在傳統(tǒng)IPv4網(wǎng)絡(luò)中，安全一直是令我們頭疼的問題?，F(xiàn)在IPv6協(xié)議網(wǎng)絡(luò)的到來卻給我們解決了諸多的安全問題。這是因為，在IPv4網(wǎng)絡(luò)上面，我們演進的V6版本，采取了不同的傳輸結(jié)構(gòu)， 那么安全機制也有了改變。但是這個真的就安全了嗎？

IP安全協(xié)議(IPSec) IPSec是IPv4的一個可選擴展協(xié)議,而在IPv6協(xié)議則是一個必備組成部分｡IPSec協(xié)議可以“無縫"地為IP提供安全特性,如提供訪問控制､數(shù)據(jù)源的身份驗證､數(shù)據(jù)完整性檢查､機密性保證,以及抗重播(Replay)攻擊等｡新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來對路由信息進行加密和認證,提高抗路由攻擊的性能｡

端到端的安全保證 IPv6協(xié)議網(wǎng)絡(luò)最大的優(yōu)勢在于保證端到端的安全,可以滿足用戶對端到端安全和移動性的要求｡IPv6限制使用NAT,允許所有的網(wǎng)絡(luò)節(jié)點使用其全球惟一的地址進行通信｡每當建立一個IPv6的連接,都會在兩端主機上對數(shù)據(jù)包進行 IPSec封裝,中間路由器實現(xiàn)對有IPSec擴展頭的IPv6數(shù)據(jù)包進行透明傳輸,通過對通信端的驗證和對數(shù)據(jù)的加密保護,使得敏感數(shù)據(jù)可以在IPv6協(xié)議網(wǎng)絡(luò)上安全地傳遞,因此,無需針對特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān)),就可保證端到端的網(wǎng)絡(luò)透明性,有利于提高網(wǎng)絡(luò)服務(wù)速度｡

地址分配與源地址檢查在IPv6的地址概念中,有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念｡從安全角度來說,這樣的地址分配為網(wǎng)絡(luò)管理員強化網(wǎng)絡(luò)安全管理提供了方便｡若某主機僅需要和一個子網(wǎng)內(nèi)的其他主機建立聯(lián)系,網(wǎng)絡(luò)管理員可以只給該主機分配一個本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù),那么就可以只給這臺服務(wù)器分配一個本地網(wǎng)絡(luò)地址,而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機｡

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ),有助于抵御網(wǎng)上的身份偽裝與偷竊,而采用可以提供認證和完整性安全特性的DNS安全擴展 (DNS Security Extensions)協(xié)議,能進一步增強目前針對DNS新的攻擊方式的防護,例如“網(wǎng)絡(luò)釣魚(Phishing)"攻擊､“DNS中毒(DNS poisoning)"攻擊等,這些攻擊會控制DNS服務(wù)器,將合法網(wǎng)站的IP地址篡改為假冒､惡意網(wǎng)站的IP地址等｡此外,專家認為,如果能爭取在我國建立IPv6域名系統(tǒng)根服務(wù)器,則對于我國的信息安全很有必要和十分重要｡

總體來說IPv6與IPV4相比具有以下幾個優(yōu)勢:

1､IPv6協(xié)議網(wǎng)絡(luò)具有更大的地址空間｡IPv4中規(guī)定IP地址長度為32,即有2^32-1(符號^表示升冪,下同)個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址｡

2､IPv6使用更小的路由表｡IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網(wǎng),大大減小了路由器中路由表的長度,提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度｡

3､IPv6增加了增強的組播(Multicast)支持以及對流的支持(Flow Control),這使得網(wǎng)絡(luò)上的多媒體應(yīng)用有了長足發(fā)展的機會,為服務(wù)質(zhì)量(QoS,Quality of Service)控制提供了良好的網(wǎng)絡(luò)平臺｡

4､IPv6加入了對自動配置(Auto Configuration)的支持｡這是對DHCP協(xié)議的改進和擴展,使得網(wǎng)絡(luò)(尤其是局域網(wǎng))的管理更加方便和快捷｡#p#

5､IPv6具有更高的安全性｡在使用IPv6協(xié)議網(wǎng)絡(luò)中用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進行加密并對IP報文進行校驗,極大的增強了網(wǎng)絡(luò)的安全性｡

IPv6出現(xiàn)的安全新問題:

IPv6是新的協(xié)議,在其發(fā)展過程中必定會產(chǎn)生一些新的安全問題,主要包括應(yīng)對拒絕服務(wù)攻擊(DoS)乏力､包過濾式防火墻無法根據(jù)訪問控制列表ACL正常工作､入侵檢測系統(tǒng)(IDS)遭遇拒絕服務(wù)攻擊后失去作用､被黑客篡改報頭等問題｡

此外,在IPv6中還有一些問題有待解決,主要包括:

1､IP網(wǎng)中許多不安全問題主要是管理造成的｡IPv6協(xié)議網(wǎng)絡(luò)的管理與IPv4在思路上有可借鑒之處｡但對于一些網(wǎng)管技術(shù),如SNMP等,不管是移植還是重新另搞,其安全性都必須從本質(zhì)上有所提高｡由于目前針對IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn),因此缺乏對IPv6網(wǎng)絡(luò)進行監(jiān)測和管理的手段,缺乏對大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段｡沒有網(wǎng)管,何談保障網(wǎng)絡(luò)高效､安全運行?

2､PKI管理在IPv6中是懸而未決的新問題｡

3､IPv6協(xié)議網(wǎng)絡(luò)同樣需要防火墻､VPN､IDS､漏洞掃描､網(wǎng)絡(luò)過濾､防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備｡事實上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)｡這方面的安全技術(shù)研發(fā)還尚需時日｡

4､IPv6協(xié)議仍需在實踐中完善,例如IPv6組播功能僅僅規(guī)定了簡單的認證功能,所以還難以實現(xiàn)嚴格的用戶限制功能,而移動IPv6(Mobiel IPv6)也存在很多新的安全挑戰(zhàn)｡DHCP必須經(jīng)過升級才可以支持IPv6地址,DHCPv6仍然處于研究､制訂之中｡

由于IPv6與IPv4網(wǎng)絡(luò)將會長期共存,網(wǎng)絡(luò)必然會同時存在兩者的安全問題,或由此產(chǎn)生新的安全漏洞｡與IPv4相比,IPv6協(xié)議網(wǎng)絡(luò)在網(wǎng)絡(luò)保密性､完整性方面有了更好的改進,在可控性和抗否認性方面有了新的保證,但IPv6不僅不可能徹底解決所有安全問題,同時還會伴隨其產(chǎn)生新的安全問題｡目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層,因此,保護網(wǎng)絡(luò)安全與信息安全,只靠一兩項技術(shù)并不能實現(xiàn),還需配合多種手段,構(gòu)建一個整體的防御體系,這樣才能使我們的網(wǎng)絡(luò)應(yīng)用更加安全｡