在互聯(lián)網的不斷發(fā)展的過程中，折射出更為突出的安全問題?，F(xiàn)在，IPv6的商用，給我們帶來了更為嚴峻的安全問題。IPv6安全問題，是否能是我們完全放心地使用互聯(lián)網呢？這里，筆者認為，不管是哪個時代，哪個領域安全問題永遠是不滅的話題。

IPv6安全問題

IPv6能徹底解決互聯(lián)網中的安全問題嗎？

原來的互聯(lián)網安全機制只建立于應用程序級，如E-mail加密、SNMPv2網絡管理安全、接入安全（HTTP、SSL）等，無法從IP層來保證Internet的安全。為了加強互聯(lián)網的安全性，從1995年開始，IETF著手研究制定了一套IP安全（IP Security，IPSec）協(xié)議用于保護IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性機制，它是IPv6的一個組成部分，也是IPv4的一個可選擴展協(xié)議。通過集成IPSec，IPv6實現(xiàn)了IP級的安全。IPSec提供如下安全性服務：訪問控制、無連接的完整性、數(shù)據(jù)源身份認證、防御包重傳攻擊、保密、有限的業(yè)務流保密性。

IPSec的認證報頭（Authentication Header，AH，RFC2402中描述）協(xié)議定義了認證的應用方法，封裝安全負載（Encapsulating Security Payload，ESP，RFC2406中描述）協(xié)議定義了加密和可選認證的應用方法。IPSec安全性服務完全通過AH和ESP頭相結合的機制來提供，當然還要有正確的相關密鑰管理協(xié)議。在實際進行IP通信時，可以根據(jù)安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。

IPv6實質上不會比IPv4更加安全。IPv6標準的起草者、思科總部的兩位“杰出網絡技術領袖”Fred Baker和 Tony Hain認為IPv6從根本上來說，只是IP地址改變的協(xié)議包，并不能解決現(xiàn)在的互聯(lián)網協(xié)議IPv4中的安全問題。但是由于IPSec提供的端到端安全性的兩個基本組件——認證和加密——都是IPv6協(xié)議的必備組件，而在IPv4中，它們只是可選組件，因此，采用IPv6，安全性會更加簡便、一致。更重要的是，IPv6使我們有機會在將網絡轉換到這種新型協(xié)議的同時發(fā)展端到端安全性。

為解決IPv6安全問題，傳統(tǒng)的安全設備需要做那些改進？

IPv6網絡中仍需要使用防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的安全設備，但由于IPv6的一些新特點，IPv4網中現(xiàn)有的這些安全設備在IPv6網中不能直接使用，還需要做些改進：

防火墻的設計

由于IPv6相對IPv4在數(shù)據(jù)報頭上有了很大的改變，所以原來的防火墻產品在IPv6網絡上不能直接使用，必須做一些改進。針對IPv6的Socket套接口函數(shù)已經在RFC3493：Basic Socket Interface Extensions for IPv6中定義，以前的應用程序都必須參考新的API做相應的改動。

IPv4中防火墻過濾的依據(jù)是IP地址和TCP/UDP端口號。IPv4中IP頭部和TCP頭部是緊接在一起的，而且其長度是固定的，所以防火墻很容易找到頭部，并應用相應的策略。然而在IPv6中TCP/UDP報頭的位置有了根本的變化，它們不再是緊連在一起的，通常中間還間隔有其他的擴展頭部，如路由選項頭部，AH/ESP頭部等。防火墻必須讀懂整個數(shù)據(jù)包才能進行過濾操作，這對防火墻的處理性能會有很大的影響。

入侵檢測系統(tǒng)（IDS）的設計

在IPv6安全問題下也使我們不得不放棄以往的網絡監(jiān)控技術，投身一個全新的研究領域。首先，IDS產品同防火墻一樣，在IPv6下不能直接運行，還要做相應的修改。其次，IDS的工作原理實際上是一個監(jiān)聽器，接收網段上的所有數(shù)據(jù)包，并對其進行分析，從而發(fā)現(xiàn)攻擊，并實施相應的報警措施。但是，如果使用傳輸模式進行端到端的加密，IDS就無法工作，因為它接收的是加密的數(shù)據(jù)包，無法理解。當然，解決方案之一是讓IDS能對這些數(shù)據(jù)包進行解密，但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設想的那樣，也有待時間的考驗。

由于IPv6中引入了網絡層的加密技術，未來網絡上的數(shù)據(jù)通訊的保密性將會越來越強，這使網絡入侵檢測系統(tǒng)和主機入侵檢測引擎也面臨在多種不同平臺如何部署的問題。這就需要研究IDS新的部署方式，再下一步，研究如何才能在任何網絡狀況、任何服務器、任何客戶端、任何應用環(huán)境都能進行適當?shù)淖赞D換和自適應。