基于IPv6的互联网安全问题探讨

王艳华 左明

中国矿业大学图文信息中心 江苏 221116

0 引言

据全球互联网数字分配机构(IANA)的报道，到2010年11月初，全球IPv4地址仅剩2亿个，不足总量的5%，根据IANA的分配计划，最后5个A的IPv4地址将于2011年初分配完毕，距离此前专家预测的2011年8月再次提前。2010年被称为IPv6中国商用元年，下一代互联网的建设得到从国家到产业的高度重视，国家已经从战略高度重视以IPv6为特质的下一代互联网建设，在解决地址资源共享和网络安全的基础上，积极推进IPv6的商用进程，逐步实现向IPv6的全面过渡。

由于现有互联网最初设计是为了军事和科研用途，并不对外开放，缺乏完整的安全体系结构考虑，导致现有的安全技术大多是在现有互联网体系结构上进行修修补补的单元安全技术。随着网络应用的增加、速度的加快和规模的扩大，必然面对更多的安全风险，因此网络安全研究已经成为下一代互联网研究中的一个重要的领域，也是发展下一代互联网应该注意的最关键和必须解决的问题。在我国，863项目，973项目中都有对下一代互联网安全体系结构研究的重要支持。

1 IP安全协议IPSec

原来的互联网安全机制只建立于应用层，如IDEA加密算法、E-mail加密等，这些应用程序级的算法或技术不能适用于计算机通信网络中的各种应用需求，以及ISP今后可能出现的新的应用需求。而Internet网络的重要特点是以IP协议作为网络层的惟一标准协议。因此，如果能够保证IP层的安全，在很大程度上就保证了 IP网上的通信安全，这便是IETF网络安全组制定IPSec(Internet Protocol Security)协议的基本思路。

IPSec提供了既可以应用于IPv4也可以应用于IPv6的安全性机制，它只是IPv4的可选扩展协议，却是IPv6的必选组成部分。IPSec的主要功能是在网络层对数据分组提供认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。

IPSec在IP层上对数据包进行高强度的安全处理，提供访问控制、数据源身份认证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。IPSec支持主机之间、主机与网关、网关之间的组网方式。

IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议 Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。

其中AH协议定义了认证的应用方法，可以验证数据的起源、保障数据的完整性以及防止相同数据包的不断重播；ESP协议定义了加密和可选认证的应用方法，除具有AH的所有能力之外，还可选择保障数据的机密性，以及为数据流提供有限的机密性保障。AH和ESP协议根据安全联盟(SA)规定的参数为IP数据包提供安全服务。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。IKE是IPSec规定的一种用来自动管理SA的协议，由 Internet安全关联和密钥管理协议 ISAKMP以及OAKLEY与SKEME两种密钥交换协议综合组成。IKE的实现可支持协商 VPN，也可支持IP地址事先并不知道的远程接入。IKE解决了在不安全的网络环境中安全地建立或更新共享密钥的问题。

与IPv4相比，IPv6在网络保密性、完整性方面有了更好的改进，在可控性、抗否认性方面有了新的保证，例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等IPv4中常见的攻击方式将在IPv6网络中失效，但IPv6不可能彻底解决所有安全问题，同时还会伴随其产生新的安全问题，它的应用也给现行的网络体系带来了新的要求和挑战。IPSec作为一个网络层 IPv6路由协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责，另外，也无法抵御Sniffer、DoS攻击、洪水(Flood)攻击等。目前多数网络攻击和威胁来自应用层而非IP层，因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。

2 IPv6存在的安全问题

IPv4协议向 IPv6协议升级过程中，构建可信任的下一代互联网，将是一项长期而艰巨的任务。在建设IPv6网络的时候，需要全面考虑网络的安全问题。

2.1 传统的安全设备需要改进

IPv6中同样需要部署防火墙、VPN(虚拟专用网络)、IDS(入侵检测系统)、UTM(统一威胁管理)、流控、漏洞扫描、网络过滤、防病毒网关等网络安全设备。但由于IPv6的新特性，IPv6不向下兼容，原有的针对 IPv4的网络安全产品在IPv6网中不能直接使用，用于整个网络的通信路由和安全分析的硬件和软件都要进行升级，需要提供对 IPv6协议的支持，同时在实现方式上需要根据IPv6协议的特性进行改进。

IPv6防火墙用来保护网络不受来自网络层和传输层的攻击。IPv4中防火墙过滤的依据是IP地址和TCP/UDP端口号。IPv4中IP头部和TCP头部是紧接在一起的，而且其长度基本固定，所以防火墙过滤模块很容易找到 IP地址和TCP/UDP端口信息，从而用相应的策略。而在IPv6中，扩展报头存在于IP基本报头和TCP/UDP报头之间，对过滤模块与过滤函数寻找IP地址以及TCP/UDP中的端口信息带来麻烦。另外，由于IPv6集成了IPSec，网络数据进行了完全的加密，这样，如何过滤经过加密的数据是IPv6防火墙必须解决的又一问题，且对防火墙的处理性能会有很大的影响。

IPv6入侵检测系统用来监听、接收网段上的所有数据包，并对其进行分析，发现攻击并进行报警。IDS产品和防火墙一样，在IPv6下不能直接运行，除了基于上面两个原因外，还需要支持以下机制：高速网络下的数据包捕获机制；支持可扩展的IPv6源地址定位库和定位机制；能够支持IPv6流量分析机制；支持 IPv6协议规则集的灵活定义及分析装载，能检测出IPv6特有的攻击行为；能提供支持IPv6协议的入侵检测管理界面；同时支持IPv4和IPv6及过渡机制。由于IPv6中引入了网络层的加密技术，未来网络上的数据通讯的保密性将会越来越强，这使网络入侵检测系统和主机入侵检测引擎也面临在多种不同平台如何部署的问题。这就需要研究IDS新的部署方式，再下一步，研究如何才能在任何网络状况、任何服务器、任何客户端、任何应用环境都能进行适当的自转换和自适应。

2.2 过渡过程中的安全威胁

IPv6过渡技术是在过渡期间，根据某种特定需求，实现同种IP协议或不同IP协议网络设备之间通信的方法。IPv6过渡技术本身和 IPv4/IPv6 共存都会带来新的安全问题，目前很多问题还不能得到很好的解决。在进行IPv4到IPv6过渡策略的设计中，公认且具有代表性的主要有双栈方式、隧道方式和网络地址转换-协议转换方式。

双栈的节点同时运行IPv4和IPv6两套协议栈，针对对象是通信端节点，包括主机、路由器。由于两种协议共存时破坏了原 IPv4 网络安全机制，很多网络管理员是分给IPv6一个以该地址所述的类前缀为开头的地址，这样，黑客需要扫描的IPv6地址范围就小了很多。另外，由于双栈路由器是使用隧道机制在IPv4网络中路由IPv6包，则，黑客侵入IPv4设备后，会激活IPv6-in-IPv4隧道，这样就可以成功绕过过滤和入侵检测系统。双协议栈技术是 IPv6 过渡技术的基础，在隧道技术和协议转换技术中都需要使用双协议栈技术。因此，这些安全威胁也存在于其他过渡技术中。

隧道技术是将一种协议的数据报文封装在另一种协议的数据报文中传输，是连接孤岛的有效方法。隧道端点一般在接收到封装的数据包后，先进行解封装，再交给系统中其他数据转发机制处理。于是，隧道技术，以 IPv6 over IPv4隧道为例，受到的安全威胁主要来自IPv4网络中攻击者发送给隧道端点的伪造IP地址的封装数据包，攻击的对象可以是普通 IPv6 节点或隧道端点，主要包括：利用源地址伪造躲避追踪、利用源地址伪造进行反射DoS攻击、利用邻居发现协议消息欺骗。对于自动建立隐式隧道的技术，如 6to4、Teredo等，它们需要处理来自任何IPv4节点的数据包，而且隧道另一端的信息是从隧道端点接收到的 IPv6分组的目的地址处获得的，这就使得它们除了需要面对普通隧道的安全问题外，还可能受到以下两方面的威胁：利用IPv4广播地址DoS攻击、服务窃取。

网络地址转换-协议转换方式是通过对IPv4和IPv6协议之间的报文格式和信息的转换，实现使用不同IP协议的主机或者其他网络设备之间的互通。面临的安全问题主要来自以下几个方面：在传输过程中进行协议翻译，修改数据分组源、目的地址，因此无法使用 IPSec；协议翻译设备需要通过DNS-ALG对DNS应答进行转换，从而破坏了DNS SEC的加密机制，影响了DNS SEC的部署；存在利用IP分段进行DoS攻击的漏洞；存在利用组播地址进行反射DoS攻击的漏洞；存在利用动态绑定机制DoS攻击的漏洞。对于以上安全问题，一般可以采用转换设备进行地址合法性验证、添加认证机制和使用静态绑定技术等加以缓和，但这些机制会极大的消耗系统资源，并且增加了系统的复杂性。

2.3 缺乏成熟的IPv6网管产品

目前，由国家发改委和教育部批复立项的“教育科研基础设施IPv6技术升级和应用示范”项目，正在国内百所高校如火如荼的进行，该项目的建设目标之一便是：到 2010年底前，在接入CERNET和CNGI-CERNET2的基础上，将校园网升级到下一代互联网，建立安全、可控、可管和可运营的下一代校园网试商用环境。

网络管理是网络正常运行的必要保障，相对于IPv6网络建设和标准化工作的进展，IPv6网管的发展要相对滞后。国内外针对IPv6的网管系统处于起步阶段，缺乏成熟的IPv6网管产品，缺乏大规模应用的验证，缺乏对IPv6网络进行监测和管理的手段，对大范围的网络故障定位和性能分析的能力还有待提高。

IPv6的网管系统应同时支持IPv6和IPv4网络环境，支持IPv4//IPv6双栈管理，提供网管事务驱动的工作流机制，支持网管信息综合搜索和显示，采用分布式体系结构，提供高效的实时反映机制，进行故障监控、性能监控，并且支持高度可视化的信息界面和丰富的人机交互。

IPv6的管理可借鉴 IPv4，但对于一些网管技术，如SNMP(简单网络管理)等，不管是移植还是重建，其安全性都必须从本质上有所提高。IPv6网络管理所涉及的主要技术包括：网络管理系统与IPv6设备间交换管理信息时所需的基于IPv6的网络管理协议和IPv6网络管理信息模型。

另外，就网络安全而言，管理比技术更重要。这里的管理并不局限于网管软件，还包括管理制度、人员培训、密钥分发以及保密制度等等。先进的安全技术和设备会因管理不善而崩溃，完善的管理可以在一定程度上消除技术落后带来的不利因素。

2.4 IPv6协议本身仍需在实践中完善

IPv6协议本身并不是完美的，它是在 IPv4的结构基础上改进而成的，在IPv6中仍保留着IPv4的诸多结构特点，例如数据的分片和 TTL(生存时间)等，这些选项都曾经被黑客用来攻击IPv4协议或者逃避检测。IPv6组播功能仅仅规定了简单的认证功能，还难以实现严格的用户限制功能。另外，DHCP(动态主机配置协议)必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制订之中。

安全算法本身存在安全问题。IPSec的 AH协议、ESP协议中分别使用认证算法和加密算法，这些算法本身就存在局限性，不能够保证某一算法自身的安全。山东大学王小云教授带领的密码研究小组先后破译了包含MD5与SHA-1在内的系列 Hash函数算法。另外，从密钥的分配管理来看，IPSec依赖的PKI目前还没形成完善的标准。此外，对用户来说，加密解密消耗的CPU时间会使用户的服务响应速度变慢，如果黑客向目标发送大量貌似正确实际上却是随意填充的加密数据包，被攻击者就可能消耗大量的CPU时间用于检验错误的数据包而不能响应其他用户的请求，造成拒绝服务。

无状态地址自动配置(Stateless Address Autoconfiguration)存在安全隐患。IPv6地址为128位，考虑到配置地址的方便，通过邻居发现协议(Neighbor Discovery Protoco1)，节点不需要任何人工操作即可发现同一链路上的其他节点，进行地址解析，发现链路上的路由器，维持到活跃邻居的可达信息等。该机制给合法用户带来方便的同时，也使得非授权的用户可以更容易地接入和使用网络，特别是在无线环境中，如果没有数据链路层的认证和访问控制，一个配有无线网卡的非法用户甚至不受物理网线连接的限制就可以轻松地接入和访问IPv6网络。邻居发现协议在没有认证保护时，规定跳限制域必须是最大值 255，可以防止来自链路外的攻击。但这种措施对链路内发起的攻击却无能为力，而IPv6的无状态地址自动配置恰恰为链路内攻击提供了便利。无状态地址自动配置中的冲突地址检测机制也给拒绝服务攻击带来可能，恶意攻击者只要回复对临时地址进行的邻居请求，请求者就会认为地址冲突而放弃使用该临时地址。

3 总结与展望

随着下一代互联网应用的增加，速度的加快和规模的扩大，国家、网络运营者和使用者对于IPv6的安全问题日益重视。本文在对IPSec安全协议介绍的基础上，着重探讨了IPv6网络目前存在的安全问题，研究了传统的网络安全设备的改进，分析了过渡过程中的安全威胁，指出网络管理及网管产品的重要性，并对IPv6协议本身的脆弱性进行了探讨，希望能为正在进行这方面工作的同仁提供一些参考。

与IPv4相比，IPv6在网络保密性、完整性方面有了更好的改进，在可控性、抗否认性方面有了新的保证。但是IPSec安全协议的集成，并不能保障IPv6的绝对安全，还需要配合防火墙、入侵检测系统、网管软件等手段同时使用，还要继续完善IPv6协议，深入研究IPv6网络安全组织和策略体系，提升 IPv6网络整体安全水平，达到网络安全纵深防御的目标，形成可管可控可信的IPv6网络架构，推动下一代网络安全应用的发展。

[1]王相林.IPv6核心技术[M].北京:科学出版社.2009.

[2]杨碧天,常立夏,詹德新.IPv6安全性能研究[J].网络安全技术与应用.2008.

[3]梁羽.IPv6的安全问题探讨[J].科协论坛.2008.

[4]王帅,沈军,金华敏.电信 IPv6网络安全保障体系研究[J].电信科学.2010.

[5]徐贵宝.选择适当技术保证网络安全过渡[J].通信世界. 2003.

[6]雷茗洋.基于 IPv6协议的网络安全分析[J].数字技术与应用.2010.

[7]Zagar,D,Gragic,K.IPv6 Security Threats and Possible Solutions [J].Automation Congress.2006.WAC '06.World. 2010.