校园网IPv6安全隐患及其对策

0 引 言

互联网的飞速发展使得各种网络服务和应用日益丰富，人 类的日常生产和生活已经越来越依赖于网络这个交流平台。但 现有的互联网则是基于 IPv4 技术使用 32 位地址段，最多能 提供约 43 亿个 IP 地址。随着互联网的进一步发展，以 IPv4 技术为基础的现有互联网已不能满足需要，其原因是 IPv4 地 址资源已经耗尽，在安全和服务质量以及对移动、智能网络 的支持上都存在严重不足。新一代互联网协议 IPv6 的主要特 点是 ：拥有 128 位地址空间，解决了 IP 地址不足的问题 ；是 可汇聚、分级的地址结构，有效减少了各级路由表问题，提高 服务质量，方便使用；通过移动头（Mobility Header）和返回 路径可达过程（Return Routability Procedure）能够更好地支 持移动性 [1]。

互联网能否健康发展，安全是至关重要的因素之一。 IPv6 通过内置的 IPSec 安全协议和对网络层数据进行加密保 证了数据的完整性和机密性，使得端对端数据传输具有较高 的安全特性 [2]。但仅仅这样并不能代表 IPv6 网络的安全可靠， 随着该技术的广泛应用，其协议本身存在的安全问题、对入侵 攻击的防护等都为进一步发展带来了安全隐患。本文结合长 安大学具体情况，分析校园网 IPv6 网络在实际中遇到的安全 问题，讨论其解决方法。

1 IPv6 的安全优势

 IPv6 是网络技术史上的一次重要升级，它从最初设计时 就对安全问题进行了关注，因此和 IPv4 相比，IPv6 在 IP 层 拥有更高的安全性。 

1.1 IPSec（Internet Protocol Security）安全性机制

IPSec 是一种开放标准的框架结构，通过使用加密的安 全服务以确保在 Internet 协议网络层上进行保密而安全的通 讯。IPSec 的安全特性属于 IPv6 协议的外在安全特性，作为 一种协议套件它可以“无缝”地为 IP 提供安全保障 [3]。但实 质上可以说 IPSec 对于 IPv4 更像一个补丁程序，而对 IPv6 它 已经被看做是协议整体的一部分。 

IPSec 的结构体系包括 3 部分 ： 

（1）AH（Authentication Header）身份验证协议，为数据 包提供身份验证功能。 

（2）ESP（Encapsulated Security Payload）安全载荷协议， 为数据包提供加密保证防止篡改。 

（3）IKE（Internet Key Exchange）密钥交换协议，为数 据包交流安全提供保障。 

这 3 个基本协议用来提供来源认证、数据完整性、数据 机密性和访问控制等保护形式。除此之外，还有密钥管理协 议 ISAKMP（提供共享安全信息）、解释域、算法和策略 [4] 等。 如图 1 所示，IPSec 增强了数据传输的安全性。

1.2 IPv6 特有的安全性 

IPv6 拥有 128 位的地址空间，理论上能提供 2128 －1 个 地址。与 IPv4 不同，IPv6 的子网掩码是 64 位，每一个网段 约有 264 个地址。对于如此巨大的地址空间来说扫描整个子网 需要的时间极其漫长，这就对通过自动扫描来查杀繁殖的网络病毒造成了极大的困难。 

在 IPv4 网络中，每一个 IPv4 地址或者子网都可以分布 在全世界任何一个地方，这种情况使得假冒 IPv4 源地址成为 一件很容易的事，黑客可以使用随机产生的地址来作为攻击 数据包的源地址。与 IPv4 不同，IPv6 是可汇聚、分级的地址 结构，即 IPv6上级互联网供应商可以对自己客户的地址段进 行汇聚，在路由器或者网关设备中对网络流量进行过滤，只 允许客户地址范围内的源地址通过。这样，黑客就不能使用 任意 IP 来假冒源地址，而且能够使跟踪和回溯假冒地址变得 很容易 [5]。

 2 IPv6 的安全缺陷 

与 IPv4 相比，IPv6 在数据保密性、完整性和网络的可 控性及抗攻击性等方面都有了较大改善，一些 IPv4 网络中常 见的攻击在 IPv6 网络中已经失效，但使用证明其仍然存在不少安全问题。

 2.1 来自非网络层的攻击

 IPv4 和 IPv6 都是工作在网络层上通过 IP 地址屏蔽底 层不同的物理网络，并对传输层提供服务的协议。与 IPv4 相 比，IPv6 网络中数据包传输的基本机制并没有改变，仍然是 在控制平面学习路由并通过已知的路由信息转发数据包。因此， IPv4 网络中来自除去网络层的其他层面中的攻击在 IPv6 网络 中依然会出现。例如，通过 TCP 中存在的漏洞发动针对网络 路由器的“重启式”攻击，通过伪造 MAC 欺骗数据链路层设 备 [6]，以及 DNS 的安全性、SNMP 的安全性和木马、蠕虫等 都属于这一类。

 2.2 ICMPv6 的缺陷

 ICMPv6[7] 即互联网控制信息协议版本 6，它包括了 IPv4 中的 IMCP 功能 和 ARP 功能， 是 IPv6 的 重 要组 成部 分。 IPv6 网络正常工作需要 ICMPv6 协议，不能像 IPv4 网络一般 将其禁用，这就导致 ICMPv6 会被利用产生拒绝服务攻击，以 及伪造其他节点产生诸如超时、不可达和参数错误等信息，从 而影响正常通信。

 2.3 邻居发现协议的漏洞 

邻居发现协议是 IPv6 的基础协议，用来发现同一链路上 的其他节点、进行地址解析和邻居不可达检测等。但利用邻居 发现协议，能够通过发送错误的路由器宣告和错误的重定向 消息，让数据包流向不确定的地方，进而可能出现拒绝服务、 拦截和修改数据包等现象 [8]。

 2.4 无状态地址分配的隐患 

虽然无状态地址分配 [9] 这一技术为合法的网络用户使用 IPv6 网络带来了方便，但无状态地址分配中的地址冲突检测 机制也给网络造成了安全隐患。该协议认为任何自动配置的节 点都是合法节点，新节点只要回复对临时地址进行的邻居请求，请求方就会认为地址已经被使用而放弃该临时地址，这样攻 击者就能顺利地连接到本地网络中。 

2.5 移动 IPv6 的安全问题

 移动 IPv6[10] 中也存在不少安全问题，例如由错误的绑定 信息而引起的拒绝服务攻击、劫持攻击、中间人攻击和假冒攻 击等。

 3 校园网 IPv6 的安全隐患 

IPv4 网络在向 IPv6 网络的过渡过程中一般应用三种过 渡技术，即双协议栈技术、隧道技术和网络地址转换技术。 

3.1 过渡技术分析 

（1）双协议栈技术指的是单个网络节点上既有 IPv4 栈又 有 IPv6 栈，能够同时支持 IPv4 和 IPv6 两种协议，即该节点 不但能与 IPv4 协议节点进行通信，还能与 IPv6 节点进行通信。 这种技术在过渡初期是必须的，它能够解决 IPv4 网络和 IPv6 网络之间的兼容问题，而双协议栈技术也是其他过渡技术的 基础 [10]。 

（2）隧道技术是指将一种协议的报头封装在另一种协议 里面来进行通信。IPv6 隧道就是将 IPv6 数据封装在 IPv4 的 数据报中，等达到另一端后再进行解封。对于过渡过程中出现 的“IPv6 孤岛”，隧道技术能够使它在“IPv4 海洋”中进行通 信，但不能实现 IPv4 节点与 IPv6 节点之间的通信。 

（3）网络地址转换技术在网络层、传输层和应用层上实 现协议之间的转换，能够使纯 IPv4 节点和纯 IPv6 节点之间进 行通信。因其地址和协议都在网络设备上进行转换，不需要进 行升级。

 3.2 校园网 IPv6 过渡技术应用

 长安大学校园网自开始建设至今，用户数已超过 3 万，整 个校园网划分为 3 个子网 ：教学科研及办公区子网、住宅区子 网和学生区子网。学校向 Cernet（中国教育和科研计算机网） 申请的真实地址段总计 48 个 C 类地址段约合 1.2 万个地址。 但真实地址数远远不能满足实际需求，仅学生区子网用户规模 就超过 1.3 万，只能使用私有 IPv4 地址。为解决 IPv4 真实地 址匮乏并与国际互联网技术同步发展，自 2003 年开始国家启 动了中国下一代互联网示范工程“CNGI”项目，我校是其中 的示范应用单位之一。经过几年的建设发展，已建成了独立的 IPv6 子网，搭建了 IPv4 和 IPv6 双协议栈网络及服务器，联 通了教育网的其他高校 IPv6 子网，实现了教育网内部的 IPv6 网络通信。具体做法是在教育网范围内通过独立的光纤链路 直接对 IPv6 资源进行访问，在校园网内部采用双协议栈技术； 主机和路由器同时开启 IPv4 和 IPv6 两种协议，同时获取到 IPv4 和 IPv6 两个网络地址。这样，每一位校园网用户都能同 时访问校园网内外的 IPv4 和 IPv6 资源。

3.3 校园网 IPv6 的安全问题

 双协议栈技术让校园网用户能够同时访问 IPv4 和 IPv6 两种网络资源，在过渡阶段达到 IPv4 网络和 IPv6 网络的兼容， 如图 2 所示。实际运行状态下通过网络管理人员的反馈信息分 析和所进行的安全测试，结合双协议栈技术本身的安全问题， 发现并提出了校园网双协议栈网络可能出现的安全隐患。

（1）在规划 IPv6 网络的时候，若对地址前缀的指定以及 采取依次降序或者升序来分配地址的方法，将使得 IPv6 的地 址实际使用范围大大缩小。其原因在于 IPv6 地址过长，管理 员为了方便记忆经常会给服务器配置比较特殊的 IPv6 地址。 这种做法会造成类似蠕虫或者木马的扫描漏洞程序能够较为 容易地发现网段中的重要服务器，并实施攻击。 

（2）双协议栈路由器以隧道方式通过 IPv4 网络传送 IPv6 包，一旦 IPv4 设备被入侵并激活隧道，攻击者就能够绕过网 络过滤和防御系统，对其他节点进行攻击。 

（3）双协议栈网络的节点都是双栈节点，其结合隧道技 术已解决纯 IPv6 网络中主机与 IPv4 主机的互连问题。双协议 栈网络的网关（即隧道终结点 TEP）保留有主机 IPv4 和 IPv6 地址的映射表，并利用映射表进行 IPv4 包的封装和解封。在 TEP 收到一个携带 IPv4 的 IPv6 数据包时，它会使用包内携 带的 IPv6 和 IPv4 源地址和目的地址，通过动态隧道接口（DTI） 创建一个 IPv4 in IPv6 隧道，如果在部署双协议栈 IPv6 网络 的 TEP 时，TEP 和双协议栈服务器不在同一台主机上，就没 办法检查网关建立的隧道和双协议栈服务器的分配对应关系。 当攻击方使用相同 IPv4 源地址发送 IPv4 in IPv6 数据包，原 有的隧道会被新建立的隧道所取代，这就达成了欺骗攻击的 目的 [11]。 

（4）双协议栈网络同时拥有 IPv4 和 IPv6 两种协议，因 此如果其中任意一种协议遭受到攻击，就会影响整个网络。

 4 相关问题的对策 

由于双协议栈网络两种 IP 协议共存，处于现有网络到新 一代网络技术的过渡时期，因此整个网络环境复杂，对安全 的需求范围更加广泛。为此，结合长安大学校园网 IPv6 在建 设和实际运行中遇到的安全问题，提出相应的对策 ： 

（1）IPv6 地址规划 ：在使用 IPv6 地址的时候，网络管 理员应该将地址段充分利用，扩大地址应用范围。即在配置时减少服务器地址的特殊性，以此来增加扫描类病毒程序的 攻击难度，降低网络安全隐患。 

（2）接入认证 ：首先双协议栈网络用户通过客户端或者 Web 网页等认证方式进行基于 IPv4 协议认证，在用户名、密 码通过后，终端依次启用邻居发现协议 NDP、DHCPv6 来获 得 IPv6 接口地址、网络前缀和 DNS 等参数。

（3）接入控制 ：在双协议栈服务器上应用接入权限控制 策略，允许 IPv6 隧道通过双协议栈服务器认定终端的信息， 禁止其他访问。 

（4）如果隧道终结点和双协议栈服务器不在同一物理设 备上，为防止欺骗攻击，需要应用动态隧道通信协议，这可 通过 IPsec 的 AH 协议来解决。 

（5）对隧道终结点上创建的隧道和双协议栈服务器上的 分配数据进行监控，检查与分配相对应隧道的正确性。 

（6）配置支持 IPv4 和 IPv6 两种协议的防火墙设备，隔 绝类似蠕虫或者木马等程序的端口扫描信息，阻止外部网络 的漏洞攻击，以此保护双协议栈内部网络免遭病毒或者黑客入 侵。

5 结 语

IPv6 作为新一代互联网协议具备地址空间大、报文安全 灵活等特点，但是由于 IPv4 网络基础庞大，从 IPv4 向 IPv6 过渡将是一个非常漫长的过程，在此期间网络安全问题成为 网络管理者需要重点关注并予以解决的问题之一。与 IPv4 相 比，IPv6 虽然在性能和安全机制方面有较大地提升，但并不 代表它就是安全的，病毒、木马、漏洞攻击等手段依旧会对 IPv6 网络造成严重威胁。目前，各高校都在大力开展 IPv6 网 络建设，但针对 IPv6 网络的安全机制还不能满足其发展需要。 本文对校园网 IPv6 网络的安全隐患和安全机制进行了探讨， 由于针对 IPv6 应用的服务器和防火墙在价格和技术方面还不 能满足需求，现阶段只能通过地址规划和接入认证等方法强 化网络安全保障，而实际应用表明并未出现严重的安全问题。

IPv6 网络的发展是大势所趋，IPv6 网络的安全机制研究 也将是一项长期而复杂的工作。