白瑞雙,李金凱,宋林海,楊 猛

(易訊科技股份有限公司,沈陽 110168)

隨著云計算的快速發(fā)展和廣泛應(yīng)用,云安全成為一個極其重要的問題。云計算的靈活性、可擴展性及高效性可使人們更好地利用資源及服務(wù),但也帶來了一些安全問題。IPv6作為下一代互聯(lián)網(wǎng)協(xié)議,正逐漸在云安全領(lǐng)域展示出其獨特的作用及潛力[1-2]。但IPv6在云安全中也面臨著一些安全問題:缺乏成熟的IPv6安全解決方案及工具,令部署與管理IPv6網(wǎng)絡(luò)變得復(fù)雜;IPv6設(shè)備與應(yīng)用的兼容性問題可能導致安全漏洞及風險;Pv6網(wǎng)絡(luò)攻擊的新型威脅與防御挑戰(zhàn)需要加強安全意識并采取相應(yīng)的措施[2]。本研究深入探索了IPv6在云安全中的作用、突破及存在的問題,提出相應(yīng)的解決方案。

1 IPv6的基本概念及特點

IPv6是下一代互聯(lián)網(wǎng)協(xié)議,具有廣闊的128位地址空間,使用冒號分隔的8組16進制數(shù)字表示地址,引入了自動地址配置與無狀態(tài)地址配置等新的地址分配及配置方式,采用先進的路由協(xié)議及鄰居發(fā)現(xiàn)機制,具有支持移動性的特性[3]。IPv6最顯著的特點是巨大的地址空間擴展能力,通過改進的地址解析及地址選擇策略,提高了數(shù)據(jù)包傳輸效率及網(wǎng)絡(luò)性能。IPv6在安全方面具有多項增強功能,將IPSec作為其核心安全機制,提供端到端的加密、認證及完整性保護,支持強大的認證及加密機制,確保數(shù)據(jù)在傳輸過程中的安全性,支持防火墻與訪問控制列表,可限制對網(wǎng)絡(luò)資源的訪問并提供安全保護,提供了強大的流量監(jiān)測及審計功能,能夠更好地監(jiān)控及管理網(wǎng)絡(luò)安全。

2 IPv6在云安全中的作用及其存在的問題

2.1 IPv6在云安全中的作用

IPv6在云安全中具有突破性的作用:①提供更多的地址空間,滿足云計算規(guī)模擴展需求。IPv6的128位地址空間相比IPv4的32位地址空間更廣闊,能夠為云計算提供更多的唯一IP地址,更好地滿足不斷增長的云計算規(guī)模擴展需求,確保每個云實例及設(shè)備都能獲得獨立的IP地址,從而提高云環(huán)境的可擴展性及靈活性。②支持更好的網(wǎng)絡(luò)分段與隔離,加強云環(huán)境的安全性。IPv6引入了更靈活的子網(wǎng)劃分與地址分配方式,使云環(huán)境中的不同部分可以被有效分割和隔離,有助于減少潛在的攻擊面,提高云環(huán)境的安全性。使用IPv6的地址類型及流量控制機制,可以更精細地管理及控制各個子網(wǎng)之間的通信,提升云環(huán)境的隔離性及安全性。③提供高效的數(shù)據(jù)包處理及路由功能,提升云服務(wù)性能。IPv6采用先進的數(shù)據(jù)包處理及路由機制具有更高的處理效率及更快的路由轉(zhuǎn)發(fā)速度,這對于云環(huán)境中大量的數(shù)據(jù)流量及復(fù)雜的網(wǎng)絡(luò)通信非常重要,能夠提升云服務(wù)的性能及響應(yīng)速度,為用戶提供更好的體驗。④支持IPSec等安全協(xié)議,保護云中數(shù)據(jù)傳輸?shù)臋C密性及完整性。IPv6原生地支持IPSec協(xié)議,可提供端到端的加密、認證及完整性保護。在云環(huán)境中,數(shù)據(jù)的安全性至關(guān)重要,通過使用IPv6的IPSec功能,云服務(wù)提供商可保護云中數(shù)據(jù)傳輸?shù)臋C密性及完整性,防止敏感信息被竊取或篡改,從而增強云環(huán)境的安全性[4]。

2.2 云安全問題

云服務(wù)是一種較新的計算環(huán)境,使用虛擬化為應(yīng)用程序提供計算、內(nèi)存、存儲及網(wǎng)絡(luò)設(shè)施等服務(wù)資源。云服務(wù)使用虛擬機管理程序,提供與云基礎(chǔ)設(shè)施交互的虛擬環(huán)境。虛擬機管理程序是應(yīng)用程序與云基礎(chǔ)設(shè)施之間的邊界。普通虛擬化已讓位于使用半虛擬化技術(shù)的裸機虛擬化,在裸機虛擬化中,虛擬機管理程序取代了主機操作系統(tǒng)并直接控制硬件。此外,還有三種云范式占據(jù)主導地位。IaaS(基礎(chǔ)設(shè)施即服務(wù))致力于用使用虛擬機的云基礎(chǔ)設(shè)施取代桌面及服務(wù)器等公司基礎(chǔ)設(shè)施[5]。但這并沒有解決云服務(wù)中的安全數(shù)據(jù)訪問及存儲問題。云服務(wù)最初被視為公司基礎(chǔ)設(shè)施的替代品,故其安全機制與服務(wù)器相同。企業(yè)產(chǎn)生的數(shù)據(jù)被視為企業(yè)DNA,數(shù)據(jù)管理方式非常復(fù)雜,并非所有數(shù)據(jù)都可隨意訪問,即在公司內(nèi)部,某些機密數(shù)據(jù)訪問權(quán)限受限。

3 基于IPv6的云安全框架設(shè)計與應(yīng)用

3.1 架構(gòu)設(shè)計

基于IPv6的云安全框架設(shè)計如圖1所示。由用戶安全層、應(yīng)用安全層、管理程序安全層、傳輸安全層、存儲安全層組成。用戶安全層涉及用戶身份驗證及授權(quán),應(yīng)用安全層用于向虛擬機管理程序驗證應(yīng)用程序的身份,虛擬機管理程序安全層用于向云基礎(chǔ)設(shè)施驗證應(yīng)用程序及用戶,傳輸安全層可在應(yīng)用程序與云基礎(chǔ)設(shè)施之間提供安全通信,存儲安全層用于保護云基礎(chǔ)設(shè)施中的數(shù)據(jù)。

圖1 基于IPv6的云安全框架Fig.1 Cloud security framework based on IPv6

3.2 框架特點

IPv6格式如表1所示。IPv6與IPSec一起設(shè)計使用,IPv6協(xié)議棧內(nèi)置了IPSec的功能及機制,每個數(shù)據(jù)包都可以攜帶IPSec頭部,用于加密及認證數(shù)據(jù)。IPSec可以在端到端的通信鏈路上建立安全連接,通過使用加密算法對數(shù)據(jù)進行加密,防止未經(jīng)授權(quán)的訪問及竊取[6]。

IPSec可通過隧道模式在不可信的網(wǎng)絡(luò)中創(chuàng)建安全的虛擬專線。在IPv6中,IPSec隧道可在IPv6網(wǎng)絡(luò)中傳輸IPv4流量或在IPv4網(wǎng)絡(luò)中傳輸IPv6流量。這種隧道模式允許在不同的網(wǎng)絡(luò)之間建立安全連接,確保數(shù)據(jù)在跨網(wǎng)絡(luò)傳輸時的安全性。

將IPv6與IPSec結(jié)合使用,可輕松實現(xiàn)端到端的加密及認證,保護數(shù)據(jù)在云環(huán)境中的傳輸安全。無論是在公共云還是私有云環(huán)境中,IPv6與IPSec的結(jié)合都為云計算提供了更高級別的安全性,確保敏感數(shù)據(jù)的保密性,防止數(shù)據(jù)被篡改或竊取。

3.3 應(yīng)用案例

對江西某縣級醫(yī)院患者ID系統(tǒng)開發(fā)項目應(yīng)用云安全框架,使用該系統(tǒng)建立電子健康管理系統(tǒng)。當管理系統(tǒng)需要讀取修改患者信息時,系統(tǒng)找到并讀取數(shù)據(jù),轉(zhuǎn)發(fā)到服務(wù)器對象。管理系統(tǒng)使用PKE機制與服務(wù)器建立安全連接以交換共享密鑰。當服務(wù)器獲得最新讀數(shù)時,會讀取患者的ID并生成一個存儲最新讀數(shù)的新文件。數(shù)據(jù)存儲在上傳完云端后,將數(shù)據(jù)發(fā)送給醫(yī)生,具體運行如圖2所示。

文件系統(tǒng)是一個加密所有數(shù)據(jù)塊的分布式文件系統(tǒng)。數(shù)據(jù)塊被復(fù)制并隨機放置在多個云塊存儲服務(wù)器上。為了提高安全性,文件的索引節(jié)點或元數(shù)據(jù)部分不存儲在云中。由于元數(shù)據(jù)受到保護,入侵者無法解碼數(shù)據(jù)塊,提高了整個文件的安全性。

在文件安全傳輸方面開發(fā)了一種基于局域網(wǎng)/云環(huán)境的安全傳輸協(xié)議。采用SP協(xié)議,與TCP協(xié)議不同,其是基于消息的協(xié)議,其中消息在通過網(wǎng)絡(luò)接口傳輸之前被分成塊。SP協(xié)議提供可靠的服務(wù),可在不可靠的數(shù)據(jù)基礎(chǔ)上運行,如UDP或原始以太網(wǎng)。

在初步測試中測量了客戶端與服務(wù)器在用戶空間中的運行情況,客戶端位于用戶空間,服務(wù)器位于內(nèi)核空間,這些結(jié)果與TCP的標準內(nèi)核版本進行比較。SP在UDP上運行,傳輸數(shù)據(jù)塊大小保持1472字節(jié),以模仿TCP完成的分段,結(jié)果如圖2所示。由圖2可知,SP協(xié)議可以在用戶空間及內(nèi)核空間中有效執(zhí)行,提供更大的靈活性,該電子健康管理系統(tǒng)能夠較好地將數(shù)據(jù)存儲在公共云環(huán)境中。

4 IPv6在云安全中面臨的挑戰(zhàn)

在云安全中,IPv6面臨著一些挑戰(zhàn)及難題,需克服以確保云環(huán)境的安全性[7]。

IPv6的廣闊地址空間可能導致地址管理的復(fù)雜性增加。由于IPv6提供了大量的唯一IP地址,云服務(wù)提供商需要有效管理并分配這些地址,避免地址沖突和濫用。此外,需要采取措施來監(jiān)控與檢測潛在的地址欺騙及地址劫持行為,以確保地址的正確使用及安全性。

IPv6的部署和配置帶來了新的安全風險。由于IPv6是一個新的協(xié)議,許多網(wǎng)絡(luò)設(shè)備與應(yīng)用程序可能缺乏對IPv6的完全支持,這可能導致配置錯誤、漏洞及不完善的安全措施。需深入了解IPv6的安全特性及最佳實踐,確保正確配置并更新設(shè)備及應(yīng)用程序,減少潛在的攻擊面。

需重視IPv6的安全性。盡管IPv6原生支持IPSec,但仍需要正確配置及使用IPSec,以提供有效的加密及認證。此外,IPv6環(huán)境中的其他安全機制與工具可能還需進一步發(fā)展及完善,以滿足云環(huán)境中不斷變化的安全需求。

5 結(jié)束語

討論了IPv6在云安全中的重要作用及面臨的難題,分析了IPv6安全協(xié)議的優(yōu)勢,這是滿足云計算規(guī)模擴展需求、加強云環(huán)境安全性的重要工具。將基于IPv6的云安全框架應(yīng)用于某醫(yī)院的電子健康管理系統(tǒng)中,結(jié)果表明,該電子健康管理系統(tǒng)能夠較好地將數(shù)據(jù)存儲在公共云環(huán)境中。指出了IPv6在云安全中面臨的挑戰(zhàn),需采取相應(yīng)的措施來克服這些問題,以確保云環(huán)境的安全性及可靠性。通過合理利用IPv6的優(yōu)勢,為云計算提供強大的安全保護,推動云計算的發(fā)展及應(yīng)用。