2012年06月08日 09:57通信世界網(wǎng)微博

　　通信世界網(wǎng)(CWW)6月8日消息 近日，在下一代互聯(lián)網(wǎng)發(fā)展建設峰會上，國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春表示，IPv4/v6過渡長期共存將引發(fā)諸多安全隱患，網(wǎng)絡安全問題只有在IPv6大規(guī)模推廣應用后，才會充分暴露出來。
　　雖然IPv4地址資源緊缺，但到目前為止，IPv6網(wǎng)絡的發(fā)展還是缺少商業(yè)需求，可以預見在很長一段時間內(nèi)，IPv4與IPv6將共存。同時，由于IPv6地址的擴展、IPv4與IPv6間的非對稱性、過渡形式的多樣性等系列問題，過渡期間安全防護將面臨更為復雜的形勢。
　　IPv4向IPv6過渡期間，采用雙棧和隧道機制成為主要手段，但攻擊者可以利用雙棧機制中兩種協(xié)議間存在的安全漏洞或過渡協(xié)議的問題來逃避安全監(jiān)測乃至實施攻擊行為。 對于隧道機制而言，它只是對任何來源的數(shù)據(jù)包只進行簡單的封裝和解封，并不對IPv4和IPv6地址的關(guān)系做嚴格的檢查。因此，造成防火墻可能輕易被“穿透”。
　　目前，我國正處于IPv6網(wǎng)絡的推廣階段，尚未真正大規(guī)模商業(yè)化部署。 而IPv6網(wǎng)絡的安全問題將涉及到協(xié)議本身，網(wǎng)絡設備、網(wǎng)絡應用、新興技術(shù)等多個方面。雖然已知和已預測了一些可能的安全威脅和隱患，但缺乏實踐的檢驗和深入的研究，網(wǎng)絡中還有大量的安全隱患尚未暴露出來。
　　“IPv6及其嵌入的IPSec機制，提供了一種更好的端到終端之間通信的隱私保護能力，但網(wǎng)絡層的安全改進，仍無法解決其他層面的諸多安全問題，如：應用層的安全漏洞、自身協(xié)議的脆弱性、源地址偽造等。 ”
　　專家表示，IPv6自身可能帶來的多種安全威脅。由于IPv6和IPv4傳輸數(shù)據(jù)報的基本機制沒有發(fā)生改變，IPv4網(wǎng)絡中除IP層以外的其他四層中出現(xiàn)的攻擊在IPv6網(wǎng)絡中依然會存在。 其次，IPv6的地址擴展雖然能夠解決網(wǎng)絡地址的緊缺問題，但是它的規(guī)模也為安全檢測帶來了難題，如海量地址的查詢變得更加復雜。這使得安全防護面臨挑戰(zhàn)。
　　同時，IPv6協(xié)議本身存在著安全隱患，攻擊者可能利用IPv6報文的擴展報頭(可選且有多種擴展報頭) ，通過自制畸形(違背IPv6標準報文格式)或者特定格式的惡意數(shù)據(jù)包來攻擊路由器和主機。
　　其次，攻擊者還可能利用鄰居發(fā)現(xiàn)協(xié)議發(fā)送錯誤的路由器宣告和重定向消息等讓IP數(shù)據(jù)流向不確定的方向，進而達到拒絕服務、攔截和修改數(shù)據(jù)的目的，而無狀態(tài)地址自動分配可能使非授權(quán)用戶可以更容易的接入和使用網(wǎng)絡。
　　未來，移動智能終端數(shù)量不斷增加，大量移動終端對IPv6的地址分配和管理將是一個龐大而復雜的工程。 同時終端安全問題為IPv6的安全策略制定、網(wǎng)絡安全監(jiān)管等帶來新挑戰(zhàn)。
　　云曉春表示，全球缺乏對IPv6環(huán)境下網(wǎng)絡安全威脅的有效分析和防護手段，現(xiàn)有國家網(wǎng)絡安全基礎設施、安全防護設備和防護手段尚不能完全處理IPv6網(wǎng)絡安全問題。特別指出的是，銀行、電力、稅務等國家重要行業(yè)部門尚未建立對IPv6網(wǎng)絡安全防護的手段。
　　“應盡早建立健全IPv6安全防護體系，加快信息安全產(chǎn)品研制和商業(yè)化推廣，加大對IPv6安全威脅和防護技術(shù)研究投入”，云曉春表示，解決IPv6安全問題，需要政府、安全企業(yè)、安全組織、科研機構(gòu)和高校的共同努力。(文/趙宇)