淺析IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與應(yīng)對(duì)措施

◆錢(qián)福利

淺析IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與應(yīng)對(duì)措施

◆錢(qián)福利

（江蘇號(hào)百信息服務(wù)有限公司 江蘇 210006）

目前，全球范圍內(nèi)IPv6取代IPv4已經(jīng)成為一種必然趨勢(shì)，我國(guó)也在不斷嘗試IPv6的規(guī)?；l(fā)展，但目前IPv6依舊存在一定的安全風(fēng)險(xiǎn)?；诖耍疚氖紫葘?duì)IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行闡述，進(jìn)而對(duì)IPv6網(wǎng)絡(luò)安全隱患的應(yīng)對(duì)措施加以探討，以有效促進(jìn)IPv6網(wǎng)絡(luò)安全水平的提升。

IPv6；網(wǎng)絡(luò)安全；DNS系統(tǒng)

0 引言

目前IPv4協(xié)議在實(shí)際應(yīng)用中逐漸暴露出IP地址信息安全性不足的問(wèn)題，且網(wǎng)絡(luò)地址資源嚴(yán)重匱乏，地址資源分配十分枯竭，這種情況下，IPv6協(xié)議的應(yīng)用優(yōu)勢(shì)逐漸突出，成為替代IPv4協(xié)議的重要網(wǎng)絡(luò)，國(guó)內(nèi)電信運(yùn)營(yíng)商已逐步開(kāi)展IPv6商用推廣。

1 IPv6協(xié)議下面臨的安全挑戰(zhàn)

1.1 IPv6在過(guò)渡階段

世界各國(guó)在嘗試推進(jìn)IPv4與IPv6的過(guò)渡中，都經(jīng)歷較長(zhǎng)的時(shí)間過(guò)渡期，這一過(guò)程中，網(wǎng)絡(luò)非法攻擊者可能通過(guò)IPv4至IPv6的過(guò)渡協(xié)議利用安全漏洞躲避安全監(jiān)測(cè)進(jìn)行非法入侵，影響網(wǎng)絡(luò)安全。隧道機(jī)制的運(yùn)行，會(huì)對(duì)數(shù)據(jù)包進(jìn)行一定的封裝與解封操作，內(nèi)置認(rèn)證不足，缺乏安全保障，且并不會(huì)對(duì)IPv4及IPv6的地址關(guān)系進(jìn)行嚴(yán)格檢查，導(dǎo)致隧道報(bào)文容易泄露，并通過(guò)對(duì)內(nèi)層及外層地址的偽造，以合法用戶的形式向隧道注入流量。另外，在IPv4向IPv6進(jìn)行過(guò)渡的過(guò)程中，NAT轉(zhuǎn)換技術(shù)的應(yīng)用使IP流在不同協(xié)議間轉(zhuǎn)換，諸如NAT設(shè)備地址池消耗殆盡等問(wèn)題的存在導(dǎo)致DDoS攻擊問(wèn)題。

1.2 鄰居發(fā)現(xiàn)協(xié)議

IPv6所采用的鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol，簡(jiǎn)稱NDP）能夠及時(shí)發(fā)現(xiàn)相同鏈路上的其他節(jié)點(diǎn)，通過(guò)這些節(jié)點(diǎn)可以實(shí)現(xiàn)地址的有效解析，明確鏈路路由器，對(duì)鄰居可達(dá)信息加以維持。通過(guò)鄰居發(fā)現(xiàn)協(xié)議，進(jìn)行錯(cuò)誤路由器宣告的發(fā)送，會(huì)導(dǎo)致IP數(shù)據(jù)包向非指定位置傳輸，以實(shí)現(xiàn)數(shù)據(jù)包修改，拒絕數(shù)據(jù)包服務(wù)或數(shù)據(jù)攔截等目的，在實(shí)際的IPv6協(xié)議運(yùn)行中，鄰居發(fā)現(xiàn)協(xié)議存在一定的安全隱患。

1.3 可移動(dòng)性隱患

IPv6協(xié)議下的可移動(dòng)性特征，能夠使網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)須進(jìn)行IP地址的更改，即可實(shí)現(xiàn)網(wǎng)絡(luò)接入，并滿足該節(jié)點(diǎn)與其他節(jié)點(diǎn)相互通信的實(shí)際需求。可移動(dòng)性特征的存在，為節(jié)點(diǎn)通信提供便捷，但由于可移動(dòng)節(jié)點(diǎn)所具備的不固定特征，也會(huì)給不法分子以可乘之機(jī)。

IPv6協(xié)議的移動(dòng)，會(huì)面臨一定的安全隱患，而導(dǎo)致安全隱患的問(wèn)題，很大程度是由于綁定更新信息的偽造，這樣就會(huì)導(dǎo)致某些網(wǎng)絡(luò)節(jié)點(diǎn)出現(xiàn)錯(cuò)誤綁定緩存信息的生成，導(dǎo)致網(wǎng)絡(luò)偽造節(jié)點(diǎn)無(wú)法及時(shí)接收數(shù)據(jù)信息。移動(dòng)IPv6草案在早期階段，采用IPSec實(shí)現(xiàn)安全防護(hù)，目前IPv6則采用自定義安全機(jī)制，在沒(méi)有形成一套規(guī)范的安全機(jī)制以前，IPv6協(xié)議存在一定的安全隱患。

2 IPv6的安全防護(hù)措施

IPv6環(huán)境下，構(gòu)建安全合理的IPv6網(wǎng)絡(luò)，保證安全防護(hù)體系的整體性與安全性是個(gè)重要的課題。隨著網(wǎng)絡(luò)安全建設(shè)工作的不斷開(kāi)展，目前網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)超越了單一安全系統(tǒng)建設(shè)階段，網(wǎng)絡(luò)用戶需要進(jìn)行各種安全產(chǎn)品及安全子系統(tǒng)之間的協(xié)作保障，保證安全防護(hù)體系的可信性及安全性，優(yōu)化網(wǎng)絡(luò)安全防護(hù)能力。

2.1 DNS的安全防護(hù)效果

IPv4協(xié)議的網(wǎng)絡(luò)應(yīng)用程序編寫(xiě)過(guò)程中，編程人員會(huì)在代碼編寫(xiě)過(guò)程寫(xiě)入服務(wù)器固定IPv4地址，以實(shí)現(xiàn)數(shù)據(jù)信息通信效率的有效提升。IPv6網(wǎng)絡(luò)應(yīng)用程序編程過(guò)程中，因?yàn)镮Pv6地址長(zhǎng)度較長(zhǎng)，難以充分記憶，因而在進(jìn)行IPv6網(wǎng)絡(luò)應(yīng)用程序的編程時(shí)，采用域名及DNS訪問(wèn)目標(biāo)網(wǎng)址以替代難以記憶的固定地址，在這種情況下，IPv6網(wǎng)絡(luò)中的DNS的重要性就進(jìn)一步提升，為現(xiàn)代網(wǎng)絡(luò)架構(gòu)提供核心的基礎(chǔ)支撐。

IPv4網(wǎng)絡(luò)運(yùn)行中，DNS系統(tǒng)所記錄的域名解析請(qǐng)求主要為NAT設(shè)備地址；在IPv6網(wǎng)絡(luò)運(yùn)行中，DNS系統(tǒng)所記錄的域名解析請(qǐng)求主要為用戶設(shè)備所產(chǎn)生的IPv6地址，因而在實(shí)際運(yùn)行中，將產(chǎn)生大量用戶IPv6源地址被保存于DNS系統(tǒng)日志中，真實(shí)的IPv6地址可能由于不法分子非法入侵DNS并竊取DNS系統(tǒng)日志數(shù)據(jù)而造成信息泄露[1]。

部分Windows等操作系統(tǒng)采用隨機(jī)生成IPv6協(xié)議的臨時(shí)地址，并進(jìn)行租期設(shè)置，對(duì)設(shè)備MAC地址及真實(shí)IPv6地址及信息加以隱藏，但許多舊的設(shè)備及版本在運(yùn)行其操作系統(tǒng)與物聯(lián)網(wǎng)設(shè)備時(shí)，依舊采用以EUI-64為基礎(chǔ)的真實(shí)地址接入網(wǎng)絡(luò)并進(jìn)行信息通信。

IPv4協(xié)議中，DNS系統(tǒng)主要對(duì)DDoS安全攻擊進(jìn)行防護(hù)；在IPv6協(xié)議中，DNS系統(tǒng)不僅要防護(hù)DDoS，還要做好DNS系統(tǒng)自身安全及日志數(shù)據(jù)安全防護(hù)工作，有效避免數(shù)據(jù)信息泄露。在未來(lái)，DNS系統(tǒng)服務(wù)器可能成為未來(lái)安全隱患的重要攻擊點(diǎn)。IPv6網(wǎng)絡(luò)安全管理工作中，應(yīng)充分重視網(wǎng)絡(luò)協(xié)議下DNS系統(tǒng)安全防護(hù)工作。

2.2 IPv6協(xié)議的安全部署

在中央網(wǎng)絡(luò)安全及信息化領(lǐng)導(dǎo)小組會(huì)議上，習(xí)近平總書(shū)記強(qiáng)調(diào)網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題。為此，在全面推進(jìn)IPv6協(xié)議取代IPv4協(xié)議的情況下，應(yīng)重點(diǎn)突出IPv6網(wǎng)絡(luò)協(xié)議安全防護(hù)工作。加快IPv6的大規(guī)模應(yīng)用，應(yīng)探討有效解決網(wǎng)絡(luò)安全問(wèn)題的策略，為提高網(wǎng)絡(luò)安全管理效率并創(chuàng)新網(wǎng)絡(luò)安全機(jī)制探索新的技術(shù)方向，深入研究IPv6的下一代互聯(lián)網(wǎng)，不斷促進(jìn)網(wǎng)絡(luò)安全保障手段的創(chuàng)新與優(yōu)化，對(duì)網(wǎng)絡(luò)安全保障體系加以完善，提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，提高網(wǎng)絡(luò)安全問(wèn)題的處置效率，為互聯(lián)網(wǎng)安全提供良好支撐。我國(guó)制定的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》中，明確提出了IPv6安全防護(hù)工作原則，強(qiáng)調(diào)發(fā)展與安全并重，促進(jìn)網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃建設(shè)與運(yùn)行，確保網(wǎng)絡(luò)運(yùn)行安全，及互聯(lián)網(wǎng)協(xié)議的平滑過(guò)渡。

（1）對(duì)網(wǎng)絡(luò)安全保障進(jìn)行強(qiáng)化，對(duì)國(guó)家網(wǎng)絡(luò)安全系統(tǒng)加以維護(hù)，對(duì)現(xiàn)有網(wǎng)絡(luò)安全報(bào)賬系統(tǒng)進(jìn)行升級(jí)與改造，有效提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，實(shí)現(xiàn)高效處置，進(jìn)行有效偵查；（2）開(kāi)展地址安全管理工作，對(duì)IPv6地址申請(qǐng)、配置、備案及管理工作進(jìn)行統(tǒng)籌，有效實(shí)現(xiàn)IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案的有效落實(shí)，實(shí)現(xiàn)IPv6部署及網(wǎng)絡(luò)實(shí)名制的協(xié)同推進(jìn)：（3）優(yōu)化網(wǎng)絡(luò)安全防護(hù)工作，針對(duì)IPv6網(wǎng)絡(luò)安全防護(hù)工作，開(kāi)展個(gè)人信息保護(hù)、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估、安全通報(bào)預(yù)警，并做好安全備份及系統(tǒng)恢復(fù)工作；（4）針對(duì)網(wǎng)絡(luò)新型領(lǐng)域開(kāi)展網(wǎng)絡(luò)安全保障。采用IPv6協(xié)議及現(xiàn)代化的人工智能、大數(shù)據(jù)、云計(jì)算等技術(shù)相互結(jié)合，強(qiáng)化新興領(lǐng)域網(wǎng)絡(luò)安全保障能力的有效提升。

2.3 搭建安全可信的IPv6網(wǎng)絡(luò)

盡管大多數(shù)國(guó)家在推進(jìn)IPv6網(wǎng)絡(luò)協(xié)議的建設(shè)及大規(guī)模應(yīng)用時(shí)IPv6網(wǎng)絡(luò)會(huì)面臨一定新的問(wèn)題、存在新的安全隱患，但是IPv4協(xié)議網(wǎng)絡(luò)已經(jīng)逐漸進(jìn)入終點(diǎn)，退出互聯(lián)網(wǎng)舞臺(tái)是時(shí)代發(fā)展之必然。因而，應(yīng)不斷強(qiáng)化IPv6的規(guī)模部署，同時(shí)也應(yīng)當(dāng)做好IPv6協(xié)議的安全防護(hù)工作。

要想構(gòu)建安全可信的IPv6網(wǎng)絡(luò)，應(yīng)當(dāng)建設(shè)完善的基礎(chǔ)資源服務(wù)體制，首先應(yīng)對(duì)實(shí)際網(wǎng)絡(luò)規(guī)劃真實(shí)的IP地址。IPv4網(wǎng)絡(luò)大量采用了NAT及私網(wǎng)地址，IP網(wǎng)絡(luò)源地址無(wú)法溯源，難以實(shí)現(xiàn)有效管理與控制，導(dǎo)致安全隱患難以消除。IPv6網(wǎng)絡(luò)采用了真實(shí)的IPv6地址，對(duì)其不可靠安全因素加以消除，通過(guò)IPv6地址的實(shí)名制管理，以實(shí)現(xiàn)IP地址的可溯源、可追蹤，以構(gòu)建更加安全的網(wǎng)絡(luò)環(huán)境。

同時(shí)應(yīng)搭建具備可信性的域名管理系統(tǒng)，重要的信息系統(tǒng)域名需采用中國(guó)自主管理及自主控制的頂級(jí)域名及解析系統(tǒng)，以實(shí)現(xiàn)域名解析風(fēng)險(xiǎn)的弱化。IPv6協(xié)議網(wǎng)絡(luò)環(huán)境下，應(yīng)提供安全可行的DNS系統(tǒng)服務(wù)。過(guò)去所采用的IPv4共計(jì)13個(gè)DNS系統(tǒng)服務(wù)器，但中國(guó)并沒(méi)有獨(dú)立的DNS系統(tǒng)服務(wù)器，且全球互聯(lián)網(wǎng)治理機(jī)制并不完善，網(wǎng)絡(luò)安全隱患依舊十分嚴(yán)重。這種情況下采用IPv6根服務(wù)器系統(tǒng)，可以為網(wǎng)絡(luò)用戶提供DNS等選擇方向，同時(shí)也可以為網(wǎng)絡(luò)用戶提供容災(zāi)應(yīng)急服務(wù)，有效避免全球根DNS系統(tǒng)服務(wù)出現(xiàn)安全問(wèn)題，避免中國(guó)互聯(lián)網(wǎng)環(huán)境的安全運(yùn)行受到影響，避免中國(guó)互聯(lián)網(wǎng)遭受安全損失[2]。

3 結(jié)語(yǔ)

出于有效提高我國(guó)網(wǎng)絡(luò)安全性及科研水平的考量，我國(guó)應(yīng)全面促進(jìn)以人工智能技術(shù)為代表的高端智能化技術(shù)發(fā)展與應(yīng)用，不斷探索科學(xué)技術(shù)發(fā)展與創(chuàng)新的能力，探索IPv6網(wǎng)絡(luò)協(xié)議安全防護(hù)措施。

[1]趙肅波.中國(guó)IPv6發(fā)展與網(wǎng)絡(luò)安全挑戰(zhàn)[J].信息安全研究, 2019,5(03):261-272.

[2]角浩鉞, 牛雯.工業(yè)物聯(lián)網(wǎng)環(huán)境下IPv6技術(shù)面臨的安全問(wèn)題[J].信息與電腦(理論版), 2019(03):169-171.