IPv6安全问题浅析

李鹏　　赵学军　　尚玉莲　　王纪凤　　泰山医学院信息工程学院　　２７１０１６

ＩＰＶ６（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　ｖｅｒｓｉｏｎ　６），全称是“互联网协议第６版”，简单地说它只是一个互联网协议，真正令人瞩目的其实不是ＩＰＶ６本身，而是以ＩＰＶ６为协议的下一代互联网所带来的神奇功能和瑰丽前景。它最大特点是采用１２８位地址长度，可以产生２１２８个ＩＰ地址。从理论上说，可以完全解决ＩＰｖ４的地址紧张问题。除此以外，它还有另外两大优点：更快、更安全。

３．２　ＩＰＶ６产生的背景

随着互联网的迅速发展，原来的ＩＰｖ４协议在很多方面已经出现明显的局限，诸如端到端ＩＰ连接、服务质量（ＱｏＳ）、安全性、多播、移动性、即插即用等，最主要的问题就是ＩＰ地址已经不能满足需要。ＩＰｖ４的ＩＰ地址采用３２位地址长度，１　前言

大约为４０多亿，但因为美国掌握了绝对的

ＩＰ被称为无连接协议，是因为通信的

控制权，目前ＩＰ地址面临枯竭。ＩＰＶ６由

设备之间并不保持一个持续的固定通道。

此应运而生，１９９６年１０月１日，美国３４

ＩＰ将数据打成包，并通过众多的不同路由

所著名大学在芝加哥发起第二代互联网项

将它们送至目的地，然后重新组合成原来

目——Ｉｎｔｅｒｎｅｔ２。第二年１０月１０日，克

的数据格式。网络中的每一台设备都有自

林顿政府出资１亿美元，展开下一代互联

己的ＩＰ地址以保证信息包能够到达正确的

网行动计划。

目的地。

３．３　ＩＰｖ６的特点

２　ＩＰｖ４的制约ＩＰｖ６将长期取代ＩＰｖ４，它是二十世纪

ＩＰｖ４（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　ｖｅｒｓｉｏｎ　４）是七十年代末设计的ＴＣＰ／ＩＰ协议组中当前Ｉｎｔｅｒｎｅｔ上现行的一个版本协议标准，由广泛使用的Ｉｎｔｅｒｎｅｔ层。ＩＰｖ６为基于ＴＣＰ／于它具有简单和可缩放等特点，适合用于ＩＰ的网络连接提供了下列益处：大地址空友好环境和具有物理安全廉洁的情况，间；有效的路由；易于配置；增强的安ＩＰｖ４的目的只是作为简单的网络互通协全性。议，因而其中没有包含安全特性。如果３．４　ＩＰｖ６的安全协议ＩＰＳｅｃＩＰｖ４仅作为研究工具，或者在包括研究、在安全性方面，ＩＰｖ６与ＩＰ安全性军事、教育和政府网络的相对严格的辖区（ＩＰＳｅｃ）机制和服务更加紧密结合。虽中作为产品型网络协议而使用，缺乏安全性并不是一个严重的缺陷。但是，随着ＩＰ网络在商用和消费网络中的重要性与日俱增，攻击所导致的潜在危害将具有空前的破坏性。所以ＩＰ通信常常受到网络安全问题的困扰，如：数据包窃听、ＩＰ欺骗、数据源认证、源路由选择欺骗、ＴＣＰ序列号欺骗。总之原有的ＴＣＰ／ＩＰ协议几乎没有考虑安全的问题。为此人们通常在物理层或者应用层增加安全功能。

摘　　要本文介绍了ＩＰｖ４协议的安全缺陷，分析了ＩＰｖ６的安全协议ＩＰＳｅｃ的基本原理，提出了将来ＩＰｖ６可能出现的安全问题，对下一步提高ＩＰｖ６网络的安全有一定参考作用。关键词网络安全ＡｂｓｔｒａｃｔＴｈｉｓ　ｐａｐｅｒ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ＩＰｖ４　ｐｒｏｔｏｃｏｌ　ｓｅｃｕｒｉｔｙｆｌａｗｓ．　Ａｎａｌｙｓｉｓ　ｏｆ　ＩＰｖ６　ｓｅｃｕｒｉｔｙ　ａｇｒｅｅｍｅｎｔ　ｔｈｅ　ｂａｓｉｃｐｒｉｎｃｉｐｌｅｓ　ｏｆ　ＩＰＳｅｃ，　Ｐｒｏｐｏｓｅｄ　ｆｕｔｕｒｅ　ＩＰｖ６　ｐｏｓｓｉｂｌｅｓｅｃｕｒｉｔｙ　ｐｒｏｂｌｅｍｓ．　Ｔｈｅ　ｎｅｘｔ　ｓｔｅｐ　ｉｍｐｒｏｖｅ　ＩＰｖ６　ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ　ｔｏ　ａ　ｃｅｒｔａｉｎ　ｅｘｔｅｎｔ　ｒｅｆｅｒｅｎｃｅｓ．Ｋｅｙ　ｗｏｒｄｓＩＰｖ４；ＩＰ６；ＩＰＳｅｃ；Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ然两种ＩＰ标准目前都支持ＩＰｓｅｃ（ＩＰ安全

协议），但是ＩＰｖ６是将安全作为自身标准的有机组成部分，安全的部署是在更加协调统一的层次上，而不像ＩＰｖ４那样通过叠加的解决方案来实现安全。通过ＩＰｖ６中的ＩＰｓｅｃ可以对ＩＰ层上（也就是运行在ＩＰ层上的所有应用）的通信提供加密／授权，可以实现远程企业内部网（如企业ＶＰＮ网络）的无缝接入，并且可以实现永远连接。ＩＰＳｅｃ主要由认证协议（ＡＨ）、封装安全载荷（ＥＳＰ）和Ｉｎｔｅｒｎｅｔ密钥交换协议（ＩＫＥ）三个协议来提供认证、数据完整、机密性三种保护形式。这三个协议将是未来Ｉｎｔｅｒｎｅｔ的安全标准。ＩＰＳｅｃ协议的体系结构如图１所示。

认证报头（ＡＨ）用于保证数据的一致性，ＩＰｖ６的认证主要由认证头ＡＨ（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｈｅａｄｅｒ　Ｐｒｏｔｏｃｏｌ）来完成。ＡＨ协议不仅可以对ＩＰ数据包的有效数据部分进行认证，还可以对ＩＰ数据包的ＩＰ头部进行认证。ＡＨ总是外ＩＰ包头之后，但在内ＩＰ包头之前，如果还采用了ＥＳＰ（Ｅｎｃａｐｓｕｌａｔｉｎｇ　Ｓｅｃｕｒｅ　Ｐｒｏｔｏｃｏｌ）协议，那么，在ＡＨ字段之后便是ＥＳＰ字段，最后是其他高层协议头。ＡＨ认证头的格式如图２所示。

而封装的安全负载报头（ＥＳＰ）用于为ＩＰ层提供加密保证、数据源身份认证、数据完整性和重放攻击保护的功能。保证数据的保密性和数据的一致性。ＥＳＰ字段格式如图３所示。

ＩＫＥ协议（Ｉｎｔｅｒｎｅｔ　Ｋｅｙ　ＥｘｃｈａｎｇｅＰｒｏｔｏｃｏｌ）该协议主要对密钥交换进行管理，它主要包括：对使用的协议、加密算法和密钥进行协商；方便的密钥交换机制；跟踪对以上这些约定的实施三个功能。在ＩＰｖ６包中，ＡＨ和ＥＳＰ都是扩展报头，可

图２　　ＡＨ认证头的格式

３　ＩＰｖ６

３．１　ＩＰｖ６的定义

图１　　ＩＰＳｅｃ协议的体系结构

图３　　ＥＳＰ字段格式

－９０－

以同时使用，也可以单独使用其中一个。作为ＩＰＳｅｃ的一项重要应用，ＩＰｖ６集成了虚拟专网（ＶＰＮ）的功能。

理员来说，这种做法提出了很大的难题。５　结束语目前，Ｗｉｎｄｏｗｓ　２０００、Ｕｎｉｘ、Ｓｏｌａｒｉｓ操作系统的一些测试版本中已经引入了ＩＰｖ６，其他一些操作系统的ＩＰｖ６版本也正在逐步开发。另外，已经有厂商尝试应用ＩＰｖ６开发新型应用软件。ＩＰｖ６是用于建立可靠的、可管理的、安全和高效的ＩＰ网络的一个长期解决方案。因此，尽管ＩＰｖ６的实际应用还需要一段时间，但是了解和研究ＩＰｖ６的重要特性以及它针对目前ＩＰ网络存在的问题而提供的解决方案，对于制定企业网络的长期发展计划，规划网络应用的未来发展方向，都是十分有益的。参考文献［１］　周逊．ＩＰｖ６—下一代互联网核心［Ｍ］．北京：电子工业出版社．２００３［２］　曹文波．将天发．ＩＰｖ６安全协议ＩＰＳｅｃ分析［Ｊ］．电脑与信息技术．２００６，（８）：２７－３０［３］　刘银虎，缪炳褀．ＩＰＳｅｃ及其实现机制研究［Ｊ］．微电子技术．２００４，（４）：４３－４７［４］　朱建明．段富．ＩＰｖ６安全机制分析［Ｊ］．太原理工大学学报．２００３，（１）：７５－７８作者简介李鹏　男（１９７１－）泰山医学院信息工程学院讲师　山东科技大学在读软件工程硕士　研究方向：网络安全。４　ＩＰｖ６需要注意的安全问题

网络安全永远是一个相对概念，也不要指望ＩＰ　ｖ６一出现网络安全问题会彻底解决。这也是不客观的，不切实际的。在ＩＰｖ６中以下问题需引起我们的注意：

（１）安全人员需要有关ＩＰｖ６协议的教育和培训。ＩＰｖ６协议将在你的控制之下进入你的网络，这只是个时间问题。同许多新的网络技术一样，学习ＩＰｖ６的基础知识是非常重要的，特别是学习寻址方案和协议，以便适应事件的处理和相关的活动。

（２）安全工具需要升级。ＩＰｖ６不向下兼容。用于整个网络的通信路由和安全分析的硬件和软件都要进行升级，以支持ＩＰｖ６协议，否则这些硬件和软件都不支持ＩＰｖ６。当使用边界保护设备的时候，记住这一点是非常重要的。为了兼容ＩＰｖ６，路由器、防火墙和入侵检测系统都需要软件或者硬件升级。

（３）现有的设备需要额外设置。支持ＩＰｖ６的设备把它当成一个完全独立的协议。因此，访问控制列表、规则库和其它设置参数要重新进行评估，并且要转换为支持ＩＰｖ６的环境。请与相关的厂商联系以取得具体的操作说明。

（４）隧道协议产生新的风险。网络和安全团体已经耗费了很多时间和精力确保ＩＰｖ６是一个具有安全功能的协议。然而，这种转换的最大的风险之一是使用隧道协议支持向ＩＰｖ６的转换。这些协议允许在ＩＰｖ４数据流通过非兼容设备时把ＩＰｖ６的通信隔离开。因此，在你准备好正式支持ＩＰｖ６之前，你的网络用户可以使用这些隧道协议运行ＩＰｖ６。如果这是一个令人担心的问题，在你的边界内封锁ＩＰｖ６隧道协议。

（５）ＩＰｖ６自动设置可造成寻址的复杂性。ＩＰｖ６另一个有趣的功能是自动设置。自动设置功能允许系统自动获得一个网络地址，而不需要管理员的干预。ＩＰｖ６支持两种不同的自动设置技术。监控状态的自动设置使用ＤＨＣＰｖ６，这是对目前的ＤＨＣＰ协议的简单升级，从安全的角度看并没有很大的不同。另外，关注一下非监控状态的自动设置功能。这个技术允许系统产生自己的ＩＰ地址，并且检查地址的重复性。从系统管理的角度说，这种非集中化的方式可能更容易一些，但是，对于跟踪网络资源使用（或者滥用！）情况的网络管

是图书馆的任务，也是义不容辞的责任。图书馆要建立一套完善的免费资源评价审查体制，搜集品质优良的免费电子杂志，利用图书馆的非书资料管理系统进行收藏，既可提供现实的服务，又可留芳千秋。

４．２　资源的组织

组织人力对搜集来的电子杂志信息进行整理、编目，作为馆藏信息资源整合编入本馆的馆藏目录，提供ＯＰＡＣ检索，方便读者查阅，也可按字顺或按主题做成目录并提供跨平台的超级链接。

４．３　虚拟链接引导

图书馆可以充分运用网络免费资源，在门户网站的主页设置开辟网上电子杂志虚拟图书馆，提供Ｉｎｔｅｒｎｅｔ上具有免费服务、内容较好和网址较稳定的电子杂志的链接或引导。对于每个网站都用统一的格式从标识号、学科名称、记录说明、关键字、浏览网址、组织机构、推荐程度进行了描述，　使读者对该网站有一个清晰的了解。虚拟图书馆页面开辟电子杂志主题导航功能，使得读者的操作既一目了然，又清晰方便。导航浏览检索应是读者最亲切的接触信息的方式之一。

总之，图书馆针对免费电子杂志进行充分组织，可以使读者从不同的途径进行查询，　由此为检索利用带来极大的方便，　满足了读者从多角度多途径进行查询的要求，同时也适用于各种不同层次不同检索目的的读者。

上接第８９页澜创办的《澜》２６期累计阅读量亦达五千万。这样的成果，加上Ｚｃｏｍ平台的在线阅读总量，电子杂志总阅读量成功突破一亿大关，这是个远远超越传统媒体发行量的傲人数字。这场大众阅读的免费饕餮，仅仅需要的是微小的下载带宽和轻点鼠标的片刻时间。４　提升图书馆价值的服务电子杂志的流行，为图书馆重新审视互联网络资源开启了一扇新的窗口。电子杂志敞开心扉式的免费，情愿把它理解为是对传媒大众的一种恩惠。作为公益文化事业代表的图书馆没有理由也不应该对它有所忽视，无数双眼睛透过图书馆门户，触电网络，图书馆对大众阅读的引导，是前所未有的提升图书馆在读者心目中的价值的契机。４．１　收藏的价值图书馆是社会文明传承的载体，网络免费杂志的收藏之于图书馆藏书体系具备特殊的意义，互联网络信息的长久保存即参考文献［１］　阿莱斯・艾尔雅维茨．图像时代［Ｍ］．吉林人民出版社．２００３，２，［２］　常廷文．我国电子期刊发展的历史和未来［Ｊ］．安徽理工大学学报（社会科学版）．２００５．７（１）：９１－９３．［３］　唐静．免费互动多媒体网络电子期刊资源及其利用［Ｊ］．图书馆工作与研究．２００６（３）：２３－２５．［４］　巴春芳．“杂志中国”多媒体网络电子期刊资源及利用［Ｊ］．科技咨询导报．２００７（６）：１４０．［５］　肖婷．电子杂志时代来临［Ｊ］．中国商人．２００７（４）：１２２．［６］　ｗｗｗ．ｚｃｏｍ．ｃｏｍ［７］　ｗｗｗ．ｓｉｎａ．ｃｏｍ．ｃｎ作者简介丁宁，男，１９６５生，馆员，南京图书馆－９１－