基于IPv6規模部署下的網絡安全風險防范措施研究

賀樂樂，毛云軒

（中車南京浦鎮車輛有限公司數字化部，江蘇 南京 210031）

1 研究背景

IPv6規模部署計劃發布至今已走過近5年的時間，現階段，國內IPv6改造工作基本完成，相對應的服務器也已正式投入使用。截至2021年，國內IPv6活躍用戶總數約為7億，這表示約有60%的網民均為IPv6用戶，物聯網連接數也達到了1.4億左右，其中，移動IPv6的占比約為35%，固定IPv6的占比約為9.4%[1]。調查表明，包括央企網站、政府網和政務網在內的多數門戶網站都完成了升級改造的工作，用戶可通過IPv6或IPv4進行訪問。可以預見的是，未來一段時間內，我國仍然會處在IPv6、IPv4并行的環境下，如何有效防范風險、提高網絡安全系數，自然成為大家關注的話題。

IPv6的核心功能有兩個，分別是路由、尋址，相較于IPv4，IPv6具有極為突出的優點，具體表現在以下方面。首先，地址空間可達到128位，能夠嚴格遵守聚類原則分配地址，省略了NAT地址轉換的步驟，在弱化網絡時延的前提下，使信息傳輸質量及速率得到大幅度提高[2]。其次，IPv6創造性地引入了層次分配法和密碼生成法，同時利用公私鑰驗證身份，保證訪問人員身份真實。再次，IPv6具有更高的安全系數，一方面是因為其地址空間極大，而龐大的地址空間，增加了不法分子掃描的難度，DDoS攻擊的發生率隨之降低；另一方面是IPv6內置的IPSec可為通信數據所具有完整性、通信內容所具有機密性提供保證，而抗重播保護的加入，在極大程度上保證了報文、用戶與攻擊的適配性，通過實時監控的方式，確保潛在問題及時得到解決[3]。最后，IPv6引入了流標簽，利用流標簽對數據報文進行簡化，該做法在極大程度上提升了數據包的處理速率，數據流質量也能夠得到更有力的控制。

除此之外，IPv6的特點還包括以下幾點。一是新增組播支持功能，同時剔除了廣播地址，使服務質量得到全方位控制，基于廣播地址所衍生出的DDoS攻擊、廣播風暴等問題，發生率自然大幅度降低。二是不僅禁用可廣播數據包、源地址并非單一節點的相關數據包，還明令禁止使用鏈路層組播，此舉可將ICMPv6報文所引起安全問題的發生率降至最低。三是IPv6支持主機自配置、SLAAC等協議，即使沒有地址池、服務器，同樣能夠管理地址，不僅網絡管理效率得到提高，移動終端所具有路由、移動還有安全等特性也有所增強，對網絡地址進行管理的難度明顯低于IPv4。

2 IPv6規模部署潛在風險及成因

研究表明，雖然IPv6能夠彌補IPv4所存在的網絡地址不足等缺陷，但由于升級工作無法一蹴而就，升級期間，雙棧機制將長期存在，加之IPv6自身也存在一定的漏洞，圍繞IPv6所存在漏洞制定相應的防范方案迫在眉睫。

2.1 IPv6層面

2.1.1 協議存在漏洞

研究表明，IPv6主要存在以下漏洞。其一，IPv6的中間節點無法處理分段數據包，僅有端系統才能夠將數據包分段并進行重組，不法分子往往會利用這一特點，通過惡意數據包攻擊系統。其二，IPv6自帶IPSec對分發密鑰的技術具有極強的依賴性，現階段，該技術尚未成熟，存在管理成本偏高的問題，過于依賴該技術，將影響防火墻的運行，限制防火墻分析負載數據、獲取端口號，進而降低數據包檢測的成功率。其三，路由往往要依托流量放大機制才能穩定運行，不法分子可以憑借路由報頭將自己偽裝成普通用戶，再以普通用戶的身份截取數據包[4]。由此可見，導致IPv6安全性難以達到理想水平的原因，主要是該協議沒有保留NAT，而是采取端對端通信的模式，這樣設計雖然能夠提高通信效率，卻也會帶來信息、結構暴露的問題，降低協議安全系數。

2.1.2 過渡方案有待升級

IPv4可通過三種方式升級為IPv6，分別是IPv6隧道、雙棧機制以及地址轉換。隨著IPv6正式投入使用，網絡架構所受到影響將逐漸顯露出來，由此而帶來的問題主要體現在以下方面。首先，過渡環節，IPv6、IPv4間需要頻繁通信，只有以IPv6為依托，結合雙棧主機情況采取相應的防護策略，才能避免不法分子經由IPv6路由激活地址，并通過初始化的方式進行攻擊。其次，地址轉換環節，若負責轉換地址的設備內部存有敏感信息，將有極大概率受到攻擊或是入侵，進而引發不必要的問題。再次，由運營商所選用過渡技術，普遍沒有經過相應的檢驗，其安全性難以得到保證。此外，雙棧機制需要IPv6對硬件資源進行共享，這樣做會影響系統所具有通信效果和傳送速率，導致用戶無法獲得良好的體驗及感受。最后，隧道加密傳輸效果極易被協議完整度所影響，目前，IPv6在認證隧道等方面，仍有較為明顯的缺陷存在，例如，使用隧道技術通信時，IPv6有一定概率出現隧道嗅探、注入等問題。

2.1.3 防護能力較弱

IPv6誕生的時間較短，尚未得到大范圍推廣和普及，已上線系統、網站及應用僅在小范圍內運行，圍繞其所展開安防研究的力度較弱。除此之外，下列情況同樣限制著安防研究的深入。其一，受市場規模、實時收益影響，IPv6產品所具有價值并未得到全方位展示，對相關產品進行開發的技術人員有限，可供使用的服務及產品數量相對較少。其二，缺少良好的驗證環境，致使技術人員無法深入驗證安全漏洞、代碼缺陷。其三，從事相關工作的人員所表現出綜合素質及專業能力均難以達到行業領先水平，對IPv6的了解相對淺顯，導致針對IPv6所開展安全管理工作，其所取得效果與IPv4相距甚遠。

2.2 互聯網層面

互聯網的風險主要體現在以下方面。一是互聯網具有開放性，人們只需擁有移動終端，便可以通過互聯網獲取自身所需信息，相應地，不法分子可經由物理線路竊聽甚至篡改信息，搭配掃描攻擊，達到自己的目的。二是數據庫被攻擊的可能性較大。新時期，越來越多行業選擇將生產、運營數據統一保存在數據中心，與此同時，存儲數據、調取數據等服務也朝著云化的方向發展，管理數據的難度有目共睹，若企業仍沿用傳統管理模式，將導致安全風險、漏洞無法被及時發現，自身受到攻擊的可能性自然有所加大。由此可見，要想確保數據庫具備良好的可靠性、完整性以及準確性，關鍵是要引入更加先進的管理技術，同時對管理模式進行調整。

3 IPv6規模部署風險防范路徑

3.1 IPv6層面

3.1.1 完善IPv6協議

要想使IPv6協議更加可靠，關鍵要以其所存在漏洞為抓手，對協議進行完善。首先，對IPv6安全質量進行評估，對相關應用所具有滲透性及健壯性進行測試，根據測試結果，判斷IPv6是否存在漏洞，在此基礎上，堵塞漏洞并改進協議，確保協議具備良好安全性。其次，基于IPv6獨有的地址生成模式生成地址，同時對地址進行加密，以免發生人為攻擊、設備隨意接入的情況，將源地址欺騙等問題出現的概率降至最低。再次，對安全機制進行強化，憑借IPSec特有的可靠性、不可否認性以及反重播性等特征，優化IPv6，通過新增加密認證等功能，優化IPSec所具有吞吐能力，將隧道嗅探、注入等風險的發生率維持在較低水平。最后，以IPv6所提供隱私擴展機制為依托，將通信地址隱藏，以免由于缺少地址轉換，導致信息暴露或結構暴露，為網絡所具有安全性提供保證。

3.1.2 升級過渡方案

以網絡設施能力為依據，結合業務未來發展需求，對網絡升級規劃和方案進行設計。優先購入適配IPv6、IPv4的網絡設備，將IPv6給IPv4所產生影響作為抓手，對開拓業務、網絡安全所提出需求進行平衡，酌情引入包過濾、隧道+客戶端雙重認證等技術，杜絕IPv6、IPv4間出現交叉感染或類似問題。考慮到IPv6、IPv4協議及地址存在明顯區別，因此，還要對管理上網行為的系統、檢測入侵的系統、防火墻及路由器進行調整，在新增與業務需求相符的控制策略的前提下，將源路由、無用服務徹底關閉，同時引入以反向查找為代表的全新技術，以免由于源地址欺騙，而引起不必要的問題[5]。以網絡的使用情況為依據，對IPv6通信進行分層管理，嚴格控制訪問安全域等行為，在過濾機制的輔助下，提高網絡接入過程的安全系數。綜合考慮多方面因素，對ICMPv6報文所遵守訪問策略進行設置，與此同時，還應對安全措施進行調整。例如，打造白名單，確保僅有ICMPv6及相關報文能夠順利通過，終止發送不可達信息及RA信息，同時將源路由關閉，為相關應用提供良好的運行環境；再如，對防火墻進行升級，新增與檢查擴展頭相關的規則、重組功能模塊和選擇發送模塊，通過準確篩選并過濾特定類型報文的方式，將DDoS攻擊發生率降至最低。此外，還應分別依托邊界設備、防火墻，安裝入口過濾系統，這樣做能夠降低源地址偽造等問題的發生率，使邊界得到強有力的保護。

3.1.3 增強防護能力

在增強防護能力方面，實證有效的措施如下。第一，研究人員應加大對IPv6進行研究的力度，從安全還有服務理論的角度出發，基于擴展頭、分片攻擊等IPv6常見安全風險開展研究，根據風險形成原因擬定相應的解決方案。第二，生產商、提供商應保證自身所生產產品和所提供服務能夠達到安可標準，在此基礎上，對能夠借鑒或是復制的場景進行深入探索。第三，重視設備、芯片還有物化材料的研究，為相關研究工作的開展提供有力支持，研發大量先進的國產技術與設備，在對升級成本加以控制的前提下，使建設安保能力等工作得到有序推進。第四，大力培養專業人才，通過繼續教育與學歷教育相結合的方式，培養大批具有良好綜合素質、突出專業能力的人才。在條件允許的情況下，培訓機構可搭建相應的實驗環境，定期組織開展攻防演練，夯實安全人員理論基礎，同時增加其所具有的實踐進展，使該群體所表現出實戰水平達到預期。第五，政府主管部門應頒布相應的政策，引導有關機構對產品、服務還有安全漏洞進行研究，事實證明，這樣做既能夠使安全技術儲備得到強化，又能夠使科研布局所具有合理性、可行性得到提升。第六，用安防費用抵減稅費，激發各個行業引入或使用安防產品、技術的熱情，確保各大企業能夠結合自身情況，主動采用相應的安全服務及產品，為網絡安全提供強有力的保護。

3.2 互聯網層面

作為基于IPv4所衍生出的全新通信協議，IPv6與IPv4所面臨安全風險高度重合，這也決定了常規保障體系同樣能夠起到防范IPv6安全風險的作用。在此過程中，有以下幾項工作需要引起重視。首先，提前安裝相應的殺毒軟件，為用戶端提供強有力的保護。其次，對安防系統進行調整，酌情引入防火墻、堡壘主機，有效應對外部攻擊，同時對上網行為進行實時管控，通過隔離內外網的方式，降低風險發生率。再次，利用身份認證、數據加密為數據安全提供雙重保護，保證數據具備良好的可靠性與完整性，如果條件允許，還可以引入權威認證、混合加密等技術，將安全防護提升到最高級別。最后，優先安裝已獲得轉移的軟、硬件，為設備、系統所具有安全性提供保障。

4 結束語

綜上，IPv6雖能夠提高安全治理有效性，卻也會帶來隱患，只有多方協同合作，深入探究網絡安全漏洞的成因，擬定相應安全方案，才能使潛在問題得到解決，在保證網絡系統可靠且安全的前提下，使IPv6得到大范圍運用。