构建IPV6新一代网络安全架构

龙源期刊网 https://www.wendangku.net/doc/3912360653.html,

构建IPV6新一代网络安全架构

作者：夏飞

来源：《硅谷》2014年第21期

摘 ;要 ;网络安全变得至关重要，如今在IPV6取代IPV4的趋势下，IPv6的地址数量将极

大扩充原有IPv4地址，并相对减轻IPV4漏洞和威胁。IPV6的协议本身相关特性也极大的降

低网络的安全隐患。本文介绍了IPV6的三方面内容：首先，简要介绍了新的IPV6协议的能力;其次，分析这些功能带来的安全漏洞;最后，全新的IPV6网络模型如何减少上述漏洞。

关键词 ;IPV6协议;安全漏洞;安全模型;信任区域;边界安全

中图分类号：TP393 ; ; ;文献标识码：A ; ; ;文章编号：1671-7597（2014）21-0026-02

1 ;IPV6的安全漏洞

由于历史原因，大部分的漏洞在IPv4和IPv6之间都很常见，IPV6相对于IPV4，有以下两点重要的变化。

1）IPV6使用128位地址空间，而IPV4使用32位地址空间。网络设备不在对IPv6数据包分片及重新组合，所有数据包分片和重组将由发送方和接收方主机执行。

2）新型即插即用类型功能，即自动配置IPv6地址，减少手动配置带来的负担，这些变化意味着网络控制管理协议（ICMP）是必须的。IPv6数据包必须包括6个扩展标题：hop-by-hop选项、目的地选项、路由报头片段，验证，封装安全有效载荷（ESP）报头。

这些变化在为IPv6保证网络基础安全的同时，也给网络带来了新型的安全漏洞，总结如下。

1）HOP-BY-HOP选项。

漏洞一：hop-by-hop选项包头能包含任意数量的跳数信息，攻击者可以使用攻击手段让下一跳信息无效，在这种情况下ICMP协议就会将报错信息发布给发送者。攻击者可以让路由器泛洪这些错误的数据包。

漏洞二： hop-by-hop选项包头有两个特别选项Pad1 和PadN选，但是这些选项的中间填充字节必须为零。

①Pad1：插入一个填充字节，Option Type字段值为0，没有Option Data Len字段和Option Data字段。