摘要：本文首先對IPv4和IPv6進行了概要介紹，描述了IPv4的缺點和IPv6的優(yōu)點。然后對IPv4的安全缺陷進行了分析，探討了IPv6對這些缺陷的改進方法，最后對IPv6的安全問題也進行了分析。

關鍵詞：IPv4；IPv6；網(wǎng)絡安全；分析

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)16-21207-01

The Analysis of IPv6 and IPv4 Network Security

ZHANG Lian-huan， ZHU Xiao-fei

( 91065 Army， Huludao125001，China )

Abstract: This article first make a summary of IPv4 and IPv6 ，discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed， discussed IPv6 improve on these deficiencies， at the last the IPv6 security issues are also analyzed.

Key words: IPv4 and IPv6; network security; analysis

隨著網(wǎng)絡的繁榮發(fā)展，加上最初設計的地址分類方法不合理，造成了今天IP地址極度缺乏的狀況。其次，由于它起初主要面向研究和開發(fā)機構，對安全性的考慮不是很充分，而在實現(xiàn)網(wǎng)絡商業(yè)化的今天，不安全的通信信道帶來的網(wǎng)絡攻擊越來越多，其影響力也越來越大。IPv4獲得的巨大成功反而使得它本身陷入了一個尷尬的境地，此時IPv6的推出成為大勢所趨。

1 IPv4與IPv6概述

第一代互聯(lián)網(wǎng)美國軍方從60年代開始，70年代正式進行開發(fā)建設，1994年正式投入商業(yè)運營，并統(tǒng)一采用TCP/IP協(xié)議[1]。IPV4之所以向IPV6演進，主要是因為IPV4的地址協(xié)議出現(xiàn)明顯的局限，IP地址已經(jīng)不能滿足需要。IPV4的IP地址大約為40多億，但是卻存在著嚴重的分配不均勻問題，其中美國掌握了絕對的控制權，IP地址分配上美國占著絕對的優(yōu)勢。造成了我國的公眾網(wǎng)因IP地址匱乏，被迫大量使用轉(zhuǎn)換地址，嚴重影響了互聯(lián)網(wǎng)的正常發(fā)展，這就形成了對IPV6的迫切需要。下面對IPV4和IPV6進行簡單介紹：

1.1 IPv4

目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP協(xié)議族。IP是TCP/IP協(xié)議族中網(wǎng)絡層的協(xié)議，是TCP/IP協(xié)議族的核心協(xié)議。目前IP協(xié)議的版本號是4(簡稱為IPv4)，發(fā)展至今已經(jīng)使用了30多年。IPv4的地址位數(shù)為32位，也就是最多有2的32次方的電腦可以聯(lián)到Internet上。有預測表明，所有IPv4地址將在2005～2010年間分配完畢。另外，由于IPv4采用與網(wǎng)絡拓撲結構無關的形式來分配地址，所以隨著連入網(wǎng)絡數(shù)目的增漲，路由器數(shù)目飛速增加，相應的，決定數(shù)據(jù)傳輸路由的路由表也就不斷增大，路由器在路由表中查詢正確路由的時間就越長。IPv4也缺乏網(wǎng)絡服務質(zhì)量的支持，也沒有對移動服務的支持。

1.2 IPv6

IPV6設計的初衷就是為了擴大地址空間，擬通過IPv6重新定義地址空間可以滿足互聯(lián)網(wǎng)發(fā)展的需要。IPv6采用128位地址長度，幾乎可以不受限制地提供地址。按保守方法估算IPv6實際可分配的地址，整個地球的每平方米面積上仍可分配1000多個地址。在IPv6的設計過程中除了一勞永逸地解決了地址短缺問題以外，還考慮了在IPv4中解決不好的其它問題，主要有端到端IP連接、服務質(zhì)量(QoS)、安全性、多播、移動性、即插即用等。具體地說，IPv6具有以下優(yōu)勢：①擴展了地址容量，IPv6支持的IP地址長度由原來的32位擴充到128位；②自動地址分配，使IPv6終端能夠快速連接到網(wǎng)絡上，無需人工配置，實現(xiàn)了真正的即插即用。③簡化了報頭格式，有效減少了路由器及交換機對報頭的處理開銷；④提高了服務質(zhì)量，IPv6數(shù)據(jù)包的格式包含一個8位的業(yè)務流類別(Class)和一個新的20位的流標簽(Flow Label)，可以知道數(shù)據(jù)包的QoS需求，并進行快速的轉(zhuǎn)發(fā)；⑤提供了認證和私密性，IPv6將IP安全性(IPSec)作為自身標準的有機組成部分；⑥支持移動服務，IPv6對于移動性的支持是作為一個必需的協(xié)議內(nèi)嵌在IP協(xié)議中的，IPv6的移動性支持取消了異地代理，完全支持路由優(yōu)化，徹底消除了三角路由問題，并且為移動終端提供了足夠的地址資源，使得移動IP的實際應用成為可能。

2 IPv4的安全分析

在IPv4體系下，網(wǎng)絡層幾乎是毫無安全性可言的。

(1) IPv4地址分配的不合理性，導致IP地址分布十分零散。這就使得偽造源IP地址進行網(wǎng)絡攻擊成為可能，攻擊者可以任意偽造源IP地址對目標地址進行攻擊。

（下轉(zhuǎn)第1213頁）

（上接第1207頁）

(2) 由于網(wǎng)絡中存在的MTU的限制，因此傳送大于該網(wǎng)絡MTU的數(shù)據(jù)包要進行分片，但由此也會帶來安全上的漏洞。攻擊者只需要2個UDP分片，即可造成一些操作系統(tǒng)崩潰。

(3) 假冒IP地址，即攻擊者利用被攻擊者的IP地址或者一個根本不存在的地址作為特殊數(shù)據(jù)包的源地址，通過發(fā)送大量數(shù)據(jù)包占用被攻擊者的資源，造成被攻擊者的不正常工作。

3 IPv6安全分析

3.1 IPv6的改進

IPv6的巨大地址空間以及引入IPSEC帶來的加密和認證機制，實現(xiàn)了網(wǎng)絡層的身份認證和數(shù)據(jù)包的完整性、機密性，增強了網(wǎng)絡層的安全，對于應對網(wǎng)絡威脅與攻擊，保障網(wǎng)絡通信安全成效顯著。IPv6的優(yōu)勢具體有以下幾點：

3.1.1 IPv6地址資源豐富。

IPv6采用128位地址，且地址采用前綴表示法，格式前綴(也稱全局路由前綴)是一個IP地址的高位，它用來識別子網(wǎng)或某種特殊類型的地址。其中，在全球范圍內(nèi)可唯一標識的地址是“可聚類全局單播地址”，它基于一個分層的原則，把128位地址分成6個部分，第一部分是標識該地址使用的是“可聚類全局單播地址”，第二部分用作保留，再往下依次是“次級聚類標識符”，“站點級聚類標識符”，最后64位表示接口ID，所以IPv6可以提供的IP地址資源更加豐富。

3.1.2 與IPSec有機結合

由于IPv4協(xié)議本身沒有對數(shù)據(jù)進行有效保護，無法保證數(shù)據(jù)的完整性、機密性以及對身份的驗證，在網(wǎng)絡安全方面存在較大隱患。因此，在設計IPv6時，協(xié)議安全作為一個重要的方面進行考慮，將IP安全體系結構(IPSec)納入了協(xié)議整體之中，成為協(xié)議的一個有機組成部分。數(shù)據(jù)網(wǎng)絡的安全威脅是多層面的，它們分布在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層等各個部分，IPSec通過身份驗證頭(AH)與封裝安全性凈荷頭(ESP)相結合，配合相關的密鑰管理機制， IPSec為網(wǎng)絡數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性提供了保證。但在實際部署IPv6網(wǎng)絡時，由于技術能力不夠和現(xiàn)有安全基礎設施不足等原因，使得IPv6網(wǎng)絡往往沒有采用任何安全措施。而且，其網(wǎng)絡傳輸數(shù)據(jù)包的基本機制也與IPv4相同，所以現(xiàn)有的IPv6網(wǎng)絡并不比IPv4網(wǎng)絡安全，這也有待完善。

3.1.3 數(shù)據(jù)認證

IPv6使數(shù)據(jù)包的接收者可以驗證數(shù)據(jù)的真實性、完整性，還可以與數(shù)字簽名結合，保證數(shù)據(jù)的不可抵賴性，使數(shù)據(jù)在接收端可得到認證，確保數(shù)據(jù)的真實可靠。而且，IPv6允許數(shù)據(jù)傳輸采用隧道模式和傳輸模式兩種方式，它既可為兩個節(jié)點間的簡單直接的數(shù)據(jù)包傳送提供身份驗證和保護，也可用于對發(fā)給安全性網(wǎng)關或由安全性網(wǎng)關發(fā)出的整個數(shù)據(jù)包進行包裝，并加入認證信息。

3.1.4 數(shù)據(jù)加密

在使用IPv6網(wǎng)絡中用戶可以對網(wǎng)絡層的數(shù)據(jù)進行加密并對IP報文進行校驗，這極大的增強了網(wǎng)絡安全。

3.2 IPv6的安全缺陷

網(wǎng)絡安全永遠是一個相對概念，也不要指望IPv6能夠徹底所有的網(wǎng)絡安全問題。

IPv6中仍保留著IPv4的諸多結構特點，如選項分片和TTL等。這些選項都曾經(jīng)被黑客用來攻擊IPv4節(jié)點。而且，目前為止，IPv6中并沒有提出新的安全策略——所有使用的安全策略都是在IPv4下已經(jīng)存在的，因此它無法從根本上解決安全性能的問題。

IPv6主要解決的是網(wǎng)絡層的身份認證、數(shù)據(jù)包完整性和加密問題。因此，一些從上層發(fā)起的攻擊如應用層的緩沖區(qū)溢出攻擊和傳輸層的TCP SYN FLOOD攻擊等在IPv6下仍然存在。

IPv6協(xié)議本身還有一些問題有待解決，IP網(wǎng)中許多不安全問題主要是管理造成的。由于目前針對IPv6的網(wǎng)管設備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn)，因此缺乏對IPv6網(wǎng)絡進行監(jiān)測和管理的手段，缺乏對大范圍的網(wǎng)絡故障定位和性能分析的手段。沒有網(wǎng)管，無法保障網(wǎng)絡高效、安全運行。IPv6網(wǎng)絡同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡過濾、防病毒網(wǎng)關等網(wǎng)絡安全設備。事實上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術研發(fā)尚需時日。

參考文獻：

[1] 劉斌.淺析IPv4和IPv6.高校實驗室工作研究，2006(3).

[2] 高嵩，賈卓生.關于IPv4及IPv6的安全討論.計算機與現(xiàn)代化，2006(6).

[3] 楊碧天，常立夏，詹德新.IPv6安全性能研究.網(wǎng)絡安全技術與應用，2008(1).

[4] 劉世杰，李祥和.IPv6對網(wǎng)絡安全的改進.電視技術，2007(2).

[5] 李超林，趙廣.IPv6協(xié)議的網(wǎng)絡安全分析.計算機與信息技術，2007(16).

[6] 郝踐.IPv6技術的特點及其應用安全等問題分析.計算機與信息技術，2007(19).