翟 昱，買爾旦·肉孜

（新疆維吾爾自治區(qū)科技發(fā)展戰(zhàn)略研究院，新疆 烏魯木齊 830011）

1 IPv6 網(wǎng)絡協(xié)議特征

第一，IPv6地址長度是180bit，每一段為一個四位十六進制數(shù)，總計有8段，同時以冒號間隔開來。

第二，報文結構。IPv6網(wǎng)絡數(shù)據(jù)報文一般是以40個字節(jié)的報頭與擴展報頭構建而成的。這一網(wǎng)絡報文頭和IPv4報文結構相比更加簡單，并且IPv6是把分片信息放置于擴展報頭里面的。在這之中，擴展報頭屬性會變成不法分子入侵網(wǎng)絡竊取重要信息的突破口。

第三，IPv4限制性。從事相關行業(yè)的人均已經(jīng)了解到，IPv4網(wǎng)絡地址長度是32bit，其能夠提供大概43億個IP地址，伴隨社會持續(xù)發(fā)展，網(wǎng)絡用戶數(shù)量不斷增加，物聯(lián)網(wǎng)、人工智能、云計算等各種新技術持續(xù)發(fā)展，對IP地址的需求量也持續(xù)增多了，因此當前面臨的一個重要問題就是地址枯竭的問題。為節(jié)約IPv4公網(wǎng)地址，相關人員往往以NET網(wǎng)絡地址翻譯進行處理，不過NAT用戶損壞了端至端的應用模型。再者，IPv4網(wǎng)絡下的路由器等級不同，這些路由器的路由條目也比較多，從而造成處理效率始終無法得到有效提升。

2 IPv6 網(wǎng)絡協(xié)議具備的優(yōu)點

（1）通過上述分析，我們可以了解到，該網(wǎng)絡具備128位地址空間，故而無須轉換地址，大大降低了網(wǎng)絡時延，促使信息傳輸速度變得更快了。

（2）IPv6網(wǎng)絡運用層次化的地址分配方式，以密碼生成地址，并且在驗證身份信息的時候，運用公私鑰，這樣可以有效預防假冒現(xiàn)象發(fā)生，促使訪問控制列表從復雜化變得簡單化。

（3）提升了安全性。第一，IPv6具有很大的地址空間，如此便提高了不法分子掃描檢測的困難程度，而且有效減少了DDoS攻擊出現(xiàn)的概率。第二，在該網(wǎng)絡協(xié)議之中，強制實行IPSec，可以保護通信雙方數(shù)據(jù)完整性，可以檢驗數(shù)據(jù)內(nèi)容機密性，確保數(shù)據(jù)流機密性，檢驗數(shù)據(jù)起源，同時還可以提供抗重播保護。所以，可以把用戶、攻擊、報文三者對應起來，避免用戶拒認，達到安全監(jiān)督控制用戶行為的目的。第三，加入了增強的組播支持且摒棄了廣播地址，為提高服務水平提供了平臺，能夠防止采用廣播地址引發(fā)的風暴與DDoS攻擊。第四，協(xié)議嚴禁運用鏈路層組播，源地址以及廣播數(shù)據(jù)包并非獨一無二辨別單個節(jié)點的數(shù)據(jù)包，故而可以避免因為IPv6報文所帶來的攻擊。

（4）通過流標簽將過去復雜的數(shù)據(jù)報文加以簡化，可以迅速處理數(shù)據(jù)包，而且還可以給多媒體數(shù)據(jù)流提供優(yōu)質服務。

（5）運用IPv6網(wǎng)絡協(xié)議，可以采取新選項達到附加功能，按照新技術需求，拓展協(xié)議。

（6）采取無狀態(tài)地址自動配置協(xié)議以及網(wǎng)絡動態(tài)主機配置協(xié)議自動配置協(xié)議，無須服務器管理地址，讓網(wǎng)絡管理變得越來越便捷了，同時還提高了終端安全性，有效解決了網(wǎng)絡地址管理困難的問題。

3 存在的安全風險

3.1 技術方面

眾所周知，IPv6設計初期便思考了安全方面的問題，可是，依舊無法完全處理好該協(xié)議網(wǎng)絡之中的問題。首先，擴展地址可以緩解網(wǎng)絡地址不足的現(xiàn)象，不過，因為地址數(shù)量較多，查詢起來并不容易，故而給安全檢測造成了嚴重的阻礙。而且，協(xié)議本身也有缺陷和不足之處，比方說，不法分子能夠以IPv6網(wǎng)絡中的鄰居發(fā)現(xiàn)協(xié)議傳遞不正確的路由器宣告等，從而造成數(shù)據(jù)包流向模糊，實現(xiàn)不服務、隨意篡改數(shù)據(jù)包、攔截數(shù)據(jù)包的目的。其次，由IPv4至6運用過渡協(xié)議，不法分子能夠借助協(xié)議漏洞避開安全監(jiān)督檢測，所以兩者共存一定會產(chǎn)生安全隱患。最后，由于各種新技術的不斷發(fā)展，IPv6和這些技術與應用相結合的過程中，引發(fā)了新的問題。并且，終端安全問題主要是網(wǎng)絡安全監(jiān)督管理與協(xié)議安全對策的敲定。

3.2 管理方面

因為IPv6地址空間很大，所以地址分配以及管理工作做起來并不容易，因此需要發(fā)布對應的管理政策。而且，數(shù)據(jù)信息驗證、加密等各個方面要管理非常多的密鑰，才可以確保網(wǎng)絡數(shù)據(jù)信息不處在風險境況之下，所以需要積極參照國際組織對IPv6密鑰管理經(jīng)驗，科學擬定密鑰管理條例或辦法。再者，進行IPv6網(wǎng)絡部署前，需要花費很多的時間和精力，以及財力培訓有關IPv6網(wǎng)絡有關的安全知識，不然當出現(xiàn)安全問題時，就會付出更大的代價，如此看來，事先提防是很有必要的，并且是勢在必行的。

3.3 產(chǎn)業(yè)方面

在新時代發(fā)展過程中，中國現(xiàn)有諸多網(wǎng)絡設備普遍只支持IPv4網(wǎng)絡，還無法直接運用IPv6。僅有極少部分網(wǎng)絡設備能夠支持IPv6的運用，不過這些支持IPv6網(wǎng)絡的設備安全性并不高，還不能夠完全應對IPv6網(wǎng)絡大規(guī)模推廣造成的安全隱患，產(chǎn)業(yè)界應當積極研發(fā)出支持IPv6網(wǎng)絡的安全設備。并且，要想確保網(wǎng)絡穩(wěn)定且安全，必須要逐一檢測IPv6網(wǎng)絡有關設備和網(wǎng)絡技術，與此同時按照IPv6網(wǎng)絡特征思考出更加完善的檢測計劃。

4 IPv6 安全風險應對舉措

4.1 努力研究安全防護技術

第一，根據(jù)IPv6網(wǎng)絡協(xié)議所具備的特點而言，易于遭到擴展頭攻擊、分片攻擊等，對于這些不同的攻擊類型，需要針對攻擊特征分析攻擊的基本原理，探究攻擊檢測、預防和處理問題的方法。第二，當IPv4過渡到IPv6的時候，需要綜合過渡制度和安全問題，從而獲得無縫且安全的過渡技術，開展全新的安全體系建設。第三，將新技術與應用相融的過程中，需要進行IPv6網(wǎng)絡下的物聯(lián)網(wǎng)和云計算等方面的網(wǎng)絡安全技術管理研究，譬如，物聯(lián)網(wǎng)需要注重網(wǎng)絡運用于感知層的安全性，云計算則需要注重鑒于IPv6網(wǎng)絡的云計算平臺安全處理對策等各種問題。

4.2 給予政策上的支持，提高安全管理效率

有關行動計劃對IPv6網(wǎng)絡協(xié)議部署進行了具體安排，有關技術規(guī)范與政策需要實時跟進，將安全方面的問題當成IPv6網(wǎng)絡部署的核心內(nèi)容之一。并且，需要積極舉辦IPv6網(wǎng)絡協(xié)議知識培訓教育活動，借此提高相關工作人員的素質，關注安全管理工作，對網(wǎng)絡部署環(huán)節(jié)中可能會發(fā)生的安全問題進行提早分析與研究，做到及時發(fā)現(xiàn)問題，繼而有效解決安全問題，避免安全問題擴大，從而帶來無法預估的損失。

4.3 推進信息安全產(chǎn)品研發(fā)制作

應對IPv6網(wǎng)絡安全風險問題的時候，需要優(yōu)先改造當前已有網(wǎng)絡安全保障體系，提高對IPv6網(wǎng)絡協(xié)議地址與環(huán)境的支持。按照行動計劃所提出的基本要求，每一種安全產(chǎn)品都需要提升網(wǎng)絡地址準確定位、查詢打擊與迅速處理的能力，并且還需要推進各項工作的開展，比如網(wǎng)絡安全保護、安全風險評估、預警和個人信息保護工作等。

4.4 合理采用網(wǎng)絡協(xié)議優(yōu)勢預防風險

在應對網(wǎng)絡安全風險的過程中，需要增強IPv6網(wǎng)絡基礎，合理運用網(wǎng)絡協(xié)議優(yōu)勢預防安全風險問題的發(fā)生。第一，應當加強網(wǎng)絡與有關應用安全質量評估，加強網(wǎng)絡檢測，持續(xù)開展攻擊與預防演練，檢測與填充網(wǎng)絡協(xié)議漏洞，合理優(yōu)化網(wǎng)絡協(xié)議機制，調(diào)整報文頭構成部分，繼而從根源上預防網(wǎng)絡協(xié)議本身所造成的安全問題。第二，應當科學采用網(wǎng)絡逐級和層次化分配密碼構成地址的方式，加密認證地址的同時，預防設備假冒接入以及中間人攻擊，并消滅源地址借助鄰居發(fā)現(xiàn)協(xié)議攻擊的安全隱患問題。第三，需要增強IPSec安全機制，科學運用該協(xié)議無法否認性與數(shù)據(jù)信息可行性、反重播以及保證數(shù)據(jù)完整性，在設置協(xié)議的過程中添加各種安全功能，比如隧道機制內(nèi)置認證與加密等，避免隧道嗅探，增強吞吐能力。第四，對網(wǎng)絡協(xié)議無地址轉換構成的內(nèi)網(wǎng)結構和信息暴露相關問題，需要借助隱私擴展機制，隱匿通信地址，避免重要信息暴露，從而提高網(wǎng)絡安全性。

5 結束語

通過以上所言，我們可以發(fā)現(xiàn)IPv6網(wǎng)絡能夠達到高效的信息安全治理，給萬物互聯(lián)帶來了技術上的支持，有著一定的先進性，并且也伴隨有安全風險問題。基于此，需要將安全放在第一位，積極探究網(wǎng)絡安全，找到安全漏洞，使用科學有效的安全措施，保證網(wǎng)絡系統(tǒng)安全性和穩(wěn)定性，推動IPv6網(wǎng)絡廣泛推廣與應用。