在傳統(tǒng)IPv4網(wǎng)絡(luò)中，安全一直是令我們頭疼的問題?，F(xiàn)在IPv6協(xié)議網(wǎng)絡(luò)的到來卻給我們解決了諸多的安全問題。這是因?yàn)?，在IPv4網(wǎng)絡(luò)上面，我們演進(jìn)的V6版本，采取了不同的傳輸結(jié)構(gòu)， 那么安全機(jī)制也有了改變。但是這個(gè)真的就安全了嗎？

IP安全協(xié)議(IPSec) IPSec是IPv4的一個(gè)可選擴(kuò)展協(xié)議,而在IPv6協(xié)議則是一個(gè)必備組成部分｡IPSec協(xié)議可以“無縫"地為IP提供安全特性,如提供訪問控制､數(shù)據(jù)源的身份驗(yàn)證､數(shù)據(jù)完整性檢查､機(jī)密性保證,以及抗重播(Replay)攻擊等｡新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來對(duì)路由信息進(jìn)行加密和認(rèn)證,提高抗路由攻擊的性能｡

端到端的安全保證 IPv6協(xié)議網(wǎng)絡(luò)最大的優(yōu)勢在于保證端到端的安全,可以滿足用戶對(duì)端到端安全和移動(dòng)性的要求｡IPv6限制使用NAT,允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用其全球惟一的地址進(jìn)行通信｡每當(dāng)建立一個(gè)IPv6的連接,都會(huì)在兩端主機(jī)上對(duì)數(shù)據(jù)包進(jìn)行 IPSec封裝,中間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸,通過對(duì)通信端的驗(yàn)證和對(duì)數(shù)據(jù)的加密保護(hù),使得敏感數(shù)據(jù)可以在IPv6協(xié)議網(wǎng)絡(luò)上安全地傳遞,因此,無需針對(duì)特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān)),就可保證端到端的網(wǎng)絡(luò)透明性,有利于提高網(wǎng)絡(luò)服務(wù)速度｡

地址分配與源地址檢查在IPv6的地址概念中,有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念｡從安全角度來說,這樣的地址分配為網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全管理提供了方便｡若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系,網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù),那么就可以只給這臺(tái)服務(wù)器分配一個(gè)本地網(wǎng)絡(luò)地址,而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機(jī)｡

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ),有助于抵御網(wǎng)上的身份偽裝與偷竊,而采用可以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展 (DNS Security Extensions)協(xié)議,能進(jìn)一步增強(qiáng)目前針對(duì)DNS新的攻擊方式的防護(hù),例如“網(wǎng)絡(luò)釣魚(Phishing)"攻擊､“DNS中毒(DNS poisoning)"攻擊等,這些攻擊會(huì)控制DNS服務(wù)器,將合法網(wǎng)站的IP地址篡改為假冒､惡意網(wǎng)站的IP地址等｡此外,專家認(rèn)為,如果能爭取在我國建立IPv6域名系統(tǒng)根服務(wù)器,則對(duì)于我國的信息安全很有必要和十分重要｡

總體來說IPv6與IPV4相比具有以下幾個(gè)優(yōu)勢:

1､IPv6協(xié)議網(wǎng)絡(luò)具有更大的地址空間｡IPv4中規(guī)定IP地址長度為32,即有2^32-1(符號(hào)^表示升冪,下同)個(gè)地址;而IPv6中IP地址的長度為128,即有2^128-1個(gè)地址｡

2､IPv6使用更小的路由表｡IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網(wǎng),大大減小了路由器中路由表的長度,提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度｡

3､IPv6增加了增強(qiáng)的組播(Multicast)支持以及對(duì)流的支持(Flow Control),這使得網(wǎng)絡(luò)上的多媒體應(yīng)用有了長足發(fā)展的機(jī)會(huì),為服務(wù)質(zhì)量(QoS,Quality of Service)控制提供了良好的網(wǎng)絡(luò)平臺(tái)｡

4､IPv6加入了對(duì)自動(dòng)配置(Auto Configuration)的支持｡這是對(duì)DHCP協(xié)議的改進(jìn)和擴(kuò)展,使得網(wǎng)絡(luò)(尤其是局域網(wǎng))的管理更加方便和快捷｡#p#

5､IPv6具有更高的安全性｡在使用IPv6協(xié)議網(wǎng)絡(luò)中用戶可以對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對(duì)IP報(bào)文進(jìn)行校驗(yàn),極大的增強(qiáng)了網(wǎng)絡(luò)的安全性｡

IPv6出現(xiàn)的安全新問題:

IPv6是新的協(xié)議,在其發(fā)展過程中必定會(huì)產(chǎn)生一些新的安全問題,主要包括應(yīng)對(duì)拒絕服務(wù)攻擊(DoS)乏力､包過濾式防火墻無法根據(jù)訪問控制列表ACL正常工作､入侵檢測系統(tǒng)(IDS)遭遇拒絕服務(wù)攻擊后失去作用､被黑客篡改報(bào)頭等問題｡

此外,在IPv6中還有一些問題有待解決,主要包括:

1､IP網(wǎng)中許多不安全問題主要是管理造成的｡IPv6協(xié)議網(wǎng)絡(luò)的管理與IPv4在思路上有可借鑒之處｡但對(duì)于一些網(wǎng)管技術(shù),如SNMP等,不管是移植還是重新另搞,其安全性都必須從本質(zhì)上有所提高｡由于目前針對(duì)IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn),因此缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測和管理的手段,缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段｡沒有網(wǎng)管,何談保障網(wǎng)絡(luò)高效､安全運(yùn)行?

2､PKI管理在IPv6中是懸而未決的新問題｡

3､IPv6協(xié)議網(wǎng)絡(luò)同樣需要防火墻､VPN､IDS､漏洞掃描､網(wǎng)絡(luò)過濾､防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備｡事實(shí)上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)｡這方面的安全技術(shù)研發(fā)還尚需時(shí)日｡

4､IPv6協(xié)議仍需在實(shí)踐中完善,例如IPv6組播功能僅僅規(guī)定了簡單的認(rèn)證功能,所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能,而移動(dòng)IPv6(Mobiel IPv6)也存在很多新的安全挑戰(zhàn)｡DHCP必須經(jīng)過升級(jí)才可以支持IPv6地址,DHCPv6仍然處于研究､制訂之中｡

由于IPv6與IPv4網(wǎng)絡(luò)將會(huì)長期共存,網(wǎng)絡(luò)必然會(huì)同時(shí)存在兩者的安全問題,或由此產(chǎn)生新的安全漏洞｡與IPv4相比,IPv6協(xié)議網(wǎng)絡(luò)在網(wǎng)絡(luò)保密性､完整性方面有了更好的改進(jìn),在可控性和抗否認(rèn)性方面有了新的保證,但I(xiàn)Pv6不僅不可能徹底解決所有安全問題,同時(shí)還會(huì)伴隨其產(chǎn)生新的安全問題｡目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層,因此,保護(hù)網(wǎng)絡(luò)安全與信息安全,只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn),還需配合多種手段,構(gòu)建一個(gè)整體的防御體系,這樣才能使我們的網(wǎng)絡(luò)應(yīng)用更加安全｡