摘要: 现代计算机网络技术的发展迅速,给人带来很大便利的同时,也产生一些问题。其中黑客、病毒等问题尤为突出,网络安全显得尤为重要。广大网络科研工作者在网络安全方面做大量工作,在IPV4之后,又研制出新一代网络安全工具IPV6,它是IPV4的升级版,具有很多实用有效的技术。网络安全问题在IPv6网络环境中则仍然存在。另外,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。因此使用IPV6的过程,也是克服其缺点的过程。
关键词: IPV6;网络安全;技术
随着电脑在办公和家用的普及,各种病毒肆虐,尤其是网络上,病毒木马层出不穷,研发网络安全系统迫在眉睫。因此,上世纪七十年代IPV4应运而生,在网络安全维护方面起到重要作用,而近年来IPV6取代IPV4,开始应用于更广泛的空间,IPV6是IPV4的升级版,增加了一些功能,比如,采用层次化地址结构,基本报文头长度固定等等,提升了网络的安全性,也为新的应用提供了便利,促进了更好的开展新的安全业务和应用。从运行情况来看,IPV6还有很大的提升空间,还有需要改进的地方,尽管它已经很完善了。
IPv6在安全性上较IPv4有了很大的改进,它在设计时就将IPsec作为重要的组成部分,使之和IPsec紧密结合,以提高安全性能,IPsec是一种协议套件,包括:AH(验证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)等,它通过使用ESP和AH对上层协议和IP包进行保护.其中AH采用多种验证算法对数据的起源地进行验证,即身份验证,以此保证数据完整性和验证安全以及数据包的抗重播特性;ESP用以保证数据内容的机密性,在对数据进行加密的同时,还具有AH的功能,实现数据的验证,它既有验证算法又有加密算法。
IPV6在现实中应用非常广泛,大多数厂商、软件商和研究所都在IPv6应用范围进行了反复的开发、研究和应用工作,例如在个人电脑主要采用的WINDOWS操作系统中,已开始支持基于IPv6的Web浏览器、文件传输、媒体播放器,而且在传输数据时将IPv6作为优先采用的网络协议,说明IPv6已逐渐地被互联网界接受。另外WINDOWS视窗操作系统还有一些只支持IPv6的试验性应用,到IPv6独具特色的创新业务,IPv6带给我们的全方位、高品质的服务,使互联网的安全成为令人期待的事情。如:网络视频、手机应用、无线网络应用等,都是IPv6带给我们的全新体验。所以IPv6取代IPv4只是时间早晚的事,所以有必要研究分析依托IPv6条件下的网络安全问题。
1 网络安全简述
什么是网络安全?相信很多人对这个概念既熟悉又陌生。字面意思就是网络运行时的安全维护。网络安全,也就是计算机网络安全是一个综合性的概念,主要内容包括计算机上本身信息的安全性,还有信息在传递过程的安全性。而且网络系统的安全性的核心就是通信链条的安全和网络连接点的安全的统一体。因此网络安全可以说就是通信安全。
网络安全另一个核心就是动态交换保护。网络安全策略主要着重于系统的静态保护方法和动态交保护方法,其中动态交换保护方法是网络安全的重点。IPSec的工作模式有两种:传输模式是在IP层对上层的TCP或UDP的协议数据进行封装并根据具体配置提供安全保护,主要用于保护上层协议;隧道模式是在ESP关联到多台主机的网络访问实现时提供安全保护,主要用于保护整个IP数据包。IPV6的最基本单位是报头,报头分为基本报头和扩展报头构成。基本报头是用来放置所有路由器都需要处理的信息。而扩展报头,是进一步扩展的,因此IPv6具有非常强的灵活性,能加强对多种应用的强力保障,又可以支持支持新的应用环节。
IPsec由两个数据库组成,一个是SADB(安全联盟数据库),它的每一条记录是SA(安全联盟),它是由两个通信实体协商后建立的规则守则,包括用来保护IP包安全的IPsec协议、转码方式、密钥及有效时间等;另一个是SPD(安全策略数据库),它的每一条记录是一个策略,也是人机之间交互的安全接口,决定两个通信实体间能否通信以及如何通信,包括定义、表示、管理及与各个组件之间的交互等,这两个数据库通常联合使用,对于目的方,通过数据包头包含的IP地址和协议类型等在SADB中查找相应的SA,而对于源方,SPD的记录指针将指向相应的SADB记录,若找不到适合的SA,将创建新SA,并将SPD记录与新SA记录链接起来,IPsec采用IKE自动地为通信实体协商SA,并对SADB进行维护,保证通信安全。
2 IPv6网络安全风险
IPv6协议相对于IPv4协议在安全方面虽然有了一定的改善,解决或缓解了IPv4环境中存在的部分安全问题,有些安全问题则继续存在。同时,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。
2.1 IPv6安全改进
Ipv6协议具有一系列的安全保证体系,表现在:1)基本协议中加入报头认证和安全信息封装,这样网络实现端安全认证和加密的过程。能在一定程度上提升业务和应用的安全性;2)随着以IPv6为基础的下一代网络研究和建设的开展的内容是IPv6协议禁止的,随着电信IPv4向IPv6网络迁移的进程日益加快,IPv6网络安全问题显得更加重要。结合IPv6协议安全特性,分析了电信IPv6网络存在的安全风险,认真探讨了电信IPv6网络安全保障体系的组成环节和要素,提出了电信IPv6网络安全保障体系建设策略。地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息,从而避免了广播风暴的产生;3)IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1280byte的重组数据包等机制,有效防范了IP碎片包攻击;4)IPv6地址数量庞大,对IPv6网络实施扫描攻击比较困难,通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施;5)IPv6对地址前缀的指定及分配较规律,使得下游ISP的地址总是落在上游ISP的汇总地址空间内,对ISP而言,易于在入口实现过滤机制,有效防御虚假源地址攻击,同时基于IPv6的真实源地址技术的发展也使解决这
种安全问题成为可能。
2.2 IPv6网络中存在的安全风险
目前来看,在IPV4没有消除的隐患还继续存存在,并且有严重化的发展态势,主要体现在:1)DDoS等异常流量攻击仍然猖獗甚至更为严重,主要包括TCP-flood、UDP-flood等现有DDoS攻击,以及IPv6协议本身机制的缺陷所引起的攻击,如邻居发现(ND)协议报文缺乏认证可能引发的重复地址检测(duplicate address detection,DAD)攻IP-flooding攻击等。2)针对DNS的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。3)IPv6协议作为网络层的协议,仅对网络层安全有影响,其他各层的安全风险在IPv6网络中仍将保持不变。
2.3 IPv6网络过渡时期技术安全问题
和其他升级换代产品一样,IPv4向IPv6的过渡是一个长期、复杂的过程,而且在IPv4与IPv6共存时期,为解决两者之间相互反应所将带来新的一系列的安全风险。例如,拒绝服务攻击在隧道方式下时有发生、个别有中间人前来攻击的项目,NAT-PT技术下存在的拒绝服务攻击等。
综上所述,尽管IPv6协议在设计时考虑了安全问题,但IPv6网络环境相较于IPv4网络环境在安全性上并没有大的提升。IPv6网络在IP层引入了IPv6协议,因此在网络安全架构上没有质的改变。真正要期待的是下一代产品。
参考文献:
[1]马钊、朱军、李爽,IPV6网络安全研究[J].光盘技术,2007(5).
