IPv6网络建设现状及安全性分析

陈志东 张博 中国传媒大学

摘要：本文以介绍当今IPv6发展的现状为出发点，对一些常见的过渡方案的安全性进行分析，评估新协议的一些潜在的安全威胁，最后进行总结并提供一些防护性建议。

关键词：IPv6 网络建设 安全分析

1 IPv6介绍IPv6（Internet Protocol version 6）是一种新版本的互联网协议，早期由互联网工程任务组专门提出用来应对IPv4的不足。IPv4地址长度为32位，其所能提供的最大地址数为232。随着互联网技术的不断发展，这样的地址数量已经不能满足当前IP地址的需求，如果不采取有效的措施，势必会对网络建设形成阻碍。IPv6的出现能够让全球从容应对上一版IP协议引发的问题，无疑对互联网的发展起着很大的促进作用。

[1]

中继，让网络地址管理更加集中。

（6）IPv6协议面向未来，允许对其进一步扩充，从而丰富新功能以适应未来发展。

型和流标记字段，且两者。

（3）IPv4中用来数据分片的三个字段，即数据报ID、标记、标记位移，在IPv6中已经不存在。

（4）IPv4中后续的TCP和UDP等协议报文中均包含有报头校验和字段，而IPv6取消了报头校验和字段。

1.2 IPv6与IPv4报文之间的对比IPv6的报文结构并不复杂，可以分为三个部分：IPv6报头、扩展报头和上层协议数据。其中IPv6报头是必需的，主要包含了报文转发的基础信息。扩展报头为可选结构，数量自定，可以用来实现多种协议功能。上层协议数据单元携带了上层协议的报头以及一些有效的数据载荷。

通过对比和分析，可以发现两者的差别主要有四点。

（1）IPv6基本的报头已经不再使用报头长度字段，简化了数据长度计算，数据净荷的长度仅使用一个字段来表示。

（2）IPv4中的服务质量和数据报长度字段在IPv6中被扩展成为流量类

2 IPv6现状及未来发展互联网工程任务组于1992年提出了关于建设下一代互联网的建议并专门组织相关领域的研究。到1996年，定义了IPv6的文件发表，之后互联网

IPv4和IPv6报头格式如图1所示，发展迎来了IPv4和IPv6共存的时代。

截至2017年，全球包括美国、法国、日本等16个国家都完成了IPv6服务器的建设，、在2017年年底颁发《推进互联网协议第六版（IPv6）规模部署行动计划》，计划表示要加强实施LTE网络端到端的IPv6改造，加快固定网络基础设施和应用基础设施IPv6改造，规划在

1.1 IPv6的特点及优势

（1）地址长度达到128位，拥有海量的IP地址，能够满足全球各个国家的地址分配。

（2）对报文头部的格式进行了简化，采用了7个字段，报文转发速度加快。另外采用扩展头部，更加灵活。

（3）路由表变得更小，数据包转发更快，并支持多样的服务类型。

（4）取消了广播，定义了单播、组播、任意播三种地址类型。增加了流的支持，有利于网络媒体应用的发展。（5）改进了DHCP协议。无状态地址自动配置（SLAAC）不需要服务器进行地址管理就可实现自动配置，而DHCPv6包括了客户端、服务器、

图1 IPv4和IPv6报头格式

38

《有线电视技术》 2018年第6期 总第342期

《有线电视技术》 2018年第6期 总第342期

技术图2 2017全球IPv6使用率排名前五的国家

图3 双栈网络结构图

图4 隧道结构图

2018年我国能实现IPv6活跃用户达到务，中国移动从2010年在河南省启动2亿且2020年达到5亿的目标，在未首个IPv6现网试点之后，承担了国家来几年努力把中国建设成为IPv6规模的重大专项，在2014年实现了LTE终全球第一的国家。

端的突破，完成了IPv6的进一步升级。放眼2017世界各国的IPv6使用2018年初，中国移动VoLTE用户数已率，排在前五位的国家分别为比利时、经达到了2亿的规模，而且语音通信使印度、德国、美国、希腊，如图2所用了纯IPv6。中国联通也在积极引导示。其中，印度这个13亿多人口的国用户使用IPv6，大力推进基础设施改家IPv6用户数达到了2亿多，是目前使用人口数最多的国家[2]。

进，实现IPv6迁移服务，使得网络完从《2017年IPv6支持度报告》中全具备IPv6能力。中国电信已经全面可知，中国互联网用户总数达到8亿，落实我国的IPv6部署计划，目前活跃但是IPv6用户仅有2百多万，比例仅用户已经达到了1000万，并在网络建为0.38%。在迎接下一代互联网的路上，设方面支持、媒体等国家重点中国还要加快步伐。当前全球的IPv6部门。当前世界支持IPv6的网站数量部署工作已经大力展开，中国也在这样在增长，我国各类网站的IPv6建设也的环境下做好了充分的准备，很多设备应该提上日程。谷歌、雅虎、厂商开始大量生产支持IPv6的网络设等大型网站都已经永久提供IPv6服务，备，我国交换机、路由器、网关设备在而我国只有腾讯网有稳定的IPv6访问所有网络设备中已经处于领先地位。移地址。因此，网站的IPv6访问服务也动运营商开始扩大移动网络的功能业是未来发展目标之一。·IPv6网络建设专题·

前沿3 IPv6安全性分析3.1 过渡技术安全考虑

整个互联网完全使用IPv6还需要一定的时间，所以在未来一段时间IPv4和IPv6将继续共存，未来IPv4将被逐渐淘汰。IPv4过渡到IPv6已经确定了三种主要的机制，包括：双栈、隧道和翻译技术[3]。实现IPv4和IPv6协议之间的平滑过渡是有必要的，否则互联网将会有潜在的风险。IPv6的本质是用来改进IPv4，但是这两种协议之间的差异性导致两者无法直接管理或接受对方，目前公司仍然需要投资开发有效的过渡技术使产品保持顺利运作。（1）双栈

双栈技术是引入IPv6最直接的方案，要求主机和路由器能够实现IPv4

和IPv6协议，即允许双IP层路由主干的IPv4和IPv6共存，如图3所示。目前很多系统支持双栈技术，但是在安全策略方面，双栈技术还不成熟，这样的方案为同时攻击两种IP协议提供了机会。

（2）隧道

隧道有助于跨IPv4和IPv6网络主机之间的通信，在IPv4网络的边界均部署了两个隧道的端点，通过IPv4网络提供IPv6数据包，在隧道端点从IPv6网络接收到分组时，分组随后被封装在IPv4协议包头中，且整个IPv6分组被包括在新的IPv4分组的有效载荷中，最后进行网络转发，到达另一端点后将其解封装，将原来的IPv6分组提取转发到IPv6网络。隧道结构图如图4所示。然而隧道使防火墙或者反欺骗过滤器等安全措施变得复杂起来，且很多安全威胁是因为封装数据包产生的，在解封装数据包过程中为攻击者提供

39

技术·IPv6网络建设专题·前沿了多个窗口向目标发送欺骗数据包。而且隧道没有特定的隧道验证机制，在某些情况下必须手动配置，单点故障问题经常出现。

（3）翻译

（5）路由协议攻击。IPv6路由协议的转移和使用其他网络协议一样，需要对防火墙进行重新配置。

（6）大地址空间漏洞和组播安全对一些不需要IPv6的网络服务进行禁止。为了防止扩展头攻击漏洞，所以，要对报文的统一扩展头的数量进行。（3）需要考虑网络架构中涉及漏洞。其中，组播通过UDP进行传输，到的设备的选择，熟知对安全漏洞的

翻译技术分为有状态翻译和无状没有可靠的安全传输性能。IPv6的组态翻译，用来解决地址映射和协议翻播维护协议并不能提供安全保证，可译的问题。基本的IPv4和IPv6数据包能导致数据窃听。

转换涉及到网络、传输和端口地址转（7）邻居发现和请求安全考虑。换。这种技术总体上难以实现端到端邻居发现协议（NDP）基于IP，可以用的安全保证，很容易受到DDoS攻击。来完成解析链路地址和发现路由等任翻译技术结构图如图5所示。

务，但是攻击者可以制造假冒信息进行3.2 IPv6新增的安全漏洞

哄骗报文攻击，从而骗取网络流量。从IPv6本身来讲，其安全性较（8）碎片安全漏洞。IPv6存在的IPv4有所提升。IPv6协议引入认证包漏洞值得所有国家或个体企业慎重考头（AH）、封装安全载荷（ESP）、虑，当前的网络发展需要在新形势下密钥管理协议等机制，增强了可溯源稳步前行，在发展的同时，需要尽可和攻击策略[4]

。但在其他方面，IPv6能完善相关体系来避免攻击的有机可新增了不少新的安全漏洞，主要有以乘。

下八个方面。

3.3 加强IPv6安全性建议

（1）作为网络层协议，无法避免加强部署IPv6是国家的一项重要应用层攻击带来的问题，影响信息的任务，安全性的保证是任务顺利进行的安全传输。

前提。IPv6网络在基础设施层、业务层、（2）针对新协议特点，可能产生应用层中都需要加强防护，每一层的多IPv6地址欺骗或者分片攻击。

个平面需要进一步实行全方位控制管（3）无状态地址自动配置让陌生理。通过对安全漏洞的了解，我们可以用户使用网络变得更加容易，可能带从多角度减少安全漏洞带来的影响。来仿冒攻击。

（1）需要对网络的管理和控制平（4）IPv6扩展头攻击。同一扩展面进行认证，防止陌生的用户随意接头可出现多次，攻击者可以利用异常入，利用地址过滤技术加强IPSec特性，报文实行DOS攻击，在解析报文时，保证各网络平面的安全。

转发性能受到影响。

（2）在各平面中实行白名单策略，图5 翻译技术结构图

40

《有线电视技术》 2018年第6期 总第342期

检测方法，遵守安全规范，防止流氓IPv6路由器带来的问题。

（4）为了保护IPv6数据包的安全，使用加密安全服务为数据包提供防篡改保护。同时，通过部署边缘防火墙和入侵检测系统来控制与互联网交换的流量，以防止未经授权的IPv6流量涌入[5]。其他的防护性措施包括：测试协议栈的健康状态、DNS检测、使用CDN技术等都可以有效提高IPv6迁移的安全性。

4 结束语IPv6已经成为全世界的热点，我国计划到2025年IPv6网络规模和用户规模居于世界第一，形成全球领先的产业体系。在响应国家IPv6部署计

划的时期，我们需要清楚了解IPv6的

现状，考虑部署过程中面临的安全风险，推动我国掌控下一代互联网，成为21世纪网络强国。

参考文献

[1]邱凌志,尹魏昕,仲思超.IPv6环境面临的网络安全问题及对策探讨[J].江苏通信,2017,33(2):56-59.

[2]张汉卓.IPv6下一代互联网带来网络安全新机遇[J].信息安全与通信保密,2017(7):32-39.

[3]Ahmed, Amjed Sid, R. Hassan, and N. E. Othman. Security threats for IPv6 transition strategies: A review. International Conference on Engineering Technology and Technopreneuship IEEE, 2015:83-88.

[4]东帆.IPv6安全防护分析[J].计算机与网络,2018(3):16-19.

[5]Dawood, H. A, and K. F. Jassim. Mitigating IPv6 Security Vulnerabilities. International Conference on Advanced Computer Science Applications and Technologies,2013:304-309.CATV