摘要:随着产业互联网、物联网、互联网+、云计算、大数据等以互联网为基础的信息技术的发展,所需IP地址的数量也随之增加。IP地址的资源缺乏,将严重制约互联和网的应用和发展,而IPv6(InternetProtocolVersion6)作为下一个版本的互联网协议能解决IPv4网络地址资源不足的问题。然而,IPv6在一段时期内要和IPv4共存,必定会产生一些新的网络安全问题,再加上IPv6中新性能的添加,网络管理的复杂度也会随之加大。因此,研究基于IPv6的网络安全关键技术具有重要的现实意义。
关键词:IPv6;网络安全;关键技术
1IPv6相比IPv4的优势
首先,IPv6将IP地址从32位增加到128位,地址数约是IPV4的1028倍。第二,IPv4得包头有13个域,IPv6得包头缩减为8个域。数据包包头选项更少了,从而加快了路由器的择址速度。第三,IPv6支持更丰富的选项。各选项现在以独立头的形式存在,而不是作为IP头的选项,这显得更灵活,允许路由器忽略那些与他们无关的头,使包的处理速度更快[3]。第四,内置的安全性。IPv6协议强制使用IP安全(IPSecurity,IPSec)这就为网络安全性提供了一种基于标准的解决方案,并且提高了不同IPv6实现方案之间的互操作性。第五,IPv6提供了一些新的功能,当发送方需要对一些数据流进行特殊处理,比如一些非默认服务质量(QoS)的处理,可以标记这些数据流的包,更好的支持服务质量。第六,IPv6的可扩展性,以支持认证、数据完整性以及数据机密性等[1]。
2IPv6安全机制
由于IPv4本身没有提供有效的安全机制,黑客往往通过软件漏洞、内部植入威胁、逻辑炸弹、特洛伊木马等手段改变整个报文,使得用户数据遭到各种各样的攻击。要解决网络的安全问题,必须首先解决IP的安全问题。1995年互联网工程任务组决定开始研究用于保护网络安全通信的体系结构,即IPsec(网络安全体系结构)。IPSec是IPv6的一个组成部分,它是一个开发功能是协议的基本框架,用以保证IP网络上数据通信的安全性。2.1IPSec基本结构IPSec中最主要的两个部分:鉴别首部AH,用来鉴别源点和检查数据完整性,但不能保密。封装安全载荷(ESP),它比AH复杂得多,不仅具备AH的功能,还能够提供保密功能。同时对数据的传输规定了2种模式:传输模式和隧道模式[2],如图。2.2安全关联安全关联(SA,SecurityAssociation)的概念是IPSec的基础。是通信双方对某些要素的一种协定,用户保护它们之间的数据流密钥的生存期。实现IPSec数据完整性的认证头(AH,AuthenticationHeader)和用来实现数据的机密性的封装安全载荷(ESP,EncapsulatingSecutityPayload)均使用SA。2.3安全策略数据库(SPD)数据包怎样或按照什么要的规则安全的流入和流出,这就是我们所说的安全策略。而IPSec中将所有的安全策略都存放在一起,就形成了安全策略数据库。在对数据包进行处理的过程中,需要根据“选择符”在此数据库中一一检索,最终找到这个数据包所需要的安全服务。对于一个数据库,必定少不了谈到它的管理功能,包括策略的新建、删除和修改。当然怎么样管理安全策略,还要根据IPSec真实的处理过程。2.4安全关联数据库(SADB)简单地说,安全关联数据库就是用来存放安全关联(SA)。在数据包流入或流出过程中,都会创建一个适当的SA,存放在数据库中,且不能与其他SA重复。SA是单向的,也就是说,数据包的流入和流出都需要建立单独的SA。正因为它单向来的,所以它的结构也非常简单。比如:HostA通过Internet给HostB发送数据,采用封装安全载荷(ESP)进行安全传输。这时HostA建立一个SA,用于处理数据包的流出;由于SA是单向的,HostB还需要建立一个用于处理数据包的流入的SA。在此过程中所产生的密码算法、密钥等参数由两个单向的SA共同享有。2.5认证头(AH)认证头(AH),作为一种网络协议,只能确保数据包在传输过程中没有被篡改,且数据包一个新的而非重放的包,不定义任何加密算法。AH在数据包中的位置,取决于采用哪种传输模式:传输模式(如图2)和隧道模式(如图3)。在传输模式中,AH用于保护上一层传输层TCP或UDP协议,确保两个独立主机通信的安全性,也有一定的局限,比如HostA和HostB之间要进行通信,可是在Internet和HostA之间有个用于保护它的安全网关,数据包经过网关之后,网关用它的IP地址替换数据包中的源地址,重新计算ICV,当数据包到达HostB时,它计算出来的ICV和HostA计算出来的不匹配,就会发生弃包的现象。2.6封装安全载荷封装安全载荷(ESP),也是网络协议的一种。它除了能实现AH的所有功能外,还增加了额外的服务:使用加密器对数据提供保密服务。和AH的情况一样,ESP在数据包中的位置取决于ESP的操作模式:传输模式(如图4)和隧道模式(如图5)。值得注意的是,AH要对整个IP数据包进行身份认证,而ESP只对头部、传输协议头、传输协议数据部分进行身份认证。在传输模式中,当主机的IP地址为私有的或是在主机后有一个保护它的地址的安全网关,可以通过ESP来提供认证和加密保护,由于它只能认证和加密其中的一部分(如图4所示),网关可以修改IP头,而恰巧ESP的头未被修改,且目的端对IP头的校验和加密都正确,数据包将被目的主机认定成功。这样提高的认证的速度,也暴漏了ESP的弱点,在数据包的传输过程中,如果IP头被修改的部分校验成功,目的主机也无法检测到任何的修改。与传输模式不同,隧道模式验证整个原IP头,新IP头部被验证和加密[3]。如果新IP头也被验证和加密,就会出现和AH协议一样的局限性(上文已介绍)。总之,AH和ESP都有自己的优缺点,将二者结合使用,既提供的认证服务也有加密服务,将提高数据通信的安全性。2.7Internet密钥交换(IKE)Internet密钥交换协议(IKE)在RFC2409中定义,不只可以为IPsec提供安全关联,也可以为其他安全些提供。前文中已经提到,IPsec中使用的AH和ESP均使用SA,SA可以手工创建或者动态建立,而IKE的一个主要功能就是动态建立SA并对它进行管理和维护[4]。IKE属于混合型协议,建立在Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架上,同时,IKE还实现了两种密钥管理协议(Oakley和SKEME)的一部分。此外,IKE还定义了它自己的密钥交换方式。
3IPv6存在的安全问题
网络安全永远是一个相对的概念。相对IPv4协议来说是有所改进,但IPv6也不能解决网络安全中的所有问题。IPv6协议使IP地址由32位增加到128位,解决的IP地址数量紧缺的问题,使网络黑客入侵个人计算机盗窃数据的难度增加,但庞大的地址空间同样也给网络管理人员增加了管理复杂度;IPv6将IPsec视为自己的一部分,有效解决了网络层的安全问题,但其他层的协议的安全性还和IPv4一样存在风险;IPv6和IPv4有很长一段时间是共同存在的,不可能一夜就取代IPv4,双协议栈机制要求主机必须拥有一个IPv4地址,如果使用范围很大,又会出现IP地址不足的情况,也会给网络带来未知的新的安全问题[5]。
4总结
随着互联网、物联网、“物联网+”的快速发展,IPv6将代替IPv4已经成为事实,IPsec作为IPv6固有的一部分,能够保证数据的完整性、数据机密性,防止IP欺骗等各种攻击。虽然两种协议在共存期间,可能会出现新的安全问题,但IP安全协议是目前用于保护IP通信的最好的解决方案。
参考文献:
[1]高峰等.IPv4向IPv6过渡机制与安全问题[J].现代电信科技,2009(10).
[2]王丽雯.基于IPv6的网络安全架构分析与研究[D].西安:西安科技大学,2008.
[3]刘晔,彭泽武.IPv6网络安全问题分析[J].实践与经验,2013(10).
[4]廖悦欣.IPSec协议实现技术研究[D].广州:华南理工大学,2013.
[5]韦霞.浅谈IPv6网络安全问题及解决对策[J].信息安全与技术,2012,3(11):25-27.
作者:檀小璐 娄雨 单位:秦皇岛职业技术学院
