王巖

摘 要 文章首先針對IPv6的發(fā)展以及技術(shù)特征進行了說明，而后進一步對其安全進步特征展開了討論，同時兼顧到仍然存在于網(wǎng)絡(luò)環(huán)境中的安全弊端，對于深入認識IPv6協(xié)議有著積極意義。

關(guān)鍵詞 IPv6；安全；分析

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）05-0181-01

當(dāng)前信息環(huán)境之下，數(shù)據(jù)傳輸成為了支持整個互聯(lián)網(wǎng)展開工作的重要工作內(nèi)容。而在負責(zé)保持整個網(wǎng)絡(luò)運行的互聯(lián)網(wǎng)協(xié)議群（IPS，Internet Protocol Suite）框架中，IP（Internet Protocol）協(xié)議則肩負著為計算機網(wǎng)絡(luò)相互連接進行通信關(guān)鍵任務(wù)，因此其安全特征也受到了行業(yè)內(nèi)部的一貫關(guān)注。

1 IPv6的發(fā)展以及技術(shù)特征

隨著數(shù)據(jù)傳輸技術(shù)的不斷成熟與發(fā)展，IP協(xié)議也在實現(xiàn)著不斷的進步與完善。當(dāng)前互聯(lián)網(wǎng)工程任務(wù)組（IETF，Internet Engineering Task Force）所設(shè)計的IPv6（Internet Protocol Version 6），作為替代IPv4的最新版本IP協(xié)議，一方面對當(dāng)前日益成熟的數(shù)據(jù)傳輸服務(wù)和與日俱增的數(shù)據(jù)傳輸總量和流媒體數(shù)據(jù)作出更多服務(wù)質(zhì)量和能力方面的考慮，另一個方面也根據(jù)逐漸嚴峻的網(wǎng)絡(luò)數(shù)據(jù)傳輸安全展開了進一步的完善和調(diào)整。與此同時，考慮到網(wǎng)絡(luò)中相關(guān)軟件與協(xié)議的進步是一個相對緩慢的循序漸進的過程，IPv6協(xié)議還需要與更早一些，并且已經(jīng)在網(wǎng)絡(luò)中實現(xiàn)普遍應(yīng)用的IPv4協(xié)議保持兼容。

單純從設(shè)計角度看，IPv4產(chǎn)生于20世紀80年代初，1983年應(yīng)用于ARPAnet，因此奠定了其堅實的應(yīng)用基礎(chǔ)，這種以教育科研網(wǎng)和一般性企業(yè)網(wǎng)絡(luò)作為服務(wù)對象的數(shù)據(jù)傳輸協(xié)議，本身對于安全的考慮就有所不足，因此隨著經(jīng)濟的發(fā)展，必然會在安全層面呈現(xiàn)出一定的短板問題。針對于此種狀況，IPv6協(xié)議重點在如下幾個方面做出了必要改進。

1）在網(wǎng)絡(luò)地址空間方面，IPv6協(xié)議擴大了地址空間容量。鑒于IP協(xié)議中單地址的長度直接關(guān)系到網(wǎng)絡(luò)地址空間的質(zhì)量和安全水平，IPv6規(guī)定了其單地址長度為128bit，這是迄今為止最為龐大的地址空間，在這樣的地址空間支持之下，網(wǎng)絡(luò)病毒想要借掃描地址來實現(xiàn)對于計算機的攻擊，其難度將會大大增加。這種地址方面的改進，對于網(wǎng)絡(luò)安全的加強有著直接的推動作用。IPv6協(xié)議另一個與地址相關(guān)的方面在于其在尋址能力方面有一個顯著的提升。IPv6協(xié)議采用了層次化的地址結(jié)構(gòu)，因此能夠表現(xiàn)出良好的聚合特征，這對于路由尋址能力和對于地址的查找速度等方面都有一定的推進作用，同時對于路由表的規(guī)格縮減也功不可沒。同時IPv6網(wǎng)絡(luò)地址管理和分配采用的這種分級方式，也對推進網(wǎng)絡(luò)信息安全有著一定價值。

2）IPv6協(xié)議對于流概念的支持呈現(xiàn)出顯著特征。當(dāng)前數(shù)據(jù)傳輸環(huán)境中，相應(yīng)的數(shù)據(jù)傳輸物理介質(zhì)均轉(zhuǎn)向光網(wǎng)絡(luò)，這給更高速率、更多并發(fā)的數(shù)據(jù)傳輸服務(wù)提供了堅實的基礎(chǔ)，也從一個側(cè)面推動了流媒體的產(chǎn)生和應(yīng)用。IPv6協(xié)議將流的支持納入了考慮范圍之內(nèi)，設(shè)置了20bit流標(biāo)簽域，并作出了其他方面配套規(guī)定，用以實現(xiàn)對更多種類數(shù)據(jù)傳輸業(yè)務(wù)的支持。最后，IPv6協(xié)議還在移動性方面做出了考慮，這也是對于當(dāng)前數(shù)據(jù)傳輸需求特征的一種迎合和改善。在這一方面，IPv6協(xié)議支持為每一個網(wǎng)絡(luò)設(shè)備提供一個單獨的IP地址，能夠為移動終端提供良好的傳輸服務(wù)。并且IPv6也在協(xié)議頭格式方面做出了改變，將其開銷盡量降低，便于實現(xiàn)協(xié)議頭格式的簡單化。

2 IPv6協(xié)議的安全特征分析

鑒于IPv6協(xié)議做出了如此諸多方面的改善，其在安全方面也呈現(xiàn)出更為突出的特征。

IPv6的安全機制，重點包括驗證分析、加密分析兩個方面。對于驗證分析而言，IPv6框架包括了六個構(gòu)成部分，其中最為重要部分是認證報頭（AH，Authentication Header），其存在的價值在于為數(shù)據(jù)傳輸提供驗證和加密，從根本上看，這是一種基于IP數(shù)據(jù)包數(shù)據(jù)完整性和數(shù)據(jù)源身份認證的結(jié)構(gòu)存在。并且IETF也對IPv6協(xié)議層的安全框架做出了明確說明，因此相對而言，IPv6具有更好的標(biāo)準(zhǔn)化特征。而從加密角度看，IPv6協(xié)議能夠為IP數(shù)據(jù)包提供包括數(shù)據(jù)加密在內(nèi)的無連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認證以及抗重播攻擊保護的多項服務(wù)，并且借由封裝安全負載報頭（ESP，Encapsulation Security Payload）加以實現(xiàn)。ESP的出現(xiàn)價值在于實現(xiàn)不同IPv6協(xié)議網(wǎng)絡(luò)之間混合業(yè)務(wù)的安全特征，通過對傳輸目標(biāo)數(shù)據(jù)以及加載進行嚴格的加密，來實現(xiàn)避免無關(guān)用戶展開對傳輸過程的信息監(jiān)聽。在實際的傳輸工作中，AH和ESP通常共同工作，用以確保IPv6網(wǎng)絡(luò)的安全特征，除此以外，還包括負責(zé)密鑰產(chǎn)生和分配相關(guān)工作的IP密鑰管理協(xié)議（IKMP，Internet Key Management Protocol），也都被包含砸IPv6協(xié)議之中，向網(wǎng)絡(luò)數(shù)據(jù)傳輸提供安全支持。

雖然IPv6協(xié)議對于網(wǎng)絡(luò)數(shù)據(jù)傳輸安全特征已經(jīng)做出了充分的考慮，但是仍然存在一定的不足之處。首先IPv4向IPv6過渡的過程中，為了確保不同協(xié)議網(wǎng)絡(luò)之間的連通性，開發(fā)出的以雙棧技術(shù)和隧道技術(shù)作為代表的過渡技術(shù)，其本身存在安全風(fēng)險。雙棧技術(shù)由于需要同時支持IPv4和IPv6主機，因此彼此的安全特征會受到對方的牽制；而隧道技術(shù)本質(zhì)只是對數(shù)據(jù)包進行封裝和解封，而并不深入進行識別，因此隧道的引入，實際上反而會給網(wǎng)絡(luò)的安全特征帶來額外的威脅。此外對于IPv6協(xié)議而言，其中的組播技術(shù)也存在一定的安全缺陷，這種基于用戶數(shù)據(jù)報協(xié)議（UDP，User Datagram Protocol）來實現(xiàn)傳輸?shù)墓ぷ鞣绞?，由于缺乏傳輸控制協(xié)議（TCP，Transmission Control Protocol）提供的可靠傳輸功能，加之組播本身的開放特征等方面，也都為IPv6網(wǎng)絡(luò)帶來安全隱患。從實際的工作層面看，IP組播支持任何主機向某組播地址發(fā)送UDP數(shù)據(jù)包，并且低層組播機構(gòu)將傳送這些UDP包到所有組成員，與此同時在組播通信環(huán)境下，任何成員都能夠利用組播偵聽發(fā)現(xiàn)協(xié)議（MLD，Multicast Listener Discover）請求臨近的路由加入組播群組，因此根本無法確保通信機密性。

3 結(jié)論

對于IPv6網(wǎng)絡(luò)而言，其安全隱患還出現(xiàn)在無狀態(tài)地址自動配置方面以及移動應(yīng)用環(huán)境中等諸多領(lǐng)域?；诖朔N安全考慮，一方面應(yīng)當(dāng)清醒認識到IPv6協(xié)議本身的安全進步特征，但同時也必須深入分析其本身存在的安全隱患，有的放矢的展開必要的技術(shù)限制以及彌補措施。只有如此，才能確保整個數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全性，為用戶提供可靠的數(shù)據(jù)傳輸服務(wù)。

參考文獻

[1]宋玉蓉，蘇曉萍.從IPv4向IPv6過渡的隧道技術(shù)[J].青海師范大學(xué)學(xué)報（自然科學(xué)版），2003（4）.

[2]張秀愛.IPv6安全機制的研究[J].通信技術(shù)，2009（07）.endprint