|
1 引言 IPv6下一代互联网作为提高互联网容量的基础和先导,直接支撑着移动互联网、云计算、物联网等领域的发展。然而随着网络应用的增加、速度的加快和规模的变大,必须面对更多的安全风险,因此网络安全研究是下一代互联网研究的一个重要的领域。
2 国外发展概况
从区域上看,目前美国和欧洲国家对 IPv6 的发展以研究和实验为主体,日本和韩国等亚洲国家则在 IPv6 的商用及业务开展方面处于领先地位,中国起步晚于日本和韩国等国,但是中国互联网和通信市场的巨大空间和前景都使中国有机会、有潜力成为未来 IPv6 产业化进程中举足轻重的一部分。安全是保证网络健康发展的重要因素,IPv6网络安全保障体系的配套建设也成为IPv6网络建设的重要方面,在基于IPv6的网络安全技术中,如何构建安全体系模型是研究的重中之重,它为网络的发展和建设提供基础框架支持。
早在1996年,美国100多所大学和企业联合发起Internet2计划,主要对下一代网络的体系结构进行研究,同时力图发现目前的网络体系结构理论中的缺陷。与IPv6安全体系模型研究同时进行的是模型中所涉及的各种关键安全技术,包括IPsec机制问题、密码技术、访问控制、身份认证等。
另外,基于IPv6的安全审计,IPsec所支持VPN和具有广泛应用前景的移动IPv6等安全应用技术都有一定程度的进展,但并不成熟。在IPv6网络中,基于IPv6的IPsec VPN在端到端数据传输、NAT穿透、可靠性方面比IPv4 IPsec VPN有优势。目前IPv6IPsec VPN主流系统主要采用数字证书系统对用户进行身份认证和IKE的加密参数协商,保证了VPN网关部署的简单性、可管理性以及数据传输的完整性、机密性和抗重播性。
3 国内发展概况
我国在IPv6及其安全技术的研究与开发方面也紧跟国际步伐。在国内,CERNET IPv6示范网于1998年6月加入6bone,并于同年12月成为其骨干成员。1999年9月,有关IPv6的863课题研究启动,很多高校相继组建IPv6示范网,并通过CERNET IPv6示范网与6bone实现相连。1999年11月,国家自然科学基金委启动了“中国高速互连研究试验网络NSFCNET”重大联合研究项目,采用IPv6作为网络层协议,建成了我国下一代高速示范网络。
信息安全上升至国家战略的今天,IPv6网络升级只是信息安全新兴市场的一个缩影。2012年成为我国IPv6商用试点及产业化元年。发改委发布的“2012年下一代互联网技术研发、产业化和规模商用专项”及“下一代互联网信息安全专项”均已取得实质进展。
目前,IPv6的发展已经处于一个关键的决策窗口期。我国已基本完成了IPv6标准制定和国产网络设备的产业化,建成了全球最大的示范网络,安全认证等技术也取得了进展。IPv6及其安全技术的研究汇集了国内多家力量,包括大专院校、研究机构和公司等学术机构和公司团体,这些实体间还进行了广泛的合作,这些发展进一步推动了IPv6及其安全技术的研究。
4 IPv6特点
IPv6继承了IPv4的优点,并根据IPv4多年来运行的经验进行了大幅度的修改和功能扩充,比IPv4处理性能更加强大、高效。与互联网发展过程中涌现的其它技术相比,IPv6可以说是引起争议最少的一个。IPv6取代IPv4已成为必然。
相对于IPv4,IPv6有新的特性和优势。
(1)简洁的协议头格式。IPv6的协议头采用一种新的格式,可以最大程度地减少协议头的开销。
(2)巨大的地址空间。IPv6的源地址和目标地址都是128位的(16字节)。即便是算上目前已为主机分配的所有IP地址,其仍然有充足的地址供今后使用,这样就不需要一些节约地址的技术,比如NAT转换。
(3)有效的、分级的寻址和路由结构。在采用IPv6的Internet中,骨干路由器具有更小的路由表。
(4)有状态和无状态的地址配置。这样就使得IPv6终端能够快速连接到网络上,实现真正的即插即用。
(5)内置的安全性。IPv6协议强制使用IPsec,这就为网络安全性提供了一种基于标准的解决方案,并且提高了不同IPv6实现方案之间的互操作性。
(6)更好的支持QoS。IPv6协议头中的新字段定义了如何识别和处理通信流,因此可以很好地实现对QoS的支持。
(7)用新协议处理邻节点的交互。IPv6中的邻居发现(Neighbor Discovery, ND)协议基于IPv6的下一代网络安全关键技术研究用更加有效的多播和单播的邻节点发现报文,取代了ARP(基于广播的)、ICMPv4路由器发现以及ICMPv4重定向报文等,更加方便和有效。 (8)可扩展性。通过在IPv6协议头之后添加新的扩展协议头的方式,IPv6可以很方便地实现功能的扩展。
5 IPv6的安全问题
下一代互联网意味着更多的应用、更快的速度和更大的规模,与此同时,随着网络应用的增加、速度的加快和规模的变大,必须面对更多的安全风险,因此网络安全研究是下一代互联网研究的一个重要的领域。
目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式由于IPv6的地址空间的规模庞大而不再适用。同样在IPv6网络中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察也是很困难的。IPv6协议强制性使用IPsec机制,同时拥有巨大的地址空间,增大了地址扫描的难度,从网络层这个角度讲,下一代互联网将更加安全。但是IPsec由于密钥管理问题仍然难以广泛部署和实施,并且许多安全攻击发生在应用层,因此IPv6网络仍然面临许多安全问题。
首先,从协议层面看,安全隐患仍然不少。内嵌的IPsec仅是一个网络层协议,只负责其下层的网络安全,而不负责其上层应用的安全。而网络设备不对转发分组的源地址的真实性进行验证是现有安全攻击追踪困难、代价极低、安全服务难于实现的重要原因。
下一代互联网的特点是开放式接口增多,网络应用,速度和规模都将空前的增大,于是安全性方面的风险也相应增大。IPv6协议中引入的许多新的协议特征很可能被利用来完成对系统和网络的攻击,例如IPv6的无状态自动寻址,虽然给合法网络用户使用带来了方便,但非授权的用户可以更容易地接入和使用网络,无状态地址自动配置中的冲突地址检测机制也给拒绝服务攻击带来可能。
此外,IPv4向IPv6的过渡也带来了诸多的网络安全问题。两种协议的长期共存使网络状况更为复杂。IPv4向IPv6过渡期间,采用双栈和隧道机制成为主要手段,但攻击者可以利用双栈机制中两种协议间存在的安全漏洞或过渡协议的问题来逃避安全监测乃至实施攻击行为。对于隧道机制而言,它只是对任何来源的数据包只进行简单的封装和解封,并不对IPv4和IPv6地址的关系做严格的检查。因此,造成防火墙可能轻易被“穿透”。 6 IPv6的安全机制——IPsec标准
IPsec描述了新体系结构提供的安全服务及这些服务的实现机制。IPsec提供的安全服务包括数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击以及一定程度上的数据流量私有性等。IPsec协议是IETF提出的解决网络安全通信的标准协议,该协议主要由体系结构、封装安全载荷(ESP)、认证头(AH)、加密算法、认证算法、密钥管理和解释域(DOI)这七个部分组成。
IPsec 协议的基本思想是:首先通过密钥管理协议协商用于保护数据包的安全关联(Security Association,简称 SA),然后使用协商好的 SA 对数据包进行 AH 协议或 ESP 协议封装。IKE 协议是产生和维护 IPsec 安全关联的主要协议。SA 是通信实体之间对 IPsec 协议(AH 协议或 ESP 协议)、协议操作模式(传输模式或隧道模式)、密码算法、密钥等安全参数的一种协定。
6.1 安全关联(SA)与安全关联数据库(SAD)
安全关联(SA)是IPsec的基础,ESP和AH协议都要通过它来实现安全服务,它决定了用来保护数据包安全的IPsec协议、转码方式、密钥以及密钥的有效存在时间等,文献[4]曾提出可用三元组来标识:<安全参数索引(SPI),安全协议,目的IP地址>,其中安全协议只能是ESP或AH中的一种。SA的工作方式分为两种:传输模式和隧道模式。传输模式用于两个主机间的连接,而隧道模式用于两个网关之间的连接。由于每个SA只能提供ESP或AH中的一种服务,因此有时为了同时实现数据的私有性和完整性,对一个连接可能采用多个SA的组合来实现相应的安全。
安全关联数据库(SAD)用来存放安全关联,SAD中的每一个元组是一个安全联盟SA,而每个安全关联可通过SPI、目的IP地址和安全协议来定位。除了这3个域外,安全关联数据库中的记录主要还包括以下与安全处理相关的内容:包序列号、AH采用的算法及密钥、ESP采用的算法及密钥、安全关联的生命周期等。
6.2 安全策略数据库(SPD)
IPsec系统所使用的策略库一般保存在一个策略服务器中,该服务器为域中的所有节点(主机和路由器)的维护策略库,各节点可将策略库拷贝到本地,也可使用轻型目录访问协议(LDAP)动态获取策略。安全策略数据库(SPD)用来存放和管理用户的安全策略,在这个数据库中,每个条目都定义了要保护的是什么通信、怎样保护它以及和谁共享这种保护。策略描述主要包括两方面的内容:一是对保护方法的描述;二是对通信特性的描述。
6.3 IPsec的工作原理
IPsec协议实现方法比较灵活,它既可以在网关上实现,也可以在主机上实现。无论是哪种情况,当IP数据包进入或离开支持IPsec的接口时,IPsec模块将根据安全策略库决定对该IP包进行何种处理。
当某接口收到一个IP数据包后,根据该数据包的属性及制订的一些安全设置,在安全关联数据库中寻找相应的安全关联,对该数据包进行解密等处理,然后在安全策略库中寻找相应的安全策略。如果不存在与该数据包相对应的安全策略,则将该数据包抛弃并作日志。在找到相应的安全策略后,如果策略规定要抛弃该数据包,则将该数据包抛弃并作好日志;如果策略规定要旁路该数据包,则不对该数据包作更多处理,让它通过;如果策略说明要对该IP包进行IPsec处理,则该策略里应包含对该数据包进行处理的一个或多个安全关联指针,通过安全关联指针可以在安全关联数据库中找到相应的安全关联,如果该安全关联与刚才找到的安全关联不一致的话,也要将该IP包抛弃。
在IPv6中,对进入的IP数据包与出去的IP数据包的处理是有所区别的,比如对安全关联的定位、寻找的方法是不相同的。当接口收到某IP包后,从该IP包中可以提取出安全关联索引、目的IP地址和安全协议,根据该3项内容即可在本地的安全关联数据库中唯一地确定出一个安全关联,从而作进一步的处理;在发送时,如根据安全策略需对该IP包进行IPsec处理,IPsec模块将根据该IP包的属性,在安全策略库中找到相应的对该IP包进行处理的一个安全关联(也可能是多个),并将该安全关联的索引号填入待发送的IP包中,以提供给接收方用来确定相应的安全关联。 6.4 IP认证协议——AH
AH主要提供IP包的数据完整性服务,防止数据在传输过程中被第三方篡改,同时AH也提供对IP包来源的认证,以防止数据重发攻击。AH不仅对IP包的包头进行认证,而且还要对IP包的内容进行认证,但由于IP包中的部分域如包存活周期(IPv6中称为“跳数”,即IPv4中的TTL)、校验等是要变化的,因此AH只对在传输过程中不变的内容或可以预测变化的内容进行认证。由于AH 不能加密数据包所加载的内容, 因而它不保证任何的机密性, 简单来说, AH 只能保证能检测出传输内容在传输过程中被恶意修改和传输出错所造成的传输内容的变化, 但是无法保证所传输的IP 数据包在传输途中被复制或偷窥。
6.5 IP加密安全协议
ESP作为IPv6中的一种扩展头,提供IP包的数据加密功能,此外也提供数据来源认证、基于无连接的数据包完整性、防止重发攻击以及数据流量的私有性等功能。其中,ESP提供的数据包完整性与AH提供的数据包完整性有所区别,AH提供对整个IP包,包括包头和包内容的完整性认证,而ESP提供的完整性则只关心IP包的内容部分。
6.6 密钥交换协议(IKE)
密钥交换协议(IKE)解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。IKE是非常通用的协议,不仅可为IPsec协商安全关联,而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。在IPsec中进行密钥交换有两种方法:一种是使用IKE协议进行自动地密钥交换,一种是手工模式。手工模式只适用于小规模的或者用硬件实现的IPsec,大多数情况下都需要使用IKE协议通过公用网络进行密钥交换。
7 结束语
本文对IPv6协议的国内外发展现状以及特点进行了介绍,阐述了IPv6的安全问题以及其安全机制IPsec的工作机制。随着 IPv6下一代网络的发展,其网络安全问题也面临新的课题,如何在新环境下构造一个安全的网络,实现网络数据安全传输、交换、保存都是有待研究和解决的问题,因此IPv6的网络安全方面的研究任重而道远。
|
|