浅析IPV6实用与安全

  　　摘要：随着互联网的迅速发展,面对日益膨胀的网络规模的要求, IPv6应运而生。IPv6继承了IPv4的优点,并在IPv4的基础上作了很多改进，尤其在网络安全上有了很大的改进,但是并不能说IPv6是绝对安全。 

　　关键词：IPV6；网络安全 

　　中图分类号： TP393 文献标识码：A文章编号：1009-3044(2011)24-5860-02 

　　1 IpV6的发展背景 

　　互联网近年在各个领域内得到了巨大的发展，对信息资源的开发和利用已经进入全新的阶段。作为计算机网络Internet 标准当前最重要的网络层协议 - IP 的形势 (IPv4) 已越来越捉襟见肘，主要表现在：IP 地址资源是有限的，空余越来越少，维持的路由表越来越庞大，因此路由速度也变得越来越慢等。有专家预言，IPv4 所有的因特网的公有地址即将用完。虽然各方面都在研究一些补救的方法，如用NAT技术（地址映射）来缓解 IP 地址的稀缺的现状，用CIDR (无类域间路由选择) 来改善路由缓慢等问题，提升路由性能，但这些努力只能治标不治本，无法从根本上解决IPv4的问题。 

　　IPV4存在的问题不止技术方面，在其背后还有其他问题。例如起初设计使用internet网的主要是高校、部门和科技公司，而上世纪末期对因特网的不断扩张，越来越多的人习惯使用它。首先大量的无线用户用它来与其企业网保持联系；其次计算机、通信与娱乐业的相互关联紧密，可能将来世界上电视机都会成为因特网的节点，这样就会有数亿台可用于视频点播互动的终端；然后随着计算机正在进行的微型化、智能化，电脑将可被安装在胸章、标签、选票、电灯开关 高安全性 电冰箱等内。在各种不同的环境里，系统必须具备多种灵活性：实时通信、低功耗、容易管理、插卡式等，这样的话IP管理必须发展得更灵活。 

　　必须开发新版本的IP协议才能解决上诉问题。新版本的IP必须有以下几个特点： 

　　1）地址不会用尽，地址空间无限大； 

　　2）简化协议，提升路由性能，处理分组的速度更快； 

　　3）减小路由表的长度； 

　　4）提高对服务质量的支持，持实时通信； 

　　5）提升 IP 层安全性能； 

　　6）协议具有良好的可扩展性； 

　　7）通过定义范围来实现多点播送； 

　　8）支持即插即用，主机可以不改变地址即可实现漫游。 

　　9）允许新旧协议共同存在。 

　　IETF发表了寻求提议和讨论的声明用以找到符合这些特点的IP协议，由此而生的增强的简单因特网协议 SIPP 被选中作为下一代 IP开发的基础并将之命名为 IPv6。 

　　2 IPV6的技术介绍 

　　IPv4地址不足的难题靠IPv6采用了长度为128位的IP地址彻底解决了。一个大型企业即使将其所有的设备如计算机、智能电器、打印机、电话等全部联入互联网也不必担心IP地址不足的问题了。 

　　2.1 IPv6 地址的表示形式 

　　IPv6地址为128位长但通常写作8组每组四个十六进制数的形式。例如：1111:0dc4:4567:d3a5:1579:d4e3:3e4a:5632是一个合法的IPv6地址。如果四个数字都是零，可以被省略。例如： 2243:2da8:43d3:0000:53:65da:65da:5632等价于 2243:2da8:43d3: 53:65da:65da:5632按照规则，如果因为省略而出现了多个冒号的话，应该压缩为一个，但这种零压缩在地址中只能出现一次。因此：2243:2da8:0000:0000:0000:0000:65da:5632，2243:2da8:0000:0000:0000::65da:5632，2243:2da8:0:0:0:0:65da:5632，2243:2da8:0:0:65da:5632，2243:2da8::65da:5632都是合法并且等价的地址。但2243:；2da8::5632是非法的。这样的压缩轴会使之分辨不清楚到底有几个全0的分组，同时前导的零可以省略，因此： 32da:0cce:0ace::0135等价于32da:cce:ace::135，如果这个地址换算成IPv4的地址的话，后32位同样能换算成10进制数； 

　　地址：2.2.2.2格式叫做IPv4映像地址，是不建议使用的。而:2.2.2.2格式叫做IPv4一致地址。 

　　2.2 Ipv6中的地址配置 

　　IP地址的手动配置是一件枯燥无味的工作，IPv6同IPV4一样具有自动配置ip地址自动配置服务，称为全状态自动配置（stateful autoconfiguration）。 

　　全状态自动配置之外，IPv6还采用了一种被称为无状态自动配置的自动配置服务。在无状态自动配置过程中产生一个链接本地单点广播地址，并通过将主机的网卡MAC地址附加在链接本地地址前缀1111111010添加在广播地址之前，接着主机发出邻居探测的请求向该地址，以验证地址的唯一性。如果请求没有得到响应，则表明主机自我设置的链接本地单点广播地址是唯一的。否则，主机将使用一个随机产生的接口ID组成一个新的链接本地单点广播地址。然后，以该地址为源地址，主机向本地链接中所有路由器多点广播一个被称为路由器请求的配置信息请求，路由器响应该请求会用一个包含一个可聚合全局单点广播地址前缀和其它相关配置信息的路由器公告。主机从路由器得到的全局地址前缀并加上自己的接口ID，接下来自动配置全局地址，就可以与Internet中的其它主机通信了。 

　　使用无状态自动配置，不需要手动干预就能够改变网络中所有主机的IP地址。例如，当企业更换了接入Internet的ISP时，将从新ISP处得到一个新前缀，该前缀可聚合全局地址。ISP把这个地址前缀从ISP的路由器发送到企业路由器上。由于企业路由器将周期性地向本地链接中的所有主机多点广播路由器公告，因此企业网络中所有主机都将通过路由器公告收到新的地址前缀，此后，它们就会自动产生新的IP地址并覆盖旧的IP地址。 

　　3 IPV6的发展现状 

　　IPV6经过多年发展，就目前现状进行简单分析，欧美国家主要是以研究和实验为主体，辅以应用研究。日韩等亚洲国家的研究已经进入商用及业务开展了。 

　　中国在同样也在IPV6方面进行了多项研究、试验和进行实用示范工程。如 863计划“九五”期间的CAINONET、“中国高速互联研究实验网络(NSFCnet)”、中科院的“IPv6关键技术及城域示范网” 、“十五”期间的IPv6核心技术开发和国家发展改革委的“下一代互联网中日IPv6合作项目”等。2008年8月，国家正式启动了CNGI二期的工程，重点解决互联网IPV6进入商用化时遇到的“产业性”问题。 

　　通过各国的不懈努力，IPv6技术和标准已经相对成熟，许多国家已经组建了多个不同规模的IPv6试验网，并逐步将IPv6进入实用化阶段，相应的网络设备基本成熟，全球大规模实用化即将开展。但就目前全球的发展状况来看，IPV6的应用在亚太和欧洲地区较多，其领军者的角色依然是由发达国家担当，所不同的是IPV4时代在互联网领域由美国一家独大的局面被打破。日本、韩国、欧盟及中国在IPv6的研发和产业化方面走在了前面。 

　　4 从 IPV4到IPV6的安全问题 

　　虽然IPv6是一个具有安全功能的协议，但是，从IPv4向IPv6过渡会产生新的风险，并且削弱机构的安全策略。了解潜在的危害并且了解如何在不损害公司安全的情况下实现顺利的过渡。 

   　　如果还没有考虑IPv6对你的网络安全的影响，现在是开始考虑的时候了!这种替代有漏洞的IPv4协议的IPv6目前正在互联网上应用，而且甚至在不知道的情况在已经存在于网络中了。下面看一下IPv6协议对安全有什么影响。 

　　大家可能知道推动IPv6协议应用的主要因素是什么，我们的IP地址空间就要用完了!目前IPv4协议使用的32位地址方案只能容纳43亿个独特的地址。虽然这个数量听起来很多，但是，我们的地球有亿人口。每一个人还不能拥有一个IP地址。但是，有些人还不止需要一个IP地址，如工作地点和家庭之间的IP地址、IP功能的手机和其它网络设备等。新兴市场的科技爆炸式的增长，特别是在亚太地区，需要提供新的IP地址空间。IPv6协议使用128位寻址技术解决了这个问题。IPv6协议允许的IP地址数量是3.4 x 10的38次方;这样大的数量我们要很长时间才能用完。 

　　那么，IPv6协议的出现对安全人员意味着什么呢?让我们看一下对我们的网络安全最有影响的五个问题: 

　　1）网络安全人员必须经过IPv6协议的教育和培训。为了增强事件的处理和相关的能力，网咯安全人员必须如同学习新的网络网络技术一样学习IPV6的基础知识，特别是寻址方案与协议。 

　　2）升级安全工具。目前IPV6不能兼容IPV4，那么，如果用IPv6替换现有的IPV4就必须将网络中所有勇于通信路由和安全分析的硬件和软件都要进行升级。路由器、防火墙和入侵检测系统都需要软件或者硬件升级来兼容IPV6。 

　　3）现有的设备必须重新进行设置。相对IPV4来说，IPV6相当一个的协议，以前对设备所做的设置，必须基于IPV6重新进行评估及设置。 

　　4）隧道协议产生的风险。IPv6从出生就一直确保是一个具有安全功能的协议。然而，IPv4数据流通过非兼容设备使用隧道协议支持向IPv6的转换。这些协议允许把IPv6的通信隔离开。这是一个令人担心的问题，在你的边界内封锁IPv6隧道协议。 

　　5）IPv6由自动设置导致的寻址复杂性。IPv6拥有自动设置功能，自动设置功能允许系统自动获得一个网络地址，而不需要管理员的干预。IPv6支持两种不同的自动设置技术。监控状态与非监控状态的自动设置IP。监控状态的设置IP一般没什么问题，而非监控状态的自动设置功能，允许系统产生自己的IP地址，并且检查地址的重复性。一般来说，这种方式能节省一些操作，但是，对于跟踪网络资源使用情况的网络管理员来说，这种做法在网络安全管理上出现了更大的问题。 

　　5 结束语 

　　IPv6是性的，IPv6允许我们为未来十年的无处不在的接入做好准备。但是，同其它的技术创新一样，我们需要从安全的角度认真关注IPv6。