近日�,在下一代互聯(lián)網(wǎng)發(fā)展建設(shè)峰會(huì)上�����,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春表示�����,IPv4 v6過(guò)渡長(zhǎng)期共存將引發(fā)諸多安全隱患�,網(wǎng)絡(luò)安全問(wèn)題只有在IPv6大規(guī)模推廣應(yīng)用后,才會(huì)充分暴露出來(lái)�。
近日,在下一代互聯(lián)網(wǎng)發(fā)展建設(shè)峰會(huì)上�����,國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春表示��,IPv4/v6過(guò)渡長(zhǎng)期共存將引發(fā)諸多安全隱患,網(wǎng)絡(luò)安全問(wèn)題只有在IPv6大規(guī)模推廣應(yīng)用后��,才會(huì)充分暴露出來(lái)�����。
雖然IPv4地址資源緊缺���,但到目前為止�����,IPv6網(wǎng)絡(luò)的發(fā)展還是缺少商業(yè)需求���,可以預(yù)見(jiàn)在很長(zhǎng)一段時(shí)間內(nèi),IPv4與IPv6將共存�����。同時(shí)�����,由于IPv6地址的擴(kuò)展�����、IPv4與IPv6間的非對(duì)稱性、過(guò)渡形式的多樣性等系列問(wèn)題�����,過(guò)渡期間安全防護(hù)將面臨更為復(fù)雜的形勢(shì)���。
IPv4向IPv6過(guò)渡期間����,采用雙棧和隧道機(jī)制成為主要手段�,但攻擊者可以利用雙棧機(jī)制中兩種協(xié)議間存在的安全漏洞或過(guò)渡協(xié)議的問(wèn)題來(lái)逃避安全監(jiān)測(cè)乃至實(shí)施攻擊行為���。 對(duì)于隧道機(jī)制而言��,它只是對(duì)任何來(lái)源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封���,并不對(duì)IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查。因此����,造成防火墻可能輕易被穿透�����。
目前�����,我國(guó)正處于IPv6網(wǎng)絡(luò)的推廣階段�����,尚未真正大規(guī)模商業(yè)化部署�����。 而IPv6網(wǎng)絡(luò)的安全問(wèn)題將涉及到協(xié)議本身����,網(wǎng)絡(luò)設(shè)備�、網(wǎng)絡(luò)應(yīng)用、新興技術(shù)等多個(gè)方面�。雖然已知和已預(yù)測(cè)了一些可能的安全威脅和隱患,但缺乏實(shí)踐的檢驗(yàn)和深入的研究����,網(wǎng)絡(luò)中還有大量的安全隱患尚未暴露出來(lái)��。
IPv6及其嵌入的IPSec機(jī)制��,提供了一種更好的端到終端之間通信的隱私保護(hù)能力����,但網(wǎng)絡(luò)層的安全改進(jìn)��,仍無(wú)法解決其他層面的諸多安全問(wèn)題����,如:應(yīng)用層的安全漏洞、自身協(xié)議的脆弱性���、源地址偽造等。
專家表示�,IPv6自身可能帶來(lái)的多種安全威脅。由于IPv6和IPv4傳輸數(shù)據(jù)報(bào)的基本機(jī)制沒(méi)有發(fā)生改變����,IPv4網(wǎng)絡(luò)中除IP層以外的其他四層中出現(xiàn)的攻擊在IPv6網(wǎng)絡(luò)中依然會(huì)存在。 其次����,IPv6的地址擴(kuò)展雖然能夠解決網(wǎng)絡(luò)地址的緊缺問(wèn)題���,但是它的規(guī)模也為安全檢測(cè)帶來(lái)了難題,如海量地址的查詢變得更加復(fù)雜����。這使得安全防護(hù)面臨挑戰(zhàn)。
同時(shí)���,IPv6協(xié)議本身存在著安全隱患�����,攻擊者可能利用IPv6報(bào)文的擴(kuò)展報(bào)頭(可選且有多種擴(kuò)展報(bào)頭) �,通過(guò)自制畸形(違背IPv6標(biāo)準(zhǔn)報(bào)文格式)或者特定格式的惡意數(shù)據(jù)包來(lái)攻擊路由器和主機(jī)��。
其次���,攻擊者還可能利用鄰居發(fā)現(xiàn)協(xié)議發(fā)送錯(cuò)誤的路由器宣告和重定向消息等讓IP數(shù)據(jù)流向不確定的方向�����,進(jìn)而達(dá)到拒絕服務(wù)�����、攔截和修改數(shù)據(jù)的目的��,而無(wú)狀態(tài)地址自動(dòng)分配可能使非授權(quán)用戶可以更容易的接入和使用網(wǎng)絡(luò)�����。
未來(lái)����,移動(dòng)智能終端數(shù)量不斷增加,大量移動(dòng)終端對(duì)IPv6的地址分配和管理將是一個(gè)龐大而復(fù)雜的工程��。 同時(shí)終端安全問(wèn)題為IPv6的安全策略制定���、網(wǎng)絡(luò)安全監(jiān)管等帶來(lái)新挑戰(zhàn)�。
云曉春表示����,全球缺乏對(duì)IPv6環(huán)境下網(wǎng)絡(luò)安全威脅的有效分析和防護(hù)手段��,現(xiàn)有國(guó)家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施��、安全防護(hù)設(shè)備和防護(hù)手段尚不能完全處理IPv6網(wǎng)絡(luò)安全問(wèn)題���。特別指出的是���,銀行���、電力、稅務(wù)等國(guó)家重要行業(yè)部門尚未建立對(duì)IPv6網(wǎng)絡(luò)安全防護(hù)的手段��。
應(yīng)盡早建立健全I(xiàn)Pv6安全防護(hù)體系���,加快信息安全產(chǎn)品研制和商業(yè)化推廣���,加大對(duì)IPv6安全威脅和防護(hù)技術(shù)研究投入,云曉春表示�����,解決IPv6安全問(wèn)題����,需要政府、安全企業(yè)��、安全組織、科研機(jī)構(gòu)和高校的共同努力�。
