近日，在下一代互聯網發展建設峰會上，國家計算機網絡應急技術處理協調中心副主任兼總工程師云曉春表示，IPv4/v6過渡長期共存將引發諸多安全隱患，網絡安全問題只有在IPv6大規模推廣應用后，才會充分暴露出來。

雖然IPv4地址資源緊缺，但到目前為止，IPv6網絡的發展還是缺少商業需求，可以預見在很長一段時間內，IPv4與IPv6將共存。同時，由于IPv6地址的擴展、IPv4與IPv6間的非對稱性、過渡形式的多樣性等系列問題，過渡期間安全防護將面臨更為復雜的形勢。

IPv4向IPv6過渡期間，采用雙棧和隧道機制成為主要手段，但攻擊者可以利用雙棧機制中兩種協議間存在的安全漏洞或過渡協議的問題來逃避安全監測乃至實施攻擊行為。 對于隧道機制而言，它只是對任何來源的數據包只進行簡單的封裝和解封，并不對IPv4和IPv6地址的關系做嚴格的檢查。因此，造成防火墻可能輕易被“穿透”.

目前，我國正處于IPv6網絡的推廣階段，尚未真正大規模商業化部署。 而IPv6網絡的安全問題將涉及到協議本身，網絡設備、網絡應用、新興技術等多個方面。雖然已知和已預測了一些可能的安全威脅和隱患，但缺乏實踐的檢驗和深入的研究，網絡中還有大量的安全隱患尚未暴露出來。

“IPv6及其嵌入的IPSec機制，提供了一種更好的端到終端之間通信的隱私保護能力，但網絡層的安全改進，仍無法解決其他層面的諸多安全問題，如：應用層的安全漏洞、自身協議的脆弱性、源地址偽造等。 ”

專家表示，IPv6自身可能帶來的多種安全威脅。由于IPv6和IPv4傳輸數據報的基本機制沒有發生改變，IPv4網絡中除IP層以外的其他四層中出現的攻擊在IPv6網絡中依然會存在。 其次，IPv6的地址擴展雖然能夠解決網絡地址的緊缺問題，但是它的規模也為安全檢測帶來了難題，如海量地址的查詢變得更加復雜。這使得安全防護面臨挑戰。

同時，IPv6協議本身存在著安全隱患，攻擊者可能利用IPv6報文的擴展報頭（可選且有多種擴展報頭） ,通過自制畸形（違背IPv6標準報文格式）或者特定格式的惡意數據包來攻擊路由器和主機。

其次，攻擊者還可能利用鄰居發現協議發送錯誤的路由器宣告和重定向消息等讓IP數據流向不確定的方向，進而達到拒絕服務、攔截和修改數據的目的，而無狀態地址自動分配可能使非授權用戶可以更容易的接入和使用網絡。

未來，移動智能終端數量不斷增加，大量移動終端對IPv6的地址分配和管理將是一個龐大而復雜的工程。 同時終端安全問題為IPv6的安全策略制定、網絡安全監管等帶來新挑戰。

云曉春表示，全球缺乏對IPv6環境下網絡安全威脅的有效分析和防護手段，現有國家網絡安全基礎設施、安全防護設備和防護手段尚不能完全處理IPv6網絡安全問題。特別指出的是，銀行、電力、稅務等國家重要行業部門尚未建立對IPv6網絡安全防護的手段。

“應盡早建立健全IPv6安全防護體系，加快信息安全產品研制和商業化推廣，加大對IPv6安全威脅和防護技術研究投入”,云曉春表示，解決IPv6安全問題，需要政府、安全企業、安全組織、科研機構和高校的共同努力。