在互聯(lián)網(wǎng)的不斷發(fā)展的過(guò)程中，折射出更為突出的安全問題?，F(xiàn)在，IPv6的商用，給我們帶來(lái)了更為嚴(yán)峻的安全問題。IPv6安全問題，是否能是我們完全放心地使用互聯(lián)網(wǎng)呢？這里，筆者認(rèn)為，不管是哪個(gè)時(shí)代，哪個(gè)領(lǐng)域安全問題永遠(yuǎn)是不滅的話題。

IPv6安全問題

IPv6能徹底解決互聯(lián)網(wǎng)中的安全問題嗎？

原來(lái)的互聯(lián)網(wǎng)安全機(jī)制只建立于應(yīng)用程序級(jí)，如E-mail加密、SNMPv2網(wǎng)絡(luò)管理安全、接入安全（HTTP、SSL）等，無(wú)法從IP層來(lái)保證Internet的安全。為了加強(qiáng)互聯(lián)網(wǎng)的安全性，從1995年開始，IETF著手研究制定了一套IP安全（IP Security，IPSec）協(xié)議用于保護(hù)IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性機(jī)制，它是IPv6的一個(gè)組成部分，也是IPv4的一個(gè)可選擴(kuò)展協(xié)議。通過(guò)集成IPSec，IPv6實(shí)現(xiàn)了IP級(jí)的安全。IPSec提供如下安全性服務(wù)：訪問控制、無(wú)連接的完整性、數(shù)據(jù)源身份認(rèn)證、防御包重傳攻擊、保密、有限的業(yè)務(wù)流保密性。

IPSec的認(rèn)證報(bào)頭（Authentication Header，AH，RFC2402中描述）協(xié)議定義了認(rèn)證的應(yīng)用方法，封裝安全負(fù)載（Encapsulating Security Payload，ESP，RFC2406中描述）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。IPSec安全性服務(wù)完全通過(guò)AH和ESP頭相結(jié)合的機(jī)制來(lái)提供，當(dāng)然還要有正確的相關(guān)密鑰管理協(xié)議。在實(shí)際進(jìn)行IP通信時(shí)，可以根據(jù)安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。

IPv6實(shí)質(zhì)上不會(huì)比IPv4更加安全。IPv6標(biāo)準(zhǔn)的起草者、思科總部的兩位“杰出網(wǎng)絡(luò)技術(shù)領(lǐng)袖”Fred Baker和 Tony Hain認(rèn)為IPv6從根本上來(lái)說(shuō)，只是IP地址改變的協(xié)議包，并不能解決現(xiàn)在的互聯(lián)網(wǎng)協(xié)議IPv4中的安全問題。但是由于IPSec提供的端到端安全性的兩個(gè)基本組件——認(rèn)證和加密——都是IPv6協(xié)議的必備組件，而在IPv4中，它們只是可選組件，因此，采用IPv6，安全性會(huì)更加簡(jiǎn)便、一致。更重要的是，IPv6使我們有機(jī)會(huì)在將網(wǎng)絡(luò)轉(zhuǎn)換到這種新型協(xié)議的同時(shí)發(fā)展端到端安全性。

為解決IPv6安全問題，傳統(tǒng)的安全設(shè)備需要做那些改進(jìn)？

IPv6網(wǎng)絡(luò)中仍需要使用防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的安全設(shè)備，但由于IPv6的一些新特點(diǎn)，IPv4網(wǎng)中現(xiàn)有的這些安全設(shè)備在IPv6網(wǎng)中不能直接使用，還需要做些改進(jìn)：

防火墻的設(shè)計(jì)

由于IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的改變，所以原來(lái)的防火墻產(chǎn)品在IPv6網(wǎng)絡(luò)上不能直接使用，必須做一些改進(jìn)。針對(duì)IPv6的Socket套接口函數(shù)已經(jīng)在RFC3493：Basic Socket Interface Extensions for IPv6中定義，以前的應(yīng)用程序都必須參考新的API做相應(yīng)的改動(dòng)。

IPv4中防火墻過(guò)濾的依據(jù)是IP地址和TCP/UDP端口號(hào)。IPv4中IP頭部和TCP頭部是緊接在一起的，而且其長(zhǎng)度是固定的，所以防火墻很容易找到頭部，并應(yīng)用相應(yīng)的策略。然而在IPv6中TCP/UDP報(bào)頭的位置有了根本的變化，它們不再是緊連在一起的，通常中間還間隔有其他的擴(kuò)展頭部，如路由選項(xiàng)頭部，AH/ESP頭部等。防火墻必須讀懂整個(gè)數(shù)據(jù)包才能進(jìn)行過(guò)濾操作，這對(duì)防火墻的處理性能會(huì)有很大的影響。

入侵檢測(cè)系統(tǒng)（IDS）的設(shè)計(jì)

在IPv6安全問題下也使我們不得不放棄以往的網(wǎng)絡(luò)監(jiān)控技術(shù)，投身一個(gè)全新的研究領(lǐng)域。首先，IDS產(chǎn)品同防火墻一樣，在IPv6下不能直接運(yùn)行，還要做相應(yīng)的修改。其次，IDS的工作原理實(shí)際上是一個(gè)監(jiān)聽器，接收網(wǎng)段上的所有數(shù)據(jù)包，并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)攻擊，并實(shí)施相應(yīng)的報(bào)警措施。但是，如果使用傳輸模式進(jìn)行端到端的加密，IDS就無(wú)法工作，因?yàn)樗邮盏氖羌用艿臄?shù)據(jù)包，無(wú)法理解。當(dāng)然，解決方案之一是讓IDS能對(duì)這些數(shù)據(jù)包進(jìn)行解密，但這樣勢(shì)必會(huì)帶來(lái)新的安全問題。同時(shí)IPv6的可靠性是否如最初所設(shè)想的那樣，也有待時(shí)間的考驗(yàn)。

由于IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來(lái)網(wǎng)絡(luò)上的數(shù)據(jù)通訊的保密性將會(huì)越來(lái)越強(qiáng)，這使網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)引擎也面臨在多種不同平臺(tái)如何部署的問題。這就需要研究IDS新的部署方式，再下一步，研究如何才能在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)。