基于IPv6协议的网络安全改进与分析

第１２卷第２期　江　苏　技　术　师　范　学　院　学　报　Ｖｏ１．１２．Ｎｏ．２　２００６年４月　ＪＯＵＲＮＡＬ　ＯＦ　ＪＩＡＮＧＳＵ　ＴＥ　垦　曼　！　垦　量！！　Ｑ！　旦　Ｑ　Ａｐｒ．．２ｏ０６　基于ＩＰｖ６协议的网络安全改进与分析　张　波，李　涛　（华南农业大学现代教育技术中心，广东广州５１０６４２）　摘要：介绍下一代网际协议ＩＰｖ６的网络安全机制及其技术要点，分析引入ＩＰｖ６协议可能导致的新问题，对解决　这些新问题的思路做出了探讨。　关键词：ＩＰｖ６协议；网络安全；ＩＰＳｅｃ；改进　中图分类号：ＴＰ３９１　文献标识码：Ａ　０　引　言　Ｉｎｔｅｍｅｔ在全球迅速发展，但其安全问题是一个需要迫切解决的问题。现行的ＩＰｖ４协议标准虽然具有　简单性和可缩放性等特点，但在网络安全方面并没有作过多的考虑，存在许多安全隐患，例如：非法截获　并伪造信息包、地址的电子欺骗、扰乱网络逻辑组织等”　。对于种种威胁网络安全的攻击，现有的一些措施　往往没有涉及协议的较低层次，而网络安全功能恰恰是定位在较低层次上的，这对阻止在网络攻击中占　比例非常大的较低层次攻击是不合适的　。　为适应互联网的迅速发展及对网络安全性的需要，由ＩＥＴＦ建议制定的下一代网际协议ＩＰｖ６出现了　。　它增添了许多新的重要功能，支持ＩＰｖ４到ＩＰｖ６的平稳过渡，可以像一般的软件升级一样在Ｉｎｔｅｍｅｔ设备上　安装。ＩＰｖ６在ＩＰ层上实现了各种安全服务，既是面向高性能网络（：￣ＩＡＴＭ）的，也可以在低带宽的网络（如　无线网）上有效地运行　Ｊ。　１　ＩＰｖ６的网络安全改进　与ＩＰｖ４相比，ＩＰｖ６具有许多优势。首先，ＩＰｖ６解决了ＩＰ地址数量短缺的问题；其次，ＩＩ，ｖ６对ＩＰｖ４协议中诸　多不完善之处进行了较大的改进。其中最为显著的就是将ＩＰＳｅｃ集成到协议内部，从此ＩＰＳｅｃ将不再单独存　在，而是作为ＩＰｖ６协议固有的一部分贯穿于ＩＰｖ６的各个领域。当然，ＩＰＳｅｃ的大规模使用将不可避免地对网　络设备的转发性能产生影响，这就需要更高的硬件性能保障。　１．１　协议安全　在协议安全层面上，ＩＰｖ６全面支持认证头（ＡＨ）认证和封装安全有效负荷（ＥＳＰ）信息安全封装扩展　头。ＡＨ认证支持ｈｍａｃ—ｍｄ５＿９６、ｈｍａｃ—ｓｈａ一１—９６认证加密算法，ＥＳＰ封装支持ＤＥＳ—ＣＢＣ、３ＤＥＳ—ＣＢＣ以及Ｎｕｌｌ　等三种算法。　１．２　ＩＰｖ６的新安全保障　ＩＰＳｅｃ为网络数据和信息内容的有效性、一致性以及完整性提供了保证，但是数据网络的安全威胁是　收稿日期：２００６￣３—３１；修回日期：２００６－０４－１４　作者简介：张波（１９７３一），男，广西揭西人，华南农业大学现代教育技术中心工程师，硕士；李涛（１９７８一）男，湖北黄冈人，　华南农业大学现代教育技术中心助理宴验师，硕士。　维普资讯 http://www.cqvip.com

第２期　张波李涛：基于ＩＰｖ６协议的网络安全改进与分析　５７　多层面的，它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。　对于物理层的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强　安全管理来防护。对于物理层以上层面的安全隐患，可以采用以下防护手段：通过诸￣Ｉ３ＡＡＡ、ＴＡＣＡＣＳ＋、　ＲＡＤＩＵＳ等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击；通过ＭＡＣ地址和ＩＰ　地址绑定、每端口的ＭＡＣ地址使用数量、设立每端口广播包流量门限、使用基于端口和ＶＬＡＮ的ＡＣＬ、　建立安全用户隧道等来防范针对二层网络的攻击；通过进行路由过滤、对路由信息的加密和认证、定向组　播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。路由器和交换机对　ＩＰＳｅｃ的完善支持保证了网络数据和信息内容的有效性、一致性以及完整性，并且为网络安全提供了诸多　解决办法。　２引入ＩＰｖ６出现的安全新问题　ＩＰｖ６是新的协议，在其发展过程中必定会产生一些新的安全问题口】，主要包括应对拒绝服务攻击（ＤｏＳ）　乏力、包过滤式防火墙无法根据访问控制列表ＡＣＬ正常工作、入侵检测系统（ｉｎｓ）遭遇拒绝服务攻击后失　去作用、被黑客篡改报头等问题。　２．１　ＩＰｖ６本身的弱点　ＩＰｖ６协议本身还有一些问题有待解决，　ＩＰ网中许多不安全问题主要是管理造成的。ＩＰｖ６的管理与ＩＰｖ４在思路上有可借鉴之处。但对于一些网　管技术，如ＳＮＭＰ等，不管是移植还是重新设计，其安全陛都必须从本质上有所提高。由于目前针对ＩＰｖ６的　网管设备和网管软件几乎没有成熟产品出现，因此缺乏￣ｆｆＩＰｖ６网络进行监测和管理的手段，缺乏对大范　围的网络故障定位和性能分析的手段。没有网管，无法保障网络高效、安全运行。　ＰＫＩ管理在ＩＰｖ６中是悬而未决的新问题。　ＩＰｖ６网络同样需要防火墙、ＶＰＮ、ＩＤＳ、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上ＩＰｖ６　环境下的病毒已经｝十｛现。这方面的安全技术研发尚需时日。　ＩＰｖ６协议仍需在实践中完善，例￣ＨＩＰｖ６组播功能仅仅规定了简单的认证功能，所以还难以实现严格的　用户功能，而移动ＩＰｖ６（Ｍｏｂｉｌｅ　ＩＰｖ６）也存在很多新的安全挑战。ＤＨＣＰ必须经过升级才可以支持ＩＰｖ６　地址，ＤＨＣＰｖ６仍然处于研究、制订之中。　２．２　ＩＰｖ４向ＩＰｖ６迁移的可能漏洞　由于ＩＰｖ６与ＩＰｖ４网络将会长期共存，网络必然会同时存在两者的安全问题，或由此产生新的安全漏　洞。　已经发现从ＩＰｖ４向ＩＰｖ６转移时会出现的一些安全漏洞，例如黑客可以使用ＩＰｖ６￣法访问同时采用了　ＩＰｖ４和ＩＰｖ６两种协议的ＬＡＮ的网络资源，攻击者可以通过安装了双栈的ＩＰｖ６主机，建立由ＩＰｖ６￣ＩＰｖ４的隧　道，绕过防火墙对ＩＰｖ４进行攻击。　向ＩＰｖ６协议的转移与采用其他任何一种新的网络协议一样，需要重新配置防火墙，其安全措施必须　经过慎重的考虑和测试，例￣ＨＩＰｖ４环境下的ＩＤＳ并不能直接支持ＩＰｖ６，需要重新设计，原来应用在ＩＰｖ４协议　的安全策略和安全措施必须在ＩＰｖ６上得到落实。　目前，ＩＰｖ４向ＩＰｖ６过渡有多种技术，其中基本过渡技术有双栈、隧道和协议转换，但目前这几种技术运　行都不理想。目前比较成熟的技术是向ＩＰｖ６转移应尽量采用双栈技术，避免采用协议转换；尽量采用静态　隧道，避免采用动态隧道；这些都需要在广泛实验中加以检验。　２．３应用实例　ＩＰＳｅｃ隧道和传输模式的各种组合应用，可以提供网络各层面的安全保证。诸如：端到端的安全保证、　内部网络的保密、通过安全隧道构建安全的ＶＰＮ、通过嵌套隧道实现不同级别的网络安全等等。　维普资讯 http://www.cqvip.com

５８　江苏技术师范学院学报　第ｌ２卷　（１）端到端的安全保证　如图ｌ所示，在两端主机上对报文进行了ＩＰＳｅｃ封装，中间路由器实现对有ＩＰＳｅｃ扩展头的ＩＰｖ６报文的　透传。从而实现端到端的安全保证。　（２）内部网络保密　如图２所示，内部主机和互联网上其他主机进行通信时，通过配置ＩＰＳｅｃ网关来保证内部网络的安全。　由于ＩＰＳｅｃ作为ｉＰｖ６扩展报头不能被中间路由器而只能被目的节点解析处理，因此，ＩＰＳｅｃ网关可以通过　ＩＰｅｃ隧道的方式实现，或者通过ＩＰｖ６扩展头中提供的路由头和逐跳选项头并结合应用层网管技术来实现。　其中后者实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。　・卜————一量　护的　——————＋　图１端到端的安全保证　图２内部网络保密　Ｆｉｇ．１　Ｓｅｃｕｒｉｔｙ　ｇｕａｒａｎｔｅｅ　ｆｒｏｍ　ｐｏｒｔ　ｔｏ　ｐｏｒｔ　Ｆｉｇ．２　Ｉｎｔｅｒｎａｌ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　（３）ｉＰＳｅｃ安全隧道实现ＶＰＮ　如图３所示，在路由器之间建立ＩＰＳｅｃ安全隧道，构成安全的ＶＰＮ，是最常用的安全ＩＰｖ６￣络组建方式。　作为ＩＰＳｅｃ网关的路由器实际上就是ＩＰＳｅｃ隧道的终点和起点。为了满足转发性能的要求，需要专用的加密　板卡。　（４）隧道嵌套提供多重安全保护　如图４所示，通过隧道嵌套的方式可以获得多重的安全保护。　配置ＴＩＰＳｅｃ的主机Ｈｏｓｔ　Ｃ通过安全隧道接入到配置了ＩＰＳｅｃ网管的路由器中。该路由器作为外部隧道的　终结点将外部隧道封装剥除，这时嵌套的内部安全隧道构成了对内部网络的安全隔离。路由器作为内部　隧道的终结点，使得Ｈｏｓｔ　Ｃ最终接入到部Ｉ＇－ＩＮ务器Ｈｏｓｔ　Ｄ中。　器　一一卜一受保护的范围　—＿．卜　１－１ｏｓｔＤ　・．＿　——一受保护的范　———————＿－　寓●崮－一　●广　　’　’门　之　制Ｈ拧　图３　ＩＰＳｅｃ安全隧道买现ＶＰＮ　图４隧道嵌套提供多重安全保护　Ｆｉｇ．３　ＶＰＮ　ｉｎ　ｓａｆｅ　ｔｕｎｎｅｌ　Ｆｉｇ．４　Ｍｕｌｔｉｐｌｅ　ｓａｆｅｋｅｅｐｉｎｇ　ｓｅｃｕｒｉｔｙ　ｗｉｔｈ　ｔｕｎｎｅｌ　ｎｅｓｔｉｎｇ　维普资讯 http://www.cqvip.com

第２期　张波李涛：基－Ｔ－－ＩＰｖ６协议的网络安全改进与分析　５９　３结语　与ＩＰｖ４相比，ＩＰｖ６在网络保密性、完整性方面有了更好的改进，在可控性和抗否认性方面有了新的保　证，但ＩＰｖ６￣仅不可能彻底解决所有安全问题。同时还会伴随其产生新的安全问题。目前多数网络攻击和　威胁来自应用层而非ＩＰ层，因此。保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种　手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。　参考文献：　【１】ＡｎｄｒｅｗＳ．Ｔａｎｅｎｂａｕｍ．计算机网络［Ｍ】．３版．北京：清华大学出版社，１９９８．　［２】ＶｅｔｏＰａｘｓｏｎ．Ａｎ　ａｒｃｈｉｔｅｃｔｕｒｅｆｏｒｌａｒｇｅ－ｓｃａｌｅｉｎｔｅｍｅｔｍｅａｓｕｒｅｍｅｎｔ［Ｊ】．ＩＥＥＥＣｏｍｍｕｎｉｃａｔｉｏｎＭａｇａｚｉｎｅ，１９９８，３６（８）：４８—５４　［３　Ｋｅｎｔ３】　Ｓ，Ａｔｋｉｎｓｏｎ　Ｒ．Ｓｅｃｕｒｉｔｙ　Ａｒｃｈｉｔｅｃｔｕｒｅ　ｏｆｒ　ｔｈｅ　Ｉｎｔｅｒａｃｔ　Ｐｍｔｏｃｏｌ￣］．ＩＥＴＦ　ＲＦＣ　２４０１。ＵＳＡ，ＩＥ＇ｒＦ，１９９８：６７—６９．　［４】雷震甲．网络工程师教程［ｕ１．北京：清华大学出版社．２００４．　［５］王玲，钱华林．ＩＰｖ６．￣安全机制及其对现有网络安全体系的影响［Ｊ】．微电子学与计算机，２００３，（１）：５Ｏ一５３．　Ｎｅｗ　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ　Ｐｒｏｂｌｅｍ　ａｎｄ　Ａｍｅｌｉｏｒａｔｉｏｎ　Ｂａｓｅｄ　ｏｎ　Ｉ　Ｐｖ６　ＰｒｏｔｏｃｏＩ　Ｚ￣／ＡＮＧ　Ｂｏ．ⅡＴａｏ　（Ｍｏｄｅｍ　Ｅｄｕｃａｔｉｏｎ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ　Ｃｅｎｔｅｒ　ｏｆＳｏｕｔｈ　Ｃｈｉｎａ　Ａｇｒｉｃｕｌｔｕｒｅ　Ｕｎｉｖｅｒｓｉｔｙ，　Ｇｕａｎｇｚｈｏｕ　５１０６４２，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｔｈｅ　ｐａｐｅｒ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｐｒｉｎｃｉｐｌｅ　ａｎｄ　ｔｅｃｈｎｉｑｕｅ　ｏｆ　ｔｈｅ　ｎｅｘｔ　ｇｅｎｅｒａｔｉｏｎ　ＩＰ　ｐｒｏｔｏｃｏｌ　ＩＰｖ６，ａｎａｌｙｓｅｓ　ｔｈｅ　ｎｅｗ　ｐｒｏｂｌｅｍ　ｃａｕｓｅｄ　ｂｙ　ａｐｐｌｙｉｎｇ　ＩＰｖ６　ｎａｄ　ｄｉｓｃｕｓｓｅｓ　ｓｏｍｅ　ｍｅｔｈｏｄｓ　ｔｏ　ｓｏｌｖｅ　ｔｈｅ　ｎｅｗ　ｐｒｏｂｌｅｍ．　Ｋｅｙ　ｗｏｒｄｓ：ＩＰｖ６　ｐｒｏｔｏｃｏｌ；ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ；ＩＰＳｅｃ；ａｍｅｌｉｏｒａｔｉｏｎ　责任编辑张志钊