1 引言

　　路由技術(shù)的快速發(fā)展，使得IPv6路由協(xié)議成為其中重要的一環(huán)，由于我國IPv4地址的資源嚴(yán)重缺乏，除了采用CIDR、VLSM和DHCP技術(shù)緩解這一問題外，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT/PAT）技術(shù)。很對寬帶用戶以及校園網(wǎng)、企業(yè)網(wǎng)等大都是采用私有IPv4地址，通過NAT技術(shù)接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障。從根本上看，互聯(lián)網(wǎng)可信度問題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒有強制采用IPSec而帶來的安全性問題，從而使IPv4網(wǎng)絡(luò)迎來各種挑戰(zhàn)。

　　本文重點研究了IPv6路由協(xié)議的改進(jìn)分析。

　　2 IPv6路由協(xié)議在網(wǎng)絡(luò)安全的改進(jìn)

　　2.1 IPv6路由協(xié)議（IPSec）

　　IPSec作為IPv4的一個可選擴(kuò)展協(xié)議，在IPv6成為了必備組成部分。IPSec協(xié)議可以為IP提供安全特性，如提供訪問控制、數(shù)據(jù)源的身份驗證、數(shù)據(jù)完整性檢查、機密性保證，以及抗重播（Replay）攻擊等。新版IPv6路由協(xié)議采用IPSec加密和路由信息，以此提高抗路由攻擊的性能。但是，雖然IPSec能夠防止多種攻擊，卻無法抵御Sniffer、DoS攻擊、洪水（Flood）攻擊和應(yīng)用層攻擊。IPSec作為一個網(wǎng)絡(luò)層IPv6路由協(xié)議，只對其下層的網(wǎng)絡(luò)安全負(fù)責(zé)，不對其上層應(yīng)用安全負(fù)責(zé)。

　　2.2 端到端的安全保證

　　IPv6的優(yōu)勢在于能夠順利保證端到端的安全，同時也能滿足用戶對端到端安全和移動性的要求。IPv6限制使用NAT，允許所有的網(wǎng)絡(luò)節(jié)點使用其惟一的地址進(jìn)行通信。每當(dāng)建立一個IPv6的連接，都會在兩端主機上對數(shù)據(jù)包進(jìn)行 IPSec封裝，中間路由器實現(xiàn)對有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸，通過對通信端的驗證和對數(shù)據(jù)的加密保護(hù)，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞，因此，無需針對特別的網(wǎng)絡(luò)應(yīng)用部署ALG（應(yīng)用層網(wǎng)關(guān)），就可保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

　　地址分配與源地址檢查在IPv6的地址概念中，有了本地子網(wǎng)地址和本地網(wǎng)絡(luò)地址的概念。出于安全角度考慮，這樣的地址分配便利了網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)安全管理。若某主機僅需要和一個子網(wǎng)內(nèi)的其他主機建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機分配一個本地子網(wǎng)地址；若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù)，那么就可以只給這臺服務(wù)器分配一個本地網(wǎng)絡(luò)地址，而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機。由于IPv6地址是可會聚的、具有層次化的，在IPv6接入路由器對用戶進(jìn)入時進(jìn)行源地址檢查時，就能保證ISP驗證客戶地址的合法性。源路由檢查出于安全性和多業(yè)務(wù)的考慮，許多路由器可根據(jù)需要，開啟反向路由檢測功能，防止源路由篡改和攻擊。防止未授權(quán)訪問IPv6固有的對身份驗證的支持，以及對數(shù)據(jù)完整性和數(shù)據(jù)機密性的支持和改進(jìn)，使得IPv6增強了防止未授權(quán)訪問的能力，更加適合于那些對敏感信息和資源有特別處理要求的應(yīng)用。

　　2.3 域名系統(tǒng)DNS

　　基于IPv6的DNS系統(tǒng)，在公共密鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)中作為基礎(chǔ)部分，能有效抵御網(wǎng)絡(luò)身份偽裝與偷竊有，而采用可以提供和完整性安全特性的DNS安全擴(kuò)展IPv6路由協(xié)議，能進(jìn)一步增強目前針對DNS新的攻擊方式的防護(hù)，例如“網(wǎng)絡(luò)釣魚（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊等，這些攻擊會控制DNS服務(wù)器，篡改合法網(wǎng)站的IP地址，假冒惡意網(wǎng)站的IP地址等。此外，爭取在我國建立IPv6域名系統(tǒng)根服務(wù)器，對于我國信息安全建設(shè)有著極為重要的意義。

　　2.4 靈活的擴(kuò)展報頭

　　一個完整的IPv6的數(shù)據(jù)包可包括多種擴(kuò)展報頭，例如逐個路程段選項報頭、目的選項報頭、路由報頭、分段報頭、身份報頭、有效載荷安全封裝報頭、終目的報頭等。這些擴(kuò)展報頭不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時也為安全性提供了保障。

　　2.5 防止網(wǎng)絡(luò)掃描與病毒蠕蟲傳播

　　當(dāng)病毒和蠕蟲在感染了一臺主機之后，就開始對其他主機進(jìn)行隨機掃描，在掃描到其他有漏洞的主機后，會把病毒傳染給該主機。這種傳播方式的傳播速度在IPv4環(huán)境下非常迅速。但這種傳播方式因為IPv6的地址空間的巨大變得不適用了，病毒及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)中傳播將會變得很困難。防止網(wǎng)絡(luò)放大攻擊（Broadcast AmplICation Attacks） ICMPv6在設(shè)計上不會響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以，只需要在網(wǎng)絡(luò)邊緣過濾組播數(shù)據(jù)包，即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

　　2.6 防止碎片攻擊

　　IPv6認(rèn)為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的，處理時會丟棄MTU小于1280字節(jié)的數(shù)據(jù)包（除非它是一個包），這有助于防止碎片攻擊。由此看來，IPv6路由協(xié)議確實比IPv4的安全性有所改進(jìn)，IPv4中常見的一些攻擊方式，將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報頭攻擊、 ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。但數(shù)據(jù)包偵聽、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問題， IPv6仍應(yīng)對乏力，只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

　　3 結(jié)語

　　與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)，在可控性和抗否認(rèn)性方面有了新的保證，但I(xiàn)Pv6不僅不可能徹底解決所有安全問題，同時還會伴隨其產(chǎn)生新的安全問題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項技術(shù)并不能實現(xiàn)，還需配合多種手段，諸如體系、加密體系、密鑰分發(fā)體系、可信計算體系等。