计算机网络资料：ipv6与网络安全.pdf

IPv6与网络安全

2017年11月26日，中共中央办公厅、国务院办公厅联合印发了《推进互

联网协议第六I（Pv6）规模部署行动计划》，指出IPv6是互联网演进升级的

必然趋势、技术产业创新的重大契机和网络安全能力强化的迫切需要，提出了全

面部署IPv6的R标和时间表及行动方案。本文着重讨论IPv6给网络安全带来的

机遇与挑战。

一、IPsec不会成为推广IPv6的障碍

在IPv6的早期标准中要求使用IPsec协议对网络层IP包中用户信息进行加

密，本意是保证用户通信隐私，但不良信息也可借IPsec而隐藏，给对非法内容

的监管带来麻烦，因此IPsec成为发展IPv6的心病。

事实上IPsec不是为IPv6而专设的，在IETF标准中IPsec协议本早于IPv6

首个标准而发布,IPsec也适用于IPv4。而且其他加密手段的使用已经淡化了IPsec

的影响，广泛使用的VPN就是加密的通道，在网络层之上的TLS/SSL也是加密

协议，https相对http就是加密的网页，这些在IPv4环境下己经存在。

另外，虽然目前几乎所有主流的操作系统都支持IPsec,但IPsec是无法默认

就能使用的，需要可信的第三方签发证书或者手工静态配置共享密钥，由于密钥

管理的复杂性，实际的使用者很少。而且仅在网络层的加密仍无法解决自身协议

的脆弱性和应用层的安全漏洞等问题，现实网络开放环境中节点间的通信更多地

采用上层更为灵活的TLS或SSL协议来实现加密，与TLS在全世界的普遍使用

相比，IPsec的加密流量几乎可以忽略不计。在IETF的标准RFC3552中承认，

上层应用的开发者不能把安全寄希望于网络层的IPsec,因为它很少部署。

IPsec曾经被作为IPv6网络节点的强制要求，但在TLS/SSL加密协议现后

IPsec就不再是不可替代的，从2011年发布RFC64343以后，对IPv6网络节点

的实现也不再强制要求必须支持IPsecTo因此IPsec并非IPv6的挛生体，IPv6

与IPv4相比并不因为P【sec而增加新的网络及信息安全风险。

二、IPv6的海量地址为网络安全提供了溯源的手段

在IPv4体制下互联网对上网用户临时动态分配地址，地址与用户身份并没

有确定的对应关系，无从谈起溯源，后来虽然认设到安全的重要性，但IPv4地

址资源紧张，也不可能为用户固定分配地址。由于IPv4地址的不足，导致私有

地址大量使用，NAT地（址翻译）破坏了端对端的透明性，给网络安全事件溯源

带来了困难，假冒地址横行，网络攻击等安全事件泛滥。另外，由于历史原因，

我国境内IPv4地址资源的申请也存在极大的不确定性，而且IPv4地址资源极为

有限也没有余地对IPv4地址进行有效的统一规划和管理，无法将公共服务IPv4

与普通上网用户的IPv4地址分区设置，也无法从地址中区分服务类型。

IPv6海量的地址为固定分配地址和建立上网实名制奠定了基础，在IPv6地

址中通过算法嵌入可扩展的用户网络身份标识信息，与真实用户的身份关联，可

构建IPv6地址生成、管理、分配和溯源的一体化IPv6地址管理和溯源系统，实

现了与自治域相关联的IP地址前缀级粒度的真实源地址验证.另外，IPv6充足

的地址空间可严格按照区域和业务类型甚至用户类型进行地址分配，可以实现对

特定IP地址溯源、按业务类型精细服务，或对特定服务类型进行区域管理、精

细化监控与安全侦测及防护等，这种基于IP地址对网络流量的控制与安全管理

效率高成本低。美国平均每个网民拥有6个IPv4地址，但美国政府为了反恐而

看重对1P地址的可溯源能力，因而也积极推动IPv6的部。

IPv6海量的地址空间可有效防止通过地址扫描的攻击。众所周知，网络攻

击者通过地址扫描识别