關(guān)于IPv6網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)與應(yīng)對(duì)措施

翟 昱，買爾旦·肉孜

（新疆維吾爾自治區(qū)科技發(fā)展戰(zhàn)略研究院，新疆 烏魯木齊 830011）

1 IPv6 網(wǎng)絡(luò)協(xié)議特征

第一，IPv6地址長度是180bit，每一段為一個(gè)四位十六進(jìn)制數(shù)，總計(jì)有8段，同時(shí)以冒號(hào)間隔開來。

第二，報(bào)文結(jié)構(gòu)。IPv6網(wǎng)絡(luò)數(shù)據(jù)報(bào)文一般是以40個(gè)字節(jié)的報(bào)頭與擴(kuò)展報(bào)頭構(gòu)建而成的。這一網(wǎng)絡(luò)報(bào)文頭和IPv4報(bào)文結(jié)構(gòu)相比更加簡單，并且IPv6是把分片信息放置于擴(kuò)展報(bào)頭里面的。在這之中，擴(kuò)展報(bào)頭屬性會(huì)變成不法分子入侵網(wǎng)絡(luò)竊取重要信息的突破口。

第三，IPv4限制性。從事相關(guān)行業(yè)的人均已經(jīng)了解到，IPv4網(wǎng)絡(luò)地址長度是32bit，其能夠提供大概43億個(gè)IP地址，伴隨社會(huì)持續(xù)發(fā)展，網(wǎng)絡(luò)用戶數(shù)量不斷增加，物聯(lián)網(wǎng)、人工智能、云計(jì)算等各種新技術(shù)持續(xù)發(fā)展，對(duì)IP地址的需求量也持續(xù)增多了，因此當(dāng)前面臨的一個(gè)重要問題就是地址枯竭的問題。為節(jié)約IPv4公網(wǎng)地址，相關(guān)人員往往以NET網(wǎng)絡(luò)地址翻譯進(jìn)行處理，不過NAT用戶損壞了端至端的應(yīng)用模型。再者，IPv4網(wǎng)絡(luò)下的路由器等級(jí)不同，這些路由器的路由條目也比較多，從而造成處理效率始終無法得到有效提升。

2 IPv6 網(wǎng)絡(luò)協(xié)議具備的優(yōu)點(diǎn)

（1）通過上述分析，我們可以了解到，該網(wǎng)絡(luò)具備128位地址空間，故而無須轉(zhuǎn)換地址，大大降低了網(wǎng)絡(luò)時(shí)延，促使信息傳輸速度變得更快了。

（2）IPv6網(wǎng)絡(luò)運(yùn)用層次化的地址分配方式，以密碼生成地址，并且在驗(yàn)證身份信息的時(shí)候，運(yùn)用公私鑰，這樣可以有效預(yù)防假冒現(xiàn)象發(fā)生，促使訪問控制列表從復(fù)雜化變得簡單化。

（3）提升了安全性。第一，IPv6具有很大的地址空間，如此便提高了不法分子掃描檢測(cè)的困難程度，而且有效減少了DDoS攻擊出現(xiàn)的概率。第二，在該網(wǎng)絡(luò)協(xié)議之中，強(qiáng)制實(shí)行IPSec，可以保護(hù)通信雙方數(shù)據(jù)完整性，可以檢驗(yàn)數(shù)據(jù)內(nèi)容機(jī)密性，確保數(shù)據(jù)流機(jī)密性，檢驗(yàn)數(shù)據(jù)起源，同時(shí)還可以提供抗重播保護(hù)。所以，可以把用戶、攻擊、報(bào)文三者對(duì)應(yīng)起來，避免用戶拒認(rèn)，達(dá)到安全監(jiān)督控制用戶行為的目的。第三，加入了增強(qiáng)的組播支持且摒棄了廣播地址，為提高服務(wù)水平提供了平臺(tái)，能夠防止采用廣播地址引發(fā)的風(fēng)暴與DDoS攻擊。第四，協(xié)議嚴(yán)禁運(yùn)用鏈路層組播，源地址以及廣播數(shù)據(jù)包并非獨(dú)一無二辨別單個(gè)節(jié)點(diǎn)的數(shù)據(jù)包，故而可以避免因?yàn)镮Pv6報(bào)文所帶來的攻擊。

（4）通過流標(biāo)簽將過去復(fù)雜的數(shù)據(jù)報(bào)文加以簡化，可以迅速處理數(shù)據(jù)包，而且還可以給多媒體數(shù)據(jù)流提供優(yōu)質(zhì)服務(wù)。

（5）運(yùn)用IPv6網(wǎng)絡(luò)協(xié)議，可以采取新選項(xiàng)達(dá)到附加功能，按照新技術(shù)需求，拓展協(xié)議。

（6）采取無狀態(tài)地址自動(dòng)配置協(xié)議以及網(wǎng)絡(luò)動(dòng)態(tài)主機(jī)配置協(xié)議自動(dòng)配置協(xié)議，無須服務(wù)器管理地址，讓網(wǎng)絡(luò)管理變得越來越便捷了，同時(shí)還提高了終端安全性，有效解決了網(wǎng)絡(luò)地址管理困難的問題。

3 存在的安全風(fēng)險(xiǎn)

3.1 技術(shù)方面

眾所周知，IPv6設(shè)計(jì)初期便思考了安全方面的問題，可是，依舊無法完全處理好該協(xié)議網(wǎng)絡(luò)之中的問題。首先，擴(kuò)展地址可以緩解網(wǎng)絡(luò)地址不足的現(xiàn)象，不過，因?yàn)榈刂窋?shù)量較多，查詢起來并不容易，故而給安全檢測(cè)造成了嚴(yán)重的阻礙。而且，協(xié)議本身也有缺陷和不足之處，比方說，不法分子能夠以IPv6網(wǎng)絡(luò)中的鄰居發(fā)現(xiàn)協(xié)議傳遞不正確的路由器宣告等，從而造成數(shù)據(jù)包流向模糊，實(shí)現(xiàn)不服務(wù)、隨意篡改數(shù)據(jù)包、攔截?cái)?shù)據(jù)包的目的。其次，由IPv4至6運(yùn)用過渡協(xié)議，不法分子能夠借助協(xié)議漏洞避開安全監(jiān)督檢測(cè)，所以兩者共存一定會(huì)產(chǎn)生安全隱患。最后，由于各種新技術(shù)的不斷發(fā)展，IPv6和這些技術(shù)與應(yīng)用相結(jié)合的過程中，引發(fā)了新的問題。并且，終端安全問題主要是網(wǎng)絡(luò)安全監(jiān)督管理與協(xié)議安全對(duì)策的敲定。

3.2 管理方面

因?yàn)镮Pv6地址空間很大，所以地址分配以及管理工作做起來并不容易，因此需要發(fā)布對(duì)應(yīng)的管理政策。而且，數(shù)據(jù)信息驗(yàn)證、加密等各個(gè)方面要管理非常多的密鑰，才可以確保網(wǎng)絡(luò)數(shù)據(jù)信息不處在風(fēng)險(xiǎn)境況之下，所以需要積極參照國際組織對(duì)IPv6密鑰管理經(jīng)驗(yàn)，科學(xué)擬定密鑰管理?xiàng)l例或辦法。再者，進(jìn)行IPv6網(wǎng)絡(luò)部署前，需要花費(fèi)很多的時(shí)間和精力，以及財(cái)力培訓(xùn)有關(guān)IPv6網(wǎng)絡(luò)有關(guān)的安全知識(shí)，不然當(dāng)出現(xiàn)安全問題時(shí)，就會(huì)付出更大的代價(jià)，如此看來，事先提防是很有必要的，并且是勢(shì)在必行的。

3.3 產(chǎn)業(yè)方面

在新時(shí)代發(fā)展過程中，中國現(xiàn)有諸多網(wǎng)絡(luò)設(shè)備普遍只支持IPv4網(wǎng)絡(luò)，還無法直接運(yùn)用IPv6。僅有極少部分網(wǎng)絡(luò)設(shè)備能夠支持IPv6的運(yùn)用，不過這些支持IPv6網(wǎng)絡(luò)的設(shè)備安全性并不高，還不能夠完全應(yīng)對(duì)IPv6網(wǎng)絡(luò)大規(guī)模推廣造成的安全隱患，產(chǎn)業(yè)界應(yīng)當(dāng)積極研發(fā)出支持IPv6網(wǎng)絡(luò)的安全設(shè)備。并且，要想確保網(wǎng)絡(luò)穩(wěn)定且安全，必須要逐一檢測(cè)IPv6網(wǎng)絡(luò)有關(guān)設(shè)備和網(wǎng)絡(luò)技術(shù)，與此同時(shí)按照IPv6網(wǎng)絡(luò)特征思考出更加完善的檢測(cè)計(jì)劃。

4 IPv6 安全風(fēng)險(xiǎn)應(yīng)對(duì)舉措

4.1 努力研究安全防護(hù)技術(shù)

第一，根據(jù)IPv6網(wǎng)絡(luò)協(xié)議所具備的特點(diǎn)而言，易于遭到擴(kuò)展頭攻擊、分片攻擊等，對(duì)于這些不同的攻擊類型，需要針對(duì)攻擊特征分析攻擊的基本原理，探究攻擊檢測(cè)、預(yù)防和處理問題的方法。第二，當(dāng)IPv4過渡到IPv6的時(shí)候，需要綜合過渡制度和安全問題，從而獲得無縫且安全的過渡技術(shù)，開展全新的安全體系建設(shè)。第三，將新技術(shù)與應(yīng)用相融的過程中，需要進(jìn)行IPv6網(wǎng)絡(luò)下的物聯(lián)網(wǎng)和云計(jì)算等方面的網(wǎng)絡(luò)安全技術(shù)管理研究，譬如，物聯(lián)網(wǎng)需要注重網(wǎng)絡(luò)運(yùn)用于感知層的安全性，云計(jì)算則需要注重鑒于IPv6網(wǎng)絡(luò)的云計(jì)算平臺(tái)安全處理對(duì)策等各種問題。

4.2 給予政策上的支持，提高安全管理效率

有關(guān)行動(dòng)計(jì)劃對(duì)IPv6網(wǎng)絡(luò)協(xié)議部署進(jìn)行了具體安排，有關(guān)技術(shù)規(guī)范與政策需要實(shí)時(shí)跟進(jìn)，將安全方面的問題當(dāng)成IPv6網(wǎng)絡(luò)部署的核心內(nèi)容之一。并且，需要積極舉辦IPv6網(wǎng)絡(luò)協(xié)議知識(shí)培訓(xùn)教育活動(dòng)，借此提高相關(guān)工作人員的素質(zhì)，關(guān)注安全管理工作，對(duì)網(wǎng)絡(luò)部署環(huán)節(jié)中可能會(huì)發(fā)生的安全問題進(jìn)行提早分析與研究，做到及時(shí)發(fā)現(xiàn)問題，繼而有效解決安全問題，避免安全問題擴(kuò)大，從而帶來無法預(yù)估的損失。

4.3 推進(jìn)信息安全產(chǎn)品研發(fā)制作

應(yīng)對(duì)IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題的時(shí)候，需要優(yōu)先改造當(dāng)前已有網(wǎng)絡(luò)安全保障體系，提高對(duì)IPv6網(wǎng)絡(luò)協(xié)議地址與環(huán)境的支持。按照行動(dòng)計(jì)劃所提出的基本要求，每一種安全產(chǎn)品都需要提升網(wǎng)絡(luò)地址準(zhǔn)確定位、查詢打擊與迅速處理的能力，并且還需要推進(jìn)各項(xiàng)工作的開展，比如網(wǎng)絡(luò)安全保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、預(yù)警和個(gè)人信息保護(hù)工作等。

4.4 合理采用網(wǎng)絡(luò)協(xié)議優(yōu)勢(shì)預(yù)防風(fēng)險(xiǎn)

在應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的過程中，需要增強(qiáng)IPv6網(wǎng)絡(luò)基礎(chǔ)，合理運(yùn)用網(wǎng)絡(luò)協(xié)議優(yōu)勢(shì)預(yù)防安全風(fēng)險(xiǎn)問題的發(fā)生。第一，應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)與有關(guān)應(yīng)用安全質(zhì)量評(píng)估，加強(qiáng)網(wǎng)絡(luò)檢測(cè)，持續(xù)開展攻擊與預(yù)防演練，檢測(cè)與填充網(wǎng)絡(luò)協(xié)議漏洞，合理優(yōu)化網(wǎng)絡(luò)協(xié)議機(jī)制，調(diào)整報(bào)文頭構(gòu)成部分，繼而從根源上預(yù)防網(wǎng)絡(luò)協(xié)議本身所造成的安全問題。第二，應(yīng)當(dāng)科學(xué)采用網(wǎng)絡(luò)逐級(jí)和層次化分配密碼構(gòu)成地址的方式，加密認(rèn)證地址的同時(shí)，預(yù)防設(shè)備假冒接入以及中間人攻擊，并消滅源地址借助鄰居發(fā)現(xiàn)協(xié)議攻擊的安全隱患問題。第三，需要增強(qiáng)IPSec安全機(jī)制，科學(xué)運(yùn)用該協(xié)議無法否認(rèn)性與數(shù)據(jù)信息可行性、反重播以及保證數(shù)據(jù)完整性，在設(shè)置協(xié)議的過程中添加各種安全功能，比如隧道機(jī)制內(nèi)置認(rèn)證與加密等，避免隧道嗅探，增強(qiáng)吞吐能力。第四，對(duì)網(wǎng)絡(luò)協(xié)議無地址轉(zhuǎn)換構(gòu)成的內(nèi)網(wǎng)結(jié)構(gòu)和信息暴露相關(guān)問題，需要借助隱私擴(kuò)展機(jī)制，隱匿通信地址，避免重要信息暴露，從而提高網(wǎng)絡(luò)安全性。

5 結(jié)束語

通過以上所言，我們可以發(fā)現(xiàn)IPv6網(wǎng)絡(luò)能夠達(dá)到高效的信息安全治理，給萬物互聯(lián)帶來了技術(shù)上的支持，有著一定的先進(jìn)性，并且也伴隨有安全風(fēng)險(xiǎn)問題。基于此，需要將安全放在第一位，積極探究網(wǎng)絡(luò)安全，找到安全漏洞，使用科學(xué)有效的安全措施，保證網(wǎng)絡(luò)系統(tǒng)安全性和穩(wěn)定性，推動(dòng)IPv6網(wǎng)絡(luò)廣泛推廣與應(yīng)用。