李娜

【摘 要】網(wǎng)絡安全是一個永恒的話題，IPv6解決了IPv4地址短缺現(xiàn)狀，它強制引入了加密和認證機制，強制實現(xiàn)IPSec，確保了數(shù)據(jù)的完整性和保密性的封裝，實現(xiàn)了網(wǎng)絡層的安全性。但這也不是絕對的安全，下一代互聯(lián)網(wǎng)仍有很多的安全威脅。本文分析了基于IPv6的下一代網(wǎng)絡存在的安全問題，并提出相應的對策。

【關鍵字】IPv6；網(wǎng)絡安全；IPSec

引言

基于IPv6的下一代互聯(lián)網(wǎng)，作為提高互聯(lián)網(wǎng)容量的基礎和先導，直接支撐著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等領域。然而，隨著網(wǎng)絡應用速度和規(guī)模的變大，必須要面對更多的安全風險，所以網(wǎng)絡安全是下一代網(wǎng)絡研究的一個重要領域。

下一代互聯(lián)網(wǎng)的特點是開放式接口的增加，網(wǎng)絡應用的速度和規(guī)模將有前所未有的增加，所以安全性方面的風險也相應增大。 IPv6協(xié)議引入了許多新的協(xié)議功能被用來完成可能對系統(tǒng)和網(wǎng)絡的攻擊，如IPv6無狀態(tài)自動尋址，給合法的網(wǎng)絡用戶帶來了方便的同時卻也給非授權用戶可以更容易訪問和使用網(wǎng)絡的機會，無狀態(tài)地址自動配置里的地址沖突檢測機制也可能帶來了拒絕服務攻擊。

一、IPv6協(xié)議及其安全機制

（一）IPv6協(xié)議

IP協(xié)議是TCP/ IP協(xié)議族的核心協(xié)議，所有的TCP，UDP，ICMP，IGMP數(shù)據(jù)都可以以IP數(shù)據(jù)報傳輸。 IPv6協(xié)議為“IP下一代協(xié)議”擴充了地址空間，對IPv4也做了各個方面的改進，從各方面改善了IPv4。IPv6比IPv4具有更好的安全性和服務質量，對多播技術支持的更好，可管理性更好。IPv6協(xié)議的數(shù)據(jù)報相比IPv4更簡單，更靈活，下圖所示IPv4和IPv6協(xié)議的數(shù)據(jù)報格式：

圖1：IPv4數(shù)據(jù)報格式

圖2：IPv6數(shù)據(jù)報格式

IPv6協(xié)議將地址數(shù)位延長至128位，徹底解決了IPv4地址短缺的問題。雖然IPv6的地址是IPv4的四倍，但報頭只有IPv4 的兩倍，并使用一個固定的格式標頭，簡化了路由器的操作，降低了路由器的處理開銷。 為了使IP地址的分配更合理、更方便，IPv6支持無狀態(tài)和有狀態(tài)兩種地址自動配置。 IPv6同時提供優(yōu)質的對服務質量（QOS）的支持，“優(yōu)先級”字段按需對特殊的QOS分組提供服務。此外，IPv6定義的IP層移動支持協(xié)議（移動IPv6，MI IPv6），通過一個簡單的擴展，滿足了大規(guī)模移動用戶的需求。

（二）IPv6協(xié)議的安全機制

IPv6協(xié)議內置安全機制標準化為IPSec （ IP Security ） ，并已通過了IETF 。 IPSec提供了兩種服務：認證和加密。認證是用來確保數(shù)據(jù)包的完整性，并提供身份鑒別服務。數(shù)據(jù)的一致性和保密性主要通過封裝安全凈荷報頭（Encapsulating Security Payload Header ， ESP ）來實現(xiàn)。

IPv6協(xié)議使用AH和ESP兩個安全協(xié)議和密鑰分配和管理協(xié)議，實現(xiàn)IPSec中的安全功能。

（1）AH協(xié)議（Authentication Header Protocol，認證頭協(xié)議）：AH協(xié)議提供數(shù)據(jù)源認證、數(shù)據(jù)完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數(shù)據(jù)。AH的工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報文頭，此報文頭插在標準IP包頭后面，對數(shù)據(jù)提供完整性保護?？蛇x擇的認證算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。MD5算法的計算速度比SHA-1算法快，而SHA-1算法的安全強度比MD5算法高。

（2）ESP協(xié)議（Encapsulating Security Payload Protocol封裝安全載荷協(xié)議）：ESP協(xié)議提供加密、數(shù)據(jù)源認證、數(shù)據(jù)完整性校驗和防報文重放功能。ESP的工作原理是在每一個數(shù)據(jù)包的標準IP包頭后面添加一個ESP報文頭，并在數(shù)據(jù)包后面追加一個ESP尾。與AH協(xié)議不同的是，ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，以保證數(shù)據(jù)的機密性。常見的加密算法有DES、3DES、AES等。同時，作為可選項，用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。這三個加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法實現(xiàn)機制復雜，運算速度慢。

（3）IKE協(xié)議（ Internet Key Exchange Protocol， Internet網(wǎng)密鑰交換協(xié)議）：IKE協(xié)議是用于保證虛擬專用網(wǎng)絡（VPN）協(xié)商、遠程主機或網(wǎng)絡接入安全的一項網(wǎng)絡安全協(xié)議（IPsec）。該協(xié)議的功能可簡單概括為以下三個方面：一是用于通信雙方協(xié)商所使用的協(xié)議、加密算法以及密鑰等；二是用于通信雙方進行密鑰交換；三是用于跟蹤對以上約定參數(shù)的具體實施情況。

AH和ESP協(xié)議為IPSec 協(xié)議建立安全的虛擬專用網(wǎng)絡提供保密性，身份驗證和其他基本服務，但是光有這些還不夠，還需要提供一個可以協(xié)商的協(xié)議來為通信雙方提供分發(fā)和管理秘鑰，這便是IKE協(xié)議可以完成的功能。

二、IPv6下存在的安全問題分析

（一）IPv6安全漏洞分析

IPv6的漏洞是指IPv6協(xié)議固有的漏洞，以及網(wǎng)絡設備、操作系統(tǒng)、網(wǎng)絡服務和解析IPv6協(xié)議及其子協(xié)議的數(shù)據(jù)包過程中產生的漏洞。 IPv6的子協(xié)議包括但不限于以下協(xié)議： NDP（鄰居發(fā)現(xiàn)協(xié)議），ICMPv6 （ Internet控制消息協(xié)議） ， DNSv6 （DNS），DHCPv6 （動態(tài)主機配置協(xié)議），IPSec （ Internet協(xié)議安全性）等。 IPv6的漏洞主要發(fā)生在IP層，但是， IP層以上的必須通過IPv6網(wǎng)絡數(shù)據(jù)所觸發(fā)的漏洞也屬于IPv6相關的漏洞。

按漏洞造成的危害可分為：本地權限提升漏洞，遠程信息披露，遠程命令執(zhí)行，遠程拒絕服務，遠程數(shù)據(jù)修改，不必要的服務，其他類別。所有IPv6相關的漏洞中，有一半以上的漏洞可能導致遠程拒絕服務，這對于網(wǎng)絡設備和網(wǎng)絡服務是比較嚴重的。如果加上可能會導致本地拒絕服務攻擊漏洞，拒絕服務漏洞將占IPv6漏洞的60%以上。因此，在IPv6網(wǎng)絡環(huán)境中，抗拒絕服務攻擊將是非常艱巨的任務。其次，可以導致遠程代碼執(zhí)行漏洞，信息泄露和繞過安全機制以避免檢測和其他災害的漏洞也占據(jù)了較大的比例。

按漏洞影響的系統(tǒng)分類，可以分為影響AIX漏洞，影響HPUX漏洞，影響Linux漏洞，影響UNIX的漏洞，影響Windows漏洞 ，影響網(wǎng)絡設備/防護墻系統(tǒng)漏洞等。

按照相關的數(shù)據(jù)分析，所有的IPv6漏洞中，影響比例最大的是影響網(wǎng)絡設備的漏洞，這主要是由于IPv6的相關漏洞主要發(fā)生在網(wǎng)絡層，而網(wǎng)絡層數(shù)據(jù)處理的最主要實體是網(wǎng)絡設備，除了網(wǎng)絡設備，被廣泛使用的Linux和Windows操作系統(tǒng)以及系統(tǒng)無關的應用程序和服務也成為IPv6相關的漏洞的主要來源。

（二）IPv6協(xié)議新增功能的安全性問題

IPv6協(xié)議支持無狀態(tài)的地址自動配置，該功能可能會導致非授權用戶可以更方便地訪問和使用網(wǎng)絡。需要加強移動終端、用戶身份認證和網(wǎng)絡訪問控制。 ICMPv6作為IPv6協(xié)議的一個重要組成部分需要防止DOS攻擊、反射攻擊。鄰居發(fā)現(xiàn)協(xié)議（ ND ）與IPv4中的ARP協(xié)議相似，需要防止DoS攻擊和中間人攻擊。因為IPv6是對IPv4在互聯(lián)網(wǎng)協(xié)議棧IP層的升級， IPv6協(xié)議自身的安全機制以及漏洞、IPv6的新功能和擴展地址空間都將給我們一個新的安全研究問題。

（三）IPv6下網(wǎng)絡安全面臨的威脅

IPv6協(xié)議對IPv4協(xié)議的根本改變是發(fā)生在IP層，因此，針對IPv6協(xié)議所定義的包頭及擴展頭的、容易發(fā)生的安全威脅，我們需要進行充分的準備。常見的針對IPv6擴展頭的攻擊，主要包括利用分片擴展頭發(fā)起分片攻擊，逃避防火墻/IDS（Intrusion Detection System，入侵檢測系統(tǒng)）的檢查或者發(fā)動DOS攻擊；利用路由擴展頭的type 0類型，在網(wǎng)絡中發(fā)起放大攻擊。

IPSec是一種開放式標準架構，通過使用加密的安全服務以確保在Internet協(xié)議（ IP）網(wǎng)絡上保密而安全地通信。為了實現(xiàn)網(wǎng)絡層的安全， IPv6協(xié)議中強制實施了IPSec，其主要優(yōu)點是就是透明度，即提供安全服務不需要對應用程序和其他通信層及組件進行任何更改。在路由器或防火墻安裝IPSec時用戶或服務器系統(tǒng)中軟件的設置無需更改。各種應用程序都可以共享IP層提供的安全服務和密鑰管理，而不必設計和實現(xiàn)自己的安全機制，從而降低了密鑰協(xié)商的開銷及安全機制的相關培訓。但是，由于秘鑰管理問題仍然難以廣泛的部署和實施，許多安全攻擊發(fā)生在應用層而非網(wǎng)絡層，因此網(wǎng)絡仍然面臨著諸多的安全問題。

（1）針對密碼的攻擊

基于密碼的攻擊是很具有生命力的，在IPv6的環(huán)境下也面臨著這樣的威脅。雖然IPv6下對IPSec進行了強制執(zhí)行，但在這種情況下，用戶使用的操作系統(tǒng)和其他訪問控制的共同點是基于密碼的訪問控制，對計算機和網(wǎng)絡資源的訪問都是由用戶名和密碼決定的，對于那些老版本的操作系統(tǒng)，一些組件并不是在通過網(wǎng)絡傳輸標識信息進行驗證的時候對信息加以保護的，這樣竊聽者便可以獲取有效的用戶名和密碼，擁有了與實際用戶相同的權限，攻擊者就可以進入機器內部進行惡意破壞。

（2）針對泄漏密鑰的攻擊

IPSec的工作模式（傳輸模式和隧道模式）下都需要密鑰交換的過程，所以針對密鑰的攻擊仍然無法避免。雖然破解密鑰是一個困難和耗費資源的過程，但這種可能仍然存在。當攻擊者確定密鑰后便可以對安全通信進行訪問，而發(fā)送者或接收者卻是完全察覺不到的，后面進行的數(shù)據(jù)傳輸就這樣遭到了沒有抵抗的攻擊。攻擊者進而使用泄露密鑰就可以解密或修改其他需要的數(shù)據(jù)。同樣，攻擊者還可以使用其他泄露密鑰計算其他密鑰，從而獲得其他安全通信的訪問權。

（3）針對應用層服務的攻擊

應用程序服務器是應用程序層攻擊的目標，即導致服務器操作系統(tǒng)或應用程序錯誤。這會導致攻擊者有能力繞過正常的訪問控制，攻擊者因此便可以控制此應用程序、系統(tǒng)、或網(wǎng)絡，并可以任意進行讀取、添加、刪除或修改數(shù)據(jù)、操作系統(tǒng)等操作；使用計算機與軟件應用程序引入病毒，并將病毒復制到網(wǎng)絡；引入竊探器分析網(wǎng)絡和獲取信息，并最終通過使用這些信息導致網(wǎng)絡停止響應或崩潰、異常關閉數(shù)據(jù)應用程序或操作系統(tǒng)、禁用其他安全控制。

由于IPSec數(shù)據(jù)包加密是在網(wǎng)絡層進行的，在網(wǎng)絡傳輸過程中，防火墻無法有效地將加密的帶有病毒的數(shù)據(jù)報進行有效的檢測，從而對接收端的主機或路由器構成威脅。

（4）針對拒絕服務的攻擊

密鑰管理分為手動密鑰管理和自動密鑰管理，Internet密鑰管理協(xié)議被定位在應用程序的層次。 IETF規(guī)定了Internet安全協(xié)議和密鑰管理協(xié)議ISAKMP（Internet Security Association and Key Management Protocol）來實現(xiàn)IPSec密鑰管理要求，為身份驗證和密鑰交換技術定義了一個通用的結構，可以使用不同的密鑰交換技術；I2ETF還設計了OA KL EY密鑰確定協(xié)議（密鑰確定協(xié)議）實施ISAKMP的具體功能，其主要目的是使需要保密通信的雙方可以通過這個協(xié)議證明自己的身份、認證對方的身份、確定使用的加密算法及通信密鑰，從而建立一個安全的通信連接。

IKE的協(xié)議很容易受到拒絕服務攻擊，攻擊者可以在互聯(lián)網(wǎng)初始化許多連接請求即可做到這種攻擊。然而加密又是有代價的，進行模數(shù)乘冪運算或兩個非常大的質數(shù)乘積，甚至是對單個數(shù)據(jù)包解密和檢查完整性都會占用CPU的時間。發(fā)起攻擊的代價要遠遠比被攻擊對象響應這種攻擊所付出的代價小得多。例如，甲想進行一次Diffie-Hellman密鑰交換，但mallory向她發(fā)送了幾千個虛假的Diffie-Hellman公共值，其中全部填充偽造的返回地址，這樣乙被動地進入這種虛假的交換。這樣做顯然會造成CPU的大量浪費。IPSec對相應的攻擊提出了相應的對策，但它并不是通過抵擋服務否認攻擊來進行主動防御，而是增大了發(fā)送這種垃圾包的代價及復雜度來進行被動防御，即使這樣，攻擊者仍然可以使用IKE協(xié)議的漏洞中斷服務。

四、針對IPv6 網(wǎng)絡安全問題的對策

（一）IPv6 數(shù)據(jù)包頭擴展

IPv6安全性可以大大提高互聯(lián)網(wǎng)的安全，它利用相關的數(shù)據(jù)包頭擴展，確保路由器的安全性。 IPv6的數(shù)據(jù)接收包要求網(wǎng)絡客戶先利用數(shù)據(jù)包的擴展部分進行身份驗證才可以接收相關的數(shù)據(jù)的內容，這種登錄是相對獨立的，它能夠一定程度上遏制黑客的網(wǎng)絡攻擊，另外，IPv6的數(shù)據(jù)包頭的擴展部分加密數(shù)據(jù)包的加密方法也是獨立的，它可以保證客戶在網(wǎng)絡上傳輸機密數(shù)據(jù)的安全，不會被第三方所截獲。

（二）加強對網(wǎng)絡病毒的監(jiān)控

要建立一個可行的檢測系統(tǒng)防止網(wǎng)絡病毒入侵，對網(wǎng)絡給予有效的監(jiān)控。當今的網(wǎng)絡病毒和傳統(tǒng)的病毒網(wǎng)絡病毒有很大不同，在先進性、隱蔽性、傳播性和破壞性等不同方面都有了較大的提高，它們開始依附于網(wǎng)絡文件、郵件、網(wǎng)頁、程序、局域網(wǎng)等不同的傳播途徑，自動啟動相應的程序深入到網(wǎng)絡系統(tǒng)內部肆意妄為，通過對計算機的控制以實現(xiàn)對互聯(lián)網(wǎng)的攻擊。相關人員需要不斷地清理網(wǎng)絡病毒，利用先進的計算機病毒查殺軟件和殺毒軟件定期掃描和查殺，以確保網(wǎng)絡的安全。在進行查殺過程中，還能有效地監(jiān)控網(wǎng)絡文件、網(wǎng)頁、郵件、程序，防止異常情況的發(fā)生。

（三）建立和完善合理的網(wǎng)絡體系

建立和完善科學合理的網(wǎng)絡系統(tǒng)可以有效地防止盜竊網(wǎng)絡信息。相關技術人員可以采取隔離的方法以確保網(wǎng)絡信息的安全性。技術人員建立網(wǎng)絡防火墻也可以有效的對網(wǎng)絡的安全進行隔離。根據(jù)設立的DMZ訪問規(guī)則以及安全過濾規(guī)則，可有效地控制外網(wǎng)用戶，以防止非法訪問，確保必要的服務器的暢通，設立相應的的保護系統(tǒng)，有效控制那些對服務器有害的攻擊。同時，還可以按照時間段規(guī)則，從而使內網(wǎng)用戶的訪問時間不能超過網(wǎng)絡協(xié)議所規(guī)定的時間。通過設置IP地址與MAC地址綁定，實現(xiàn)防止ARP欺詐行為。防火墻除了可以阻止大量的惡意網(wǎng)絡攻擊外還可以確保重要的個人信息不被泄露。

（四）安裝電磁屏蔽防止信息泄露

一般情況下，信息在網(wǎng)絡系統(tǒng)的工作過程中是可以通過電源線、地線、信號線進行傳播的，當然還可以在空間中通過電磁波傳播出去，同樣面臨信息泄露的威脅，有的信息可以在傳播過程中能夠被快速的分辨出來，造成信息泄露，因此技術人員還可以在關鍵部位安裝電磁屏蔽，涉密信息在通過計算機鍵盤輸入的時候還可以在附近放置干擾器，這樣可以在很大程度上預防信息的監(jiān)聽和泄露。

（五）培養(yǎng)核心人才研發(fā)新技術

IPv6的國際認證已在全球得到了廣泛的認可，目前，我國在相關方面掌握了多達16項自主產權技術。 IPv6的發(fā)展給我國新的網(wǎng)絡市場開拓了更多的發(fā)展機會，因此，我國必須增加IPv6的技術開發(fā)和研究，加大財政投入，繼續(xù)培養(yǎng)新一代網(wǎng)絡核心人才，積極參與國際上關于IPv6的研究。

五、結論

解決新一代的網(wǎng)絡安全問題，構建可信任的下一代互聯(lián)網(wǎng)，將是一項長期而艱巨的任務。下一代互聯(lián)網(wǎng)意味著更大的規(guī)模、更快的速度和更多的應用，與此同時，也將面臨更多的網(wǎng)絡安全問題，因此，我們應該更加關注網(wǎng)絡的安全性，在部署時考慮建立新型的網(wǎng)絡架構，未雨綢繆，打造一個更為安全的網(wǎng)絡。

參考文獻：

[1]蘇金樹，涂睿，王寶生，劉亞萍. 互聯(lián)網(wǎng)新型安全和管理體系結構研究展望[J]. 計算機應用研究. 2009（10）

[2]鄧中波，黃孝倫，唐明燈. 探討互聯(lián)網(wǎng)的影響與下一代網(wǎng)絡的安全管理[J]. 網(wǎng)絡安全技術與應用. 2010（07）

[3]汪斌強，鄔江興. 下一代互聯(lián)網(wǎng)的發(fā)展趨勢及相應對策分析[J]. 信息工程大學學報. 2009（01）

[4]趙競雄，王曉菊. IPv4協(xié)議與IPv6協(xié)議[J]. 軟件導刊. 2010（02）

[5]Christian Huitema. 新因特網(wǎng)協(xié)議IPv6（第二版）.清華大學出版社，1999年4月12日出版

[6]Pete Ldshin 著. IPv6詳解.北京：機械工業(yè)出版社，2000年4月1日出版

[7]甘宏，潘丹. 基于網(wǎng)絡安全入侵檢測技術與防火墻結合的應用研究[J]. 科技廣場. 2011（01）