简论IPv6路由协议在网络安全中的改进

　　1 引言

　　路由技术的快速发展，使得IPv6路由协议成为其中重要的一环，由于我国IPv4地址的资源严重缺乏，除了采用CIDR、VLSM和DHCP技术缓解这一问题外，更多的是采用私有IP地址结合网络地址转换（NAT/PAT）技术。很对宽带用户以及校园网、企业网等大都是采用私有IPv4地址，通过NAT技术接入互联网，这不仅大大降低了网络传输的速度，且安全性等方面也难以得到保障。从根本上看，互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题，从而使IPv4网络迎来各种挑战。

　　本文重点研究了IPv6路由协议的改进分析。

　　2 IPv6路由协议在网络安全的改进

　　2.1 IPv6路由协议（IPSec）

　　IPSec作为IPv4的一个可选扩展协议，在IPv6成为了必备组成部分。IPSec协议可以为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播（Replay）攻击等。新版IPv6路由协议采用IPSec加密和路由信息，以此提高抗路由攻击的性能。但是，虽然IPSec能够防止多种攻击，却无法抵御Sniffer、DoS攻击、洪水（Flood）攻击和应用层攻击。IPSec作为一个网络层IPv6路由协议，只对其下层的网络安全负责，不对其上层应用安全负责。

　　2.2 端到端的安全保证

　　IPv6的优势在于能够顺利保证端到端的安全，同时也能满足用户对端到端安全和移动性的要求。IPv6限制使用NAT，允许所有的网络节点使用其惟一的地址进行通信。每当建立一个IPv6的连接，都会在两端主机上对数据包进行 IPSec封装，中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输，通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传递，因此，无需针对特别的网络应用部署ALG（应用层网关），就可保证端到端的网络透明性，有利于提高网络服务速度。

　　地址分配与源地址检查在IPv6的地址概念中，有了本地子网地址和本地网络地址的概念。出于安全角度考虑，这样的地址分配便利了网络管理员的网络安全管理。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址；若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。由于IPv6地址是可会聚的、具有层次化的，在IPv6接入路由器对用户进入时进行源地址检查时，就能保证ISP验证客户地址的合法性。源路由检查出于安全性和多业务的考虑，许多路由器可根据需要，开启反向路由检测功能，防止源路由篡改和攻击。防止未授权访问IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。

　　2.3 域名系统DNS

　　基于IPv6的DNS系统，在公共密钥基础设施（PKI）系统中作为基础部分，能有效抵御网络身份伪装与偷窃有，而采用可以提供和完整性安全特性的DNS安全扩展IPv6路由协议，能进一步增强目前针对DNS新的攻击方式的防护，例如“网络钓鱼（Phishing）”攻击、“DNS中毒（DNS poisoning）”攻击等，这些攻击会控制DNS服务器，篡改合法网站的IP地址，假冒恶意网站的IP地址等。此外，争取在我国建立IPv6域名系统根服务器，对于我国信息安全建设有着极为重要的意义。

　　2.4 灵活的扩展报头

　　一个完整的IPv6的数据包可包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份报头、有效载荷安全封装报头、终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。

　　2.5 防止网络扫描与病毒蠕虫传播

　　当病毒和蠕虫在感染了一台主机之后，就开始对其他主机进行随机扫描，在扫描到其他有漏洞的主机后，会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速。但这种传播方式因为IPv6的地址空间的巨大变得不适用了，病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。防止网络放大攻击（Broadcast AmplICation Attacks） ICMPv6在设计上不会响应组播地址和广播地址的消息，不存在广播，所以，只需要在网络边缘过滤组播数据包，即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

　　2.6 防止碎片攻击

　　IPv6认为MTU小于1280字节的数据包是非法的，处理时会丢弃MTU小于1280字节的数据包（除非它是一个包），这有助于防止碎片攻击。由此看来，IPv6路由协议确实比IPv4的安全性有所改进，IPv4中常见的一些攻击方式，将在IPv6网络中失效，例如网络侦察、报头攻击、 ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题， IPv6仍应对乏力，只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。

　　3 结语

　　与IPv4相比，IPv6在网络保密性、完整性方面有了更好的改进，在可控性和抗否认性方面有了新的保证，但IPv6不仅不可能彻底解决所有安全问题，同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层，因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如体系、加密体系、密钥分发体系、可信计算体系等。