彭晓明 山浩哲

（陕西省信息中心 陕西 710006）

0 引言

在科技发展的带动下，互联网的应用范围不断拓展，由IPv4所定义的有限的地址空间逐步耗尽，成为制约互联网进一步发展的瓶颈。因此，为了对地址空间进行扩充，IPv6得以提出并应用。相对于IPv432位地址长度，总数在43亿左右的地址，IPv6采用的是128位的地址长度，几乎可以不受限制地提供海量地址，因此在全球范围内受到了广泛的关注。

1 IPv6的特点

IPv6即Internet Protoco1 Version 6，是由IETF设计的，用于取代现行IP协议的下一代IP协议，其特点主要体现在：

（1）地址长度达到128位，地址空间相比IPv4大大增加；

（2）使用一系列固定格式的扩展头部代替了IPv4中可变长度的选项字段，而且选项出现的方式有所变化，加快了报文处理的速度；

（3）简化了报文头部格式，加快了报文转发速度；

（4）安全性大大提升；

（5）允许协议继续演变，增加新的功能，以适应未来技术的发展。

2 IPv6面临的安全隐患

虽然相比IPv4，IPv6协议具有相当明显的优势，但是不可否认，其中也存在着一些安全隐患，这些安全隐患主要表现在：

2.1 网络病毒的威胁

IPv6的地址长度达到128位，巨大的地址空间虽然为互联网的进一步发展提供了良好的支持，但是也容易受到网络病毒的威胁。例如，通过路由器，可以轻易获取一些关键主机以及服务器的地址，导致系统遭到攻击，而一旦病毒入侵，会对整个网络造成严重的危害。不仅如此，一些通过电子邮件传播的病毒仍然存在，需要网络管理人员的重视，加强应用层的安全防范。

2.2 拒绝服务DoS的攻击威胁

拒绝服务攻击是指一种恶意攻击网络协议，或者通过野蛮手段，占用被攻击对象的资源，使得目标计算机或者网络无法提供正常的资源访问和服务，导致服务的停止乃至系统的崩溃，换言之，拒绝攻击服务的目的并非窃取用户信息，而是使得目标设备无法提供正常的服务。在IPv6中，组发地址的定义方式可能被攻击者利用，例如，在IPv6地址中，FF01：：1表示所有的动态地址分配服务器，若向改地址发布IPv6报文，则报文可能会达到网络中所有的动态地址分配服务器，从而成为黑客攻击的漏洞。另外，IPv6的加密和认证机制同样可能被利用成DoS攻击。通常来讲，密钥越长，安全度越高，加密需要的计算量也越大，如果攻击者向目标设备恶意发送大量的加密数据包，目标主机可能需要消耗大量的CPU资源，对其进行检验，从而无暇相应其他请求，导致DoS拒绝服务。

2.3 利用TCP协议缺陷攻击

以SYN F1ood为例，作为当前最常见的利用TCP协议缺陷的攻击方式，主要是通过同步发送大量乃至海量伪造的TCP连接请求，消耗目标主机的内存资源或者CPU资源，此类攻击是利用了TCP协议本身存在的机制漏洞，IPv6在短期内无法有效解决。

2.4 对应用服务的威胁

IPv6协议的安全机制和加密机制一般都是作用在传输层和网络层，虽然在OSI体系结构中，也提供了相应的加密和身份认证基础，但是由于互联网自身的特点以及不完善的应用管理体系，使得IPv6不可能从根本上解决所有应用层面中的安全问题。例如，黑客在窃取双方密钥后，冒充合法用户，向目标主机发动攻击，或者利用系统缓冲区溢出或者植入木马等，对于应用服务的威胁不仅巨大，而且存在很大的隐蔽性，一旦受到攻击，会产生非常致命的后果。

3 基于IPv6的下一代互联网安全策略

3.1 实名制地址分配机制

即将IP地质与现实世界中的自然人一一对应起来，将现实身份与网络身份一一对应，利用IPv6更大的地址空间，实现每人分配唯一固定IP地址的要求。这种地址分配机制包括两种方法，一是主机号实名制，将128位地址分为网络号和主机号两部分，网络号用来进行网络寻址，主机号则用来确定网络中具体的接入端。如果用户应特殊原因，需要进行网络迁移，只需要对网络号进行更改即可。不过，这种方法虽然便利，但是用户每迁移一次，就需要分配一个IP地址，会在一定程度上缩减IP地址的分配空间，因此，只适合网络用户数量小于IP地址空间的情况。二是全IP实名制，即所有的用户只能在本地申请一个唯一的IPv6地址，若出现网络迁移，需要根据实际情况，采取针对性的措施。对于临时性迁移，采用嵌套头方式，为IP地址增加一个嵌套头，形成一个新的临时IP地址，用户发送的每一个文件包都嵌套有原本的IP信息，能够有效避免网络的匿名性，不过对增加开销；对于永久性迁移，将原有的IP地址注销，之后在迁移区域重新注册IP地址。通过实名制地址分配机制，可以有效消除IP地址假冒以及源路由攻击的安全隐患，将网络社会与现实社会紧密联系起来。

3.2 报头安全漏洞保护方案

在数据服务中，扩展报头能够有效提升服务质量，不过也带来了相应的安全漏洞，容易引起目的路由攻击隐患。对此，这里采用相应的安全漏洞保护方案，将访问控制检查扩展到路由报头地址中，以防止攻击者绕过防火墙直接攻击主机的情况，对安全漏洞进行保护。

3.3 基于DSTM方案的过渡机制

DSTM方案是基于IPv4-over-IPv6隧道，经DSTM，在纯IPv6网上实现对IPv4通信流的传输，同时，DSTM也提供了一个分配临时IPv4地址给IPv6/ IPv4双栈节点的方法，能够有效解决纯IPv6网络主机与IPv4主机或者应用的相互连接问题。

DSTM安全机制采用的安全规范包括：

（1）在DSTM服务器中，过滤和使用隧道配置协议（TSP）以及DHC IPv6应用认证，确保使用DSTM服务器的主体，允许控制有权接入业务；

（2）在IPv6网络中，所有支持DSTM业务的设备，都必须允许IPv4按照IPv6 in IPv6隧道的方式进行传输；

（3）便于系统管理人员对 DSTM 网关上创建的隧道以及DSTM服务器所做的分配进行监测和管理，便于对DSTM激活的网络进行监督和控制，在发现错误时，可以及时发出告警信息。

通过在DSTM服务器中应用过滤、TSP协议、DHC IPv6应用认证以及相应的隧道传输技术，可以有效避免非法用户以IPv6为入口，对私有网络的访问，而通过系统管理人员对DSTM激活网络的监测，能够保证攻击者无法绕过监测系统对网络进行攻击，保证网络的运行安全。

4 结语

总而言之，IPv6作为新一代的网络协议，具有非常显著的优势，取代IPv4协议已经是一种必然的趋势。在当前过渡的关键时期，相关技术人员应该加强对网络安全问题的分析和解决，为建设安全、诚信、可靠的网络系统奠定良好的基础。

[1]宋婧.基于IPV6的下一代互联网安全问题探讨[J].江西通信科技.2011.

[2]王奕.基于 IPv6的互联网安全问题探析[J].甘肃联合大学学报(自然科学版).2010.

[3]丁文飞，孙会楠，邢彦辰，马德仲.基于 IPv6 的下一代网络安全问题的探讨[J].计算机安全.2014.

[4]张影.基于 IPv6的下一代互联网安全管理策略研究[J].科技创新与应用.2014.