浅析IPv6互联网协议的安全性

【摘要】本文分析了IPv6互联网协议的特点，以及其面临的网络安全风险，为网络安全构建、IPv4协议的过渡，提供了重要的借鉴和帮助作用。

【关键词】IPv6互联网协议；安全性分析

1.引言

随着互联网的蓬勃发展，全球上网人数已达到20亿左右，但IPv4仅能提供约2.5亿个IP地址，虽然目前的NAT、CIDR等技术可延缓网络位置匮乏之现象，但不能从根本解决问题。因此，从1990年开始，互联网工程任务小组（Internet Engineering Task Force，简称IETF）开始规划IPv4的下一代协议，除了要解决即将遇到的IP地址短缺问题外，还要发展更多的扩展，IPv6（Internet Protocol version 6）协议应运而生，它将为未来互联网提供稳定而安全的基础。。

1.IPv6协议概述

IPv6具有比IPv4大得多的编码地址空间。IPv4使用的是32位地址，而IPv6采用了128位。这一扩展提供了灵活的地址分配以及路由转发，并消除了对网络地址转换（NAT）的依赖，完全可以满足全球人口的互联网需求。IPv6的格式与IPv4也有很大不同，它采用二进制128位长度，以16位为一组，每组以冒号隔开，可以分为8组，每组以4位十六进制方式表示。例如以下的一个地址就是一个合法的IPv6地址，2001：0db8：85a3：08d3：1319：8a2e：0370：7344。当然IPv6中有许多省略规则，可以让地址书写更加简单。

2.IPv6协议的安全改进

2.1病毒攻击困难增加

目前，病毒和互联网蠕虫是最让人头痛的网络攻击，但这种传播方式在IPv6中将变得非常困难。因为IPv6的网络地址空间太大，典型的IPv6子网比IPv4子网大得多（IPv6为264个地址，而IPv4为28个），同时IPv6子网的主机密度比IPv4子网主机密度小很多，当病毒和蠕虫按顺序试探每一个地址时，可能需要花费几年的时间，这就如同大海捞针，无论是从数据包/宽带的角度来看，还是从执行攻击所需要的时间来看，都是不可行的。

2.2协议安全

在协议安全层面上，IPV6全面支持认证头（AH）认证和封装安全有效负荷（ESP）信息安全封装扩展头。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法，ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。

2.3网络安全

IPSec隧道和传输模式的各种组合应用，可以提供网络各层面的安全保证。诸如：端到端的安全保证、内部网络的保密、通过安全隧道构建安全的VPN、通过嵌套隧道实现不同级别的网络安全等等。

3.IPv6主要面临的安全风险

3.1 IPv6与IPv4共存引起的风险

IPv4虽然地址紧缺，但是目前IPv6的商业需求还不突出，在今后一段时间，甚至是相当长的一段时间内IPv6网络将会与IPv4网络共存。但由于IPv6的扩展、IPv6与IPv4间的非对性以及过渡方式的复杂多样性等，将产生复杂多样的安全隐患。如攻击者可以利用两种协议之间或过渡协议的安全漏洞来躲避安全监测实施攻击。同时隧道机制对任何来源的数据包只进行简单的封装和解封，并不对地址之间的关系做严格的监测，从而导致防火墙被轻易 “穿透”。

3.2 移动终端带来的风险

随着智能手机、平板电脑的普及，移动终端数量在不断增加，对IPv6地址分配和管理产生了巨大的冲击。移动终端多处于无线环境，除了要面对有线网路的固有安全风险外，同时还要面临许多新的风险，主要包括拒绝服务攻击、重放攻击及信息窃取攻击。

3.3路由发现协议的隐患

在IPv6网络下，由路由请求RS和路由宣告RA两种ICMP6的报文构成了路由发现协议，那么在局域网中，由于缺少源地址认证，局域网内任何一台计算机都可以将自己伪装成路由，对于动态获取IPv6地址的计算机是无法分辨正确路由的，极有可能将数据包交由恶意节点计算机转发，从而导致信息被获取。

3.4 重定向协议风险

IPv6重定向协议的主要功能是主机拥有动态的、小而优的路由表，提高报文转发效率，但同样IPv6重定向协议缺少地址认证，对于恶意节点则可以伪装成路由器发送Redir报文，诱发被攻击者发往外网节点的数据报发向指定路由，并将数据报交由恶意节点转发，从而控制数据报实施攻击。

3.5 ICMPv6风险

ICMPv6允许组播的时候回复一个错误的原因，那么这就给攻击者可乘之机，通过发出某条不合理的组播信息，来诱导大量的目的节点发出错误回复，从而产生一系列的回复攻击，造成该地址的服务器停止或网络资源的损耗，影响网络质量。

3.6 分布式拒绝服务攻击风险

IPv6头信息链结构的灵活性优于IPv4，因为它不限制数据包可以包含的数量。然而，这种灵活性也会导致任何需要获取上层信息（如TCP端口号）的系统，都需要处理整个IPv6头信息链。由于当前的协议标准支持任意数量的扩展头，包括同一种扩展头的多个实例，因此防火墙设备需要解析多个扩展头才能够执行深度数据包检测（DPI），它可能会降低WAN的性能，引发拒绝服务攻击，或者防火墙被绕过。

3.7 6to4和6RD风险

6to4采用特殊的IPv6地址使在IPv4网络中的IPv6能相互连接，此时IPv6中的出口路由器与其他IPv6域建立隧道连接，IPv4的末端可以从IPv6域的地址前缀自动提取，因为站点的IPv4地址包含在IPv6地址前缀中，这样就简化了ISP提供商的管理工作，同时6to4及其ISP快速部署的6RD均无需配置专用的隧道，就能使IPv6数据包跳出IPv4的空间。但部署IPv6服务器可能会使运营商进入一个麻烦的世界，包括发现式攻击、欺骗，以及反射式攻击，而运营商自身可能被利用，成为一个攻击和滥用的“源头”。

4.校园网络过渡IPv6时的部署安全策略

（1）制定详细的过渡计划，保证IPv4向IPv6的顺利过渡。

（2）关闭IPv6 everywhere功能，确保整改网络不存在未知的路径。

（3）可以通过虚拟机技术组成虚拟网络环境模拟测试，并在小范围网络上试用IPv6，尽可能采用过渡技术

5.结束语

IPv6在安全性能上相比于IPv4有了很大提高，但是IPv6不是万能的安全钥匙，IPsec也不是无敌的安全防范机制，还存在许多安全风险，组织在由IPv4向IPv6过渡时，充分考虑网络信息的安全性是工作的重中之重。

参考文献：

[1]陈伟.高校公共计算机机房多系统实验环境的构建[J].福建电脑.2006（8）