王文溥

（長治學(xué)院 計算機系，山西 長治 046011）

1 引言

IPv6相對于IPv4，在細節(jié)上進行了改進和提升。其中包括：第一，IPv6比IPv4使用的網(wǎng)絡(luò)地址更大，數(shù)據(jù)報頭部的格式更加新穎。第二，IPv6將IPv4中使用的含有變長的可選項的頭部進行了改良，改為使用規(guī)范的定長的頭部處理可選信息。

IPv6主要特性表現(xiàn)在以下五個方面：Addvesisize、Headver Format、Excension Header、Supportforawd and以及Excensible Proload。

2 IPV6的安全體系架構(gòu)

IPSec安全性服務(wù)的系統(tǒng)構(gòu)成有AuthenticationHeader、封裝安全性凈荷頭(EncapsulatingSecurityPayloadHeader)、密鑰管理協(xié)議的安全機制。AH在IP身份驗證頭(RFC4302)中得到闡述，ESP頭在RFC4303和RFC4305中對得到闡述。以上這些也只是安全體系架構(gòu)的第一層。

各安全性頭可單獨也可一起使用。在AH放在ESP頭前面時，可以同時使用多個擴展頭，此時，必須先通過身份驗證，再凈荷解密ESP頭。在IPSec隧道的應(yīng)用中，大部分的擴展頭可嵌套在一起進行，也就是源節(jié)點對IP包進行加密和數(shù)字簽名，在發(fā)送給本地安全性網(wǎng)關(guān)后，這個網(wǎng)關(guān)第二次實施加密和數(shù)字簽名，再發(fā)送給其他安全性網(wǎng)關(guān)。

在實際應(yīng)用中，還有一點是不容忽視的，即ESP頭與AH在IPv4和IPv6中都是適用的。

3 IPv6安全性應(yīng)用的現(xiàn)實性分析

3.1 公鑰傳遞

IPv6協(xié)議的IPSec需求在RFC4301有所界定，但并沒有關(guān)于密鑰交換途徑的規(guī)定。因此，通過手動設(shè)置主密鑰來完成，但因其需要耗費大量的時間，并不適合大規(guī)模的應(yīng)用。所以，可以選擇通過使用一臺中心授權(quán)服務(wù)器來實現(xiàn)。在大量的實際應(yīng)用中，中心授權(quán)服務(wù)器的使用還存在一些問題和缺陷。

3.2 防火墻和入侵檢測系統(tǒng)

IPv6的優(yōu)勢之一就是端到端的IPSec，然而，ESP加密的方式會增大防火墻的安全威脅：在包是端到端加密的情況下，防火墻要實現(xiàn)繞過密碼直接對包進行監(jiān)測。在系統(tǒng)中心放置加密密鑰則會導(dǎo)致網(wǎng)絡(luò)出現(xiàn)中心漏洞。可行性的解決途徑是：單獨設(shè)立專有服務(wù)器來存儲攻擊者的信息和數(shù)據(jù)，客戶端將這些數(shù)據(jù)庫進行下載，計算機對其進行檢測，當(dāng)出現(xiàn)與數(shù)據(jù)庫類相同的內(nèi)容時就發(fā)起警報。

3.3 兼容性

隨著互聯(lián)網(wǎng)的普及使用，從IPv4轉(zhuǎn)化到IPv6是需要一個過程的。就IPv6來說，絕非是一個簡單的升級，并不是從IPv4直接升級成為了IPv6，通過比較分析我們可以看到，其頭部特性和匹配地址的機制是存在差異的，這兩種機制并不是彼此兼容的。所以，怎樣將IPv4完美轉(zhuǎn)化到IPv6是需首要解決的問題，也成為了相關(guān)業(yè)內(nèi)人士共同研究的話題。

4 IPv6的企業(yè)安全性模型

互聯(lián)網(wǎng)日益普及，而且，因為業(yè)務(wù)上的需求，NAT的使用范圍更為廣泛，在這種情勢之下我們也要對IPv4做客觀的分析。在實踐應(yīng)用中，IPv4的安全性能正在逐步降低，帶來許多的不穩(wěn)定因素，嚴(yán)重影響到了其安全性。而作為IPv6，暴露的部分問題還是可以做出有效的處理和解決的。假設(shè)必須要對外部的隱藏網(wǎng)絡(luò)進行拓撲，那就不應(yīng)該再利用NAT相關(guān)技術(shù)，而應(yīng)采用privateaddressing等技術(shù)。

在先前的IPv4網(wǎng)絡(luò)內(nèi)，其安全模型是邊界防火墻和NAT的集成。而在IPv6網(wǎng)絡(luò)內(nèi)，應(yīng)當(dāng)構(gòu)建一個更為科學(xué)有效的模型來確保整個網(wǎng)絡(luò)的安全性，而且，需要強化端口之間的聯(lián)絡(luò)水準(zhǔn)。在IPv6中，無論哪個節(jié)點都是擁有IPSec能力的。全部依靠防火墻顯然不行。一旦黑客進到了防火墻后的網(wǎng)絡(luò)，就會完全悉知整個網(wǎng)絡(luò)內(nèi)容，不但信息安全得不到保證，同時，給整個網(wǎng)絡(luò)安全帶來巨大的隱患。要構(gòu)建健全的模型，必須要發(fā)揮節(jié)點、可信主機、核心安全策略庫這三者的功效，有機統(tǒng)一在一起，從而形成建立在網(wǎng)絡(luò)ID基礎(chǔ)之上的身份驗證體系。與此同時，防火墻的作用還能進一步挖掘，但現(xiàn)實情況是，單純依托它是不夠的，需要將其和節(jié)點防火墻結(jié)合起來，形成一個綜合性、分布式的安全網(wǎng)絡(luò)。

5 IPV6在下一代互聯(lián)網(wǎng)中存在的問題研究

5.1 運用TCP協(xié)議的不足

當(dāng)前最為流行的運用TCP協(xié)議不足進行攻擊的形式就是SYNFlood攻擊，具體來說，就是同一時間發(fā)布大量的假的TCP鏈接請求，導(dǎo)致內(nèi)存資源或者CPU資源耗費完。黑客首先給主機發(fā)布大量假地址的含有SYN標(biāo)識的TCP報文。而主機則會向這一地址發(fā)送AYN+ACK報文，但是，由于地址是假的，所以，它不會返回到最終的ACK報文，主機等待之后，會再次發(fā)送AYN+ACK報文，而那些沒有進行完的鏈接就會進行列隊，等候再次發(fā)送。同時，這些沒有進行完的鏈接在列隊中存在時間上的間隙，通常的再次傳送次數(shù)和超時機制應(yīng)付不了那些惡意的大量的TCPSYN報文，這樣就導(dǎo)致這種時間上的間隙被完全占據(jù)。此時服務(wù)器就會來處理這些鏈接，從而沒法響應(yīng)那些新的請求，資源也就耗費完了。這種問題的緣由在于TCP協(xié)議自身存在不足，目前，IPv6也不能解決這一問題[5]。

5.2 網(wǎng)絡(luò)病毒

在IPv6中，地址有128位，顯然，其長度是比較長的，這樣就保證了病毒不能憑借對地址段的掃描來攻擊主機，從一定程度來說，降低了網(wǎng)絡(luò)病毒對安全性的威脅。但我們也要客觀地看到，在IPv6中，許多關(guān)鍵性的服務(wù)器或者是主機都是通過了路由器的，所以，它們的IP地址存在著很大的風(fēng)險，比較容易就被攻擊了。因此，關(guān)鍵性的服務(wù)器或者是主機的安全防控十分必要，假設(shè)被攻擊，會對整個網(wǎng)絡(luò)產(chǎn)生威脅。

5.3 對應(yīng)用服務(wù)的威脅

在IPv6中，其加密和安全機制主要是在傳輸以及網(wǎng)絡(luò)層起作用，由于安全性并不是單一的，而是多方面、多層次的，而互聯(lián)網(wǎng)本身和運用管理系統(tǒng)的不健全，這就導(dǎo)致無論如何推行IPv6，也不能從本質(zhì)上來解決所有層面的安全隱患。

5.4 拒絕服務(wù)DoS的攻擊

拒絕服務(wù)攻擊指的是：通過某種強制性的手段，刻意來對協(xié)議進行攻擊，或者是刻意來消耗對象的相關(guān)資源。其目的是，促使計算機或者是網(wǎng)絡(luò)的服務(wù)以及訪問資源功能丟失，導(dǎo)致系統(tǒng)停止運作，甚至導(dǎo)致系統(tǒng)崩潰。它并不是要獲取攻擊對象的資源，而是要毀壞相應(yīng)的資源或設(shè)備。

在IPv6網(wǎng)絡(luò)中，由于其組發(fā)地址的方式比較特殊，就很可能受到攻擊。比方說，其地址FF01：：1代表著全部的動態(tài)地址分配服務(wù)器，假設(shè)給這一地址發(fā)布IPv6報文，而這個報文就能傳達到整個網(wǎng)絡(luò)中的動態(tài)地址分配服務(wù)器中。

除此之外，認證以及加密都是要計算的，為了確保安全穩(wěn)定，加密的密匙就需要長一些，而此時的計算量就會變大。而在目前，COU主頻的增長速率是遠小于網(wǎng)絡(luò)帶寬的速率的，假設(shè)黑客給主機發(fā)布大量的惡性或者是沒有的加密包數(shù)據(jù)，那么，CPU就會花費大量時間來分析這些數(shù)據(jù)包，此時，其它請求就無法做出反應(yīng)。

總的來說，在IPv6下一代的互聯(lián)網(wǎng)中確保網(wǎng)絡(luò)的安全和穩(wěn)定，就必須要有一套完善、科學(xué)、有效、全面的安全體制，以網(wǎng)絡(luò)體系為基礎(chǔ)，確保在設(shè)計階段、推行階段以及客戶應(yīng)用階段的安全和穩(wěn)定，與此同時，對管控的基礎(chǔ)作用要加以重視，嚴(yán)格區(qū)分權(quán)限和層次兩方面，必須重視規(guī)則和體制，要全方位結(jié)合起來，以此來保證網(wǎng)絡(luò)的安全性和穩(wěn)定性。

［1］張貴軍.基于I Pv6協(xié)議的網(wǎng)絡(luò)安全問題探討［J］.微計算機信息.2011，12（2）：35-38.

［2］謝馥嘉.新一代互聯(lián)網(wǎng)通信協(xié)議I Pv6安全性研究［J］.科技信息.2011，14（6）：46-47.

［3］蘇曉淺.析I Pv6的安全機制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響［J］.通信電源技術(shù).2010，04（3）：23-24.

［4］王艷華、左明.基于I Pv6的互聯(lián)網(wǎng)安全問題探討［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2011，02（5）：30-33.

［5］黃春穎.從I P V4到I P V6過渡時期的安全隱患研究［J］.電腦知識與技術(shù).2011，02（4）：29-30.

（責(zé)任編輯張劍妹）