第12卷第2期 江 苏 技 术 师 范 学 院 学 报 Vo1.12.No.2 2006年4月 JOURNAL OF JIANGSU TE 垦 曼 ! 垦 量!! Q! 旦 Q Apr..2o06 基于IPv6协议的网络安全改进与分析 张 波,李 涛 (华南农业大学现代教育技术中心,广东广州510642) 摘要:介绍下一代网际协议IPv6的网络安全机制及其技术要点,分析引入IPv6协议可能导致的新问题,对解决 这些新问题的思路做出了探讨。 关键词:IPv6协议;网络安全;IPSec;改进 中图分类号:TP391 文献标识码:A 0 引 言 Intemet在全球迅速发展,但其安全问题是一个需要迫切解决的问题。现行的IPv4协议标准虽然具有 简单性和可缩放性等特点,但在网络安全方面并没有作过多的考虑,存在许多安全隐患,例如:非法截获 并伪造信息包、地址的电子欺骗、扰乱网络逻辑组织等” 。对于种种威胁网络安全的攻击,现有的一些措施 往往没有涉及协议的较低层次,而网络安全功能恰恰是定位在较低层次上的,这对阻止在网络攻击中占 比例非常大的较低层次攻击是不合适的 。 为适应互联网的迅速发展及对网络安全性的需要,由IETF建议制定的下一代网际协议IPv6出现了 。 它增添了许多新的重要功能,支持IPv4到IPv6的平稳过渡,可以像一般的软件升级一样在Intemet设备上 安装。IPv6在IP层上实现了各种安全服务,既是面向高性能网络(: ̄IATM)的,也可以在低带宽的网络(如 无线网)上有效地运行 J。 1 IPv6的网络安全改进 与IPv4相比,IPv6具有许多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,II,v6对IPv4协议中诸 多不完善之处进行了较大的改进。其中最为显著的就是将IPSec集成到协议内部,从此IPSec将不再单独存 在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。当然,IPSec的大规模使用将不可避免地对网 络设备的转发性能产生影响,这就需要更高的硬件性能保障。 1.1 协议安全 在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展 头。AH认证支持hmac—md5_96、hmac—sha一1—96认证加密算法,ESP封装支持DES—CBC、3DES—CBC以及Null 等三种算法。 1.2 IPv6的新安全保障 IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证,但是数据网络的安全威胁是 收稿日期:2006 ̄3—31;修回日期:2006-04-14 作者简介:张波(1973一),男,广西揭西人,华南农业大学现代教育技术中心工程师,硕士;李涛(1978一)男,湖北黄冈人, 华南农业大学现代教育技术中心助理宴验师,硕士。 维普资讯 http://www.cqvip.com
第2期 张波李涛:基于IPv6协议的网络安全改进与分析 57 多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。 对于物理层的安全隐患,可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强 安全管理来防护。对于物理层以上层面的安全隐患,可以采用以下防护手段:通过诸 ̄I3AAA、TACACS+、 RADIUS等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击;通过MAC地址和IP 地址绑定、每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、 建立安全用户隧道等来防范针对二层网络的攻击;通过进行路由过滤、对路由信息的加密和认证、定向组 播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。路由器和交换机对 IPSec的完善支持保证了网络数据和信息内容的有效性、一致性以及完整性,并且为网络安全提供了诸多 解决办法。 2引入IPv6出现的安全新问题 IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题口】,主要包括应对拒绝服务攻击(DoS) 乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(ins)遭遇拒绝服务攻击后失 去作用、被黑客篡改报头等问题。 2.1 IPv6本身的弱点 IPv6协议本身还有一些问题有待解决, IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网 管技术,如SNMP等,不管是移植还是重新设计,其安全陛都必须从本质上有所提高。由于目前针对IPv6的 网管设备和网管软件几乎没有成熟产品出现,因此缺乏 ̄ffIPv6网络进行监测和管理的手段,缺乏对大范 围的网络故障定位和性能分析的手段。没有网管,无法保障网络高效、安全运行。 PKI管理在IPv6中是悬而未决的新问题。 IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6 环境下的病毒已经}十{现。这方面的安全技术研发尚需时日。 IPv6协议仍需在实践中完善,例 ̄HIPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的 用户功能,而移动IPv6(Mobile IPv6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6 地址,DHCPv6仍然处于研究、制订之中。 2.2 IPv4向IPv6迁移的可能漏洞 由于IPv6与IPv4网络将会长期共存,网络必然会同时存在两者的安全问题,或由此产生新的安全漏 洞。 已经发现从IPv4向IPv6转移时会出现的一些安全漏洞,例如黑客可以使用IPv6 ̄法访问同时采用了 IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的IPv6主机,建立由IPv6 ̄IPv4的隧 道,绕过防火墙对IPv4进行攻击。 向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须 经过慎重的考虑和测试,例 ̄HIPv4环境下的IDS并不能直接支持IPv6,需要重新设计,原来应用在IPv4协议 的安全策略和安全措施必须在IPv6上得到落实。 目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有双栈、隧道和协议转换,但目前这几种技术运 行都不理想。目前比较成熟的技术是向IPv6转移应尽量采用双栈技术,避免采用协议转换;尽量采用静态 隧道,避免采用动态隧道;这些都需要在广泛实验中加以检验。 2.3应用实例 IPSec隧道和传输模式的各种组合应用,可以提供网络各层面的安全保证。诸如:端到端的安全保证、 内部网络的保密、通过安全隧道构建安全的VPN、通过嵌套隧道实现不同级别的网络安全等等。 维普资讯 http://www.cqvip.com
58 江苏技术师范学院学报 第l2卷 (1)端到端的安全保证 如图l所示,在两端主机上对报文进行了IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文的 透传。从而实现端到端的安全保证。 (2)内部网络保密 如图2所示,内部主机和互联网上其他主机进行通信时,通过配置IPSec网关来保证内部网络的安全。 由于IPSec作为iPv6扩展报头不能被中间路由器而只能被目的节点解析处理,因此,IPSec网关可以通过 IPec隧道的方式实现,或者通过IPv6扩展头中提供的路由头和逐跳选项头并结合应用层网管技术来实现。 其中后者实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。 ・卜————一量 护的 ——————+ 图1端到端的安全保证 图2内部网络保密 Fig.1 Security guarantee from port to port Fig.2 Internal network security (3)iPSec安全隧道实现VPN 如图3所示,在路由器之间建立IPSec安全隧道,构成安全的VPN,是最常用的安全IPv6 ̄络组建方式。 作为IPSec网关的路由器实际上就是IPSec隧道的终点和起点。为了满足转发性能的要求,需要专用的加密 板卡。 (4)隧道嵌套提供多重安全保护 如图4所示,通过隧道嵌套的方式可以获得多重的安全保护。 配置TIPSec的主机Host C通过安全隧道接入到配置了IPSec网管的路由器中。该路由器作为外部隧道的 终结点将外部隧道封装剥除,这时嵌套的内部安全隧道构成了对内部网络的安全隔离。路由器作为内部 隧道的终结点,使得Host C最终接入到部I'-IN务器Host D中。 器 一一卜一受保护的范围 —_.卜 1-1ostD ・._ ——一受保护的范 ———————_- 寓●崮-一 ●广 ’ ’门 之 制H拧 图3 IPSec安全隧道买现VPN 图4隧道嵌套提供多重安全保护 Fig.3 VPN in safe tunnel Fig.4 Multiple safekeeping security with tunnel nesting 维普资讯 http://www.cqvip.com
第2期 张波李涛:基-T--IPv6协议的网络安全改进与分析 59 3结语 与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保 证,但IPv6 ̄仅不可能彻底解决所有安全问题。同时还会伴随其产生新的安全问题。目前多数网络攻击和 威胁来自应用层而非IP层,因此。保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种 手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。 参考文献: 【1】AndrewS.Tanenbaum.计算机网络[M】.3版.北京:清华大学出版社,1998. [2】VetoPaxson.An architectureforlarge-scaleintemetmeasurement[J】.IEEECommunicationMagazine,1998,36(8):48—54 [3 Kent3】 S,Atkinson R.Security Architecture ofr the Interact Pmtocol ̄].IETF RFC 2401。USA,IE'rF,1998:67—69. [4】雷震甲.网络工程师教程[u1.北京:清华大学出版社.2004. [5]王玲,钱华林.IPv6. ̄安全机制及其对现有网络安全体系的影响[J】.微电子学与计算机,2003,(1):5O一53. New Network Security Problem and Amelioration Based on I Pv6 ProtocoI Z ̄/ANG Bo.ⅡTao (Modem Education and Technology Center ofSouth China Agriculture University, Guangzhou 510642,China) Abstract:The paper introduces the network security principle and technique of the next generation IP protocol IPv6,analyses the new problem caused by applying IPv6 nad discusses some methods to solve the new problem. Key words:IPv6 protocol;network security;IPSec;amelioration 责任编辑张志钊
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- dcrkj.com 版权所有 赣ICP备2024042791号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务