任何事情都具有兩面性，IPv6也一樣，在為互聯(lián)網(wǎng)帶來了幾乎無限的IP地址資源的同時(shí)，也改變了互聯(lián)網(wǎng)的安全環(huán)境，讓更大的風(fēng)險(xiǎn)隨之而至。那么，“看上去很美”的IPv6是否存在更大的安全黑洞？在人們熱情迎接IPv6的同時(shí)，是否看到了藏匿在過渡過程中的安全隱患？

IPv6的優(yōu)勢

具有幾乎無限的地址空間。IPv4的理論地址數(shù)量是232-1個(gè)（不將全0地址算在內(nèi)），而IPv6（下一代互聯(lián)網(wǎng)協(xié)議）的理論IP地址數(shù)量達(dá)2128-1個(gè)。單從地址數(shù)量看， IPv6約是IPv4的8×1028倍。如果按照全球70 億人口來計(jì)算，意味著人均可分配到1800多個(gè)IPv6地址。

IPv6 的地址分配機(jī)制遵循了聚類原則。這種優(yōu)勢使路由器在路由表中僅用一條記錄就可以表示一片子網(wǎng)，大幅縮短了路由表的長度，這一特色可以提升路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。

簡化了數(shù)據(jù)報(bào)頭格式。IPv6報(bào)頭固定為40字節(jié)，去掉了IPv4報(bào)頭中的一些字段，或者將其變?yōu)榭蛇x項(xiàng)。這樣，數(shù)據(jù)報(bào)可以以更快的速度和更低的開銷進(jìn)行報(bào)文操作。

增強(qiáng)了對組播及流控制的支持。它使網(wǎng)絡(luò)上的多媒體應(yīng)用有了長足發(fā)展的機(jī)會，為QoS（服務(wù)質(zhì)量） 控制提供了良好的網(wǎng)絡(luò)平臺。支持對QoS的更精細(xì)分類。在頭結(jié)構(gòu)中專門設(shè)有類等級和流標(biāo)簽字段，用于數(shù)據(jù)傳輸時(shí)的服務(wù)質(zhì)量保證。

提高了網(wǎng)絡(luò)的安全系數(shù)。在IPv4中，IPSec（IP安全性）是可選協(xié)議，而在IPv6中則是強(qiáng)制標(biāo)準(zhǔn)，用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對IP報(bào)文進(jìn)行校驗(yàn)。

使移動(dòng)設(shè)備接入互聯(lián)網(wǎng)變得更為便捷。移動(dòng)設(shè)備與互聯(lián)網(wǎng)的連接必須要能夠隨意更改位置，但仍維持現(xiàn)有連接。移動(dòng)設(shè)備對IP地址資源的占用很可能是永久性的，同一個(gè)IP地址不會被重復(fù)分配給不同的移動(dòng)設(shè)備，移動(dòng)互聯(lián)網(wǎng)必然需要數(shù)量龐大且難以枯竭的IP地址來支撐，這正是IPv6的強(qiáng)項(xiàng)。

IPv6的安全風(fēng)險(xiǎn)

首先，IPv6存在網(wǎng)絡(luò)漏洞。一是由于IPv6會首次將大量新的代碼功能帶到網(wǎng)絡(luò)上，而只要在整個(gè)互聯(lián)網(wǎng)上使用新代碼，就都有可能會出現(xiàn)大量的代碼漏洞。二是由于部署IPv6互聯(lián)網(wǎng)將需要更多的地址轉(zhuǎn)換設(shè)備，而這些設(shè)備也會招致分布式拒絕服務(wù)攻擊（DDoS），或者出現(xiàn)單點(diǎn)失靈的情況。三是網(wǎng)絡(luò)經(jīng)營者對于互聯(lián)網(wǎng)流量的可見性也會降低，所以他們也更難發(fā)現(xiàn)類似僵尸網(wǎng)絡(luò)等類型的攻擊。

盡管IPv6的內(nèi)部加密機(jī)制是為用戶與服務(wù)器之間的交流提供身份認(rèn)證與保密功能的，但該功能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機(jī)制繞過防火墻和IPS檢查，直接向服務(wù)器發(fā)起攻擊，原因正在于這些安全設(shè)備無法檢測加密內(nèi)容。攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協(xié)議機(jī)制偽裝各種進(jìn)攻。攻擊者會讓通過的信息包看上去跟正常的IPv4流量毫無差別，從而進(jìn)入企業(yè)核心網(wǎng)絡(luò)。

在IPv6協(xié)議中，重定向報(bào)文的主要作用是為局域網(wǎng)內(nèi)的節(jié)點(diǎn)提供正確的路由選擇。而IPv6重定向協(xié)議本身的主要功能是保證主機(jī)擁有動(dòng)態(tài)的、小而優(yōu)的路由表，以提高報(bào)文的轉(zhuǎn)發(fā)效率。但是，由于IPv6重定向協(xié)議缺乏源地址認(rèn)證，對于局域網(wǎng)中的惡意節(jié)點(diǎn)來說，就可以利用IPv6重定向報(bào)文實(shí)現(xiàn)數(shù)據(jù)報(bào)的非法重定向，從而實(shí)現(xiàn)多種攻擊措施。

其次，過渡技術(shù)存在隱患。Teredo是一項(xiàng)地址分配和自動(dòng)隧道技術(shù)，它能通過IPv4網(wǎng)絡(luò)傳遞IPv6流量，幫助客戶端實(shí)現(xiàn)對IPv4與IPv6協(xié)議的兼容。Teredo客戶端可以在把IPv6數(shù)據(jù)包傳遞到另一目的地的同時(shí)，繞過基于網(wǎng)絡(luò)的源路由控制，穿透防火墻等安全設(shè)備，而在Vista系統(tǒng)下該功能還被默認(rèn)啟用，這種技術(shù)所形成的安全漏洞很容易被黑客所利用。而Teredo的問題還沒有被完全解決，大量類似的過渡技術(shù)卻開始被更廣泛地使用，并且使用這些技術(shù)的相關(guān)產(chǎn)品還紛紛通過了IPv6認(rèn)證。這種狀況，不免讓人對當(dāng)前大批掛著IPv6認(rèn)證標(biāo)志的網(wǎng)絡(luò)安全產(chǎn)品的真實(shí)效果感到擔(dān)憂。

同時(shí)，可行的網(wǎng)絡(luò)監(jiān)管系統(tǒng)和可靠的移動(dòng)網(wǎng)絡(luò)技術(shù)尚缺乏。一是目前僅僅建立了IPv6網(wǎng)絡(luò)還不行，必須提供對大范圍的IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測、管理的手段。這對于網(wǎng)絡(luò)的故障定位、性能分析，保障網(wǎng)絡(luò)的高效運(yùn)行是十分必要的。二是由于移動(dòng)性是IPv6中最吸引人的應(yīng)用之一，而且也有廣泛的使用范圍。然而如何使移動(dòng)IPv6網(wǎng)絡(luò)能夠可靠地運(yùn)行，需要具備3A（身份鑒別、授權(quán)、計(jì)費(fèi)）功能的移動(dòng)IPv6網(wǎng)關(guān)的支持，而這在目前還沒能解決。

QoS方面尚需改善。IPv6對QoS的考慮主要是設(shè)定了通信流類型（8bit）和數(shù)據(jù)流標(biāo)記（20bit）。當(dāng)然，這28bit只是用來指示特定的數(shù)據(jù)流，真正的QoS實(shí)現(xiàn)還需要網(wǎng)絡(luò)設(shè)備采用特定技術(shù)。而未來的IP電信網(wǎng)的業(yè)務(wù)需求是：求IP網(wǎng)能提供與傳統(tǒng)電信網(wǎng)相同的QoS，可是網(wǎng)絡(luò)的QoS不可能用無限的帶寬來實(shí)現(xiàn)。NGN（下一代網(wǎng)絡(luò)）需要新一代的QoS技術(shù)，IPv6在QoS方面尚需改善。

還不能實(shí)現(xiàn)真正的可擴(kuò)展性。IPv6雖然從格式上解決了可擴(kuò)展的問題，但是在網(wǎng)絡(luò)上要實(shí)現(xiàn)真正的可擴(kuò)展性還需要有大量的協(xié)議去配合。

還沒有IPv6新業(yè)務(wù)和應(yīng)用的關(guān)鍵標(biāo)準(zhǔn)。要支持IPv6進(jìn)入商用階段，新業(yè)務(wù)和應(yīng)用的標(biāo)準(zhǔn)建設(shè)極為重要。目前，與3G（第三代移動(dòng)通信）網(wǎng)絡(luò)有關(guān)的IPv6國際標(biāo)準(zhǔn)主要集中在IP多媒體領(lǐng)域，有關(guān)移動(dòng)終端支持IPv6的提案也即將成為國際標(biāo)準(zhǔn)。而這些都是IPv6新業(yè)務(wù)和應(yīng)用標(biāo)準(zhǔn)化工作的重點(diǎn)，中國應(yīng)該在這些重點(diǎn)領(lǐng)域形成自己的標(biāo)準(zhǔn)。

此外，IPv6離真正的網(wǎng)絡(luò)管理要求相距甚遠(yuǎn)。IPv6網(wǎng)絡(luò)最顯著的特點(diǎn)在于128位的地址，這樣趨于無窮大的地址范圍，拓?fù)涔芾淼膶?shí)現(xiàn)變得更加復(fù)雜，原來的工具不能解決問題。同時(shí)，由于IPv6無狀態(tài)地址自動(dòng)配置的技術(shù)和組播地址類型實(shí)現(xiàn)的變化，配置管理部分需要考慮IPv6獨(dú)特的地址分配技術(shù)。另一個(gè)問題是：性能管理、流量管理和故障管理基本依賴于SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）、流統(tǒng)計(jì)（比如Netflow協(xié)議）工具和ICMP（Internet控制報(bào)文協(xié)議）等協(xié)議和技術(shù)，IPv6網(wǎng)絡(luò)設(shè)備必須能夠支持。但是目前各個(gè)廠商的網(wǎng)絡(luò)設(shè)備對這些協(xié)議支持的接口不統(tǒng)一，使網(wǎng)絡(luò)管理平臺需要對不同的設(shè)備建立不同的網(wǎng)絡(luò)管理軟件。這些都是保證IPv6網(wǎng)絡(luò)健康發(fā)展迫切需要解決的問題。

最后，現(xiàn)有Internet交換和路由基礎(chǔ)設(shè)施不適應(yīng)IPv6。許多使用定制ASIC（專用集成電路）的核心和關(guān)鍵包流量的設(shè)備只能適應(yīng)IPv4數(shù)據(jù)流。有些設(shè)備的制造商可以通過軟件升級的方式使其具備支持IPv6的能力。但專門設(shè)計(jì)的ASIC是無法升級的，因此路由的任務(wù)將全部落在CPU（中央處理器）的頭上。而典型的路由設(shè)備不具備特別強(qiáng)大的CPU。畢竟ASIC不是為此類用途設(shè)計(jì)的。路由IPv6流量會大幅度降低吞吐速度。在運(yùn)行一段時(shí)間后，路由器和板卡會在越來越高的IPv6性能要求下變得非常遲鈍。雖然程度會有所不同，但一些專家估計(jì)，性能下降的幅度將可能高達(dá)60%。

們應(yīng)如何應(yīng)對

首先是制定明確的IPv6部署戰(zhàn)略。到目前，IPv6仍是從根本上突破互聯(lián)網(wǎng)發(fā)展瓶頸的方案，但需政府主導(dǎo)推動(dòng)。為此，美國已經(jīng)要求所有設(shè)備制造商2010年7月前必須使用IPv6標(biāo)準(zhǔn)。歐盟要求2010年25%的用戶能夠連接到IPv6。而據(jù)報(bào)道，在IPv6的全球路由表里，中國只有137個(gè)組織接入IPv6網(wǎng)，全球排第14位。這137個(gè)中沒有一個(gè)能支持千萬級的用戶接入。很顯然，中國還沒有真正在IPv6發(fā)力。好在國家發(fā)改委等7部委已制定了《關(guān)于下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設(shè)的意見》，明確了下一代互聯(lián)網(wǎng)“五年”發(fā)展騰躍規(guī)劃。工業(yè)和信息化部關(guān)于下一代互聯(lián)網(wǎng)也有11個(gè)相關(guān)規(guī)劃已經(jīng)或即將發(fā)布。未來仍應(yīng)啟動(dòng)專項(xiàng)，為下一代互聯(lián)網(wǎng)在產(chǎn)業(yè)和技術(shù)方面進(jìn)行部署、推廣應(yīng)用及注重信息安全等。應(yīng)用商、網(wǎng)絡(luò)商和終端商應(yīng)按照規(guī)劃要求，擔(dān)負(fù)起為IPv6網(wǎng)絡(luò)發(fā)展提供基礎(chǔ)網(wǎng)絡(luò)環(huán)境的責(zé)任，共同培育IPv6市場，并利用IPv6網(wǎng)絡(luò)地址豐富的特點(diǎn)開發(fā)適合IPv6的新型應(yīng)用技術(shù)，構(gòu)建新的互聯(lián)網(wǎng)商業(yè)模式與適合物聯(lián)網(wǎng)等新興應(yīng)用的安全可控的網(wǎng)絡(luò)業(yè)務(wù)環(huán)境，而不僅僅將它作為單純的地址替代。

制訂IPv6行業(yè)標(biāo)準(zhǔn)。中國通信標(biāo)準(zhǔn)化協(xié)會從2006年開始進(jìn)行IPv6有關(guān)標(biāo)準(zhǔn)化工作，并開展了大量的IPv6標(biāo)準(zhǔn)研制和預(yù)演工作，迄今為止49項(xiàng)已頒布、17項(xiàng)正在研究、6項(xiàng)待發(fā)布。內(nèi)容涉及安全、網(wǎng)絡(luò)、資源、應(yīng)用、傳輸?shù)确矫?。其中?012年6月1日開始實(shí)施的《基于IPv6的下一代互聯(lián)網(wǎng)體系架構(gòu)》，以互聯(lián)網(wǎng)工程任務(wù)組（IETF）及國內(nèi)IPv6相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)，結(jié)合我國運(yùn)營商網(wǎng)絡(luò)的具體情況制定，規(guī)定了基于IPv6的下一代互聯(lián)網(wǎng)組網(wǎng)架構(gòu)及總體技術(shù)要求，包括下一代互聯(lián)網(wǎng)應(yīng)具備的服務(wù)質(zhì)量保障、網(wǎng)絡(luò)可靠性、移動(dòng)性、安全管理等能力要求。國內(nèi)標(biāo)準(zhǔn)雖然在網(wǎng)絡(luò)協(xié)議、設(shè)備標(biāo)準(zhǔn)等方面已經(jīng)能夠滿足IPv6網(wǎng)絡(luò)建設(shè)的需要，但整體上仍處于跟隨國際標(biāo)準(zhǔn)的地位。在過渡類、應(yīng)用類標(biāo)準(zhǔn)方面，我國雖在軟線技術(shù)、IVI技術(shù)標(biāo)準(zhǔn)方面有所創(chuàng)新但尚未完善，仍需重點(diǎn)研究。

其次是培育IPv6研究團(tuán)隊(duì)和用戶群。據(jù)報(bào)道，法國電信將在2014年開始進(jìn)行IPv6商用，意大利電信會于2013年9月在固網(wǎng)上開始IPv6嘗試，日本、澳大利亞已經(jīng)建起了相當(dāng)規(guī)模的IPv6網(wǎng)絡(luò)。我國也于20世紀(jì)90年代啟動(dòng)下一代互聯(lián)網(wǎng)研究，并于2003年啟動(dòng)下一代互聯(lián)網(wǎng)示范工程的建設(shè)。目前，該工程覆蓋了20個(gè)以上的城市，60個(gè)節(jié)點(diǎn)300多個(gè)駐點(diǎn)網(wǎng)，經(jīng)過幾年努力已經(jīng)建成世界上最大的IPv6骨干網(wǎng)絡(luò)。并在2008年北京奧運(yùn)會、2010年上海世博會和2011年深圳大運(yùn)會上獲得成功應(yīng)用，初步積累了IPv6運(yùn)營經(jīng)驗(yàn)。但現(xiàn)實(shí)中IPv6面臨的四大尷尬發(fā)人深思：一是IPv6的發(fā)展僅僅限于CERNET2這個(gè)小圈子里；二是電信運(yùn)營商的口號大于實(shí)際行動(dòng)；三是ICP/ISP都認(rèn)為與己無關(guān)，沒有商業(yè)模式；四是最終用戶也無法感覺到IPv6同IPv4到底有什么區(qū)別。

全面提高信息安全技術(shù)保障與支持能力。發(fā)展中國的IPv6，要堅(jiān)持產(chǎn)業(yè)發(fā)展與安全保障并重的原則。加快發(fā)展信息安全產(chǎn)業(yè)，培育龍頭骨干企業(yè)，加強(qiáng)下一代互聯(lián)網(wǎng)信息安全關(guān)鍵技術(shù)的研發(fā)，完善下一代互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系和產(chǎn)品檢測體系，全面提高信息安全技術(shù)保障與支持能力。

建設(shè)基于IPv6的下一代可信域名系統(tǒng)。在目前環(huán)境下應(yīng)從國家層面加大技術(shù)產(chǎn)業(yè)化投入，從域名軟件開發(fā)、域名專用設(shè)備、域名安全運(yùn)維商用服務(wù)等方面入手，建設(shè)基于IPv6的下一代可信域名系統(tǒng)，因?yàn)檫@是保障我國互聯(lián)網(wǎng)以及企業(yè)網(wǎng)絡(luò)安全的最佳手段。2011年，我國自主研發(fā)的域名專用設(shè)備已率先成為全球首家通過IPv6金牌核心協(xié)議增強(qiáng)認(rèn)證的商用DNS（域名系統(tǒng)）設(shè)備，同時(shí)也是中國首家全面支持DNSSEC（DNS安全擴(kuò)展）的商用DNS設(shè)備。中網(wǎng)（knet.cn）推出的域名安全運(yùn)維整體解決方案不僅全面支持IPv6核心協(xié)議，支持過渡階段網(wǎng)絡(luò)協(xié)議的升級和轉(zhuǎn)換，而且為了應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，全面支持DNSSEC，可以進(jìn)行域名服務(wù)體系運(yùn)行分析，提供安全監(jiān)測平臺。這意味著在歷經(jīng)IPv4技術(shù)多年跟隨后，在IPv6域名技術(shù)服務(wù)層面，中國已站在了世界領(lǐng)先的位置上，為我國建設(shè)基于IPv6的下一代可信網(wǎng)絡(luò)提供了技術(shù)保障和技術(shù)優(yōu)勢。

此外，在可預(yù)見的未來為支持IPv4和IPv6的雙重存在和架構(gòu)做好規(guī)劃。即同時(shí)保留兩套平行運(yùn)行的網(wǎng)絡(luò)設(shè)備，其中一套處理IPv4流量而另一套處理IPv6流量。并積極尋求網(wǎng)絡(luò)升級，以確保Internet大規(guī)模的連接和IP兼容性。

對于用戶來說。一是要對網(wǎng)絡(luò)管理人員進(jìn)行有關(guān)IPv6協(xié)議的培訓(xùn)。二是要對現(xiàn)有的設(shè)備設(shè)置進(jìn)行檢查，并升級安全工具。三是由于隧道協(xié)議將會產(chǎn)生新的風(fēng)險(xiǎn)，如有必要，可以在網(wǎng)絡(luò)邊界內(nèi)封鎖IPv6隧道協(xié)議。四是要慎用非監(jiān)控狀態(tài)的自動(dòng)設(shè)置功能。因?yàn)檫@個(gè)技術(shù)允許系統(tǒng)產(chǎn)生自己的IP地址，并且檢查地址的重復(fù)性，這對于跟蹤網(wǎng)絡(luò)資源使用的網(wǎng)絡(luò)管理員來說，提出了很大的難題。需要特別指出的是，由于自動(dòng)設(shè)置造成的尋址復(fù)雜性有可能導(dǎo)致反垃圾郵件軟件在設(shè)置IP地址黑名單時(shí)產(chǎn)生問題，從而產(chǎn)生更多的垃圾郵件和病毒，因此，這點(diǎn)尤其應(yīng)引起注意。五是即使是對于某些通過認(rèn)證的安全設(shè)備，也要慎重選擇。雖然目前不少廠商都宣稱自己擁有通過了IPv6認(rèn)證的安全產(chǎn)品，但事實(shí)上許多廠商只是提供了一個(gè)特別的版本，僅是能夠支持與IPv6網(wǎng)絡(luò)通信的能力或依靠某個(gè)License運(yùn)行，并不意味著這些產(chǎn)品能夠有效解決IPv6帶來的安全問題。甚至很多安全產(chǎn)品在處理類似Teredo問題時(shí)，不是存在局限性就是徹底無效。因此，在不了解它們的運(yùn)作機(jī)制前，不能盲目采購。比如，企業(yè)依舊需要檢測防火墻是否可以讓一些未經(jīng)檢查的IPv6流量輕松通過，而不是將其視為非IPv6應(yīng)用版加以攔截、檢查；IPv6流量是否可以繞過多個(gè)深層數(shù)據(jù)包引擎的硬件組件等。

相對于人們在IPv4上積累的安全經(jīng)驗(yàn)來說，業(yè)界在IPv6安全方面的經(jīng)驗(yàn)仍有不足。在逐漸引入IPv6的日子里，所有的網(wǎng)絡(luò)設(shè)備都不得不支持兩個(gè)版本的網(wǎng)絡(luò)協(xié)議，因此增加的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)很可能導(dǎo)致巨大的損失。為此，在人們看清IPv6之前，警惕與熱情顯然需要并存。