IPv6作為下一代互聯網的關鍵性技術，將逐步取代IPv4成為支撐互聯網運轉的核心協議。因此，了解IPv6的信息安全特性及隱患，並尋求相應的對策，對於提高下一代互聯網的信息安全水平，具有十分重要的意義。

　　IPv6的信息安全特性

　　IPv6作為下一代IP協議，是未來互聯網建構的基石。其主要特點：一是能提供比IPv4大得多的地址空間。有人形象地稱這一協議可為地球表面的每粒沙子分配一個IP地址。二是數據傳輸速度更快。基於IPv6的主干網或城域網的傳輸速率，將比現在提高100倍到1000倍。

　　安全問題一直是網絡通信中關注的焦點問題。IPv6在設計之初，就對安全性有了較為周密的考慮，它內嵌一種標准化的IP安全協議（IPsec），解決了通信設備之間安全通信的標准化、互操作等問題，從而確保端到端的通信安全，實現“深度防護”安全策略。採用IPv6后，發送信息的設備有了永久的IP地址，設備類型很容易被識別。IPsec還能提供認証報頭服務，用於保証數據的保密性和一致性。

　　IPv6還採取了兩項技術措施增強其安全性。一是認証，它要求接收端中能存放發送端的信息，如果接收端無法識別發送端，則無法進行信息傳輸﹔如果可以進行通信，則需保証信息是由指定發送端發送的，同時信息在傳輸過程中沒有被其他用戶更改。二是私有性，它要求發送的信息必須被加密，接收端必須是授權的，這樣就能很好地防止信息被未授權用戶竊取。

　　IPv6作為一種新的網絡通信協議，尚未被廣泛推廣應用，絕大多數用戶對其了解不深，專門進行相關研究的就更少，這就決定了針對IPv6網絡的攻擊方法手段，還沒有真正發展起來，也很少有機會去驗証其攻擊效果。然而，隨著IPv6的推廣應用，也會像目前IPv4一樣，信息安全隱患將會逐漸暴露，並被攻擊者加以利用。

　　IPv6的信息安全隱患

　　構建基於IPv6的可信任下一代互聯網，是一項長期而艱巨的任務。雖然IPv6與IPv4相比，在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全隱患。

　　一是難以應對拒絕服務攻擊。拒絕服務攻擊仍然是IPv6面臨的最嚴重的一種攻擊，它可能導致計算機硬盤、物理設備毀壞和所有可用內存耗盡的危險。IPv6支持動態自動尋址，雖然給合法網絡用戶使用帶來了方便，但非授權的用戶可以更容易地接入和使用網絡，埋下了拒絕服務攻擊的隱患。拒絕服務攻擊主要包括兩種方式：一種是通過向服務器或主機發送大量數據包，使得主機忙於處理這些無用的數據包而無法響應有用的信息﹔另一種是對網絡上兩個節點之間的通信直接進行干擾，攻擊者可以冒充通信節點向目標通信節點發送錯誤消息，從而造成路由迂回，導致網絡帶寬浪費及時延增加。對這兩種方式，IPv6從技術上都沒有很好地解決。

　　二是難以彌補整個網絡協議族的安全缺陷。根據國際標准化組織提出的各種計算機在世界范圍內互聯成網的標准框架，即開放系統互聯參考模型，計算機網絡分為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層等七個功能層。IP協議只是網絡層的協議，其安全性設計得再好，也隻能保証本功能層的安全，其他功能層如應用層的網頁服務、郵件服務及文件傳輸等服務的安全仍然難以保証。

　　加強IPv6信息安全的對策

　　互聯網協議設計的一個基本要求，就是新協議的設計不能引入新的安全威脅。如果存在安全威脅，那麼協議本身必須要規定相應的安全機制來克服。因此，要深入研究IPv6的技術特點，針對各種可能的安全威脅，改進完善技術手段，建立健全防范機制。

　　一方面，要改進完善技術手段。一是改進防火牆的設計，應對拒絕服務攻擊。IPv6相對IPv4在數據報頭上有了很大的改變，要求防火牆必須解析整個數據包才能進行過濾操作，這對防火牆的處理性能會有很大的影響。因此，必須採取各種技術手段，提高防火牆的性能，適應IPv6的需要。二是完善入侵檢測系統的設計，嚴格用戶限制。IPv6中引入了網絡層的加密技術，未來網絡數據通信的保密性將會越來越強，要求入侵檢測系統在任何網絡狀況、任何服務器、任何客戶端、任何應用環境都能進行適當的自轉換和自適應，以嚴格控制訪問用戶的身份認証和權限驗証等內容。三是採用安全遷移設計，保障快速平穩過渡。目前，IPv4正在向IPv6過渡，與採用其他任何一種新的網絡協議一樣，其安全措施必須經過慎重的考慮和測試，避免產生新的技術漏洞。

　　另一方面，要建立健全防護機制。盡管IPv6還不是當前網絡通信的主流協議，但從長遠看，有必要開展超前研究，從健全安全防范制度和建立防范體系兩個方面，制定下一代互聯網的系統安全機制和信息安全機制。一是要健全安全防范制度，保障網絡系統安全。為加強網絡系統安全，在管理上要建章立制來強化相關人員的安全意識及規范其處置行為。例如，建立安全檢查制度，定期和不定期相結合進行安全保密檢查，排查安全隱患，杜絕網絡違規操作，減少人為紕漏﹔建立網絡值勤制度，不斷強化網絡值勤人員的保密意識、責任意識及服務意識，明確人員的職責劃分和操作規程，建立完善的值勤登記統計，使網絡值勤管理精細化、正規化。二是要建立具有主動性的網絡安全防范體系，確保網絡信息安全。採取加密、認証、數字簽名、訪問控制、安全代理、安全審計和監督控制等多種安全防護機制，實現信息儲存保密、傳輸保密和瀏覽保密，進行實體認証、操作員認証和信息認証，從運行機制上保証網絡信息的安全。

　　IPv6對信息安全工作的影響

　　安全人員需要有關IPv6協議的教育和培訓。IPv6協議將在你的控制之下進入你的網絡，這只是個時間問題。同許多新的網絡技術一樣，學習IPv6的基礎知識是非常重要的，特別是學習尋址方案和協議，以便適應事件的處理和相關的活動。

　　安全工具需要升級。IPv6不向下兼容。用於整個網絡的通信路由和安全分析的硬件與軟件都要進行升級，以支持IPv6協議，否則這些硬件和軟件都不支持IPv6。當使用邊界保護設備的時候，記住這一點是非常重要的。為了兼容IPv6，路由器、防火牆和入侵檢測系統都需要軟件或者硬件升級。

　　現有的設備需要額外設置。支持IPv6的設備把它當成一個完全獨立的協議。因此，訪問控制列表、規則庫和其他設置參數要重新進行評估，並且要轉換為支持IPv6的環境。

　　隧道協議產生新的風險。網絡和安全團體已經耗費了很多時間和精力確保IPv6是一個具有安全功能的協議。然而，這種轉換的最大的風險之一是使用隧道協議支持向IPv6的轉換。這些協議允許在IPv4數據流通過非兼容設備時把IPv6的通信隔離開。因此，在你准備好正式支持IPv6之前，你的網絡用戶可以使用這些隧道協議運行IPv6。如果這是一個令人擔心的問題，就在你的邊界內封鎖IPv6隧道協議。

　　IPv6自動設置可造成尋址的復雜性。IPv6另一個有趣的功能是自動設置。自動設置功能允許系統自動獲得一個網絡地址，而不需要管理員的干預。IPv6支持兩種不同的自動設置技術。監控狀態的自動設置使用DHCPv6，這是對目前的DHCP協議的簡單升級，從安全的角度看並沒有很大的不同。另外，關注一下非監控狀態的自動設置功能。這個技術允許系統產生自己的IP地址，並且檢查地址的重復性。從系統管理的角度說，這種非集中化的方式可能更容易一些，但是，對於跟蹤網絡資源使用情況的網絡管理員來說，這種做法提出了很大的難題。

　　IPv6是革命性的。IPv6允許我們為未來十年的無處不在的接入做好准備。但是，同其他的技術創新一樣，我們需要從安全的角度認真關注IPv6。

分享讓更多人看到