摘要：隨著網絡規模的迅速擴大、網絡業務的不斷發展和網絡功能的不斷增強，IPv4協議逐漸出現其不適應發展的地方，尤其是地址空間的不足。IPv6正是在這樣的環境和條件下產生的，這篇論文論述了由IPv4過渡到IPv6的必然趨勢，IPv6的技術特點，IPV6在安全方面的改進以及它所存在的安全隱患。

關鍵詞：IPv6；技術特點；安全機制；安全隱患

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)28-0098-02

IPv6 Technology and the Analyses of Its Security Problem

YUAN Qiang， YANG Mu-qing

(South-Central University for Nationalities， Wuhan 430074， China)

Abstract: With the rapid expansion of the internet， the continuous development of the network operations and the growing function of network， IPv4 is gradually not adapting to the development of network， particularly the problem of shortage of address space. IPv6 is developed in this situation. This paper have discussed the inevitable trend of transition from IPv4 to IPv6， including the technical characteristics of IPv6， its improvement in security and also its security risks.

Key words: IPv6; technology Features; security mechanism; security hidden risk

1 引言

Internet在全球迅速發展，隨著互聯網用戶數量不斷增長以及對互聯網應用的要求不斷提高，IPv4協議的不足逐漸體現出來。首要的問題就是不斷增長的對互聯網資源的巨大需求與IPv4地址空間不足的矛盾， Ipv6通過幾乎無限大的地址空間、自動識別機制、網絡安全設置，對每一個終端（包括無線終端）、家電、生產流程、感應器等進行IP全球化管理，宣告了信息新時代的到來。

與此同時，網絡安全也是一個需要迫切解決的問題。現行的IPv4協議標準雖有簡單性和可縮放性等特點，但在網絡安全方面存在許多安全隱患，例如：非法截獲并偽造信息包、地址的電子欺騙、擾亂網絡邏輯組織等。對于種種威脅網絡安全的攻擊，現有的一些措施往往沒有涉及協議的較低層次，而網絡安全功能恰恰是定位在較低層次上的，這對阻止在網絡攻擊中占比例非常大的較低層次攻擊是不合適的。

因此在IPv6協議下，增添了許多新的重要功能，支持IPv4到IPv6的平穩過渡，可以像一般的軟件升級一樣在Internet設備上安裝。IPv6在IP層上實現了各種安全服務，既是面向高性能網絡（如ATM）的，也可以在低帶寬的網絡（如無線網）上有效地運行。

2 IPv6 技術特點

IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進，例如路由方面、自動配置方面。經過一個較長的IPv4和IPv6共存的時期，IPv6最終會完全取代IPv4在互連網上占據統治地位。IPv6技術特點如下：

2.1 地址空間巨大

地址空間巨大IPv6地址空間由IPv4的32位擴大到128位，2的128次方形成了一個巨大的地址空間。采用IPV6地址后，未來的移動電話、冰箱等信息家電都可以擁有自己的IP地址。

2.2 地址層次豐富分配合理

地址層次豐富分配合理IPv6的管理機構將某一確定的TLA分配給某些骨干網的ISP，然后骨干網ISP再靈活地為各個中小ISP分配NLA，而用戶從中小ISP 獲得IP地址。

2.3 實現IP層網絡安全

實現IP層網絡安全IPv6要求強制實施因特網安全協議IPSec，并已將其標準化。IPSec支持驗證頭協議、封裝安全性載荷協議和密鑰交換IKE協議，這3種協議將是未來Internet的安全標準。

2.4 無狀態自動配置

無狀態自動配置IPv6通過鄰居發現機制能為主機自動配置接口地址和缺省路由器信息，使得從互聯網到最終用戶之間的連接不經過用戶干預就能夠快速建立起來。

3 IPv6的安全機制分析

3.1 協議安全

在協議安全層面上，IPv6全面支持認證頭(AH)認證和封裝安全有效負荷(ESP)信息安全封裝擴展頭.AH認證支持hmac_md5_96!hmac_sha_1_96認證加密算法，ESP封裝支持DES_CBC!3DES_CBC以及Null等三種算法。

3.2 網絡安全

3.2.1 端到端的安全保證

IPv6協議對兩端主機的報文進行IPSec封裝，中間路由器實現對有IPSec擴展頭的IPv6報文進行透傳，從而實現端到端的安全。

3.2.2 對內部網絡的保密

當內部主機與因特網上其他主機進行通信時，為了保證內部網絡的安全，可以通過配置的IPSec網關實現，因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節點解析處理。

3.2.3 通過安全隧道構建安全的VPN

此處的VPN是通過IPv6的IPSec隧道實現的，在路由器之間建立IPSec的安全隧道，構成安全的VPN是最常用的安全網絡組建方式。IPSec網關的路由器實際上就是IPSec隧道的終點和起點，為了滿足轉發性能的要求，該路由器需要專用的加密板卡。

3.2.4 通過隧道嵌套實現網絡安全

通過隧道嵌套的方式可以獲得多重的安全保護，當配置了IPSec的主機通過安全隧道接入到配置了IPSec網關的路由器，并且該路由器作為外部隧道的終結點將外部隧道封裝剝除時，嵌套的內部安全隧道就構成了對內部網絡的安全隔離。

3.3 地址機制安全

IPv6采用128位的地址空間，相當于地球表面每平方米擁有6.65×1023個IP地址。一方面解決了當前地址空間枯竭的問題， 使網絡的發展不再受限于地址數目的不足；另一方面可容納多級的地址層級結構，使得對尋址和路由層次的設計更具有靈活性，更好地反映現代Internet的拓撲結構。

IPv6的接口ID固定為64位，因此用于子網ID的地址空間達到了64位，便于實施多級路由結構和地址集聚。IPv6 的前綴類型多樣，64位的前綴表示一個子網ID，小于64位的前綴要么表示一個路由，要么表示一個地址聚類。IPv6 的地址類型包括單播、多播和任播地址，取消了廣播地址。

IPv6 的地址機制帶來的安全措施包括：

3.3.1 防范網絡掃描與病毒、蠕蟲傳播

傳統的掃描和傳播方式在IPv6環境下將難以適用， 因為其地址空間太大。如果病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘之機的其他主機，就猶如大海撈針。在IPv6的世界中，對IPv6網絡進行類似IPv4的按照IP地址段進行網絡偵察是不可能了。

所以，在IPv6的世界里，病毒、互聯網蠕蟲的傳播將變得非常困難。但是，基于應用層的病毒和互聯網蠕蟲是一定會存在的，電子郵件的病毒還是會繼續傳播。

3.3.2 防范IP地址欺騙

IPv6 的地址構造為可會聚、層次化的地址結構，每一ISP可對其客戶范圍內的IPv6地址進行集聚， 接入路由器在用戶進入時可對IP包進行源地址檢查，驗證其合法性，非法用戶將無法訪問網絡所提供的服務。

另外，將一個網絡作為中介去攻擊其他網絡的跳板攻擊將難以實施，因為中介網絡的邊界路由器不會轉發源地址不屬其范圍之內的IPv6數據包。

3.3.3 防范外網入侵

IPv6 地址有一個作用范圍，在這個范圍之內，它們是唯一的。在基于IPv6的網絡環境下，主機的一個網絡接口可配置多種IPv6地址，如鏈路本地地址、站點本地地址、單播全球地址等，這些不同地址有不同的作用域。

IPv6 路由器對IPv6地址的作用范圍是敏感的，絕不會通過沒有正確范圍的接口轉發數據包。因此，可根據主機的安全需求，為其配置相應的IPv6 地址。例如，為保障本地子網或本地網絡內的主機的安全，可為其配置相應的鏈路本地或站點本地地址， 使其通信范圍受限于所在鏈路或站點， 從而阻斷外網入侵。

3.4 域名系統DNS安全

基于IPv6的DNS系統作為公共密鑰基礎設施(PKI)系統的基礎，有助于抵御網上的身份偽裝與偷竊，而采用可以提供認證和完整性安全特性的DNS安全擴展(DNS Security Extensions)協議，能進一步增強目前針對DNS新的攻擊方式的防護，例如網絡釣魚攻擊、DNS中毒(DNS poisoning)攻擊等，這些攻擊會控制DNS服務器，將合法網站的IP地址篡改為假冒、惡意網站的IP地址等。

4 IPv6安全方面的挑戰

4.1 網絡偵察和非法訪問

對于Ping掃描或端口掃描，由于IPv6網絡巨大的地址空間，使列舉法攻擊變得非常困難。其次，IPv6的新型組播地址使攻擊者會更容易發現網絡中的關鍵系統。如路由器、NTP servers等。如果網絡中的路由器或網關設備的安全方面考慮不足，攻擊者會利用鄰居發現緩沖數據，或者依靠簡單的報文截獲就可發現網絡中的主機。IPv6抵抗網絡偵察攻擊的手段依然是防火墻技術。

由于IP協議棧中不對主機之間的連接做任何限制，攻擊者利用IP協議與網絡中的主機或設備建立上層協議的連接進行非法訪問。IPv6擴展可有效防止網絡偵察，IPSec的全面部署會使主機的訪問控制更加容易。但仍然需要防止非法訪問。目前市場已有許多IPv6防火墻產品，這些產品只是解決了部分IPv6中的安全問題。

4.2 第三層和第四層欺騙

攻擊者修改他們的源IP地址和目的地址端口，使他們發出的報文看似發自于另一臺主機或另一個應用程序，這種欺騙攻擊依然十分流行。IPv6地址具有全球聚集屬性，IPv6對于第三層欺騙具有很好的防護作用。

對于RFC2827 過濾策略，ISP很容易判斷出那些超出他們范圍的欺騙地址。目前這種過濾還不是一種標準行為，它需要管理者去實現。由于IPSe的部署，第四層欺騙在IPv6不會發生變化。而IPv6擁有巨大的地址空間，即使部署RFC2827過濾策略，攻擊者也擁有大量可用的地址，這也增加了防范難度。

4.3 非IP層攻擊和路由攻擊

IPv6 網絡中傳輸數據包的基本機制沒有發生改變，仍然在控制平面學習路由以適應網絡拓撲的變化， 在數據平面根據已知的路由信息對數據包進行路由轉發。因此，在IPv4網絡中除IP層之外，其他六層中出現的攻擊在IPv6網絡中仍然會存在。

惡意攻擊者也可以通過偽造的 MAC 幀來欺騙數據鏈路層設備， 如交換機。還有的DNS 安全性、路由協議的安全性、SNMP 的安全性、SMTP/MIME 中的安全漏洞、病毒、木馬、蠕蟲等。均屬于這一類。這類攻擊并非IPv6特有， 它們在IPv4網絡中同樣存在， 因此可以借鑒IPv4網絡中的防護辦法和經驗， 并將其用于IPv6網絡中。

而路由攻擊則可破壞或重定向網絡中的流量。它采用多種手段，例如利用范洪攻擊、快速宣告和撤銷路由、發布虛假路由信息等。IPv6中，有幾種協議并沒有改變它們的安全機制。BGP仍然依賴于TCP MD5認證機制。

4.4 IPv4與IPv6之間的互通

IPv4過渡到IPv6是必然趨勢， 但不可能在一夜之間完全升級過渡到 IPv6，這將經歷一個漫長的過渡時期。期間將同時存在IPv4和IPv6兩種網絡， 以及各種各樣的過渡技術， 將使網絡結構更復雜， 存在新的安全隱患，這給網絡安全防護提出更嚴峻的挑戰。

IPv4 和IPv6的互通主要模式：雙棧、隧道和轉換。以上所提到的問題都是假設網絡中主機和網絡基礎設施都基于雙棧結構。針對于IPv6 隧道技術和防火墻，如果網絡設計者在設計安全策略時不考慮 IPv6 隧道，那么將有可能導致非法報文通過隧道。

4.5 IPv6自身的安全問題

IPv6 的管理與IPv4 在思路上有可借鑒之處。但對于一些網管技術，如SNMP等，不管是移植還是重新設計，其安全性都必須從本質上有所提高。由于目前針對IPv6的網管設備和網管軟件幾乎沒有成熟產品出現，因此缺乏對 IPv6 網絡進行監測和管理的手段，缺乏對大范圍的網絡故障定位和性能分析的手段。沒有網管，無法保障網絡高效、安全運行。

IPv6相比IPv4，除地址空間增大外，很多協議機制也發生了變化。例如在IPv6中不再有ARP， 而采用鄰居發現ND 進行地址和IP 地址的解析; 在IPv6 中， 除支持有狀態地址自動配置(DHCPv6)外， 還支持無狀態地址自動配置。這些變化使得IPv6網絡的安全問題與IPv4 網絡相比有很多不同。

網絡安全是一個體系，涉及各個層次、各個方面。IPv6主要解決的是網絡層的身份認證、數據包完整性和加密問題。因此， 一些從上層發起的攻擊如應用層的緩沖區溢出攻擊和傳輸層的TCPSYN FLOOD攻擊等在IPv6下仍然存在。此外， IPSEC的引入在強化網絡層安全的同時對目前的網絡安全體系和保護機制帶來了沖擊， 這些都需要在今后的研究中加以改進和完善。

5 結束語

IPv4地址耗盡并不是部署和升級到IPv6的唯一理由， IPv6協議可滿足下一個世紀的高性能、可擴展性的網絡互聯， 并可解決IPv4協議中存在的許多問題。新技術支持新應用， 新應用推動新技術的標準化和商業化，機遇同時也是挑戰，隨著IPv6網絡建設的逐步展開，關于IPv6 網絡的安全性方面也得到了越來越多的重視。IPv6的新的特性與協議機制，使傳統網絡上的攻擊與防護在 IPv6網絡中遇到了新的問題與挑戰。

參考文獻：

[1] 竇文華， 張鶴穎， 鄭彥興，等. 計算機網絡前沿技術[M]. 國防科技大學出版社. 2007.

[2] 張宏科. IPv6 互聯網絡技術的現狀與未來[J]. 中國數據通信， 2005(4):17-20.

[3] 陳琦. IPv6網絡技術發展現狀與策略[J]. 通信世界， 2006(9):34-35.

[4] 劉年生， 郭東輝， 吳伯僖. IPv6安全機制及其密碼算法的安全性分析[J]. 計算機工程與應用， 2006，37(16):30-33.

[5] 郎為民.下一代網絡技術原理與應用[M]. 北京:機械工業出版社，2006.