浅谈IPv6网络安全问题及解决对策

作者：韦霞
来源：《信息安全与技术》2012年第11期

        【摘要】　随着科学技术的发展，越来越多的行业和领域广泛推行计算机技术，使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv6是计算机网络发展史上的又一里程碑。本文着重分析了IPv6网络安全存在的一些问题，并提出了相应的解决措施。

        【关键词】　IPv6；网络安全问题；解决对策

        0 引言

        近些年，计算机技术发展迅猛，TCP/IP网络体系结构在互联网上获得很大的成功，光缆也得到了长足的发展，千兆位的互联网技术日渐成熟，不同产业的技术规范逐步与世界接轨。然而，不容忽视的是现代的计算机网络仍然存在很大的问题，很多基础性的理论问题没有解决。在IPv4的基础上，切合互联网发展速度和IP地址无线设备激增的要求，IPv6出现，作为新一代网络核心技术，它的安全性至关重要。

        1 IPv6简介

        IPv6（Internet　Protocol　Version　6）是IETF（Internet　Engineering　Task　Force）设计的取代现行版本IP协议IPv4的新一代IP协议。当前，Internet采纳的协议是TCP/IP协议族，IP是TCP/IP协议族中网络层的协议，是其核心协议。目前，IPv6正处于不断发展和完善中，会在未来逐渐取代IPv4，实现每个人都拥有多个IP地址。

        与IPv4相比较，IPv6具有更大的空间地址；选用了更小的路由器；增强了组播支持和对流支持；新添了自动配置功能；安全性能大幅提升；允许IP协议的继续演变扩展；设置了更加便捷的头部格式；增添了新的选项。

        和IPv4一样，IPv6的IP地址分成表示特定网络的网络号和表示主机或服务器的主机号两部分。如图1所示，在128位中高64比特表示网络前缀，低64比特表示主机。

        IPv6地址长度是128位，比先前的地址空间扩大了2的96次幂倍，它取代了IPv4中可变长度的选项字段，采用了一系列固定格式的扩展头部，加快了文字的处理速度。IPv6新功能提高了互联网的安全性，身份验证和隐私权益保护是其主要体现。此外，它开始支持更多的服务类型，允许IP协议的继续演变。

        2 IPv6的计算机网络安全问题

        由于IPv6地址数量的数值非常大，所以每一个IP设备都可以分配到全世界通用的网络地址，换句话说，网络黑客可以依照分配的地址借助互联网找到所有的IP设备，从而对任何一台IP设备进行非法入侵，对用户的隐私安全造成了很大的威胁。

        IPv6在安全方面进行了严密的设计。IPSec（Internet　Protocol　security）的设计大大提高了IPv6的安全系数，确保了用户端之间的安全。IPv6在安全性上通过包验证、包完整性和包可靠性得以实现，而那些包的安全功能通过扩展首标实现。扩展首标在RFC1883中进行描述，而验证首标（AH，　Authentication　Header）提供密码验证或者是完整性测试，它借助加密的MD5算法确保IPv6的安全性。

        ESP（Encapsulating　Security　payload）扩展首标通过隧道模式和传输模式两种操作模式来实现IPv6的可靠性保护。隧道模式下的ESP，最初的IP数据被破译成明文，接着转换成ESP，连同加密的IP首标被输入到IP数据报中。没有加密的IP首标可以把加密的信息从原始路由传输到目的地。

        此外，IPv6可能受到潜在网络病毒的攻击，致使整个网络系统的瘫痪和崩溃，影响到IPv6网络的安全性和可靠性能。

        3 IPv6网络安全的对策

        3.1 IPv6的数据包头的扩展

        IPv6安全性可以提高互联网的安全，它利用相关的数据包头延伸，保证路由器的安全。IPv6数据接收包要求网络客户先利用数据包的扩展部分进行身份验证，才可以接收相关的数据内容。这种登录是相对独立的，能够在一定程度上遏制骇客的网络攻击，此外，IPv6的数据包头的扩展部分加密数据包，这种加密方法也是独立的，这就可以保证客户在网络上安全地传输保密数据，不被第三方截获。

        3.2 加强网络病毒的监控

        相关的部门要建立可行的检测系统，有效地预防网络病毒的入侵，对网络实施有效的监控。现代的网络病毒和传统的病毒有很大的差异，在高级性、隐蔽性、破坏性、传播性不同的层面都有了很大的提升，它们开始依附于网络文件、网页、邮件、程序、局域网等不同的传播途径，自动启动相应的程序，深入网络系统的内部，肆意妄为，通过对计算机的控制，实现对互联网的攻击。相关的人员要不断清理网络病毒，利用先进的病毒查杀软件对计算机进行定期的扫描和杀毒，保证互联网的安全性。在进行相应排查的时候，不仅起到了杀毒的目的，与此同时，有效地监控了网络文件、网页、程序、邮件，预防了异常情况出现未能处理的后果。

        3.3 完善网络体系

        相关的技术人员可以采取隔离的方法来确保网络信息的安全。建立和完善科学合理的网络体系是非常有必要的，它可以有效地预防网络信息的失窃。技术人员同步建立网络防火墙，也可以有效地对网络安全进行隔离。根据设立的DMZ访问规则以及安全过滤规则可以有效地控制外网用户，防止不合法的访问，确保必要的服务器的畅通，设立相应的防护系统，对那些有害于服务器的攻击有效控制。与此同时，还可以按照时间段规则，使内网用户的访问时间不会超过网络协议规定的时间。通过设置IP地址和绑定MAC地址，实现对IP地址欺骗行为的有效预防。防火墙除了可以屏蔽数量庞大的网络恶意攻击外，还可以保证重要的私人隐秘信息不会被晒到网络上。

        3.4 安装电磁屏蔽

        技术人员还应该在关键的环节安装电磁屏蔽，防止电磁辐射。一般情况下，信息在网络系统工作的过程中通过电磁波传输出去。当然，网络信息除了可以借助电源线、地线、信号线进行传播外，也可以在空间中被传播出去，潜在着信息泄露的威胁。还有的信息在泄露信息中能够快速地分辨出来，造成信息的泄露。然而，技术人员在重要的环节安装电磁屏蔽可以在很大的程度上有效地预防信息的泄露。

        3.5 提高IP安全协议

        IETF为了提高互联网的安全系数，在20世纪末期，开始着手研制更为安全的保护IP通信的IP安全协议，也就是后来人们知道的IPSec（Internet　Protocol　security）。IPSec具备了认可和加密两种新的功能。认证机制使IP通信的数据接收端检验信息发送方身份的真实性以及相应的数据在传达的过程中有没有被私自改动。而加密机制则是借助数据编码器加强信息的安全，防止网络骇客在数据传输的过程中把信息截获。IPSec的认证包头AH协议规定了认证的方法，封装安全负载ESP协议规定了加密和选择性认证的应用方法。

        3.6 加强新技术开发

        同IPv4有很大的差异，IPv6是新一代的网络核心，为我国的专门研究和开发机构提供了核心的技术。IPv6国际认证，它具有广泛认可和对全球开放的指标，当前，我国在相关的方面掌握了多达16项自主产权技术。IPv6的发展给我国开拓了一个新的网络市场，拥有了更多的发展机会，由此可见，我国必须加大IPv6的技术开发和研究，加大财政投入，不断培养新一代的网络核心人才，积极参与国际IPv6研究探讨活动。

        在路由器策略的采用方面，建议使用BGP4/BGP4+域间路由协议作为外部网关路由协议。技术人员要与时俱进、开拓创新不断积极探索IPv6网络保护的新的策略，维护互联网的安全，

        4 结论

        IPv6对IP网络的意义重大，具有长期性、可靠性、安全性、高效性和可操作性，它在未来的日子中将会逐渐取代IPv4，为广大的网络用户提供更高效、更安全、更便捷的信息。针对IP网络安全，可以借助IPv6的重要特征制定出行之有效的解决措施，我们有理由相信，随着下一代互联网业务的开展以及国家规范网上行为的法律法规出台，下一代互联网一定能为网络用户提供更优秀和安全的网络环境。

        参考文献

        [1]　周国尧.IPv6环境下跨网络异构数据交换技术的研究[D].武汉理工大学，2006.

        [2]　刘香兰.专用防火墙系统的研究与实现[D].山东科技大学，2006.

        [3]　李磊，杨柏林，胡维华.IPv6与IPv4网络通信模式的比较研究[J].计算机工程与应用，2007，（22）.

        [4]　张蓓，冯梅，靖小伟，刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全，2010，（04）.

        作者简介：

        韦霞（1984-），女，广西来宾人，本科，梧州职业学院，助教；主要研究方向：计算机辅助教育、学习环境设计等。