當前，“線上”網絡和“線下”生活正在深度融合，虛擬網絡世界和現實社會生活相互交織。人們在互聯網上變成了“透明人”，個人的一舉一動都被互聯網“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

另外，網絡在金融、交通、通信、軍事等各個領域的作用越來越重要，已成為一個國家正常運轉的“神經系統”。

我們知道國家正在大力推動IPv6網絡的部署，其中有一個很重要的出發點，就是希望借助IPv6在安全性上的改進，促進網絡空間的安全治理，扭轉當前網絡安全的嚴峻形勢。

IPv6在技術上有哪些改進？

IPv6作為下一代互聯網的關鍵性技術，正逐步取代IPv4成為支撐互聯網運轉的核心協議，IPv6重點解決了IPv4兩方面的問題。

地址空間問題

與IPv4相比，IPv6把IP地址數量從2的32次方擴展到了2的128次方，足以滿足任何未來可預計的地址空間分配。這正是IPv6被選作新一代網絡承載協議并逐漸商用部署的根本驅動力。

網絡安全問題

IPv4因為地址資源有限，在很多時候一個公網地址需要通過地址翻譯（NAT）方式被多臺主機共用。因此也就破壞了端到端通信的透明性，為網絡安全事件的溯源帶來了困難。

IPv6地址資源豐富，可采用逐級、層次化的結構進行地址分配，為每個責任體分配一個獨一無二的IPv6地址，使得追蹤定位，查詢溯源得到了很大的改善。

可以說，IPv6技術是實施網絡空間安全治理的基礎性技術。

IPv6在安全性上有哪些提高？

1 ---可溯源和防攻擊

IPv6的地址空間巨大，理論上不會再有IPv6地址短缺困境，也不需要廣泛使用NAT設備節省IPv6公網地址。IPv6終端之間可以直接建立點到點的連接，無需地址轉換，因此IPv6地址非常容易溯源。

IPv6地址分為64位的網絡前綴和64位的接口地址。一個64位的前綴地址支持64位的主機數量，攻擊者無法掃描一個IPv6網段內所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度掃描，大約50萬年左右才能遍歷一個64位前綴內所有的主機地址。64位的主機地址使得網絡掃描的難度和代價都大大增加，從而進一步防范了攻擊。

2 ---支持IPSec安全加密機制

IPv6協議中默認集成了IPSec安全功能，通過擴展認證報頭（AH）和封裝安全載荷報頭（ESP）實現加密和驗證功能。

AH協議實現數據完整性和數據源身份認證功能，ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協議真正實現了端到端的安全，中間轉發設備只需要對帶有IPSec擴展包頭的報文進行普通轉發，而不對IPSec擴展包頭進行處理，大大減輕轉發壓力。

3 ---NDP和SEND的安全增強

在IPv6協議中，采用鄰居發現協議（NDP）取代現有IPv4中的ARP及部分ICMP控制功能。NDP協議通過在節點之間交換ICMPv6信息報文和差錯報文實現鏈路層地址及路由發現、地址自動配置等功能，并且通過維護鄰居可達狀態來加強通信的健壯性。

NDP協議獨立于傳輸介質，可以更方便地進行功能擴展。現有的IPv6協議層加密認證機制可以實現對NDP協議的保護。IPv6的安全鄰居發現協議（SEND）協議是NDP的一個安全擴展，SEND的目的是提供一種備用機制，通過獨立于IPSec的另一種加密方式保護NDP，保證了傳輸的安全性。

4 ---真實源地址驗證體系

真實源IPv6地址驗證體系結構（SAVA）分為接入網（Access Network）、區域內（Intra-AS）和區域間（Inter-AS）源地址驗證三個層次，從主機IP 地址、IP 地址前綴和自治域三個粒度構成多重監控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊，還能夠通過監控流量來實現基于真實源地址的計費和網管。

因此，IPv6不止IP地址接近無限，還在網絡安全性方面更勝一籌。

IPv6依然存在風險？

與IPv4相比，IPv6在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全風險。

IPv6作為網絡層協議，并不能解決所有的網絡安全問題。其他功能層（如由于應用層漏洞）所引發的攻擊，IPv6本身并不能解決。

IPv6仍然沿襲了部分IPv4存在的安全風險，在IPv4與IPv6實施的雙棧配置等過渡期機制也可能引入安全風險。

網絡中也會出現一些專門針對IPv6協議形成的新安全風險。

繼承自IPv4的安全威脅

1

IPv6中協議和報文結構雖有變化，但一些存在于IPv4網絡中的攻擊類型仍然存在。

過渡機制存在的安全風險

2

當前我國IPv6規模部署工作呈現加速發展態勢，在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機制安全風險

IPv4/IPv6雙棧技術是指在網絡節點上同時運行IPv4和IPv6兩種協議，在IP網絡中形成邏輯上相互獨立的兩張網絡：IPv4網絡和IPv6網絡。

過渡期間同時運行著IPv4、IPv6兩個邏輯網絡，增加了設備及系統的暴露面，也意味著防火墻、安全網關等防護設備需同時配置雙棧策略，導致策略管理復雜度加倍，防護被穿透的機會加倍。

在IPv4網絡中，部分操作系統缺省啟動了IPv6自動地址配置功能，使得IPv4網絡中存在隱蔽的IPv6通道，但由于該IPv6通道并沒有進行防護配置，攻擊者可能利用IPv6通道實施攻擊。

雙棧系統同時運行IPv4協議、IPv6協議，會增加網絡節點協議處理復雜性和數據轉發負擔，導致網絡節點的故障率增加。

隧道機制安全風險

一些隧道機制對任何來源的數據包只進行簡單的封裝和解封，所以各種隧道機制的引入，為網絡環境增添了安全隱患。

不對IPv4和IPv6地址的關系做檢查。攻擊者利用隧道機制，可將IPv6報文封裝成IPv4報文進行傳輸，由于IPv4網絡無法驗證源地址的真實性，攻擊者可以偽造隧道報文注入到目的網絡中。

不對隧道封裝的內容進行檢查，通過隧道封裝攻擊報文。對于以隧道形式傳輸的IPv6流量，很多網絡設備直接轉發或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報文中，導致原來IPv4網絡的攻擊流量經由IPv6的“掩護”后穿越防護造成威脅。

翻譯機制安全風險

翻譯機制（即協議轉換）通過IPv6與IPv4的網絡地址與協議轉換，實現了IPv6網絡與IPv4網絡的雙向互訪。翻譯設備作為IPv6網絡與IPv4網路的互連節點，易成為安全瓶頸，一旦被攻擊可能導致網絡癱瘓。

IPv6特有的安全威脅

3

IPv6報文結構中引入的新字段（如流標簽、RH0、路由頭等）、IPv6協議族中引入的新協議（如NDP鄰居發現協議等）可能存在漏洞，被用于發起嗅探、DoS等攻擊。

IPv6新的應用也可能帶來安全風險。IPv6使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，需要安全設備能夠識別出攻擊報文新方法和措施。

寫在最后

IPv6并不能解決所有的網絡安全問題。

但是因為IPv6協議提供可靠的地址驗證與溯源機制，可以在上述攻擊發生后及時溯源處置，實現高效的信息安全治理。

擁有網絡安全意識是保證網絡安全的前提，因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時，設定合理的安全部署策略。

IPv6是革命性的，IPv6允許我們為未來無處不在的萬物互聯做好準備。但是，同其他的技術創新一樣，我們也需要從安全的角度認真關注IPv6。