王文溥

（长治学院 计算机系，山西 长治 046011）

1 引言

IPv6相对于IPv4，在细节上进行了改进和提升。其中包括：第一，IPv6比IPv4使用的网络地址更大，数据报头部的格式更加新颖。第二，IPv6将IPv4中使用的含有变长的可选项的头部进行了改良，改为使用规范的定长的头部处理可选信息。

IPv6主要特性表现在以下五个方面：Addvesisize、Headver Format、Excension Header、Supportforawd and以及Excensible Proload。

2 IPV6的安全体系架构

IPSec安全性服务的系统构成有AuthenticationHeader、封装安全性净荷头(EncapsulatingSecurityPayloadHeader)、密钥管理协议的安全机制。AH在IP身份验证头(RFC4302)中得到阐述，ESP头在RFC4303和RFC4305中对得到阐述。以上这些也只是安全体系架构的第一层。

各安全性头可单独也可一起使用。在AH放在ESP头前面时，可以同时使用多个扩展头，此时，必须先通过身份验证，再净荷解密ESP头。在IPSec隧道的应用中，大部分的扩展头可嵌套在一起进行，也就是源节点对IP包进行加密和数字签名，在发送给本地安全性网关后，这个网关第二次实施加密和数字签名，再发送给其他安全性网关。

在实际应用中，还有一点是不容忽视的，即ESP头与AH在IPv4和IPv6中都是适用的。

3 IPv6安全性应用的现实性分析

3.1 公钥传递

IPv6协议的IPSec需求在RFC4301有所界定，但并没有关于密钥交换途径的规定。因此，通过手动设置主密钥来完成，但因其需要耗费大量的时间，并不适合大规模的应用。所以，可以选择通过使用一台中心授权服务器来实现。在大量的实际应用中，中心授权服务器的使用还存在一些问题和缺陷。

3.2 防火墙和入侵检测系统

IPv6的优势之一就是端到端的IPSec，然而，ESP加密的方式会增大防火墙的安全威胁：在包是端到端加密的情况下，防火墙要实现绕过密码直接对包进行监测。在系统中心放置加密密钥则会导致网络出现中心漏洞。可行性的解决途径是：单独设立专有服务器来存储攻击者的信息和数据，客户端将这些数据库进行下载，计算机对其进行检测，当出现与数据库类相同的内容时就发起警报。

3.3 兼容性

随着互联网的普及使用，从IPv4转化到IPv6是需要一个过程的。就IPv6来说，绝非是一个简单的升级，并不是从IPv4直接升级成为了IPv6，通过比较分析我们可以看到，其头部特性和匹配地址的机制是存在差异的，这两种机制并不是彼此兼容的。所以，怎样将IPv4完美转化到IPv6是需首要解决的问题，也成为了相关业内人士共同研究的话题。

4 IPv6的企业安全性模型

互联网日益普及，而且，因为业务上的需求，NAT的使用范围更为广泛，在这种情势之下我们也要对IPv4做客观的分析。在实践应用中，IPv4的安全性能正在逐步降低，带来许多的不稳定因素，严重影响到了其安全性。而作为IPv6，暴露的部分问题还是可以做出有效的处理和解决的。假设必须要对外部的隐藏网络进行拓扑，那就不应该再利用NAT相关技术，而应采用privateaddressing等技术。

在先前的IPv4网络内，其安全模型是边界防火墙和NAT的集成。而在IPv6网络内，应当构建一个更为科学有效的模型来确保整个网络的安全性，而且，需要强化端口之间的联络水准。在IPv6中，无论哪个节点都是拥有IPSec能力的。全部依靠防火墙显然不行。一旦黑客进到了防火墙后的网络，就会完全悉知整个网络内容，不但信息安全得不到保证，同时，给整个网络安全带来巨大的隐患。要构建健全的模型，必须要发挥节点、可信主机、核心安全策略库这三者的功效，有机统一在一起，从而形成建立在网络ID基础之上的身份验证体系。与此同时，防火墙的作用还能进一步挖掘，但现实情况是，单纯依托它是不够的，需要将其和节点防火墙结合起来，形成一个综合性、分布式的安全网络。

5 IPV6在下一代互联网中存在的问题研究

5.1 运用TCP协议的不足

当前最为流行的运用TCP协议不足进行攻击的形式就是SYNFlood攻击，具体来说，就是同一时间发布大量的假的TCP链接请求，导致内存资源或者CPU资源耗费完。黑客首先给主机发布大量假地址的含有SYN标识的TCP报文。而主机则会向这一地址发送AYN+ACK报文，但是，由于地址是假的，所以，它不会返回到最终的ACK报文，主机等待之后，会再次发送AYN+ACK报文，而那些没有进行完的链接就会进行列队，等候再次发送。同时，这些没有进行完的链接在列队中存在时间上的间隙，通常的再次传送次数和超时机制应付不了那些恶意的大量的TCPSYN报文，这样就导致这种时间上的间隙被完全占据。此时服务器就会来处理这些链接，从而没法响应那些新的请求，资源也就耗费完了。这种问题的缘由在于TCP协议自身存在不足，目前，IPv6也不能解决这一问题[5]。

5.2 网络病毒

在IPv6中，地址有128位，显然，其长度是比较长的，这样就保证了病毒不能凭借对地址段的扫描来攻击主机，从一定程度来说，降低了网络病毒对安全性的威胁。但我们也要客观地看到，在IPv6中，许多关键性的服务器或者是主机都是通过了路由器的，所以，它们的IP地址存在着很大的风险，比较容易就被攻击了。因此，关键性的服务器或者是主机的安全防控十分必要，假设被攻击，会对整个网络产生威胁。

5.3 对应用服务的威胁

在IPv6中，其加密和安全机制主要是在传输以及网络层起作用，由于安全性并不是单一的，而是多方面、多层次的，而互联网本身和运用管理系统的不健全，这就导致无论如何推行IPv6，也不能从本质上来解决所有层面的安全隐患。

5.4 拒绝服务DoS的攻击

拒绝服务攻击指的是：通过某种强制性的手段，刻意来对协议进行攻击，或者是刻意来消耗对象的相关资源。其目的是，促使计算机或者是网络的服务以及访问资源功能丢失，导致系统停止运作，甚至导致系统崩溃。它并不是要获取攻击对象的资源，而是要毁坏相应的资源或设备。

在IPv6网络中，由于其组发地址的方式比较特殊，就很可能受到攻击。比方说，其地址FF01：：1代表着全部的动态地址分配服务器，假设给这一地址发布IPv6报文，而这个报文就能传达到整个网络中的动态地址分配服务器中。

除此之外，认证以及加密都是要计算的，为了确保安全稳定，加密的密匙就需要长一些，而此时的计算量就会变大。而在目前，COU主频的增长速率是远小于网络带宽的速率的，假设黑客给主机发布大量的恶性或者是没有的加密包数据，那么，CPU就会花费大量时间来分析这些数据包，此时，其它请求就无法做出反应。

总的来说，在IPv6下一代的互联网中确保网络的安全和稳定，就必须要有一套完善、科学、有效、全面的安全体制，以网络体系为基础，确保在设计阶段、推行阶段以及客户应用阶段的安全和稳定，与此同时，对管控的基础作用要加以重视，严格区分权限和层次两方面，必须重视规则和体制，要全方位结合起来，以此来保证网络的安全性和稳定性。

［1］张贵军.基于I Pv6协议的网络安全问题探讨［J］.微计算机信息.2011，12（2）：35-38.

［2］谢馥嘉.新一代互联网通信协议I Pv6安全性研究［J］.科技信息.2011，14（6）：46-47.

［3］苏晓浅.析I Pv6的安全机制对现有网络安全体系的影响［J］.通信电源技术.2010，04（3）：23-24.

［4］王艳华、左明.基于I Pv6的互联网安全问题探讨［J］.网络安全技术与应用.2011，02（5）：30-33.

［5］黄春颖.从I P V4到I P V6过渡时期的安全隐患研究［J］.电脑知识与技术.2011，02（4）：29-30.

（责任编辑张剑妹）