IPv6作為下一代互聯(lián)網(wǎng)的關鍵性技術，預計未來數(shù)年內(nèi)，將逐步取代IPv4成為支撐互聯(lián)網(wǎng)運轉的核心協(xié)議。因此，了解IPv6的信息安全特性及隱患，并尋求相應的對策，對于提高下一代互聯(lián)網(wǎng)的信息安全水平，具有十分重要的意義。

IPv6的信息安全特性

IPv6作為下一代IP協(xié)議，是未來互聯(lián)網(wǎng)建構的基石。其主要特點：一是能提供比IPv4大得多的地址空間。有人形象地稱這一協(xié)議可為地球表面的每粒沙子分配一個IP地址。二是數(shù)據(jù)傳輸速度更快?；贗Pv6的主干網(wǎng)或城域網(wǎng)的傳輸速率，將比現(xiàn)在提高100倍到1000倍。

安全問題一直是網(wǎng)絡通信中關注的焦點問題。IPv6在設計之初，就對安全性有了較為周密的考慮，它內(nèi)嵌一種標準化的IP安全協(xié)議(IPsec)，解決了通信設備之間安全通信的標準化、互操作等問題，從而確保端到端的通信安全，實現(xiàn)“深度防護”安全策略。采用IPv6后，發(fā)送信息的設備有了永久的IP地址，設備類型很容易被識別。IPsec還能提供認證報頭服務，用于保證數(shù)據(jù)的保密性和一致性。

IPv6還采取了兩項技術措施增強其安全性。一是認證，它要求接收端中能存放發(fā)送端的信息，如果接收端無法識別發(fā)送端，則無法進行信息傳輸;如果可以進行通信，則需保證信息是由指定發(fā)送端發(fā)送的，同時信息在傳輸過程中沒有被其他用戶更改。二是私有性，它要求發(fā)送的信息必須被加密，接收端必須是授權的，這樣就能很好地防止信息被未授權用戶竊取。

IPv6作為一種新的網(wǎng)絡通信協(xié)議，尚未被廣泛推廣應用，絕大多數(shù)用戶對其了解不深，專門進行相關研究的就更少，這就決定了針對IPv6網(wǎng)絡的攻擊方法手段，還沒有真正發(fā)展起來，也很少有機會去驗證其攻擊效果。然而，隨著IPv6的推廣應用，也會像目前IPv4一樣，信息安全隱患將會逐漸暴露，并被攻擊者加以利用。

IPv6的信息安全隱患

構建基于IPv6的可信任下一代互聯(lián)網(wǎng)，是一項長期而艱巨的任務。雖然IPv6與IPv4相比，在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全隱患。

一是難以應對拒絕服務攻擊。拒絕服務攻擊仍然是IPv6面臨的最嚴重的一種攻擊，它可能導致計算機硬盤、物理設備毀壞和所有可用內(nèi)存耗盡的危險。IPv6支持動態(tài)自動尋址，雖然給合法網(wǎng)絡用戶使用帶來了方便，但非授權的用戶可以更容易地接入和使用網(wǎng)絡，埋下了拒絕服務攻擊的隱患。拒絕服務攻擊主要包括兩種方式：一種是通過向服務器或主機發(fā)送大量數(shù)據(jù)包，使得主機忙于處理這些無用的數(shù)據(jù)包而無法響應有用的信息;另一種是對網(wǎng)絡上兩個節(jié)點之間的通信直接進行干擾，攻擊者可以冒充通信節(jié)點向目標通信節(jié)點發(fā)送錯誤消息，從而造成路由迂回，導致網(wǎng)絡帶寬浪費及時延增加。對這兩種方式，IPv6從技術上都沒有很好地解決。

二是難以彌補整個網(wǎng)絡協(xié)議族的安全缺陷。根據(jù)國際標準化組織提出的各種計算機在世界范圍內(nèi)互聯(lián)成網(wǎng)的標準框架，即開放系統(tǒng)互聯(lián)參考模型，計算機網(wǎng)絡分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層等七個功能層。IP協(xié)議只是網(wǎng)絡層的協(xié)議，其安全性設計得再好，也只能保證本功能層的安全，其他功能層如應用層的網(wǎng)頁服務、郵件服務及文件傳輸?shù)确盏陌踩匀浑y以保證。

加強IPv6信息安全的對策

互聯(lián)網(wǎng)協(xié)議設計的一個基本要求，就是新協(xié)議的設計不能引入新的安全威脅。如果存在安全威脅，那么協(xié)議本身必須要規(guī)定相應的安全機制來克服。因此，要深入研究IPv6的技術特點，針對各種可能的安全威脅，改進完善技術手段，建立健全防范機制。

一方面，要改進完善技術手段。一是改進防火墻的設計，應對拒絕服務攻擊。IPv6相對IPv4在數(shù)據(jù)報頭上有了很大的改變，要求防火墻必須解析整個數(shù)據(jù)包才能進行過濾操作，這對防火墻的處理性能會有很大的影響。因此，必須采取各種技術手段，提高防火墻的性能，適應IPv6的需要。二是完善入侵檢測系統(tǒng)的設計，嚴格用戶限制。IPv6中引入了網(wǎng)絡層的加密技術，未來網(wǎng)絡數(shù)據(jù)通訊的保密性將會越來越強，要求入侵檢測系統(tǒng)在任何網(wǎng)絡狀況、任何服務器、任何客戶端、任何應用環(huán)境都能進行適當?shù)淖赞D換和自適應，以嚴格控制訪問用戶的身份認證和權限驗證等內(nèi)容。三是采用安全遷移設計，保障快速平穩(wěn)過渡。目前，IPv4正在向IPv6過渡，與采用其他任何一種新的網(wǎng)絡協(xié)議一樣，其安全措施必須經(jīng)過慎重的考慮和測試，避免產(chǎn)生新的技術漏洞。

另一方面，要建立健全防護機制。盡管IPv6還不是當前網(wǎng)絡通信的主流協(xié)議，但從長遠看，有必要開展超前研究，從健全安全防范制度和建立防范體系兩個方面，制定下一代互聯(lián)網(wǎng)的系統(tǒng)安全機制和信息安全機制。一是要健全安全防范制度，保障網(wǎng)絡系統(tǒng)安全。為加強網(wǎng)絡系統(tǒng)安全，在管理上要建章立制來強化相關人員的安全意識及規(guī)范其處置行為。例如，建立安全檢查制度，定期和不定期相結合進行安全保密檢查，排查安全隱患，杜絕網(wǎng)絡違規(guī)操作，減少人為紕漏;建立網(wǎng)絡值勤制度，不斷強化網(wǎng)絡值勤人員的保密意識、責任意識及服務意識，明確人員的職責劃分和操作規(guī)程，建立完善的值勤登記統(tǒng)計，使網(wǎng)絡值勤管理精細化、正規(guī)化。二是要建立具有主動性的網(wǎng)絡安全防范體系，確保網(wǎng)絡信息安全。采取加密、認證、數(shù)字簽名、訪問控制、安全代理、安全審計和監(jiān)督控制等多種安全防護機制，實現(xiàn)信息儲存保密、傳輸保密和瀏覽保密，進行實體認證、操作員認證和信息認證，從運行機制上保證網(wǎng)絡信息的安全。