IPv6協議及其過渡期安全問題研究

周曉陽　胡曉慶

摘 要：IPv6協議從設計上解決了IPv4協議存在的各種問題，為保證協議的順利過渡，IPv6也引入雙協議棧、隧道和地址翻譯等新機制，但新的技術必將帶來新的問題。文章從協議自身安全機制問題、實現過程中的不足和產生的新問題三方面分類研究了IPv6自身的安全脆弱性，重點分析了協議過渡時期IPv6采用的三種新機制的安全措施及其安全問題。

關鍵詞：IPv6協議；安全性；過渡技術；分析

1 引言

當下我們使用IPv4作為網際互聯的通信協議，IPv4能提供232個IP地址。但是隨著網絡技術的不斷發展以及網絡規模的不斷壯大，IPv4協議的不足逐漸顯現出來：有限的地址空間、質量服務不到位、協議配置復雜、對移動性支持不足等。特別是近年來移動互聯網的迅猛發展和移動網絡終端數量的不斷增長，致使IP地址資源已不足以支撐現今的網絡規模。[1]

IPv6協議便是在著力解決IPv4協議各種問題的大環境下誕生。IPv6協議具有128位的海量地址空間、更好的支持QoS、地址配置相對簡單、更好的安全性配置、更好的移動性支持等，可以有效解決IPv4面臨的各種問題。但是在實際部署過程中，由于技術能力和基礎設施的不足，導致IPv6設計者所預置的安全機制不能充分發揮作用，IPv6協議自身及其過渡過程中暴露出很多安全問題，值得深入研究。

2 IPv6協議自身的脆弱性

2.1 協議安全機制的問題

IPv6自身的安全機制包括IPsec、AH以及ESP，這些安全機制被設計者強制使用，使IPv6網絡具有更高安全性。這些安全機制部署在網絡層，其基本原理是對網絡層數據包進行加密，并對IP報文進行強制校驗。這些機制直接解決了IPv4環境下網絡數據明文傳輸的安全問題，從通信渠道上杜絕了數據竊聽、信息篡改、信息欺騙等攻擊方式，有效地增強了IP層的通信安全。[2]

但是，很多工作在網絡層的安全設備需要對網絡層數據包進行抓包分析。比如防火墻、入侵檢測系統、入侵防御系統、安全審計系統、認證系統、流量監控系統等，這些安全設備抓取流經網絡層的數據包，按照一定的算法進行統計分析，從而實現對網絡數據和會話安全的保護，主動分析探測攻擊行為。當IPv6強制將數據加密以后，這些安全設備將無法對流經的網絡數據進行充分的采樣分析，導致大多數網絡安全設備被置空，攻擊行為不能及時被發現，從而影響整體的安全效果。

2.2 IPv6實現過程中的漏洞

IPv6協議在實現過程中工作量十分巨大，協議機制和算法的實現、系統及應用的實現，都需要大量的軟件開發支持，這種人為的工作在巨量的工程中必然會出現這樣那樣的問題，有時可能會出現嚴重的安全漏洞。已知的類似漏洞有很多，比如Solaris8在進行一些IPv6畸形報文處理時會導致內核崩潰，被攻擊者利用而產生拒絕服務攻擊；甚至連FreeBSD的某些版本都存在IPv6協議棧漏洞，導致內存泄露。軟件實現過程中產生的人為錯誤是不可避免的，這種錯誤出現在通信協議棧中，其破壞和影響更是不可預料。

2.3 IPv6新技術的安全問題

在設計時，為了解決IPv4存在的安全威脅以及適應未來的網絡環境，IPv6的大量協議機制和協議組成發生了變化。比如IPv6拋棄了地址解析（ARP）協議，而采用新的鄰居發現（ND）協議進行IP和MAC地址的解析。IPv6除了支持有狀態的自動地址配置（DHCPv6）外，還支持配合有重復地址檢測技術的無狀態自動地址配置。這些IPv6中采用的新協議和新技術還不完善，使得IPv6網絡可能面臨新的安全問題，比如利用重復地址檢測漏洞進行攻擊。

3 協議過渡時期安全問題

IPv4作為基礎協議伴隨著互聯網的發展，現今需要向IPv6過渡，這個龐大的硬件設備和軟件系統過渡任務是十分艱巨的，需要付出足夠的經濟代價。很多國家，比如印度、巴西甚至英國，都因為無法承擔過渡過程中的經費而使本國IPv6商用停滯不前。為了確保平滑過渡，互聯網任務工程組（IETF）提出三種過渡技術，分別是雙協議棧、隧道和協議翻譯技術。但這三種新的技術在確保平穩過渡的同時也帶來了新的安全威脅。[3]

3.1 雙協議棧技術的安全問題

從IPv4過渡到IPv6的過程不可能在短時間內完成，必將持續很長的一段時間，在這期間兩種版本的協議處于共存的狀態。雙協議棧技術是協議過渡的基礎，IPv4和IPv6兩種協議棧和兩種網絡將同時存在，所有的網絡設備則必須要同時支持兩種協議棧。在這樣的條件下，不但互聯網絡的網絡結構將變得更加復雜，對于單一的網絡設備來說，我們還必須同時兼顧IPv4和IPv6的安全性。這種新的安全隱患是對網絡防護技術和安全設備的挑戰。

比如，現在流行的操作系統基本默認支持雙協議棧，在沒有部署IPv6的IPv4網絡中，操作系統若是默認啟動IPv6地址自動配置功能，IPv4網絡中將存在IPv6鏈路，攻擊者就可以利用此IPv6鏈路發起各種攻擊，從而規避了IPv4網絡在結構設置上的防護。

3.2 隧道技術的安全問題

隧道技術包括配置隧道和自動隧道兩種，自動隧道又可分為6to4和4to6兩種。配置隧道首先對隧道兩端進行合法性認證，然后建立互相的信任關系，最后可以在整個隧道中設置安全策略。自動隧道免去了很多的人工配置，使用相對簡單，但也更加容易的受到攻擊。已知的隧道機制安全問主要包括以下幾點：

一是隧道的兩端在網絡層之上，這使得原來部署在網絡層上的安全設備無法起到應有的作用。比如隧道中的數據直接繞過安全設備的訪問控制列表，而直接到達隧道另一端，這樣一來安全設備就成了空架子而達不到過濾的目的。

二是隧道技術引發很多安全問題。在配置有站內隧道自動尋址協議（ISATAP）的網絡中，攻擊者可以通過地址欺騙的手段，將大量TYPE=41的虛假數據注入網絡鏈路中，從而影響隧道的通信安全性；類似6to4的隧道機制使用特殊的地址前綴，這些前綴數值范圍固定，攻擊者可以通過窮舉的方法來猜測隧道地址。

三是隧道管理終端的安全風險。一些隧道為了管理方便，在NAT設備上開啟遠程訪問端口，攻擊者一旦發現這個管理端口，那么隧道便直接變成了攻擊者實施攻擊的捷徑。另外，若是隧道的配置遭受攻擊者的篡改，或者管理服務器本身被拒絕服務攻擊，那么隧道的安全性和可用性將大打折扣。

3.3 協議翻譯的安全問題

協議翻譯技術NAT-PT使IPv6節點和IPv4節點能夠實現互通，但它破壞了端到端的網絡層安全特性，使得協議頂層設計的安全機制空置，一旦部署NAT-PT的節點遭受拒絕服務攻擊，IPv4-IPv6通信將會中斷，會話完整性和通信安全性遭到破壞，后果非常嚴重。[4]

4 結論

IPv6提供了龐大的地址空間，對服務質量、移動性支持等方面也有了顯著的提升，但是向IPv6過渡是一個漫長的過程。雖然IETF提供了雙棧、隧道和翻譯過渡機制，并采用了IPsec等安全配置，但新的技術在解決問題的同時也帶來了新的安全隱患。IPv6協議機制及其在過渡過程中，存在攻擊者可以利用的漏洞和脆弱點。如何進行規避和補救，確保IPv6的順利過渡，也給安全工作者提出了挑戰。

[參考文獻]

[1]區羽.全球IPv6技術發展現狀及應用前景[J].世界電信，2003，3期.

[2]Qing Li[美]，等.IPv6詳解卷1[M].北京：人民郵電出版社，2009.

[3]IETF.RFC3964.Security Considerations for 6to4[S].

[4]IETF.RFC2401.Security Architecture for the internet Protocol[S].