IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù)，預(yù)計(jì)未來(lái)數(shù)年內(nèi)，將逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議。因此，了解IPv6的信息安全特性及隱患，并尋求相應(yīng)的對(duì)策，對(duì)于提高下一代互聯(lián)網(wǎng)的信息安全水平，具有十分重要的意義。

IPv6的信息安全特性

IPv6作為下一代IP協(xié)議，是未來(lái)互聯(lián)網(wǎng)建構(gòu)的基石。其主要特點(diǎn)：一是能提供比IPv4大得多的地址空間。有人形象地稱(chēng)這一協(xié)議可為地球表面的每粒沙子分配一個(gè)IP地址。二是數(shù)據(jù)傳輸速度更快。基于IPv6的主干網(wǎng)或城域網(wǎng)的傳輸速率，將比現(xiàn)在提高100倍到1000倍。

安全問(wèn)題一直是網(wǎng)絡(luò)通信中關(guān)注的焦點(diǎn)問(wèn)題。IPv6在設(shè)計(jì)之初，就對(duì)安全性有了較為周密的考慮，它內(nèi)嵌一種標(biāo)準(zhǔn)化的IP安全協(xié)議(IPsec)，解決了通信設(shè)備之間安全通信的標(biāo)準(zhǔn)化、互操作等問(wèn)題，從而確保端到端的通信安全，實(shí)現(xiàn)“深度防護(hù)”安全策略。采用IPv6后，發(fā)送信息的設(shè)備有了永久的IP地址，設(shè)備類(lèi)型很容易被識(shí)別。IPsec還能提供認(rèn)證報(bào)頭服務(wù)，用于保證數(shù)據(jù)的保密性和一致性。

IPv6還采取了兩項(xiàng)技術(shù)措施增強(qiáng)其安全性。一是認(rèn)證，它要求接收端中能存放發(fā)送端的信息，如果接收端無(wú)法識(shí)別發(fā)送端，則無(wú)法進(jìn)行信息傳輸;如果可以進(jìn)行通信，則需保證信息是由指定發(fā)送端發(fā)送的，同時(shí)信息在傳輸過(guò)程中沒(méi)有被其他用戶(hù)更改。二是私有性，它要求發(fā)送的信息必須被加密，接收端必須是授權(quán)的，這樣就能很好地防止信息被未授權(quán)用戶(hù)竊取。

IPv6作為一種新的網(wǎng)絡(luò)通信協(xié)議，尚未被廣泛推廣應(yīng)用，絕大多數(shù)用戶(hù)對(duì)其了解不深，專(zhuān)門(mén)進(jìn)行相關(guān)研究的就更少，這就決定了針對(duì)IPv6網(wǎng)絡(luò)的攻擊方法手段，還沒(méi)有真正發(fā)展起來(lái)，也很少有機(jī)會(huì)去驗(yàn)證其攻擊效果。然而，隨著IPv6的推廣應(yīng)用，也會(huì)像目前IPv4一樣，信息安全隱患將會(huì)逐漸暴露，并被攻擊者加以利用。

IPv6的信息安全隱患

構(gòu)建基于IPv6的可信任下一代互聯(lián)網(wǎng)，是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)。雖然IPv6與IPv4相比，在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮，但仍然存在一些難以解決的安全隱患。

一是難以應(yīng)對(duì)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊仍然是IPv6面臨的最嚴(yán)重的一種攻擊，它可能導(dǎo)致計(jì)算機(jī)硬盤(pán)、物理設(shè)備毀壞和所有可用內(nèi)存耗盡的危險(xiǎn)。IPv6支持動(dòng)態(tài)自動(dòng)尋址，雖然給合法網(wǎng)絡(luò)用戶(hù)使用帶來(lái)了方便，但非授權(quán)的用戶(hù)可以更容易地接入和使用網(wǎng)絡(luò)，埋下了拒絕服務(wù)攻擊的隱患。拒絕服務(wù)攻擊主要包括兩種方式：一種是通過(guò)向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包，使得主機(jī)忙于處理這些無(wú)用的數(shù)據(jù)包而無(wú)法響應(yīng)有用的信息;另一種是對(duì)網(wǎng)絡(luò)上兩個(gè)節(jié)點(diǎn)之間的通信直接進(jìn)行干擾，攻擊者可以冒充通信節(jié)點(diǎn)向目標(biāo)通信節(jié)點(diǎn)發(fā)送錯(cuò)誤消息，從而造成路由迂回，導(dǎo)致網(wǎng)絡(luò)帶寬浪費(fèi)及時(shí)延增加。對(duì)這兩種方式，IPv6從技術(shù)上都沒(méi)有很好地解決。

二是難以彌補(bǔ)整個(gè)網(wǎng)絡(luò)協(xié)議族的安全缺陷。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織提出的各種計(jì)算機(jī)在世界范圍內(nèi)互聯(lián)成網(wǎng)的標(biāo)準(zhǔn)框架，即開(kāi)放系統(tǒng)互聯(lián)參考模型，計(jì)算機(jī)網(wǎng)絡(luò)分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層和應(yīng)用層等七個(gè)功能層。IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議，其安全性設(shè)計(jì)得再好，也只能保證本功能層的安全，其他功能層如應(yīng)用層的網(wǎng)頁(yè)服務(wù)、郵件服務(wù)及文件傳輸?shù)确?wù)的安全仍然難以保證。

加強(qiáng)IPv6信息安全的對(duì)策

互聯(lián)網(wǎng)協(xié)議設(shè)計(jì)的一個(gè)基本要求，就是新協(xié)議的設(shè)計(jì)不能引入新的安全威脅。如果存在安全威脅，那么協(xié)議本身必須要規(guī)定相應(yīng)的安全機(jī)制來(lái)克服。因此，要深入研究IPv6的技術(shù)特點(diǎn)，針對(duì)各種可能的安全威脅，改進(jìn)完善技術(shù)手段，建立健全防范機(jī)制。

一方面，要改進(jìn)完善技術(shù)手段。一是改進(jìn)防火墻的設(shè)計(jì)，應(yīng)對(duì)拒絕服務(wù)攻擊。IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的改變，要求防火墻必須解析整個(gè)數(shù)據(jù)包才能進(jìn)行過(guò)濾操作，這對(duì)防火墻的處理性能會(huì)有很大的影響。因此，必須采取各種技術(shù)手段，提高防火墻的性能，適應(yīng)IPv6的需要。二是完善入侵檢測(cè)系統(tǒng)的設(shè)計(jì)，嚴(yán)格用戶(hù)限制。IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來(lái)網(wǎng)絡(luò)數(shù)據(jù)通訊的保密性將會(huì)越來(lái)越強(qiáng)，要求入侵檢測(cè)系統(tǒng)在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶(hù)端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)，以嚴(yán)格控制訪(fǎng)問(wèn)用戶(hù)的身份認(rèn)證和權(quán)限驗(yàn)證等內(nèi)容。三是采用安全遷移設(shè)計(jì)，保障快速平穩(wěn)過(guò)渡。目前，IPv4正在向IPv6過(guò)渡，與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，其安全措施必須經(jīng)過(guò)慎重的考慮和測(cè)試，避免產(chǎn)生新的技術(shù)漏洞。

另一方面，要建立健全防護(hù)機(jī)制。盡管IPv6還不是當(dāng)前網(wǎng)絡(luò)通信的主流協(xié)議，但從長(zhǎng)遠(yuǎn)看，有必要開(kāi)展超前研究，從健全安全防范制度和建立防范體系兩個(gè)方面，制定下一代互聯(lián)網(wǎng)的系統(tǒng)安全機(jī)制和信息安全機(jī)制。一是要健全安全防范制度，保障網(wǎng)絡(luò)系統(tǒng)安全。為加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全，在管理上要建章立制來(lái)強(qiáng)化相關(guān)人員的安全意識(shí)及規(guī)范其處置行為。例如，建立安全檢查制度，定期和不定期相結(jié)合進(jìn)行安全保密檢查，排查安全隱患，杜絕網(wǎng)絡(luò)違規(guī)操作，減少人為紕漏;建立網(wǎng)絡(luò)值勤制度，不斷強(qiáng)化網(wǎng)絡(luò)值勤人員的保密意識(shí)、責(zé)任意識(shí)及服務(wù)意識(shí)，明確人員的職責(zé)劃分和操作規(guī)程，建立完善的值勤登記統(tǒng)計(jì)，使網(wǎng)絡(luò)值勤管理精細(xì)化、正規(guī)化。二是要建立具有主動(dòng)性的網(wǎng)絡(luò)安全防范體系，確保網(wǎng)絡(luò)信息安全。采取加密、認(rèn)證、數(shù)字簽名、訪(fǎng)問(wèn)控制、安全代理、安全審計(jì)和監(jiān)督控制等多種安全防護(hù)機(jī)制，實(shí)現(xiàn)信息儲(chǔ)存保密、傳輸保密和瀏覽保密，進(jìn)行實(shí)體認(rèn)證、操作員認(rèn)證和信息認(rèn)證，從運(yùn)行機(jī)制上保證網(wǎng)絡(luò)信息的安全。