关于IPv6网络带来的安全风险与应对措施

翟 昱，买尔旦·肉孜

（新疆维吾尔自治区科技发展战略研究院，新疆 乌鲁木齐 830011）

1 IPv6 网络协议特征

第一，IPv6地址长度是180bit，每一段为一个四位十六进制数，总计有8段，同时以冒号间隔开来。

第二，报文结构。IPv6网络数据报文一般是以40个字节的报头与扩展报头构建而成的。这一网络报文头和IPv4报文结构相比更加简单，并且IPv6是把分片信息放置于扩展报头里面的。在这之中，扩展报头属性会变成不法分子入侵网络窃取重要信息的突破口。

第三，IPv4限制性。从事相关行业的人均已经了解到，IPv4网络地址长度是32bit，其能够提供大概43亿个IP地址，伴随社会持续发展，网络用户数量不断增加，物联网、人工智能、云计算等各种新技术持续发展，对IP地址的需求量也持续增多了，因此当前面临的一个重要问题就是地址枯竭的问题。为节约IPv4公网地址，相关人员往往以NET网络地址翻译进行处理，不过NAT用户损坏了端至端的应用模型。再者，IPv4网络下的路由器等级不同，这些路由器的路由条目也比较多，从而造成处理效率始终无法得到有效提升。

2 IPv6 网络协议具备的优点

（1）通过上述分析，我们可以了解到，该网络具备128位地址空间，故而无须转换地址，大大降低了网络时延，促使信息传输速度变得更快了。

（2）IPv6网络运用层次化的地址分配方式，以密码生成地址，并且在验证身份信息的时候，运用公私钥，这样可以有效预防假冒现象发生，促使访问控制列表从复杂化变得简单化。

（3）提升了安全性。第一，IPv6具有很大的地址空间，如此便提高了不法分子扫描检测的困难程度，而且有效减少了DDoS攻击出现的概率。第二，在该网络协议之中，强制实行IPSec，可以保护通信双方数据完整性，可以检验数据内容机密性，确保数据流机密性，检验数据起源，同时还可以提供抗重播保护。所以，可以把用户、攻击、报文三者对应起来，避免用户拒认，达到安全监督控制用户行为的目的。第三，加入了增强的组播支持且摒弃了广播地址，为提高服务水平提供了平台，能够防止采用广播地址引发的风暴与DDoS攻击。第四，协议严禁运用链路层组播，源地址以及广播数据包并非独一无二辨别单个节点的数据包，故而可以避免因为IPv6报文所带来的攻击。

（4）通过流标签将过去复杂的数据报文加以简化，可以迅速处理数据包，而且还可以给多媒体数据流提供优质服务。

（5）运用IPv6网络协议，可以采取新选项达到附加功能，按照新技术需求，拓展协议。

（6）采取无状态地址自动配置协议以及网络动态主机配置协议自动配置协议，无须服务器管理地址，让网络管理变得越来越便捷了，同时还提高了终端安全性，有效解决了网络地址管理困难的问题。

3 存在的安全风险

3.1 技术方面

众所周知，IPv6设计初期便思考了安全方面的问题，可是，依旧无法完全处理好该协议网络之中的问题。首先，扩展地址可以缓解网络地址不足的现象，不过，因为地址数量较多，查询起来并不容易，故而给安全检测造成了严重的阻碍。而且，协议本身也有缺陷和不足之处，比方说，不法分子能够以IPv6网络中的邻居发现协议传递不正确的路由器宣告等，从而造成数据包流向模糊，实现不服务、随意篡改数据包、拦截数据包的目的。其次，由IPv4至6运用过渡协议，不法分子能够借助协议漏洞避开安全监督检测，所以两者共存一定会产生安全隐患。最后，由于各种新技术的不断发展，IPv6和这些技术与应用相结合的过程中，引发了新的问题。并且，终端安全问题主要是网络安全监督管理与协议安全对策的敲定。

3.2 管理方面

因为IPv6地址空间很大，所以地址分配以及管理工作做起来并不容易，因此需要发布对应的管理政策。而且，数据信息验证、加密等各个方面要管理非常多的密钥，才可以确保网络数据信息不处在风险境况之下，所以需要积极参照国际组织对IPv6密钥管理经验，科学拟定密钥管理条例或办法。再者，进行IPv6网络部署前，需要花费很多的时间和精力，以及财力培训有关IPv6网络有关的安全知识，不然当出现安全问题时，就会付出更大的代价，如此看来，事先提防是很有必要的，并且是势在必行的。

3.3 产业方面

在新时代发展过程中，中国现有诸多网络设备普遍只支持IPv4网络，还无法直接运用IPv6。仅有极少部分网络设备能够支持IPv6的运用，不过这些支持IPv6网络的设备安全性并不高，还不能够完全应对IPv6网络大规模推广造成的安全隐患，产业界应当积极研发出支持IPv6网络的安全设备。并且，要想确保网络稳定且安全，必须要逐一检测IPv6网络有关设备和网络技术，与此同时按照IPv6网络特征思考出更加完善的检测计划。

4 IPv6 安全风险应对举措

4.1 努力研究安全防护技术

第一，根据IPv6网络协议所具备的特点而言，易于遭到扩展头攻击、分片攻击等，对于这些不同的攻击类型，需要针对攻击特征分析攻击的基本原理，探究攻击检测、预防和处理问题的方法。第二，当IPv4过渡到IPv6的时候，需要综合过渡制度和安全问题，从而获得无缝且安全的过渡技术，开展全新的安全体系建设。第三，将新技术与应用相融的过程中，需要进行IPv6网络下的物联网和云计算等方面的网络安全技术管理研究，譬如，物联网需要注重网络运用于感知层的安全性，云计算则需要注重鉴于IPv6网络的云计算平台安全处理对策等各种问题。

4.2 给予政策上的支持，提高安全管理效率

有关行动计划对IPv6网络协议部署进行了具体安排，有关技术规范与政策需要实时跟进，将安全方面的问题当成IPv6网络部署的核心内容之一。并且，需要积极举办IPv6网络协议知识培训教育活动，借此提高相关工作人员的素质，关注安全管理工作，对网络部署环节中可能会发生的安全问题进行提早分析与研究，做到及时发现问题，继而有效解决安全问题，避免安全问题扩大，从而带来无法预估的损失。

4.3 推进信息安全产品研发制作

应对IPv6网络安全风险问题的时候，需要优先改造当前已有网络安全保障体系，提高对IPv6网络协议地址与环境的支持。按照行动计划所提出的基本要求，每一种安全产品都需要提升网络地址准确定位、查询打击与迅速处理的能力，并且还需要推进各项工作的开展，比如网络安全保护、安全风险评估、预警和个人信息保护工作等。

4.4 合理采用网络协议优势预防风险

在应对网络安全风险的过程中，需要增强IPv6网络基础，合理运用网络协议优势预防安全风险问题的发生。第一，应当加强网络与有关应用安全质量评估，加强网络检测，持续开展攻击与预防演练，检测与填充网络协议漏洞，合理优化网络协议机制，调整报文头构成部分，继而从根源上预防网络协议本身所造成的安全问题。第二，应当科学采用网络逐级和层次化分配密码构成地址的方式，加密认证地址的同时，预防设备假冒接入以及中间人攻击，并消灭源地址借助邻居发现协议攻击的安全隐患问题。第三，需要增强IPSec安全机制，科学运用该协议无法否认性与数据信息可行性、反重播以及保证数据完整性，在设置协议的过程中添加各种安全功能，比如隧道机制内置认证与加密等，避免隧道嗅探，增强吞吐能力。第四，对网络协议无地址转换构成的内网结构和信息暴露相关问题，需要借助隐私扩展机制，隐匿通信地址，避免重要信息暴露，从而提高网络安全性。

5 结束语

通过以上所言，我们可以发现IPv6网络能够达到高效的信息安全治理，给万物互联带来了技术上的支持，有着一定的先进性，并且也伴随有安全风险问题。基于此，需要将安全放在第一位，积极探究网络安全，找到安全漏洞，使用科学有效的安全措施，保证网络系统安全性和稳定性，推动IPv6网络广泛推广与应用。