IPv6協議面臨的網絡安全隱患分析

移動IPv6的隱患

移動計算與普通計算的環境存在較大的區別，如多數情況移動計算是在無線環境下，容易受到竊聽、重發攻擊以及其他主動攻擊，且移動節點需要不斷更改通信地址，因此，其協議架構的復雜性，使得移動IPv6的安全性問題凸顯。

IPv6的安全機制對網絡安全體系的挑戰隱患

第一，由網絡層的傳輸中采用加密方式帶來的隱患分析。1. 針對密碼的攻擊，對一些老版本的操作系統，有的組件不是在驗證網絡傳輸標識信息時進行信息保護，于是，竊聽者可以捕獲有效的用戶名及其密碼，掌握合法用戶權限，進入機器內部破壞。2. 針對密鑰的攻擊，IPv6下，IPSec的兩種工作模式都要交換密鑰，一旦攻擊者破解到正確的密鑰，就可以得到安全通信的訪問權，監聽發送者或接收者的傳輸數據，甚至解密或竄改數據。3. 加密耗時過長引發的DoS攻擊，加密需要很大的計算量，如果黑客向目標主機發送大規模看似合法事實上卻是任意填充的加密數據包，目標主機將耗費大量CPU時間來檢測數據包而無法回應其他用戶的通信請求，造成DoS。第二，對傳統防火墻的沖擊，現行的防火墻有三種基本類型，即包過濾型、代理服務器型和復合型。其中代理服務器型防火墻工作在應用層，受IPv6的影響較小，另外兩種防火墻都將遭到巨大沖擊。第三，對傳統的入侵檢測系統的影響，入侵檢測(IDS)是防火墻后的第二道安全保障。基于網絡IDS可以直接從網絡數據流中捕獲其所需要的審計數據，從中檢索可疑行為。但是，IPv6數據已經經過加密，如果黑客利用加密后的數據包實施攻擊，基于網絡IDS就很難檢測到任何入侵行為。

IPv6編址機制的隱患

IPv6中流量竊聽將成為攻擊者安全分析的主要途徑，面對龐大的地址空間，漏洞掃描、惡意主機檢測等安全機制的部署難度將激增。IPv6引入了IPv4兼容地址、本地鏈路地址、全局聚合單播地址和隨機生成地址等全新的編址機制。其中，本地鏈路地址可自動根據網絡接口標識符生成而無需DHCP自動配置協議等外部機制干預，實現不可路由的本地鏈路級端對端通信，因此移動的惡意主機可以隨時連入本地鏈路，非法訪問甚至是攻擊相鄰的主機和網關。

本文從IPv4向IPv6過渡技術，IPv6中組播技術缺陷，無狀態地址自動配置，鄰居發現協議，IPv6中PKI管理系統，移動IPv6，IPv6的安全機制對網絡安全體系的挑戰以及IPv6編址機制等8個方面指出了IPv6網絡存在的安全隱患。說明IPv6網絡在安全方面還遠沒有達到我們期望的高度。需要在IPv6網絡的推廣與應用中不斷改進與完善。

對于計算機網絡來說，安全永遠只是相對的。新的技術只能暫時解決目前的安全問題，但新一輪的問題又會接踵而來。討論IPv6網絡安全隱患的目的在于我們要提前認清IPv6存在的安全隱患，未雨綢繆，防患于未然。在IPv6網絡的應用中不斷改進、逐步提高，才能使人們最終擁有一個高效、安全的下一代互聯網。