淺析IPv6網絡的安全風險與應對措施

◆錢福利

淺析IPv6網絡的安全風險與應對措施

◆錢福利

（江蘇號百信息服務有限公司 江蘇 210006）

目前，全球范圍內IPv6取代IPv4已經成為一種必然趨勢，我國也在不斷嘗試IPv6的規模化發展，但目前IPv6依舊存在一定的安全風險。基于此，本文首先對IPv6網絡安全風險進行闡述，進而對IPv6網絡安全隱患的應對措施加以探討，以有效促進IPv6網絡安全水平的提升。

IPv6；網絡安全；DNS系統

0 引言

目前IPv4協議在實際應用中逐漸暴露出IP地址信息安全性不足的問題，且網絡地址資源嚴重匱乏，地址資源分配十分枯竭，這種情況下，IPv6協議的應用優勢逐漸突出，成為替代IPv4協議的重要網絡，國內電信運營商已逐步開展IPv6商用推廣。

1 IPv6協議下面臨的安全挑戰

1.1 IPv6在過渡階段

世界各國在嘗試推進IPv4與IPv6的過渡中，都經歷較長的時間過渡期，這一過程中，網絡非法攻擊者可能通過IPv4至IPv6的過渡協議利用安全漏洞躲避安全監測進行非法入侵，影響網絡安全。隧道機制的運行，會對數據包進行一定的封裝與解封操作，內置認證不足，缺乏安全保障，且并不會對IPv4及IPv6的地址關系進行嚴格檢查，導致隧道報文容易泄露，并通過對內層及外層地址的偽造，以合法用戶的形式向隧道注入流量。另外，在IPv4向IPv6進行過渡的過程中，NAT轉換技術的應用使IP流在不同協議間轉換，諸如NAT設備地址池消耗殆盡等問題的存在導致DDoS攻擊問題。

1.2 鄰居發現協議

IPv6所采用的鄰居發現協議（Neighbor Discovery Protocol，簡稱NDP）能夠及時發現相同鏈路上的其他節點，通過這些節點可以實現地址的有效解析，明確鏈路路由器，對鄰居可達信息加以維持。通過鄰居發現協議，進行錯誤路由器宣告的發送，會導致IP數據包向非指定位置傳輸，以實現數據包修改，拒絕數據包服務或數據攔截等目的，在實際的IPv6協議運行中，鄰居發現協議存在一定的安全隱患。

1.3 可移動性隱患

IPv6協議下的可移動性特征，能夠使網絡節點無須進行IP地址的更改，即可實現網絡接入，并滿足該節點與其他節點相互通信的實際需求。可移動性特征的存在，為節點通信提供便捷，但由于可移動節點所具備的不固定特征，也會給不法分子以可乘之機。

IPv6協議的移動，會面臨一定的安全隱患，而導致安全隱患的問題，很大程度是由于綁定更新信息的偽造，這樣就會導致某些網絡節點出現錯誤綁定緩存信息的生成，導致網絡偽造節點無法及時接收數據信息。移動IPv6草案在早期階段，采用IPSec實現安全防護，目前IPv6則采用自定義安全機制，在沒有形成一套規范的安全機制以前，IPv6協議存在一定的安全隱患。

2 IPv6的安全防護措施

IPv6環境下，構建安全合理的IPv6網絡，保證安全防護體系的整體性與安全性是個重要的課題。隨著網絡安全建設工作的不斷開展，目前網絡安全領域已經超越了單一安全系統建設階段，網絡用戶需要進行各種安全產品及安全子系統之間的協作保障，保證安全防護體系的可信性及安全性，優化網絡安全防護能力。

2.1 DNS的安全防護效果

IPv4協議的網絡應用程序編寫過程中，編程人員會在代碼編寫過程寫入服務器固定IPv4地址，以實現數據信息通信效率的有效提升。IPv6網絡應用程序編程過程中，因為IPv6地址長度較長，難以充分記憶，因而在進行IPv6網絡應用程序的編程時，采用域名及DNS訪問目標網址以替代難以記憶的固定地址，在這種情況下，IPv6網絡中的DNS的重要性就進一步提升，為現代網絡架構提供核心的基礎支撐。

IPv4網絡運行中，DNS系統所記錄的域名解析請求主要為NAT設備地址；在IPv6網絡運行中，DNS系統所記錄的域名解析請求主要為用戶設備所產生的IPv6地址，因而在實際運行中，將產生大量用戶IPv6源地址被保存于DNS系統日志中，真實的IPv6地址可能由于不法分子非法入侵DNS并竊取DNS系統日志數據而造成信息泄露[1]。

部分Windows等操作系統采用隨機生成IPv6協議的臨時地址，并進行租期設置，對設備MAC地址及真實IPv6地址及信息加以隱藏，但許多舊的設備及版本在運行其操作系統與物聯網設備時，依舊采用以EUI-64為基礎的真實地址接入網絡并進行信息通信。

IPv4協議中，DNS系統主要對DDoS安全攻擊進行防護；在IPv6協議中，DNS系統不僅要防護DDoS，還要做好DNS系統自身安全及日志數據安全防護工作，有效避免數據信息泄露。在未來，DNS系統服務器可能成為未來安全隱患的重要攻擊點。IPv6網絡安全管理工作中，應充分重視網絡協議下DNS系統安全防護工作。

2.2 IPv6協議的安全部署

在中央網絡安全及信息化領導小組會議上，習近平總書記強調網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生活的重大戰略問題。為此，在全面推進IPv6協議取代IPv4協議的情況下，應重點突出IPv6網絡協議安全防護工作。加快IPv6的大規模應用，應探討有效解決網絡安全問題的策略，為提高網絡安全管理效率并創新網絡安全機制探索新的技術方向，深入研究IPv6的下一代互聯網，不斷促進網絡安全保障手段的創新與優化，對網絡安全保障體系加以完善，提高網絡安全態勢感知能力，提高網絡安全問題的處置效率，為互聯網安全提供良好支撐。我國制定的《推進互聯網協議第六版（IPv6）規模部署行動計劃》中，明確提出了IPv6安全防護工作原則，強調發展與安全并重，促進網絡安全系統規劃建設與運行，確保網絡運行安全，及互聯網協議的平滑過渡。

（1）對網絡安全保障進行強化，對國家網絡安全系統加以維護，對現有網絡安全報賬系統進行升級與改造，有效提高網絡安全態勢感知能力，實現高效處置，進行有效偵查；（2）開展地址安全管理工作，對IPv6地址申請、配置、備案及管理工作進行統籌，有效實現IPv6網絡地址編碼規劃方案的有效落實，實現IPv6部署及網絡實名制的協同推進：（3）優化網絡安全防護工作，針對IPv6網絡安全防護工作，開展個人信息保護、網絡風險評估、安全通報預警，并做好安全備份及系統恢復工作；（4）針對網絡新型領域開展網絡安全保障。采用IPv6協議及現代化的人工智能、大數據、云計算等技術相互結合，強化新興領域網絡安全保障能力的有效提升。

2.3 搭建安全可信的IPv6網絡

盡管大多數國家在推進IPv6網絡協議的建設及大規模應用時IPv6網絡會面臨一定新的問題、存在新的安全隱患，但是IPv4協議網絡已經逐漸進入終點，退出互聯網舞臺是時代發展之必然。因而，應不斷強化IPv6的規模部署，同時也應當做好IPv6協議的安全防護工作。

要想構建安全可信的IPv6網絡，應當建設完善的基礎資源服務體制，首先應對實際網絡規劃真實的IP地址。IPv4網絡大量采用了NAT及私網地址，IP網絡源地址無法溯源，難以實現有效管理與控制，導致安全隱患難以消除。IPv6網絡采用了真實的IPv6地址，對其不可靠安全因素加以消除，通過IPv6地址的實名制管理，以實現IP地址的可溯源、可追蹤，以構建更加安全的網絡環境。

同時應搭建具備可信性的域名管理系統，重要的信息系統域名需采用中國自主管理及自主控制的頂級域名及解析系統，以實現域名解析風險的弱化。IPv6協議網絡環境下，應提供安全可行的DNS系統服務。過去所采用的IPv4共計13個DNS系統服務器，但中國并沒有獨立的DNS系統服務器，且全球互聯網治理機制并不完善，網絡安全隱患依舊十分嚴重。這種情況下采用IPv6根服務器系統，可以為網絡用戶提供DNS等選擇方向，同時也可以為網絡用戶提供容災應急服務，有效避免全球根DNS系統服務出現安全問題，避免中國互聯網環境的安全運行受到影響，避免中國互聯網遭受安全損失[2]。

3 結語

出于有效提高我國網絡安全性及科研水平的考量，我國應全面促進以人工智能技術為代表的高端智能化技術發展與應用，不斷探索科學技術發展與創新的能力，探索IPv6網絡協議安全防護措施。

[1]趙肅波.中國IPv6發展與網絡安全挑戰[J].信息安全研究, 2019,5(03):261-272.

[2]角浩鉞, 牛雯.工業物聯網環境下IPv6技術面臨的安全問題[J].信息與電腦(理論版), 2019(03):169-171.