【正文】 能為力. 從以上的分析看來,，或者在研究、軍事、教育和政府等管理得相對嚴格的環(huán)境中使用，缺乏安全性并不是一個嚴重，隨著 IP 網(wǎng)絡在商用和消費中的重要性與日俱增，網(wǎng)絡的安全性問題變得日益突出，亟待改善. IPv6對于網(wǎng)絡層安全的增強 現(xiàn)行的 IP 網(wǎng)絡很難保證 Inter 的安全，而且基于 IPv4 的 Inter 安全機制大多建立于應用程序級，如 Email 加密、SNMPv2 網(wǎng)絡管理安全、接入安全（HTTP、SSL ）之對應的是，IPv6 的所有的命令和執(zhí)行都有安全方面的考慮 .并且，它提供了加密和認證，應用程序就不必了解這些安全機制的細節(jié). IPv6 的安全主要由 IP 的 AH（Authentication Header）和 ESP（Encapsulating Security Payload）(IP 認證報頭)中對 AH 進行了描述，而 ESP 報頭在 RFC1827（IP 封裝化安全凈荷（ESP） ）中描述. 認證報頭 IPv6 通過 AH 使數(shù)據(jù)包的接收者可以驗證數(shù)據(jù)是否真的是從它的源地址發(fā)出的，并 MD5 算法，但是由于檢驗的機制與所使用的具體算法無關，任何實現(xiàn)都可以根據(jù)需要選用任何算法，如 Sun 公司將發(fā)布的 IPv6 Prototype 就采用 MD5 驗證報頭. AH 的作用如下： （1）為 IP 數(shù)據(jù)包提供強大的完整性服務，這意味著 AH 可用于對 IP 數(shù)據(jù)包所承載的數(shù)據(jù)進行驗證. （2）為 IP 數(shù)據(jù)包提供強大的身份驗證，這意味著 AH 可用于將實體與數(shù)據(jù)包的內容相關聯(lián). （3）如果在完整性服務中使用了公鑰數(shù)字簽名算法，AH 可以為 IP 數(shù)據(jù)包提供不可抵賴服務.  （4）通過使用順序號字段來防止重放攻擊. AH 可以在隧道模式和傳輸模式下使用，這意味著它既可用于為兩個節(jié)點間的簡單直接的數(shù)據(jù)包傳送提供身份驗證和保護，也可用于對發(fā)給安全性網(wǎng)關或由安全性網(wǎng)關發(fā)，AH 保護初始 IP 數(shù)據(jù)包的數(shù)據(jù)，也保護在逐7 / 38跳轉發(fā)中不變化的部分 IP 報頭，如跳轉極限字段或選路擴展報頭 .當 AH 用于隧道模式中時，初始的目的 IP 地址與整個初始 IP 數(shù)據(jù)包一起，封裝在全新的 IP 數(shù)據(jù)包中，該數(shù)，整個初始 IP 數(shù)據(jù)包以及傳送中不變的封裝 IP 報頭部分都得以保護. 封裝化安全凈荷 由于協(xié)議分析儀或“sniffer” 的大量使用，惡意的用戶可以截取網(wǎng)絡上的數(shù)據(jù)包并且可，除了認證之外，IPv6 還提供了一個標準的擴展頭 封裝化安全凈荷（ESP ） ，在網(wǎng)絡層實現(xiàn)端到端的數(shù)據(jù)加密，以對付網(wǎng)絡上的監(jiān)聽. ESP 報頭提供了幾種不同的服務，其中某些服務與 AH 有所重疊：（1）通過加密提供數(shù)據(jù)包的機密性。 （2）通過使用公共密鑰加密對數(shù)據(jù)來源進行身份驗證。  （3）通過由 AH 提供的序列號機制提供對抗重放服務。  （4）通過使用安全性網(wǎng)關來提供有限的業(yè)務流機密性。 ESP 使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標準（DESCBC ） 。任何其它的適當?shù)乃惴ㄈ绺鞣N RSA 算法等也可以使用。它可以在主機之間或安全網(wǎng)關之間使用，以保證更多的安全。與 AH 類似，ESP 既可用于隧道模式，也可用于傳輸模式。使用隧道模式時，ESP 報頭對整個 IP 數(shù)據(jù)包進行封裝，并作為 IP 報頭的擴展將數(shù)據(jù)包定向到安全性網(wǎng)關。在傳輸模式中，ESP 加密傳輸層協(xié)議報頭（如 TCP、UDP 或 ICMP 等）和數(shù)據(jù)部分。 ESP 報頭可以和 AH 結合使用。實際上，如果 ESP 報頭不使用身份驗證機制，建議將 AH 和 ESP 報頭一起使用。在傳輸模式中，如果有 AH，IP 報頭以及選路擴展報頭或分段擴展報頭都在 AH 之前，其后跟隨 ESP 報頭, 這樣，首先進行身份驗證，然后再對ESP 解密。任何目的地選項報頭可以在 ESP 報頭之前，也可以在 ESP 報頭之后，或者ESP 報頭前后都有，而 ESP 報頭之后的擴展頭將被加密。通過對 IPv6 所提供的新的安全機制的介紹，我們可以看出， IPv6 可以進行身份認證，并且可以保證數(shù)據(jù)包的完整性和機密性，所以在安全性方面，IPv6 有了質的飛躍. 協(xié)議安全與網(wǎng)絡安全1. 協(xié)議安全　　在協(xié)議安全層面上，IPv6 全面支持認證頭（AH）認證和封裝安全有效負荷（ESP ）信息安全封裝擴展頭。AH 認證支持 hmac_md5_9hmac_sha_1_96 認證加密算法，ESP8 / 38封裝支持 DES_CBC、3DES_CBC 以及 Null 等三種算法。2. 網(wǎng)絡安全　?、?端到端的安全保證。在兩端主機上對報文進行 IPSec 封裝，中間路由器實現(xiàn)對有IPSec 擴展頭的 IPv6 報文進行透傳，從而實現(xiàn)端到端的安全?！　、?對內部網(wǎng)絡的保密。當內部主機與因特網(wǎng)上其他主機進行通信時，為了保證內部網(wǎng)絡的安全，可以通過配置的 IPSec 網(wǎng)關實現(xiàn)。因為 IPSec 作為 IPv6 的擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理，因此 IPSec 網(wǎng)關可以通過 IPSec 隧道的方式實現(xiàn)，也可以通過 IPv6 擴展頭中提供的路由頭和逐跳選項頭結合應用層網(wǎng)關技術來實現(xiàn)。后者的實現(xiàn)方式更加靈活，有利于提供完善的內部網(wǎng)絡安全，但是比較復雜?！　、?通過安全隧道構建安全的 VPN。此處的 VPN 是通過 IPv6 的 IPSec 隧道實現(xiàn)的。在路由器之間建立 IPSec 的安全隧道，構成安全的 VPN 是最常用的安全網(wǎng)絡組建方式。IPSec 網(wǎng)關的路由器實際上就是 IPSec 隧道的終點和起點，為了滿足轉發(fā)性能的要求，該路由器需要專用的加密板卡。　?、?通過隧道嵌套實現(xiàn)網(wǎng)絡安全。通過隧道嵌套的方式可以獲得多重的安全保護。當配置了 IPSec 的主機通過安全隧道接入到配置了 IPSee 網(wǎng)關的路由器，并且該路由器作為外部隧道的終結點將外部隧道封裝剝除時，嵌套的內部安全隧道就構成了對內部網(wǎng)絡的安全隔離。 其他安全保障　 IPSec 為網(wǎng)絡數(shù)據(jù)和信息內容的有效性、一致性以及完整性提供了保證，但是數(shù)據(jù)網(wǎng)絡的安全威脅是多層面的，它們分布在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層等各個部分?！　τ谖锢韺拥陌踩[患，可以通過配置冗余設備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強安全管理來防護。對于物理層以上層面的安全隱患，可以采用以下防護手段：通過諸如 AAA、TACACS ＋、RADIUS 等安全訪問控制協(xié)議控制用戶對網(wǎng)絡的訪問權限來防止針對應用層的攻擊；通過 MAC 地址和 IP 地址綁定、限制每端口的MAC 地址使用數(shù)量、設立每端口廣播包流量門限、使用基于端口和 VLAN 的 ACL、建立安全用戶隧道等來防范針對二層網(wǎng)絡的攻擊；通過進行路由過濾、對路由信息的加密和認證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來加強三層網(wǎng)絡的安全性。路由器和交換機對 IPSec 的完善支持保證了網(wǎng)絡數(shù)據(jù)和信息內容的有效性、一致性以及完整性，并且為網(wǎng)絡安全提供了諸多解決辦法。9 / 383 IPv6 的安全機制對現(xiàn)有網(wǎng)絡安全體系的影響 在前面的分析中，我們了解了 IPv6 優(yōu)點，但是，這并不能說 IPv6 已經(jīng)可以確保系統(tǒng)的安全了。這里面有很多原因，最重要的是，安全包含著各個層次，各個方面的問題，不是僅僅由一個安全的網(wǎng)絡層就可以解決得了的。如果黑客從網(wǎng)絡層以上的應用層發(fā)動進攻，比如利用系統(tǒng)緩沖區(qū)溢出或木馬的方法，縱使再安全的網(wǎng)絡層也與事無補。即使僅僅從網(wǎng)絡層來看，IPv6 也不是十全十美的。它畢竟同 IPv4 有著極深的淵源。并且，在 IPv6 中還保留著很多原來 IPv4 中的選項，如分片，TTL。而這些選項曾經(jīng)被黑客用來攻擊 IPv4 協(xié)議或者逃避檢測，很難說 IPv6 能夠逃避得了類似的攻擊。同時，由于 IPv6 引進了加密和認證，還可能產生新的攻擊方式。比如大家都知道，加密是需要很大的計算量的。而當今網(wǎng)絡發(fā)展的趨勢是帶寬的增長速度遠遠大于 CPU 主頻的增長。如果黑客向目標發(fā)送大量貌似正確實際上卻是隨意填充的加密數(shù)據(jù)包，被害者就有可能由于消耗了大量的 CPU 時間用于檢驗錯誤的數(shù)據(jù)包而不能響應其他用戶的請求，造成拒絕服務。另外，當前的網(wǎng)絡安全體系是基于現(xiàn)行的 IPv4 協(xié)議的。當前防范黑客的主要工具，有防火墻、網(wǎng)絡掃描、系統(tǒng)掃描、 Web 安全保護、入侵檢測系統(tǒng)等。IPv6 的安全機制對他們的沖擊可能是巨大的，甚至是致命的。 防火墻 當前的防火墻有三種類型：包過濾型，應用代理型和地址轉換型。除了應用代理型防火墻工作在應用層，受到 IPv6 的影響比較小之外，其他的兩種都受到了幾乎是致命的沖擊。地址轉換型防火墻：它可以使局域網(wǎng)外面的機器看不到被保護的主機的 IP 地址，從而使防火墻內部的機器免受攻擊。但由于地址轉換技術（NAT）和 IPsec 在功能上不匹配，很難穿越地址轉換型防火墻利用 IPsec 進行通信[3]。當采用 AH 進行地址認證時，IP 報頭也是認證的對象，因此不能做地址轉換。當只用 ESP 對分組認證/加密時，因為IP 報頭不在認證范圍內，乍一看地址轉換不會出現(xiàn)問題，但即使在這種情況下也只能作一對一的地址轉換，而不能由多個對話共用一個 IP 地址。這是因為 ESP 既不是 TCP 也不是 UDP，不能以端口號的不同進行區(qū)分的緣故。此外，在用 UDP 實現(xiàn) ESP 的情況下，因雙方都要求源端口號和目的端口號為 500，如進行地址轉換就要變換端口號，則不能正常工作。 10 / 38包過濾型防火墻：基于 IPv4 的包過濾型防火墻是依據(jù)數(shù)據(jù)包中源端和目的端的 IP地址和 TCP/UDP 端口號進行過濾的。在 IPv4 中，IP 報頭和 TCP 報頭是緊接在一起的，而且其長度基本是固定的，所以防火墻很容易找到報頭，并使用相應的過濾規(guī)則。然而在 IPv6 下 TCP/UDP 報頭的位置有了變化，IP 報頭與 TCP/UDP 報頭之間常常還存在其他的擴展報頭，如路由選項報頭，AH/ESP 報頭等。防火墻必須逐個找到下一個報頭，直到 TCP/UDP 報頭為止，才能進行過濾，這對防火墻的處理性能會有很大的影響。在帶寬很高的情況下，防火墻的處理能力就將成為整個網(wǎng)絡的瓶頸。使用了 IPv6 加密選項后，數(shù)據(jù)是加密傳輸?shù)模捎?IPsec 的加密功能提供的是端到端的保護，并且可以任選加密算法，密鑰是不公開的。防火墻根本就不能解密。因此防火墻就無從知道 TCP/UDP 端口號。如果防火墻把所有的加密包都放行的話，其實也就為黑客穿刺防火墻提供了一條思路：防火墻不再能夠限制外部的用戶所能訪問的端口號了，也就是不能禁止外部用戶訪問某些本不應該對外提供的服務了。 入侵檢測 一般來說，入侵檢測（IDS）是防火墻后的第二道安全屏障。按照審計數(shù)據(jù)來源的不同，IDS 分為基于網(wǎng)絡的 IDS(NIDS)和基于主機的 IDS(HIDS)。 NIDS 直接從網(wǎng)絡數(shù)據(jù)流中截獲所需的審計數(shù)據(jù)并從中搜索可疑行為。它能夠實時得到目標系統(tǒng)與外界交互的所有信息，包括一些很隱蔽的端口掃描和沒有成功的入侵嘗試；此外，由于 NIDS 不在被監(jiān)視系統(tǒng)中運行，并且使用被動監(jiān)聽的工作方式，所以它不容易為入侵者所發(fā)覺，因此它所收集的審計數(shù)據(jù)被篡改的可能性很小，并且它不影響被保護的系統(tǒng)的性能。但是在對待被加密的 IPv6 數(shù)據(jù)方面，NIDS 有著和包過濾防火墻同樣的尷尬。所以，如果有黑客使用加密之后的數(shù)據(jù)包進行攻擊，NIDS 就很難抓到什么蛛絲馬跡了。 HIDS 運行于被保護的主機系統(tǒng)中，監(jiān)視文件系統(tǒng)或者操作系統(tǒng)(OS)及各種服務生成的日志文件，以便發(fā)現(xiàn)入侵蹤跡。它通常作為用戶進程運行，其正常運行依賴于操作系統(tǒng)底層的支持，與系統(tǒng)的體系結構有關，所以，熟練的入侵者能夠篡改這些進程的輸出、關閉進程，修改系統(tǒng)日志，甚至更換系統(tǒng)核心以逃避檢測。除此之外，基于主機的 HIDS 只能知道它所保護的主機的信息，卻很難收集到其他主機的信息，甚至由于它運行在應用層而很難得到底層的網(wǎng)絡信息。并且，HIDS 自身的安全直接依賴于它所在的主機的安全，如果主機被攻破了，HIDS 報警的正確性，就很值得懷疑。 11 / 38 取證在網(wǎng)絡遭到入侵后，取證和查找原因也是相當關鍵的。但是，誠如以上的分析，對于使用了帶有加密選項的 IPv6 協(xié)議進行通信的主機，幾乎無證可取，無據(jù)可查。防火墻和基于網(wǎng)絡的入侵檢測系統(tǒng)不明白受害機器在做什么，所有的保護主機的工作幾乎都交給了 HIDS，而被攻破的主機上還能留下多少可信的證據(jù)，沒有人能知道。保護用戶的秘密和保護主機的安全之間變成了一對矛盾 其他 盡管 IPv6 比 IPv4 具有明顯的先進性，但是 IETF 認識到，要想在短時間內將Inter 和各個企業(yè)網(wǎng)絡中的所有系統(tǒng)全部從 IPv4 升級到 IPv6 是不可能的，換言之，IPv6 與 IPv4 系統(tǒng)在 Inter 中長期共存是不可避免的現(xiàn)實。這也對現(xiàn)在的安全產品提出新的問題。因為對于同時支持 IPv4 和 IPv6 的主機，黑客可以同時用兩種協(xié)議進行協(xié)調作戰(zhàn)，逃避檢測[6]。只有同時支持兩種協(xié)議，并且可以把它們聯(lián)系起來分析，才能做到更安全。另外，在 2022 年日本提出的一個關于 IPv6 安全的草案上，提出了由于 IPv4和 IPv6 地址轉換不當而造成拒絕服務的例子，也值得我們考慮 . 12 / 38參考文獻[1]. （美） Christian Huitema 著，陶文星，胡文才譯， 《新因特網(wǎng)協(xié)