【正文】 能為力. 從以上的分析看來(lái),，或者在研究、軍事、教育和政府等管理得相對(duì)嚴(yán)格的環(huán)境中使用，缺乏安全性并不是一個(gè)嚴(yán)重，隨著 IP 網(wǎng)絡(luò)在商用和消費(fèi)中的重要性與日俱增，網(wǎng)絡(luò)的安全性問(wèn)題變得日益突出，亟待改善. IPv6對(duì)于網(wǎng)絡(luò)層安全的增強(qiáng) 現(xiàn)行的 IP 網(wǎng)絡(luò)很難保證 Inter 的安全，而且基于 IPv4 的 Inter 安全機(jī)制大多建立于應(yīng)用程序級(jí)，如 Email 加密、SNMPv2 網(wǎng)絡(luò)管理安全、接入安全（HTTP、SSL ）之對(duì)應(yīng)的是，IPv6 的所有的命令和執(zhí)行都有安全方面的考慮 .并且，它提供了加密和認(rèn)證，應(yīng)用程序就不必了解這些安全機(jī)制的細(xì)節(jié). IPv6 的安全主要由 IP 的 AH（Authentication Header）和 ESP（Encapsulating Security Payload）(IP 認(rèn)證報(bào)頭)中對(duì) AH 進(jìn)行了描述，而 ESP 報(bào)頭在 RFC1827（IP 封裝化安全凈荷（ESP） ）中描述. 認(rèn)證報(bào)頭 IPv6 通過(guò) AH 使數(shù)據(jù)包的接收者可以驗(yàn)證數(shù)據(jù)是否真的是從它的源地址發(fā)出的，并 MD5 算法，但是由于檢驗(yàn)的機(jī)制與所使用的具體算法無(wú)關(guān)，任何實(shí)現(xiàn)都可以根據(jù)需要選用任何算法，如 Sun 公司將發(fā)布的 IPv6 Prototype 就采用 MD5 驗(yàn)證報(bào)頭. AH 的作用如下： （1）為 IP 數(shù)據(jù)包提供強(qiáng)大的完整性服務(wù)，這意味著 AH 可用于對(duì) IP 數(shù)據(jù)包所承載的數(shù)據(jù)進(jìn)行驗(yàn)證. （2）為 IP 數(shù)據(jù)包提供強(qiáng)大的身份驗(yàn)證，這意味著 AH 可用于將實(shí)體與數(shù)據(jù)包的內(nèi)容相關(guān)聯(lián). （3）如果在完整性服務(wù)中使用了公鑰數(shù)字簽名算法，AH 可以為 IP 數(shù)據(jù)包提供不可抵賴服務(wù).  （4）通過(guò)使用順序號(hào)字段來(lái)防止重放攻擊. AH 可以在隧道模式和傳輸模式下使用，這意味著它既可用于為兩個(gè)節(jié)點(diǎn)間的簡(jiǎn)單直接的數(shù)據(jù)包傳送提供身份驗(yàn)證和保護(hù)，也可用于對(duì)發(fā)給安全性網(wǎng)關(guān)或由安全性網(wǎng)關(guān)發(fā)，AH 保護(hù)初始 IP 數(shù)據(jù)包的數(shù)據(jù)，也保護(hù)在逐7 / 38跳轉(zhuǎn)發(fā)中不變化的部分 IP 報(bào)頭，如跳轉(zhuǎn)極限字段或選路擴(kuò)展報(bào)頭 .當(dāng) AH 用于隧道模式中時(shí)，初始的目的 IP 地址與整個(gè)初始 IP 數(shù)據(jù)包一起，封裝在全新的 IP 數(shù)據(jù)包中，該數(shù)，整個(gè)初始 IP 數(shù)據(jù)包以及傳送中不變的封裝 IP 報(bào)頭部分都得以保護(hù). 封裝化安全凈荷 由于協(xié)議分析儀或“sniffer” 的大量使用，惡意的用戶可以截取網(wǎng)絡(luò)上的數(shù)據(jù)包并且可，除了認(rèn)證之外，IPv6 還提供了一個(gè)標(biāo)準(zhǔn)的擴(kuò)展頭 封裝化安全凈荷（ESP ） ，在網(wǎng)絡(luò)層實(shí)現(xiàn)端到端的數(shù)據(jù)加密，以對(duì)付網(wǎng)絡(luò)上的監(jiān)聽. ESP 報(bào)頭提供了幾種不同的服務(wù)，其中某些服務(wù)與 AH 有所重疊：（1）通過(guò)加密提供數(shù)據(jù)包的機(jī)密性。 （2）通過(guò)使用公共密鑰加密對(duì)數(shù)據(jù)來(lái)源進(jìn)行身份驗(yàn)證。  （3）通過(guò)由 AH 提供的序列號(hào)機(jī)制提供對(duì)抗重放服務(wù)。  （4）通過(guò)使用安全性網(wǎng)關(guān)來(lái)提供有限的業(yè)務(wù)流機(jī)密性。 ESP 使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標(biāo)準(zhǔn)（DESCBC ） 。任何其它的適當(dāng)?shù)乃惴ㄈ绺鞣N RSA 算法等也可以使用。它可以在主機(jī)之間或安全網(wǎng)關(guān)之間使用，以保證更多的安全。與 AH 類似，ESP 既可用于隧道模式，也可用于傳輸模式。使用隧道模式時(shí)，ESP 報(bào)頭對(duì)整個(gè) IP 數(shù)據(jù)包進(jìn)行封裝，并作為 IP 報(bào)頭的擴(kuò)展將數(shù)據(jù)包定向到安全性網(wǎng)關(guān)。在傳輸模式中，ESP 加密傳輸層協(xié)議報(bào)頭（如 TCP、UDP 或 ICMP 等）和數(shù)據(jù)部分。 ESP 報(bào)頭可以和 AH 結(jié)合使用。實(shí)際上，如果 ESP 報(bào)頭不使用身份驗(yàn)證機(jī)制，建議將 AH 和 ESP 報(bào)頭一起使用。在傳輸模式中，如果有 AH，IP 報(bào)頭以及選路擴(kuò)展報(bào)頭或分段擴(kuò)展報(bào)頭都在 AH 之前，其后跟隨 ESP 報(bào)頭, 這樣，首先進(jìn)行身份驗(yàn)證，然后再對(duì)ESP 解密。任何目的地選項(xiàng)報(bào)頭可以在 ESP 報(bào)頭之前，也可以在 ESP 報(bào)頭之后，或者ESP 報(bào)頭前后都有，而 ESP 報(bào)頭之后的擴(kuò)展頭將被加密。通過(guò)對(duì) IPv6 所提供的新的安全機(jī)制的介紹，我們可以看出， IPv6 可以進(jìn)行身份認(rèn)證，并且可以保證數(shù)據(jù)包的完整性和機(jī)密性，所以在安全性方面，IPv6 有了質(zhì)的飛躍. 協(xié)議安全與網(wǎng)絡(luò)安全1. 協(xié)議安全　　在協(xié)議安全層面上，IPv6 全面支持認(rèn)證頭（AH）認(rèn)證和封裝安全有效負(fù)荷（ESP ）信息安全封裝擴(kuò)展頭。AH 認(rèn)證支持 hmac_md5_9hmac_sha_1_96 認(rèn)證加密算法，ESP8 / 38封裝支持 DES_CBC、3DES_CBC 以及 Null 等三種算法。2. 網(wǎng)絡(luò)安全　　① 端到端的安全保證。在兩端主機(jī)上對(duì)報(bào)文進(jìn)行 IPSec 封裝，中間路由器實(shí)現(xiàn)對(duì)有IPSec 擴(kuò)展頭的 IPv6 報(bào)文進(jìn)行透?jìng)?，從而?shí)現(xiàn)端到端的安全?！　、?對(duì)內(nèi)部網(wǎng)絡(luò)的保密。當(dāng)內(nèi)部主機(jī)與因特網(wǎng)上其他主機(jī)進(jìn)行通信時(shí)，為了保證內(nèi)部網(wǎng)絡(luò)的安全，可以通過(guò)配置的 IPSec 網(wǎng)關(guān)實(shí)現(xiàn)。因?yàn)?IPSec 作為 IPv6 的擴(kuò)展報(bào)頭不能被中間路由器而只能被目的節(jié)點(diǎn)解析處理，因此 IPSec 網(wǎng)關(guān)可以通過(guò) IPSec 隧道的方式實(shí)現(xiàn)，也可以通過(guò) IPv6 擴(kuò)展頭中提供的路由頭和逐跳選項(xiàng)頭結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來(lái)實(shí)現(xiàn)。后者的實(shí)現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡(luò)安全，但是比較復(fù)雜?！　、?通過(guò)安全隧道構(gòu)建安全的 VPN。此處的 VPN 是通過(guò) IPv6 的 IPSec 隧道實(shí)現(xiàn)的。在路由器之間建立 IPSec 的安全隧道，構(gòu)成安全的 VPN 是最常用的安全網(wǎng)絡(luò)組建方式。IPSec 網(wǎng)關(guān)的路由器實(shí)際上就是 IPSec 隧道的終點(diǎn)和起點(diǎn)，為了滿足轉(zhuǎn)發(fā)性能的要求，該路由器需要專用的加密板卡?！　、?通過(guò)隧道嵌套實(shí)現(xiàn)網(wǎng)絡(luò)安全。通過(guò)隧道嵌套的方式可以獲得多重的安全保護(hù)。當(dāng)配置了 IPSec 的主機(jī)通過(guò)安全隧道接入到配置了 IPSee 網(wǎng)關(guān)的路由器，并且該路由器作為外部隧道的終結(jié)點(diǎn)將外部隧道封裝剝除時(shí)，嵌套的內(nèi)部安全隧道就構(gòu)成了對(duì)內(nèi)部網(wǎng)絡(luò)的安全隔離。 其他安全保障　 IPSec 為網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性提供了保證，但是數(shù)據(jù)網(wǎng)絡(luò)的安全威脅是多層面的，它們分布在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等各個(gè)部分?！　?duì)于物理層的安全隱患，可以通過(guò)配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強(qiáng)安全管理來(lái)防護(hù)。對(duì)于物理層以上層面的安全隱患，可以采用以下防護(hù)手段：通過(guò)諸如 AAA、TACACS ＋、RADIUS 等安全訪問(wèn)控制協(xié)議控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限來(lái)防止針對(duì)應(yīng)用層的攻擊；通過(guò) MAC 地址和 IP 地址綁定、限制每端口的MAC 地址使用數(shù)量、設(shè)立每端口廣播包流量門限、使用基于端口和 VLAN 的 ACL、建立安全用戶隧道等來(lái)防范針對(duì)二層網(wǎng)絡(luò)的攻擊；通過(guò)進(jìn)行路由過(guò)濾、對(duì)路由信息的加密和認(rèn)證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來(lái)加強(qiáng)三層網(wǎng)絡(luò)的安全性。路由器和交換機(jī)對(duì) IPSec 的完善支持保證了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性，并且為網(wǎng)絡(luò)安全提供了諸多解決辦法。9 / 383 IPv6 的安全機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響 在前面的分析中，我們了解了 IPv6 優(yōu)點(diǎn)，但是，這并不能說(shuō) IPv6 已經(jīng)可以確保系統(tǒng)的安全了。這里面有很多原因，最重要的是，安全包含著各個(gè)層次，各個(gè)方面的問(wèn)題，不是僅僅由一個(gè)安全的網(wǎng)絡(luò)層就可以解決得了的。如果黑客從網(wǎng)絡(luò)層以上的應(yīng)用層發(fā)動(dòng)進(jìn)攻，比如利用系統(tǒng)緩沖區(qū)溢出或木馬的方法，縱使再安全的網(wǎng)絡(luò)層也與事無(wú)補(bǔ)。即使僅僅從網(wǎng)絡(luò)層來(lái)看，IPv6 也不是十全十美的。它畢竟同 IPv4 有著極深的淵源。并且，在 IPv6 中還保留著很多原來(lái) IPv4 中的選項(xiàng)，如分片，TTL。而這些選項(xiàng)曾經(jīng)被黑客用來(lái)攻擊 IPv4 協(xié)議或者逃避檢測(cè)，很難說(shuō) IPv6 能夠逃避得了類似的攻擊。同時(shí)，由于 IPv6 引進(jìn)了加密和認(rèn)證，還可能產(chǎn)生新的攻擊方式。比如大家都知道，加密是需要很大的計(jì)算量的。而當(dāng)今網(wǎng)絡(luò)發(fā)展的趨勢(shì)是帶寬的增長(zhǎng)速度遠(yuǎn)遠(yuǎn)大于 CPU 主頻的增長(zhǎng)。如果黑客向目標(biāo)發(fā)送大量貌似正確實(shí)際上卻是隨意填充的加密數(shù)據(jù)包，被害者就有可能由于消耗了大量的 CPU 時(shí)間用于檢驗(yàn)錯(cuò)誤的數(shù)據(jù)包而不能響應(yīng)其他用戶的請(qǐng)求，造成拒絕服務(wù)。另外，當(dāng)前的網(wǎng)絡(luò)安全體系是基于現(xiàn)行的 IPv4 協(xié)議的。當(dāng)前防范黑客的主要工具，有防火墻、網(wǎng)絡(luò)掃描、系統(tǒng)掃描、 Web 安全保護(hù)、入侵檢測(cè)系統(tǒng)等。IPv6 的安全機(jī)制對(duì)他們的沖擊可能是巨大的，甚至是致命的。 防火墻 當(dāng)前的防火墻有三種類型：包過(guò)濾型，應(yīng)用代理型和地址轉(zhuǎn)換型。除了應(yīng)用代理型防火墻工作在應(yīng)用層，受到 IPv6 的影響比較小之外，其他的兩種都受到了幾乎是致命的沖擊。地址轉(zhuǎn)換型防火墻：它可以使局域網(wǎng)外面的機(jī)器看不到被保護(hù)的主機(jī)的 IP 地址，從而使防火墻內(nèi)部的機(jī)器免受攻擊。但由于地址轉(zhuǎn)換技術(shù)（NAT）和 IPsec 在功能上不匹配，很難穿越地址轉(zhuǎn)換型防火墻利用 IPsec 進(jìn)行通信[3]。當(dāng)采用 AH 進(jìn)行地址認(rèn)證時(shí)，IP 報(bào)頭也是認(rèn)證的對(duì)象，因此不能做地址轉(zhuǎn)換。當(dāng)只用 ESP 對(duì)分組認(rèn)證/加密時(shí)，因?yàn)镮P 報(bào)頭不在認(rèn)證范圍內(nèi)，乍一看地址轉(zhuǎn)換不會(huì)出現(xiàn)問(wèn)題，但即使在這種情況下也只能作一對(duì)一的地址轉(zhuǎn)換，而不能由多個(gè)對(duì)話共用一個(gè) IP 地址。這是因?yàn)?ESP 既不是 TCP 也不是 UDP，不能以端口號(hào)的不同進(jìn)行區(qū)分的緣故。此外，在用 UDP 實(shí)現(xiàn) ESP 的情況下，因雙方都要求源端口號(hào)和目的端口號(hào)為 500，如進(jìn)行地址轉(zhuǎn)換就要變換端口號(hào)，則不能正常工作。 10 / 38包過(guò)濾型防火墻：基于 IPv4 的包過(guò)濾型防火墻是依據(jù)數(shù)據(jù)包中源端和目的端的 IP地址和 TCP/UDP 端口號(hào)進(jìn)行過(guò)濾的。在 IPv4 中，IP 報(bào)頭和 TCP 報(bào)頭是緊接在一起的，而且其長(zhǎng)度基本是固定的，所以防火墻很容易找到報(bào)頭，并使用相應(yīng)的過(guò)濾規(guī)則。然而在 IPv6 下 TCP/UDP 報(bào)頭的位置有了變化，IP 報(bào)頭與 TCP/UDP 報(bào)頭之間常常還存在其他的擴(kuò)展報(bào)頭，如路由選項(xiàng)報(bào)頭，AH/ESP 報(bào)頭等。防火墻必須逐個(gè)找到下一個(gè)報(bào)頭，直到 TCP/UDP 報(bào)頭為止，才能進(jìn)行過(guò)濾，這對(duì)防火墻的處理性能會(huì)有很大的影響。在帶寬很高的情況下，防火墻的處理能力就將成為整個(gè)網(wǎng)絡(luò)的瓶頸。使用了 IPv6 加密選項(xiàng)后，數(shù)據(jù)是加密傳輸?shù)?，由?IPsec 的加密功能提供的是端到端的保護(hù)，并且可以任選加密算法，密鑰是不公開的。防火墻根本就不能解密。因此防火墻就無(wú)從知道 TCP/UDP 端口號(hào)。如果防火墻把所有的加密包都放行的話，其實(shí)也就為黑客穿刺防火墻提供了一條思路：防火墻不再能夠限制外部的用戶所能訪問(wèn)的端口號(hào)了，也就是不能禁止外部用戶訪問(wèn)某些本不應(yīng)該對(duì)外提供的服務(wù)了。 入侵檢測(cè) 一般來(lái)說(shuō)，入侵檢測(cè)（IDS）是防火墻后的第二道安全屏障。按照審計(jì)數(shù)據(jù)來(lái)源的不同，IDS 分為基于網(wǎng)絡(luò)的 IDS(NIDS)和基于主機(jī)的 IDS(HIDS)。 NIDS 直接從網(wǎng)絡(luò)數(shù)據(jù)流中截獲所需的審計(jì)數(shù)據(jù)并從中搜索可疑行為。它能夠?qū)崟r(shí)得到目標(biāo)系統(tǒng)與外界交互的所有信息，包括一些很隱蔽的端口掃描和沒(méi)有成功的入侵嘗試；此外，由于 NIDS 不在被監(jiān)視系統(tǒng)中運(yùn)行，并且使用被動(dòng)監(jiān)聽的工作方式，所以它不容易為入侵者所發(fā)覺，因此它所收集的審計(jì)數(shù)據(jù)被篡改的可能性很小，并且它不影響被保護(hù)的系統(tǒng)的性能。但是在對(duì)待被加密的 IPv6 數(shù)據(jù)方面，NIDS 有著和包過(guò)濾防火墻同樣的尷尬。所以，如果有黑客使用加密之后的數(shù)據(jù)包進(jìn)行攻擊，NIDS 就很難抓到什么蛛絲馬跡了。 HIDS 運(yùn)行于被保護(hù)的主機(jī)系統(tǒng)中，監(jiān)視文件系統(tǒng)或者操作系統(tǒng)(OS)及各種服務(wù)生成的日志文件，以便發(fā)現(xiàn)入侵蹤跡。它通常作為用戶進(jìn)程運(yùn)行，其正常運(yùn)行依賴于操作系統(tǒng)底層的支持，與系統(tǒng)的體系結(jié)構(gòu)有關(guān)，所以，熟練的入侵者能夠篡改這些進(jìn)程的輸出、關(guān)閉進(jìn)程，修改系統(tǒng)日志，甚至更換系統(tǒng)核心以逃避檢測(cè)。除此之外，基于主機(jī)的 HIDS 只能知道它所保護(hù)的主機(jī)的信息，卻很難收集到其他主機(jī)的信息，甚至由于它運(yùn)行在應(yīng)用層而很難得到底層的網(wǎng)絡(luò)信息。并且，HIDS 自身的安全直接依賴于它所在的主機(jī)的安全，如果主機(jī)被攻破了，HIDS 報(bào)警的正確性，就很值得懷疑。 11 / 38 取證在網(wǎng)絡(luò)遭到入侵后，取證和查找原因也是相當(dāng)關(guān)鍵的。但是，誠(chéng)如以上的分析，對(duì)于使用了帶有加密選項(xiàng)的 IPv6 協(xié)議進(jìn)行通信的主機(jī)，幾乎無(wú)證可取，無(wú)據(jù)可查。防火墻和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不明白受害機(jī)器在做什么，所有的保護(hù)主機(jī)的工作幾乎都交給了 HIDS，而被攻破的主機(jī)上還能留下多少可信的證據(jù)，沒(méi)有人能知道。保護(hù)用戶的秘密和保護(hù)主機(jī)的安全之間變成了一對(duì)矛盾 其他 盡管 IPv6 比 IPv4 具有明顯的先進(jìn)性，但是 IETF 認(rèn)識(shí)到，要想在短時(shí)間內(nèi)將Inter 和各個(gè)企業(yè)網(wǎng)絡(luò)中的所有系統(tǒng)全部從 IPv4 升級(jí)到 IPv6 是不可能的，換言之，IPv6 與 IPv4 系統(tǒng)在 Inter 中長(zhǎng)期共存是不可避免的現(xiàn)實(shí)。這也對(duì)現(xiàn)在的安全產(chǎn)品提出新的問(wèn)題。因?yàn)閷?duì)于同時(shí)支持 IPv4 和 IPv6 的主機(jī)，黑客可以同時(shí)用兩種協(xié)議進(jìn)行協(xié)調(diào)作戰(zhàn)，逃避檢測(cè)[6]。只有同時(shí)支持兩種協(xié)議，并且可以把它們聯(lián)系起來(lái)分析，才能做到更安全。另外，在 2022 年日本提出的一個(gè)關(guān)于 IPv6 安全的草案上，提出了由于 IPv4和 IPv6 地址轉(zhuǎn)換不當(dāng)而造成拒絕服務(wù)的例子，也值得我們考慮 . 12 / 38參考文獻(xiàn)[1]. （美） Christian Huitema 著，陶文星，胡文才譯， 《新因特網(wǎng)協(xié)