IPv6网络存在的安全隐患

　　IPv4向IPv6过渡技术的隐患

　　在IPv4到IPv6网络演进过程中，主要应解决两类问题：1. IPv6孤岛互通技术：实现IPv6网络与IPv6网络的互通问题;2. IPv6与IPv4互通技术。实现两个不同网络之间互相访问资源。对此，目前已经推出了16种过渡技术，其中最基本的过渡技术包括双栈技术和隧道技术。

　　双协议栈会带来新的安全问题，对于同时支持IPv4和IPv6的主机，黑客可以同时用两种协议进行协调攻击，发现两种协议中存在的安全弱点和漏洞，或者利用两种协议版本中安全设备的协调不足来逃避检测。而且双协议栈中一种协议的漏洞会影响另一种协议的正常工作。由于隧道机制对任何来源的数据包只进行简单的封装和解封，而不对IPv4和IPv6地址的关系做严格的检查，所以隧道机制的引入，会给网络安全带来更复杂的问题，也较多的出现安全隐患。

　　IPv6中组播技术缺陷的隐患

　　组播报文是通过UDP(用户数据报协议)进行传输的，所以它缺乏TCP(传输控制协议)所提供的可靠传输的功能。组播的开放性使通信数据缺乏机密性和完整性的安全保护，而IPv6组播所需的MLD等组播维护协议不能满足安全的需要。IP 组播使用UDP，任何主机都可以向某个组播地址发送UDP包，并且低层组播机构将传送这些UDP包到所有组成员。由于在IPv6组播通信中，任何成员都可以利用MLD报文请求临近的路由加入组播群组，组播加入成员的约束机制很匮乏，无法保证通信的机密性，因此，对机密数据的窃听将非常容易。

　　无状态地址自动配置的隐患

　　通过ND协议实现IPv6节点无状态地址自动配置，实现了IPv6节点的即插即用，具有IPv6联网的易用性和地址管理的方便性。同时也带来了一些安全隐患：首先，对路由器发现机制，主要是通过路由器RA报文来实现。恶意主机可以假冒合法路由器发送伪造的RA报文，在RA报文中修改默认路由器为高优先级，使IPv6节点在自己的默认路由器列表中选择恶意主机为缺省网关，从而达到中间人攻击的目的。其次，对重复地址检测机制，IPv6节点在无状态自动配置链路本地或全局单播地址的时候，需先设置地址为临时状态，然后发送NS报文进行DAD检测，恶意主机这时可以针对NS请求报文发送假冒的NA响应报文，使IPv6节点的DAD检测不成功，从而使IPv6节点停止地址的自动配置过程。最后，针对前缀重新编址机制，恶意主机通过发送假冒的RA通告，从而造成网络访问的中断。

　　邻居发现协议的隐患

　　在自动地址配置中, 邻居发现协议(NDP)是基于IP的协议结构，用来完成邻居可达性检测、链路地址解析、路由及网络前缀发现、流量重定向和DOA检测等链路机制。报文身份的可鉴别性是NDP协议的主要安全需求，而哄骗报文攻击是其所而临的主要安全威胁。攻击者只要仿造节点不可达信息和重复地址检测，进行DoS攻击，或者传播虚假的路由响应和重定向报文，就能诱骗网络流量。

　　IPv6中PKI管理系统的隐患

　　IPv6网络管理中PKI管理是一个悬而未决的问题，必须要首先考虑PKI系统本身的安全性。在应用上存在一些需要解决的主要问题: 必须解决数字设备证书与密钥管理问题;IPv6网络的用户数量庞大，设备规模巨大，证书注册、更新、存储、查询等操作频繁，于是要求PKI能够满足高访问量的快速响应并提供及时的状态查询服务;IPv6中认证实体规模巨大，单纯依靠管理员手工管理将不能适应现实需求，同时为了保障企业中其他服务器的安全，要制定严格而合理的访问控制策略，来掌控各类用户对PKI系统和其他服务器的访问。