IPv6協(xié)議面臨的網(wǎng)絡(luò)安全隱患分析

IPv4協(xié)議是在1975年推出，由于其內(nèi)在的開放性和不斷更新而受到開發(fā)人員和用戶的歡迎，成為了互聯(lián)網(wǎng)的通用協(xié)議。隨著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間消耗速度正在逐年加快，雖然采取了許多節(jié)約地址的方法(如子網(wǎng)劃分技術(shù)、NAT地址轉(zhuǎn)換、保留IP地址等)，但按照互聯(lián)網(wǎng)現(xiàn)在的發(fā)展速度，IPv4地址將被分配完畢。

IPv4 協(xié)議本身也存在著諸多安全缺陷：第一，很容易被竊聽和欺騙。大多數(shù)因特網(wǎng)上的流量是沒有加密的。電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。第二，配置的復(fù)雜性。訪問控制的配置十分復(fù)雜，很容易被錯誤配置，從而給黑客以可乘之機。第三，缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被內(nèi)部人員濫用。

IPv6 協(xié)議的特點與安全性

IPv6是由互聯(lián)網(wǎng)工程任務(wù)組(IETF)設(shè)計的用來替代現(xiàn)行的IPv4協(xié)議的一種新的IP協(xié)議，與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進，在可控性、抗否認(rèn)性方面有了新的保證，IPv6協(xié)議的主要特點為：

1、擴展的地址和路由選擇功能。IP地址長度由32位增加到128位，可支持?jǐn)?shù)量大得多的可尋址節(jié)點、更多級的地址層次和較為簡單的地址自動配置。

2、真正地實現(xiàn)無狀態(tài)地址自動配置。大容量的地址空間能夠真正實現(xiàn)無狀態(tài)地址自動配置，使IPv6終端能夠快速連接到網(wǎng)絡(luò)上，無需人工配置，實現(xiàn)了真正的即插即用。

3、簡化的首部格式。IPv4首部的某些字段被取消或改為選項，以減少報文。分組處理過程中常用情況的處理費用，并使得IPv6首部額帶寬開銷盡可能低，盡管地址長度增加了。

4、支持?jǐn)U展首部和選項。IPv6的選項放在單獨的首部中，位于報文分組中IPv6首部和傳送層首部之間。IPv6的另一改進，是其選項與IPv4不同，可具有任意長度，不限于40字節(jié)。

5、支持驗證和隱私權(quán)。IPv6定義了一種擴展，可支持權(quán)限驗證和數(shù)據(jù)完整性。這一擴展是IPv6的基本內(nèi)容，要求所有的實現(xiàn)必須支持這一擴展。IPv6還定義了一種擴展，借助于加密支持保密性要求。

6、服務(wù)質(zhì)量能力。IPv6增加了一種新的能力，如果某些報文分組屬于特定的工作流，發(fā)送者要求對其給予特殊處理。

IPv6通過IPSec協(xié)議來保證IP 層的安全。IPSec是IPv6的一個組成部分。雖然在實現(xiàn)IPv6時必須要實現(xiàn)IPSec協(xié)議，但應(yīng)用時并不一定要使用它，IPv6協(xié)議把認(rèn)證頭部(AH)和封裝安全凈荷頭部(ESP)作為兩個可選的擴展頭部。因此，本質(zhì)上IPv6并不能比IPv4帶來更高的安全性。

盡管IPv6協(xié)議采取了諸如支持驗證和隱私權(quán)之類安全措施。但是IPv6也不可能徹底解決所有網(wǎng)絡(luò)安全問題，同時還會伴隨其產(chǎn)生新的安全問題，它的應(yīng)用也給現(xiàn)行的網(wǎng)絡(luò)體系帶來了新的要求和挑戰(zhàn)。在建設(shè)IPv6網(wǎng)絡(luò)的時候，需要全面考慮網(wǎng)絡(luò)的安全問題。

IPv6網(wǎng)絡(luò)存在的安全隱患

IPv4向IPv6過渡技術(shù)的隱患

在IPv4到IPv6網(wǎng)絡(luò)演進過程中，主要應(yīng)解決兩類問題：1. IPv6孤島互通技術(shù)：實現(xiàn)IPv6網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的互通問題;2. IPv6與IPv4互通技術(shù)。實現(xiàn)兩個不同網(wǎng)絡(luò)之間互相訪問資源。對此，目前已經(jīng)推出了16種過渡技術(shù)，其中最基本的過渡技術(shù)包括雙棧技術(shù)和隧道技術(shù)。

雙協(xié)議棧會帶來新的安全問題，對于同時支持IPv4和IPv6的主機，黑客可以同時用兩種協(xié)議進行協(xié)調(diào)攻擊，發(fā)現(xiàn)兩種協(xié)議中存在的安全弱點和漏洞，或者利用兩種協(xié)議版本中安全設(shè)備的協(xié)調(diào)不足來逃避檢測。而且雙協(xié)議棧中一種協(xié)議的漏洞會影響另一種協(xié)議的正常工作。由于隧道機制對任何來源的數(shù)據(jù)包只進行簡單的封裝和解封，而不對IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查，所以隧道機制的引入，會給網(wǎng)絡(luò)安全帶來更復(fù)雜的問題，也較多的出現(xiàn)安全隱患。

IPv6中組播技術(shù)缺陷的隱患

組播報文是通過UDP(用戶數(shù)據(jù)報協(xié)議)進行傳輸?shù)?，所以它缺乏TCP(傳輸控制協(xié)議)所提供的可靠傳輸?shù)墓δ堋＝M播的開放性使通信數(shù)據(jù)缺乏機密性和完整性的安全保護，而IPv6組播所需的MLD等組播維護協(xié)議不能滿足安全的需要。IP 組播使用UDP，任何主機都可以向某個組播地址發(fā)送UDP包，并且低層組播機構(gòu)將傳送這些UDP包到所有組成員。由于在IPv6組播通信中，任何成員都可以利用MLD報文請求臨近的路由加入組播群組，組播加入成員的約束機制很匱乏，無法保證通信的機密性，因此，對機密數(shù)據(jù)的竊聽將非常容易。

無狀態(tài)地址自動配置的隱患

通過ND協(xié)議實現(xiàn)IPv6節(jié)點無狀態(tài)地址自動配置，實現(xiàn)了IPv6節(jié)點的即插即用，具有IPv6聯(lián)網(wǎng)的易用性和地址管理的方便性。同時也帶來了一些安全隱患：首先，對路由器發(fā)現(xiàn)機制，主要是通過路由器RA報文來實現(xiàn)。惡意主機可以假冒合法路由器發(fā)送偽造的RA報文，在RA報文中修改默認(rèn)路由器為高優(yōu)先級，使IPv6節(jié)點在自己的默認(rèn)路由器列表中選擇惡意主機為缺省網(wǎng)關(guān)，從而達到中間人攻擊的目的。其次，對重復(fù)地址檢測機制，IPv6節(jié)點在無狀態(tài)自動配置鏈路本地或全局單播地址的時候，需先設(shè)置地址為臨時狀態(tài)，然后發(fā)送NS報文進行DAD檢測，惡意主機這時可以針對NS請求報文發(fā)送假冒的NA響應(yīng)報文，使IPv6節(jié)點的DAD檢測不成功，從而使IPv6節(jié)點停止地址的自動配置過程。最后，針對前綴重新編址機制，惡意主機通過發(fā)送假冒的RA通告，從而造成網(wǎng)絡(luò)訪問的中斷。

鄰居發(fā)現(xiàn)協(xié)議的隱患

在自動地址配置中, 鄰居發(fā)現(xiàn)協(xié)議(NDP)是基于IP的協(xié)議結(jié)構(gòu)，用來完成鄰居可達性檢測、鏈路地址解析、路由及網(wǎng)絡(luò)前綴發(fā)現(xiàn)、流量重定向和DOA檢測等鏈路機制。報文身份的可鑒別性是NDP協(xié)議的主要安全需求，而哄騙報文攻擊是其所而臨的主要安全威脅。攻擊者只要仿造節(jié)點不可達信息和重復(fù)地址檢測，進行DoS攻擊，或者傳播虛假的路由響應(yīng)和重定向報文，就能誘騙網(wǎng)絡(luò)流量。

IPv6中PKI管理系統(tǒng)的隱患

IPv6網(wǎng)絡(luò)管理中PKI管理是一個懸而未決的問題，必須要首先考慮PKI系統(tǒng)本身的安全性。在應(yīng)用上存在一些需要解決的主要問題: 必須解決數(shù)字設(shè)備證書與密鑰管理問題;IPv6網(wǎng)絡(luò)的用戶數(shù)量龐大，設(shè)備規(guī)模巨大，證書注冊、更新、存儲、查詢等操作頻繁，于是要求PKI能夠滿足高訪問量的快速響應(yīng)并提供及時的狀態(tài)查詢服務(wù);IPv6中認(rèn)證實體規(guī)模巨大，單純依靠管理員手工管理將不能適應(yīng)現(xiàn)實需求，同時為了保障企業(yè)中其他服務(wù)器的安全，要制定嚴(yán)格而合理的訪問控制策略，來掌控各類用戶對PKI系統(tǒng)和其他服務(wù)器的訪問。

移動IPv6的隱患

移動計算與普通計算的環(huán)境存在較大的區(qū)別，如多數(shù)情況移動計算是在無線環(huán)境下，容易受到竊聽、重發(fā)攻擊以及其他主動攻擊，且移動節(jié)點需要不斷更改通信地址，因此，其協(xié)議架構(gòu)的復(fù)雜性，使得移動IPv6的安全性問題凸顯。

IPv6的安全機制對網(wǎng)絡(luò)安全體系的挑戰(zhàn)隱患

第一，由網(wǎng)絡(luò)層的傳輸中采用加密方式帶來的隱患分析。1. 針對密碼的攻擊，對一些老版本的操作系統(tǒng)，有的組件不是在驗證網(wǎng)絡(luò)傳輸標(biāo)識信息時進行信息保護，于是，竊聽者可以捕獲有效的用戶名及其密碼，掌握合法用戶權(quán)限，進入機器內(nèi)部破壞。2. 針對密鑰的攻擊，IPv6下，IPSec的兩種工作模式都要交換密鑰，一旦攻擊者破解到正確的密鑰，就可以得到安全通信的訪問權(quán)，監(jiān)聽發(fā)送者或接收者的傳輸數(shù)據(jù)，甚至解密或竄改數(shù)據(jù)。3. 加密耗時過長引發(fā)的DoS攻擊，加密需要很大的計算量，如果黑客向目標(biāo)主機發(fā)送大規(guī)模看似合法事實上卻是任意填充的加密數(shù)據(jù)包，目標(biāo)主機將耗費大量CPU時間來檢測數(shù)據(jù)包而無法回應(yīng)其他用戶的通信請求，造成DoS。第二，對傳統(tǒng)防火墻的沖擊，現(xiàn)行的防火墻有三種基本類型，即包過濾型、代理服務(wù)器型和復(fù)合型。其中代理服務(wù)器型防火墻工作在應(yīng)用層，受IPv6的影響較小，另外兩種防火墻都將遭到巨大沖擊。第三，對傳統(tǒng)的入侵檢測系統(tǒng)的影響，入侵檢測(IDS)是防火墻后的第二道安全保障。基于網(wǎng)絡(luò)IDS可以直接從網(wǎng)絡(luò)數(shù)據(jù)流中捕獲其所需要的審計數(shù)據(jù)，從中檢索可疑行為。但是，IPv6數(shù)據(jù)已經(jīng)經(jīng)過加密，如果黑客利用加密后的數(shù)據(jù)包實施攻擊，基于網(wǎng)絡(luò)IDS就很難檢測到任何入侵行為。

IPv6編址機制的隱患

IPv6中流量竊聽將成為攻擊者安全分析的主要途徑，面對龐大的地址空間，漏洞掃描、惡意主機檢測等安全機制的部署難度將激增。IPv6引入了IPv4兼容地址、本地鏈路地址、全局聚合單播地址和隨機生成地址等全新的編址機制。其中，本地鏈路地址可自動根據(jù)網(wǎng)絡(luò)接口標(biāo)識符生成而無需DHCP自動配置協(xié)議等外部機制干預(yù)，實現(xiàn)不可路由的本地鏈路級端對端通信，因此移動的惡意主機可以隨時連入本地鏈路，非法訪問甚至是攻擊相鄰的主機和網(wǎng)關(guān)。

本文從IPv4向IPv6過渡技術(shù)，IPv6中組播技術(shù)缺陷，無狀態(tài)地址自動配置，鄰居發(fā)現(xiàn)協(xié)議，IPv6中PKI管理系統(tǒng)，移動IPv6，IPv6的安全機制對網(wǎng)絡(luò)安全體系的挑戰(zhàn)以及IPv6編址機制等8個方面指出了IPv6網(wǎng)絡(luò)存在的安全隱患。說明IPv6網(wǎng)絡(luò)在安全方面還遠沒有達到我們期望的高度。需要在IPv6網(wǎng)絡(luò)的推廣與應(yīng)用中不斷改進與完善。

對于計算機網(wǎng)絡(luò)來說，安全永遠只是相對的。新的技術(shù)只能暫時解決目前的安全問題，但新一輪的問題又會接踵而來。討論IPv6網(wǎng)絡(luò)安全隱患的目的在于我們要提前認(rèn)清IPv6存在的安全隱患，未雨綢繆，防患于未然。在IPv6網(wǎng)絡(luò)的應(yīng)用中不斷改進、逐步提高，才能使人們最終擁有一個高效、安全的下一代互聯(lián)網(wǎng)。