關(guān)天柱，呂振雷

（黃河水利職業(yè)技術(shù)學(xué)院，河南 開封 475004）

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)用戶急劇增加，IPV4 已經(jīng)不能夠提供足夠多的地址來滿足需求。 在此背景下，IETF 任務(wù)組設(shè)計(jì)出了IPV6。 IPV6 的出現(xiàn)能夠有效解決網(wǎng)絡(luò)方面的許多問題，而且在體系結(jié)構(gòu)方面也有所改進(jìn)。 IPV6 的優(yōu)勢主要體現(xiàn)在兩個(gè)方面：第一個(gè)是IPV6 的地址空間有了很大程度的擴(kuò)充，并加入了分層地址聚類的功能化配置管理工作，這一優(yōu)勢對于網(wǎng)絡(luò)連接的終端用戶服務(wù)而言是十分有用的； 第二個(gè)是IPV6 給出了新一代安全網(wǎng)絡(luò)的研究方向，可以為網(wǎng)絡(luò)安全技術(shù)的擴(kuò)展應(yīng)用提供良好的支撐平臺。

目前，IPV6 作為新一代的網(wǎng)絡(luò)協(xié)議，已經(jīng)得到了眾多應(yīng)用領(lǐng)域的認(rèn)可，相信在不久的將來，互聯(lián)網(wǎng)的發(fā)展將離不開IPV6 的支持。 本文試針對IPV6協(xié)議，詳細(xì)探討新一代網(wǎng)絡(luò)安全方面的改進(jìn)技術(shù)，希望能為IPV6 的應(yīng)用提供技術(shù)上的參考。

1 IPV6 報(bào)頭形式的優(yōu)化和地址長度的變化

1.1 IPV6 報(bào)頭形式的優(yōu)化

IPV4 的核心問題在于提供的地址資源有限，嚴(yán)重影響了互聯(lián)網(wǎng)的進(jìn)一步拓展。 IPV6 的地址容量能夠達(dá)到2 128 個(gè)，可以很好地緩解網(wǎng)絡(luò)IP 地址的緊張狀況。IPV6 報(bào)頭的總長度達(dá)到了40 個(gè)字節(jié)，是IPV4 長度的兩倍之多。其大部分字段主要用以描述地址，一小部分字段用以描述報(bào)頭信息。 描述的報(bào)頭信息涉及：version(版本)、Traffic Class(流量類別)、Flow Label(流標(biāo)簽)、Payload Length(有效載荷長度)以及Next Header(下一報(bào)頭)等。

對于擴(kuò)展報(bào)頭，IPV6 在IPV4 的基礎(chǔ)上進(jìn)行了優(yōu)化，它將原來位于報(bào)頭內(nèi)的可選字段均提取至報(bào)頭外的擴(kuò)展報(bào)頭內(nèi)，其擴(kuò)展報(bào)頭不參與路由器的遍歷操作。 IPV6 中的幾種常見擴(kuò)展報(bào)頭為：

（1）目的地選項(xiàng)。 該報(bào)頭主要是為了讓路由器明確數(shù)據(jù)包的接收方。 （2）Hop-by-Hop 選項(xiàng)報(bào)頭。IPV6 網(wǎng)絡(luò)中的每個(gè)分組都包含該選項(xiàng)報(bào)頭，其中，選項(xiàng)類型為0 的字段是負(fù)責(zé)字節(jié)的填充。 若字節(jié)達(dá)到了2 個(gè)以上，則可以使用PadN 進(jìn)行填充。（3）ESP協(xié)議報(bào)頭。 該報(bào)頭主要完成數(shù)據(jù)的加密處理，從而保證數(shù)據(jù)的安全性。

1.2 IPV6 地址長度的變化

與IPV4 32 位的地址長度不同，IPV6 規(guī)定的地址長度為128 位。 將地址長度進(jìn)行擴(kuò)展，可以取得兩個(gè)方面的好處。 一方面，可以將地址進(jìn)行細(xì)分，從而能更好地與拓?fù)渎酚捎虻膶哟谓Y(jié)構(gòu)相對應(yīng)。 另一方面，能夠映射出網(wǎng)絡(luò)適配器的地址。 IPV6 的尋址可以在網(wǎng)絡(luò)接口層完成，并具備自動(dòng)配置的功能。

以單播地址為例，IPV6 將地址分成兩部分，即：地址前綴和接口標(biāo)識符。 由于單播地址主要用于單個(gè)接口的標(biāo)記，所以根據(jù)地址接收到的數(shù)據(jù)包還需傳發(fā)到與標(biāo)記對應(yīng)的接口。 單播地址涉及鏈路/本地、站點(diǎn)/本地以及全局IPV6 地址3 個(gè)類型。

2 IPV6 網(wǎng)絡(luò)的安全改進(jìn)分析

2.1 IPV6 網(wǎng)絡(luò)的安全技術(shù)挑戰(zhàn)

在信息化高速發(fā)展的今天，各行各業(yè)都離不開網(wǎng)絡(luò)。 但是，網(wǎng)絡(luò)給人們帶來方便的同時(shí)，也引發(fā)了諸多問題，安全性是其中一個(gè)較為突出的問題。 大多數(shù)網(wǎng)絡(luò)攻擊都與網(wǎng)絡(luò)協(xié)議 （特別是TCP/IP 等協(xié)議）有著密切關(guān)聯(lián)。 目前，國內(nèi)外不少專家都在對IPV6 協(xié)議進(jìn)行深入分析，但對于面向IPV6 的互聯(lián)網(wǎng)而言，有效解決網(wǎng)絡(luò)攻擊問題的任務(wù)還很艱巨。 大家對于基于IPV6 安全網(wǎng)絡(luò)所面臨的技術(shù)挑戰(zhàn)還是有共識的，主要集中在網(wǎng)絡(luò)擴(kuò)展性和安全性等方面[1]。 由于IPV6 與IPV4 網(wǎng)絡(luò)將會(huì)長期共存，網(wǎng)絡(luò)會(huì)同時(shí)存在兩者的安全問題或產(chǎn)生新的漏洞。 例如：使用IPV6 非法訪問了同時(shí)采用IPV4 和IPV6 兩種協(xié)議的局域網(wǎng)資源，通過使用安裝了雙棧的IPV6主機(jī)，可以建立由IPV6 到IPV4 的隧道，從而繞過防火墻，對IPV4 進(jìn)行攻擊。 與IPV4 網(wǎng)絡(luò)相同，IPV6網(wǎng)絡(luò)也需要防火墻、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備，基于IPV6 環(huán)境的病毒已經(jīng)出現(xiàn)，這方面的安全技術(shù)也將面臨挑戰(zhàn)。

2.2 IPV6 的主要的過濾技術(shù)

IPV6 主要是針對IPV4 地址不足問題提出的，同時(shí)也對路由以及自動(dòng)配置方面進(jìn)行了優(yōu)化。 IPV4與IPV6 共存一段時(shí)期后，IPV6 最終將會(huì)代替IPV4。 IPV6 涉及的主要過濾技術(shù)有隧道技術(shù)和雙棧技術(shù)[2]。

（1）隧道技術(shù)。IPV4 網(wǎng)絡(luò)中就存在隧道技術(shù)，而且應(yīng)用廣泛。 基于IPV6 網(wǎng)絡(luò)的隧道技術(shù)的實(shí)現(xiàn)原理是：根據(jù)IPV6 協(xié)議的規(guī)定，對需要進(jìn)行傳遞的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行封裝，并轉(zhuǎn)換成IPV4 格式數(shù)據(jù)包（因?yàn)楝F(xiàn)有大部分網(wǎng)絡(luò)設(shè)備為IPV4 設(shè)備），當(dāng)目的端接收到IPV4 數(shù)據(jù)包后，再進(jìn)行格式轉(zhuǎn)換，并進(jìn)行解封裝操作。 隧道技術(shù)對于網(wǎng)絡(luò)設(shè)置的要求不高，傳輸狀態(tài)也比較平穩(wěn)。 隧道接口內(nèi)的初始化操作主要是由驅(qū)動(dòng)程序完成的，若鏈路是點(diǎn)對點(diǎn)的模式，且目的端地址已經(jīng)明確，那就可以直接建立路由，使參數(shù)直接通過用戶進(jìn)行傳送。 需要明確的是，傳送后的參數(shù)應(yīng)保存在變量pri 中。具體初始化數(shù)據(jù)如表1所示。

表1 IPV6 隧道技術(shù)初始化數(shù)據(jù)表Table 1 IPV6 tunnel technique initialization data

（2）雙棧技術(shù)。 雙棧技術(shù)指在一個(gè)系統(tǒng)(一臺主機(jī)或一臺路由器) 中同時(shí)使用IPV6、IPV4 兩個(gè)可以并行工作的協(xié)議棧。IPV6 網(wǎng)絡(luò)中的設(shè)備只要能夠支持雙棧技術(shù)，就能解決很多數(shù)據(jù)傳輸問題，尤其是針對IPV4 與IPV6 共存的特殊網(wǎng)絡(luò)環(huán)境，效果更明顯。 該技術(shù)起到很好的臨時(shí)過濾作用，直到整個(gè)網(wǎng)絡(luò)都是IPV6 隧道，但該技術(shù)在硬件實(shí)現(xiàn)方面存在一些難度。

2.3 ESP（封裝安全負(fù)載）封裝協(xié)議的架構(gòu)技術(shù)

由于IPV4 協(xié)議中的部分約束條件本身就可能會(huì)引發(fā)一些安全問題，IPV6 在IPV4 的基礎(chǔ)上進(jìn)行了協(xié)議改進(jìn)。 如：IPV4 鏈路上多個(gè)端口進(jìn)行消息發(fā)送請求時(shí)，可能引發(fā)擁塞現(xiàn)象。 針對該現(xiàn)象，IPV6采取隨機(jī)延時(shí)的方式進(jìn)行緩解。 另外，IPV6 網(wǎng)絡(luò)中路由器系統(tǒng)的缺省狀態(tài)對傳輸單元以及自動(dòng)配置消息中的頭部進(jìn)行了明確認(rèn)證，并通過ESP（封裝安全負(fù)載）進(jìn)行了封裝。 用戶可以通過網(wǎng)絡(luò)管理終端對目的端口、源端口以及協(xié)議報(bào)文等進(jìn)行加密和認(rèn)證。 其封裝協(xié)議架構(gòu)如圖1 所示。

圖1 IPV6 網(wǎng)絡(luò)的封裝協(xié)議架構(gòu)示意圖Fig. 1 IPV6 network packaging protocol framework

ESP(封裝安全負(fù)載)是IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，其主要作用是在IPV4 和IPV6 中提供安全服務(wù)的混合應(yīng)用。 ESP 通過加密需要保護(hù)的數(shù)據(jù)以及在IPsec ESP 數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機(jī)密性和完整性。 根據(jù)用戶的安全要求，這個(gè)機(jī)制既可以用于加密一個(gè)傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密整個(gè)的IP 數(shù)據(jù)報(bào)。

對于ESP 封裝協(xié)議的網(wǎng)絡(luò)架構(gòu)，通常采用的安全網(wǎng)絡(luò)組建方法是：在路由器間建立IPSec 安全隧道。為滿足轉(zhuǎn)發(fā)性能的要求，可以考慮加入專用的加密板卡，在路由器間建立了IPSec 安全隧道[3]。

3 結(jié)語

總之，隨著互聯(lián)網(wǎng)的發(fā)展，IPV6 取代IPV4 勢在必行。 但是，由IPV4 過渡到IPV6 還需要一段較長的時(shí)間。 因此，怎樣保證過濾的平穩(wěn)以及安全性是我們急需考慮并解決的問題。 本文采用隧道技術(shù)、雙棧技術(shù)進(jìn)行設(shè)備的初始化以及數(shù)據(jù)包的轉(zhuǎn)發(fā)，并基于ESP 進(jìn)行協(xié)議封裝構(gòu)架，可以促進(jìn)IPV6 網(wǎng)絡(luò)的發(fā)展，并提供較好的安全性[4]。

[1] 卡斌.IPV6 的安全協(xié)議及安全問題[J].信息安全與通信保密，2010(1):50-52.

[2] 陳海濤，胡華平，徐傳福，等.動(dòng)態(tài)網(wǎng)絡(luò)安全的框架模型[J].國防科技大學(xué)學(xué)報(bào)，2009（25）:60-63.

[3] 蘇曉. 淺析IPv6 的安全機(jī)制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響[J]. 通信電源技術(shù)，2010（4）：40-41.

[4] 王艷華，左明. 基于IPv6 的互聯(lián)網(wǎng)安全問題探討[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2011（2）：39-43.