IPv6協(xié)議面臨的網(wǎng)絡安全隱患分析

移動IPv6的隱患

移動計算與普通計算的環(huán)境存在較大的區(qū)別，如多數(shù)情況移動計算是在無線環(huán)境下，容易受到竊聽、重發(fā)攻擊以及其他主動攻擊，且移動節(jié)點需要不斷更改通信地址，因此，其協(xié)議架構(gòu)的復雜性，使得移動IPv6的安全性問題凸顯。

IPv6的安全機制對網(wǎng)絡安全體系的挑戰(zhàn)隱患

第一，由網(wǎng)絡層的傳輸中采用加密方式帶來的隱患分析。1. 針對密碼的攻擊，對一些老版本的操作系統(tǒng)，有的組件不是在驗證網(wǎng)絡傳輸標識信息時進行信息保護，于是，竊聽者可以捕獲有效的用戶名及其密碼，掌握合法用戶權限，進入機器內(nèi)部破壞。2. 針對密鑰的攻擊，IPv6下，IPSec的兩種工作模式都要交換密鑰，一旦攻擊者破解到正確的密鑰，就可以得到安全通信的訪問權，監(jiān)聽發(fā)送者或接收者的傳輸數(shù)據(jù)，甚至解密或竄改數(shù)據(jù)。3. 加密耗時過長引發(fā)的DoS攻擊，加密需要很大的計算量，如果黑客向目標主機發(fā)送大規(guī)?？此坪戏ㄊ聦嵣蠀s是任意填充的加密數(shù)據(jù)包，目標主機將耗費大量CPU時間來檢測數(shù)據(jù)包而無法回應其他用戶的通信請求，造成DoS。第二，對傳統(tǒng)防火墻的沖擊，現(xiàn)行的防火墻有三種基本類型，即包過濾型、代理服務器型和復合型。其中代理服務器型防火墻工作在應用層，受IPv6的影響較小，另外兩種防火墻都將遭到巨大沖擊。第三，對傳統(tǒng)的入侵檢測系統(tǒng)的影響，入侵檢測(IDS)是防火墻后的第二道安全保障?；诰W(wǎng)絡IDS可以直接從網(wǎng)絡數(shù)據(jù)流中捕獲其所需要的審計數(shù)據(jù)，從中檢索可疑行為。但是，IPv6數(shù)據(jù)已經(jīng)經(jīng)過加密，如果黑客利用加密后的數(shù)據(jù)包實施攻擊，基于網(wǎng)絡IDS就很難檢測到任何入侵行為。

IPv6編址機制的隱患

IPv6中流量竊聽將成為攻擊者安全分析的主要途徑，面對龐大的地址空間，漏洞掃描、惡意主機檢測等安全機制的部署難度將激增。IPv6引入了IPv4兼容地址、本地鏈路地址、全局聚合單播地址和隨機生成地址等全新的編址機制。其中，本地鏈路地址可自動根據(jù)網(wǎng)絡接口標識符生成而無需DHCP自動配置協(xié)議等外部機制干預，實現(xiàn)不可路由的本地鏈路級端對端通信，因此移動的惡意主機可以隨時連入本地鏈路，非法訪問甚至是攻擊相鄰的主機和網(wǎng)關。

本文從IPv4向IPv6過渡技術，IPv6中組播技術缺陷，無狀態(tài)地址自動配置，鄰居發(fā)現(xiàn)協(xié)議，IPv6中PKI管理系統(tǒng)，移動IPv6，IPv6的安全機制對網(wǎng)絡安全體系的挑戰(zhàn)以及IPv6編址機制等8個方面指出了IPv6網(wǎng)絡存在的安全隱患。說明IPv6網(wǎng)絡在安全方面還遠沒有達到我們期望的高度。需要在IPv6網(wǎng)絡的推廣與應用中不斷改進與完善。

對于計算機網(wǎng)絡來說，安全永遠只是相對的。新的技術只能暫時解決目前的安全問題，但新一輪的問題又會接踵而來。討論IPv6網(wǎng)絡安全隱患的目的在于我們要提前認清IPv6存在的安全隱患，未雨綢繆，防患于未然。在IPv6網(wǎng)絡的應用中不斷改進、逐步提高，才能使人們最終擁有一個高效、安全的下一代互聯(lián)網(wǎng)。