申健　朱婧

摘 要：IPv4因其存在的固有缺陷已不能满足网络服务和应用的普及与发展需求，由IPv4向IPv6过渡是互联网发展的必然趋势。IPv6协议特有的安全特点在提高网络安全性能的同时，也带来了新的安全问题。介绍IPv4向IPv6过渡阶段应用的双协议栈技术、隧道技术和网络地址转换/协议转换技术，结合校园网的实际运行情况，分析了双协议栈网络可能遇到的网络安全隐患，并给出了相应的对策。

关键词：校园网；IPv4；IPv6；双协议栈；安全隐患；对策

中图分类号：TP393.1 文献标识码：A 文章编号：2095-1302（2015）04-00-03

0 引 言

互联网的飞速发展使得各种网络服务和应用日益丰富，人类的日常生产和生活已经越来越依赖于网络这个交流平台。但现有的互联网则是基于IPv4技术使用32位地址段，最多能提供约43亿个IP地址。随着互联网的进一步发展，以IPv4技术为基础的现有互联网已不能满足需要，其原因是IPv4地址资源已经耗尽，在安全和服务质量以及对移动、智能网络的支持上都存在严重不足。新一代互联网协议IPv6的主要特点是：拥有128位地址空间，解决了IP地址不足的问题；是可汇聚、分级的地址结构，有效减少了各级路由表问题，提高服务质量，方便使用；通过移动头（Mobility Header）和返回路径可达过程（Return Routability Procedure）能够更好地支持移动性[1]。

互联网能否健康发展，安全是至关重要的因素之一。IPv6通过内置的IPSec安全协议和对网络层数据进行加密保证了数据的完整性和机密性，使得端对端数据传输具有较高的安全特性[2]。但仅仅这样并不能代表IPv6网络的安全可靠，随着该技术的广泛应用，其协议本身存在的安全问题、对入侵攻击的防护等都为进一步发展带来了安全隐患。本文结合长安大学具体情况，分析校园网IPv6网络在实际中遇到的安全问题，讨论其解决方法。

1 IPv6的安全优势

IPv6是网络技术史上的一次重要升级，它从最初设计时就对安全问题进行了关注，因此和IPv4相比，IPv6在IP层拥有更高的安全性。

1.1 IPSec（Internet Protocol Security）安全性机制

IPSec是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议网络层上进行保密而安全的通讯。IPSec的安全特性属于IPv6协议的外在安全特性，作为一种协议套件它可以“无缝”地为IP提供安全保障[3]。但实质上可以说IPSec对于IPv4更像一个补丁程序，而对IPv6它已经被看做是协议整体的一部分。

IPSec的结构体系包括3部分：

（1）AH（Authentication Header）身份验证协议，为数据包提供身份验证功能。

（2）ESP（Encapsulated Security Payload）安全载荷协议，为数据包提供加密保证防止篡改。

（3）IKE（Internet Key Exchange）密钥交换协议，为数据包交流安全提供保障。

这3个基本协议用来提供来源认证、数据完整性、数据机密性和访问控制等保护形式。除此之外，还有密钥管理协议ISAKMP（提供共享安全信息）、解释域、算法和策略[4]等。如图1所示，IPSec增强了数据传输的安全性。

1.2 IPv6特有的安全性

IPv6拥有128位的地址空间，理论上能提供2128-1个地址。与IPv4不同，IPv6的子网掩码是64位，每一个网段约有264个地址。对于如此巨大的地址空间来说扫描整个子网需要的时间极其漫长，这就对通过自动扫描来查杀繁殖的网络病毒造成了极大的困难。

在IPv4网络中，每一个IPv4地址或者子网都可以分布在全世界任何一个地方，这种情况使得假冒IPv4源地址成为一件很容易的事，黑客可以使用随机产生的地址来作为攻击数据包的源地址。与IPv4不同，IPv6是可汇聚、分级的地址结构，即IPv6上级互联网供应商可以对自己客户的地址段进行汇聚，在路由器或者网关设备中对网络流量进行过滤，只允许客户地址范围内的源地址通过。这样，黑客就不能使用任意IP来假冒源地址，而且能够使跟踪和回溯假冒地址变得很容易[5]。

2 IPv6的安全缺陷

与IPv4相比，IPv6在数据保密性、完整性和网络的可控性及抗攻击性等方面都有了较大改善，一些IPv4网络中常见的攻击在IPv6网络中已经失效，但使用证明其仍然存在不少安全问题。

2.1 来自非网络层的攻击

IPv4和IPv6都是工作在网络层上通过IP地址屏蔽底层不同的物理网络，并对传输层提供服务的协议。与IPv4相比，IPv6网络中数据包传输的基本机制并没有改变，仍然是在控制平面学习路由并通过已知的路由信息转发数据包。因此，IPv4网络中来自除去网络层的其他层面中的攻击在IPv6网络中依然会出现。例如，通过TCP中存在的漏洞发动针对网络路由器的“重启式”攻击，通过伪造MAC欺骗数据链路层设备[6]，以及DNS的安全性、SNMP的安全性和木马、蠕虫等都属于这一类。

2.2 ICMPv6的缺陷

ICMPv6[7]即互联网控制信息协议版本6，它包括了IPv4中的IMCP功能和ARP功能，是IPv6的重要组成部分。IPv6网络正常工作需要ICMPv6协议，不能像IPv4网络一般将其禁用，这就导致ICMPv6会被利用产生拒绝服务攻击，以及伪造其他节点产生诸如超时、不可达和参数错误等信息，从而影响正常通信。

2.3 邻居发现协议的漏洞

邻居发现协议是IPv6的基础协议，用来发现同一链路上的其他节点、进行地址解析和邻居不可达检测等。但利用邻居发现协议，能够通过发送错误的路由器宣告和错误的重定向消息，让数据包流向不确定的地方，进而可能出现拒绝服务、拦截和修改数据包等现象[8]。

2.4 无状态地址分配的隐患

虽然无状态地址分配[9]这一技术为合法的网络用户使用IPv6网络带来了方便，但无状态地址分配中的地址冲突检测机制也给网络造成了安全隐患。该协议认为任何自动配置的节点都是合法节点，新节点只要回复对临时地址进行的邻居请求，请求方就会认为地址已经被使用而放弃该临时地址，这样攻击者就能顺利地连接到本地网络中。

2.5 移动IPv6的安全问题

移动IPv6[10]中也存在不少安全问题，例如由错误的绑定信息而引起的拒绝服务攻击、劫持攻击、中间人攻击和假冒攻击等。

3 校园网IPv6的安全隐患

IPv4网络在向IPv6网络的过渡过程中一般应用三种过渡技术，即双协议栈技术、隧道技术和网络地址转换技术。

3.1 过渡技术分析

（1）双协议栈技术指的是单个网络节点上既有IPv4栈又有IPv6栈，能够同时支持IPv4和IPv6两种协议，即该节点不但能与IPv4协议节点进行通信，还能与IPv6节点进行通信。这种技术在过渡初期是必须的，它能够解决IPv4网络和IPv6网络之间的兼容问题，而双协议栈技术也是其他过渡技术的基础[10]。

（2）隧道技术是指将一种协议的报头封装在另一种协议里面来进行通信。IPv6隧道就是将IPv6数据封装在IPv4的数据报中，等达到另一端后再进行解封。对于过渡过程中出现的“IPv6孤岛”，隧道技术能够使它在“IPv4海洋”中进行通信，但不能实现IPv4节点与IPv6节点之间的通信。

（3）网络地址转换技术在网络层、传输层和应用层上实现协议之间的转换，能够使纯IPv4节点和纯IPv6节点之间进行通信。因其地址和协议都在网络设备上进行转换，不需要进行升级。

3.2 校园网IPv6过渡技术应用

长安大学校园网自开始建设至今，用户数已超过3万，整个校园网划分为3个子网：教学科研及办公区子网、住宅区子网和学生区子网。学校向Cernet（中国教育和科研计算机网）申请的真实地址段总计48个C类地址段约合1.2万个地址。但真实地址数远远不能满足实际需求，仅学生区子网用户规模就超过1.3万，只能使用私有IPv4地址。为解决IPv4真实地址匮乏并与国际互联网技术同步发展，自2003年开始国家启动了中国下一代互联网示范工程“CNGI”项目，我校是其中的示范应用单位之一。经过几年的建设发展，已建成了独立的IPv6子网，搭建了IPv4和IPv6双协议栈网络及服务器，联通了教育网的其他高校IPv6子网，实现了教育网内部的IPv6网络通信。具体做法是在教育网范围内通过独立的光纤链路直接对IPv6资源进行访问，在校园网内部采用双协议栈技术；主机和路由器同时开启IPv4和IPv6两种协议，同时获取到IPv4和IPv6两个网络地址。这样，每一位校园网用户都能同时访问校园网内外的IPv4和IPv6资源。

3.3 校园网IPv6的安全问题

双协议栈技术让校园网用户能够同时访问IPv4和IPv6两种网络资源，在过渡阶段达到IPv4网络和IPv6网络的兼容，如图2所示。实际运行状态下通过网络管理人员的反馈信息分析和所进行的安全测试，结合双协议栈技术本身的安全问题，发现并提出了校园网双协议栈网络可能出现的安全隐患。

（1）在规划IPv6网络的时候，若对地址前缀的指定以及采取依次降序或者升序来分配地址的方法，将使得IPv6的地址实际使用范围大大缩小。其原因在于IPv6地址过长，管理员为了方便记忆经常会给服务器配置比较特殊的IPv6地址。这种做法会造成类似蠕虫或者木马的扫描漏洞程序能够较为容易地发现网段中的重要服务器，并实施攻击。

（2）双协议栈路由器以隧道方式通过IPv4网络传送IPv6包，一旦IPv4设备被入侵并激活隧道，攻击者就能够绕过网络过滤和防御系统，对其他节点进行攻击。

（3）双协议栈网络的节点都是双栈节点，其结合隧道技术已解决纯IPv6网络中主机与IPv4主机的互连问题。双协议栈网络的网关（即隧道终结点TEP）保留有主机IPv4和IPv6地址的映射表，并利用映射表进行IPv4包的封装和解封。在TEP收到一个携带IPv4的IPv6数据包时，它会使用包内携带的IPv6和IPv4源地址和目的地址，通过动态隧道接口（DTI）创建一个IPv4 in IPv6隧道，如果在部署双协议栈IPv6网络的TEP时，TEP和双协议栈服务器不在同一台主机上，就没办法检查网关建立的隧道和双协议栈服务器的分配对应关系。当攻击方使用相同IPv4源地址发送IPv4 in IPv6数据包，原有的隧道会被新建立的隧道所取代，这就达成了欺骗攻击的目的[11]。

（4）双协议栈网络同时拥有IPv4和IPv6两种协议，因此如果其中任意一种协议遭受到攻击，就会影响整个网络。

4 相关问题的对策

由于双协议栈网络两种IP协议共存，处于现有网络到新一代网络技术的过渡时期，因此整个网络环境复杂，对安全的需求范围更加广泛。为此，结合长安大学校园网IPv6在建设和实际运行中遇到的安全问题，提出相应的对策：

（1）IPv6地址规划：在使用IPv6地址的时候，网络管理员应该将地址段充分利用，扩大地址应用范围。即在配置时减少服务器地址的特殊性，以此来增加扫描类病毒程序的攻击难度，降低网络安全隐患。

（2）接入认证：首先双协议栈网络用户通过客户端或者Web网页等认证方式进行基于IPv4协议认证，在用户名、密码通过后，终端依次启用邻居发现协议NDP、DHCPv6来获得IPv6接口地址、网络前缀和DNS等参数。

（3）接入控制：在双协议栈服务器上应用接入权限控制策略，允许IPv6隧道通过双协议栈服务器认定终端的信息，禁止其他访问。

（4）如果隧道终结点和双协议栈服务器不在同一物理设备上，为防止欺骗攻击，需要应用动态隧道通信协议，这可通过IPsec的AH协议来解决。

（5）对隧道终结点上创建的隧道和双协议栈服务器上的分配数据进行监控，检查与分配相对应隧道的正确性。

（6）配置支持IPv4和IPv6两种协议的防火墙设备，隔绝类似蠕虫或者木马等程序的端口扫描信息，阻止外部网络的漏洞攻击，以此保护双协议栈内部网络免遭病毒或者黑客入侵。

5 结 语

IPv6作为新一代互联网协议具备地址空间大、报文安全灵活等特点，但是由于IPv4网络基础庞大，从IPv4向IPv6过渡将是一个非常漫长的过程，在此期间网络安全问题成为网络管理者需要重点关注并予以解决的问题之一。与IPv4相比，IPv6虽然在性能和安全机制方面有较大地提升，但并不代表它就是安全的，病毒、木马、漏洞攻击等手段依旧会对IPv6网络造成严重威胁。目前，各高校都在大力开展IPv6网络建设，但针对IPv6网络的安全机制还不能满足其发展需要。本文对校园网IPv6网络的安全隐患和安全机制进行了探讨，由于针对IPv6应用的服务器和防火墙在价格和技术方面还不能满足需求，现阶段只能通过地址规划和接入认证等方法强化网络安全保障，而实际应用表明并未出现严重的安全问题。

IPv6网络的发展是大势所趋，IPv6网络的安全机制研究也将是一项长期而复杂的工作。

参考文献

[1] 李振强，赵晓宇，马严.IPv6安全脆弱性研究[J].计算机应用研究，2006（11）：109-112.

[2] 时晨，申普兵，杨瑾，等.IPv6校园网环境下IPSecVPN的安全性研究[J].计算机技术与发展，2010，20（10）：167-170.

[3] 唐述科，李汉菊.IPv6邻居发现协议的安全性分析[J].信息安全与通信保密，2006（9）：101-101.

[4] 谭海波，景凤宣，王家玮，等.基于校园网的IPv6安全协议分析与应用研究[J].山东大学学报（理学版），2012，47（11）：54-58.

[5] 张岳公，李大兴.IPv6 下的网络攻击和入侵分析[J].计算机科学，2006，33（2）：100-102.

[6] US-CERT. Vulnerabilities in TCP [EB/OL]. http//www. us-certgov/cas/techalerts/TA04-111A.html，2004-04-20.

[7] RFC2463.Internet Control Message Protocol（ICMPv6） for the Internet Protocol version 6（IPv6）Specification[S].

[8] 苏明，颜世峰.IPv6校园网入侵检测系统设计[J].小型微型计算机系统，2009，30（3）：480-483.

[9] Tnomson S.，Narten T..IPv6 stateless address autoconfiguration.RFC2462，Internet Engineering Task Force，1998.

[10] 李航.双协议栈技术在高校IPv4向IPv6过渡中的应用研究[J].煤炭技术，2012，31（5）：233-234.

[11] 霍然.一种基于双协议栈转换机制的IPv6网络安全研究[J].辽宁师专学报（自然科学版），2008，10（4）：40-42.