IPv6協(xié)議面臨的網(wǎng)絡(luò )安全隱患分析

IPv4協(xié)議是在1975年推出，由于其內在的開(kāi)放性和不斷更新而受到開(kāi)發(fā)人員和用戶(hù)的歡迎，成為了互聯(lián)網(wǎng)的通用協(xié)議。隨著(zhù)互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間消耗速度正在逐年加快，雖然采取了許多節約地址的方法(如子網(wǎng)劃分技術(shù)、NAT地址轉換、保留IP地址等)，但按照互聯(lián)網(wǎng)現在的發(fā)展速度，IPv4地址將被分配完畢。

IPv4 協(xié)議本身也存在著(zhù)諸多安全缺陷：第一，很容易被竊聽(tīng)和欺騙。大多數因特網(wǎng)上的流量是沒(méi)有加密的。電子郵件口令、文件傳輸很容易被監聽(tīng)和劫持。第二，配置的復雜性。訪(fǎng)問(wèn)控制的配置十分復雜，很容易被錯誤配置，從而給黑客以可乘之機。第三，缺乏安全策略。許多站點(diǎn)在防火墻配置上無(wú)意識地擴大了訪(fǎng)問(wèn)權限，忽視了這些權限可能會(huì )被內部人員濫用。

IPv6 協(xié)議的特點(diǎn)與安全性

IPv6是由互聯(lián)網(wǎng)工程任務(wù)組(IETF)設計的用來(lái)替代現行的IPv4協(xié)議的一種新的IP協(xié)議，與IPv4相比，IPv6在網(wǎng)絡(luò )保密性、完整性方面有了更好的改進(jìn)，在可控性、抗否認性方面有了新的保證，IPv6協(xié)議的主要特點(diǎn)為：

1、擴展的地址和路由選擇功能。IP地址長(cháng)度由32位增加到128位，可支持數量大得多的可尋址節點(diǎn)、更多級的地址層次和較為簡(jiǎn)單的地址自動(dòng)配置。

2、真正地實(shí)現無(wú)狀態(tài)地址自動(dòng)配置。大容量的地址空間能夠真正實(shí)現無(wú)狀態(tài)地址自動(dòng)配置，使IPv6終端能夠快速連接到網(wǎng)絡(luò )上，無(wú)需人工配置，實(shí)現了真正的即插即用。

3、簡(jiǎn)化的首部格式。IPv4首部的某些字段被取消或改為選項，以減少報文。分組處理過(guò)程中常用情況的處理費用，并使得IPv6首部額帶寬開(kāi)銷(xiāo)盡可能低，盡管地址長(cháng)度增加了。

4、支持擴展首部和選項。IPv6的選項放在單獨的首部中，位于報文分組中IPv6首部和傳送層首部之間。IPv6的另一改進(jìn)，是其選項與IPv4不同，可具有任意長(cháng)度，不限于40字節。

5、支持驗證和隱私權。IPv6定義了一種擴展，可支持權限驗證和數據完整性。這一擴展是IPv6的基本內容，要求所有的實(shí)現必須支持這一擴展。IPv6還定義了一種擴展，借助于加密支持保密性要求。

6、服務(wù)質(zhì)量能力。IPv6增加了一種新的能力，如果某些報文分組屬于特定的工作流，發(fā)送者要求對其給予特殊處理。

IPv6通過(guò)IPSec協(xié)議來(lái)保證IP 層的安全。IPSec是IPv6的一個(gè)組成部分。雖然在實(shí)現IPv6時(shí)必須要實(shí)現IPSec協(xié)議，但應用時(shí)并不一定要使用它，IPv6協(xié)議把認證頭部(AH)和封裝安全凈荷頭部(ESP)作為兩個(gè)可選的擴展頭部。因此，本質(zhì)上IPv6并不能比IPv4帶來(lái)更高的安全性。

盡管IPv6協(xié)議采取了諸如支持驗證和隱私權之類(lèi)安全措施。但是IPv6也不可能徹底解決所有網(wǎng)絡(luò )安全問(wèn)題，同時(shí)還會(huì )伴隨其產(chǎn)生新的安全問(wèn)題，它的應用也給現行的網(wǎng)絡(luò )體系帶來(lái)了新的要求和挑戰。在建設IPv6網(wǎng)絡(luò )的時(shí)候，需要全面考慮網(wǎng)絡(luò )的安全問(wèn)題。

IPv6網(wǎng)絡(luò )存在的安全隱患

IPv4向IPv6過(guò)渡技術(shù)的隱患

在IPv4到IPv6網(wǎng)絡(luò )演進(jìn)過(guò)程中，主要應解決兩類(lèi)問(wèn)題：1. IPv6孤島互通技術(shù)：實(shí)現IPv6網(wǎng)絡(luò )與IPv6網(wǎng)絡(luò )的互通問(wèn)題;2. IPv6與IPv4互通技術(shù)。實(shí)現兩個(gè)不同網(wǎng)絡(luò )之間互相訪(fǎng)問(wèn)資源。對此，目前已經(jīng)推出了16種過(guò)渡技術(shù)，其中最基本的過(guò)渡技術(shù)包括雙棧技術(shù)和隧道技術(shù)。

雙協(xié)議棧會(huì )帶來(lái)新的安全問(wèn)題，對于同時(shí)支持IPv4和IPv6的主機，黑客可以同時(shí)用兩種協(xié)議進(jìn)行協(xié)調攻擊，發(fā)現兩種協(xié)議中存在的安全弱點(diǎn)和漏洞，或者利用兩種協(xié)議版本中安全設備的協(xié)調不足來(lái)逃避檢測。而且雙協(xié)議棧中一種協(xié)議的漏洞會(huì )影響另一種協(xié)議的正常工作。由于隧道機制對任何來(lái)源的數據包只進(jìn)行簡(jiǎn)單的封裝和解封，而不對IPv4和IPv6地址的關(guān)系做嚴格的檢查，所以隧道機制的引入，會(huì )給網(wǎng)絡(luò )安全帶來(lái)更復雜的問(wèn)題，也較多的出現安全隱患。

IPv6中組播技術(shù)缺陷的隱患

組播報文是通過(guò)UDP(用戶(hù)數據報協(xié)議)進(jìn)行傳輸的，所以它缺乏TCP(傳輸控制協(xié)議)所提供的可靠傳輸的功能。組播的開(kāi)放性使通信數據缺乏機密性和完整性的安全保護，而IPv6組播所需的MLD等組播維護協(xié)議不能滿(mǎn)足安全的需要。IP 組播使用UDP，任何主機都可以向某個(gè)組播地址發(fā)送UDP包，并且低層組播機構將傳送這些UDP包到所有組成員。由于在IPv6組播通信中，任何成員都可以利用MLD報文請求臨近的路由加入組播群組，組播加入成員的約束機制很匱乏，無(wú)法保證通信的機密性，因此，對機密數據的竊聽(tīng)將非常容易。

無(wú)狀態(tài)地址自動(dòng)配置的隱患

通過(guò)ND協(xié)議實(shí)現IPv6節點(diǎn)無(wú)狀態(tài)地址自動(dòng)配置，實(shí)現了IPv6節點(diǎn)的即插即用，具有IPv6聯(lián)網(wǎng)的易用性和地址管理的方便性。同時(shí)也帶來(lái)了一些安全隱患：首先，對路由器發(fā)現機制，主要是通過(guò)路由器RA報文來(lái)實(shí)現。惡意主機可以假冒合法路由器發(fā)送偽造的RA報文，在RA報文中修改默認路由器為高優(yōu)先級，使IPv6節點(diǎn)在自己的默認路由器列表中選擇惡意主機為缺省網(wǎng)關(guān)，從而達到中間人攻擊的目的。其次，對重復地址檢測機制，IPv6節點(diǎn)在無(wú)狀態(tài)自動(dòng)配置鏈路本地或全局單播地址的時(shí)候，需先設置地址為臨時(shí)狀態(tài)，然后發(fā)送NS報文進(jìn)行DAD檢測，惡意主機這時(shí)可以針對NS請求報文發(fā)送假冒的NA響應報文，使IPv6節點(diǎn)的DAD檢測不成功，從而使IPv6節點(diǎn)停止地址的自動(dòng)配置過(guò)程。最后，針對前綴重新編址機制，惡意主機通過(guò)發(fā)送假冒的RA通告，從而造成網(wǎng)絡(luò )訪(fǎng)問(wèn)的中斷。

鄰居發(fā)現協(xié)議的隱患

在自動(dòng)地址配置中, 鄰居發(fā)現協(xié)議(NDP)是基于IP的協(xié)議結構，用來(lái)完成鄰居可達性檢測、鏈路地址解析、路由及網(wǎng)絡(luò )前綴發(fā)現、流量重定向和DOA檢測等鏈路機制。報文身份的可鑒別性是NDP協(xié)議的主要安全需求，而哄騙報文攻擊是其所而臨的主要安全威脅。攻擊者只要仿造節點(diǎn)不可達信息和重復地址檢測，進(jìn)行DoS攻擊，或者傳播虛假的路由響應和重定向報文，就能誘騙網(wǎng)絡(luò )流量。

IPv6中PKI管理系統的隱患

IPv6網(wǎng)絡(luò )管理中PKI管理是一個(gè)懸而未決的問(wèn)題，必須要首先考慮PKI系統本身的安全性。在應用上存在一些需要解決的主要問(wèn)題: 必須解決數字設備證書(shū)與密鑰管理問(wèn)題;IPv6網(wǎng)絡(luò )的用戶(hù)數量龐大，設備規模巨大，證書(shū)注冊、更新、存儲、查詢(xún)等操作頻繁，于是要求PKI能夠滿(mǎn)足高訪(fǎng)問(wèn)量的快速響應并提供及時(shí)的狀態(tài)查詢(xún)服務(wù);IPv6中認證實(shí)體規模巨大，單純依靠管理員手工管理將不能適應現實(shí)需求，同時(shí)為了保障企業(yè)中其他服務(wù)器的安全，要制定嚴格而合理的訪(fǎng)問(wèn)控制策略，來(lái)掌控各類(lèi)用戶(hù)對PKI系統和其他服務(wù)器的訪(fǎng)問(wèn)。