朱倩,嚴(yán)曉峰

摘要:該文從IP發(fā)展歷史入手,簡要回顧了IPv6的主要特性,闡述了IPv6的安全機(jī)制,對IPv6的現(xiàn)實性應(yīng)用給出了見解,認(rèn)為IPv6已經(jīng)進(jìn)入實用化階段,應(yīng)該從現(xiàn)實角度完成IPv6安全性的實際應(yīng)用,完善公鑰、防火墻和兼容性等工作。最后,該文對企業(yè)網(wǎng)絡(luò)從IPv4轉(zhuǎn)為IPv6后的網(wǎng)絡(luò)安全性模型提出了一些看法。

關(guān)鍵詞:IPv6;安全性;企業(yè)模型

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)34-9665-03

IPv6 Security Mechanisms and Safety Discussions

ZHU Qian1, YAN Xiao-feng2

(1.Wuhan University Computer Science, Wuhan 430072, China; 2.Jiujiang College of Information Science Teaching Software, Jiujiang 332005, China)

Abstract: The history of the development from the IP start with a brief review of the main features of IPv6, describes IPv6 security mechanisms, practical applications of IPv6, gives the opinion that the IPv6 has entered a practical stage, it should be completed from a realistic point of view IPv6 the practical application of safety, improve the public key, firewall, and compatibility and so on. Finally, the text of the enterprise network from IPv4 to IPv6 network security model, after a number of observations.

Key words: IPv6; security; enterprise model

1 IPv6概述

1.1 IP協(xié)議

IP協(xié)議誕生于70年代中期[1]。IP解決的最根本的問題是如何把網(wǎng)絡(luò)連接在一起,也就是把計算機(jī)連接在一起,而且除了其他計算機(jī)的網(wǎng)絡(luò)地址之外,這些連接起來的計算機(jī)無需了解任何的網(wǎng)絡(luò)細(xì)節(jié)。這就有以下三個要求:首先,每個連接在“網(wǎng)絡(luò)的網(wǎng)絡(luò)”上的計算機(jī)必須具有唯一的標(biāo)識;其次,所有計算機(jī)都能夠與所有其他計算機(jī)以每個計算機(jī)都能識別的格式進(jìn)行數(shù)據(jù)的收發(fā);最后,一臺計算機(jī)必須能夠在了解另一計算機(jī)的網(wǎng)絡(luò)地址后把數(shù)據(jù)可靠地傳至對方,而無需了解對方計算機(jī)和網(wǎng)絡(luò)的任何細(xì)節(jié)[2]。IP協(xié)議實現(xiàn)了上述目標(biāo)。

1.2 IPv6概述

IPv6自1996年由IETF的RFC2460加以規(guī)范以來,已經(jīng)得到了廣泛的研究和一定的部署。[10]

IPv6保留了IPv4的很多非常成功的特征。如IPv4、IPv6都是無連接的—每一個數(shù)據(jù)報都含有目的地址,每一數(shù)據(jù)報獨立地被路由。就象 IPv4一樣,IPv6的數(shù)據(jù)報頭部也含有用于標(biāo)識一個數(shù)據(jù)報被丟棄前已經(jīng)過的最大站數(shù)的域。另外, IPv6保留了IPv4可選項中的大部分通用機(jī)制。

盡管保留了當(dāng)前版本的基本概念,IPv6仍然修改了所有的細(xì)節(jié)。例如,IPv6使用更大的地址和一個全新的數(shù)據(jù)報頭部格式。另外,IPv6使用一系列的定長的頭部去處理可選信息,而不象當(dāng)前版本那樣只使用一種含有變長的可選項的頭部。

IPv6中的新加特征主要可分為以下五類:[4-5]

1)地址尺寸(Address Size)。每個IPv6地址含128位,代替了原來的32位,這一下地址空間大得足以適應(yīng)好幾十年的全球Internet的發(fā)展。

2)頭部格式(Header Format)。IPv6的數(shù)據(jù)報頭部與IPv4的完全不一樣,IPv4頭部的每一個域幾乎都變了,或被替代掉了。

3)擴(kuò)展頭部(Extension Header)。不象IPv4只使用一種頭部格式,IPv6將信息放于分離的頭部之中。一個IPv6的數(shù)據(jù)報組成:IPv6的基本頭部,后跟零個或多個擴(kuò)展頭部,再后跟數(shù)據(jù)。當(dāng)前,IPv6定義了6種擴(kuò)展頭,分別是:步跳擴(kuò)展頭、路由擴(kuò)展頭、分段擴(kuò)展頭、驗證擴(kuò)展頭、封裝安全性凈荷擴(kuò)展頭、目標(biāo)選項擴(kuò)展頭。[6]

4)對音頻和視頻的支持(Support for audio and video)。IPv6的一種機(jī)制讓發(fā)送方與接收方能夠通過底層網(wǎng)絡(luò)建立一條高質(zhì)量的路徑,并將數(shù)據(jù)報與這一路徑聯(lián)系起來。雖然這種機(jī)制用于需要較高性能保證的音頻和視頻應(yīng)用,它也可用于將數(shù)據(jù)報與低成本路徑聯(lián)結(jié)。

5)可擴(kuò)展的協(xié)議(Extensible Protocol)。IPv6并不象IPv4那樣規(guī)定了所有可能的協(xié)議特征。相反,設(shè)計者們提供了一種方案,使得發(fā)送方能為一個數(shù)據(jù)報增加另外的信息。擴(kuò)展方案使得IPv6比IPv4更靈活,意味著隨時能在設(shè)計中增加所需的新特征。

2 IPV6的安全機(jī)制與體系結(jié)構(gòu)

2.1 計算機(jī)安全與網(wǎng)絡(luò)安全技術(shù)概述

安全機(jī)制是決策的集合,它們集中體現(xiàn)了一個組織對安全的態(tài)度。更準(zhǔn)確的說,安全機(jī)制對于可接受的行為以及應(yīng)對違規(guī)做出何種響應(yīng)確定了界限。[3]

要保護(hù)數(shù)據(jù)就必須小心防范可能的攻擊。人們通常只會注意來自外部網(wǎng)絡(luò)的攻擊,而真正的安全機(jī)制需要考慮很多其它的問題。要特別注意的方面包括:篡奪權(quán)限(盜取密碼)、IT系統(tǒng)管理權(quán)限的不當(dāng)或錯誤使用、濫用權(quán)限、軟件的薄弱點(在運(yùn)行超級用戶以上級別的應(yīng)用程序時緩存、堆棧溢出)、網(wǎng)絡(luò)監(jiān)聽或消息重發(fā)、特洛伊木馬、病毒和蠕蟲等、安全攻擊,比如偽裝、IP欺騙、DoS攻擊或中間人攻擊、路由的誤用等。

實際上,數(shù)據(jù)表明來自外部的惡意攻擊只占對計算機(jī)和網(wǎng)絡(luò)威脅的一小部分。很多攻擊來自內(nèi)部,并且與人們不正確的使用權(quán)限有關(guān)。[7]

IPv4的目的只是作為簡單的網(wǎng)絡(luò)互通協(xié)議,因而其中沒有包含安全特性。

對于安全性,可以定義如下三個公認(rèn)的目標(biāo)[2]:

1)身份驗證:能夠可靠地確定接收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)一致,并且確保發(fā)送該數(shù)據(jù)的實體與其所宣稱的身份一致;

2)完整性:能夠可靠地確定數(shù)據(jù)在從源到目的地傳送的過程中沒有被修改;

3)機(jī)密性:確保數(shù)據(jù)只能為預(yù)期的接收者使用或讀出,而不能為其他任何實體使用或讀出。

完整性和身份驗證經(jīng)常密切相關(guān),而機(jī)密性有時使用公共密鑰加密來實現(xiàn),這樣也有助于對源端進(jìn)行身份驗證。

IPv6的安全機(jī)制主要表現(xiàn)在以下幾個方面[9]:

1)將原先獨立于IPv4協(xié)議族之外的報頭認(rèn)證和安全信息封裝作為IPv6的擴(kuò)展頭置于IPv6基本協(xié)議之中,為IPv6網(wǎng)絡(luò)實現(xiàn)全網(wǎng)安全認(rèn)證和加密封裝提供了協(xié)議上的保證。IPv6中通過身份驗證頭(AH)和封裝安全性凈荷(ESP)頭來實現(xiàn)身份驗證和安全性,包括安全密碼傳輸、加密和數(shù)據(jù)包的數(shù)字簽名。

2)地址解析放在ICMP(Internet Control Message Protocol)層中,這使得其與ARP(Address Resolution Protocol)相比,與介質(zhì)的偶合性更小,而且可以使用標(biāo)準(zhǔn)的IP認(rèn)證等安全機(jī)制。

3)對于協(xié)議中的一些可能會給網(wǎng)絡(luò)帶來安全隱患的操作,IPv6 協(xié)議本身都做了較好的防護(hù)。例如:因為一條鏈路上多個接口同時啟動發(fā)送鄰居請求消息而帶來的鏈路擁塞隱患,IPv6采用在一定范圍內(nèi)的隨機(jī)延時發(fā)送方法來減輕鏈路產(chǎn)生擁塞的可能,這同時也減少了多個節(jié)點在同一時間競爭同一個地址的可能。

4)除了IPSec和IPv6本身對安全所做的措施之外,其他的安全防護(hù)機(jī)制在IPv6上仍然有效。諸如:NAT-PT(Net Address Translate-Protocol Translate)可以提供和IPv4中的NAT相同的防護(hù)功能;通過擴(kuò)展的ACL(Access Control List)在IPv6上可以實現(xiàn)IPv4 ACL所提供的所有安全防護(hù)。另外,基于VPLS(Virtual Private LAN Segment)、VPWS(Virtual Private Wire Service)的安全隧道和VPN(Virtual Private Network)等技術(shù),在IPv6上也可以完全實現(xiàn)。

2.2 IPv6安全機(jī)制

如前所述,IPSec安全性服務(wù)完全通過AH(Authentication Header)和封裝安全性凈荷(Encapsulating Security Payload Header,ESP )頭相結(jié)合的機(jī)制來提供,當(dāng)然還要有正確的相關(guān)密鑰管理協(xié)議。RFC 4302(IP身份驗證頭)中對AH進(jìn)行了描述,而ESP頭在RFC 4303和RFC 4305(IP封裝安全性凈荷( ESP ) )中描述。上述RFC及IP安全性體系結(jié)構(gòu)RFC僅僅是解決安全性問題的第一步。

各安全性頭可以單獨使用,也可以一起使用。如果一起使用多個擴(kuò)展頭,AH應(yīng)置于ESP頭之前,這樣,首先進(jìn)行身份驗證,然后再對 ESP頭凈荷解密。使用IPSec隧道時,這些擴(kuò)展頭也可以嵌套。即,源節(jié)點對 IP包進(jìn)行加密和數(shù)字簽名,然后發(fā)送給本地安全性網(wǎng)關(guān),該網(wǎng)關(guān)則再次進(jìn)行加密和數(shù)字簽名,然后發(fā)送給另一個安全性網(wǎng)關(guān)。

實際上,AH和ESP頭既可以用于IPv4,也可以用于IPv6,這一點很重要。

AH認(rèn)證支持hmac_md5_96、hmac_sha_1_96認(rèn)證加密算法,ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。[13]

3 IPv6安全性應(yīng)用的現(xiàn)實性分析

IPv6網(wǎng)絡(luò)在安全性上對IPv4的優(yōu)勢并不如我們預(yù)計的那么大。很多已知的在IPv4上實現(xiàn)的攻擊,在IPv6上一樣能夠?qū)崿F(xiàn),因此,我們用來保護(hù)數(shù)據(jù)的方式實際上也差不多。如同IPv4一樣,遲早會有惡意的攻擊者找到新方法來攻入網(wǎng)絡(luò)。網(wǎng)絡(luò)攻防就像常說的矛和盾,此消彼長。另外有一點必須指出的是,大多數(shù)操作系統(tǒng)內(nèi)的IPv6是很容易配置的,某些時候隧道模式會作為缺省模式被激活。

如果我們使用檢測系統(tǒng)對MAC頭 0x86DD或者對IPv4協(xié)議字段41協(xié)議進(jìn)行監(jiān)控,我們會發(fā)現(xiàn)網(wǎng)絡(luò)上原來已經(jīng)有數(shù)量龐大的計算機(jī)開始使用IPv6系統(tǒng)了。

3.1 公鑰傳遞

RFC 4301規(guī)定了IPv6協(xié)議的IPSec需求,但并沒有提及密鑰是如何交換的。我們可以手動設(shè)定主密鑰,但是在大規(guī)模應(yīng)用時,這項工作會非常耗時。因此,在這種條件下,應(yīng)該使用一臺中心授權(quán)服務(wù)器。根據(jù)目前能了解到的應(yīng)用情況,這種中心授權(quán)服務(wù)器還有很多細(xì)節(jié)問題需要解決,比如和RFC 4306規(guī)定的IKEv2協(xié)議的沖突問題。

3.2 防火墻和入侵檢測系統(tǒng)

端到端的IPSec是IPv6的主要優(yōu)點之一,然而,如果使用ESP加密,那么已有的防火墻就可能發(fā)生問題:假如包是端到端加密,那么防火墻或者路由器如何在不解密的條件下來進(jìn)行包的檢測呢?把所有的加密密鑰放在一個中心位置也會使網(wǎng)絡(luò)出現(xiàn)中心薄弱環(huán)節(jié)。一個比較好的解決方案是,使用一個服務(wù)器來存儲攻擊者或進(jìn)行了網(wǎng)絡(luò)異常分析工作計算機(jī)的數(shù)據(jù)庫,客戶機(jī)下載這些數(shù)據(jù)庫,數(shù)據(jù)計算機(jī)自己對包進(jìn)行掃描,如果發(fā)現(xiàn)了和數(shù)據(jù)庫相符的內(nèi)容,就向中心服務(wù)器報警。

3.3 兼容性

互聯(lián)網(wǎng)的普及使IPv4向IPv6的過渡需要很長一段時間才能完成。IPv6也不僅僅是對IPv4的簡單升級,因為頭部特征和配址機(jī)制的不同,這兩種協(xié)議是互不兼容的。因此,IPv4如何平滑地過渡到IPv6是必須解決的一個問題。[10]

近年來的實踐過程中,屢屢出現(xiàn)本來在IPv4系統(tǒng)中工作正常的設(shè)備、軟件在采用IPv6協(xié)議后出現(xiàn)問題的事件。根據(jù)報道,如果IGMP snooping置為有效,那么有些交換機(jī)會無法傳送IPv6的多播包。使用VLAN站點并使用ISL加密,那么IPv6會不能正常工作。[8]同時,傳統(tǒng)上被認(rèn)為固若金湯的BSD系統(tǒng),也在處理IPv6封包的程式碼中,存在某種存儲器損毀的弱點,可能造成系統(tǒng)被攻擊者控制的高危險,“該項弱點可讓黑客避開操作系統(tǒng)內(nèi)建的所有安全機(jī)制”。[12] Juniper networks使用ipv6的m系列及t系列路由器,由于“內(nèi)存溢漏”(memory leak),可以讓攻擊者發(fā)動DoS攻擊。[11]

因此,業(yè)界還要花費大量的精力和財力來進(jìn)行已有系統(tǒng)的兼容性試驗,避免出現(xiàn)不可預(yù)知的嚴(yán)重?fù)p失。

4 IPv6的企業(yè)安全性模型

近年來,由于業(yè)務(wù)需要,NAT越來越多地被使用,與此而來的還有IPv4網(wǎng)絡(luò)端對端透明的缺失和安全性的降低。IPv6可以部分地解決這一問題。如果要對外部隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是必須的話,那么應(yīng)該使用如RFC 3041規(guī)定的諸如private addressing技術(shù)等,而不能再繼續(xù)使用NAT技術(shù)。

在傳統(tǒng)的IPv4網(wǎng)絡(luò)中,標(biāo)準(zhǔn)的安全性模型是集成化的NAT和邊界防火墻的使用。在IPv6網(wǎng)絡(luò)里,應(yīng)該設(shè)計一個更先進(jìn)的安全模型來改善整個網(wǎng)絡(luò)的安全,與此同時還要促進(jìn)端對端的聯(lián)絡(luò)能力。IPv6的每個節(jié)點都具有IPSec能力。僅僅依賴一個防火墻是不可靠的。假如入侵者進(jìn)入了防火墻背后的網(wǎng)絡(luò),那么一切都將是一覽無余的非加密內(nèi)容。要建立完善的模型,必須將中心安全策略倉庫、可信主機(jī)和節(jié)點結(jié)合起來,使三方共同作用,建立一個以網(wǎng)絡(luò)ID為基礎(chǔ)的身份驗證網(wǎng)絡(luò)系統(tǒng)。防火墻仍然可以使用,但以現(xiàn)在的觀點而言,僅僅以邊界防火墻來進(jìn)行企業(yè)級防護(hù)是不夠的,邊界防火墻還要和節(jié)點級防火墻相互作用,形成綜合性分布式防火墻網(wǎng)絡(luò)。

參考文獻(xiàn):

[1] Naganand Doraswamy.IPSEC:新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].北京:機(jī)械工業(yè)出版社,1999.12.

[2] Pete Ldshin.IPv6詳解[M].北京:機(jī)械工業(yè)出版社,2000.4.

[3] William R.Cheswick.防火墻與因特網(wǎng)安全[M].北京:機(jī)械工業(yè)出版社,2000.4.

[4] Tamara Dean.計算機(jī)網(wǎng)絡(luò)實用教程[M].北京:機(jī)械工業(yè)出版社,2000.9.

[5] Douglas E.Comer.計算機(jī)網(wǎng)絡(luò)與因特網(wǎng)[M].北京:機(jī)械工業(yè)出版社,2005.9.

[6] Michael Palmer.局域網(wǎng)與廣域網(wǎng)的設(shè)計與實現(xiàn)[M].北京:機(jī)械工業(yè)出版社,2000.8.

[7] Silvia Hagen.IPv6 Essentials[M].OReilly,2006.4.

[8] David Malone, Niall Murphy.IPv6 Network Administration[M].OReilly,2005.4.

[9] 關(guān)于IPv6安全網(wǎng)絡(luò)的架構(gòu)分析問題,http://cisco.ccxx.net/cisco/601.html.

[10] IPv4到IPv6的演進(jìn)策略,http://cisco.ccxx.net/cisco/4109.html.

[11] 陶蓉.Juniper路由軟件出現(xiàn)漏洞IPv6應(yīng)慎行[J].通信世界報,2004.11.

[12] OpenBSD發(fā)現(xiàn)IPv6安全漏洞,http://bbs.mychat.to/read.php?tid=608036.

[13] 中興通訊股份有限公司.談IPv6網(wǎng)絡(luò)的協(xié)議安全和安全機(jī)制,http://cisco.ccxx.net/cisco/2140.html.