IPv6协议面临的网络安全隐患分析

IPv6中PKI管理系统的隐患

IPv6网络管理中PKI管理是一个悬而未决的问题，必须要首先考虑PKI系统本身的安全性。在应用上存在一些需要解决的主要问题：必须解决数字设备证书与密钥管理问题；IPv6网络的用户数量庞大，设备规模巨大，证书注册、更新、存储、查询等操作频繁，于是要求PKI能够满足高访问量的快速响应并提供及时的状态查询服务；IPv6中认证实体规模巨大，单纯依靠管理员手工管理将不能适应现实需求，同时为了保障企业中其他服务器的安全，要制定严格而合理的访问控制策略，来掌控各类用户对PKI系统和其他服务器的访问。

移动IPv6的隐患

移动计算与普通计算的环境存在较大的区别，如多数情况移动计算是在无线环境下，容易受到窃听、重发攻击以及其他主动攻击，且移动节点需要不断更改通信地址，因此，其协议架构的复杂性，使得移动IPv6的安全性问题凸显。

IPv6的安全机制对网络安全体系的挑战隐患

第一，由网络层的传输中采用加密方式带来的隐患分析。1.针对密码的攻击，对一些老版本的操作系统，有的组件不是在验证网络传输标识信息时进行信息保护，于是，窃听者可以捕获有效的用户名及其密码，掌握合法用户权限，进入机器内部破坏。2.针对密钥的攻击，IPv6下，IPSec的两种工作模式都要交换密钥，一旦攻击者破解到正确的密钥，就可以得到安全通信的访问权，监听发送者或接收者的传输数据，甚至解密或窜改数据。3.加密耗时过长引发的DoS攻击，加密需要很大的计算量，如果黑客向目标主机发送大规模看似合法事实上却是任意填充的加密数据包，目标主机将耗费大量CPU时间来检测数据包而无法回应其他用户的通信请求，造成DoS.第二，对传统防火墙的冲击，现行的防火墙有三种基本类型，即包过滤型、代理服务器型和复合型。其中代理服务器型防火墙工作在应用层，受IPv6的影响较小，另外两种防火墙都将遭到巨大冲击。第三，对传统的入侵检测系统的影响，入侵检测（IDS）是防火墙后的第二道安全保障。基于网络IDS可以直接从网络数据流中捕获其所需要的审计数据，从中检索可疑行为。但是，IPv6数据已经经过加密，如果黑客利用加密后的数据包实施攻击，基于网络IDS就很难检测到任何入侵行为。

IPv6编址机制的隐患

IPv6中流量窃听将成为攻击者安全分析的主要途径，面对庞大的地址空间，漏洞扫描、恶意主机检测等安全机制的部署难度将激增。IPv6引入了IPv4兼容地址、本地链路地址、全局聚合单播地址和随机生成地址等全新的编址机制。其中，本地链路地址可自动根据网络接口标识符生成而无需DHCP自动配置协议等外部机制干预，实现不可路由的本地链路级端对端通信，因此移动的恶意主机可以随时连入本地链路，非法访问甚至是攻击相邻的主机和网关。

本文从IPv4向IPv6过渡技术，IPv6中组播技术缺陷，无状态地址自动配置，邻居发现协议，IPv6中PKI管理系统，移动IPv6，IPv6的安全机制对网络安全体系的挑战以及IPv6编址机制等8个方面指出了IPv6网络存在的安全隐患。说明IPv6网络在安全方面还远没有达到我们期望的高度。需要在IPv6网络的推广与应用中不断改进与完善。

对于计算机网络来说，安全永远只是相对的。新的技术只能暂时解决目前的安全问题，但新一轮的问题又会接踵而来。讨论IPv6网络安全隐患的目的在于我们要提前认清IPv6存在的安全隐患，未雨绸缪，防患于未然。在IPv6网络的应用中不断改进、逐步提高，才能使人们最终拥有一个高效、安全的下一代互联网。