0 引 言

互聯網的飛速發(fā)展使得各種網絡服務和應用日益豐富，人 類的日常生產和生活已經越來越依賴于網絡這個交流平臺。但 現有的互聯網則是基于 IPv4 技術使用 32 位地址段，最多能 提供約 43 億個 IP 地址。隨著互聯網的進一步發(fā)展，以 IPv4 技術為基礎的現有互聯網已不能滿足需要，其原因是 IPv4 地 址資源已經耗盡，在安全和服務質量以及對移動、智能網絡 的支持上都存在嚴重不足。新一代互聯網協議 IPv6 的主要特 點是 ：擁有 128 位地址空間，解決了 IP 地址不足的問題 ；是 可匯聚、分級的地址結構，有效減少了各級路由表問題，提高 服務質量，方便使用；通過移動頭（Mobility Header）和返回 路徑可達過程（Return Routability Procedure）能夠更好地支 持移動性 [1]。

互聯網能否健康發(fā)展，安全是至關重要的因素之一。 IPv6 通過內置的 IPSec 安全協議和對網絡層數據進行加密保 證了數據的完整性和機密性，使得端對端數據傳輸具有較高 的安全特性 [2]。但僅僅這樣并不能代表 IPv6 網絡的安全可靠， 隨著該技術的廣泛應用，其協議本身存在的安全問題、對入侵 攻擊的防護等都為進一步發(fā)展帶來了安全隱患。本文結合長 安大學具體情況，分析校園網 IPv6 網絡在實際中遇到的安全 問題，討論其解決方法。

1 IPv6 的安全優(yōu)勢

 IPv6 是網絡技術史上的一次重要升級，它從最初設計時 就對安全問題進行了關注，因此和 IPv4 相比，IPv6 在 IP 層 擁有更高的安全性。 

1.1 IPSec（Internet Protocol Security）安全性機制

IPSec 是一種開放標準的框架結構，通過使用加密的安 全服務以確保在 Internet 協議網絡層上進行保密而安全的通 訊。IPSec 的安全特性屬于 IPv6 協議的外在安全特性，作為 一種協議套件它可以“無縫”地為 IP 提供安全保障 [3]。但實 質上可以說 IPSec 對于 IPv4 更像一個補丁程序，而對 IPv6 它 已經被看做是協議整體的一部分。 

IPSec 的結構體系包括 3 部分 ： 

（1）AH（Authentication Header）身份驗證協議，為數據 包提供身份驗證功能。 

（2）ESP（Encapsulated Security Payload）安全載荷協議， 為數據包提供加密保證防止篡改。 

（3）IKE（Internet Key Exchange）密鑰交換協議，為數 據包交流安全提供保障。 

這 3 個基本協議用來提供來源認證、數據完整性、數據 機密性和訪問控制等保護形式。除此之外，還有密鑰管理協 議 ISAKMP（提供共享安全信息）、解釋域、算法和策略 [4] 等。 如圖 1 所示，IPSec 增強了數據傳輸的安全性。

1.2 IPv6 特有的安全性 

IPv6 擁有 128 位的地址空間，理論上能提供 2128 －1 個 地址。與 IPv4 不同，IPv6 的子網掩碼是 64 位，每一個網段 約有 264 個地址。對于如此巨大的地址空間來說掃描整個子網 需要的時間極其漫長，這就對通過自動掃描來查殺繁殖的網絡病毒造成了極大的困難。 

在 IPv4 網絡中，每一個 IPv4 地址或者子網都可以分布 在全世界任何一個地方，這種情況使得假冒 IPv4 源地址成為 一件很容易的事，黑客可以使用隨機產生的地址來作為攻擊 數據包的源地址。與 IPv4 不同，IPv6 是可匯聚、分級的地址 結構，即 IPv6上級互聯網供應商可以對自己客戶的地址段進 行匯聚，在路由器或者網關設備中對網絡流量進行過濾，只 允許客戶地址范圍內的源地址通過。這樣，黑客就不能使用 任意 IP 來假冒源地址，而且能夠使跟蹤和回溯假冒地址變得 很容易 [5]。

 2 IPv6 的安全缺陷 

與 IPv4 相比，IPv6 在數據保密性、完整性和網絡的可 控性及抗攻擊性等方面都有了較大改善，一些 IPv4 網絡中常 見的攻擊在 IPv6 網絡中已經失效，但使用證明其仍然存在不少安全問題。

 2.1 來自非網絡層的攻擊

 IPv4 和 IPv6 都是工作在網絡層上通過 IP 地址屏蔽底 層不同的物理網絡，并對傳輸層提供服務的協議。與 IPv4 相 比，IPv6 網絡中數據包傳輸的基本機制并沒有改變，仍然是 在控制平面學習路由并通過已知的路由信息轉發(fā)數據包。因此， IPv4 網絡中來自除去網絡層的其他層面中的攻擊在 IPv6 網絡 中依然會出現。例如，通過 TCP 中存在的漏洞發(fā)動針對網絡 路由器的“重啟式”攻擊，通過偽造 MAC 欺騙數據鏈路層設 備 [6]，以及 DNS 的安全性、SNMP 的安全性和木馬、蠕蟲等 都屬于這一類。

 2.2 ICMPv6 的缺陷

 ICMPv6[7] 即互聯網控制信息協議版本 6，它包括了 IPv4 中的 IMCP 功能 和 ARP 功能， 是 IPv6 的 重 要組 成部 分。 IPv6 網絡正常工作需要 ICMPv6 協議，不能像 IPv4 網絡一般 將其禁用，這就導致 ICMPv6 會被利用產生拒絕服務攻擊，以 及偽造其他節(jié)點產生諸如超時、不可達和參數錯誤等信息，從 而影響正常通信。

 2.3 鄰居發(fā)現協議的漏洞 

鄰居發(fā)現協議是 IPv6 的基礎協議，用來發(fā)現同一鏈路上 的其他節(jié)點、進行地址解析和鄰居不可達檢測等。但利用鄰居 發(fā)現協議，能夠通過發(fā)送錯誤的路由器宣告和錯誤的重定向 消息，讓數據包流向不確定的地方，進而可能出現拒絕服務、 攔截和修改數據包等現象 [8]。

 2.4 無狀態(tài)地址分配的隱患 

雖然無狀態(tài)地址分配 [9] 這一技術為合法的網絡用戶使用 IPv6 網絡帶來了方便，但無狀態(tài)地址分配中的地址沖突檢測 機制也給網絡造成了安全隱患。該協議認為任何自動配置的節(jié) 點都是合法節(jié)點，新節(jié)點只要回復對臨時地址進行的鄰居請求，請求方就會認為地址已經被使用而放棄該臨時地址，這樣攻 擊者就能順利地連接到本地網絡中。 

2.5 移動 IPv6 的安全問題

 移動 IPv6[10] 中也存在不少安全問題，例如由錯誤的綁定 信息而引起的拒絕服務攻擊、劫持攻擊、中間人攻擊和假冒攻 擊等。

 3 校園網 IPv6 的安全隱患 

IPv4 網絡在向 IPv6 網絡的過渡過程中一般應用三種過 渡技術，即雙協議棧技術、隧道技術和網絡地址轉換技術。 

3.1 過渡技術分析 

（1）雙協議棧技術指的是單個網絡節(jié)點上既有 IPv4 棧又 有 IPv6 棧，能夠同時支持 IPv4 和 IPv6 兩種協議，即該節(jié)點 不但能與 IPv4 協議節(jié)點進行通信，還能與 IPv6 節(jié)點進行通信。 這種技術在過渡初期是必須的，它能夠解決 IPv4 網絡和 IPv6 網絡之間的兼容問題，而雙協議棧技術也是其他過渡技術的 基礎 [10]。 

（2）隧道技術是指將一種協議的報頭封裝在另一種協議 里面來進行通信。IPv6 隧道就是將 IPv6 數據封裝在 IPv4 的 數據報中，等達到另一端后再進行解封。對于過渡過程中出現 的“IPv6 孤島”，隧道技術能夠使它在“IPv4 海洋”中進行通 信，但不能實現 IPv4 節(jié)點與 IPv6 節(jié)點之間的通信。 

（3）網絡地址轉換技術在網絡層、傳輸層和應用層上實 現協議之間的轉換，能夠使純 IPv4 節(jié)點和純 IPv6 節(jié)點之間進 行通信。因其地址和協議都在網絡設備上進行轉換，不需要進 行升級。

 3.2 校園網 IPv6 過渡技術應用

 長安大學校園網自開始建設至今，用戶數已超過 3 萬，整 個校園網劃分為 3 個子網 ：教學科研及辦公區(qū)子網、住宅區(qū)子 網和學生區(qū)子網。學校向 Cernet（中國教育和科研計算機網） 申請的真實地址段總計 48 個 C 類地址段約合 1.2 萬個地址。 但真實地址數遠遠不能滿足實際需求，僅學生區(qū)子網用戶規(guī)模 就超過 1.3 萬，只能使用私有 IPv4 地址。為解決 IPv4 真實地 址匱乏并與國際互聯網技術同步發(fā)展，自 2003 年開始國家啟 動了中國下一代互聯網示范工程“CNGI”項目，我校是其中 的示范應用單位之一。經過幾年的建設發(fā)展，已建成了獨立的 IPv6 子網，搭建了 IPv4 和 IPv6 雙協議棧網絡及服務器，聯 通了教育網的其他高校 IPv6 子網，實現了教育網內部的 IPv6 網絡通信。具體做法是在教育網范圍內通過獨立的光纖鏈路 直接對 IPv6 資源進行訪問，在校園網內部采用雙協議棧技術； 主機和路由器同時開啟 IPv4 和 IPv6 兩種協議，同時獲取到 IPv4 和 IPv6 兩個網絡地址。這樣，每一位校園網用戶都能同 時訪問校園網內外的 IPv4 和 IPv6 資源。

3.3 校園網 IPv6 的安全問題

 雙協議棧技術讓校園網用戶能夠同時訪問 IPv4 和 IPv6 兩種網絡資源，在過渡階段達到 IPv4 網絡和 IPv6 網絡的兼容， 如圖 2 所示。實際運行狀態(tài)下通過網絡管理人員的反饋信息分 析和所進行的安全測試，結合雙協議棧技術本身的安全問題， 發(fā)現并提出了校園網雙協議棧網絡可能出現的安全隱患。

（1）在規(guī)劃 IPv6 網絡的時候，若對地址前綴的指定以及 采取依次降序或者升序來分配地址的方法，將使得 IPv6 的地 址實際使用范圍大大縮小。其原因在于 IPv6 地址過長，管理 員為了方便記憶經常會給服務器配置比較特殊的 IPv6 地址。 這種做法會造成類似蠕蟲或者木馬的掃描漏洞程序能夠較為 容易地發(fā)現網段中的重要服務器，并實施攻擊。 

（2）雙協議棧路由器以隧道方式通過 IPv4 網絡傳送 IPv6 包，一旦 IPv4 設備被入侵并激活隧道，攻擊者就能夠繞過網 絡過濾和防御系統(tǒng)，對其他節(jié)點進行攻擊。 

（3）雙協議棧網絡的節(jié)點都是雙棧節(jié)點，其結合隧道技 術已解決純 IPv6 網絡中主機與 IPv4 主機的互連問題。雙協議 棧網絡的網關（即隧道終結點 TEP）保留有主機 IPv4 和 IPv6 地址的映射表，并利用映射表進行 IPv4 包的封裝和解封。在 TEP 收到一個攜帶 IPv4 的 IPv6 數據包時，它會使用包內攜 帶的 IPv6 和 IPv4 源地址和目的地址，通過動態(tài)隧道接口（DTI） 創(chuàng)建一個 IPv4 in IPv6 隧道，如果在部署雙協議棧 IPv6 網絡 的 TEP 時，TEP 和雙協議棧服務器不在同一臺主機上，就沒 辦法檢查網關建立的隧道和雙協議棧服務器的分配對應關系。 當攻擊方使用相同 IPv4 源地址發(fā)送 IPv4 in IPv6 數據包，原 有的隧道會被新建立的隧道所取代，這就達成了欺騙攻擊的 目的 [11]。 

（4）雙協議棧網絡同時擁有 IPv4 和 IPv6 兩種協議，因 此如果其中任意一種協議遭受到攻擊，就會影響整個網絡。

 4 相關問題的對策 

由于雙協議棧網絡兩種 IP 協議共存，處于現有網絡到新 一代網絡技術的過渡時期，因此整個網絡環(huán)境復雜，對安全 的需求范圍更加廣泛。為此，結合長安大學校園網 IPv6 在建 設和實際運行中遇到的安全問題，提出相應的對策 ： 

（1）IPv6 地址規(guī)劃 ：在使用 IPv6 地址的時候，網絡管 理員應該將地址段充分利用，擴大地址應用范圍。即在配置時減少服務器地址的特殊性，以此來增加掃描類病毒程序的 攻擊難度，降低網絡安全隱患。 

（2）接入認證 ：首先雙協議棧網絡用戶通過客戶端或者 Web 網頁等認證方式進行基于 IPv4 協議認證，在用戶名、密 碼通過后，終端依次啟用鄰居發(fā)現協議 NDP、DHCPv6 來獲 得 IPv6 接口地址、網絡前綴和 DNS 等參數。

（3）接入控制 ：在雙協議棧服務器上應用接入權限控制 策略，允許 IPv6 隧道通過雙協議棧服務器認定終端的信息， 禁止其他訪問。 

（4）如果隧道終結點和雙協議棧服務器不在同一物理設 備上，為防止欺騙攻擊，需要應用動態(tài)隧道通信協議，這可 通過 IPsec 的 AH 協議來解決。 

（5）對隧道終結點上創(chuàng)建的隧道和雙協議棧服務器上的 分配數據進行監(jiān)控，檢查與分配相對應隧道的正確性。 

（6）配置支持 IPv4 和 IPv6 兩種協議的防火墻設備，隔 絕類似蠕蟲或者木馬等程序的端口掃描信息，阻止外部網絡 的漏洞攻擊，以此保護雙協議棧內部網絡免遭病毒或者黑客入 侵。

5 結 語

IPv6 作為新一代互聯網協議具備地址空間大、報文安全 靈活等特點，但是由于 IPv4 網絡基礎龐大，從 IPv4 向 IPv6 過渡將是一個非常漫長的過程，在此期間網絡安全問題成為 網絡管理者需要重點關注并予以解決的問題之一。與 IPv4 相 比，IPv6 雖然在性能和安全機制方面有較大地提升，但并不 代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會對 IPv6 網絡造成嚴重威脅。目前，各高校都在大力開展 IPv6 網 絡建設，但針對 IPv6 網絡的安全機制還不能滿足其發(fā)展需要。 本文對校園網 IPv6 網絡的安全隱患和安全機制進行了探討， 由于針對 IPv6 應用的服務器和防火墻在價格和技術方面還不 能滿足需求，現階段只能通過地址規(guī)劃和接入認證等方法強 化網絡安全保障，而實際應用表明并未出現嚴重的安全問題。

IPv6 網絡的發(fā)展是大勢所趨，IPv6 網絡的安全機制研究 也將是一項長期而復雜的工作。