2012年06月08日 09:57通信世界網(wǎng)微博

　　通信世界網(wǎng)(CWW)6月8日消息 近日，在下一代互聯(lián)網(wǎng)發(fā)展建設(shè)峰會(huì)上，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春表示，IPv4/v6過(guò)渡長(zhǎng)期共存將引發(fā)諸多安全隱患，網(wǎng)絡(luò)安全問(wèn)題只有在IPv6大規(guī)模推廣應(yīng)用后，才會(huì)充分暴露出來(lái)。
　　雖然IPv4地址資源緊缺，但到目前為止，IPv6網(wǎng)絡(luò)的發(fā)展還是缺少商業(yè)需求，可以預(yù)見(jiàn)在很長(zhǎng)一段時(shí)間內(nèi)，IPv4與IPv6將共存。同時(shí)，由于IPv6地址的擴(kuò)展、IPv4與IPv6間的非對(duì)稱性、過(guò)渡形式的多樣性等系列問(wèn)題，過(guò)渡期間安全防護(hù)將面臨更為復(fù)雜的形勢(shì)。
　　IPv4向IPv6過(guò)渡期間，采用雙棧和隧道機(jī)制成為主要手段，但攻擊者可以利用雙棧機(jī)制中兩種協(xié)議間存在的安全漏洞或過(guò)渡協(xié)議的問(wèn)題來(lái)逃避安全監(jiān)測(cè)乃至實(shí)施攻擊行為。 對(duì)于隧道機(jī)制而言，它只是對(duì)任何來(lái)源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封，并不對(duì)IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查。因此，造成防火墻可能輕易被“穿透”。
　　目前，我國(guó)正處于IPv6網(wǎng)絡(luò)的推廣階段，尚未真正大規(guī)模商業(yè)化部署。 而IPv6網(wǎng)絡(luò)的安全問(wèn)題將涉及到協(xié)議本身，網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用、新興技術(shù)等多個(gè)方面。雖然已知和已預(yù)測(cè)了一些可能的安全威脅和隱患，但缺乏實(shí)踐的檢驗(yàn)和深入的研究，網(wǎng)絡(luò)中還有大量的安全隱患尚未暴露出來(lái)。
　　“IPv6及其嵌入的IPSec機(jī)制，提供了一種更好的端到終端之間通信的隱私保護(hù)能力，但網(wǎng)絡(luò)層的安全改進(jìn)，仍無(wú)法解決其他層面的諸多安全問(wèn)題，如：應(yīng)用層的安全漏洞、自身協(xié)議的脆弱性、源地址偽造等。 ”
　　專(zhuān)家表示，IPv6自身可能帶來(lái)的多種安全威脅。由于IPv6和IPv4傳輸數(shù)據(jù)報(bào)的基本機(jī)制沒(méi)有發(fā)生改變，IPv4網(wǎng)絡(luò)中除IP層以外的其他四層中出現(xiàn)的攻擊在IPv6網(wǎng)絡(luò)中依然會(huì)存在。 其次，IPv6的地址擴(kuò)展雖然能夠解決網(wǎng)絡(luò)地址的緊缺問(wèn)題，但是它的規(guī)模也為安全檢測(cè)帶來(lái)了難題，如海量地址的查詢變得更加復(fù)雜。這使得安全防護(hù)面臨挑戰(zhàn)。
　　同時(shí)，IPv6協(xié)議本身存在著安全隱患，攻擊者可能利用IPv6報(bào)文的擴(kuò)展報(bào)頭(可選且有多種擴(kuò)展報(bào)頭) ，通過(guò)自制畸形(違背IPv6標(biāo)準(zhǔn)報(bào)文格式)或者特定格式的惡意數(shù)據(jù)包來(lái)攻擊路由器和主機(jī)。
　　其次，攻擊者還可能利用鄰居發(fā)現(xiàn)協(xié)議發(fā)送錯(cuò)誤的路由器宣告和重定向消息等讓IP數(shù)據(jù)流向不確定的方向，進(jìn)而達(dá)到拒絕服務(wù)、攔截和修改數(shù)據(jù)的目的，而無(wú)狀態(tài)地址自動(dòng)分配可能使非授權(quán)用戶可以更容易的接入和使用網(wǎng)絡(luò)。
　　未來(lái)，移動(dòng)智能終端數(shù)量不斷增加，大量移動(dòng)終端對(duì)IPv6的地址分配和管理將是一個(gè)龐大而復(fù)雜的工程。 同時(shí)終端安全問(wèn)題為IPv6的安全策略制定、網(wǎng)絡(luò)安全監(jiān)管等帶來(lái)新挑戰(zhàn)。
　　云曉春表示，全球缺乏對(duì)IPv6環(huán)境下網(wǎng)絡(luò)安全威脅的有效分析和防護(hù)手段，現(xiàn)有國(guó)家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、安全防護(hù)設(shè)備和防護(hù)手段尚不能完全處理IPv6網(wǎng)絡(luò)安全問(wèn)題。特別指出的是，銀行、電力、稅務(wù)等國(guó)家重要行業(yè)部門(mén)尚未建立對(duì)IPv6網(wǎng)絡(luò)安全防護(hù)的手段。
　　“應(yīng)盡早建立健全I(xiàn)Pv6安全防護(hù)體系，加快信息安全產(chǎn)品研制和商業(yè)化推廣，加大對(duì)IPv6安全威脅和防護(hù)技術(shù)研究投入”，云曉春表示，解決IPv6安全問(wèn)題，需要政府、安全企業(yè)、安全組織、科研機(jī)構(gòu)和高校的共同努力。(文/趙宇)