小编精心整理了《IPV6网络安全协议机制论文(精选3篇)》的相关内容,希望能给你带来帮助!摘要:网络地址转换(NAT)与网络安全协议(IPSec)都是在因特网上得到广泛应用的优秀技术,但由于目前IPSec和NAT技术的不兼容,使得这两种优秀的技术无法同时在网络中并存。该文对IPSec和NAT协同工作的问题进行了研究,指出NAT穿越方案的适用范围,为合理构建IPSecVPN提供了指导。
IPV6网络安全协议机制论文 篇1:
IPV6的网络安全防护
摘要: 现代计算机网络技术的发展迅速,给人带来很大便利的同时,也产生一些问题。其中黑客、病毒等问题尤为突出,网络安全显得尤为重要。广大网络科研工作者在网络安全方面做大量工作,在IPV4之后,又研制出新一代网络安全工具IPV6,它是IPV4的升级版,具有很多实用有效的技术。网络安全问题在IPv6网络环境中则仍然存在。另外,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。因此使用IPV6的过程,也是克服其缺点的过程。
关键词: IPV6;网络安全;技术
随着电脑在办公和家用的普及,各种病毒肆虐,尤其是网络上,病毒木马层出不穷,研发网络安全系统迫在眉睫。因此,上世纪七十年代IPV4应运而生,在网络安全维护方面起到重要作用,而近年来IPV6取代IPV4,开始应用于更广泛的空间,IPV6是IPV4的升级版,增加了一些功能,比如,采用层次化地址结构,基本报文头长度固定等等,提升了网络的安全性,也为新的应用提供了便利,促进了更好的开展新的安全业务和应用。从运行情况来看,IPV6还有很大的提升空间,还有需要改进的地方,尽管它已经很完善了。
IPv6在安全性上较IPv4有了很大的改进,它在设计时就将IPsec作为重要的组成部分,使之和IPsec紧密结合,以提高安全性能,IPsec是一种协议套件,包括:AH(验证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)等,它通过使用ESP和AH对上层协议和IP包进行保护.其中AH采用多种验证算法对数据的起源地进行验证,即身份验证,以此保证数据完整性和验证安全以及数据包的抗重播特性;ESP用以保证数据内容的机密性,在对数据进行加密的同时,还具有AH的功能,实现数据的验证,它既有验证算法又有加密算法。
IPV6在现实中应用非常广泛,大多数厂商、软件商和研究所都在IPv6应用范围进行了反复的开发、研究和应用工作,例如在个人电脑主要采用的WINDOWS操作系统中,已开始支持基于IPv6的Web浏览器、文件传输、媒体播放器,而且在传输数据时将IPv6作为优先采用的网络协议,说明IPv6已逐渐地被互联网界接受。另外WINDOWS视窗操作系统还有一些只支持IPv6的试验性应用,到IPv6独具特色的创新业务,IPv6带给我们的全方位、高品质的服务,使互联网的安全成为令人期待的事情。如:网络视频、手机应用、无线网络应用等,都是IPv6带给我们的全新体验。所以IPv6取代IPv4只是时间早晚的事,所以有必要研究分析依托IPv6条件下的网络安全问题。
1 网络安全简述
什么是网络安全?相信很多人对这个概念既熟悉又陌生。字面意思就是网络运行时的安全维护。网络安全,也就是计算机网络安全是一个综合性的概念,主要内容包括计算机上本身信息的安全性,还有信息在传递过程的安全性。而且网络系统的安全性的核心就是通信链条的安全和网络连接点的安全的统一体。因此网络安全可以说就是通信安全。
网络安全另一个核心就是动态交换保护。网络安全策略主要着重于系统的静态保护方法和动态交保护方法,其中动态交换保护方法是网络安全的重点。IPSec的工作模式有两种:传输模式是在IP层对上层的TCP或UDP的协议数据进行封装并根据具体配置提供安全保护,主要用于保护上层协议;隧道模式是在ESP关联到多台主机的网络访问实现时提供安全保护,主要用于保护整个IP数据包。IPV6的最基本单位是报头,报头分为基本报头和扩展报头构成。基本报头是用来放置所有路由器都需要处理的信息。而扩展报头,是进一步扩展的,因此IPv6具有非常强的灵活性,能加强对多种应用的强力保障,又可以支持支持新的应用环节。
IPsec由两个数据库组成,一个是SADB(安全联盟数据库),它的每一条记录是SA(安全联盟),它是由两个通信实体协商后建立的规则守则,包括用来保护IP包安全的IPsec协议、转码方式、密钥及有效时间等;另一个是SPD(安全策略数据库),它的每一条记录是一个策略,也是人机之间交互的安全接口,决定两个通信实体间能否通信以及如何通信,包括定义、表示、管理及与各个组件之间的交互等,这两个数据库通常联合使用,对于目的方,通过数据包头包含的IP地址和协议类型等在SADB中查找相应的SA,而对于源方,SPD的记录指针将指向相应的SADB记录,若找不到适合的SA,将创建新SA,并将SPD记录与新SA记录链接起来,IPsec采用IKE自动地为通信实体协商SA,并对SADB进行维护,保证通信安全。
2 IPv6网络安全风险
IPv6协议相对于IPv4协议在安全方面虽然有了一定的改善,解决或缓解了IPv4环境中存在的部分安全问题,有些安全问题则继续存在。同时,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。
2.1 IPv6安全改进
Ipv6协议具有一系列的安全保证体系,表现在:1)基本协议中加入报头认证和安全信息封装,这样网络实现端安全认证和加密的过程。能在一定程度上提升业务和应用的安全性;2)随着以IPv6为基础的下一代网络研究和建设的开展的内容是IPv6协议禁止的,随着电信IPv4向IPv6网络迁移的进程日益加快,IPv6网络安全问题显得更加重要。结合IPv6协议安全特性,分析了电信IPv6网络存在的安全风险,认真探讨了电信IPv6网络安全保障体系的组成环节和要素,提出了电信IPv6网络安全保障体系建设策略。地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息,从而避免了广播风暴的产生;3)IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1280byte的重组数据包等机制,有效防范了IP碎片包攻击;4)IPv6地址数量庞大,对IPv6网络实施扫描攻击比较困难,通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施;5)IPv6对地址前缀的指定及分配较规律,使得下游ISP的地址总是落在上游ISP的汇总地址空间内,对ISP而言,易于在入口实现过滤机制,有效防御虚假源地址攻击,同时基于IPv6的真实源地址技术的发展也使解决这
种安全问题成为可能。
2.2 IPv6网络中存在的安全风险
目前来看,在IPV4没有消除的隐患还继续存存在,并且有严重化的发展态势,主要体现在:1)DDoS等异常流量攻击仍然猖獗甚至更为严重,主要包括TCP-flood、UDP-flood等现有DDoS攻击,以及IPv6协议本身机制的缺陷所引起的攻击,如邻居发现(ND)协议报文缺乏认证可能引发的重复地址检测(duplicate address detection,DAD)攻IP-flooding攻击等。2)针对DNS的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。3)IPv6协议作为网络层的协议,仅对网络层安全有影响,其他各层的安全风险在IPv6网络中仍将保持不变。
2.3 IPv6网络过渡时期技术安全问题
和其他升级换代产品一样,IPv4向IPv6的过渡是一个长期、复杂的过程,而且在IPv4与IPv6共存时期,为解决两者之间相互反应所将带来新的一系列的安全风险。例如,拒绝服务攻击在隧道方式下时有发生、个别有中间人前来攻击的项目,NAT-PT技术下存在的拒绝服务攻击等。
综上所述,尽管IPv6协议在设计时考虑了安全问题,但IPv6网络环境相较于IPv4网络环境在安全性上并没有大的提升。IPv6网络在IP层引入了IPv6协议,因此在网络安全架构上没有质的改变。真正要期待的是下一代产品。
参考文献:
[1]马钊、朱军、李爽,IPV6网络安全研究[J].光盘技术,2007(5).
作者:战莹
IPV6网络安全协议机制论文 篇2:
IPSec和NAT协同工作的研究
摘要:网络地址转换(NAT)与网络安全协议(IPSec)都是在因特网上得到广泛应用的优秀技术,但由于目前IPSec和NAT技术的不兼容,使得这两种优秀的技术无法同时在网络中并存。该文对IPSec和NAT协同工作的问题进行了研究,指出NAT穿越方案的适用范围,为合理构建IPSec VPN提供了指导。
关键词:IPSec;NAT;IKE;VPN;UDP封装
Research on Coordination Between IPSec and NAT
ZHANG Ai-ke
(Departmet of Information Engineering, Liuzhou Vocational&Technical College,Liuzhou 545006,China)
Key words: IPSec;NAT;IKE;VPN;UDP encapsulation
1 引言
IPSec与NAT是用来解决IPv4中网络安全与IP地址短缺问题的两项技术。IPSec是Internet工程任务组(IETF)制定的一系列安全标准[1],已被确定为IPv6的必需组成部分,是下一代网络的安全标准,它可以较好地解决目前Internet上面临的安全威胁,有效地保证数据的安全传输。随着Internet的不断发展,采用IPSec技术实现利用互联网建立VPN网络,越来越被众多大中型企业所青睐,IPSec已逐渐成为构建VPN的主流技术。网络地址转换(NAT)技术[2] 在内部网络中使用内部私有IP地址,通过NAT将每个从内部网络发出的数据包的私有地址翻译成合法的公用IP地址在Internet上使用,支持多台主机共享全局IP地址,常见于接入设备和防火墙中,能很好地解决IPv4网络地址枯竭的问题,同时具有屏蔽内部网络的作用。
然而,在实际应用中,IPSec技术和NAT技术存在严重的不兼容性,当IPSec数据流穿越NAT设备时,两者无法协同工作,已被广泛使用的NAT设备制约着基于IPSec技术的VPN的发展。因此,IPSec和NAT兼容性方面的问题已成为当前网络安全领域的研究热点,寻求基于IPSec技术的VPN和现有的NAT设备和平共处,实现NAT透明穿越的解决方案已成为迫在眉睫的任务。
2 问题描述
由于IPSec对数据包进行保护,对数据包的改动会导致验证或解密过程的失败。IPSec与NAT的兼容性冲突是多方面的,其中主要是由于IPSec数据包在穿越NAT时无法进行正确转换造成的。IPSec与NAT的不兼容性问题主要有以下几个方面[3]:
1) IPSec AH和NAT:AH利用消息摘要算法对整个IP数据包产生一个散列值,该散列值的作用范围是整个IP包,包括源IP地址和目的IP地址,接收方利用该散列值认证收到的IP数据包。如果在发送过程中原始IP包的任何字段发生变化,都将会导致接收方的认证失败,接收方将丢弃该包。但NAT会对外出包的源地址和进入包的目的地址进行修改,AH认为IP包被非法修改,从而导致认证失效。ESP的完整性检查不包括IP头(传输模式),或者检查的是不为NAT所修改的内嵌IP协议头(隧道模式),因此在ESP中不存在这样的问题。
2) 校验和与NAT:TCP和UDP在计算校验和时使用了伪头部,因而校验和与IP源和目的地址有依赖关系。因此,当NAT设备改变IP地址后需要重新计算并修改TCP/UDP校验和。当应用了ESP传输模式的IP包经过NAT设备时,由于TCP/UDP校验和处于加密负载之中,该值在在修改了外层IP包头后无法被NAT进行更新,这样,虽然IPSec不会丢弃这个包,但是当它被送往上层协议处理,在进行校验和校验时会出错,这个包还是会被丢弃。ESP隧道模式可以和静态或动态NAT相兼容,因为TCP/UDP校验和只与内层“原始”IP包头有关,对于外层IP包头的的修改并不对其造成影响。然而,在NAPT存在的情况下,AH和ESP都无法通过NAPT,NAPT需要TCP/UDP端口来匹配出入信包,上层端口信息对于NAT网关是不可知的,所以NAT网关无法完成多个私网地址映射到一个公网地址的变换。
3) IKE地址标识符和NAT:在IKE协商中,通信双方使用IP地址作为身份标识符,而NAT设备对IP地址的修改会引起IP头中的地址和标识符不符,IKE会将这样的包丢掉。
4) IKE固定的目标端口和NAPT:IKE协商时的UDP通信端口号一般固定是500,而当NAPT后面的多方主机向同一响应者发起IKE SA时,NAPT需要通过不同的端口号区分不同的连接,因此,响应者必须能够接受非500UDP端口的IKE流量。
5) 重叠的SPD项和NAT:在IKE协商的第二阶段中,NAT后的多个主机和相同响应者协商SPD时会出现重叠,这样,响应者可能在错误的IPSec SA下发送数据包。
6) IPSec SPI选择符和NAT:IPSec ESP流量受加密保护,对NAT是透明的,NAT必须使用IP头和IPSec头来多路分解到来的IPSec信包,目的IP地址、安全协议(AH/ESP)、和SPI共同惟一标识一个安全联盟来达到这个目的。由于SA是单向的,外出和进入包的SPI选取是独立的,因此,仅通过监测外出的流量,NAT无法决定哪个进入的SPI和哪个目标主机相对应。
7) 内嵌IP地址和NAT:当内嵌IP地址时,由于载荷受到完整性保护,IPSec包中的任何IP地址不能被NAT转换。内嵌IP地址的协议包括FTP、IRC、SNMP、LPAP、H.232、SIP和许多游戏协议。
除上述外,有些NAT的具体实现也存在不利于IPSec穿越的特点,例如:某些NAT供应商的NAPT不能处理非UDP/TCP报文,拒绝通过ESP、AH报文;有些帮助解决兼容性问题的方法会引起新的不兼容性,如对端口500的特殊处理、对ISAKMP有效载荷进行解析及ISAKMP头部检查等。
3 协同工作的方法
IPSec和NAT的兼容性方案的目的是扩大IPSec的适用范围。根据前面分析的IPSec与NAT之间存在的兼容性问题,以及评估一个解决方案的可配置性、可扩展性、多模式支持能力、与防火墙的兼容性、远程通信能力、互操作性和安全性等原则[4],下面来探讨一些方法来解决IPSec和NAT协同工作的问题。
3.1 RSIP方法
RSIP是指在不同地址域通信的主机自己能处理跨越不同地址域的地址变换问题。它的工作机制[5]是:当RSIP客户机要联系互联网上主机的时候,它查询RSIP服务器以便获得一个端口号和公网IP地址。接着客户机通过隧道将包发往RSIP服务器,RSIP服务器将隧道头剥掉,然后将包发向互联网。对于到达的包,RSIP服务器基于端口号查找客户机IP地址,加入隧道头,然后将它们发往RSIP客户机。
RSIP网关是跨越在多个编址域的多宿主设备,允许主机直接参与到多个编址域中,并不对地址进行翻译,这样尽管主机需要知道RSIP网关,但是却没有破坏Internet端到端的通信,应用RSIP不需要修改源到目的地的IP载荷流,也就避免了对AH、ESP等协议的损伤。
RSIP技术的完全实现需要用新的RSIP网关代替现有的NAT路由设备,同时涉及对客户机的修改、服务器的重新部署等问题,因此实施费用相对较大,部署时间较长,降低了该方案的可行性。
3.2 “6to4”方法
这种方法的基本原理[6]是:各个局部网络运行在IPv6上,在IPv6网络边界安装NAT,NAT给主机提供IPv6地址前缀,这个地址前缀是NAT设备的IPv4 IP地址,当IPv6的数据报到达NAT时,NAT提取IPv6的地址前缀作为IPv6数据报的IPv4隧道地址,NAT把IPv6数据包封装在IPv4数据包中发送出去;在响应方,相应的NAT作IPv4隧道的解封,解封后的数据包在局部网络中用IPv6协议进行路由。在各个VPN保护的子网中是基于IPv6协议通信的。
这种方法很好地考虑了将来整个网络升级到IPv6的情况,同时它需要的支持也很少。
但这种方式要求对NAT进行修改,现在NAT的分布已非常广泛,而且很多NAT设备部署在公司、机构无法控制的地方,例如:ISP部署NAT在它的接入服务器上。因此,实施这种方式的费用较高,短期内难以实现。
3.3 专用NAT方法
其基本思想是:在VPN网关接收到数据包时作一次该网关专用的NAT,将通信链路中作了NAT的数据包根据策略配置恢复没有NAT时的IP地址或端口,当数据包通过网关到达目的地时,与通信链路中没有NAT时的数据包一样。通过这种方式来解决IPSec与NAT兼容性问题的关键是:在双方初始通信时确定NAT的存在,把经过NAT的数据包和系统策略配置中的连接相联系起来,为通信双方的后续通信建立地址、策略绑定,维持这个连接的状态,后续的通信根据连接状态作NAT。
这种处理方式将内部网络的拓扑结构暴露给了通信对方的网关,通信链路中的窃听者也能得到这部分信息,并且每个客户端都必须安装有这个解决方案的实现。专用NAT没有正式文档描述,在已有的几个产品中可以见到,如e-Border Solution provided by Permeo Technologies,Inc。目前没有提供也没有实现这种方案的系统之间的兼容性。
3.4 UDP封装方法
UDP封装法[7]是IETF提出的一种用于IPSec穿越NAT的解决方案,基本思想是:由发送主机在发送前将IPSec数据包封装在UDP中,到达接收方后再去掉外面的IP头以及UDP封装,从而使其中的IPSec数据包不受影响。ESP协议在传输模式和隧道模式下UDP封装格式分别如图1、图2所示。
图1 ESP传输模式UDP封装数据格式变化图
图2 ESP隧道模式UDP封装数据格式变化图
UDP封装法的实现需要对IKE协商进行改进来配合。
1) IKE协商第一阶段
在这一阶段中需要完成两种探测:探测对方是否支持NAT穿越(NAT-T);探测在通信路径中是否存在NAT设备。在IKE第一阶段的前两条交换消息中,发送“厂商ID载荷”,如果对方支持NAT,那么它就能识别此载荷,因为它详细描述了对NAT穿越的支持。然后在主模式的第三个和第四个交换消息或者野蛮模式的第二个和第三个交换消息中,增加载荷NAT-D(NAT-Discovery),载荷的值是源或者目的地址和端口号的HASH值,计算如下:
HASH=HASH(CK-I│CK-R│IP│Port)
其中CK-I,CK-R分别是发送方和接收方的Cookie值。当对方收到NAT-D载荷后,计算地址和端口的HASH值,如果与收到的相同,则表示它们之间没有NAT,否则表明链路中有NAT设备对它做了改变。如果发送者不能确定自己的IP地址,它可以在报文中包含多个本地IP地址的HASH值,仅当所有的HASH值均不匹配时,才表明有NA设备存在。
一些NAT设备不改变源端口500,即使NAT后面有多个客户机。这些NAT设备通过Cookie值而不是端口来完成与后面多个客户机的映射,这样,IKE很难发现NAT设备的兼容性能力。最好的方法是发现存在NAT设备后,把IKE传输从端口500上移走。一般在NAT设备被探测到后,发起者必须立刻将UDP的源端口和目的端口都设置为4500。这样会出现一个问题:IKE协商数据包(UDP数据包)和协商完成后的UDP封装ESP数据包使用相同的端口4500进行发送,为了区分出这两种数据包,在IKE数据包的UDP头和IKE头之间添加四字节的Non-ESP标志,与UDP封装的ESP包中的SPI域对齐,且值为全零。封装后的IKE包和ESP包的格式[8]如图3所示。
图3UDP封装后IKE包和ESP包的区别
2) IKE协商第二阶段
如果在第一阶段发现有NAT设备存在,IKE的第二阶段协商SA时就作相应的变化:添加两种新的模式:UDP封装隧道模式和UDP封装传输模式;增加NAT-OA以发送发起者的原始IP地址,以修正因NAT变换后的TCP/UDP校验和;位于NAT后面的IPSec发起方定期发送保持激活报文(keep alive),用以保持所建立的NAT映射不变。
该方案不需要对IKE或IPSec协议本身做任何的改动,只需要对IKE的实现做一些小的改进,该方法只依赖于NAT对UDP的支持,所以可以与绝大多数的NAT设备一起协同工作,具有简单且易于实现的优点,在总体上对NAT穿越问题有了较好的解决。但是,该方案的缺点也很明显:不支持AH协议,增加了载荷长度,延长了IKE协商SA的时间,无法实现NAT后多主机发起通信,泄漏了内网地址信息等。尽管如此,IETF提出的UDP封装法及在它基础上进行的各种改进,仍然是目前解决IPSec与NAT兼容性问题的主流技术。
3.5 TCP封装方法
使用UDP协议的好处在于传输数据比较快,UDP协议在传输小数据量时确实比TCP协议有更好的效率。但是,当需要传输的数据量比较大(如使用数字证书进行身份认证和密钥协商)时,UDP协议数据容易失序和丢失;在一个噪音比较大,数据失真比较多,容易受干扰的网络环境(如无线网络)中,往往造成数据的大量失真。出现这些情况时,需要上层协议对UDP数据包进行重新排序或重传等操作,由此造成的效率损失往往比较大,在此我们可以考虑使用TCP协议进行密钥协商。TCP协议能够很好地处理数据报的失序和丢失问题,在大数据量传输时也有很好的表现。TCP协议在建立过程和拆除过程中的数据交换所造成的效率损失并不比UDP协议处理时的损失大。
在实际的应用环境中,使用UDP封装会遇到以下的复杂情况:UDP数据属于上层数据,如果长度比较大,IP层会对此数据进行分片,先由IPSec协议对此分片数据进行封装,再由UDP协议进行二次封装以穿越NAT;到达目的地后拆除UDP的二次封装,需要再由IP层对分片数据进行重组。假如其中UDP二次封装的一个数据报丢失,那么整个UDP数据报都需要重新发送而不是只发送丢失的数据分片。这将造成整个通信效率明显下降。在此我们可以考虑使用TCP协议对IPSec数据包进行二次封装。TCP协议不会造成数据的失序和丢失,TCP协议会自动重新发送丢失的数据报而不是全部业务数据重新发送。此时使用TCP不会造成明显的效率降低,而是更好地提供了数据的传输服务。
以上分析的虽然是复杂的情形,但VPN通信是面向广域网的安全传输需求,它相比局域网环境中的通信要复杂得多,在实际应用中各种情况都可能出现,所以用TCP代替UDP对IPSec数据包进行封装以穿越NAT设备的考虑是具有现实意义的。
4 结束语
基于IPSec的VPN技术和NAT技术都是充满前途和广泛被使用的网络技术,解决IPSec和NAT的协同工作问题,对于部署VPN具有重要的意义。该文在详细分析了影响IPSec和NAT无法兼容的原因后,提出了实现NAT穿越几种方法,其中详细介绍了比较适用于目前网络环境的UDP封装法,并提出了用TCP封装IPSec数据包的设想,下一步的研究工作就是在此基础上进一步深入加以完善。
参考文献:
[1] Naganand Doraswamy.IPSec新一代因特网安全标准[M].北京:机械工业出版社,1998.
[2] RFC-1631-1994.The IP Network Address Translator (NAT) [S].
[3] 谭兴烈,张世雄.IPSec和NAT协同工作技术研究[J].计算机工程与应用,2003(12):I64-165.
[4] 李孝展,潘金贵.IPSec与NAT兼容性问题及其解决方案剖析[J].计算机应用与软件,2007,24(2):161-163.
[5] RFC-3103-2001.M.Borella, D.Grabelsky ,J Lo,K.Taniguchi. Ream Specific IP:Protocol Specification( RSIP)[S].
[6] RFC-3056-2001.B.Carpente and K.Moore.Connection of IPv6 Domains via IPv4 Clouds[S].
[7] RFC-3984-2005. A. Huttunen, W. Dixon, V. Volpe. UDPEncapsulation of IPsec Packets[S].
[8] 肖玲,周军,肖庆.IPSec与NAT不兼容性讨论与改进[J].信息技术与信息化,2007(2):66-68.
作者:张爱科
IPV6网络安全协议机制论文 篇3:
IPV6规模部署网络安全威胁浅析
摘要:基于现代社会的不断进步发展,我国互联网建设进一步完善,并成为国民经济发展的重要设施基础。在全球范围内,互联网也已经深刻影响经济格局、利益格局和安全格局的重要设施。而IP地址作为互联网发展运行的关键基础,其是现阶段比较稀缺的战略资源,针对这一状况,我国从战略高度上提出发展IPV6网络部署和整体规划,以抢占技术制高点。但IPV6规模部署过程中,存在着一定的安全威胁。鉴于此,本文主要从IPV6协议的特征入手,分析其网络安全威胁,并提出相关有效策略,展望未来发展趋势,旨在为我国IPV6规模部署过程中可能会出现的网络安全风险提供一些建议。
关键词:IPV6;规模部署;网络安全威胁
开放科学(资源服务)标识码(OSID):
1前言
IP地址是根据IP协议所提供的一种地址编码格式,是互联网网络设备的身份编号,每一个联网设备都拥有唯一的IP地址,而IPV6是当前互联网商业应用的解决方案之一,其能够解决以往IPV4应用存在的地址空间耗尽以及路由表爆炸等问题,可实现地址空间增加340万亿个,是互联时代发展中实现海量设备互联互通的坚实基础。同时IPV6可保障多条路由表项的合并,有效减少路由表的规模,符合现阶段互联网的发展趋势。但IPV6目前的應用还存在一定的安全隐患和威胁,需要采取有效应对措施,以解决困境。
2IPV6协议的特征
IPV6是一种替代现行IPV4的新IP协议,其在网络保密性、完整性等方面具有较大的性能提升,并保障其可控性和抗否认性。主要特征如下:
(1)IP地址扩展和路由选择功能加强。通过实行IPV6协议,能够将IP地址长度从32位增加到128位,尽可能的支持数量较大的可寻址节点,同时保障自动配置多级的地址层次、简单地址等。
(2)自动配置无状态地址。一般来说,只有大容量的地址空间才能够保障无状态地址的自动配置,促使IPV6的终端能够比较快速地连接互联网。改善了以往人工配置的现状,形成即插即用的便利配置方法。
(3)对首部格式进行合理优化。IPV6协议能够将IPV4首部的一些字段改为选项或者直接取消,可在很大程度上减少报文。并且在分组处理中降低首部额外带宽的开销,即便是地址长度增加,也能够实现处理费用降低[1]。
(4)支持首部和选项扩展。IPV6的选项一般处于单独的首部中,具体是在报文分组中IPV6首部和传送层的首部中间,使其选项具有任意长度,不仅限于40字节。
(5)支持权限验证和数据的完整性。IPV6重新定义了一种扩展,能够保障权限验证和数据完整性,并成为IPV6的基本内容之一,并可支持保密性要求。
(6)服务质量能力提高。当某一些的报文分组属于相应的特定工作流,IPV6能够挥发其新能力,此时发送者要求对其进行一定的特殊处理,充分提升服务质量。
3 IPV6规模部署网络安全威胁
3.1 技术安全威胁
虽然IPV6是对IPV4的完善和改进,但在新技术的应用和使用过程中,仍然会出现一定的技术缺陷,致使出现网络安全风险。比如IPV6地址尽管能够缓解IP地址资源紧张的现状。不过由于海量地址的查询相对复杂,造成安全检测难度较大。并且IPV6协议自身也具有安全威胁,攻击者可利用IPV6特有的邻居发现协议等,发送错误的路由宣告以及重定向信息等,可促使数据包流向不确定的方向。就会导致拒绝服务,并拦截和修改数据包。再比如IPV4过渡到IPV6的协议时存在安全问题,攻击者能够借助过渡协议的漏洞,绕开相应的安全监测,对用户网络设备进行攻击,获得控制权,所以IPV4与IPV6共存会带来较大的安全威胁,一旦被攻击者所利用,则会造成较大的安全风险。另外,在当前移动终端、移动互联网、云计算以及大数据等现代化信息技术的发展和应用上,IPV6与其进行融合还存在较大的安全挑战。
3.2 产业安全威胁
从互联网及其安全防护设备产业的角度上来看,现阶段多数网络设备及应用仅支持IPV4,不能直接接入IPV6网络。即便是安全防护设备支持IPV6,但其网络防护能力还有待加强,在规模部署中无法满足网络安全全方位的检测防护要求。因此IPV6协议的安全性直接影响到互联网行业以及与其相关产业的经济发展。在IPV6规模化部署的形势下,为解决产业安全威胁,应当加强创新研发和更新支持IPV6的网络设备产品。并且为其解决安全性问题,提高IPV6网络的稳定性,需要全面测试相关的设备、网络、技术等,综合所有因素制定科学的测试计划[2]。
3.3 管理安全威胁
基于管理安全出发,IPV6的地址空间大于IPV4,所以在分配和管理IP地址时,在缺乏相应有效的管理知识和经验的支持下,难度较大。并且在数据加密、验证和签名中,都需要对大量的密钥开展安全管理,以此才能够确保网络数据具有良好的安全性,但现有管理策略不能满足实际需求。另外一方面,在IPV6规模部署时,网络用户数量十分片庞大,相应的设备规模较为巨大,需要频繁的操作证书注册、更新、存储以及查询等工作,如果KPI不能满足高访问量的快速反应,则无法提供及时的状态查询,影响服务质量的提升。
4 IPV6规模部署保障安全的策略
针对IPV6网络应用出现的安全问题和威胁,应当采取有效的策略,解决主要问题,发挥其替代IPV4的优势性,推动互联网安全建设,满足社会进步和经济发展的需求。所以针对上述技术威胁、产业威胁和管理威胁,应采用以下几个安全策略。
4.1 强化防护技术投入
强化对IPV6安全防护技术的研究投入和前瞻部署是十分重要的,首先即是基于IPV6协议的本身特征,分析其很容易受到分片攻击、扩展头攻击或者是邻居发现协议攻击等。所以必须要根据各种攻击类型重点研究其攻击原理、攻击检测以及攻击防御等,为解决方案的制定奠定良好基础。其次是在IPV4向IPV6过渡时,应当将过渡机制与安全防护相融合,形成无缝、平滑和安全技术体系。最后要注重结合新技术,即是可在IPV6环境下,结合物联网、互联网、云计算等安全技术、管理机制等,构建良好的、可靠的解决方案。比如在移动互联网高速发展的趋势下,提高移动网络的安全性,综合考虑IPV6在感知层的应用安全、建立IPV6云计算平台等,促使安全防护技术趋向多样化、有效化方向发展。另外还需扩展邻居发现协议中的安全选项,即是在每个IPV6中设置一对公私钥和多个邻居扩展选项,能够通过时间戳和Nonce选项来抵御攻击。
4.2 注重研发信息安全产品
根据IPV6协议的特点和应用要求,为保障产业及行业的健康发展,需要创新研发信息安全产品,在现有网络安全保障系统基础上,进行相应的升级改造,以便于进一步提高对IPV6地址与网络环境的支持能力。并按照我国行业发展要求,在产品中增加IPV6地址精准定位功能,加强侦查打击能力和快速处置效率等。并可建立完善的互联网设备研发体系,针对IPV6的网络安全等级保护、个人信息保护、通报预警、风险评估和灾难恢复、备份等方面入手,提高IPV6协议的应用效果。比如为应对IPV6协议的安全威胁,可在交换机的物理端口设置相应的流量限制,在运行过程中将超出限制的数据包进行丢弃,或者可以在网络防火墙、邊界路由器上启动对IPV6数据包过滤机制,拒绝转发带有安全隐患的报文,可有效解决安全威胁。
4.3 加大政策支持力度,加强安全管理
IPV6规模部署的安全威胁防范需要加大政策的支持力度,促使系统管理更加安全。因此应当严格按照我国国务院办公厅印发的《推进互联网协议第六版(IPV6)规模部署行动计划》,落实各项建设措施,提高对安全问题的重视程度。同时要出台相关人才扶持政策,通过IPV6专业知识培训和教育工作,充分提供从业人员的技能,对IPV6规模部署中可能存在的安全威胁,做到早发现、早研究和早解决,避免造成严重的损失后果,构建完善的IPV6网络安全管理体系,在根本上提高安全管理水平,实现规模部署具有良好的应用效果。
5 IPV6网络安全策略的发展趋势
对于未来IPV6网络安全策略的发展,为保障IPV6规模部署得到充分的安全保证。则需要采取以下策略方法:采用单一地址的反向传输路径转发,有效拒绝全部拥有模糊源地址的数据包,防范网络恶意攻击;对低信誉的IPV6地址的信息流量采取必要的阻止措施;对出站信息流量进行检查,只允许具备匹配条件的返回流量,不过实质上其仅是通过IPS来检测用户无意带入的僵尸网络流量、恶意软件等;允许入站网络流量在进入到公共DNS时,拥有AAAA记录的地址;当某个内部地址从未与外部进行发送和接受工作,则应当阻止所有信息流量进入到该地址中,确保内部设备不会被外部恶意访问;对所有入站的SSL以及TLS信息流量采取拦截手段,并使用自签名证书对数据包进行解密,以便于在其进入之前开展安全隐患检查;当通过IPS后,默认允许其他入站信息流量,但应当对其速率进行严格的限制,目的是保障网络设备出现超载的情况。在未来IPV6规模部署中实施上述安全策略,能够在很大程度上,确保IPV6协议在实际应用中的安全性和稳定性。
6 结束语
综上所述,IPV6相比于IPV4具有诸多优势,其也是未来互联网IP地址资源建设的必经之路。因此在规模化部署过程中,要严格关注网络安全问题。针对现存的安全威胁和隐患,采取技术策略、政策策略以及管理策略等,充分保障IPV6协议的优势得以发挥,切实推动我国社会经济的高效发展。
参考文献:
[1] 张连成,郭毅.IPv6网络安全威胁分析[J].信息通信技术,2019,13(6):7-14.
[2] 林冀宁,蒋武军.基于IPv6蜂窝网络的防火墙安全问题研究[J].江苏通信,2019,35(4):75-76,79.
【通联编辑:闻翔军】
作者:翟智明