申健　朱婧

摘 要：IPv4因其存在的固有缺陷已不能滿足網(wǎng)絡服務和應用的普及與發(fā)展需求，由IPv4向IPv6過渡是互聯(lián)網(wǎng)發(fā)展的必然趨勢。IPv6協(xié)議特有的安全特點在提高網(wǎng)絡安全性能的同時，也帶來了新的安全問題。介紹IPv4向IPv6過渡階段應用的雙協(xié)議棧技術(shù)、隧道技術(shù)和網(wǎng)絡地址轉(zhuǎn)換/協(xié)議轉(zhuǎn)換技術(shù)，結(jié)合校園網(wǎng)的實際運行情況，分析了雙協(xié)議棧網(wǎng)絡可能遇到的網(wǎng)絡安全隱患，并給出了相應的對策。

關(guān)鍵詞：校園網(wǎng)；IPv4；IPv6；雙協(xié)議棧；安全隱患；對策

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2095-1302（2015）04-00-03

0 引 言

互聯(lián)網(wǎng)的飛速發(fā)展使得各種網(wǎng)絡服務和應用日益豐富，人類的日常生產(chǎn)和生活已經(jīng)越來越依賴于網(wǎng)絡這個交流平臺。但現(xiàn)有的互聯(lián)網(wǎng)則是基于IPv4技術(shù)使用32位地址段，最多能提供約43億個IP地址。隨著互聯(lián)網(wǎng)的進一步發(fā)展，以IPv4技術(shù)為基礎的現(xiàn)有互聯(lián)網(wǎng)已不能滿足需要，其原因是IPv4地址資源已經(jīng)耗盡，在安全和服務質(zhì)量以及對移動、智能網(wǎng)絡的支持上都存在嚴重不足。新一代互聯(lián)網(wǎng)協(xié)議IPv6的主要特點是：擁有128位地址空間，解決了IP地址不足的問題；是可匯聚、分級的地址結(jié)構(gòu)，有效減少了各級路由表問題，提高服務質(zhì)量，方便使用；通過移動頭（Mobility Header）和返回路徑可達過程（Return Routability Procedure）能夠更好地支持移動性[1]。

互聯(lián)網(wǎng)能否健康發(fā)展，安全是至關(guān)重要的因素之一。IPv6通過內(nèi)置的IPSec安全協(xié)議和對網(wǎng)絡層數(shù)據(jù)進行加密保證了數(shù)據(jù)的完整性和機密性，使得端對端數(shù)據(jù)傳輸具有較高的安全特性[2]。但僅僅這樣并不能代表IPv6網(wǎng)絡的安全可靠，隨著該技術(shù)的廣泛應用，其協(xié)議本身存在的安全問題、對入侵攻擊的防護等都為進一步發(fā)展帶來了安全隱患。本文結(jié)合長安大學具體情況，分析校園網(wǎng)IPv6網(wǎng)絡在實際中遇到的安全問題，討論其解決方法。

1 IPv6的安全優(yōu)勢

IPv6是網(wǎng)絡技術(shù)史上的一次重要升級，它從最初設計時就對安全問題進行了關(guān)注，因此和IPv4相比，IPv6在IP層擁有更高的安全性。

1.1 IPSec（Internet Protocol Security）安全性機制

IPSec是一種開放標準的框架結(jié)構(gòu)，通過使用加密的安全服務以確保在Internet協(xié)議網(wǎng)絡層上進行保密而安全的通訊。IPSec的安全特性屬于IPv6協(xié)議的外在安全特性，作為一種協(xié)議套件它可以“無縫”地為IP提供安全保障[3]。但實質(zhì)上可以說IPSec對于IPv4更像一個補丁程序，而對IPv6它已經(jīng)被看做是協(xié)議整體的一部分。

IPSec的結(jié)構(gòu)體系包括3部分：

（1）AH（Authentication Header）身份驗證協(xié)議，為數(shù)據(jù)包提供身份驗證功能。

（2）ESP（Encapsulated Security Payload）安全載荷協(xié)議，為數(shù)據(jù)包提供加密保證防止篡改。

（3）IKE（Internet Key Exchange）密鑰交換協(xié)議，為數(shù)據(jù)包交流安全提供保障。

這3個基本協(xié)議用來提供來源認證、數(shù)據(jù)完整性、數(shù)據(jù)機密性和訪問控制等保護形式。除此之外，還有密鑰管理協(xié)議ISAKMP（提供共享安全信息）、解釋域、算法和策略[4]等。如圖1所示，IPSec增強了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

1.2 IPv6特有的安全性

IPv6擁有128位的地址空間，理論上能提供2128-1個地址。與IPv4不同，IPv6的子網(wǎng)掩碼是64位，每一個網(wǎng)段約有264個地址。對于如此巨大的地址空間來說掃描整個子網(wǎng)需要的時間極其漫長，這就對通過自動掃描來查殺繁殖的網(wǎng)絡病毒造成了極大的困難。

在IPv4網(wǎng)絡中，每一個IPv4地址或者子網(wǎng)都可以分布在全世界任何一個地方，這種情況使得假冒IPv4源地址成為一件很容易的事，黑客可以使用隨機產(chǎn)生的地址來作為攻擊數(shù)據(jù)包的源地址。與IPv4不同，IPv6是可匯聚、分級的地址結(jié)構(gòu)，即IPv6上級互聯(lián)網(wǎng)供應商可以對自己客戶的地址段進行匯聚，在路由器或者網(wǎng)關(guān)設備中對網(wǎng)絡流量進行過濾，只允許客戶地址范圍內(nèi)的源地址通過。這樣，黑客就不能使用任意IP來假冒源地址，而且能夠使跟蹤和回溯假冒地址變得很容易[5]。

2 IPv6的安全缺陷

與IPv4相比，IPv6在數(shù)據(jù)保密性、完整性和網(wǎng)絡的可控性及抗攻擊性等方面都有了較大改善，一些IPv4網(wǎng)絡中常見的攻擊在IPv6網(wǎng)絡中已經(jīng)失效，但使用證明其仍然存在不少安全問題。

2.1 來自非網(wǎng)絡層的攻擊

IPv4和IPv6都是工作在網(wǎng)絡層上通過IP地址屏蔽底層不同的物理網(wǎng)絡，并對傳輸層提供服務的協(xié)議。與IPv4相比，IPv6網(wǎng)絡中數(shù)據(jù)包傳輸?shù)幕緳C制并沒有改變，仍然是在控制平面學習路由并通過已知的路由信息轉(zhuǎn)發(fā)數(shù)據(jù)包。因此，IPv4網(wǎng)絡中來自除去網(wǎng)絡層的其他層面中的攻擊在IPv6網(wǎng)絡中依然會出現(xiàn)。例如，通過TCP中存在的漏洞發(fā)動針對網(wǎng)絡路由器的“重啟式”攻擊，通過偽造MAC欺騙數(shù)據(jù)鏈路層設備[6]，以及DNS的安全性、SNMP的安全性和木馬、蠕蟲等都屬于這一類。

2.2 ICMPv6的缺陷

ICMPv6[7]即互聯(lián)網(wǎng)控制信息協(xié)議版本6，它包括了IPv4中的IMCP功能和ARP功能，是IPv6的重要組成部分。IPv6網(wǎng)絡正常工作需要ICMPv6協(xié)議，不能像IPv4網(wǎng)絡一般將其禁用，這就導致ICMPv6會被利用產(chǎn)生拒絕服務攻擊，以及偽造其他節(jié)點產(chǎn)生諸如超時、不可達和參數(shù)錯誤等信息，從而影響正常通信。

2.3 鄰居發(fā)現(xiàn)協(xié)議的漏洞

鄰居發(fā)現(xiàn)協(xié)議是IPv6的基礎協(xié)議，用來發(fā)現(xiàn)同一鏈路上的其他節(jié)點、進行地址解析和鄰居不可達檢測等。但利用鄰居發(fā)現(xiàn)協(xié)議，能夠通過發(fā)送錯誤的路由器宣告和錯誤的重定向消息，讓數(shù)據(jù)包流向不確定的地方，進而可能出現(xiàn)拒絕服務、攔截和修改數(shù)據(jù)包等現(xiàn)象[8]。

2.4 無狀態(tài)地址分配的隱患

雖然無狀態(tài)地址分配[9]這一技術(shù)為合法的網(wǎng)絡用戶使用IPv6網(wǎng)絡帶來了方便，但無狀態(tài)地址分配中的地址沖突檢測機制也給網(wǎng)絡造成了安全隱患。該協(xié)議認為任何自動配置的節(jié)點都是合法節(jié)點，新節(jié)點只要回復對臨時地址進行的鄰居請求，請求方就會認為地址已經(jīng)被使用而放棄該臨時地址，這樣攻擊者就能順利地連接到本地網(wǎng)絡中。

2.5 移動IPv6的安全問題

移動IPv6[10]中也存在不少安全問題，例如由錯誤的綁定信息而引起的拒絕服務攻擊、劫持攻擊、中間人攻擊和假冒攻擊等。

3 校園網(wǎng)IPv6的安全隱患

IPv4網(wǎng)絡在向IPv6網(wǎng)絡的過渡過程中一般應用三種過渡技術(shù)，即雙協(xié)議棧技術(shù)、隧道技術(shù)和網(wǎng)絡地址轉(zhuǎn)換技術(shù)。

3.1 過渡技術(shù)分析

（1）雙協(xié)議棧技術(shù)指的是單個網(wǎng)絡節(jié)點上既有IPv4棧又有IPv6棧，能夠同時支持IPv4和IPv6兩種協(xié)議，即該節(jié)點不但能與IPv4協(xié)議節(jié)點進行通信，還能與IPv6節(jié)點進行通信。這種技術(shù)在過渡初期是必須的，它能夠解決IPv4網(wǎng)絡和IPv6網(wǎng)絡之間的兼容問題，而雙協(xié)議棧技術(shù)也是其他過渡技術(shù)的基礎[10]。

（2）隧道技術(shù)是指將一種協(xié)議的報頭封裝在另一種協(xié)議里面來進行通信。IPv6隧道就是將IPv6數(shù)據(jù)封裝在IPv4的數(shù)據(jù)報中，等達到另一端后再進行解封。對于過渡過程中出現(xiàn)的“IPv6孤島”，隧道技術(shù)能夠使它在“IPv4海洋”中進行通信，但不能實現(xiàn)IPv4節(jié)點與IPv6節(jié)點之間的通信。

（3）網(wǎng)絡地址轉(zhuǎn)換技術(shù)在網(wǎng)絡層、傳輸層和應用層上實現(xiàn)協(xié)議之間的轉(zhuǎn)換，能夠使純IPv4節(jié)點和純IPv6節(jié)點之間進行通信。因其地址和協(xié)議都在網(wǎng)絡設備上進行轉(zhuǎn)換，不需要進行升級。

3.2 校園網(wǎng)IPv6過渡技術(shù)應用

長安大學校園網(wǎng)自開始建設至今，用戶數(shù)已超過3萬，整個校園網(wǎng)劃分為3個子網(wǎng)：教學科研及辦公區(qū)子網(wǎng)、住宅區(qū)子網(wǎng)和學生區(qū)子網(wǎng)。學校向Cernet（中國教育和科研計算機網(wǎng)）申請的真實地址段總計48個C類地址段約合1.2萬個地址。但真實地址數(shù)遠遠不能滿足實際需求，僅學生區(qū)子網(wǎng)用戶規(guī)模就超過1.3萬，只能使用私有IPv4地址。為解決IPv4真實地址匱乏并與國際互聯(lián)網(wǎng)技術(shù)同步發(fā)展，自2003年開始國家啟動了中國下一代互聯(lián)網(wǎng)示范工程“CNGI”項目，我校是其中的示范應用單位之一。經(jīng)過幾年的建設發(fā)展，已建成了獨立的IPv6子網(wǎng)，搭建了IPv4和IPv6雙協(xié)議棧網(wǎng)絡及服務器，聯(lián)通了教育網(wǎng)的其他高校IPv6子網(wǎng)，實現(xiàn)了教育網(wǎng)內(nèi)部的IPv6網(wǎng)絡通信。具體做法是在教育網(wǎng)范圍內(nèi)通過獨立的光纖鏈路直接對IPv6資源進行訪問，在校園網(wǎng)內(nèi)部采用雙協(xié)議棧技術(shù)；主機和路由器同時開啟IPv4和IPv6兩種協(xié)議，同時獲取到IPv4和IPv6兩個網(wǎng)絡地址。這樣，每一位校園網(wǎng)用戶都能同時訪問校園網(wǎng)內(nèi)外的IPv4和IPv6資源。

3.3 校園網(wǎng)IPv6的安全問題

雙協(xié)議棧技術(shù)讓校園網(wǎng)用戶能夠同時訪問IPv4和IPv6兩種網(wǎng)絡資源，在過渡階段達到IPv4網(wǎng)絡和IPv6網(wǎng)絡的兼容，如圖2所示。實際運行狀態(tài)下通過網(wǎng)絡管理人員的反饋信息分析和所進行的安全測試，結(jié)合雙協(xié)議棧技術(shù)本身的安全問題，發(fā)現(xiàn)并提出了校園網(wǎng)雙協(xié)議棧網(wǎng)絡可能出現(xiàn)的安全隱患。

（1）在規(guī)劃IPv6網(wǎng)絡的時候，若對地址前綴的指定以及采取依次降序或者升序來分配地址的方法，將使得IPv6的地址實際使用范圍大大縮小。其原因在于IPv6地址過長，管理員為了方便記憶經(jīng)常會給服務器配置比較特殊的IPv6地址。這種做法會造成類似蠕蟲或者木馬的掃描漏洞程序能夠較為容易地發(fā)現(xiàn)網(wǎng)段中的重要服務器，并實施攻擊。

（2）雙協(xié)議棧路由器以隧道方式通過IPv4網(wǎng)絡傳送IPv6包，一旦IPv4設備被入侵并激活隧道，攻擊者就能夠繞過網(wǎng)絡過濾和防御系統(tǒng)，對其他節(jié)點進行攻擊。

（3）雙協(xié)議棧網(wǎng)絡的節(jié)點都是雙棧節(jié)點，其結(jié)合隧道技術(shù)已解決純IPv6網(wǎng)絡中主機與IPv4主機的互連問題。雙協(xié)議棧網(wǎng)絡的網(wǎng)關(guān)（即隧道終結(jié)點TEP）保留有主機IPv4和IPv6地址的映射表，并利用映射表進行IPv4包的封裝和解封。在TEP收到一個攜帶IPv4的IPv6數(shù)據(jù)包時，它會使用包內(nèi)攜帶的IPv6和IPv4源地址和目的地址，通過動態(tài)隧道接口（DTI）創(chuàng)建一個IPv4 in IPv6隧道，如果在部署雙協(xié)議棧IPv6網(wǎng)絡的TEP時，TEP和雙協(xié)議棧服務器不在同一臺主機上，就沒辦法檢查網(wǎng)關(guān)建立的隧道和雙協(xié)議棧服務器的分配對應關(guān)系。當攻擊方使用相同IPv4源地址發(fā)送IPv4 in IPv6數(shù)據(jù)包，原有的隧道會被新建立的隧道所取代，這就達成了欺騙攻擊的目的[11]。

（4）雙協(xié)議棧網(wǎng)絡同時擁有IPv4和IPv6兩種協(xié)議，因此如果其中任意一種協(xié)議遭受到攻擊，就會影響整個網(wǎng)絡。

4 相關(guān)問題的對策

由于雙協(xié)議棧網(wǎng)絡兩種IP協(xié)議共存，處于現(xiàn)有網(wǎng)絡到新一代網(wǎng)絡技術(shù)的過渡時期，因此整個網(wǎng)絡環(huán)境復雜，對安全的需求范圍更加廣泛。為此，結(jié)合長安大學校園網(wǎng)IPv6在建設和實際運行中遇到的安全問題，提出相應的對策：

（1）IPv6地址規(guī)劃：在使用IPv6地址的時候，網(wǎng)絡管理員應該將地址段充分利用，擴大地址應用范圍。即在配置時減少服務器地址的特殊性，以此來增加掃描類病毒程序的攻擊難度，降低網(wǎng)絡安全隱患。

（2）接入認證：首先雙協(xié)議棧網(wǎng)絡用戶通過客戶端或者Web網(wǎng)頁等認證方式進行基于IPv4協(xié)議認證，在用戶名、密碼通過后，終端依次啟用鄰居發(fā)現(xiàn)協(xié)議NDP、DHCPv6來獲得IPv6接口地址、網(wǎng)絡前綴和DNS等參數(shù)。

（3）接入控制：在雙協(xié)議棧服務器上應用接入權(quán)限控制策略，允許IPv6隧道通過雙協(xié)議棧服務器認定終端的信息，禁止其他訪問。

（4）如果隧道終結(jié)點和雙協(xié)議棧服務器不在同一物理設備上，為防止欺騙攻擊，需要應用動態(tài)隧道通信協(xié)議，這可通過IPsec的AH協(xié)議來解決。

（5）對隧道終結(jié)點上創(chuàng)建的隧道和雙協(xié)議棧服務器上的分配數(shù)據(jù)進行監(jiān)控，檢查與分配相對應隧道的正確性。

（6）配置支持IPv4和IPv6兩種協(xié)議的防火墻設備，隔絕類似蠕蟲或者木馬等程序的端口掃描信息，阻止外部網(wǎng)絡的漏洞攻擊，以此保護雙協(xié)議棧內(nèi)部網(wǎng)絡免遭病毒或者黑客入侵。

5 結(jié) 語

IPv6作為新一代互聯(lián)網(wǎng)協(xié)議具備地址空間大、報文安全靈活等特點，但是由于IPv4網(wǎng)絡基礎龐大，從IPv4向IPv6過渡將是一個非常漫長的過程，在此期間網(wǎng)絡安全問題成為網(wǎng)絡管理者需要重點關(guān)注并予以解決的問題之一。與IPv4相比，IPv6雖然在性能和安全機制方面有較大地提升，但并不代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會對IPv6網(wǎng)絡造成嚴重威脅。目前，各高校都在大力開展IPv6網(wǎng)絡建設，但針對IPv6網(wǎng)絡的安全機制還不能滿足其發(fā)展需要。本文對校園網(wǎng)IPv6網(wǎng)絡的安全隱患和安全機制進行了探討，由于針對IPv6應用的服務器和防火墻在價格和技術(shù)方面還不能滿足需求，現(xiàn)階段只能通過地址規(guī)劃和接入認證等方法強化網(wǎng)絡安全保障，而實際應用表明并未出現(xiàn)嚴重的安全問題。

IPv6網(wǎng)絡的發(fā)展是大勢所趨，IPv6網(wǎng)絡的安全機制研究也將是一項長期而復雜的工作。

參考文獻

[1] 李振強，趙曉宇，馬嚴.IPv6安全脆弱性研究[J].計算機應用研究，2006（11）：109-112.

[2] 時晨，申普兵，楊瑾，等.IPv6校園網(wǎng)環(huán)境下IPSecVPN的安全性研究[J].計算機技術(shù)與發(fā)展，2010，20（10）：167-170.

[3] 唐述科，李漢菊.IPv6鄰居發(fā)現(xiàn)協(xié)議的安全性分析[J].信息安全與通信保密，2006（9）：101-101.

[4] 譚海波，景鳳宣，王家瑋，等.基于校園網(wǎng)的IPv6安全協(xié)議分析與應用研究[J].山東大學學報（理學版），2012，47（11）：54-58.

[5] 張岳公，李大興.IPv6 下的網(wǎng)絡攻擊和入侵分析[J].計算機科學，2006，33（2）：100-102.

[6] US-CERT. Vulnerabilities in TCP [EB/OL]. http//www. us-certgov/cas/techalerts/TA04-111A.html，2004-04-20.

[7] RFC2463.Internet Control Message Protocol（ICMPv6） for the Internet Protocol version 6（IPv6）Specification[S].

[8] 蘇明，顏世峰.IPv6校園網(wǎng)入侵檢測系統(tǒng)設計[J].小型微型計算機系統(tǒng)，2009，30（3）：480-483.

[9] Tnomson S.，Narten T..IPv6 stateless address autoconfiguration.RFC2462，Internet Engineering Task Force，1998.

[10] 李航.雙協(xié)議棧技術(shù)在高校IPv4向IPv6過渡中的應用研究[J].煤炭技術(shù)，2012，31（5）：233-234.

[11] 霍然.一種基于雙協(xié)議棧轉(zhuǎn)換機制的IPv6網(wǎng)絡安全研究[J].遼寧師專學報（自然科學版），2008，10（4）：40-42.