賀樂樂，毛云軒

（中車南京浦鎮(zhèn)車輛有限公司數(shù)字化部，江蘇 南京 210031）

1 研究背景

IPv6規(guī)模部署計(jì)劃發(fā)布至今已走過近5年的時(shí)間，現(xiàn)階段，國(guó)內(nèi)IPv6改造工作基本完成，相對(duì)應(yīng)的服務(wù)器也已正式投入使用。截至2021年，國(guó)內(nèi)IPv6活躍用戶總數(shù)約為7億，這表示約有60%的網(wǎng)民均為IPv6用戶，物聯(lián)網(wǎng)連接數(shù)也達(dá)到了1.4億左右，其中，移動(dòng)IPv6的占比約為35%，固定IPv6的占比約為9.4%[1]。調(diào)查表明，包括央企網(wǎng)站、政府網(wǎng)和政務(wù)網(wǎng)在內(nèi)的多數(shù)門戶網(wǎng)站都完成了升級(jí)改造的工作，用戶可通過IPv6或IPv4進(jìn)行訪問。可以預(yù)見的是，未來一段時(shí)間內(nèi)，我國(guó)仍然會(huì)處在IPv6、IPv4并行的環(huán)境下，如何有效防范風(fēng)險(xiǎn)、提高網(wǎng)絡(luò)安全系數(shù)，自然成為大家關(guān)注的話題。

IPv6的核心功能有兩個(gè)，分別是路由、尋址，相較于IPv4，IPv6具有極為突出的優(yōu)點(diǎn)，具體表現(xiàn)在以下方面。首先，地址空間可達(dá)到128位，能夠嚴(yán)格遵守聚類原則分配地址，省略了NAT地址轉(zhuǎn)換的步驟，在弱化網(wǎng)絡(luò)時(shí)延的前提下，使信息傳輸質(zhì)量及速率得到大幅度提高[2]。其次，IPv6創(chuàng)造性地引入了層次分配法和密碼生成法，同時(shí)利用公私鑰驗(yàn)證身份，保證訪問人員身份真實(shí)。再次，IPv6具有更高的安全系數(shù)，一方面是因?yàn)槠涞刂房臻g極大，而龐大的地址空間，增加了不法分子掃描的難度，DDoS攻擊的發(fā)生率隨之降低；另一方面是IPv6內(nèi)置的IPSec可為通信數(shù)據(jù)所具有完整性、通信內(nèi)容所具有機(jī)密性提供保證，而抗重播保護(hù)的加入，在極大程度上保證了報(bào)文、用戶與攻擊的適配性，通過實(shí)時(shí)監(jiān)控的方式，確保潛在問題及時(shí)得到解決[3]。最后，IPv6引入了流標(biāo)簽，利用流標(biāo)簽對(duì)數(shù)據(jù)報(bào)文進(jìn)行簡(jiǎn)化，該做法在極大程度上提升了數(shù)據(jù)包的處理速率，數(shù)據(jù)流質(zhì)量也能夠得到更有力的控制。

除此之外，IPv6的特點(diǎn)還包括以下幾點(diǎn)。一是新增組播支持功能，同時(shí)剔除了廣播地址，使服務(wù)質(zhì)量得到全方位控制，基于廣播地址所衍生出的DDoS攻擊、廣播風(fēng)暴等問題，發(fā)生率自然大幅度降低。二是不僅禁用可廣播數(shù)據(jù)包、源地址并非單一節(jié)點(diǎn)的相關(guān)數(shù)據(jù)包，還明令禁止使用鏈路層組播，此舉可將ICMPv6報(bào)文所引起安全問題的發(fā)生率降至最低。三是IPv6支持主機(jī)自配置、SLAAC等協(xié)議，即使沒有地址池、服務(wù)器，同樣能夠管理地址，不僅網(wǎng)絡(luò)管理效率得到提高，移動(dòng)終端所具有路由、移動(dòng)還有安全等特性也有所增強(qiáng)，對(duì)網(wǎng)絡(luò)地址進(jìn)行管理的難度明顯低于IPv4。

2 IPv6規(guī)模部署潛在風(fēng)險(xiǎn)及成因

研究表明，雖然IPv6能夠彌補(bǔ)IPv4所存在的網(wǎng)絡(luò)地址不足等缺陷，但由于升級(jí)工作無法一蹴而就，升級(jí)期間，雙棧機(jī)制將長(zhǎng)期存在，加之IPv6自身也存在一定的漏洞，圍繞IPv6所存在漏洞制定相應(yīng)的防范方案迫在眉睫。

2.1 IPv6層面

2.1.1 協(xié)議存在漏洞

研究表明，IPv6主要存在以下漏洞。其一，IPv6的中間節(jié)點(diǎn)無法處理分段數(shù)據(jù)包，僅有端系統(tǒng)才能夠?qū)?shù)據(jù)包分段并進(jìn)行重組，不法分子往往會(huì)利用這一特點(diǎn)，通過惡意數(shù)據(jù)包攻擊系統(tǒng)。其二，IPv6自帶IPSec對(duì)分發(fā)密鑰的技術(shù)具有極強(qiáng)的依賴性，現(xiàn)階段，該技術(shù)尚未成熟，存在管理成本偏高的問題，過于依賴該技術(shù)，將影響防火墻的運(yùn)行，限制防火墻分析負(fù)載數(shù)據(jù)、獲取端口號(hào)，進(jìn)而降低數(shù)據(jù)包檢測(cè)的成功率。其三，路由往往要依托流量放大機(jī)制才能穩(wěn)定運(yùn)行，不法分子可以憑借路由報(bào)頭將自己偽裝成普通用戶，再以普通用戶的身份截取數(shù)據(jù)包[4]。由此可見，導(dǎo)致IPv6安全性難以達(dá)到理想水平的原因，主要是該協(xié)議沒有保留NAT，而是采取端對(duì)端通信的模式，這樣設(shè)計(jì)雖然能夠提高通信效率，卻也會(huì)帶來信息、結(jié)構(gòu)暴露的問題，降低協(xié)議安全系數(shù)。

2.1.2 過渡方案有待升級(jí)

IPv4可通過三種方式升級(jí)為IPv6，分別是IPv6隧道、雙棧機(jī)制以及地址轉(zhuǎn)換。隨著IPv6正式投入使用，網(wǎng)絡(luò)架構(gòu)所受到影響將逐漸顯露出來，由此而帶來的問題主要體現(xiàn)在以下方面。首先，過渡環(huán)節(jié)，IPv6、IPv4間需要頻繁通信，只有以IPv6為依托，結(jié)合雙棧主機(jī)情況采取相應(yīng)的防護(hù)策略，才能避免不法分子經(jīng)由IPv6路由激活地址，并通過初始化的方式進(jìn)行攻擊。其次，地址轉(zhuǎn)換環(huán)節(jié)，若負(fù)責(zé)轉(zhuǎn)換地址的設(shè)備內(nèi)部存有敏感信息，將有極大概率受到攻擊或是入侵，進(jìn)而引發(fā)不必要的問題。再次，由運(yùn)營(yíng)商所選用過渡技術(shù)，普遍沒有經(jīng)過相應(yīng)的檢驗(yàn)，其安全性難以得到保證。此外，雙棧機(jī)制需要IPv6對(duì)硬件資源進(jìn)行共享，這樣做會(huì)影響系統(tǒng)所具有通信效果和傳送速率，導(dǎo)致用戶無法獲得良好的體驗(yàn)及感受。最后，隧道加密傳輸效果極易被協(xié)議完整度所影響，目前，IPv6在認(rèn)證隧道等方面，仍有較為明顯的缺陷存在，例如，使用隧道技術(shù)通信時(shí)，IPv6有一定概率出現(xiàn)隧道嗅探、注入等問題。

2.1.3 防護(hù)能力較弱

IPv6誕生的時(shí)間較短，尚未得到大范圍推廣和普及，已上線系統(tǒng)、網(wǎng)站及應(yīng)用僅在小范圍內(nèi)運(yùn)行，圍繞其所展開安防研究的力度較弱。除此之外，下列情況同樣限制著安防研究的深入。其一，受市場(chǎng)規(guī)模、實(shí)時(shí)收益影響，IPv6產(chǎn)品所具有價(jià)值并未得到全方位展示，對(duì)相關(guān)產(chǎn)品進(jìn)行開發(fā)的技術(shù)人員有限，可供使用的服務(wù)及產(chǎn)品數(shù)量相對(duì)較少。其二，缺少良好的驗(yàn)證環(huán)境，致使技術(shù)人員無法深入驗(yàn)證安全漏洞、代碼缺陷。其三，從事相關(guān)工作的人員所表現(xiàn)出綜合素質(zhì)及專業(yè)能力均難以達(dá)到行業(yè)領(lǐng)先水平，對(duì)IPv6的了解相對(duì)淺顯，導(dǎo)致針對(duì)IPv6所開展安全管理工作，其所取得效果與IPv4相距甚遠(yuǎn)。

2.2 互聯(lián)網(wǎng)層面

互聯(lián)網(wǎng)的風(fēng)險(xiǎn)主要體現(xiàn)在以下方面。一是互聯(lián)網(wǎng)具有開放性，人們只需擁有移動(dòng)終端，便可以通過互聯(lián)網(wǎng)獲取自身所需信息，相應(yīng)地，不法分子可經(jīng)由物理線路竊聽甚至篡改信息，搭配掃描攻擊，達(dá)到自己的目的。二是數(shù)據(jù)庫被攻擊的可能性較大。新時(shí)期，越來越多行業(yè)選擇將生產(chǎn)、運(yùn)營(yíng)數(shù)據(jù)統(tǒng)一保存在數(shù)據(jù)中心，與此同時(shí)，存儲(chǔ)數(shù)據(jù)、調(diào)取數(shù)據(jù)等服務(wù)也朝著云化的方向發(fā)展，管理數(shù)據(jù)的難度有目共睹，若企業(yè)仍沿用傳統(tǒng)管理模式，將導(dǎo)致安全風(fēng)險(xiǎn)、漏洞無法被及時(shí)發(fā)現(xiàn)，自身受到攻擊的可能性自然有所加大。由此可見，要想確保數(shù)據(jù)庫具備良好的可靠性、完整性以及準(zhǔn)確性，關(guān)鍵是要引入更加先進(jìn)的管理技術(shù)，同時(shí)對(duì)管理模式進(jìn)行調(diào)整。

3 IPv6規(guī)模部署風(fēng)險(xiǎn)防范路徑

3.1 IPv6層面

3.1.1 完善IPv6協(xié)議

要想使IPv6協(xié)議更加可靠，關(guān)鍵要以其所存在漏洞為抓手，對(duì)協(xié)議進(jìn)行完善。首先，對(duì)IPv6安全質(zhì)量進(jìn)行評(píng)估，對(duì)相關(guān)應(yīng)用所具有滲透性及健壯性進(jìn)行測(cè)試，根據(jù)測(cè)試結(jié)果，判斷IPv6是否存在漏洞，在此基礎(chǔ)上，堵塞漏洞并改進(jìn)協(xié)議，確保協(xié)議具備良好安全性。其次，基于IPv6獨(dú)有的地址生成模式生成地址，同時(shí)對(duì)地址進(jìn)行加密，以免發(fā)生人為攻擊、設(shè)備隨意接入的情況，將源地址欺騙等問題出現(xiàn)的概率降至最低。再次，對(duì)安全機(jī)制進(jìn)行強(qiáng)化，憑借IPSec特有的可靠性、不可否認(rèn)性以及反重播性等特征，優(yōu)化IPv6，通過新增加密認(rèn)證等功能，優(yōu)化IPSec所具有吞吐能力，將隧道嗅探、注入等風(fēng)險(xiǎn)的發(fā)生率維持在較低水平。最后，以IPv6所提供隱私擴(kuò)展機(jī)制為依托，將通信地址隱藏，以免由于缺少地址轉(zhuǎn)換，導(dǎo)致信息暴露或結(jié)構(gòu)暴露，為網(wǎng)絡(luò)所具有安全性提供保證。

3.1.2 升級(jí)過渡方案

以網(wǎng)絡(luò)設(shè)施能力為依據(jù)，結(jié)合業(yè)務(wù)未來發(fā)展需求，對(duì)網(wǎng)絡(luò)升級(jí)規(guī)劃和方案進(jìn)行設(shè)計(jì)。優(yōu)先購(gòu)入適配IPv6、IPv4的網(wǎng)絡(luò)設(shè)備，將IPv6給IPv4所產(chǎn)生影響作為抓手，對(duì)開拓業(yè)務(wù)、網(wǎng)絡(luò)安全所提出需求進(jìn)行平衡，酌情引入包過濾、隧道+客戶端雙重認(rèn)證等技術(shù)，杜絕IPv6、IPv4間出現(xiàn)交叉感染或類似問題?？紤]到IPv6、IPv4協(xié)議及地址存在明顯區(qū)別，因此，還要對(duì)管理上網(wǎng)行為的系統(tǒng)、檢測(cè)入侵的系統(tǒng)、防火墻及路由器進(jìn)行調(diào)整，在新增與業(yè)務(wù)需求相符的控制策略的前提下，將源路由、無用服務(wù)徹底關(guān)閉，同時(shí)引入以反向查找為代表的全新技術(shù)，以免由于源地址欺騙，而引起不必要的問題[5]。以網(wǎng)絡(luò)的使用情況為依據(jù)，對(duì)IPv6通信進(jìn)行分層管理，嚴(yán)格控制訪問安全域等行為，在過濾機(jī)制的輔助下，提高網(wǎng)絡(luò)接入過程的安全系數(shù)。綜合考慮多方面因素，對(duì)ICMPv6報(bào)文所遵守訪問策略進(jìn)行設(shè)置，與此同時(shí)，還應(yīng)對(duì)安全措施進(jìn)行調(diào)整。例如，打造白名單，確保僅有ICMPv6及相關(guān)報(bào)文能夠順利通過，終止發(fā)送不可達(dá)信息及RA信息，同時(shí)將源路由關(guān)閉，為相關(guān)應(yīng)用提供良好的運(yùn)行環(huán)境；再如，對(duì)防火墻進(jìn)行升級(jí)，新增與檢查擴(kuò)展頭相關(guān)的規(guī)則、重組功能模塊和選擇發(fā)送模塊，通過準(zhǔn)確篩選并過濾特定類型報(bào)文的方式，將DDoS攻擊發(fā)生率降至最低。此外，還應(yīng)分別依托邊界設(shè)備、防火墻，安裝入口過濾系統(tǒng)，這樣做能夠降低源地址偽造等問題的發(fā)生率，使邊界得到強(qiáng)有力的保護(hù)。

3.1.3 增強(qiáng)防護(hù)能力

在增強(qiáng)防護(hù)能力方面，實(shí)證有效的措施如下。第一，研究人員應(yīng)加大對(duì)IPv6進(jìn)行研究的力度，從安全還有服務(wù)理論的角度出發(fā)，基于擴(kuò)展頭、分片攻擊等IPv6常見安全風(fēng)險(xiǎn)開展研究，根據(jù)風(fēng)險(xiǎn)形成原因擬定相應(yīng)的解決方案。第二，生產(chǎn)商、提供商應(yīng)保證自身所生產(chǎn)產(chǎn)品和所提供服務(wù)能夠達(dá)到安可標(biāo)準(zhǔn)，在此基礎(chǔ)上，對(duì)能夠借鑒或是復(fù)制的場(chǎng)景進(jìn)行深入探索。第三，重視設(shè)備、芯片還有物化材料的研究，為相關(guān)研究工作的開展提供有力支持，研發(fā)大量先進(jìn)的國(guó)產(chǎn)技術(shù)與設(shè)備，在對(duì)升級(jí)成本加以控制的前提下，使建設(shè)安保能力等工作得到有序推進(jìn)。第四，大力培養(yǎng)專業(yè)人才，通過繼續(xù)教育與學(xué)歷教育相結(jié)合的方式，培養(yǎng)大批具有良好綜合素質(zhì)、突出專業(yè)能力的人才。在條件允許的情況下，培訓(xùn)機(jī)構(gòu)可搭建相應(yīng)的實(shí)驗(yàn)環(huán)境，定期組織開展攻防演練，夯實(shí)安全人員理論基礎(chǔ)，同時(shí)增加其所具有的實(shí)踐進(jìn)展，使該群體所表現(xiàn)出實(shí)戰(zhàn)水平達(dá)到預(yù)期。第五，政府主管部門應(yīng)頒布相應(yīng)的政策，引導(dǎo)有關(guān)機(jī)構(gòu)對(duì)產(chǎn)品、服務(wù)還有安全漏洞進(jìn)行研究，事實(shí)證明，這樣做既能夠使安全技術(shù)儲(chǔ)備得到強(qiáng)化，又能夠使科研布局所具有合理性、可行性得到提升。第六，用安防費(fèi)用抵減稅費(fèi)，激發(fā)各個(gè)行業(yè)引入或使用安防產(chǎn)品、技術(shù)的熱情，確保各大企業(yè)能夠結(jié)合自身情況，主動(dòng)采用相應(yīng)的安全服務(wù)及產(chǎn)品，為網(wǎng)絡(luò)安全提供強(qiáng)有力的保護(hù)。

3.2 互聯(lián)網(wǎng)層面

作為基于IPv4所衍生出的全新通信協(xié)議，IPv6與IPv4所面臨安全風(fēng)險(xiǎn)高度重合，這也決定了常規(guī)保障體系同樣能夠起到防范IPv6安全風(fēng)險(xiǎn)的作用。在此過程中，有以下幾項(xiàng)工作需要引起重視。首先，提前安裝相應(yīng)的殺毒軟件，為用戶端提供強(qiáng)有力的保護(hù)。其次，對(duì)安防系統(tǒng)進(jìn)行調(diào)整，酌情引入防火墻、堡壘主機(jī)，有效應(yīng)對(duì)外部攻擊，同時(shí)對(duì)上網(wǎng)行為進(jìn)行實(shí)時(shí)管控，通過隔離內(nèi)外網(wǎng)的方式，降低風(fēng)險(xiǎn)發(fā)生率。再次，利用身份認(rèn)證、數(shù)據(jù)加密為數(shù)據(jù)安全提供雙重保護(hù)，保證數(shù)據(jù)具備良好的可靠性與完整性，如果條件允許，還可以引入權(quán)威認(rèn)證、混合加密等技術(shù)，將安全防護(hù)提升到最高級(jí)別。最后，優(yōu)先安裝已獲得轉(zhuǎn)移的軟、硬件，為設(shè)備、系統(tǒng)所具有安全性提供保障。

4 結(jié)束語

綜上，IPv6雖能夠提高安全治理有效性，卻也會(huì)帶來隱患，只有多方協(xié)同合作，深入探究網(wǎng)絡(luò)安全漏洞的成因，擬定相應(yīng)安全方案，才能使?jié)撛趩栴}得到解決，在保證網(wǎng)絡(luò)系統(tǒng)可靠且安全的前提下，使IPv6得到大范圍運(yùn)用。