IPv6的安全性

IPv6的安全性

IPv6的优势及特点

1）扩展地址空间及应用。IPv6设计之初主要是解决互联网迅速发展使IPv4地址空间将被耗尽问题,以免影响整个互联网的进一步扩展。由于IPv4采用32位地址长度,大约只有43亿个地址，而IPv6采用128位地址长度，极大地扩展了IP地址空间。

IPv6的研发还解决了IPv4的其他多种问题，如安全性、端到端IP连接、服务质量（QoS）、多播、移动性和即插即用等功效。IPv6还对报头进行重新设计,由一个简化长度固定的基本报头和多个可选的扩展报头组成。既可加快路由速度，又能灵活地支持多种应用，便于扩展新的应用。IPv4和IPv6的报头如图所示。
IPV4的IP报头

IPV6基本报头

2）提高网络整体性能。IPv6的数据包增大,使应用程序可用最大传输单元MTU获得更快、更可靠的数据传输，并在设计上改进选路结构，采用简化的报头定长结构和更合理的分段方法，使路由器加快数据包处理速度，从而提高了转发效率，并提高了网络的整体吞吐量等性能。

3）加强网络安全性能。IPv6用内嵌安全机制要求强制实现IP安全协议IPSec,提供支持数据源发认证、完整性和保密性能力,同时可抗重放攻击.安全机制主要由两个扩展报头实现:认证头AH和封装安全载荷ESP。

4）提供更好服务质量。IPv6在分组的头部中定义业务流类别字段和流标签字段两个重要参数，以提供对服务质量（QoS）的支持。业务流类别字段将IP分组的优先级分为16个等级。对于需要特殊QoS的业务，可在IP数据包中设置相应的优先级,路由器根据IP包的优先级来分别对这些数据进行不同处理。流标签用于定义任意一个传输的数据流，以便网络中各结点可对此数据进行识别与特殊处理。

5）实现更好地组播功能。组播是一种将信息传递给已登记且计划接收该消息的主机功能，可同时给大量用户传递数据，传递过程只占用一些公共或专用带宽开销而不在整个网络广播，以减少带宽。IPv6还具有限制组播传递范围的一些特性，组播消息可被限于一特定区域、公司、位置或其他约定范围，从而减少带宽的使用并提高安全性。

6）支持即插即用和移动性。当联网设备接入网络后，以自动配置可自动获取IP地址和必要的参数，实现即插即用，简化了网络管理，易于支持移动结点。IPv6不仅从IPv4中借鉴了很多概念和术语，还提供了移动IPv6所需的新功能。

7）提供必选的资源预留协议（Resource Reservation Protocol，RSVP）功能，用户可在从源点到目的地的路由器上预留带宽，以便提供确保服务质量的图像和其他实时业务。

IPv4与IPv6安全问题比较

比较IPv4和IPv6下的安全问题，有些安全问题的原理和特征基本无变化，有的却发生很大变化。主要包括：
1）与IPv4下的情况比较，原理和特征基本未发生变化的安全问题可划分为三类：网络层以上的安全问题；与网络层数据保密性和完整性相关的安全问题和与网络层可用性相关的安全问题。如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等。

2）网络层以上的安全问题：主要是各种应用层的攻击，其原理和特征无任何变化。

3）网络层数据保密性和完整性相关的安全问题：主要是窃听和中间人攻击。由于IPSec没有解决大规模密钥分配和管理的难点，缺乏广泛的部署，在IPv6网络中，仍可存在相同安全问题。

4）同网络层可用性相关安全问题：主要是指网络系统的洪泛攻击，如TCP SYN flooding攻击等。

5）原理和特征发生明显变化的安全问题,主要4个方面:
① 侦测。是一种基本攻击方式，也是其他网络攻击方式的初始步骤。黑客为攻击得手，需要获得被攻击网络地址、服务、应用等尽可能多的情报。IPv4协议的子网地址空间只有28位容易被侦测，IPv6的默认子网地址空间为264位天文数字安全很多。
② 非授权访问。IPv6下的访问控制同IPv4下情形类似，依赖防火墙或路由器访问控制表(ACL)等控制策略，由地址、端口等信息实施控制。
③ 篡改分组头部和分段信息。在IPv4网络中的设备和端系统都可对分组进行分片，分片攻击通常用于两种情形：一是利用分片逃避网络监控设备，如防火墙和IDS。二是直接利用网络设备中协议栈实现的漏洞，以错误的分片分组头部信息直接对网络设备发动攻击。
④ 伪造源地址。IPv4网络的源地址伪造的攻击很多，如SYN Flooding、UDP Flood Smurf等攻击。对其防范主要有两类方法：一是基于事前预防的过滤类方法，如准入过滤等；二是基于事后追查的回溯类方法。实际上，这些方案都存在部署困难等缺陷，由于存在网络地址转换(NAT)，使攻击后追踪更难。

IPv6的安全机制

1）协议安全。如上所述，在协议安全层面，IPv6全面支持认证头AH认证和封装安全有效载荷ESP扩展头。支持数据源发认证、完整性和抗重放攻击等。

2）网络安全。IPv6安全主要体现在4个方面：
① 实现端到端安全。两端主机对报文IPSec封装,中间路由器实现对有IPSec扩展头IPv6报文封装传输即可实现。
② 提供内网安全。当内部主机与Internet其他主机通信时,可通过配置IPSec网关实现内网安全。
③ 由安全隧道构建安全VPN。通过IPv6的IPSec隧道实现的VPN，可在路由器之间建立IPSec安全隧道。
④ 以隧道嵌套实现网络安全

3）其他安全保障。由于网络的安全威胁为多层且分布于各层之间。对物理层的安全隐患，可通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境和加强安全管理进行防护。

移动IPv6的安全性

(1) 移动IPv6的特性
从IPv4到IPv6使移动IP技术发生根本性变化，IPv6的许多新特性也为结点移动性提供更好支持.IPv6组网技术极大简化网络重组,更有效促进因特网移动性。

(2) 移动IPv6面临的安全威胁
移动IPv6基本工作流程只针对于理想状态的互联网，并未考虑现实网络的安全问题。且移动性的引入也会带来新安全威胁，如对报文窃听、篡改和拒绝服务攻击等。因此,在移动IPv6的具体实施中须谨慎处理这些安全威胁,以免降低网络安全级别。
移动IP主要用于无线网络，不仅要面对无线网络所有的安全威胁，还要处理由移动性带来的新安全问题，所以，移动IP相对有线网络更脆弱和复杂。

移动IPv6的安全机制

移动IPv6协议针对上述安全威胁，在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数。

对其他形式攻击,可用<移动结点，通信结点> 和 <移动结点，归属代理>之间信令消息传递进行有效防范。移动结点和归属代理之间可通过建立IPSec安全联盟，以保护信令消息和业务流量。由于移动结点归属地址和归属代理为已知，所以可以预先为移动结点和归属代理配置安全联盟，并使用IPSec AH和ESP建立安全隧道，提供数据源认证、完整性检查、数据加密和重放攻击防护。