IPv6的安全性分析

摘要 随着Internet的发展，IPv4的局限性严重制约了IP技术的应用和未来网络的发展。IPv6作为下一代网络的基础以其各方面的技术优势得到广泛的认可。从安全技术方面分析了IPv6安全技术的优势，同时阐述了其在安全方面的局限性，并说明IPv4向IPv6过渡还需要不断地加强技术研究。

1、引言

在全球互联网高度发展的今天，随着网络与通信的日益融合，基于IPv4地址编码方式已开始凸显资源枯竭之势。在我国，IPv4地址资源短缺更加严重，除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题，更多的是采用私有IP地址结合网络地址转换（NAT/PAT）技术来解决这个问题。比如PSTN，ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址，通过NAT技术接入互联网，这不仅大大降低了网络传输的速度，且安全性等方面也难以得到保障。从根本上看，互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题，使IPv4网络面临各种威胁。为适应Internet的迅速发展及对网络安全性的需要，由IETF建议制定的下一代网际协议（IP Next Generation Protocol，IPng），又被称为IP版本6（IPv6），除了扩展到128位地址来解决地址匮乏外，在网络安全上也做了多项改进，可以有效地提高网络的安全性。

2、IPv6网络安全技术分析

IPv6协议不但能够提供更多的IP地址，支持自适应配置，彻底解决目前互联网架构的弊端，提供高服务质量，移动通信等新的特性，而且充分考虑了网络安全问题，它支持各种安全选项，包括审记功能、数据完整性检查、保密性验证。

2.1　IPSec安全体系架构提供网络层的安全保证

IPSec安全体系架构可以"无缝"地为IPv6网络环境下的网络层数据传输提供各种安全服务，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播攻击等，解决了网络层端到端数据传输的安全问题。

IPSec安全框架主要包括[1]：用于鉴别网络包的身份验证报头（Authentication Header，AH）、用来加密网络传递内容封装的安全有效载荷（Encrypted Security Payload，ESP）、Internet密钥交换（Internet Key Exchange，IKE），以及安全关联等相关组件。

AH认证支持MD5_96、SHA1_96认证加密算法，主要为IP数据包提供信息源的身份认证，以及数据完整性的检测，同时还具有"抗重播"的功能。对于数据包的认证，除了对IP数据包的有效数据部分进行认证外，还可以对IP数据包的IP头进行认证。AH认证协议通过计算数据包HMAC值，即基于Hash的消息认证码值，来向用户提供IP包的正确性和完整性的检查。

ESP封装安全有效载荷支持DES_CBC、3DES_CBC、RC5、CAST_128等加密算法，主要为IP层提供加密保证，以及数据源的身份认证。在处理IP数据包的加密时，对IP数据包的认证也在某种程度上提供了一定的支持。ESP封装协议是一种与具体的加密算法相对独立的安全协议，该协议几乎可以支持所有的对称密钥加密算法。

IKE密钥交换协议主要为通信用户双方提供身份认证方法，采用密钥、数据加密方式等问题，经过协商后达成一致意见的协议，主要对密钥交换进行管理，包括三个主要功能：用于通信的双方协商所使用的协议、加密算法以及密钥等；用于通信双方进行密钥交换；用于跟踪对以上约定的参数的具体实施情况。

AH和ESP都是基于密钥分发的协议，可单独使用，也可配合使用。它们都可以用于以下两种工作模式[2]：

传送模式：主要是用于对IP层以上的各层协议的保护。

隧道模式：主要用于对IP数据包进行传输的隧道功能。

2.2　其他层次上的安全技术

IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证，但是数据网络的安全威胁是多层面的，它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。对于物理层的安全隐患，可以通过配置冗余设备及线路、安全供电、保障电磁兼容环境来防护。对于物理层以上层面的安全隐患，可以采用以下防护手段：通过诸如AAA、TACACS+、RADIUS等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击；通过MAC地址和IP地址绑定、限制每个端口的MAC地址使用数量、设立每个端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层网络的攻击；通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。路由器和交换机对IPSec的完善支持保证了网络数据和信息内容的有效性、