IPv6安全机制问题探讨_最终定稿
IPv6安全机制问题探讨
作者:王宝贻 指导老师:胡滨
摘要:随着Internet的迅速增长以及IPv4地址空间的逐渐耗尽,IPv6作为Internet协议的下一版本,正在不断扩大着其影响力。与IPv4相比,IPv6在地址空间和网络保密性、完整性方面有了长足的进步,因此可以预测,IPv6将在未来的几年内逐渐取代IPv4。本文以IPv6的定义和技术特点为出发点,详细阐述了基于IPv6的验证和加密安全机制,并讨论了IPv6在网络安全方面引发的一些不容忽视的问题,如易受蠕虫和病毒攻击、拒绝服务攻击乏力等等。最后,文章提出了可以利用现有技术手段来解决网络安全问题的应对措施。
关键词:IPv6;安全机制;网络安全
Discussion on IPv6 security mechanisms
WANG Bao-yi HU Bin
Abstract:With the Internet's rapid growth and the gradual depletion of IPv4 address space, IPv6 as the next version of Internet Protocol, is constantly expanding with its influence. Compared with IPv4, IPv6 has made significant progress on address space, Internet Privacy and integrity. So, it can be predicted that IPv6 will replace IPv4 gradually in the next few years. This paper began with the definition and technical features of IPv6, detailing the authentication security mechanism and encryption security based on IPv6. At the same time, the article discussed a number of issues about the security aspects of IPv6 in the network which can not be ignored, such as it is vulnerable to worms and virus attacks, it is weak to deny of service attacks and so on. Finally, the paper proposed to leverage our existing technical means to solve network security issues responses.
Key words: IPv6;security mechanisms;Network Security
引言:在全球互联网高速发展的今天,随着新应用的不断涌现,传统的IPv4协议已经难以支持互联网的进一步扩张和新业务的特性,如地址资源即将枯竭、路由表越来越大、缺乏服务质量保证等等;同时,在网络安全性方面问题也日渐凸显。从根本上看,互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题,使IPv4网络面临各种各样的威胁。为适应Internet的迅速发展及对网络安全性的需要,新一代Internet协议——IPv6应运而生[1]。
1. IPv6的定义及主要技术特点
1.1 IPv6定义
IPv6协议(Internet Protocol version 6)是IP协议第6版本,是作为IPv4协议的后继者而设计的新版本的IP协议。基于IPv4协议在IP地址空间以及安全方面的局限性,互联网工程任务组IETF(The Internet Engineering Task Force)开始着手下一代网际协议(IP Next Generation Protocol,IPng)又被称为IP版本6(IPv6)的制定工作。IPv6地址空间从32位增加到128位,确保加入因特网的每个设备的端口都可以获得一个IP地址,从而彻底解决了IPv4地址不足的问题[2]。另外,在IPv6的设计过程中还考虑了在IPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面:扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、更好的安全性保证、支持即插即用和移动性、更好实现多播功能。
1.2 IPv6的主要技术特点
IPv6是拥有能够无限制地增加IP网址数量、卓越网络安全性能、移动性和流标号能力等特点的新一代互联网协议。[3]其特点具体为:
(1)地址空间的扩大。IPv6地址空间由IPv4的32位扩大到128位,从而形成了一个庞大的地址空间。
(2)地址层次丰富分配合理。IPv6的管理机构将确定的TLA分配给骨干网的ISP,然后骨干网ISP再为各个中小ISP分配NLA,而用户从各个中小ISP获得IP地址。
(3)无状态自动配置。IPv6通过邻居发现机制能为主机自动配置接口地址和缺省路由器信息,使得从互联网到最终用户之间的连接不经过用户干预就能够快速建立起来。
(4)改善了各种扩展与选项的支持。IPv6 分组头的特别编码增加了传输的高效性,允许协议进一步扩充(硬件更新),减少了对选项长度的限制,增强了引进新选项的灵活性,而IPv4 的选项和功能却不能变化。
(5)实现IP层网络安全。IPv6要求强制实施因特网安全协议IPSec,并已将其标准化。IPSec支持验证头协议、封装安全性载荷协议和密钥交换IKE协议,这3种协议将是未来Internet的安全标准。
(6)分组头格式的简化。IPv6数据报的首部与IPv4不兼容,在IPv4的基础上优化了其基本首部,并定义了若干可选的扩展首部。路由器不处理扩展首部(逐跳除外),因此能够增大路由器的吞吐量。
(7)移动性。基于移动IPv6协议的IP层移动功能是其另一个重要优势。IPv4 中的移动协议和IPv6 的本质区别在于: 移动IPv4 协议不适用于数量庞大的移动终端。而移动IPv6 可以通过简单扩展,满足大规模移动用户的需求,能够在全球范围内解决有关网络和访问技术之间的移动问题。
(8)增加了流标号能力。流(flow)是IPv6的新概念,指网络上从特定源点到特定终点的一系列实时声音视频数据报,流经过的路径上所有路由器都能够保证其服务质量(QoS),同一个流的全部数据报具有相同的流编号。
2. IPv6的安全机制
2.1 IPv6中的验证
IP 协议层的安全框架已经由IETF 的IP 安全协议工作组( IPSEC) 在RFC2401 中正式定义并且进行了标准化。当前,该框架由6 个截然不同的要素组成,其中核心的部分就是提供验证功能的认证报头(AH)和提供加密功能的封装安全载荷(ESP) [4]。
IPv6 的认证报头Authentication Header(AH)的设计目的是用于保证无连接的完整性,对于IP 数据报提供数据原始认证,并提供对重播放的保护机制。对重播放的保护机制是可选的,只有当接收节点验证序列号时,该业务才有效。认证报头能对IP 报和高层协议数据提供认证。
AH的作用如下[5]:
(1)为IP数据包提供强大的完整性服务,这意味着AH可用于验证IP数据包所承载的数据。
(2)为IP数据包提供强大的身份验证,这意味着AH可用于将实体与数据包的内容相关联。
(3)如果在完整性服务中使用了公钥数字签名算法,AH可以为IP数据包提供不可抵赖服务。
(4)通过使用顺序号字段来防止重放攻击。
IP 验证有两种操作模式: 传输模式和隧道模式。在传输模式验证中,IP 报头中的一些数值不受保护。但是一些应用环境可能恰恰需要对这些数值进行保护。在这些情况下,必须通过把原始的、受到完整保护的IP 数据包中来建立一条隧道,这个外部IP 数据包的内容只是受到验证校验和部分保护。进行发送的安全网关检查外部IP 数据包的检验和,打开外部IP数据包,并且取得内部的IP 数据包,然后内部IP 数据包的校验和可以通过持有端到端SA 的接受方终端来进行检验。
2.2 IPv6中的加密
IPv6的封装安全载荷Encapsulated Security Payload(ESP)的设计目的是在IPv4和IPv6中提供混合的安全业务。ESP通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密钥能够打开内容[6]。ESP也能提供认证和维持数据的完整性,最主要的ESP标准是数据加密标准(DES)。
ESP报头提供了几种不同的服务,其中某些服务与AH有所重叠[7]:
(1)通过加密提供数据包的机密性。
(2)通过使用公共密钥加密对数据来源进行身份验证。
(3)通过由AH提供的序列号机制提供对抗重放服务。
(4)通过使用安全性网关来提供有限的业务流机密性。
IPv6标准包含了一种密码算法: DES-CBC,每种实现方案都必须支持这种算法。ESP的设计者们选择了DES作为用来加强不同IPv6实现方案之间交互的默认算法。但是可以预见,像在AH中那样的协商能力,将可以对高强度算法(例如三重DES或IDEA)和密钥长度进行选择,前提是IP软件的供应商能够提供更加强大的密码术,而且用户可以使用高强度的密码产品。
同验证的情况一样,IP加密也有传输模式和隧道模式两种模式。传输模式对所有端到端载荷,包括传输协议报头在内都进行加密。而IP报头和其后所有的扩展报头一直到真正的ESP报头都没有进行加密,加密这些报头会导致整个机制变得无用,因为所有的路由器和相似的设备需要在IP数据包传输的过程中浏览、处理甚至修改这些报头。因此,如果需要对整个IP数据包进行加密的话,就必须通过隧道模式。
2.3 验证和加密的结合
为一个IP数据包提供完整性、真实性和机密性的初始理念是同时使用AH和ESP(以一种AH领先于ESP的顺序,从而接收方可以首先检验数据包的真实性和完整性,然后尝试解密)。因为按照设想,在许多情况下,两个扩展报头会被一起使用,从而导致IP数据包整体大小的增加,而验证功能被额外嵌入到ESP报尾,以保护ESP序列号和真正的有效载荷。因此在这里,高级协议的编程人员面临着一个选择,是同时依次单独使用AH和ESP,还是仅仅依赖ESP报头,而在ESP报尾包含一个可选的验证功能。不管是哪种情况,选择传输模式还是隧道模式都与所使用的AH和ESP的组合无关。
总之,IPv6通过IPSec所定义的一整套完善的安全机制,在身份认证报头(AH)和封装安全载荷报头(ESP)的支持下,为IPv6网络环境下的网络层数据提供各种安全服务。[8]IPv6不但可以进行身份认证,并且可以保证数据包的完整性和机密性,所以在安全性方面,IPv6较IPv4有了质的飞跃。
3.IPv6引发的网络安全问题
与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保证,但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题,主要包括应对拒绝服务攻击(Dos)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。[9]此外,在IPv6中还有一些问题亟待解决,主要包括:
(1) 蠕虫和病毒。[10]尽管IPv6的地址空间非常大,蠕虫和病毒通过扫描地址段的方式来找到有可乘之机的目标机非常困难,但是IPv6网络中一些关键主机仍然存在,如一些DHCP服务器、DNS服务器、路由器的地址很容易被猜到,从而这些关键主机容易受到攻击。另外基于应用层的蠕虫和病毒在IPv6网络里仍然存在,电子邮件病毒仍然在传播。
(2)IPv6网络最易遭受拒绝服务攻击乏力。这种攻击的目的不在于窃取对方信息,而是使对方的网络或网络设备处于瘫痪状态,无法正常进行工作。在IPv6网中,组发地址定义方式给攻击者带来了更多机会。例如,IPv6地址FF01::1 是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。
(3)地址和端口欺骗。在地址转化过程中,隧道会造成地址欺骗,如通过中继路由器实现6to4。这种欺骗可以使得Dos、Spam、蠕虫、病毒难以被追踪。IPv4到IPv6转换过程非常复杂,IPv6过渡过程常采用隧道和转化机制,这些都为攻击者带来了机会。
(4)针对TCP 协议本身的攻击,如SYN flood攻击。在SYNFlood攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源端返回ACK包。由于源地址是伪造的,所以源端永远都不会返回ACK 报文,受害主机继续发送SYN+ACK包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口的半连接队列的长度是有限的,如果不断的向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器进行的连接请求,最终使受害主机的资源耗尽。这种是基于TCP协议本身机制漏洞,IPv6并不能解决这方面的攻击。
(5)IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新制订,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段;
(6)IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现,然而这方面的安全技术研发还尚需时日;
(7)IPv6 协议仍需在实践中完善,例如IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。
总之,尽管IPv6在IP层引入重要加密机制IPSec,一定程度上为传输层、应用层加密、身份认证提供方便,但是IPv6并不能根本上解决所有安全问题。[11]因而基于IPv6的下一代互联网仍遭受许多攻击。任何针对应用层,如WEB服务器,数据库服务器等的攻击都将仍然有效。
4. 针对IPv6网络安全的应对措施
为了保证基于IPv6的下一代互联网的安全运行,一方面要建立新的网络安全体系,更好地应用新的密码技术,加强传输层安全建设,,同时建立病毒和蠕虫检测系统、采用数据包的截获和过滤机制;另一方面,在应用层,可以采用的防护手段包括:通过AAA、TACACS+、RADIUS等安全访问控制协议,控制用户对网络的访问权限,防患针对应用层的攻击;通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击;通过路由过滤、对路由信息进行加密和认证、定向组播控制、提高路由收敛速度以减轻路由振荡影响等措施,来加强三层网络的安全性。由于IPSec的实施并不能替代传统安全设备,防火墙和入侵检测系统仍有存在的必要,通过建立DMZ以及路由器与防火墙的结合使用,从而保证在IP转发过程中的安全[12]。
结论:综上所述,IPv6解决了地址匮乏的问题,并且引入IPSEC带来的认证和加密安全机制,实现了IPv6的身份认证和数据包的完整性、机密性,增强了网络层的安全,对于应对网络威胁与攻击,保障网络通信安全成效显著。[13]但是仅凭借IPv6所提供的安全机制并不能保证下一代互联网络安全运行,网络安全是个层次性问题,涉及到协议本身的完善性、人为管理的严密性、网络安全体系的科学性等等。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,如认证体系、加密体系、密钥分发体系、可信计算体系等,从而建立起一个基于IPv6的高效的、全方位的、可信任的网络安全体系。
参考文献:
[1] 张玉军,田野.IPv6 安全问题研究[J].中国科学院研究生院学报,2005,22(1):30-37.
[2] 周逊.IPv6——下一代互联网的核心[M].电子工业出版社,2003.
[3] Franjo Majstor .Does Ipv6 protocol solve all security problems of Ipv4 [J].Information Security Solutions Europe, 2003:7-9.
[4] 胡建赟,李强,闵昊.时隙ALOHA法在RFID系统防碰撞问题中的应用[J].应用科学学报.2005, 23(5):489-492.
[5][7] Pete Ldshin.IPv6详解[M].机械工业出版社,2000,4:69-79.
[6] 梁羽.IPv6 的安全问题探讨[J].科协论坛,2008(04):89.
[8] Doraswamy N , Harkins D . IPSec 2 the new security standard for the Internet, Intranet , and Virtual Private Networks[M] . Prentice HallPTR,1999.
[9] 关慧,由德凯.IPV6的安全性分析语研究[J].信息安全与通信保密,2006(03):89-90.
[10] 王以伍,任宇,陈俊. IPv6安全技术分析[J].电脑知识与技术,2008,4(5):1082-1083.
[11] 王玲,钱华林.IPv6的安全机制及其对现有网络安全体系的影响.微电子学与计算机,2003, 20(1):50-53.
[12] Kent S ,Atkinson R .Security architecture for the Internet protocol[M] ,RFC,1998.
[13] 刘世杰,李祥和.IPv6对网络安全的改进[J].电视技术,2007.31(2):58-59.
IPv6安全机制问题探讨_最终定稿
