6月8日讯近日,在下一代互联网发展建设峰会上,国家计算机网络应急中心副主任、总工程师云晓春技术协调中心表示,IPv4/v6过渡长期共存会带来诸多安全隐患,网络安全问题只有在IPv6大规模推广应用后才会全面暴露。尽管IPv4地址资源稀缺,但迄今为止,IPv6网络的发展还缺乏商用需求。可以预见,IPv4和IPv6将长期共存。同时,由于IPv6地址的扩容、IPv4与IPv6的不对称性、过渡形式的多样性等一系列问题,过渡时期的安全保护将面临更加复杂的局面。在IPv4向IPv6过渡的过程中,双栈和隧道机制的使用成为主要手段,但攻击者可以利用双栈机制中两种协议之间的安全漏洞或者过渡协议的问题来规避安全监视甚至进行攻击。对于隧道机制,它只是简单地封装和解封装来自任何来源的数据包,并没有严格检查IPv4和IPv6地址之间的关系。因此,由此产生的防火墙可能很容易被“穿透”。目前,我国正处于IPv6网络推广阶段,尚未大规模商用部署。IPv6网络的安全问题将涉及协议本身、网络设备、网络应用、新兴技术等诸多方面。虽然一些可能存在的安全威胁和隐患是已知和预见到的,但由于缺乏实际测试和深入研究,网络中仍有大量隐患没有被暴露出来。“IPv6及其内嵌的IPSec机制为端到端的通信提供了更好的隐私保护能力,但是网络层的安全提升仍然无法解决其他层面的很多安全问题,比如:应用层的安全漏洞,其自身协议的漏洞、源地址伪造等。”专家表示,IPv6本身可能会带来各种安全威胁,由于IPv6和IPv4之间传输数据报的基本机制没有改变,因此发生在IPv4网络中IP层以外的四层的攻击在IPv6网络中仍然存在其次,IPv6的地址扩展虽然可以解决网络地址短缺的问题,但其规模也给安全检测带来困难,比如海量地址的查询变得更加复杂,这给安全防护带来了挑战。IPv6协议本身存在安全隐患,攻击者可能利用IPv6报文的扩展头(可选,有多个扩展头)自制畸形(违反IPv6标准报文格式)或恶意数据包攻击路由器和主机。其次,攻击者还可能利用邻居发现协议发送错误的路由器通告和重定向报文,使IP数据流向不确定的方向,从而达到拒绝服务、拦截和修改数据的目的,无状态自动分配地址可能使非授权用户可以更方便地访问和使用网络。未来,移动智能终端的数量将不断增加,为大量移动终端分配和管理IPv6地址将是一项庞大而复杂的工程。同时,终端安全问题给IPv6安全政策制定和网络安全监管带来了新的挑战。云晓春表示,全球对IPv6环境下的网络安全威胁缺乏有效的分析和防护手段,现有的国家网络安全基础设施、安全防护设备和防护手段无法全面应对IPv6网络安全问题。特别指出,银行、电力、税务等国家重要行业部门尚未建立保护IPv6网络安全的手段。“要尽快建立健全IPv6安全防护体系,加快信息安全产品研发和商用,加大对IPv6安全威胁和防护技术研究的投入。”云小春说。解决IPv6安全问题需要政府、安全公司、安全组织、科研机构和高校的共同努力。(
