設備被入侵并激活隧道，攻擊者就能夠繞過網絡過濾和防御系統(tǒng)，對其他節(jié)點進行攻擊。

（3）雙協(xié)議棧網絡的節(jié)點都是雙棧節(jié)點，其結合隧道技術已解決純IPv6網絡中主機與IPv4主機的互連問題。雙協(xié)議棧網絡的網關（即隧道終結點TEP）保留有主機IPv4和IPv6地址的映射表，并利用映射表進行IPv4包的封裝和解封。在TEP收到一個攜帶IPv4的IPv6數據包時，它會使用包內攜帶的IPv6和IPv4源地址和目的地址，通過動態(tài)隧道接口（DTI）創(chuàng)建一個IPv4 in IPv6隧道，如果在部署雙協(xié)議棧IPv6網絡的TEP時，TEP和雙協(xié)議棧服務器不在同一臺主機上，就沒辦法檢查網關建立的隧道和雙協(xié)議棧服務器的分配對應關系。當攻擊方使用相同IPv4源地址發(fā)送IPv4 in IPv6數據包，原有的隧道會被新建立的隧道所取代，這就達成了欺騙攻擊的目的[11]。

（4）雙協(xié)議棧網絡同時擁有IPv4和IPv6兩種協(xié)議，因此如果其中任意一種協(xié)議遭受到攻擊，就會影響整個網絡。

4 相關問題的對策

由于雙協(xié)議棧網絡兩種IP協(xié)議共存，處于現有網絡到新一代網絡技術的過渡時期，因此整個網絡環(huán)境復雜，對安全的需求范圍更加廣泛。為此，結合長安大學校園網IPv6在建設和實際運行中遇到的安全問題，提出相應的對策：

（1）IPv6地址規(guī)劃：在使用IPv6地址的時候，網絡管理員應該將地址段充分利用，擴大地址應用范圍。即在配置時減少服務器地址的特殊性，以此來增加掃描類病毒程序的攻擊難度，降低網絡安全隱患。

（2）接入認證：首先雙協(xié)議棧網絡用戶通過客戶端或者Web網頁等認證方式進行基于IPv4協(xié)議認證，在用戶名、密碼通過后，終端依次啟用鄰居發(fā)現協(xié)議NDP、DHCPv6來獲得IPv6接口地址、網絡前綴和DNS等參數。

（3）接入控制：在雙協(xié)議棧服務器上應用接入權限控制策略，允許IPv6隧道通過雙協(xié)議棧服務器認定終端的信息，禁止其他訪問。

（4）如果隧道終結點和雙協(xié)議棧服務器不在同一物理設備上，為防止欺騙攻擊，需要應用動態(tài)隧道通信協(xié)議，這可通過IPsec的AH協(xié)議來解決。

（5）對隧道終結點上創(chuàng)建的隧道和雙協(xié)議棧服務器上的分配數據進行監(jiān)控，檢查與分配相對應隧道的正確性。

（6）配置支持IPv4和IPv6兩種協(xié)議的防火墻設備，隔絕類似蠕蟲或者木馬等程序的端口掃描信息，阻止外部網絡的漏洞攻擊，以此保護雙協(xié)議棧內部網絡免遭病毒或者黑客入侵。

5 結 語

IPv6作為新一代互聯(lián)網協(xié)議具備地址空間大、報文安全靈活等特點，但是由于IPv4網絡基礎龐大，從IPv4向IPv6過渡將是一個非常漫長的過程，在此期間網絡安全問題成為網絡管理者需要重點關注并予以解決的問題之一。與IPv4相比，IPv6雖然在性能和安全機制方面有較大地提升，但并不代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會對IPv6網絡造成嚴重威脅。目前，各高校都在大力開展IPv6網絡建設，但針對IPv6網絡的安全機制還不能滿足其發(fā)展需要。本文對校園網IPv6網絡的安全隱患和安全機制進行了探討，由于針對IPv6應用的服務器和防火墻在價格和技術方面還不能滿足需求，現階段只能通過地址規(guī)劃和接入認證等方法強化網絡安全保障，而實際應用表明并未出現嚴重的安全問題。

IPv6網絡的發(fā)展是大勢所趨，IPv6網絡的安全機制研究也將是一項長期而復雜的工作。

參考文獻

[1] 李振強，趙曉宇，馬嚴.IPv6安全脆弱性研究[J].計算機應用研究，2006（11）：109-112.

[2] 時晨，申普兵，楊瑾，等.IPv6校園網環(huán)境下IPSecVPN的安全性研究[J].計算機技術與發(fā)展，2010，20（10）：167-170.

[3] 唐述科，李漢菊.IPv6鄰居發(fā)現協(xié)議的安全性分析[J].信息安全與通信保密，2006（9）：101-101.

[4] 譚海波，景鳳宣，王家瑋，等.基于校園網的IPv6安全協(xié)議分析與應用研究[J].山東大學學報（理學版），2012，47（11）：54-58.

[5] 張岳公，李大興.IPv6 下的網絡攻擊和入侵分析[J].計算機科學，2006，33（2）：100-102.

[6] US-CERT. Vulnerabilities in TCP [EB/OL]. http//www. us-certgov/cas/techalerts/TA04-111A.html，2004-04-20.

[7] RFC2463.Internet Control Message Protocol（ICMPv6） for the Internet Protocol version 6（IPv6）Specification[S].

[8] 蘇明，顏世峰.IPv6校園網入侵檢測系統(tǒng)設計[J].小型微型計算機系統(tǒng)，2009，30（3）：480-483.

[9] Tnomson S.，Narten T..IPv6 stateless address autoconfiguration.RFC2462，Internet Engineering Task Force，1998.

[10] 李航.雙協(xié)議棧技術在高校IPv4向IPv6過渡中的應用研究[J].煤炭技術，2012，31（5）：233-234.

[11] 霍然.一種基于雙協(xié)議棧轉換機制的IPv6網絡安全研究[J].遼寧師專學報（自然科學版），2008，10（4）：40-42.