IPv6的安全機(jī)制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響
IPv6 作為新版IP 協(xié)議,不僅很好地解決了目前IP 地址匱乏的問題,而且由于加密和認(rèn)證機(jī)制的引入,使其在網(wǎng)絡(luò)層的機(jī)密性、完整性方面有了更好的改進(jìn)。因此,可以說IPv6 實(shí)現(xiàn)了網(wǎng)絡(luò)層安全。但這種安全不是絕對的,文中對IPv6 的安全特性進(jìn)行初步探討,指出IPv6 的廣泛應(yīng)用還有待進(jìn)一步的深入研究。
本文引用地址:http://m.butianyuan.cn/article/156649.htm1 IPv6 安全機(jī)制
1 .1 IPv6 定義
IPv6(Internet Protocol Version 6 )是IETF 設(shè)計(jì)的用于替代現(xiàn)行版本IPv4 協(xié)議的下一代IP 協(xié)議。目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP 協(xié)議族,其網(wǎng)絡(luò)層的協(xié)議就是IP,同時也是TCP/IP 協(xié)議族的核心協(xié)議。隨著電子網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)將逐漸進(jìn)入人們的日常生活,我們的生活點(diǎn)滴都將進(jìn)入Internet,正是在這樣的環(huán)境下,IPv6 應(yīng)運(yùn)而生。
1 .2 IPv6 特點(diǎn)
IPv6 是可以無限制地增加IP網(wǎng)址數(shù)量,并且擁有卓越網(wǎng)絡(luò)安全性能和巨大網(wǎng)址空間等特點(diǎn)的新一代互聯(lián)網(wǎng)協(xié)議。特點(diǎn)表現(xiàn)為:
(1)地址空間巨大:IPv6 地址空間由IPv4 的32位擴(kuò)大到128 位,地址空間增大了2 的96 次方倍。
(2)地址層次豐富且分配合理:IPv6 的終端管理機(jī)構(gòu)將某一確定的TLA分配給某些骨干網(wǎng)的ISP,然后骨干網(wǎng)ISP 再有選擇性地為各個中小ISP 分配NLA,而Internet 用戶則從中小ISP 獲得單一的IP 地址。
(3)靈活的IP 報(bào)文頭部格式:IPv6 用固定格式的擴(kuò)展頭部取代了IPv4 中可變長度的選項(xiàng)字段,并且選項(xiàng)部分的出現(xiàn)方式也有所變化。
(4)提高IP 層網(wǎng)絡(luò)安全性能:IPv6 要求強(qiáng)制實(shí)施Internet 網(wǎng)絡(luò)安全協(xié)議IPSec ,并將其標(biāo)準(zhǔn)化。該協(xié)議支持驗(yàn)證頭協(xié)議、封裝安全性載荷協(xié)議和密鑰交換IKE 協(xié)議,這3 種協(xié)議將是未來因特網(wǎng)的安全標(biāo)準(zhǔn)。
IPv6 除擁有上述特性以外,還具有無狀態(tài)自動配置、簡化報(bào)文頭部格式、支持多類型服務(wù)以及允許協(xié)議繼續(xù)演變等特性。
2 IPv4 協(xié)議與IPv6 協(xié)議比較
2 .1 IPv6 協(xié)議優(yōu)勢
IPv6 協(xié)議相對于IPv4 協(xié)議優(yōu)勢體現(xiàn)在:一是具有更大的地址空間;二是使用更小的路由表;三是增加了增強(qiáng)的組播(Multicast )支持和對流的支持(FlowControl );四是加入了對自動配置(Auto Configuration)的支持;五是具有更高的安全性。
2 .2 IPv4 與IPv6 表示方法及功能的比較
IPv6 協(xié)議是對IPv4 協(xié)議的修改和擴(kuò)充,從根本上解決了IPv4 網(wǎng)絡(luò)地址枯竭和路由表急劇膨脹等問題。
2 .3 IPv4 與IPv6 的地址類型與分配方式的比較
IP 地址是一種等級地址,IPv4 的32 位地址被分成網(wǎng)絡(luò)地址和主機(jī)地址,其地址分配采用基于類別的方式,主要有三種方式:A、B 和C,以及2 種特殊的網(wǎng)絡(luò)地址D 和E。IPv6 的地址長度為128 位,IPv6 地址也有3 類,即單播地址、組播地址和泛播地址。與IPv4 采用塊狀地址分配方式相比,IPv6 協(xié)議可根據(jù)用戶的需要進(jìn)行層狀地址分配。
2 .4 IPv4 與IPv6 的安全策略比較
IPv4 作為一種簡單的網(wǎng)絡(luò)互通協(xié)議,存在一系列的安全漏洞,應(yīng)用程序只能通過自身攜帶的私有性和認(rèn)證性操作機(jī)制才能完成安全性操作。IPv6 則全面支持IPsec ,這要求提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全解決方案,以便滿足和提高不同的IPv6 協(xié)議實(shí)現(xiàn)協(xié)同工作能力。IPsec 通過正確使用封裝安全性凈荷頭(ESP)和身份驗(yàn)證頭(AH)來實(shí)現(xiàn)如下安全*:①訪問機(jī)制;②無連接的完整性;③數(shù)據(jù)源身份驗(yàn)證;④對包重放攻擊的防御;⑤加密;⑥有限的業(yè)務(wù)機(jī)密性。
3 IPv6 的安全機(jī)制與現(xiàn)有網(wǎng)絡(luò)安全體系
IPv6 的安全機(jī)制及其對現(xiàn)有網(wǎng)絡(luò)安全體系的影響表現(xiàn)在:一方面,網(wǎng)絡(luò)急劇發(fā)展引起IPv4 在資源設(shè)計(jì)上的有限性凸顯,直接引發(fā)網(wǎng)絡(luò)地址不足的危機(jī),并且這個危機(jī)正日益呈現(xiàn)加劇趨勢;另一方面,出于對安全和信息私密性的考慮,越來越多的商業(yè)機(jī)構(gòu)和政府部門不再愿意在不安全的網(wǎng)絡(luò)上發(fā)送他們敏感的信息和進(jìn)行明文的信息交流,從而導(dǎo)致對加密和認(rèn)證需求的飛速增長。
3 .1 現(xiàn)行IP 網(wǎng)絡(luò)的安全性
IPv6 的安全機(jī)制對網(wǎng)絡(luò)層的安全性,有如下三個公認(rèn)的指標(biāo):(1)身份驗(yàn)證;(2)完整性;(3)機(jī)密性。完整性和身份驗(yàn)證經(jīng)常緊密聯(lián)系,而機(jī)密性則經(jīng)常通過使用公共密鑰加密來實(shí)現(xiàn),這樣也有助于對源端進(jìn)行身份驗(yàn)證。除了上述三點(diǎn)以外,為了確保網(wǎng)絡(luò)安全,還應(yīng)解決下列威脅網(wǎng)絡(luò)安全的問題:(1 )拒絕服務(wù)攻擊;(2)愚弄攻擊:即實(shí)體傳送虛假來源的包。
3 .2 IPv6 對于網(wǎng)絡(luò)層安全的增強(qiáng)
現(xiàn)行的IPv4 協(xié)議很難保證英特網(wǎng)的安全,而與之對應(yīng)的IPv6 則對所有的命令和執(zhí)行程序都有安全方面的考慮,并且提供基于網(wǎng)絡(luò)層上的加密和認(rèn)證機(jī)制,這種機(jī)制對于網(wǎng)絡(luò)層以上的應(yīng)用是不可見的。IPv6的安全主要由IP 的AH 和ESP 標(biāo)記以及正確的相關(guān)密鑰管理協(xié)議來實(shí)現(xiàn)。
(1)認(rèn)證報(bào)頭
IPv6 協(xié)議通過AH 使數(shù)據(jù)包的接收者可以驗(yàn)證數(shù)據(jù)是否真的是從其源地址發(fā)出的,并對傳送數(shù)據(jù)提供密碼驗(yàn)證或完整性測試。AH 的作用如下:(1 )為IP 數(shù)據(jù)包提供強(qiáng)大的完整*;(2 )為IP 數(shù)據(jù)包提供強(qiáng)大的身份驗(yàn)證;(3 )如果IPv6 在完整*中使用了公鑰數(shù)字簽名算法,AH 可以為IP 數(shù)據(jù)包提供無可推卸的服務(wù);(4)通過使用順序號字段來防止重復(fù)攻擊。AH 可以在傳輸模式和隧道模式下使用,這意味著它不僅可用于為兩個節(jié)點(diǎn)間的直接的數(shù)據(jù)包傳送提供身份驗(yàn)證和保護(hù)服務(wù),而且還可用于對發(fā)給安全性網(wǎng)關(guān)或由安全性網(wǎng)關(guān)發(fā)出的全部數(shù)據(jù)包流進(jìn)行封裝。
(2)封裝化安全凈荷
除了認(rèn)證報(bào)頭之外,IPv6 還提供了一個標(biāo)準(zhǔn)的擴(kuò)展頭,即封裝化安全凈荷(ESP),用于網(wǎng)絡(luò)層實(shí)現(xiàn)端到端的數(shù)據(jù)加密,以對付網(wǎng)絡(luò)竊聽。一般而言,ESP 報(bào)頭提供了幾種不同的服務(wù)[4]:(1)通過加密提供數(shù)據(jù)包的機(jī)密性;(2)通過使用公共密鑰加密對數(shù)據(jù)來源進(jìn)行身份驗(yàn)證;(3 )通過由AH 提供的序列號機(jī)制提供對抗重放服務(wù);(4)通過使用安全性網(wǎng)關(guān)來提供有限的業(yè)務(wù)流機(jī)密性。ESP 使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES-CBC)。任何其它的適當(dāng)算法如各種RSA算法等也可以使用。
3 .3 IPv6 的安全機(jī)制對現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)
盡管IPv6 具有諸多優(yōu)點(diǎn),但并不能確保系統(tǒng)的安全運(yùn)行。原因有很多,最重要是由于網(wǎng)絡(luò)安全是一個包含著各個層次,各個方面的問題,而不是一個僅僅由安全的網(wǎng)絡(luò)層就可以解決的問題。即便僅僅從網(wǎng)絡(luò)層來看,IPv6也不是完美的。畢竟它還保留著很多原來IPv4 中的選項(xiàng)和服務(wù)功能,如分片、TTL 等。而黑客曾經(jīng)用這些選項(xiàng)去攻擊IPv4 協(xié)議或者逃避檢測,所以不能保證IPv6 能夠逃避得了類似的攻擊。同時,由于IPv6 引進(jìn)了加密和認(rèn)證機(jī)制,還可能引起新的攻擊方式。
4 結(jié) 論
綜上所述,IPv6 既很好地解決了IP 地址匱乏的問題,也簡化了協(xié)議報(bào)頭,并且成功引入了兩個新的擴(kuò)展報(bào)頭AH 和ESP。它們幫助IPv6 解決了身份認(rèn)證問題,數(shù)據(jù)完整性和機(jī)密性的問題,使IPv6 真正實(shí)現(xiàn)了網(wǎng)絡(luò)層安全,這相對于IPv4 而言是一大進(jìn)步。但是,由于IPv6 安全機(jī)制尚未成熟,這些安全機(jī)制對于當(dāng)前的網(wǎng)絡(luò)安全體系造成了巨大的沖擊。因此,為了適應(yīng)新的網(wǎng)絡(luò)協(xié)議和新的發(fā)展方向,尋找新的解決網(wǎng)絡(luò)安全問題的途徑變得異常急迫。
評論