IPv6面临的新问题及安全措施

□毛宝东

【摘IPv4的局限性严重制约了IP技术的应用和未来网络的发展。IPv6作为下一代网络的基础以其要】随着Internet的发展，

同时阐述了其在安全方面的局各方面的技术优势得到广泛的认可。从安全技术方面分析了IPv6安全技术的优势，限性，并说明IPv4向IPv6过渡还需要不断地加强技术研究。

【关键词】网络安全；IPv6；IPsec

【作者简介】毛宝东，男，河南郑州人，武汉大学信息管理学院在读硕士研究生；研究方向：电子政务

随着IPv4互联网规模的不断增长及其应用范围的不断拓宽，它在地址数量、移动性、服务质量及安全性等方面所具因特网工程任务组有的设计局限性也越来越明显。为此，

IETF提出了新一代因特网互连协议———IPv6。提供比IPv4协议更为有力的网络安全保障是IPv6技术进一步发展和成功应用的关键所在。全新IPv6协议的提出方面有助于我们另一方面，在下一代网际互连协议中实现更多的安全特性，

它在其他诸多方面所引入的新特性也将对当前的网络安全状况产生不容忽略的深远影响。本文在对IPv6技术进行综考察和归纳了IPv6在安全方面所引入的合分析的基础之上，

执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以防止非法用户修改、删除以设置口令锁定服务器控制台，

非法重要信息或破坏数据；可以设定服务器登录时间限制、访问者检测和关闭的时间间隔。

6．网络监测和锁定控制。网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应如果非法访问的次数会自动记录企图尝试进入网络的次数，达到设定数值，那么该帐户将被自动锁定。

7．网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。

8．防火墙控制。防火墙是一个用以阻止网络中的黑客也可称之为控制进/出两个方向访问某个机构网络的屏障，

通信的门槛。目前的防火墙主要有以下三种类型；包过滤防火墙、代理防火墙、双穴主机防火墙。

若干新问题及其相应的安全技术，以期对目前IPv6安全性问题的研究有所帮助。

IPv4面临的主要问题一、

地址资源耗竭、安全问题严重以及业务性支持欠缺是IPv4所面临的三大难题，同时也是引入IPv6协议的主要推动力。究其原因，主要在于IPv4效率低下、地址浪费严重的分级网络编址机制及其设计初期对发展规模预期的不足。人们提出了NAT～Sl地址转换机制，期望以地址分配复用的方式部分缓解编址空间耗竭的压力。随着互联网接入技术及xDLS宽带接入、GRPS/3G数据移动业其应用的发展，

（三）信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密端点加密和节点加密三种。链路加常用的方法有链路加密、

密的目的是保护网络节点之间的链路信息安全；端－端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

（四）网络安全管理策略。所谓网络安全管理策略是指一个网络中关于安全问题采取的原则，对安全使用的要求，以及如何保护网络的安全运行。制定网络安全管理策略首先要确定网络安全管理要保护的内容，其次是确定网络资源网络安全的职责划分。另外还应说明网络使用的类型限制，对策最终一定是要送至网络的每一个使用者手中。对付安提高每个使用者的安全意识，全问题最有效的手段是教育，从而提高整体网络的安全免疫力。【参考文献】

1．马文寿．计算机网络安全问题的探讨和对策［J］．青海师专2006学报，

2．江铁．网络安全综述［J］．电脑知识与技术，2008

·62·

Industrial&ScienceTribune2011.10.18务和PZP/网格计算模式等要求主机能够长期在线的应用需求越来越强烈，

这使得IPv4地址不足的问题不断恶化，其寻址与路由机制的可扩展性也已趋近极限。同时，

IPv4中还缺乏有效的服务控制措施，无法为新兴媒体应用提供流量、延迟、

抖动等必需的服务质量保障。二、

IPv6的特点从地址空间、高性能、安全性、业务性支持、配置和维护等角度考虑，

1Pv6主要针对如下几个方面进行了改进及增强：一是支持单地址长度高达128bit的网络寻址架构；二是传输控制及路由交换性能的提高；三是以标准建议形式强制性要求IPSecr的支持；四是明确定义了移动IP场合的主机注册、代理转接和优化路由机制；五是提供了流标签、服务优先级和路由策略等多种服务质量保障能力；六是采用基于IP的邻居发现协议。

三、

IPv6采取的安全措施（一）地址机制。IPv6采用128位的地址空间，其可能容纳的地址总数高达2，

128。一方面可解决当前地址空间枯竭的问题，

使网络的发展不再受限于地址数目的不足；另一方面可容纳多级的地址层级结构，

使得对寻址和路由层次的设计更具有灵活性，更好地反映现代Internet的拓扑结构。IPv6的接口ID固定为64位，因此用于子网ID的地址空间达到了64位，便于实施多级路由结构和地址集聚。IPv6的前缀类型多样，64位的前缀表示一个子网ID，小于64位的前缀要么表示一个路由，

要么表示一个地址聚类。IPv6的地址类型包括单播、多播和任播地址，取消了广播地址。IPv6的地址机制带来的安全措施包括：（1）防范网络扫描与病毒、蠕虫传播。（2）防范IP地址欺骗。（3）防范外网入侵。

（二）Ipsec。IETF在制定IPv6规范时，引入了网络层安全协议IPsec，

使之成为协议栈的一个组成部分。IPsec引入认证和加密机制，确保数据包的完整性和机密性，提供基于网络层的身份认证，因此，IPsec实现了网络层的安全，使得上层应用无需额外配置就可透明地使用IPsec来保障端到端通信的安全性，

提供的安全服务包括接入控制、无连接完整性、数据源认证、抗重发保护、机密性。IPsec包括两个安全协议头：身份验证头（AH）和封装安全载荷（ESP）。

1．身份验证头（AH）。设计AH协议的目的是用来增强IP数据包的安全性。但AH本身不提供任何保密服务，它不加密要保护的数据包。AH的作用包括：验证IP数据包所承载的数据的完整性；为IP数据包提供身份验证，

用于将实体与数据包的内容相关联；如果在完整性服务中使用了公钥数字签名方案，

AH可为IP数据包提供不可抵赖服务；通过使用顺序号字段来防止重放攻击。

2．封装安全载荷（ESP）。封装安全载荷提供数据加密、数据源认证、无连接完整性、抗重播服务和有限的数据流保密服务。ESP用来加密数据报的密码算法使用对称加密算

Industrial&ScienceTribune2011.10.182011年第10卷第18期法。ESP规范RFC2406规定每个IPSEC都要强制实现的算法：加密算法是CBC模式的DEC和NULL加密算法；认证算法是HMAC－MD5，

HMAC－SHA－l和NULL认证算法。四、

IPv6面临的新的安全问题IPv6协议强制性要求实现IPSec，拥有巨大的地址空间，增大了地址扫描的难度，从这个角度讲，下一代互联网将更加安全。但是IPSec由于密钥管理问题仍然难以广泛部署和实施，许多安全攻击发生在应用层而不是网络层，因此IPv6网络仍然面临许多安全问题。

（一）IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术，如SNMP等，不管是移植还是重新另搞，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现，因此缺乏对IPv6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。没有网管，何谈保障网络高效、安全运行？

（二）IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描。网络过滤、防病毒网关等网络安全设备需要在广泛实验中加以检验。事实上IPv6环境下，

与IPv4相比，IPv6在网络保密性、完整性方面更高层次的病毒已经出现。这方面的安全技术研发还需要加强与改进，使IPv6在可控性和抗否认性方面有更高更新的保证。

（三）IPv6协议仍需在实践中完善。例如IPv6组播功能不可能彻底解决所有安全问题，

同时还会伴随其产生新的仅规定了简单的认证功能，所以还难以实现严格的用户限制安全问题。目前多数网络攻击和威胁来自应用层而非IP功能，而移动IPv6（MobileIPvr）也存在很多新的安全挑战。层，因此，保护网络安全与信息安全，只靠一两项技术并不能DHCP必须经过升级才可以支持IPv6地址，

DHCPv6仍然处实现，还需配合多种手段，诸如认证体系、加密体系、密钥分于研究、制订之中。发体系、可信计算体系等。

（四）向IPv6迁移的可能漏洞。从IPv4过渡到IPv6意味需要重新编写软件程序和安由于IPv6与IPv4网络将会长期共存，由于IPv6与IPv4网络将会长期共存，网络必然会同时存在两者的安全问题，

或由此产生新的安全漏洞。五、结语

IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制，实现了网络层的身份认证和数据包的完整性、机密性，

增强了网络层的安全，对于应对网络威胁与攻击，保障网络通信安全成效显著。

参考文献】

1．崔晓斐．IPv6的安全性分析［J］．山西电子技术，20062．李晓东．MPLS技术与实现［M］．北京：电子工业出版社，2003

·63·

【