浅析IPv6网络的安全风险与应对措施

◆钱福利

浅析IPv6网络的安全风险与应对措施

◆钱福利

（江苏号百信息服务有限公司 江苏 210006）

目前，全球范围内IPv6取代IPv4已经成为一种必然趋势，我国也在不断尝试IPv6的规模化发展，但目前IPv6依旧存在一定的安全风险。基于此，本文首先对IPv6网络安全风险进行阐述，进而对IPv6网络安全隐患的应对措施加以探讨，以有效促进IPv6网络安全水平的提升。

IPv6；网络安全；DNS系统

0 引言

目前IPv4协议在实际应用中逐渐暴露出IP地址信息安全性不足的问题，且网络地址资源严重匮乏，地址资源分配十分枯竭，这种情况下，IPv6协议的应用优势逐渐突出，成为替代IPv4协议的重要网络，国内电信运营商已逐步开展IPv6商用推广。

1 IPv6协议下面临的安全挑战

1.1 IPv6在过渡阶段

世界各国在尝试推进IPv4与IPv6的过渡中，都经历较长的时间过渡期，这一过程中，网络非法攻击者可能通过IPv4至IPv6的过渡协议利用安全漏洞躲避安全监测进行非法入侵，影响网络安全。隧道机制的运行，会对数据包进行一定的封装与解封操作，内置认证不足，缺乏安全保障，且并不会对IPv4及IPv6的地址关系进行严格检查，导致隧道报文容易泄露，并通过对内层及外层地址的伪造，以合法用户的形式向隧道注入流量。另外，在IPv4向IPv6进行过渡的过程中，NAT转换技术的应用使IP流在不同协议间转换，诸如NAT设备地址池消耗殆尽等问题的存在导致DDoS攻击问题。

1.2 邻居发现协议

IPv6所采用的邻居发现协议（Neighbor Discovery Protocol，简称NDP）能够及时发现相同链路上的其他节点，通过这些节点可以实现地址的有效解析，明确链路路由器，对邻居可达信息加以维持。通过邻居发现协议，进行错误路由器宣告的发送，会导致IP数据包向非指定位置传输，以实现数据包修改，拒绝数据包服务或数据拦截等目的，在实际的IPv6协议运行中，邻居发现协议存在一定的安全隐患。

1.3 可移动性隐患

IPv6协议下的可移动性特征，能够使网络节点无须进行IP地址的更改，即可实现网络接入，并满足该节点与其他节点相互通信的实际需求。可移动性特征的存在，为节点通信提供便捷，但由于可移动节点所具备的不固定特征，也会给不法分子以可乘之机。

IPv6协议的移动，会面临一定的安全隐患，而导致安全隐患的问题，很大程度是由于绑定更新信息的伪造，这样就会导致某些网络节点出现错误绑定缓存信息的生成，导致网络伪造节点无法及时接收数据信息。移动IPv6草案在早期阶段，采用IPSec实现安全防护，目前IPv6则采用自定义安全机制，在没有形成一套规范的安全机制以前，IPv6协议存在一定的安全隐患。

2 IPv6的安全防护措施

IPv6环境下，构建安全合理的IPv6网络，保证安全防护体系的整体性与安全性是个重要的课题。随着网络安全建设工作的不断开展，目前网络安全领域已经超越了单一安全系统建设阶段，网络用户需要进行各种安全产品及安全子系统之间的协作保障，保证安全防护体系的可信性及安全性，优化网络安全防护能力。

2.1 DNS的安全防护效果

IPv4协议的网络应用程序编写过程中，编程人员会在代码编写过程写入服务器固定IPv4地址，以实现数据信息通信效率的有效提升。IPv6网络应用程序编程过程中，因为IPv6地址长度较长，难以充分记忆，因而在进行IPv6网络应用程序的编程时，采用域名及DNS访问目标网址以替代难以记忆的固定地址，在这种情况下，IPv6网络中的DNS的重要性就进一步提升，为现代网络架构提供核心的基础支撑。

IPv4网络运行中，DNS系统所记录的域名解析请求主要为NAT设备地址；在IPv6网络运行中，DNS系统所记录的域名解析请求主要为用户设备所产生的IPv6地址，因而在实际运行中，将产生大量用户IPv6源地址被保存于DNS系统日志中，真实的IPv6地址可能由于不法分子非法入侵DNS并窃取DNS系统日志数据而造成信息泄露[1]。

部分Windows等操作系统采用随机生成IPv6协议的临时地址，并进行租期设置，对设备MAC地址及真实IPv6地址及信息加以隐藏，但许多旧的设备及版本在运行其操作系统与物联网设备时，依旧采用以EUI-64为基础的真实地址接入网络并进行信息通信。

IPv4协议中，DNS系统主要对DDoS安全攻击进行防护；在IPv6协议中，DNS系统不仅要防护DDoS，还要做好DNS系统自身安全及日志数据安全防护工作，有效避免数据信息泄露。在未来，DNS系统服务器可能成为未来安全隐患的重要攻击点。IPv6网络安全管理工作中，应充分重视网络协议下DNS系统安全防护工作。

2.2 IPv6协议的安全部署

在中央网络安全及信息化领导小组会议上，习近平总书记强调网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。为此，在全面推进IPv6协议取代IPv4协议的情况下，应重点突出IPv6网络协议安全防护工作。加快IPv6的大规模应用，应探讨有效解决网络安全问题的策略，为提高网络安全管理效率并创新网络安全机制探索新的技术方向，深入研究IPv6的下一代互联网，不断促进网络安全保障手段的创新与优化，对网络安全保障体系加以完善，提高网络安全态势感知能力，提高网络安全问题的处置效率，为互联网安全提供良好支撑。我国制定的《推进互联网协议第六版（IPv6）规模部署行动计划》中，明确提出了IPv6安全防护工作原则，强调发展与安全并重，促进网络安全系统规划建设与运行，确保网络运行安全，及互联网协议的平滑过渡。

（1）对网络安全保障进行强化，对国家网络安全系统加以维护，对现有网络安全报账系统进行升级与改造，有效提高网络安全态势感知能力，实现高效处置，进行有效侦查；（2）开展地址安全管理工作，对IPv6地址申请、配置、备案及管理工作进行统筹，有效实现IPv6网络地址编码规划方案的有效落实，实现IPv6部署及网络实名制的协同推进：（3）优化网络安全防护工作，针对IPv6网络安全防护工作，开展个人信息保护、网络风险评估、安全通报预警，并做好安全备份及系统恢复工作；（4）针对网络新型领域开展网络安全保障。采用IPv6协议及现代化的人工智能、大数据、云计算等技术相互结合，强化新兴领域网络安全保障能力的有效提升。

2.3 搭建安全可信的IPv6网络

尽管大多数国家在推进IPv6网络协议的建设及大规模应用时IPv6网络会面临一定新的问题、存在新的安全隐患，但是IPv4协议网络已经逐渐进入终点，退出互联网舞台是时代发展之必然。因而，应不断强化IPv6的规模部署，同时也应当做好IPv6协议的安全防护工作。

要想构建安全可信的IPv6网络，应当建设完善的基础资源服务体制，首先应对实际网络规划真实的IP地址。IPv4网络大量采用了NAT及私网地址，IP网络源地址无法溯源，难以实现有效管理与控制，导致安全隐患难以消除。IPv6网络采用了真实的IPv6地址，对其不可靠安全因素加以消除，通过IPv6地址的实名制管理，以实现IP地址的可溯源、可追踪，以构建更加安全的网络环境。

同时应搭建具备可信性的域名管理系统，重要的信息系统域名需采用中国自主管理及自主控制的顶级域名及解析系统，以实现域名解析风险的弱化。IPv6协议网络环境下，应提供安全可行的DNS系统服务。过去所采用的IPv4共计13个DNS系统服务器，但中国并没有独立的DNS系统服务器，且全球互联网治理机制并不完善，网络安全隐患依旧十分严重。这种情况下采用IPv6根服务器系统，可以为网络用户提供DNS等选择方向，同时也可以为网络用户提供容灾应急服务，有效避免全球根DNS系统服务出现安全问题，避免中国互联网环境的安全运行受到影响，避免中国互联网遭受安全损失[2]。

3 结语

出于有效提高我国网络安全性及科研水平的考量，我国应全面促进以人工智能技术为代表的高端智能化技术发展与应用，不断探索科学技术发展与创新的能力，探索IPv6网络协议安全防护措施。

[1]赵肃波.中国IPv6发展与网络安全挑战[J].信息安全研究, 2019,5(03):261-272.

[2]角浩钺, 牛雯.工业物联网环境下IPv6技术面临的安全问题[J].信息与电脑(理论版), 2019(03):169-171.