翟智明

摘要：基于現(xiàn)代社會(huì)的不斷進(jìn)步發(fā)展，我國(guó)互聯(lián)網(wǎng)建設(shè)進(jìn)一步完善，并成為國(guó)民經(jīng)濟(jì)發(fā)展的重要設(shè)施基礎(chǔ)。在全球范圍內(nèi)，互聯(lián)網(wǎng)也已經(jīng)深刻影響經(jīng)濟(jì)格局、利益格局和安全格局的重要設(shè)施。而IP地址作為互聯(lián)網(wǎng)發(fā)展運(yùn)行的關(guān)鍵基礎(chǔ)，其是現(xiàn)階段比較稀缺的戰(zhàn)略資源，針對(duì)這一狀況，我國(guó)從戰(zhàn)略高度上提出發(fā)展IPV6網(wǎng)絡(luò)部署和整體規(guī)劃，以搶占技術(shù)制高點(diǎn)。但I(xiàn)PV6規(guī)模部署過(guò)程中，存在著一定的安全威脅。鑒于此，本文主要從IPV6協(xié)議的特征入手，分析其網(wǎng)絡(luò)安全威脅，并提出相關(guān)有效策略，展望未來(lái)發(fā)展趨勢(shì)，旨在為我國(guó)IPV6規(guī)模部署過(guò)程中可能會(huì)出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供一些建議。

關(guān)鍵詞：IPV6;規(guī)模部署;網(wǎng)絡(luò)安全威脅

中圖分類號(hào)：TP393? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）18-0058-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1前言

IP地址是根據(jù)IP協(xié)議所提供的一種地址編碼格式，是互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備的身份編號(hào)，每一個(gè)聯(lián)網(wǎng)設(shè)備都擁有唯一的IP地址，而IPV6是當(dāng)前互聯(lián)網(wǎng)商業(yè)應(yīng)用的解決方案之一，其能夠解決以往IPV4應(yīng)用存在的地址空間耗盡以及路由表爆炸等問(wèn)題，可實(shí)現(xiàn)地址空間增加340萬(wàn)億個(gè)，是互聯(lián)時(shí)代發(fā)展中實(shí)現(xiàn)海量設(shè)備互聯(lián)互通的堅(jiān)實(shí)基礎(chǔ)。同時(shí)IPV6可保障多條路由表項(xiàng)的合并，有效減少路由表的規(guī)模，符合現(xiàn)階段互聯(lián)網(wǎng)的發(fā)展趨勢(shì)。但I(xiàn)PV6目前的應(yīng)用還存在一定的安全隱患和威脅，需要采取有效應(yīng)對(duì)措施，以解決困境。

2IPV6協(xié)議的特征

IPV6是一種替代現(xiàn)行IPV4的新IP協(xié)議，其在網(wǎng)絡(luò)保密性、完整性等方面具有較大的性能提升，并保障其可控性和抗否認(rèn)性。主要特征如下：

（1）IP地址擴(kuò)展和路由選擇功能加強(qiáng)。通過(guò)實(shí)行IPV6協(xié)議，能夠?qū)P地址長(zhǎng)度從32位增加到128位，盡可能的支持?jǐn)?shù)量較大的可尋址節(jié)點(diǎn)，同時(shí)保障自動(dòng)配置多級(jí)的地址層次、簡(jiǎn)單地址等。

（2）自動(dòng)配置無(wú)狀態(tài)地址。一般來(lái)說(shuō)，只有大容量的地址空間才能夠保障無(wú)狀態(tài)地址的自動(dòng)配置，促使IPV6的終端能夠比較快速地連接互聯(lián)網(wǎng)。改善了以往人工配置的現(xiàn)狀，形成即插即用的便利配置方法。

（3）對(duì)首部格式進(jìn)行合理優(yōu)化。IPV6協(xié)議能夠?qū)PV4首部的一些字段改為選項(xiàng)或者直接取消，可在很大程度上減少報(bào)文。并且在分組處理中降低首部額外帶寬的開(kāi)銷，即便是地址長(zhǎng)度增加，也能夠?qū)崿F(xiàn)處理費(fèi)用降低[1]。

（4）支持首部和選項(xiàng)擴(kuò)展。IPV6的選項(xiàng)一般處于單獨(dú)的首部中，具體是在報(bào)文分組中IPV6首部和傳送層的首部中間，使其選項(xiàng)具有任意長(zhǎng)度，不僅限于40字節(jié)。

（5）支持權(quán)限驗(yàn)證和數(shù)據(jù)的完整性。IPV6重新定義了一種擴(kuò)展，能夠保障權(quán)限驗(yàn)證和數(shù)據(jù)完整性，并成為IPV6的基本內(nèi)容之一，并可支持保密性要求。

（6）服務(wù)質(zhì)量能力提高。當(dāng)某一些的報(bào)文分組屬于相應(yīng)的特定工作流，IPV6能夠揮發(fā)其新能力，此時(shí)發(fā)送者要求對(duì)其進(jìn)行一定的特殊處理，充分提升服務(wù)質(zhì)量。

3 IPV6規(guī)模部署網(wǎng)絡(luò)安全威脅

3.1 技術(shù)安全威脅

雖然IPV6是對(duì)IPV4的完善和改進(jìn)，但在新技術(shù)的應(yīng)用和使用過(guò)程中，仍然會(huì)出現(xiàn)一定的技術(shù)缺陷，致使出現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。比如IPV6地址盡管能夠緩解IP地址資源緊張的現(xiàn)狀。不過(guò)由于海量地址的查詢相對(duì)復(fù)雜，造成安全檢測(cè)難度較大。并且IPV6協(xié)議自身也具有安全威脅，攻擊者可利用IPV6特有的鄰居發(fā)現(xiàn)協(xié)議等，發(fā)送錯(cuò)誤的路由宣告以及重定向信息等，可促使數(shù)據(jù)包流向不確定的方向。就會(huì)導(dǎo)致拒絕服務(wù)，并攔截和修改數(shù)據(jù)包。再比如IPV4過(guò)渡到IPV6的協(xié)議時(shí)存在安全問(wèn)題，攻擊者能夠借助過(guò)渡協(xié)議的漏洞，繞開(kāi)相應(yīng)的安全監(jiān)測(cè)，對(duì)用戶網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，獲得控制權(quán)，所以IPV4與IPV6共存會(huì)帶來(lái)較大的安全威脅，一旦被攻擊者所利用，則會(huì)造成較大的安全風(fēng)險(xiǎn)。另外，在當(dāng)前移動(dòng)終端、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算以及大數(shù)據(jù)等現(xiàn)代化信息技術(shù)的發(fā)展和應(yīng)用上，IPV6與其進(jìn)行融合還存在較大的安全挑戰(zhàn)。

3.2 產(chǎn)業(yè)安全威脅

從互聯(lián)網(wǎng)及其安全防護(hù)設(shè)備產(chǎn)業(yè)的角度上來(lái)看，現(xiàn)階段多數(shù)網(wǎng)絡(luò)設(shè)備及應(yīng)用僅支持IPV4，不能直接接入IPV6網(wǎng)絡(luò)。即便是安全防護(hù)設(shè)備支持IPV6，但其網(wǎng)絡(luò)防護(hù)能力還有待加強(qiáng)，在規(guī)模部署中無(wú)法滿足網(wǎng)絡(luò)安全全方位的檢測(cè)防護(hù)要求。因此IPV6協(xié)議的安全性直接影響到互聯(lián)網(wǎng)行業(yè)以及與其相關(guān)產(chǎn)業(yè)的經(jīng)濟(jì)發(fā)展。在IPV6規(guī)?；渴鸬男蝿?shì)下，為解決產(chǎn)業(yè)安全威脅，應(yīng)當(dāng)加強(qiáng)創(chuàng)新研發(fā)和更新支持IPV6的網(wǎng)絡(luò)設(shè)備產(chǎn)品。并且為其解決安全性問(wèn)題，提高IPV6網(wǎng)絡(luò)的穩(wěn)定性，需要全面測(cè)試相關(guān)的設(shè)備、網(wǎng)絡(luò)、技術(shù)等，綜合所有因素制定科學(xué)的測(cè)試計(jì)劃[2]。

3.3 管理安全威脅

基于管理安全出發(fā)，IPV6的地址空間大于IPV4，所以在分配和管理IP地址時(shí)，在缺乏相應(yīng)有效的管理知識(shí)和經(jīng)驗(yàn)的支持下，難度較大。并且在數(shù)據(jù)加密、驗(yàn)證和簽名中，都需要對(duì)大量的密鑰開(kāi)展安全管理，以此才能夠確保網(wǎng)絡(luò)數(shù)據(jù)具有良好的安全性，但現(xiàn)有管理策略不能滿足實(shí)際需求。另外一方面，在IPV6規(guī)模部署時(shí)，網(wǎng)絡(luò)用戶數(shù)量十分片龐大，相應(yīng)的設(shè)備規(guī)模較為巨大，需要頻繁的操作證書(shū)注冊(cè)、更新、存儲(chǔ)以及查詢等工作，如果KPI不能滿足高訪問(wèn)量的快速反應(yīng)，則無(wú)法提供及時(shí)的狀態(tài)查詢，影響服務(wù)質(zhì)量的提升。

4 IPV6規(guī)模部署保障安全的策略

針對(duì)IPV6網(wǎng)絡(luò)應(yīng)用出現(xiàn)的安全問(wèn)題和威脅，應(yīng)當(dāng)采取有效的策略，解決主要問(wèn)題，發(fā)揮其替代IPV4的優(yōu)勢(shì)性，推動(dòng)互聯(lián)網(wǎng)安全建設(shè)，滿足社會(huì)進(jìn)步和經(jīng)濟(jì)發(fā)展的需求。所以針對(duì)上述技術(shù)威脅、產(chǎn)業(yè)威脅和管理威脅，應(yīng)采用以下幾個(gè)安全策略。

4.1 強(qiáng)化防護(hù)技術(shù)投入

強(qiáng)化對(duì)IPV6安全防護(hù)技術(shù)的研究投入和前瞻部署是十分重要的，首先即是基于IPV6協(xié)議的本身特征，分析其很容易受到分片攻擊、擴(kuò)展頭攻擊或者是鄰居發(fā)現(xiàn)協(xié)議攻擊等。所以必須要根據(jù)各種攻擊類型重點(diǎn)研究其攻擊原理、攻擊檢測(cè)以及攻擊防御等，為解決方案的制定奠定良好基礎(chǔ)。其次是在IPV4向IPV6過(guò)渡時(shí)，應(yīng)當(dāng)將過(guò)渡機(jī)制與安全防護(hù)相融合，形成無(wú)縫、平滑和安全技術(shù)體系。最后要注重結(jié)合新技術(shù)，即是可在IPV6環(huán)境下，結(jié)合物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、云計(jì)算等安全技術(shù)、管理機(jī)制等，構(gòu)建良好的、可靠的解決方案。比如在移動(dòng)互聯(lián)網(wǎng)高速發(fā)展的趨勢(shì)下，提高移動(dòng)網(wǎng)絡(luò)的安全性，綜合考慮IPV6在感知層的應(yīng)用安全、建立IPV6云計(jì)算平臺(tái)等，促使安全防護(hù)技術(shù)趨向多樣化、有效化方向發(fā)展。另外還需擴(kuò)展鄰居發(fā)現(xiàn)協(xié)議中的安全選項(xiàng)，即是在每個(gè)IPV6中設(shè)置一對(duì)公私鑰和多個(gè)鄰居擴(kuò)展選項(xiàng)，能夠通過(guò)時(shí)間戳和Nonce選項(xiàng)來(lái)抵御攻擊。

4.2 注重研發(fā)信息安全產(chǎn)品

根據(jù)IPV6協(xié)議的特點(diǎn)和應(yīng)用要求，為保障產(chǎn)業(yè)及行業(yè)的健康發(fā)展，需要?jiǎng)?chuàng)新研發(fā)信息安全產(chǎn)品，在現(xiàn)有網(wǎng)絡(luò)安全保障系統(tǒng)基礎(chǔ)上，進(jìn)行相應(yīng)的升級(jí)改造，以便于進(jìn)一步提高對(duì)IPV6地址與網(wǎng)絡(luò)環(huán)境的支持能力。并按照我國(guó)行業(yè)發(fā)展要求，在產(chǎn)品中增加IPV6地址精準(zhǔn)定位功能，加強(qiáng)偵查打擊能力和快速處置效率等。并可建立完善的互聯(lián)網(wǎng)設(shè)備研發(fā)體系，針對(duì)IPV6的網(wǎng)絡(luò)安全等級(jí)保護(hù)、個(gè)人信息保護(hù)、通報(bào)預(yù)警、風(fēng)險(xiǎn)評(píng)估和災(zāi)難恢復(fù)、備份等方面入手，提高IPV6協(xié)議的應(yīng)用效果。比如為應(yīng)對(duì)IPV6協(xié)議的安全威脅，可在交換機(jī)的物理端口設(shè)置相應(yīng)的流量限制，在運(yùn)行過(guò)程中將超出限制的數(shù)據(jù)包進(jìn)行丟棄，或者可以在網(wǎng)絡(luò)防火墻、邊界路由器上啟動(dòng)對(duì)IPV6數(shù)據(jù)包過(guò)濾機(jī)制，拒絕轉(zhuǎn)發(fā)帶有安全隱患的報(bào)文，可有效解決安全威脅。

4.3 加大政策支持力度，加強(qiáng)安全管理

IPV6規(guī)模部署的安全威脅防范需要加大政策的支持力度，促使系統(tǒng)管理更加安全。因此應(yīng)當(dāng)嚴(yán)格按照我國(guó)國(guó)務(wù)院辦公廳印發(fā)的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPV6）規(guī)模部署行動(dòng)計(jì)劃》，落實(shí)各項(xiàng)建設(shè)措施，提高對(duì)安全問(wèn)題的重視程度。同時(shí)要出臺(tái)相關(guān)人才扶持政策，通過(guò)IPV6專業(yè)知識(shí)培訓(xùn)和教育工作，充分提供從業(yè)人員的技能，對(duì)IPV6規(guī)模部署中可能存在的安全威脅，做到早發(fā)現(xiàn)、早研究和早解決，避免造成嚴(yán)重的損失后果，構(gòu)建完善的IPV6網(wǎng)絡(luò)安全管理體系，在根本上提高安全管理水平，實(shí)現(xiàn)規(guī)模部署具有良好的應(yīng)用效果。

5 IPV6網(wǎng)絡(luò)安全策略的發(fā)展趨勢(shì)

對(duì)于未來(lái)IPV6網(wǎng)絡(luò)安全策略的發(fā)展，為保障IPV6規(guī)模部署得到充分的安全保證。則需要采取以下策略方法：采用單一地址的反向傳輸路徑轉(zhuǎn)發(fā)，有效拒絕全部擁有模糊源地址的數(shù)據(jù)包，防范網(wǎng)絡(luò)惡意攻擊;對(duì)低信譽(yù)的IPV6地址的信息流量采取必要的阻止措施;對(duì)出站信息流量進(jìn)行檢查，只允許具備匹配條件的返回流量，不過(guò)實(shí)質(zhì)上其僅是通過(guò)IPS來(lái)檢測(cè)用戶無(wú)意帶入的僵尸網(wǎng)絡(luò)流量、惡意軟件等;允許入站網(wǎng)絡(luò)流量在進(jìn)入到公共DNS時(shí)，擁有AAAA記錄的地址;當(dāng)某個(gè)內(nèi)部地址從未與外部進(jìn)行發(fā)送和接受工作，則應(yīng)當(dāng)阻止所有信息流量進(jìn)入到該地址中，確保內(nèi)部設(shè)備不會(huì)被外部惡意訪問(wèn);對(duì)所有入站的SSL以及TLS信息流量采取攔截手段，并使用自簽名證書(shū)對(duì)數(shù)據(jù)包進(jìn)行解密，以便于在其進(jìn)入之前開(kāi)展安全隱患檢查;當(dāng)通過(guò)IPS后，默認(rèn)允許其他入站信息流量，但應(yīng)當(dāng)對(duì)其速率進(jìn)行嚴(yán)格的限制，目的是保障網(wǎng)絡(luò)設(shè)備出現(xiàn)超載的情況。在未來(lái)IPV6規(guī)模部署中實(shí)施上述安全策略，能夠在很大程度上，確保IPV6協(xié)議在實(shí)際應(yīng)用中的安全性和穩(wěn)定性。

6 結(jié)束語(yǔ)

綜上所述，IPV6相比于IPV4具有諸多優(yōu)勢(shì)，其也是未來(lái)互聯(lián)網(wǎng)IP地址資源建設(shè)的必經(jīng)之路。因此在規(guī)?；渴疬^(guò)程中，要嚴(yán)格關(guān)注網(wǎng)絡(luò)安全問(wèn)題。針對(duì)現(xiàn)存的安全威脅和隱患，采取技術(shù)策略、政策策略以及管理策略等，充分保障IPV6協(xié)議的優(yōu)勢(shì)得以發(fā)揮，切實(shí)推動(dòng)我國(guó)社會(huì)經(jīng)濟(jì)的高效發(fā)展。

參考文獻(xiàn)：

[1] 張連成，郭毅.IPv6網(wǎng)絡(luò)安全威脅分析[J].信息通信技術(shù)，2019，13（6）：7-14.

[2] 林冀寧，蔣武軍.基于IPv6蜂窩網(wǎng)絡(luò)的防火墻安全問(wèn)題研究[J].江蘇通信，2019，35（4）：75-76，79.

【通聯(lián)編輯：聞翔軍】