原理和特征发生明显变化的安全问题主要包括以下几个方面。

　　侦察

　　侦察是一种基础的网络攻击方式，也是很多其他网络攻击方式的初始步骤。网络的攻击者试图获得关于被攻击网络地址、服务、应用等等各个方面尽可能多的信息。

　　与IPv4协议下通常仅仅是28的子网地址空间相比，IPv6协议的默认子网地址空间是264，这是一个十分庞大的天文数字。据计算，在一个拥有一万个主机的IPv6子网中，假设地址随机均匀分布，以一百万次每秒的速度扫描，发现第一个主机所需要的时间的均值超过28年。

　　不过攻击者还是可以通过运用一些策略，简化和加快子网扫描。例如通过DNS发现主机地址；猜测管理员经常采用的一些简单的地址；由于站点地址通常采用网卡地址，可以用厂商的网卡地址范围缩小扫描空间；攻破DNS或路由器，读取其缓存信息；以及利用新的组播地址，如所有路由器(FF05::2)、所有DHCP 服务器(FF05::1:3)。

　　非授权访问

　　与IPv4下的情况类似，IPv6下的访问控制同样依赖防火墙或者路由器访问控制表(ACL)等控制策略，根据地址、端口等信息实施控制。

　　对于地址转换型防火墙，它使外网的机器看不到被保护主机的IP地址，使防火墙内部的机器免受攻击，但是地址转换技术(NAT)和IPSec在功能上不匹配，因此在IPv6环境下，很难穿越地址转换型防火墙利用IPSec进行通信。

　　对于包过滤型防火墙，如果使用IPSec的ESP，3层以上的信息不可见，控制就更为困难了。

　　此外，对于ICMP消息的控制需要更加小心，因为ICMPv6对IPv6至关重要，如MTU发现、自动配置、重复地址检测等。

　　分组头部和分段信息的篡改

　　在IPv4网络中，网络设备和端系统都可以对分组进行分片，分片攻击通常用于两种情况，一类是利用分片逃避网络监控设备，如防火墙和IDS;另一类是直接利用网络设备中协议栈实现的漏洞，利用错误的分片分组头部信息直接对网络设备发动攻击。

　　IPv6网络中，中间设备不再进行分片，由于多个IPv6扩展头的存在，防火墙很难计算有效数据报的最小尺寸，同时还存在传输层协议报头不在第一个分片分组内的可能，这使得网络监控设备如果不对分片进行重组就无法实施基于端口信息的访问控制策略。

　　源地址伪造

　　在IPv4网络中，源地址伪造的攻击非常普遍，例如SYN Flooding、UDP Flood Smurf等攻击。对于这类攻击的防范主要有两类方法：一类是基于事前预防的过滤类方法，代表有准入过滤(Ingress Filtering)等；另一类是基于事后追查的回溯类方法，代表有ICMP回溯和分组标记等。这些方案都存在部署困难的缺陷，而由于网络地址转换(NAT)的存在，攻击发生后的追踪尤其困难。

　　在IPv6 网络中，一方面由于地址汇聚，准入过滤(Ingress Filtering) 等过滤类的方法实现会更简单，负载更小；另一方面由于少有网络地址的转换，追踪更容易。但是, 因为要从IPv4向IPv6过渡，如何防止伪造源地址的分组穿越隧道(Tunnel)成为一个重要的问题。

　　IPv6安全研究现状与趋势

　　目前，“安全”和“信任”已经成为国内外下一代互联网体系结构研究重点关注的领域之一。

　　美国100多所大学和企业于1996年底联合发起的Internet2研究计划，其目的是利用现有的网络技术来探索高速信息网络环境下新一代网络应用，同时力图发现现有网络体系结构理论的缺陷和不适应部分。在Internet2所提出的下一代网络的体系结构中，中间件(Middleware)是在网络和应用之间，为各种应用系统提供的一组公共的服务，其中主要是安全服务。目前，I2-MI(Internet2 Middleware Initiative)正开始在Internet2上研究和部署网络核心中间件，划分为识别、认证、授权、目录、和PKI五个方面的安全服务。不过，在网络层，Internet2还没有从体系结构的角度对网络层的安全服务和安全机制开展相应的研究。

　　美国南加州大学信息科学研究所，麻省理工学院计算机科学实验室等单位共同进行了新一代Internet体系结构研究项目——NewArch。在该项目最近的技术报告中提出了下一代互联网体系结构设计的“信任调节的透明性”(trust-modulated transparency)原则。他们的研究认为：新一代互联网，需要把现实社会中的信任关系映射到网络。基于交互用户双方的信任需求声明，网络可以提供一定范围的服务，如果双方完全信任，那么他们的交互是透明、无约束的，如果双方是不完全信任的，那么他们的交互需要被检查、过滤和约束。身份认证和其部署是实现“信任调节的透明性”的关键。

　　在我国，863项目，973项目中都有对下一代互联网安全体系结构研究的重要支持。

　　现有互联网设计之初缺乏完整的安全体系结构考虑，现有的安全技术大多是在现有互联网体系结构上进行修修补补的单元安全技术。而网络设备不对转发分组的源地址的真实性进行验证是现有安全攻击追踪困难、代价极低、安全服务难于实现的重要原因。

　　基于IPv6技术的下一代互联网的研究和建设，为我们从体系结构角度根本解决互联网的安全问题提供了机遇：一方面，IPv6协议具有巨大的地址空间，可以实现更好的分层地址聚类，这为所有网络终端使用真实IP地址接入提供了有利条件；另一方面，下一代互联网的建设为新的网络体系结构和网络技术的部署和应用提供了机会和平台。

　　依托下一代互联网的研究和建设，在网络基础设施的层次实现全网的真实IP地址访问，在网络安全服务层实现可信任的安全服务中间件，进而支持新的安全可信的互联网应用，从体系结构这个最根本的角度解决互联网的安全问题，是下一代互联网安全研究的方向。

　　(作者单位为清华大学信息网络工程研究中心)