IPV6規模部署網絡安全威脅淺析

翟智明

摘要：基于現代社會的不斷進步發展，我國互聯網建設進一步完善，并成為國民經濟發展的重要設施基礎。在全球范圍內，互聯網也已經深刻影響經濟格局、利益格局和安全格局的重要設施。而IP地址作為互聯網發展運行的關鍵基礎，其是現階段比較稀缺的戰略資源，針對這一狀況，我國從戰略高度上提出發展IPV6網絡部署和整體規劃，以搶占技術制高點。但IPV6規模部署過程中，存在著一定的安全威脅。鑒于此，本文主要從IPV6協議的特征入手，分析其網絡安全威脅，并提出相關有效策略，展望未來發展趨勢，旨在為我國IPV6規模部署過程中可能會出現的網絡安全風險提供一些建議。

關鍵詞：IPV6;規模部署;網絡安全威脅

中圖分類號：TP393? ? 文獻標識碼：A

文章編號：1009-3044（2021）18-0058-02

開放科學（資源服務）標識碼（OSID）：

1前言

IP地址是根據IP協議所提供的一種地址編碼格式，是互聯網網絡設備的身份編號，每一個聯網設備都擁有唯一的IP地址，而IPV6是當前互聯網商業應用的解決方案之一，其能夠解決以往IPV4應用存在的地址空間耗盡以及路由表爆炸等問題，可實現地址空間增加340萬億個，是互聯時代發展中實現海量設備互聯互通的堅實基礎。同時IPV6可保障多條路由表項的合并，有效減少路由表的規模，符合現階段互聯網的發展趨勢。但IPV6目前的應用還存在一定的安全隱患和威脅，需要采取有效應對措施，以解決困境。

2IPV6協議的特征

IPV6是一種替代現行IPV4的新IP協議，其在網絡保密性、完整性等方面具有較大的性能提升，并保障其可控性和抗否認性。主要特征如下：

（1）IP地址擴展和路由選擇功能加強。通過實行IPV6協議，能夠將IP地址長度從32位增加到128位，盡可能的支持數量較大的可尋址節點，同時保障自動配置多級的地址層次、簡單地址等。

（2）自動配置無狀態地址。一般來說，只有大容量的地址空間才能夠保障無狀態地址的自動配置，促使IPV6的終端能夠比較快速地連接互聯網。改善了以往人工配置的現狀，形成即插即用的便利配置方法。

（3）對首部格式進行合理優化。IPV6協議能夠將IPV4首部的一些字段改為選項或者直接取消，可在很大程度上減少報文。并且在分組處理中降低首部額外帶寬的開銷，即便是地址長度增加，也能夠實現處理費用降低[1]。

（4）支持首部和選項擴展。IPV6的選項一般處于單獨的首部中，具體是在報文分組中IPV6首部和傳送層的首部中間，使其選項具有任意長度，不僅限于40字節。

（5）支持權限驗證和數據的完整性。IPV6重新定義了一種擴展，能夠保障權限驗證和數據完整性，并成為IPV6的基本內容之一，并可支持保密性要求。

（6）服務質量能力提高。當某一些的報文分組屬于相應的特定工作流，IPV6能夠揮發其新能力，此時發送者要求對其進行一定的特殊處理，充分提升服務質量。

3 IPV6規模部署網絡安全威脅

3.1 技術安全威脅

雖然IPV6是對IPV4的完善和改進，但在新技術的應用和使用過程中，仍然會出現一定的技術缺陷，致使出現網絡安全風險。比如IPV6地址盡管能夠緩解IP地址資源緊張的現狀。不過由于海量地址的查詢相對復雜，造成安全檢測難度較大。并且IPV6協議自身也具有安全威脅，攻擊者可利用IPV6特有的鄰居發現協議等，發送錯誤的路由宣告以及重定向信息等，可促使數據包流向不確定的方向。就會導致拒絕服務，并攔截和修改數據包。再比如IPV4過渡到IPV6的協議時存在安全問題，攻擊者能夠借助過渡協議的漏洞，繞開相應的安全監測，對用戶網絡設備進行攻擊，獲得控制權，所以IPV4與IPV6共存會帶來較大的安全威脅，一旦被攻擊者所利用，則會造成較大的安全風險。另外，在當前移動終端、移動互聯網、云計算以及大數據等現代化信息技術的發展和應用上，IPV6與其進行融合還存在較大的安全挑戰。

3.2 產業安全威脅

從互聯網及其安全防護設備產業的角度上來看，現階段多數網絡設備及應用僅支持IPV4，不能直接接入IPV6網絡。即便是安全防護設備支持IPV6，但其網絡防護能力還有待加強，在規模部署中無法滿足網絡安全全方位的檢測防護要求。因此IPV6協議的安全性直接影響到互聯網行業以及與其相關產業的經濟發展。在IPV6規?；渴鸬男蝿菹拢瑸榻鉀Q產業安全威脅，應當加強創新研發和更新支持IPV6的網絡設備產品。并且為其解決安全性問題，提高IPV6網絡的穩定性，需要全面測試相關的設備、網絡、技術等，綜合所有因素制定科學的測試計劃[2]。

3.3 管理安全威脅

基于管理安全出發，IPV6的地址空間大于IPV4，所以在分配和管理IP地址時，在缺乏相應有效的管理知識和經驗的支持下，難度較大。并且在數據加密、驗證和簽名中，都需要對大量的密鑰開展安全管理，以此才能夠確保網絡數據具有良好的安全性，但現有管理策略不能滿足實際需求。另外一方面，在IPV6規模部署時，網絡用戶數量十分片龐大，相應的設備規模較為巨大，需要頻繁的操作證書注冊、更新、存儲以及查詢等工作，如果KPI不能滿足高訪問量的快速反應，則無法提供及時的狀態查詢，影響服務質量的提升。

4 IPV6規模部署保障安全的策略

針對IPV6網絡應用出現的安全問題和威脅，應當采取有效的策略，解決主要問題，發揮其替代IPV4的優勢性，推動互聯網安全建設，滿足社會進步和經濟發展的需求。所以針對上述技術威脅、產業威脅和管理威脅，應采用以下幾個安全策略。

4.1 強化防護技術投入

強化對IPV6安全防護技術的研究投入和前瞻部署是十分重要的，首先即是基于IPV6協議的本身特征，分析其很容易受到分片攻擊、擴展頭攻擊或者是鄰居發現協議攻擊等。所以必須要根據各種攻擊類型重點研究其攻擊原理、攻擊檢測以及攻擊防御等，為解決方案的制定奠定良好基礎。其次是在IPV4向IPV6過渡時，應當將過渡機制與安全防護相融合，形成無縫、平滑和安全技術體系。最后要注重結合新技術，即是可在IPV6環境下，結合物聯網、互聯網、云計算等安全技術、管理機制等，構建良好的、可靠的解決方案。比如在移動互聯網高速發展的趨勢下，提高移動網絡的安全性，綜合考慮IPV6在感知層的應用安全、建立IPV6云計算平臺等，促使安全防護技術趨向多樣化、有效化方向發展。另外還需擴展鄰居發現協議中的安全選項，即是在每個IPV6中設置一對公私鑰和多個鄰居擴展選項，能夠通過時間戳和Nonce選項來抵御攻擊。

4.2 注重研發信息安全產品

根據IPV6協議的特點和應用要求，為保障產業及行業的健康發展，需要創新研發信息安全產品，在現有網絡安全保障系統基礎上，進行相應的升級改造，以便于進一步提高對IPV6地址與網絡環境的支持能力。并按照我國行業發展要求，在產品中增加IPV6地址精準定位功能，加強偵查打擊能力和快速處置效率等。并可建立完善的互聯網設備研發體系，針對IPV6的網絡安全等級保護、個人信息保護、通報預警、風險評估和災難恢復、備份等方面入手，提高IPV6協議的應用效果。比如為應對IPV6協議的安全威脅，可在交換機的物理端口設置相應的流量限制，在運行過程中將超出限制的數據包進行丟棄，或者可以在網絡防火墻、邊界路由器上啟動對IPV6數據包過濾機制，拒絕轉發帶有安全隱患的報文，可有效解決安全威脅。

4.3 加大政策支持力度，加強安全管理

IPV6規模部署的安全威脅防范需要加大政策的支持力度，促使系統管理更加安全。因此應當嚴格按照我國國務院辦公廳印發的《推進互聯網協議第六版（IPV6）規模部署行動計劃》，落實各項建設措施，提高對安全問題的重視程度。同時要出臺相關人才扶持政策，通過IPV6專業知識培訓和教育工作，充分提供從業人員的技能，對IPV6規模部署中可能存在的安全威脅，做到早發現、早研究和早解決，避免造成嚴重的損失后果，構建完善的IPV6網絡安全管理體系，在根本上提高安全管理水平，實現規模部署具有良好的應用效果。

5 IPV6網絡安全策略的發展趨勢

對于未來IPV6網絡安全策略的發展，為保障IPV6規模部署得到充分的安全保證。則需要采取以下策略方法：采用單一地址的反向傳輸路徑轉發，有效拒絕全部擁有模糊源地址的數據包，防范網絡惡意攻擊;對低信譽的IPV6地址的信息流量采取必要的阻止措施;對出站信息流量進行檢查，只允許具備匹配條件的返回流量，不過實質上其僅是通過IPS來檢測用戶無意帶入的僵尸網絡流量、惡意軟件等;允許入站網絡流量在進入到公共DNS時，擁有AAAA記錄的地址;當某個內部地址從未與外部進行發送和接受工作，則應當阻止所有信息流量進入到該地址中，確保內部設備不會被外部惡意訪問;對所有入站的SSL以及TLS信息流量采取攔截手段，并使用自簽名證書對數據包進行解密，以便于在其進入之前開展安全隱患檢查;當通過IPS后，默認允許其他入站信息流量，但應當對其速率進行嚴格的限制，目的是保障網絡設備出現超載的情況。在未來IPV6規模部署中實施上述安全策略，能夠在很大程度上，確保IPV6協議在實際應用中的安全性和穩定性。

6 結束語

綜上所述，IPV6相比于IPV4具有諸多優勢，其也是未來互聯網IP地址資源建設的必經之路。因此在規?；渴疬^程中，要嚴格關注網絡安全問題。針對現存的安全威脅和隱患，采取技術策略、政策策略以及管理策略等，充分保障IPV6協議的優勢得以發揮，切實推動我國社會經濟的高效發展。

參考文獻：

[1] 張連成，郭毅.IPv6網絡安全威脅分析[J].信息通信技術，2019，13（6）：7-14.

[2] 林冀寧，蔣武軍.基于IPv6蜂窩網絡的防火墻安全問題研究[J].江蘇通信，2019，35（4）：75-76，79.

【通聯編輯：聞翔軍】