在互聯(lián)網(wǎng)的不斷發(fā)展的過程中，折射出更為突出的安全問題。現(xiàn)在，IPv6的商用，給我們帶來了更為嚴(yán)峻的安全問題。IPv6安全問題，是否能是我們完全放心地使用互聯(lián)網(wǎng)呢？這里，筆者認(rèn)為，不管是哪個時代，哪個領(lǐng)域安全問題永遠(yuǎn)是不滅的話題。

IPv6安全問題

IPv6能徹底解決互聯(lián)網(wǎng)中的安全問題嗎？

原來的互聯(lián)網(wǎng)安全機制只建立于應(yīng)用程序級，如E-mail加密、SNMPv2網(wǎng)絡(luò)管理安全、接入安全（HTTP、SSL）等，無法從IP層來保證Internet的安全。為了加強互聯(lián)網(wǎng)的安全性，從1995年開始，IETF著手研究制定了一套IP安全（IP Security，IPSec）協(xié)議用于保護IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性機制，它是IPv6的一個組成部分，也是IPv4的一個可選擴展協(xié)議。通過集成IPSec，IPv6實現(xiàn)了IP級的安全。IPSec提供如下安全性服務(wù)：訪問控制、無連接的完整性、數(shù)據(jù)源身份認(rèn)證、防御包重傳攻擊、保密、有限的業(yè)務(wù)流保密性。

IPSec的認(rèn)證報頭（Authentication Header，AH，RFC2402中描述）協(xié)議定義了認(rèn)證的應(yīng)用方法，封裝安全負(fù)載（Encapsulating Security Payload，ESP，RFC2406中描述）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。IPSec安全性服務(wù)完全通過AH和ESP頭相結(jié)合的機制來提供，當(dāng)然還要有正確的相關(guān)密鑰管理協(xié)議。在實際進(jìn)行IP通信時，可以根據(jù)安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。

IPv6實質(zhì)上不會比IPv4更加安全。IPv6標(biāo)準(zhǔn)的起草者、思科總部的兩位“杰出網(wǎng)絡(luò)技術(shù)領(lǐng)袖”Fred Baker和 Tony Hain認(rèn)為IPv6從根本上來說，只是IP地址改變的協(xié)議包，并不能解決現(xiàn)在的互聯(lián)網(wǎng)協(xié)議IPv4中的安全問題。但是由于IPSec提供的端到端安全性的兩個基本組件——認(rèn)證和加密——都是IPv6協(xié)議的必備組件，而在IPv4中，它們只是可選組件，因此，采用IPv6，安全性會更加簡便、一致。更重要的是，IPv6使我們有機會在將網(wǎng)絡(luò)轉(zhuǎn)換到這種新型協(xié)議的同時發(fā)展端到端安全性。

為解決IPv6安全問題，傳統(tǒng)的安全設(shè)備需要做那些改進(jìn)？

IPv6網(wǎng)絡(luò)中仍需要使用防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的安全設(shè)備，但由于IPv6的一些新特點，IPv4網(wǎng)中現(xiàn)有的這些安全設(shè)備在IPv6網(wǎng)中不能直接使用，還需要做些改進(jìn)：

防火墻的設(shè)計

由于IPv6相對IPv4在數(shù)據(jù)報頭上有了很大的改變，所以原來的防火墻產(chǎn)品在IPv6網(wǎng)絡(luò)上不能直接使用，必須做一些改進(jìn)。針對IPv6的Socket套接口函數(shù)已經(jīng)在RFC3493：Basic Socket Interface Extensions for IPv6中定義，以前的應(yīng)用程序都必須參考新的API做相應(yīng)的改動。

IPv4中防火墻過濾的依據(jù)是IP地址和TCP/UDP端口號。IPv4中IP頭部和TCP頭部是緊接在一起的，而且其長度是固定的，所以防火墻很容易找到頭部，并應(yīng)用相應(yīng)的策略。然而在IPv6中TCP/UDP報頭的位置有了根本的變化，它們不再是緊連在一起的，通常中間還間隔有其他的擴展頭部，如路由選項頭部，AH/ESP頭部等。防火墻必須讀懂整個數(shù)據(jù)包才能進(jìn)行過濾操作，這對防火墻的處理性能會有很大的影響。

入侵檢測系統(tǒng)（IDS）的設(shè)計

在IPv6安全問題下也使我們不得不放棄以往的網(wǎng)絡(luò)監(jiān)控技術(shù)，投身一個全新的研究領(lǐng)域。首先，IDS產(chǎn)品同防火墻一樣，在IPv6下不能直接運行，還要做相應(yīng)的修改。其次，IDS的工作原理實際上是一個監(jiān)聽器，接收網(wǎng)段上的所有數(shù)據(jù)包，并對其進(jìn)行分析，從而發(fā)現(xiàn)攻擊，并實施相應(yīng)的報警措施。但是，如果使用傳輸模式進(jìn)行端到端的加密，IDS就無法工作，因為它接收的是加密的數(shù)據(jù)包，無法理解。當(dāng)然，解決方案之一是讓IDS能對這些數(shù)據(jù)包進(jìn)行解密，但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設(shè)想的那樣，也有待時間的考驗。

由于IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來網(wǎng)絡(luò)上的數(shù)據(jù)通訊的保密性將會越來越強，這使網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機入侵檢測引擎也面臨在多種不同平臺如何部署的問題。這就需要研究IDS新的部署方式，再下一步，研究如何才能在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)。