2.1.3 IPv6的安全性概述

IPv6是在IPv4基础上改进的下一代互联网协议，对其的研究和建设正逐步成为信息技术领域的热点之一，IPv6的网络安全研究和应用已成为下一代互联网研究中的一个重要领域。

1.IPv6的优势及特点

1）扩展地址空间及应用。IPv6设计之初主要是解决由于互联网迅速发展而导致IPv4地址空间将被耗尽的问题，以免影响整个互联网的进一步扩展。由于IPv4采用32位地址长度，大约只有43亿个地址，而IPv6采用128位地址长度，极大地扩展了IP地址空间。

IPv6的研发还解决了IPv4的其他多种问题，如安全性、端到端IP连接、服务质量（QoS）、多播、移动性和即插即用等功效。IPv6还对报头进行了重新设计，由一个简化长度固定的基本报头和多个可选的扩展报头组成。既可加快路由速度，又能灵活地支持多种应用，便于扩展新的应用。IPv4和IPv6的报头分别如图2-3和图2-4所示。

2）提高网络的整体性能。IPv6的数据包可以超过64KB，使应用程序可利用最大传输单元（MTU）获得更快、更可靠的数据传输，并在设计上改进了选路结构，采用简化的报头定长结构和更合理的分段方法，使路由器加快数据包处理速度，从而提高了转发效率，并提高了网络的整体吞吐量等性能。

3）加强网络安全性能。IPv6以内嵌安全机制要求强制实现IP安全协议IPSec，提供支持数据源发认证、完整性和保密性的能力，同时可抗重放攻击。安全机制主要由两个扩展报头实现：认证头（Authentication Header，AH）和封装安全载荷（Encapsulation Security Payload，ESP）。

4）提供更好的服务质量。IPv6在分组的头部中定义业务流类别字段和流标签字段两个重要参数，以提供对服务质量（Quality of Service，QoS）的支持。业务流类别字段将IP分组的优先级分为16个等级。对于需要特殊QoS的业务，可在IP数据包中设置相应的优先级，路由器根据IP包的优先级分别对这些数据进行不同处理。流标签用于定义任意一个传输的数据流，以便网络中的各结点可对此数据进行识别与特殊处理。

5）实现更好的组播功能。组播是一种将信息传递给已登记且计划接收该消息的主机功能，可同时给大量用户传递数据，传递过程只占用一些公共或专用带宽开销而不在整个网络广播，以减少带宽。IPv6还具有限制组播传递范围的一些特性，组播消息可被限于某一特定区域、公司、位置或其他约定范围，从而减少带宽的使用并提高安全性。

6）支持即插即用和移动性。当联网设备接入网络后，以自动配置可自动获取IP地址和必要的参数，实现即插即用，简化了网络管理，易于支持移动结点。IPv6不仅从IPv4中借鉴了很多概念和术语，还提供了移动IPv6所需的新功能。

7）提供必选的资源预留协议（Resource Reservation Protocol，RSVP）功能，用户可在从源点到目的地的路由器上预留带宽，以便提供确保服务质量的图像和其他实时业务。

2.IPv4与IPv6安全问题比较

通过比较IPv4和IPv6下的安全问题，发现有些安全问题的原理和特征基本无变化，有的地方引进IPv6后安全问题的原理和特征却发生了很大变化。主要包括以下内容。

1）与IPv4下的情况比较，原理和特征基本未发生变化的安全问题可划分为3类：网络层以上的安全问题；与网络层数据保密性和完整性相关的安全问题；与网络层可用性相关的安全问题。如窃听攻击、应用层攻击、中间人攻击和洪泛攻击等。

① 网络层以上的安全问题：主要是各种应用层的攻击，其原理和特征无任何变化。

② 网络层数据保密性和完整性相关的安全问题：主要是窃听和中间人攻击。由于IPSec没有解决大规模密钥分配和管理的难点，缺乏广泛的部署，在IPv6网络中，仍然存在相同的安全问题。

③ 与网络层可用性相关安全问题：主要是指网络系统的洪泛攻击，如TCP SYN flooding攻击等。

2）原理和特征发生明显变化的安全问题，主要包括4个方面。

① 侦测。是一种基本攻击方式，也是其他网络攻击方式的初始步骤。黑客为了能攻击得手，需要获得被攻击网络地址、服务和应用等尽可能多的情报。IPv4协议的子网地址空间只有28位容易被侦测，IPv6的默认子网地址空间为264位，安全很多。

② 非授权访问。IPv6下的访问控制同IPv4下的情形类似，依赖防火墙或路由器访问控制表（ACL）等控制策略，由地址、端口等信息实施控制。对地址转换型防火墙，外网的终端看不到被保护主机的IP地址，使防火墙内部免受攻击，但是地址转换技术（NAT）和IPSec功能不匹配，在IPv6下很难穿越地址转换型防火墙以IPSec通信。对包过滤型防火墙，若采用IPSec的ESP，由于3层以上的信息不可见，更难控制。此外，对ICMP消息控制更需谨慎，由于ICMPv6对IPv6至关重要，如MTU发现、自动配置和重复地址检测等。

③ 篡改分组头部和分段信息。在IPv4网络中的设备和端系统都可以对分组进行分片，分片攻击通常用于两种情形：一是利用分片逃避网络监控设备，如防火墙和IDS；二是直接利用网络设备中协议栈实现的漏洞，以错误的分片分组头部信息直接对网络设备发动攻击。IPv6网络中的中间设备不再分片，由于多个IPv6扩展头的存在，防火墙很难计算有效数据包的最小尺寸，此时传输层协议报头有可能不在第一个分片分组内，从而使网络监控设备若不对分片进行重组，将无法实施基于端口信息的访问控制策略。

④ 伪造源地址。IPv4网络的源地址伪造的攻击很多，如SYN Flooding、UDP Flood Smurf等攻击。对其防范主要有两类方法：一是基于事前预防的过滤类方法，如准入过滤等；二是基于事后追查的回溯类方法，如Internet控制报文协议（Internet Control Message Protocol，ICMP）回溯和分组标记等。实际上，这些方案都存在部署困难等缺陷，由于存在网络地址转换（NAT），使攻击后追踪更难。在IPv6网络中，一是由于地址汇聚，过滤类方法实现更简单且负载更小；二是由于转换网络地址少且容易追踪。从IPv4向IPv6过渡，防止伪造源地址的分组穿越隧道成为一个重要课题。

3.IPv6的安全机制

1）协议安全。如上所述，在协议安全层面，IPv6全面支持认证头AH认证和封装安全有效载荷ESP扩展头。支持数据源发认证、完整性和抗重放攻击等。

2）网络安全。 IPv6的安全主要体现 在4个方面。

① 实现端到端安全。在两端主机上对报文IPSec进行封装，中间路由器实现对有IPSec扩展头的IPv6报文封装传输，可实现端到端安全。

② 提供内网安全。当内部主机与Internet上其他主机通信时，可通过配置IPSec网关实现内网安全。由于IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的结点解析处理，因此，可利用IPSec隧道方式实现IPSec网关，也可通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更灵活，有利于提供完善的内网安全，但较为复杂。

③ 由安全隧道构建安全VPN。通过IPv6的IPSec隧道实现的VPN，可在路由器之间建立IPSec安全隧道，是最常用的安全组建VPN的方式。IPSec网关路由器实际上是IPSec隧道的终点和起点，为了满足转发性能，需要路由器专用加密加速板卡。

④ 以隧道嵌套实现网络安全。通过隧道嵌套的方式可获得多重安全保护，当配置IPSec的主机通过安全隧道接入配置IPSec网关的路由器，且该路由器作为外部隧道的终点将外部隧道封装剥除时，嵌套的内部安全隧道便构成对内网的安全隔离。

3）其他安全保障。由于网络的安全威胁为多层且分布于各层之间，对于物理层的安全隐患，可通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境和加强安全管理进行防护。

4.移动IPv6的安全性

移动IPv6是IPv6的一个重要组成部分，移动性是其最大的特点。引入的移动IP给网络带来了新的安全隐患，应采取特殊安全措施。

（1）移动IPv6的特性

从IPv4到IPv6使移动IP技术发生了根本性变化，IPv6的许多新特性也为结点移动性提供了更好的支持，如“无状态地址自动配置”和“邻居发现”等。IPv6组网技术极大地简化了网络重组，更有效促进了因特网移动性。

移动IPv6的高层协议辨识作为移动结点（Move Node，MN）唯一标识的归属地址。当MN移动到外网获得一个转交地址（Care-of Address，CoA）时，CoA和归属地址的映射关系称为一个“ 绑定 ”。MN通过绑定注册过程将CoA通知给位于归属网络的归属代理（Home Agent，HA）。之后，对端通信结点（Correspondent Node，CN）发往MN的数据包首先被路由到HA，然后HA根据MN的绑定关系，将数据包封装后发送给MN。为了优化迂回路由的转发效率，移动IPv6也允许MN直接将绑定消息发送到对端CN，无需经过HA的转发，即可实现MN和对端通信主机的直接通信。

（2）移动IPv6面临的安全威胁

移动IPv6基本工作流程只针对于理想状态的互联网，并未考虑现实网络的安全问题。而且，移动性的引入也会带来新的安全威胁，如对报文的窃听、篡改和拒绝服务攻击等。因此，在移动IPv6的具体实施中必须谨慎处理这些安全威胁，以免降低网络安全级别。

移动IP主要用于无线网络，不仅要面对无线网络所有的安全威胁，还要处理由移动性带来的新安全问题，所以，移动IP相对有线网络更加脆弱、复杂。另外，移动IPv6通过定义移动结点、HA和通信结点之间的信令机制，较好地解决了移动IPv4的三角路由问题，但在优化的同时也出现了新的安全问题。目前，移动IPv6受到的主要威胁包括拒绝服务攻击、重放攻击和信息窃取等。

5.移动IPv6的安全机制

移动IPv6针对上述安全威胁，在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数。对HA和通信结点可比较前后两个注册消息序列号，并结合随机数的散列值，判定注册消息是否为重放攻击。若消息序列号不匹配或随机数散列值不正确，则可视作过期注册消息，不予处理。

对其他形式的攻击，可利用<移动结点，通信结点>和<移动结点，归属代理>之间的信令消息传递进行有效防范。移动结点和归属代理之间可通过建立IPSec安全联盟，以保护信令消息和业务流量。由于移动结点归属地址和归属代理为已知，所以可以预先为移动结点和归属代理配置安全联盟，并使用IPSec AH和ESP建立安全隧道，提供数据源认证、完整性检查、数据加密和重放攻击防护。

讨论思考

1）从互联网发展角度看，网络安全问题的主要原因是什么？

2）IPv6在安全性方面具有哪些优势？ jJpo870wVIsiIU8NoGnN6Ju8ILkzjz3ZOci2by4UXTDZozrykt+InEjrKbrSRrtr