李泉 朱熹 陶科

[ 作者簡(jiǎn)介 ]

李泉，男，湖北武漢人，湖北日?qǐng)?bào)傳媒集團(tuán)，工程師，本科，研究方向：網(wǎng)絡(luò)安全。

朱熹，男，湖北武漢人，湖北日?qǐng)?bào)傳媒集團(tuán)，助理工程師，本科，研究方向：網(wǎng)絡(luò)安全。

陶科，男，湖北武漢人，湖北日?qǐng)?bào)傳媒集團(tuán)，助理工程師，本科，研究方向：網(wǎng)絡(luò)安全。

[ 摘要 ]

IPv6屬于新興的網(wǎng)絡(luò)協(xié)議，該技術(shù)引起了許多國(guó)家和研究單位的關(guān)注。在應(yīng)用IPv6協(xié)議的同時(shí)，也給網(wǎng)絡(luò)安全帶來(lái)了全新的挑戰(zhàn)，在新環(huán)境下怎樣才能夠保證網(wǎng)絡(luò)世界的安全，安全傳輸網(wǎng)絡(luò)數(shù)據(jù)、保證信息交換的安全等，都是目前需要解決的網(wǎng)絡(luò)安全問(wèn)題。本文從網(wǎng)絡(luò)安全方面入手，對(duì)IPv6協(xié)議進(jìn)行了研究，首先介紹了該協(xié)議的優(yōu)勢(shì)，然后分析了其存在的安全問(wèn)題，最后以此為基礎(chǔ)，提出了相應(yīng)的改進(jìn)策略，以供參考。

[ 關(guān)鍵詞 ]

IPv6協(xié)議;網(wǎng)絡(luò)安全;研究應(yīng)用

中圖分類(lèi)號(hào)：G3

文獻(xiàn)標(biāo)識(shí)碼：A

DOI：10.3969/j.issn.1672-0407.2022.04.063

在不斷發(fā)展信息技術(shù)的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)最關(guān)鍵的功能就是共享資源，因此也凸顯了信息安全問(wèn)題的重要性。根據(jù)相關(guān)報(bào)道可以得知，計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常會(huì)遇到入侵問(wèn)題。破壞信息系統(tǒng)會(huì)給企業(yè)造成巨大的經(jīng)濟(jì)損失。每年在全球造成的損失達(dá)到了數(shù)百億美元，這種破壞越來(lái)越嚴(yán)重。所以，為了避免黑客對(duì)電腦保密程序的攻破，使計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的運(yùn)行更加安全，就需要做好對(duì)安全問(wèn)題的研究，其現(xiàn)實(shí)意義十分重要。

1 IPv6網(wǎng)絡(luò)安全研究

在IPv6網(wǎng)絡(luò)以往的體系構(gòu)架中，為了保障網(wǎng)絡(luò)安全，大多會(huì)應(yīng)用具有安全防范功能的應(yīng)用層，或是加密郵件，數(shù)據(jù)加密主要發(fā)生于網(wǎng)頁(yè)訪問(wèn)期間，并沒(méi)有處理網(wǎng)絡(luò)層。LEFT在1995年應(yīng)用了具有安全規(guī)范功能的IP層，也就是IPSEC在IPv6中通過(guò)對(duì)IPSEC協(xié)議的集成，為IPv6構(gòu)建了相應(yīng)的安全體系，其核心就是IPSEC。

1.1 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——IPSEC

IPv6最顯著的特征就是對(duì)IPSEC的集成，意味著IPv6的安全服務(wù)更加完善，能夠保障數(shù)據(jù)的安全來(lái)源，確保安全連貫的傳輸數(shù)據(jù)，并且可以訪問(wèn)控制相關(guān)數(shù)據(jù)，進(jìn)而避免重復(fù)發(fā)送數(shù)據(jù)帶來(lái)的影響。

IPSEC的結(jié)構(gòu)中包含了三種主要的協(xié)議，也就是AH、ESP和ISAKMP這三種協(xié)議。AH協(xié)議能夠保證完整的傳輸信息數(shù)據(jù)，并且能夠從來(lái)源方面實(shí)現(xiàn)對(duì)信息數(shù)據(jù)的準(zhǔn)確判斷。而應(yīng)用ESP協(xié)議可以加密數(shù)據(jù)包，如此可以獲取到安全的信息數(shù)據(jù)。AH和ESP這兩種協(xié)議在進(jìn)行交流的過(guò)程中，ISAKMP協(xié)議可以起到保護(hù)信息數(shù)據(jù)的作用。

1.2 安全加載封裝

ESP具有全加密數(shù)據(jù)包的功能，因此可以安全地傳輸信息，避免他人的惡意監(jiān)聽(tīng)，想要打開(kāi)內(nèi)容的用戶必須輸入密鑰。ESP還具有AH的認(rèn)證和保證完整數(shù)據(jù)的功能。ESP采用了數(shù)據(jù)加密DES-CBC標(biāo)準(zhǔn)，此類(lèi)標(biāo)準(zhǔn)可以認(rèn)證數(shù)據(jù)來(lái)源等，包括RSA算法在內(nèi)的其他適當(dāng)算法也具有此類(lèi)功能。

不僅可以單獨(dú)使用ESP，還可以同時(shí)使用P認(rèn)證頭，ESP頭的列域如下：

安全參數(shù)索引：能夠?qū)崿F(xiàn)對(duì)安全協(xié)作體的標(biāo)識(shí)。序列號(hào)：該計(jì)數(shù)器值呈線性增加趨勢(shì)。核載數(shù)據(jù)：8位長(zhǎng)度的整數(shù)倍。填充：用來(lái)指定數(shù)據(jù)在加密前填充，能夠使填充長(zhǎng)度和下一頭域的結(jié)束位置32位整數(shù)處。填充長(zhǎng)度：填充在表示前的字?jǐn)?shù)。下一頭：該數(shù)據(jù)屬于荷載數(shù)據(jù)。認(rèn)證數(shù)據(jù)：其中所包含的檢查值具有完整性。

1.3 密鑰交換協(xié)議

IKE的建立離不開(kāi)密鑰管理協(xié)議，通信雙方可以對(duì)安全參數(shù)進(jìn)行協(xié)商，并對(duì)安全協(xié)議框架進(jìn)行建立。最終所獲取到的IKE密鑰或SA安全協(xié)議是經(jīng)過(guò)驗(yàn)證或經(jīng)過(guò)雙方同意的。對(duì)于AH和ESP來(lái)說(shuō)，整個(gè)安全機(jī)制都需要通過(guò)密鑰管理來(lái)保障其安全性。IKE在對(duì)SA進(jìn)行協(xié)商建立之前，必須認(rèn)證通信雙方。在IKE中可以實(shí)現(xiàn)對(duì)DSS、RSA這兩種簽名的預(yù)定義和加密，并且可以對(duì)RSA加密進(jìn)行改進(jìn)等等。除了在密鑰的預(yù)共享環(huán)節(jié)，其他環(huán)節(jié)Ca認(rèn)證機(jī)構(gòu)很少以特定形式參與，涉及復(fù)雜的實(shí)現(xiàn)過(guò)程。在密鑰的預(yù)共享環(huán)節(jié)，通信雙方需要提前對(duì)某個(gè)密鑰進(jìn)行共享，此類(lèi)方法在小型網(wǎng)絡(luò)中較為適用。

1.4 ESP頭的處理

在處理ESP頭的過(guò)程中，主要包含的處理方式有解密和加密，與AH頭的處理十分相似。在進(jìn)行封裝的過(guò)程中，應(yīng)當(dāng)采用科學(xué)合理的協(xié)議模式和驗(yàn)證算法，封裝內(nèi)容和封裝格式應(yīng)當(dāng)以ESP報(bào)文為標(biāo)準(zhǔn)，最后，應(yīng)當(dāng)對(duì)ESP前所有IP頭的和進(jìn)行重新計(jì)算，最終可以獲取到相應(yīng)的IP包。接收：攜帶ESP頭的IP數(shù)據(jù)包在發(fā)送到目標(biāo)節(jié)點(diǎn)后，所發(fā)送的如果是一個(gè)分段，就必須進(jìn)行保留，直到收集完所有分段為止，并對(duì)IP包進(jìn)行完整的裝配。同時(shí)需要在ESP頭中檢查SPI是否存在對(duì)應(yīng)的SA，如果答案是否定的，那么該IT包就不能使用。然后結(jié)合相應(yīng)的序列號(hào)進(jìn)行檢查，判斷該IT包是否具有傳播性，如果答案是肯定的，那么也不能使用此包。相反的，通過(guò)對(duì)相關(guān)密鑰的使用，向身份驗(yàn)證器傳遞該完整包，并由其負(fù)責(zé)身份驗(yàn)證，然后根據(jù)所獲取到的驗(yàn)證結(jié)果對(duì)比相應(yīng)的身份驗(yàn)證數(shù)據(jù)，如果結(jié)果一致，那么就可以采用SA中的密鑰和解密算法解密該IP包。相反的話，此包就不能使用。在成功驗(yàn)證解密身份之后，應(yīng)當(dāng)檢查結(jié)果數(shù)據(jù)包的模式，對(duì)比此包模式與SA中的說(shuō)明是否相符，如果結(jié)果是否定的，那么此包就不能使用。最后，需要驗(yàn)證此包是否正確，并對(duì)其進(jìn)行拆分還原，如此可以實(shí)現(xiàn)對(duì)真實(shí)原始數(shù)據(jù)的獲取。在處理數(shù)據(jù)包的過(guò)程中，IPSEC可以保證IP層具有安全的數(shù)據(jù)。

2 IPv6網(wǎng)絡(luò)安全保障存在的問(wèn)題

2.1 網(wǎng)絡(luò)安全過(guò)渡技術(shù)問(wèn)題

由于長(zhǎng)期以來(lái)我國(guó)一直采用的是IPv4網(wǎng)絡(luò)，該網(wǎng)絡(luò)具有較大的影響力和較強(qiáng)的滲透力，隨后誕生的IPv6網(wǎng)絡(luò)必定可以提升人們獲取和存儲(chǔ)網(wǎng)絡(luò)資源的速度和強(qiáng)度，但是，IPv4在轉(zhuǎn)化成為IPv6期間遇到了各種問(wèn)題，其中有許多網(wǎng)絡(luò)技術(shù)難關(guān)難以攻破。在升級(jí)換代網(wǎng)絡(luò)期間，由于最初使用的網(wǎng)絡(luò)設(shè)備所采用的是IPv4協(xié)議，因此必須全面升級(jí)路由器和軟硬件，如此才可以實(shí)現(xiàn)對(duì)IPv6協(xié)議網(wǎng)絡(luò)的正式使用，這也意味著這項(xiàng)工程的復(fù)雜性較強(qiáng)，并且需要花費(fèi)較長(zhǎng)的時(shí)間。在這一過(guò)程中，其內(nèi)外部都存在安全漏洞，也必定會(huì)遇到拒絕服務(wù)和中間人等因素帶來(lái)的影響。

2.2 IPv6網(wǎng)絡(luò)自身的安全問(wèn)題

從本質(zhì)上來(lái)說(shuō)，Ipv6屬于新型網(wǎng)絡(luò)的一種，在調(diào)試期間依然發(fā)現(xiàn)許多安全問(wèn)題有待完善。除此之外，IPv6網(wǎng)絡(luò)架構(gòu)與IPv4十分相似，IPv6網(wǎng)絡(luò)中出現(xiàn)了許多IPv4網(wǎng)絡(luò)沒(méi)有解決的問(wèn)題。并且在不斷擴(kuò)充網(wǎng)絡(luò)地址的過(guò)程中出現(xiàn)了各種新型問(wèn)題，因此，許多新出現(xiàn)的問(wèn)題仍未得到有效解決。

首先，依然存在DNS攻擊，甚至情況更為嚴(yán)重。在IP網(wǎng)絡(luò)中，安全問(wèn)題和安全隱患依然十分嚴(yán)重，出現(xiàn)了更多的DNS黑客攻擊問(wèn)題，對(duì)IPv6網(wǎng)絡(luò)造成了嚴(yán)重的影響，無(wú)法保障其安全性。此外，依然沒(méi)有解決異常網(wǎng)絡(luò)流量問(wèn)題。IPv4網(wǎng)絡(luò)轉(zhuǎn)變?yōu)镮Pv6網(wǎng)絡(luò)以及實(shí)際使用IPv6網(wǎng)絡(luò)期間，經(jīng)?？梢钥吹竭@一問(wèn)題。再加上在實(shí)際應(yīng)用IP理念網(wǎng)絡(luò)的過(guò)程中，存在的機(jī)制缺陷依然有許多，新型網(wǎng)絡(luò)輸入到傳輸層和數(shù)據(jù)鏈路層后，經(jīng)常會(huì)遇到異常流量攻擊問(wèn)題。

3 IPv6網(wǎng)絡(luò)安全保障策略

3.1 在過(guò)渡期提升安全防范系數(shù)

在將IPv4網(wǎng)絡(luò)轉(zhuǎn)變?yōu)镮Pv6網(wǎng)絡(luò)的過(guò)程中，網(wǎng)絡(luò)環(huán)境和安全漏洞十分脆弱、煩多，在這一過(guò)程中，應(yīng)當(dāng)采用最高級(jí)別的安全防范系數(shù)。在過(guò)渡時(shí)期想要實(shí)現(xiàn)對(duì)安全網(wǎng)絡(luò)防范系數(shù)的提升，就應(yīng)當(dāng)做好對(duì)網(wǎng)絡(luò)安全環(huán)境的全面改善，統(tǒng)一規(guī)劃支撐系統(tǒng)和運(yùn)營(yíng)平臺(tái)，按照IPv6網(wǎng)絡(luò)的標(biāo)準(zhǔn)，對(duì)安全檢測(cè)性能進(jìn)行提升。

針對(duì)支撐系統(tǒng)來(lái)說(shuō)，相關(guān)人員應(yīng)當(dāng)采用安全系數(shù)更高的支撐系統(tǒng)，借助當(dāng)前的安全保障體系，為DNS系統(tǒng)提供全面的安全保障。IPv6網(wǎng)絡(luò)中的DNS系統(tǒng)與IPv4網(wǎng)絡(luò)相同，因此，在研發(fā)IPv4網(wǎng)絡(luò)期間用于防護(hù)和保護(hù)DNS系統(tǒng)的措施和技術(shù)也可以在IPv6網(wǎng)絡(luò)中使用，只需采用IPv6協(xié)議的接入端參數(shù)即可。

在規(guī)劃運(yùn)營(yíng)平臺(tái)的過(guò)程中，相關(guān)人員應(yīng)當(dāng)在過(guò)渡期統(tǒng)一規(guī)劃和部署網(wǎng)絡(luò)平臺(tái)的運(yùn)營(yíng)，按照IPv6協(xié)議的標(biāo)準(zhǔn)調(diào)整IPv4以往所采用的網(wǎng)絡(luò)安全運(yùn)營(yíng)平臺(tái)，并且需要做好對(duì)IPv6網(wǎng)源和IPv6安全設(shè)備的充分利用，做好對(duì)安全檢測(cè)技術(shù)的加強(qiáng)提升，將安全檢測(cè)技術(shù)應(yīng)用到各個(gè)環(huán)節(jié)，如此可以使IPv4網(wǎng)絡(luò)更加安全地轉(zhuǎn)變?yōu)镮Pv6網(wǎng)絡(luò)，如此也可以為IPv6網(wǎng)絡(luò)環(huán)境建立有效的安全保障體系。

3.2 實(shí)施防火墻簡(jiǎn)化安全過(guò)濾規(guī)則

部分主機(jī)具有良好的安全敏感性，在局域網(wǎng)中，這些主機(jī)經(jīng)常會(huì)遇到一些強(qiáng)制傳輸過(guò)來(lái)的外部流量，想要解決這個(gè)問(wèn)題可以應(yīng)用IPSEC。如果通信結(jié)構(gòu)中不包含IPSEC框架，那么就會(huì)被防火墻丟棄。如此可以簡(jiǎn)單地結(jié)合防火墻和IPSEC。防火墻根據(jù)目標(biāo)地址，就能夠在數(shù)據(jù)包進(jìn)入前檢測(cè)其中是否存在AH或ESP，然而，其并不具有下一環(huán)節(jié)處理功能。

在安全過(guò)濾規(guī)則方面，通過(guò)防火墻的簡(jiǎn)化，其在處理數(shù)據(jù)包時(shí)只需要經(jīng)過(guò)子網(wǎng)1和子網(wǎng)2的處理流程。子網(wǎng)1可以過(guò)濾出安全信息，子網(wǎng)1可以過(guò)濾處理需要發(fā)送的內(nèi)容，賦予前端端口號(hào)全新的信息，將過(guò)濾級(jí)別加入其中，為接下來(lái)的運(yùn)作提供過(guò)濾憑證。隨后，子網(wǎng)1在過(guò)濾計(jì)算其中信息的過(guò)程中，會(huì)對(duì)信息進(jìn)行檢索和測(cè)算，并在網(wǎng)域內(nèi)存儲(chǔ)計(jì)算結(jié)果，最終加密和驗(yàn)證該數(shù)據(jù)包。子網(wǎng)2在過(guò)濾安全信息時(shí)，數(shù)據(jù)包在經(jīng)過(guò)子網(wǎng)1的處理后會(huì)發(fā)送給子網(wǎng)2，并由其負(fù)責(zé)確認(rèn)該數(shù)據(jù)包是否完整。子網(wǎng)2確認(rèn)數(shù)據(jù)包具有完整的數(shù)據(jù)和信息后，會(huì)對(duì)多余的信息進(jìn)行過(guò)濾。多余的信息就是子網(wǎng)1中未設(shè)置的各類(lèi)信息數(shù)據(jù)，例如源端口和目的地址等。在過(guò)濾完這部分后，子網(wǎng)2通過(guò)對(duì)IPSC技術(shù)的運(yùn)用，可以解密和認(rèn)證數(shù)據(jù)包，最終以網(wǎng)絡(luò)安全要求為標(biāo)準(zhǔn)實(shí)施重新過(guò)濾。

3.3 采用屏蔽主機(jī)網(wǎng)關(guān)防火墻系統(tǒng)

在設(shè)計(jì)該系統(tǒng)的過(guò)程中，需要在局域網(wǎng)和外界網(wǎng)的子網(wǎng)中間，配置單個(gè)分組過(guò)濾路由器和基站主機(jī)。在這期間，需要在局域網(wǎng)絡(luò)中設(shè)置一個(gè)基站主機(jī)，然后將分組過(guò)濾路由器放置于基站主機(jī)和外網(wǎng)間。分組過(guò)濾路由器所采用的過(guò)濾原則如下：IPSEC隧道以基站主機(jī)為中點(diǎn)，而外部主機(jī)只能夠與基站主機(jī)連接。局域網(wǎng)內(nèi)的其余所有流量都會(huì)被子網(wǎng)阻止，而分組過(guò)濾路由器并不具有驗(yàn)證和解密分組數(shù)據(jù)的功能，所以只是進(jìn)行簡(jiǎn)單的過(guò)濾。

基站主機(jī)是唯一能夠介入外部主機(jī)的接口，基站主機(jī)在驗(yàn)證解密過(guò)濾完數(shù)據(jù)包后，分組過(guò)濾路由器就無(wú)需再實(shí)施這些操作。如此，該路由器就只負(fù)責(zé)過(guò)濾明文信息，在完成信息解密后，由基站主機(jī)負(fù)責(zé)過(guò)濾工作。

主要涉及如下步驟：

3.3.1 分組過(guò)濾路由器在接收到外部網(wǎng)絡(luò)數(shù)據(jù)后會(huì)對(duì)其進(jìn)行檢查，主要檢查的內(nèi)容為網(wǎng)關(guān)地址和原地址等等。然后結(jié)合相應(yīng)的過(guò)濾規(guī)則，選擇轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。

3.3.2 如果數(shù)據(jù)包來(lái)自分組過(guò)濾路由器，在發(fā)送到基站主機(jī)后，內(nèi)部數(shù)據(jù)會(huì)涉及兩種身份驗(yàn)證情況：一是成功驗(yàn)證數(shù)據(jù)后進(jìn)行解密過(guò)濾;二是數(shù)據(jù)驗(yàn)證失敗后，失敗的數(shù)據(jù)會(huì)被丟棄。

3.3.3 最后，根據(jù)先前條件對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證，經(jīng)過(guò)驗(yàn)證后，數(shù)據(jù)才能夠通過(guò)基站到達(dá)各內(nèi)部子網(wǎng)主機(jī)中。

4 結(jié)束語(yǔ)

根據(jù)上文內(nèi)容可以得知，IPv6地址可以使互聯(lián)網(wǎng)的發(fā)展更加穩(wěn)定持久，具有十分重要的作用。IPv6內(nèi)部的IP地址資源十分龐大，除了可以將單獨(dú)的IP地址提供給終端外，還可以在發(fā)生問(wèn)題時(shí)實(shí)現(xiàn)對(duì)IP來(lái)源的快速查找，可以開(kāi)展更加高效、高質(zhì)量的網(wǎng)絡(luò)工作，為網(wǎng)絡(luò)安全提供有效保障。但是目前在應(yīng)用IPv6技術(shù)的過(guò)程中，依然遇到許多問(wèn)題，這些問(wèn)題會(huì)引發(fā)非法用戶攻惡意攻擊網(wǎng)絡(luò)安全，所以相關(guān)人員應(yīng)當(dāng)做好對(duì)該技術(shù)的深入研究，不斷地完善IPv6技術(shù)，盡量為用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境，如此可以加快IPv6的發(fā)展速度。

參考文獻(xiàn)

[1]檀小璐，婁雨. 基于IPv6環(huán)境下的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J]. 電腦知識(shí)與技術(shù)，2016，12（34）：47-48.

[2]杜學(xué)凱，吳承榮，嚴(yán)明. IPv6環(huán)境下的IPSEC通信安全審計(jì)機(jī)制研究[J]. 計(jì)算機(jī)應(yīng)用與軟件，2017，34（1）：298-305，320.

[3]任宏暉，李英壯，李先毅. IPv4-IPv6過(guò)渡技術(shù)下基于CIDF的入侵檢測(cè)系統(tǒng)研究[J]. 廣西大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，36（51）：190-194.

[4]王曉曄，金義富，石艷. 基于IPv6的IPsec安全體系結(jié)構(gòu)的研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（7）：24-26.

[5]沈亮，張艷，顧健. 物聯(lián)網(wǎng)網(wǎng)絡(luò)層中基于IPv6的信息安全產(chǎn)品發(fā)展趨勢(shì)研究[J]. 信息網(wǎng)絡(luò)安全，2012（8）：38-40.