ＩＰｖ６與ＩＰｖ４網絡安全分析

摘要：本文首先對IPv4和IPv6進行了概要介紹，描述了IPv4的缺點和IPv6的優點。然后對IPv4的安全缺陷進行了分析，探討了IPv6對這些缺陷的改進方法，最后對IPv6的安全問題也進行了分析。

關鍵詞：IPv4；IPv6；網絡安全；分析

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)16-21207-01

The Analysis of IPv6 and IPv4 Network Security

ZHANG Lian-huan， ZHU Xiao-fei

( 91065 Army， Huludao125001，China )

Abstract: This article first make a summary of IPv4 and IPv6 ，discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed， discussed IPv6 improve on these deficiencies， at the last the IPv6 security issues are also analyzed.

Key words: IPv4 and IPv6; network security; analysis

隨著網絡的繁榮發展，加上最初設計的地址分類方法不合理，造成了今天IP地址極度缺乏的狀況。其次，由于它起初主要面向研究和開發機構，對安全性的考慮不是很充分，而在實現網絡商業化的今天，不安全的通信信道帶來的網絡攻擊越來越多，其影響力也越來越大。IPv4獲得的巨大成功反而使得它本身陷入了一個尷尬的境地，此時IPv6的推出成為大勢所趨。

1 IPv4與IPv6概述

第一代互聯網美國軍方從60年代開始，70年代正式進行開發建設，1994年正式投入商業運營，并統一采用TCP/IP協議[1]。IPV4之所以向IPV6演進，主要是因為IPV4的地址協議出現明顯的局限，IP地址已經不能滿足需要。IPV4的IP地址大約為40多億，但是卻存在著嚴重的分配不均勻問題，其中美國掌握了絕對的控制權，IP地址分配上美國占著絕對的優勢。造成了我國的公眾網因IP地址匱乏，被迫大量使用轉換地址，嚴重影響了互聯網的正常發展，這就形成了對IPV6的迫切需要。下面對IPV4和IPV6進行簡單介紹：

1.1 IPv4

目前的全球因特網所采用的協議族是TCP/IP協議族。IP是TCP/IP協議族中網絡層的協議，是TCP/IP協議族的核心協議。目前IP協議的版本號是4(簡稱為IPv4)，發展至今已經使用了30多年。IPv4的地址位數為32位，也就是最多有2的32次方的電腦可以聯到Internet上。有預測表明，所有IPv4地址將在2005～2010年間分配完畢。另外，由于IPv4采用與網絡拓撲結構無關的形式來分配地址，所以隨著連入網絡數目的增漲，路由器數目飛速增加，相應的，決定數據傳輸路由的路由表也就不斷增大，路由器在路由表中查詢正確路由的時間就越長。IPv4也缺乏網絡服務質量的支持，也沒有對移動服務的支持。

1.2 IPv6

IPV6設計的初衷就是為了擴大地址空間，擬通過IPv6重新定義地址空間可以滿足互聯網發展的需要。IPv6采用128位地址長度，幾乎可以不受限制地提供地址。按保守方法估算IPv6實際可分配的地址，整個地球的每平方米面積上仍可分配1000多個地址。在IPv6的設計過程中除了一勞永逸地解決了地址短缺問題以外，還考慮了在IPv4中解決不好的其它問題，主要有端到端IP連接、服務質量(QoS)、安全性、多播、移動性、即插即用等。具體地說，IPv6具有以下優勢：①擴展了地址容量，IPv6支持的IP地址長度由原來的32位擴充到128位；②自動地址分配，使IPv6終端能夠快速連接到網絡上，無需人工配置，實現了真正的即插即用。③簡化了報頭格式，有效減少了路由器及交換機對報頭的處理開銷；④提高了服務質量，IPv6數據包的格式包含一個8位的業務流類別(Class)和一個新的20位的流標簽(Flow Label)，可以知道數據包的QoS需求，并進行快速的轉發；⑤提供了認證和私密性，IPv6將IP安全性(IPSec)作為自身標準的有機組成部分；⑥支持移動服務，IPv6對于移動性的支持是作為一個必需的協議內嵌在IP協議中的，IPv6的移動性支持取消了異地代理，完全支持路由優化，徹底消除了三角路由問題，并且為移動終端提供了足夠的地址資源，使得移動IP的實際應用成為可能。

2 IPv4的安全分析

在IPv4體系下，網絡層幾乎是毫無安全性可言的。

(1) IPv4地址分配的不合理性，導致IP地址分布十分零散。這就使得偽造源IP地址進行網絡攻擊成為可能，攻擊者可以任意偽造源IP地址對目標地址進行攻擊。

（下轉第1213頁）

（上接第1207頁）

(2) 由于網絡中存在的MTU的限制，因此傳送大于該網絡MTU的數據包要進行分片，但由此也會帶來安全上的漏洞。攻擊者只需要2個UDP分片，即可造成一些操作系統崩潰。

(3) 假冒IP地址，即攻擊者利用被攻擊者的IP地址或者一個根本不存在的地址作為特殊數據包的源地址，通過發送大量數據包占用被攻擊者的資源，造成被攻擊者的不正常工作。

3 IPv6安全分析

3.1 IPv6的改進

IPv6的巨大地址空間以及引入IPSEC帶來的加密和認證機制，實現了網絡層的身份認證和數據包的完整性、機密性，增強了網絡層的安全，對于應對網絡威脅與攻擊，保障網絡通信安全成效顯著。IPv6的優勢具體有以下幾點：

3.1.1 IPv6地址資源豐富。

IPv6采用128位地址，且地址采用前綴表示法，格式前綴(也稱全局路由前綴)是一個IP地址的高位，它用來識別子網或某種特殊類型的地址。其中，在全球范圍內可唯一標識的地址是“可聚類全局單播地址”，它基于一個分層的原則，把128位地址分成6個部分，第一部分是標識該地址使用的是“可聚類全局單播地址”，第二部分用作保留，再往下依次是“次級聚類標識符”，“站點級聚類標識符”，最后64位表示接口ID，所以IPv6可以提供的IP地址資源更加豐富。

3.1.2 與IPSec有機結合

由于IPv4協議本身沒有對數據進行有效保護，無法保證數據的完整性、機密性以及對身份的驗證，在網絡安全方面存在較大隱患。因此，在設計IPv6時，協議安全作為一個重要的方面進行考慮，將IP安全體系結構(IPSec)納入了協議整體之中，成為協議的一個有機組成部分。數據網絡的安全威脅是多層面的，它們分布在物理層、數據鏈路層、網絡層、傳輸層和應用層等各個部分，IPSec通過身份驗證頭(AH)與封裝安全性凈荷頭(ESP)相結合，配合相關的密鑰管理機制， IPSec為網絡數據和信息內容的有效性、一致性以及完整性提供了保證。但在實際部署IPv6網絡時，由于技術能力不夠和現有安全基礎設施不足等原因，使得IPv6網絡往往沒有采用任何安全措施。而且，其網絡傳輸數據包的基本機制也與IPv4相同，所以現有的IPv6網絡并不比IPv4網絡安全，這也有待完善。

3.1.3 數據認證

IPv6使數據包的接收者可以驗證數據的真實性、完整性，還可以與數字簽名結合，保證數據的不可抵賴性，使數據在接收端可得到認證，確保數據的真實可靠。而且，IPv6允許數據傳輸采用隧道模式和傳輸模式兩種方式，它既可為兩個節點間的簡單直接的數據包傳送提供身份驗證和保護，也可用于對發給安全性網關或由安全性網關發出的整個數據包進行包裝，并加入認證信息。

3.1.4 數據加密

在使用IPv6網絡中用戶可以對網絡層的數據進行加密并對IP報文進行校驗，這極大的增強了網絡安全。

3.2 IPv6的安全缺陷

網絡安全永遠是一個相對概念，也不要指望IPv6能夠徹底所有的網絡安全問題。

IPv6中仍保留著IPv4的諸多結構特點，如選項分片和TTL等。這些選項都曾經被黑客用來攻擊IPv4節點。而且，目前為止，IPv6中并沒有提出新的安全策略——所有使用的安全策略都是在IPv4下已經存在的，因此它無法從根本上解決安全性能的問題。

IPv6主要解決的是網絡層的身份認證、數據包完整性和加密問題。因此，一些從上層發起的攻擊如應用層的緩沖區溢出攻擊和傳輸層的TCP SYN FLOOD攻擊等在IPv6下仍然存在。

IPv6協議本身還有一些問題有待解決，IP網中許多不安全問題主要是管理造成的。由于目前針對IPv6的網管設備和網管軟件幾乎沒有成熟產品出現，因此缺乏對IPv6網絡進行監測和管理的手段，缺乏對大范圍的網絡故障定位和性能分析的手段。沒有網管，無法保障網絡高效、安全運行。IPv6網絡同樣需要防火墻、VPN、IDS、漏洞掃描、網絡過濾、防病毒網關等網絡安全設備。事實上IPv6環境下的病毒已經出現。這方面的安全技術研發尚需時日。

參考文獻：

[1] 劉斌.淺析IPv4和IPv6.高校實驗室工作研究，2006(3).

[2] 高嵩，賈卓生.關于IPv4及IPv6的安全討論.計算機與現代化，2006(6).

[3] 楊碧天，常立夏，詹德新.IPv6安全性能研究.網絡安全技術與應用，2008(1).

[4] 劉世杰，李祥和.IPv6對網絡安全的改進.電視技術，2007(2).

[5] 李超林，趙廣.IPv6協議的網絡安全分析.計算機與信息技術，2007(16).

[6] 郝踐.IPv6技術的特點及其應用安全等問題分析.計算機與信息技術，2007(19).