浅谈IPv6网络安全问题及解决对策


作者:韦霞
来源:《信息安全与技术》2012年第11期

        【摘要】 随着科学技术的发展,越来越多的行业和领域广泛推行计算机技术,使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv6是计算机网络发展史上的又一里程碑。本文着重分析了IPv6网络安全存在的一些问题,并提出了相应的解决措施。

        【关键词】 IPv6;网络安全问题;解决对策

        0 引言

        近些年,计算机技术发展迅猛,TCP/IP网络体系结构在互联网上获得很大的成功,光缆也得到了长足的发展,千兆位的互联网技术日渐成熟,不同产业的技术规范逐步与世界接轨。然而,不容忽视的是现代的计算机网络仍然存在很大的问题,很多基础性的理论问题没有解决。在IPv4的基础上,切合互联网发展速度和IP地址无线设备激增的要求,IPv6出现,作为新一代网络核心技术,它的安全性至关重要。

        1 IPv6简介

        IPv6(Internet Protocol Version 6)是IETF(Internet Engineering Task Force)设计的取代现行版本IP协议IPv4的新一代IP协议。当前,Internet采纳的协议是TCP/IP协议族,IP是TCP/IP协议族中网络层的协议,是其核心协议。目前,IPv6正处于不断发展和完善中,会在未来逐渐取代IPv4,实现每个人都拥有多个IP地址。

        与IPv4相比较,IPv6具有更大的空间地址;选用了更小的路由器;增强了组播支持和对流支持;新添了自动配置功能;安全性能大幅提升;允许IP协议的继续演变扩展;设置了更加便捷的头部格式;增添了新的选项。

        和IPv4一样,IPv6的IP地址分成表示特定网络的网络号和表示主机或服务器的主机号两部分。如图1所示,在128位中高64比特表示网络前缀,低64比特表示主机。

        IPv6地址长度是128位,比先前的地址空间扩大了2的96次幂倍,它取代了IPv4中可变长度的选项字段,采用了一系列固定格式的扩展头部,加快了文字的处理速度。IPv6新功能提高了互联网的安全性,身份验证和隐私权益保护是其主要体现。此外,它开始支持更多的服务类型,允许IP协议的继续演变。

        2 IPv6的计算机网络安全问题

        由于IPv6地址数量的数值非常大,所以每一个IP设备都可以分配到全世界通用的网络地址,换句话说,网络黑客可以依照分配的地址借助互联网找到所有的IP设备,从而对任何一台IP设备进行非法入侵,对用户的隐私安全造成了很大的威胁。

        IPv6在安全方面进行了严密的设计。IPSec(Internet Protocol security)的设计大大提高了IPv6的安全系数,确保了用户端之间的安全。IPv6在安全性上通过包验证、包完整性和包可靠性得以实现,而那些包的安全功能通过扩展首标实现。扩展首标在RFC1883中进行描述,而验证首标(AH, Authentication Header)提供密码验证或者是完整性测试,它借助加密的MD5算法确保IPv6的安全性。

        ESP(Encapsulating Security payload)扩展首标通过隧道模式和传输模式两种操作模式来实现IPv6的可靠性保护。隧道模式下的ESP,最初的IP数据被破译成明文,接着转换成ESP,连同加密的IP首标被输入到IP数据报中。没有加密的IP首标可以把加密的信息从原始路由传输到目的地。

        此外,IPv6可能受到潜在网络病毒的攻击,致使整个网络系统的瘫痪和崩溃,影响到IPv6网络的安全性和可靠性能。

        3 IPv6网络安全的对策

        3.1 IPv6的数据包头的扩展

        IPv6安全性可以提高互联网的安全,它利用相关的数据包头延伸,保证路由器的安全。IPv6数据接收包要求网络客户先利用数据包的扩展部分进行身份验证,才可以接收相关的数据内容。这种登录是相对独立的,能够在一定程度上遏制骇客的网络攻击,此外,IPv6的数据包头的扩展部分加密数据包,这种加密方法也是独立的,这就可以保证客户在网络上安全地传输保密数据,不被第三方截获。

        3.2 加强网络病毒的监控

        相关的部门要建立可行的检测系统,有效地预防网络病毒的入侵,对网络实施有效的监控。现代的网络病毒和传统的病毒有很大的差异,在高级性、隐蔽性、破坏性、传播性不同的层面都有了很大的提升,它们开始依附于网络文件、网页、邮件、程序、局域网等不同的传播途径,自动启动相应的程序,深入网络系统的内部,肆意妄为,通过对计算机的控制,实现对互联网的攻击。相关的人员要不断清理网络病毒,利用先进的病毒查杀软件对计算机进行定期的扫描和杀毒,保证互联网的安全性。在进行相应排查的时候,不仅起到了杀毒的目的,与此同时,有效地监控了网络文件、网页、程序、邮件,预防了异常情况出现未能处理的后果。

        3.3 完善网络体系

        相关的技术人员可以采取隔离的方法来确保网络信息的安全。建立和完善科学合理的网络体系是非常有必要的,它可以有效地预防网络信息的失窃。技术人员同步建立网络防火墙,也可以有效地对网络安全进行隔离。根据设立的DMZ访问规则以及安全过滤规则可以有效地控制外网用户,防止不合法的访问,确保必要的服务器的畅通,设立相应的防护系统,对那些有害于服务器的攻击有效控制。与此同时,还可以按照时间段规则,使内网用户的访问时间不会超过网络协议规定的时间。通过设置IP地址和绑定MAC地址,实现对IP地址欺骗行为的有效预防。防火墙除了可以屏蔽数量庞大的网络恶意攻击外,还可以保证重要的私人隐秘信息不会被晒到网络上。

        3.4 安装电磁屏蔽

        技术人员还应该在关键的环节安装电磁屏蔽,防止电磁辐射。一般情况下,信息在网络系统工作的过程中通过电磁波传输出去。当然,网络信息除了可以借助电源线、地线、信号线进行传播外,也可以在空间中被传播出去,潜在着信息泄露的威胁。还有的信息在泄露信息中能够快速地分辨出来,造成信息的泄露。然而,技术人员在重要的环节安装电磁屏蔽可以在很大的程度上有效地预防信息的泄露。

        3.5 提高IP安全协议

        IETF为了提高互联网的安全系数,在20世纪末期,开始着手研制更为安全的保护IP通信的IP安全协议,也就是后来人们知道的IPSec(Internet Protocol security)。IPSec具备了认可和加密两种新的功能。认证机制使IP通信的数据接收端检验信息发送方身份的真实性以及相应的数据在传达的过程中有没有被私自改动。而加密机制则是借助数据编码器加强信息的安全,防止网络骇客在数据传输的过程中把信息截获。IPSec的认证包头AH协议规定了认证的方法,封装安全负载ESP协议规定了加密和选择性认证的应用方法。

        3.6 加强新技术开发

        同IPv4有很大的差异,IPv6是新一代的网络核心,为我国的专门研究和开发机构提供了核心的技术。IPv6国际认证,它具有广泛认可和对全球开放的指标,当前,我国在相关的方面掌握了多达16项自主产权技术。IPv6的发展给我国开拓了一个新的网络市场,拥有了更多的发展机会,由此可见,我国必须加大IPv6的技术开发和研究,加大财政投入,不断培养新一代的网络核心人才,积极参与国际IPv6研究探讨活动。

        在路由器策略的采用方面,建议使用BGP4/BGP4+域间路由协议作为外部网关路由协议。技术人员要与时俱进、开拓创新不断积极探索IPv6网络保护的新的策略,维护互联网的安全,

        4 结论

        IPv6对IP网络的意义重大,具有长期性、可靠性、安全性、高效性和可操作性,它在未来的日子中将会逐渐取代IPv4,为广大的网络用户提供更高效、更安全、更便捷的信息。针对IP网络安全,可以借助IPv6的重要特征制定出行之有效的解决措施,我们有理由相信,随着下一代互联网业务的开展以及国家规范网上行为的法律法规出台,下一代互联网一定能为网络用户提供更优秀和安全的网络环境。

        参考文献

        [1] 周国尧.IPv6环境下跨网络异构数据交换技术的研究[D].武汉理工大学,2006.

        [2] 刘香兰.专用防火墙系统的研究与实现[D].山东科技大学,2006.

        [3] 李磊,杨柏林,胡维华.IPv6与IPv4网络通信模式的比较研究[J].计算机工程与应用,2007,(22).

        [4] 张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010,(04).

        作者简介:

        韦霞(1984-),女,广西来宾人,本科,梧州职业学院,助教;主要研究方向:计算机辅助教育、学习环境设计等。

  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
“缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决网络层溯源难题,给网络安全提供了根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑   从协议的角度,IPv6作为IPv4的下一代,与IPv4同属于网络层的传输协议。然而,协议上最核心、最本质的差别就是地址空间的扩大,由IPv4下的32位地址空间变为128位的地址空间,这正是IPv6被选作新网络的承载协议并逐渐商用部署的根本驱动力。   IPv6拥有如此巨大的地址空间,甚至可以为每一粒沙子都分配一个IP地址。而IPv4网络的地址分配是不规则的,并且很多时候是一个地址被多台主机共用。使用IPv6之后,我们能够将每个地址指定给一个责任体,就像给每个人一个身份证号,每辆车一个车牌号一样,每个地址都是唯一的;IPv6的地址分配采用逐级、层次化的结构,这就使得追踪定位、攻击溯源有了很大的改善。   另外,IPv6提出了新的地址生成方式——密码生成地址。密码生成地址与公私钥对绑定,保证地址不能被他人伪造。这如同汽车的车牌印上了指纹,别人不可能伪造这样的车牌,因为指纹造不了假。   在IPv6协议设计之初,IPSec(IP Security)协议族中的AH(Authentication Header,报文认证头)和ESP(Encapsulation Security Payload,报文封装安全载荷)就内嵌到协议栈中,作为IPv6的扩展头出现在IP报文中,提供完整性、保密性和源认证保护,这无疑是从协议上较大地提升安全性。   整体上看,IPv4协议的设计没有任何的安全考虑,特别是报文地址的伪造与欺骗使得无法网络进行有效的监管和控制。因此,当出现网络攻击与安全威胁时,我们只能围绕攻击事件做好事前、事中和事后的防范、检测和过滤防御,缺乏有效的技术支撑手段,无法对攻击者形成真正的打击和管控。   而在IPv6网络安全体系下,用户、报文和攻击可以一一对应,用户对自己的任何行为都必须负责,具有不可否认性,所以IPv6建立起严密的围绕攻击者的管控机制,实现对用户行为的安全监控。 IPv6能减缓现有攻击   扫描几乎是任何攻击手段的必需前提。攻击者利用扫描收集目标网络的数据,据此分析、推断目标网络的拓扑结构、开放的服务、知名端口等有用信息,以作为真正攻击的基础。扫描的主要目的是通过ping每个地址,找到作为潜在攻击目标的在线主机或设备。   在IPv6时代,每个地址为128位,协议中规定的默认网络前缀为64位。换句话说,就是一个网段内有264个地址,假设攻击者以10M/s的速度来扫描,也得需要大约5万年的时间才能遍历。IPv6大大增大了扫描难度,由此增加了网络攻击的成本和代价。此时,黑客如果想侵占一定数量的主机发起DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,那么其将会付出更多的代价,这在一定程度上减少了DDoS攻击发生的可能性。   IPv6协议定义了多播地址类型,而取消了IPv4下的广播地址,有效避免IPv4网络中的利用广播地址发起的广播风暴攻击和DDoS攻击。同时,IPv6协议规定了不允许向使用多播地址的报文回复ICMPv6(Internet Control Management Protocol Version 6)差错消息,因此也能防止ICMPv6报文造成的放大攻击。   IPv6下的密码生成地址是新的地址生成方式,将公私钥对中的公钥与IPv6地址进行绑定。使用此类地址,能够保证报文的源地址不被他人伪造。在这样的安全机制保护下,在网络中传输的每一个报文均对应于一台主机,如果发生任何的攻击或者违法犯罪行为,都能够根据攻击报文追踪到发出此报文的主机,进而追查到攻击者。这种可靠的追踪溯源机制,使得黑客和攻击者容易被发现,这样就减少了网络攻击发生的可能。 IPv6面临的新威胁   IPv6协议对IPv4协议的根本改变是发生在IP层,因此针对IPv6协议所定义的包头及扩展头的、容易发生的安全威胁,我们需要进行充分的准备。常见的针对IPv6扩展头的攻击,主要包括利用分片扩展头发起分片攻击,逃避防火墙/IDS(Intrusion Detection System,入侵检测系统)的检查或者发动DDoS攻击;利用路由扩展头的type 0类型,在网络中发起放大攻击。   在IPv4向IPv6的演进过程中,我们还需要考虑各种过渡技术与方案的安全隐患。由于在共存时期,IPv4网络IPv6网络同时存在,且有互通需求,这就要求来自两
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值