摘要:在全球金融危機的背景下，中國政府把下一代互聯(lián)網(wǎng)納入了國家電子信息產(chǎn)業(yè)振興規(guī)劃。作為下一代網(wǎng)絡(luò)的核心協(xié)議，IPv6從一定程度上解決了IPv4網(wǎng)絡(luò)存在的很多問題。在安全性方面，IPv6做了一些改進，但也未能解決所有的安全問題。本文先分析了IPv6協(xié)議的安全機制，對IPv6網(wǎng)絡(luò)所面臨安全威脅進行全面地剖析和研究，并給出在網(wǎng)絡(luò)部署過程中的一些建議。

關(guān)鍵詞:IPv6;下一代網(wǎng)絡(luò);安全

中圖分類號:TP393 文獻標識碼:A 文章編號:1000-8136(2009)27-0177-03

1引言

IPv4是一個非常成功的協(xié)議，互聯(lián)網(wǎng)輝煌的發(fā)展史已經(jīng)反復證明了這一點。但隨著Internet規(guī)模爆炸式地擴張和新應(yīng)用的不斷推出，IPv4由于自身的局限性，已經(jīng)無法再支撐計算機互聯(lián)網(wǎng)的進一步發(fā)展。其具體表現(xiàn)為:IP地址空間有限，且分配嚴重不均衡;對安全考慮不足;QoS(服務(wù)質(zhì)量)效率不高;配置不夠簡單;不能有效支持移動性等。

1994年，在IETF批準的RFC1752中公布了IPv6規(guī)范，并明確了以IPv6作為下一代網(wǎng)絡(luò)協(xié)議IPng(IP-the next generation)的基礎(chǔ)。IPv6采用128位地址，其提供的地址數(shù)量達2128個，有一個很恰當?shù)谋扔骺梢詭椭覀兝斫膺@個枯燥的數(shù)字:IPv6巨大的地址空間可以為地球上的每一粒沙子分配一個IP地址。但IPv6并不是僅僅以擴大地址空間為最終目標，它對IPv4編址方案也做了一些修正，以支撐下一代網(wǎng)絡(luò)。其改進的措施包括:全新的報文結(jié)構(gòu);巨大的地址空間;全新的配置方式;更好的QoS支持;內(nèi)置的安全性;全新的鄰居發(fā)現(xiàn)協(xié)議;良好的拓展性;內(nèi)置的移動性等。

IPv6取代IPv4是歷史的必然。從1996年IETF發(fā)起成立6BONE(IPv6試驗床)至今，IPv6作為可控、可信、可擴展的下一代協(xié)議，已經(jīng)逐步加快了商業(yè)化的步伐。1998年6月，我國CERNET加入6BONE，并且在2003年啟動了下一代互聯(lián)網(wǎng)示范工程(CNGI)的建設(shè)。目前已建成世界上最大的IPv6骨干網(wǎng)絡(luò)，并實施了一系列的IPv6應(yīng)用。在全球金融危機的背景下，中國政府進一步加大了對IPv6應(yīng)用以及推進下一代互聯(lián)網(wǎng)的力度，已經(jīng)把下一代互聯(lián)網(wǎng)納入了國家電子信息產(chǎn)業(yè)振興規(guī)劃，并且正在進一步制定行動計劃。2009年6月1日，在全球范圍內(nèi)開始為網(wǎng)站和ISP提供IPv6服務(wù)認證，拉開了IPv6商業(yè)化的序幕。

安全性作為重大的技術(shù)挑戰(zhàn)之一，在IPv4已寸步難行，IPv6是為解決現(xiàn)在互聯(lián)網(wǎng)技術(shù)挑戰(zhàn)而搭建的一個新平臺，互聯(lián)網(wǎng)要獲得繼續(xù)發(fā)展的支撐，必須在新平臺上進行關(guān)鍵技術(shù)的突破。

2IPv6的安全機制

IPv6協(xié)議自身支持IPSec，為網(wǎng)絡(luò)安全性提供了基于標準的解決方案。

IPSec為IP及上層協(xié)議提供了數(shù)據(jù)完整性、數(shù)據(jù)源身份認證、抗重放攻擊、數(shù)據(jù)內(nèi)容的機密性等安全服務(wù)，其作為網(wǎng)絡(luò)安全標準在IPv6下強制實現(xiàn)。它定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法、確定服務(wù)所使用的密鑰等服務(wù)，從而在IP層提供安全保障。IPSec主要由認證頭AH(Authentication Header)協(xié)議、封裝安全負載ESP(Encapsulating Security Payload)協(xié)議、密鑰管理協(xié)議IKE(Internet Key Exchange)三部分組成。AH能提供數(shù)據(jù)源的認證、完整性、及抗重放服務(wù)。ESP除能提供AH的功能外還提供數(shù)據(jù)保密性。

2.1IPSec的體系結(jié)構(gòu)

圖1描述了IPSec的體系結(jié)構(gòu)，該結(jié)構(gòu)體現(xiàn)了各組件之間的交互。

圖1IPSec結(jié)構(gòu)

(1)封裝安全負載(ESP)——通過加密IP數(shù)據(jù)包提供機密性和身份驗證。IP數(shù)據(jù)包加密隱藏數(shù)據(jù)及源主機和目的主機的身份。ESP可驗證內(nèi)部IP數(shù)據(jù)包和ESP報頭的身份，從而提供數(shù)據(jù)來源驗證和數(shù)據(jù)完整性檢查。盡管加密和身份驗證在 ESP中都是可選功能，但必須至少選擇其中一個。

(2)驗證報頭(AH)——不要求或不允許有機密性時使用。AH為兩個系統(tǒng)間傳遞的IP數(shù)據(jù)包提供數(shù)據(jù)驗證和數(shù)據(jù)完整性檢查。它驗證從端到端傳遞的消息在傳送過程中是否未被篡改，還驗證數(shù)據(jù)來源是否被確定。AH不提供數(shù)據(jù)包的數(shù)據(jù)機密性(加密)檢查。AH 協(xié)議單獨使用時提供的保護較脆弱，因此需要將其與ESP協(xié)議配合使用，來提供數(shù)據(jù)加密和篡改檢測等安全功能。

2.2IPsec的配置

IPsec依賴現(xiàn)有算法來實現(xiàn)加密、身份驗證和密鑰交換。IPsec提供框架，管理員選擇在該框架內(nèi)實現(xiàn)安全服務(wù)所要使用的算法。圖2顯示了IPsec的配置方式。

配置IPsec網(wǎng)關(guān)以提供安全服務(wù)時，有四個IPsec框架元素需要確定:

(1)IPsec協(xié)議。選項為ESP、AH和帶AH的ESP。

(2)加密算法(如果IPsec是使用ESP實現(xiàn)的)。選擇適合所需安全級別的加密算法:DES、3DES或AES。

(3)身份驗證。選擇一種身份驗證算法來提供數(shù)據(jù)完整性檢查:MD5或SHA。

(4)Diffie-Hellman(DH)算法組，它建立對等點之間的密鑰信息共享。選擇要使用的組:DH1、DH2或DH5。

圖2IPSec框架

3IPv6網(wǎng)絡(luò)的安全威脅

習慣性的思維是，IPv6應(yīng)該比IPv4安全，因為其有著更高的版本并強制實現(xiàn)IPSec。事實上，雖然IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進，在可控性和抗否認方面有了更好的保證，但安全畢竟是相對的，IPv6不僅不能解決所有的安全問題，同時還可能伴隨其而產(chǎn)生新的安全問題。

安全性對于IPv6網(wǎng)絡(luò)，依然是一個挑戰(zhàn)。

3.1IPSec自身的安全問題

對保護IP數(shù)據(jù)報的安全而言，IPSec是一個強健的、可擴展的機制，但IPSec在十幾年的應(yīng)用過程中也逐漸暴露出自身在安全方面的不足。

(1)默認加密和認證算法強度不夠。MD5和SHA是IPsec采用的典型認證和加密機制，而這些算法已有破譯的報告。

(2)它只能用于單點傳輸，不能進行多點傳輸(組播)，在組播中一個AS可能需要與上千個AS建立鄰接關(guān)系。

(3)IPSec對每個數(shù)據(jù)報都必須進行加密或認證處理，尤其是在通過Diffie-Hellman交換進行密鑰協(xié)商進程中，其中的模冪運算會占用大量的計算資源，給DoS攻擊者留下可以利用的機會。

(4)數(shù)據(jù)鏈路層協(xié)議雖然在壓縮后傳輸數(shù)據(jù)，但加密后的數(shù)據(jù)再進行壓縮，其可能導致壓縮數(shù)據(jù)量的增大，引起Internet傳輸效率問題。

IPv6的設(shè)計者將重點放在保護數(shù)據(jù)安全上，而將網(wǎng)絡(luò)安全問題交給終端用戶。因此，IPv6并沒有解決所有網(wǎng)絡(luò)安全問題，各種網(wǎng)絡(luò)威脅仍然存在。

3.2過渡時期網(wǎng)絡(luò)的安全問題

考慮到成本因素，IPv6并不會在短時間內(nèi)替代IPv4。在過渡時期，這兩種協(xié)議同時存在，而且過程將很長。過渡技術(shù)主要可以分為3類:雙棧技術(shù)、隧道技術(shù)和NAT-PT(Network Address Traslation-Protocol Translation)。過渡問題的存在，將使網(wǎng)絡(luò)結(jié)構(gòu)更復雜，這可能會引入新的安全隱患，給網(wǎng)絡(luò)安全防護提出更嚴峻的挑戰(zhàn)。

雙棧技術(shù)因為容易實現(xiàn)而最常見，其允許設(shè)備同時使用IPv4和IPv6進行通信。在這樣的網(wǎng)絡(luò)環(huán)境下，一種協(xié)議的漏洞必然會影響到另外一種，而這產(chǎn)生的風險甚至不能用簡單地迭加來評估。

6to4隧道在啟用后的默認狀態(tài)下很不安全，容易引入拒絕服務(wù)攻擊、IP地址欺騙和服務(wù)盜用等。而由于自動隧道的方便性，設(shè)計師在規(guī)劃網(wǎng)絡(luò)時有意無意地選擇了對安全因素的忽略。為了對整個隧道進行安全策略的部署，應(yīng)該對隧道進行一些必要的配置，在隧道的入口和出口實現(xiàn)認證，從而建立信任關(guān)系。

NAT-PT利用SIIT(Stateless IP/ICMP Translation)技術(shù)的工作機制，同時又利用傳統(tǒng)的NAT技術(shù)，給訪問IPv4節(jié)點的IPv6節(jié)點分配IPv4地址，實現(xiàn)兩類網(wǎng)絡(luò)之間的互通。但其破壞了網(wǎng)絡(luò)層端到端的安全特性;對于應(yīng)用層加密過的包含IP地址的數(shù)據(jù)包，則流量將不能通過NAT-PT，也不能通過IPsec;由于IPv6域中的權(quán)威域名服務(wù)器不能對來自IPv4域中DNS請求進行簽名應(yīng)答，安全DNS也不能在NAT-PT得到應(yīng)用。

3.3純IPv6網(wǎng)絡(luò)的安全問題

3.3.1地址掃描

由于擁有巨大的地址空間，傳統(tǒng)暴力式的掃描探測技術(shù)在IPv6網(wǎng)絡(luò)不再有效，然而攻擊者也可以根據(jù)IPv6網(wǎng)絡(luò)的一些特性找到攻擊目標。網(wǎng)絡(luò)管理員往往使用特殊的IP地址分配給服務(wù)器或節(jié)點，這些特殊的IP地址可能包括帶有IPv4地址特征的IPv6地址、組播和任播地址，這就大大縮小了攻擊者掃描的范圍，提高了地址掃描的成功率。IPv6網(wǎng)絡(luò)節(jié)點中關(guān)鍵的數(shù)據(jù)結(jié)構(gòu)(鄰居緩存、目的緩存、鄰居列表、默認路由器列表、NAT-PT靜態(tài)映射列表等)描述了網(wǎng)絡(luò)中的其他設(shè)備，攻擊者一旦挾持了網(wǎng)絡(luò)中的某臺設(shè)備并獲取這些信息，就可以利用這些信息對網(wǎng)絡(luò)實施攻擊。

3.3.2無狀態(tài)地址自動配置(Stateless Address Auto-configuration)

無狀態(tài)地址自動配置協(xié)議為IPv6地址的自動配置(不依靠DHCP服務(wù))提供了可行的思路，但有兩個安全問題需要注意。一是地址配置過程和DAD(Duplicate Address Detection)的安全性;二是配置后地址的安全性。前者主要是指信息交互雙方的身份驗證以及信息保密，這可以用IPSec解決。配置后地址的安全性主要是指地址的隱私性問題，任何人都可以依據(jù)MAC地址計算出全局IPv6地址，尤其是IPv6網(wǎng)絡(luò)不斷壯大后，但我們可以考慮用一個隨機數(shù)(而且隨著時間變化)作為Interface ID加上前綴(prefix)來構(gòu)造一個IPv6地址，從而增加了猜測這個地址的難度。

3.3.3ICMPv6和 PMTU

與傳統(tǒng)的ICMPv4一樣，ICMPv6很容易被利用，不停地產(chǎn)生錯誤的IP包或產(chǎn)生反射攻擊，會占用網(wǎng)絡(luò)帶寬和系統(tǒng)資源，甚至導致拒絕服務(wù)?；蛘呤莻卧炷繕瞬豢蛇_的ICMPv6消息給源節(jié)點，源節(jié)點會“知趣地”停止發(fā)送剩余的IP包，導致數(shù)據(jù)流中斷。這些偽數(shù)據(jù)包的產(chǎn)生原因是ICMPv6消息的消息頭和內(nèi)容很容易被篡改，解決的辦法是依靠IPsec保護。

在IPV6中，ICMPv6除了提供ICMPv4常用的功能之外，還定義了其他機制，如PMTU發(fā)現(xiàn)等。在進行PMTU發(fā)現(xiàn)時，攻擊者可以偽造數(shù)據(jù)包超長報文，將MTU的值設(shè)置得很小會嚴重影響網(wǎng)絡(luò)的傳輸效率;將MTU的值設(shè)置得很大，則中間路由器會將數(shù)據(jù)包丟棄，但這些非法的數(shù)據(jù)包不斷地重復，就會大量消耗路由器資源甚至產(chǎn)生拒絕服務(wù)。因此在PMUT發(fā)現(xiàn)過程中對數(shù)據(jù)包超長報文消息的合法性檢查非常重要。

3.3.4鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol)

IPv6中的鄰居發(fā)現(xiàn)協(xié)議同樣存在很多安全隱患。攻擊者可以利用該協(xié)議發(fā)出錯誤的路由器通告、錯誤的重定向信息來挾持IP數(shù)據(jù)流向，實現(xiàn)拒絕服務(wù)、攔截和篡改數(shù)據(jù)的目的。由于IPv6沒有ARP，所以不能單純?yōu)榱丝紤]安全因素而簡單地禁用ND。IETF于2005年3月通過了RFC3971安全鄰居發(fā)現(xiàn)協(xié)議(SEND)，為解決該協(xié)議的安全問題提供了思路。

3.4其他

IPv6工作在網(wǎng)絡(luò)層，其對安全性的改進也只能僅限于IP層。IPv6網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的基本機制并未改變，IPv6仍然在控制平面學習路由以適應(yīng)拓撲的變化，在數(shù)據(jù)平面根據(jù)已知的路由信息對數(shù)據(jù)包進行轉(zhuǎn)發(fā)。因此，在IPv4網(wǎng)絡(luò)中除IP層之外，其他六層中出現(xiàn)的攻擊在 IPv6網(wǎng)絡(luò)中仍然會存在。如DNS的安全性、SNMP的安全性、路由協(xié)議的安全性、IP層外的安全漏洞、病毒、木馬、蠕蟲等，均屬于這一類非IP層攻擊。這類攻擊并非IPv6特有，它們在IPv4網(wǎng)絡(luò)中就一直存在，因此可以借鑒IPv4網(wǎng)絡(luò)中的防護辦法和思路，將其應(yīng)用于IPv6網(wǎng)絡(luò)。

4結(jié)束語

IPv6將支撐著互聯(lián)網(wǎng)以更快的速度繼續(xù)發(fā)展。對互聯(lián)網(wǎng)而言，安全問題是一個綜合性的課題，而網(wǎng)絡(luò)安全技術(shù)只是一種工具和手段，無法從根本上解決安全問題。因此，除了采取認證體系、加密體系、密鑰分發(fā)體系等多種技術(shù)手段外，加強網(wǎng)絡(luò)管理，健全法律，提高社會公民的道德水平也顯得十分重要。

參考文獻

1 李振強、趙曉宇、馬 嚴. IPv6安全脆弱性研究.計算機應(yīng)用研究，2006

2 陳選育、李燦平. IPv6下基于IPsec的VPN的研究與性能分析.信息技術(shù)，2007

3 梁京張、潘 盈、冼月萍. 互聯(lián)網(wǎng)安全問題的哲學思考. 計算機安全，2004

4 RFC3971. SEcure Neighbor Discovery(SEND)

Analysis of Based on IPv6 Network Security Problem

Deng Qirun

Abstract: IPv6 has solved IPv4 network existence many problems from the certain extent， in the secure aspect， IPv6 has made some improvements， but has not been able to solve all security problems. The article has analyzed IPv6 the first agreement safety mechanism， analysis and research the IPv6 network faces the security threat， and gives in the network deployment process some suggestions.

Key words: IPv6; next generation network; safe