IPv6協(xié)議面臨的網(wǎng)絡(luò )安全隱患分析

移動(dòng)IPv6的隱患

移動(dòng)計算與普通計算的環(huán)境存在較大的區別，如多數情況移動(dòng)計算是在無(wú)線(xiàn)環(huán)境下，容易受到竊聽(tīng)、重發(fā)攻擊以及其他主動(dòng)攻擊，且移動(dòng)節點(diǎn)需要不斷更改通信地址，因此，其協(xié)議架構的復雜性，使得移動(dòng)IPv6的安全性問(wèn)題凸顯。

IPv6的安全機制對網(wǎng)絡(luò )安全體系的挑戰隱患

第一，由網(wǎng)絡(luò )層的傳輸中采用加密方式帶來(lái)的隱患分析。1. 針對密碼的攻擊，對一些老版本的操作系統，有的組件不是在驗證網(wǎng)絡(luò )傳輸標識信息時(shí)進(jìn)行信息保護，于是，竊聽(tīng)者可以捕獲有效的用戶(hù)名及其密碼，掌握合法用戶(hù)權限，進(jìn)入機器內部破壞。2. 針對密鑰的攻擊，IPv6下，IPSec的兩種工作模式都要交換密鑰，一旦攻擊者破解到正確的密鑰，就可以得到安全通信的訪(fǎng)問(wèn)權，監聽(tīng)發(fā)送者或接收者的傳輸數據，甚至解密或竄改數據。3. 加密耗時(shí)過(guò)長(cháng)引發(fā)的DoS攻擊，加密需要很大的計算量，如果黑客向目標主機發(fā)送大規?？此坪戏ㄊ聦?shí)上卻是任意填充的加密數據包，目標主機將耗費大量CPU時(shí)間來(lái)檢測數據包而無(wú)法回應其他用戶(hù)的通信請求，造成DoS。第二，對傳統防火墻的沖擊，現行的防火墻有三種基本類(lèi)型，即包過(guò)濾型、代理服務(wù)器型和復合型。其中代理服務(wù)器型防火墻工作在應用層，受IPv6的影響較小，另外兩種防火墻都將遭到巨大沖擊。第三，對傳統的入侵檢測系統的影響，入侵檢測(IDS)是防火墻后的第二道安全保障?；诰W(wǎng)絡(luò )IDS可以直接從網(wǎng)絡(luò )數據流中捕獲其所需要的審計數據，從中檢索可疑行為。但是，IPv6數據已經(jīng)經(jīng)過(guò)加密，如果黑客利用加密后的數據包實(shí)施攻擊，基于網(wǎng)絡(luò )IDS就很難檢測到任何入侵行為。

IPv6編址機制的隱患

IPv6中流量竊聽(tīng)將成為攻擊者安全分析的主要途徑，面對龐大的地址空間，漏洞掃描、惡意主機檢測等安全機制的部署難度將激增。IPv6引入了IPv4兼容地址、本地鏈路地址、全局聚合單播地址和隨機生成地址等全新的編址機制。其中，本地鏈路地址可自動(dòng)根據網(wǎng)絡(luò )接口標識符生成而無(wú)需DHCP自動(dòng)配置協(xié)議等外部機制干預，實(shí)現不可路由的本地鏈路級端對端通信，因此移動(dòng)的惡意主機可以隨時(shí)連入本地鏈路，非法訪(fǎng)問(wèn)甚至是攻擊相鄰的主機和網(wǎng)關(guān)。

本文從IPv4向IPv6過(guò)渡技術(shù)，IPv6中組播技術(shù)缺陷，無(wú)狀態(tài)地址自動(dòng)配置，鄰居發(fā)現協(xié)議，IPv6中PKI管理系統，移動(dòng)IPv6，IPv6的安全機制對網(wǎng)絡(luò )安全體系的挑戰以及IPv6編址機制等8個(gè)方面指出了IPv6網(wǎng)絡(luò )存在的安全隱患。說(shuō)明IPv6網(wǎng)絡(luò )在安全方面還遠沒(méi)有達到我們期望的高度。需要在IPv6網(wǎng)絡(luò )的推廣與應用中不斷改進(jìn)與完善。

對于計算機網(wǎng)絡(luò )來(lái)說(shuō)，安全永遠只是相對的。新的技術(shù)只能暫時(shí)解決目前的安全問(wèn)題，但新一輪的問(wèn)題又會(huì )接踵而來(lái)。討論IPv6網(wǎng)絡(luò )安全隱患的目的在于我們要提前認清IPv6存在的安全隱患，未雨綢繆，防患于未然。在IPv6網(wǎng)絡(luò )的應用中不斷改進(jìn)、逐步提高，才能使人們最終擁有一個(gè)高效、安全的下一代互聯(lián)網(wǎng)。