王文溥

（長(zhǎng)治學(xué)院 計(jì)算機(jī)系，山西 長(zhǎng)治 046011）

1 引言

IPv6相對(duì)于IPv4，在細(xì)節(jié)上進(jìn)行了改進(jìn)和提升。其中包括：第一，IPv6比IPv4使用的網(wǎng)絡(luò)地址更大，數(shù)據(jù)報(bào)頭部的格式更加新穎。第二，IPv6將IPv4中使用的含有變長(zhǎng)的可選項(xiàng)的頭部進(jìn)行了改良，改為使用規(guī)范的定長(zhǎng)的頭部處理可選信息。

IPv6主要特性表現(xiàn)在以下五個(gè)方面：Addvesisize、Headver Format、Excension Header、Supportforawd and以及Excensible Proload。

2 IPV6的安全體系架構(gòu)

IPSec安全性服務(wù)的系統(tǒng)構(gòu)成有AuthenticationHeader、封裝安全性凈荷頭(EncapsulatingSecurityPayloadHeader)、密鑰管理協(xié)議的安全機(jī)制。AH在IP身份驗(yàn)證頭(RFC4302)中得到闡述，ESP頭在RFC4303和RFC4305中對(duì)得到闡述。以上這些也只是安全體系架構(gòu)的第一層。

各安全性頭可單獨(dú)也可一起使用。在AH放在ESP頭前面時(shí)，可以同時(shí)使用多個(gè)擴(kuò)展頭，此時(shí)，必須先通過(guò)身份驗(yàn)證，再凈荷解密ESP頭。在IPSec隧道的應(yīng)用中，大部分的擴(kuò)展頭可嵌套在一起進(jìn)行，也就是源節(jié)點(diǎn)對(duì)IP包進(jìn)行加密和數(shù)字簽名，在發(fā)送給本地安全性網(wǎng)關(guān)后，這個(gè)網(wǎng)關(guān)第二次實(shí)施加密和數(shù)字簽名，再發(fā)送給其他安全性網(wǎng)關(guān)。

在實(shí)際應(yīng)用中，還有一點(diǎn)是不容忽視的，即ESP頭與AH在IPv4和IPv6中都是適用的。

3 IPv6安全性應(yīng)用的現(xiàn)實(shí)性分析

3.1 公鑰傳遞

IPv6協(xié)議的IPSec需求在RFC4301有所界定，但并沒(méi)有關(guān)于密鑰交換途徑的規(guī)定。因此，通過(guò)手動(dòng)設(shè)置主密鑰來(lái)完成，但因其需要耗費(fèi)大量的時(shí)間，并不適合大規(guī)模的應(yīng)用。所以，可以選擇通過(guò)使用一臺(tái)中心授權(quán)服務(wù)器來(lái)實(shí)現(xiàn)。在大量的實(shí)際應(yīng)用中，中心授權(quán)服務(wù)器的使用還存在一些問(wèn)題和缺陷。

3.2 防火墻和入侵檢測(cè)系統(tǒng)

IPv6的優(yōu)勢(shì)之一就是端到端的IPSec，然而，ESP加密的方式會(huì)增大防火墻的安全威脅：在包是端到端加密的情況下，防火墻要實(shí)現(xiàn)繞過(guò)密碼直接對(duì)包進(jìn)行監(jiān)測(cè)。在系統(tǒng)中心放置加密密鑰則會(huì)導(dǎo)致網(wǎng)絡(luò)出現(xiàn)中心漏洞?？尚行缘慕鉀Q途徑是：?jiǎn)为?dú)設(shè)立專有服務(wù)器來(lái)存儲(chǔ)攻擊者的信息和數(shù)據(jù)，客戶端將這些數(shù)據(jù)庫(kù)進(jìn)行下載，計(jì)算機(jī)對(duì)其進(jìn)行檢測(cè)，當(dāng)出現(xiàn)與數(shù)據(jù)庫(kù)類相同的內(nèi)容時(shí)就發(fā)起警報(bào)。

3.3 兼容性

隨著互聯(lián)網(wǎng)的普及使用，從IPv4轉(zhuǎn)化到IPv6是需要一個(gè)過(guò)程的。就IPv6來(lái)說(shuō)，絕非是一個(gè)簡(jiǎn)單的升級(jí)，并不是從IPv4直接升級(jí)成為了IPv6，通過(guò)比較分析我們可以看到，其頭部特性和匹配地址的機(jī)制是存在差異的，這兩種機(jī)制并不是彼此兼容的。所以，怎樣將IPv4完美轉(zhuǎn)化到IPv6是需首要解決的問(wèn)題，也成為了相關(guān)業(yè)內(nèi)人士共同研究的話題。

4 IPv6的企業(yè)安全性模型

互聯(lián)網(wǎng)日益普及，而且，因?yàn)闃I(yè)務(wù)上的需求，NAT的使用范圍更為廣泛，在這種情勢(shì)之下我們也要對(duì)IPv4做客觀的分析。在實(shí)踐應(yīng)用中，IPv4的安全性能正在逐步降低，帶來(lái)許多的不穩(wěn)定因素，嚴(yán)重影響到了其安全性。而作為IPv6，暴露的部分問(wèn)題還是可以做出有效的處理和解決的。假設(shè)必須要對(duì)外部的隱藏網(wǎng)絡(luò)進(jìn)行拓?fù)?，那就不?yīng)該再利用NAT相關(guān)技術(shù)，而應(yīng)采用privateaddressing等技術(shù)。

在先前的IPv4網(wǎng)絡(luò)內(nèi)，其安全模型是邊界防火墻和NAT的集成。而在IPv6網(wǎng)絡(luò)內(nèi)，應(yīng)當(dāng)構(gòu)建一個(gè)更為科學(xué)有效的模型來(lái)確保整個(gè)網(wǎng)絡(luò)的安全性，而且，需要強(qiáng)化端口之間的聯(lián)絡(luò)水準(zhǔn)。在IPv6中，無(wú)論哪個(gè)節(jié)點(diǎn)都是擁有IPSec能力的。全部依靠防火墻顯然不行。一旦黑客進(jìn)到了防火墻后的網(wǎng)絡(luò)，就會(huì)完全悉知整個(gè)網(wǎng)絡(luò)內(nèi)容，不但信息安全得不到保證，同時(shí)，給整個(gè)網(wǎng)絡(luò)安全帶來(lái)巨大的隱患。要構(gòu)建健全的模型，必須要發(fā)揮節(jié)點(diǎn)、可信主機(jī)、核心安全策略庫(kù)這三者的功效，有機(jī)統(tǒng)一在一起，從而形成建立在網(wǎng)絡(luò)ID基礎(chǔ)之上的身份驗(yàn)證體系。與此同時(shí)，防火墻的作用還能進(jìn)一步挖掘，但現(xiàn)實(shí)情況是，單純依托它是不夠的，需要將其和節(jié)點(diǎn)防火墻結(jié)合起來(lái)，形成一個(gè)綜合性、分布式的安全網(wǎng)絡(luò)。

5 IPV6在下一代互聯(lián)網(wǎng)中存在的問(wèn)題研究

5.1 運(yùn)用TCP協(xié)議的不足

當(dāng)前最為流行的運(yùn)用TCP協(xié)議不足進(jìn)行攻擊的形式就是SYNFlood攻擊，具體來(lái)說(shuō)，就是同一時(shí)間發(fā)布大量的假的TCP鏈接請(qǐng)求，導(dǎo)致內(nèi)存資源或者CPU資源耗費(fèi)完。黑客首先給主機(jī)發(fā)布大量假地址的含有SYN標(biāo)識(shí)的TCP報(bào)文。而主機(jī)則會(huì)向這一地址發(fā)送AYN+ACK報(bào)文，但是，由于地址是假的，所以，它不會(huì)返回到最終的ACK報(bào)文，主機(jī)等待之后，會(huì)再次發(fā)送AYN+ACK報(bào)文，而那些沒(méi)有進(jìn)行完的鏈接就會(huì)進(jìn)行列隊(duì)，等候再次發(fā)送。同時(shí)，這些沒(méi)有進(jìn)行完的鏈接在列隊(duì)中存在時(shí)間上的間隙，通常的再次傳送次數(shù)和超時(shí)機(jī)制應(yīng)付不了那些惡意的大量的TCPSYN報(bào)文，這樣就導(dǎo)致這種時(shí)間上的間隙被完全占據(jù)。此時(shí)服務(wù)器就會(huì)來(lái)處理這些鏈接，從而沒(méi)法響應(yīng)那些新的請(qǐng)求，資源也就耗費(fèi)完了。這種問(wèn)題的緣由在于TCP協(xié)議自身存在不足，目前，IPv6也不能解決這一問(wèn)題[5]。

5.2 網(wǎng)絡(luò)病毒

在IPv6中，地址有128位，顯然，其長(zhǎng)度是比較長(zhǎng)的，這樣就保證了病毒不能憑借對(duì)地址段的掃描來(lái)攻擊主機(jī)，從一定程度來(lái)說(shuō)，降低了網(wǎng)絡(luò)病毒對(duì)安全性的威脅。但我們也要客觀地看到，在IPv6中，許多關(guān)鍵性的服務(wù)器或者是主機(jī)都是通過(guò)了路由器的，所以，它們的IP地址存在著很大的風(fēng)險(xiǎn)，比較容易就被攻擊了。因此，關(guān)鍵性的服務(wù)器或者是主機(jī)的安全防控十分必要，假設(shè)被攻擊，會(huì)對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生威脅。

5.3 對(duì)應(yīng)用服務(wù)的威脅

在IPv6中，其加密和安全機(jī)制主要是在傳輸以及網(wǎng)絡(luò)層起作用，由于安全性并不是單一的，而是多方面、多層次的，而互聯(lián)網(wǎng)本身和運(yùn)用管理系統(tǒng)的不健全，這就導(dǎo)致無(wú)論如何推行IPv6，也不能從本質(zhì)上來(lái)解決所有層面的安全隱患。

5.4 拒絕服務(wù)DoS的攻擊

拒絕服務(wù)攻擊指的是：通過(guò)某種強(qiáng)制性的手段，刻意來(lái)對(duì)協(xié)議進(jìn)行攻擊，或者是刻意來(lái)消耗對(duì)象的相關(guān)資源。其目的是，促使計(jì)算機(jī)或者是網(wǎng)絡(luò)的服務(wù)以及訪問(wèn)資源功能丟失，導(dǎo)致系統(tǒng)停止運(yùn)作，甚至導(dǎo)致系統(tǒng)崩潰。它并不是要獲取攻擊對(duì)象的資源，而是要?dú)南鄳?yīng)的資源或設(shè)備。

在IPv6網(wǎng)絡(luò)中，由于其組發(fā)地址的方式比較特殊，就很可能受到攻擊。比方說(shuō)，其地址FF01：：1代表著全部的動(dòng)態(tài)地址分配服務(wù)器，假設(shè)給這一地址發(fā)布IPv6報(bào)文，而這個(gè)報(bào)文就能傳達(dá)到整個(gè)網(wǎng)絡(luò)中的動(dòng)態(tài)地址分配服務(wù)器中。

除此之外，認(rèn)證以及加密都是要計(jì)算的，為了確保安全穩(wěn)定，加密的密匙就需要長(zhǎng)一些，而此時(shí)的計(jì)算量就會(huì)變大。而在目前，COU主頻的增長(zhǎng)速率是遠(yuǎn)小于網(wǎng)絡(luò)帶寬的速率的，假設(shè)黑客給主機(jī)發(fā)布大量的惡性或者是沒(méi)有的加密包數(shù)據(jù)，那么，CPU就會(huì)花費(fèi)大量時(shí)間來(lái)分析這些數(shù)據(jù)包，此時(shí)，其它請(qǐng)求就無(wú)法做出反應(yīng)。

總的來(lái)說(shuō)，在IPv6下一代的互聯(lián)網(wǎng)中確保網(wǎng)絡(luò)的安全和穩(wěn)定，就必須要有一套完善、科學(xué)、有效、全面的安全體制，以網(wǎng)絡(luò)體系為基礎(chǔ)，確保在設(shè)計(jì)階段、推行階段以及客戶應(yīng)用階段的安全和穩(wěn)定，與此同時(shí)，對(duì)管控的基礎(chǔ)作用要加以重視，嚴(yán)格區(qū)分權(quán)限和層次兩方面，必須重視規(guī)則和體制，要全方位結(jié)合起來(lái)，以此來(lái)保證網(wǎng)絡(luò)的安全性和穩(wěn)定性。

［1］張貴軍.基于I Pv6協(xié)議的網(wǎng)絡(luò)安全問(wèn)題探討［J］.微計(jì)算機(jī)信息.2011，12（2）：35-38.

［2］謝馥嘉.新一代互聯(lián)網(wǎng)通信協(xié)議I Pv6安全性研究［J］.科技信息.2011，14（6）：46-47.

［3］蘇曉淺.析I Pv6的安全機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響［J］.通信電源技術(shù).2010，04（3）：23-24.

［4］王艷華、左明.基于I Pv6的互聯(lián)網(wǎng)安全問(wèn)題探討［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2011，02（5）：30-33.

［5］黃春穎.從I P V4到I P V6過(guò)渡時(shí)期的安全隱患研究［J］.電腦知識(shí)與技術(shù).2011，02（4）：29-30.

（責(zé)任編輯張劍妹）