基于IPv6的下一代網絡安全問題分析及對策

李娜

【摘 要】網絡安全是一個永恒的話題，IPv6解決了IPv4地址短缺現狀，它強制引入了加密和認證機制，強制實現IPSec，確保了數據的完整性和保密性的封裝，實現了網絡層的安全性。但這也不是絕對的安全，下一代互聯網仍有很多的安全威脅。本文分析了基于IPv6的下一代網絡存在的安全問題，并提出相應的對策。

【關鍵字】IPv6；網絡安全；IPSec

引言

基于IPv6的下一代互聯網，作為提高互聯網容量的基礎和先導，直接支撐著移動互聯網、物聯網、云計算等領域。然而，隨著網絡應用速度和規模的變大，必須要面對更多的安全風險，所以網絡安全是下一代網絡研究的一個重要領域。

下一代互聯網的特點是開放式接口的增加，網絡應用的速度和規模將有前所未有的增加，所以安全性方面的風險也相應增大。 IPv6協議引入了許多新的協議功能被用來完成可能對系統和網絡的攻擊，如IPv6無狀態自動尋址，給合法的網絡用戶帶來了方便的同時卻也給非授權用戶可以更容易訪問和使用網絡的機會，無狀態地址自動配置里的地址沖突檢測機制也可能帶來了拒絕服務攻擊。

一、IPv6協議及其安全機制

（一）IPv6協議

IP協議是TCP/ IP協議族的核心協議，所有的TCP，UDP，ICMP，IGMP數據都可以以IP數據報傳輸。 IPv6協議為“IP下一代協議”擴充了地址空間，對IPv4也做了各個方面的改進，從各方面改善了IPv4。IPv6比IPv4具有更好的安全性和服務質量，對多播技術支持的更好，可管理性更好。IPv6協議的數據報相比IPv4更簡單，更靈活，下圖所示IPv4和IPv6協議的數據報格式：

圖1：IPv4數據報格式

圖2：IPv6數據報格式

IPv6協議將地址數位延長至128位，徹底解決了IPv4地址短缺的問題。雖然IPv6的地址是IPv4的四倍，但報頭只有IPv4 的兩倍，并使用一個固定的格式標頭，簡化了路由器的操作，降低了路由器的處理開銷。 為了使IP地址的分配更合理、更方便，IPv6支持無狀態和有狀態兩種地址自動配置。 IPv6同時提供優質的對服務質量（QOS）的支持，“優先級”字段按需對特殊的QOS分組提供服務。此外，IPv6定義的IP層移動支持協議（移動IPv6，MI IPv6），通過一個簡單的擴展，滿足了大規模移動用戶的需求。

（二）IPv6協議的安全機制

IPv6協議內置安全機制標準化為IPSec （ IP Security ） ，并已通過了IETF 。 IPSec提供了兩種服務：認證和加密。認證是用來確保數據包的完整性，并提供身份鑒別服務。數據的一致性和保密性主要通過封裝安全凈荷報頭（Encapsulating Security Payload Header ， ESP ）來實現。

IPv6協議使用AH和ESP兩個安全協議和密鑰分配和管理協議，實現IPSec中的安全功能。

（1）AH協議（Authentication Header Protocol，認證頭協議）：AH協議提供數據源認證、數據完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數據。AH的工作原理是在每一個數據包上添加一個身份驗證報文頭，此報文頭插在標準IP包頭后面，對數據提供完整性保護。可選擇的認證算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。MD5算法的計算速度比SHA-1算法快，而SHA-1算法的安全強度比MD5算法高。

（2）ESP協議（Encapsulating Security Payload Protocol封裝安全載荷協議）：ESP協議提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標準IP包頭后面添加一個ESP報文頭，并在數據包后面追加一個ESP尾。與AH協議不同的是，ESP將需要保護的用戶數據進行加密后再封裝到IP包中，以保證數據的機密性。常見的加密算法有DES、3DES、AES等。同時，作為可選項，用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。這三個加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法實現機制復雜，運算速度慢。

（3）IKE協議（ Internet Key Exchange Protocol， Internet網密鑰交換協議）：IKE協議是用于保證虛擬專用網絡（VPN）協商、遠程主機或網絡接入安全的一項網絡安全協議（IPsec）。該協議的功能可簡單概括為以下三個方面：一是用于通信雙方協商所使用的協議、加密算法以及密鑰等；二是用于通信雙方進行密鑰交換；三是用于跟蹤對以上約定參數的具體實施情況。

AH和ESP協議為IPSec 協議建立安全的虛擬專用網絡提供保密性，身份驗證和其他基本服務，但是光有這些還不夠，還需要提供一個可以協商的協議來為通信雙方提供分發和管理秘鑰，這便是IKE協議可以完成的功能。

二、IPv6下存在的安全問題分析

（一）IPv6安全漏洞分析

IPv6的漏洞是指IPv6協議固有的漏洞，以及網絡設備、操作系統、網絡服務和解析IPv6協議及其子協議的數據包過程中產生的漏洞。 IPv6的子協議包括但不限于以下協議： NDP（鄰居發現協議），ICMPv6 （ Internet控制消息協議） ， DNSv6 （DNS），DHCPv6 （動態主機配置協議），IPSec （ Internet協議安全性）等。 IPv6的漏洞主要發生在IP層，但是， IP層以上的必須通過IPv6網絡數據所觸發的漏洞也屬于IPv6相關的漏洞。

按漏洞造成的危害可分為：本地權限提升漏洞，遠程信息披露，遠程命令執行，遠程拒絕服務，遠程數據修改，不必要的服務，其他類別。所有IPv6相關的漏洞中，有一半以上的漏洞可能導致遠程拒絕服務，這對于網絡設備和網絡服務是比較嚴重的。如果加上可能會導致本地拒絕服務攻擊漏洞，拒絕服務漏洞將占IPv6漏洞的60%以上。因此，在IPv6網絡環境中，抗拒絕服務攻擊將是非常艱巨的任務。其次，可以導致遠程代碼執行漏洞，信息泄露和繞過安全機制以避免檢測和其他災害的漏洞也占據了較大的比例。

按漏洞影響的系統分類，可以分為影響AIX漏洞，影響HPUX漏洞，影響Linux漏洞，影響UNIX的漏洞，影響Windows漏洞 ，影響網絡設備/防護墻系統漏洞等。

按照相關的數據分析，所有的IPv6漏洞中，影響比例最大的是影響網絡設備的漏洞，這主要是由于IPv6的相關漏洞主要發生在網絡層，而網絡層數據處理的最主要實體是網絡設備，除了網絡設備，被廣泛使用的Linux和Windows操作系統以及系統無關的應用程序和服務也成為IPv6相關的漏洞的主要來源。

（二）IPv6協議新增功能的安全性問題

IPv6協議支持無狀態的地址自動配置，該功能可能會導致非授權用戶可以更方便地訪問和使用網絡。需要加強移動終端、用戶身份認證和網絡訪問控制。 ICMPv6作為IPv6協議的一個重要組成部分需要防止DOS攻擊、反射攻擊。鄰居發現協議（ ND ）與IPv4中的ARP協議相似，需要防止DoS攻擊和中間人攻擊。因為IPv6是對IPv4在互聯網協議棧IP層的升級， IPv6協議自身的安全機制以及漏洞、IPv6的新功能和擴展地址空間都將給我們一個新的安全研究問題。

（三）IPv6下網絡安全面臨的威脅

IPv6協議對IPv4協議的根本改變是發生在IP層，因此，針對IPv6協議所定義的包頭及擴展頭的、容易發生的安全威脅，我們需要進行充分的準備。常見的針對IPv6擴展頭的攻擊，主要包括利用分片擴展頭發起分片攻擊，逃避防火墻/IDS（Intrusion Detection System，入侵檢測系統）的檢查或者發動DOS攻擊；利用路由擴展頭的type 0類型，在網絡中發起放大攻擊。

IPSec是一種開放式標準架構，通過使用加密的安全服務以確保在Internet協議（ IP）網絡上保密而安全地通信。為了實現網絡層的安全， IPv6協議中強制實施了IPSec，其主要優點是就是透明度，即提供安全服務不需要對應用程序和其他通信層及組件進行任何更改。在路由器或防火墻安裝IPSec時用戶或服務器系統中軟件的設置無需更改。各種應用程序都可以共享IP層提供的安全服務和密鑰管理，而不必設計和實現自己的安全機制，從而降低了密鑰協商的開銷及安全機制的相關培訓。但是，由于秘鑰管理問題仍然難以廣泛的部署和實施，許多安全攻擊發生在應用層而非網絡層，因此網絡仍然面臨著諸多的安全問題。

（1）針對密碼的攻擊

基于密碼的攻擊是很具有生命力的，在IPv6的環境下也面臨著這樣的威脅。雖然IPv6下對IPSec進行了強制執行，但在這種情況下，用戶使用的操作系統和其他訪問控制的共同點是基于密碼的訪問控制，對計算機和網絡資源的訪問都是由用戶名和密碼決定的，對于那些老版本的操作系統，一些組件并不是在通過網絡傳輸標識信息進行驗證的時候對信息加以保護的，這樣竊聽者便可以獲取有效的用戶名和密碼，擁有了與實際用戶相同的權限，攻擊者就可以進入機器內部進行惡意破壞。

（2）針對泄漏密鑰的攻擊

IPSec的工作模式（傳輸模式和隧道模式）下都需要密鑰交換的過程，所以針對密鑰的攻擊仍然無法避免。雖然破解密鑰是一個困難和耗費資源的過程，但這種可能仍然存在。當攻擊者確定密鑰后便可以對安全通信進行訪問，而發送者或接收者卻是完全察覺不到的，后面進行的數據傳輸就這樣遭到了沒有抵抗的攻擊。攻擊者進而使用泄露密鑰就可以解密或修改其他需要的數據。同樣，攻擊者還可以使用其他泄露密鑰計算其他密鑰，從而獲得其他安全通信的訪問權。

（3）針對應用層服務的攻擊

應用程序服務器是應用程序層攻擊的目標，即導致服務器操作系統或應用程序錯誤。這會導致攻擊者有能力繞過正常的訪問控制，攻擊者因此便可以控制此應用程序、系統、或網絡，并可以任意進行讀取、添加、刪除或修改數據、操作系統等操作；使用計算機與軟件應用程序引入病毒，并將病毒復制到網絡；引入竊探器分析網絡和獲取信息，并最終通過使用這些信息導致網絡停止響應或崩潰、異常關閉數據應用程序或操作系統、禁用其他安全控制。

由于IPSec數據包加密是在網絡層進行的，在網絡傳輸過程中，防火墻無法有效地將加密的帶有病毒的數據報進行有效的檢測，從而對接收端的主機或路由器構成威脅。

（4）針對拒絕服務的攻擊

密鑰管理分為手動密鑰管理和自動密鑰管理，Internet密鑰管理協議被定位在應用程序的層次。 IETF規定了Internet安全協議和密鑰管理協議ISAKMP（Internet Security Association and Key Management Protocol）來實現IPSec密鑰管理要求，為身份驗證和密鑰交換技術定義了一個通用的結構，可以使用不同的密鑰交換技術；I2ETF還設計了OA KL EY密鑰確定協議（密鑰確定協議）實施ISAKMP的具體功能，其主要目的是使需要保密通信的雙方可以通過這個協議證明自己的身份、認證對方的身份、確定使用的加密算法及通信密鑰，從而建立一個安全的通信連接。

IKE的協議很容易受到拒絕服務攻擊，攻擊者可以在互聯網初始化許多連接請求即可做到這種攻擊。然而加密又是有代價的，進行模數乘冪運算或兩個非常大的質數乘積，甚至是對單個數據包解密和檢查完整性都會占用CPU的時間。發起攻擊的代價要遠遠比被攻擊對象響應這種攻擊所付出的代價小得多。例如，甲想進行一次Diffie-Hellman密鑰交換，但mallory向她發送了幾千個虛假的Diffie-Hellman公共值，其中全部填充偽造的返回地址，這樣乙被動地進入這種虛假的交換。這樣做顯然會造成CPU的大量浪費。IPSec對相應的攻擊提出了相應的對策，但它并不是通過抵擋服務否認攻擊來進行主動防御，而是增大了發送這種垃圾包的代價及復雜度來進行被動防御，即使這樣，攻擊者仍然可以使用IKE協議的漏洞中斷服務。

四、針對IPv6 網絡安全問題的對策

（一）IPv6 數據包頭擴展

IPv6安全性可以大大提高互聯網的安全，它利用相關的數據包頭擴展，確保路由器的安全性。 IPv6的數據接收包要求網絡客戶先利用數據包的擴展部分進行身份驗證才可以接收相關的數據的內容，這種登錄是相對獨立的，它能夠一定程度上遏制黑客的網絡攻擊，另外，IPv6的數據包頭的擴展部分加密數據包的加密方法也是獨立的，它可以保證客戶在網絡上傳輸機密數據的安全，不會被第三方所截獲。

（二）加強對網絡病毒的監控

要建立一個可行的檢測系統防止網絡病毒入侵，對網絡給予有效的監控。當今的網絡病毒和傳統的病毒網絡病毒有很大不同，在先進性、隱蔽性、傳播性和破壞性等不同方面都有了較大的提高，它們開始依附于網絡文件、郵件、網頁、程序、局域網等不同的傳播途徑，自動啟動相應的程序深入到網絡系統內部肆意妄為，通過對計算機的控制以實現對互聯網的攻擊。相關人員需要不斷地清理網絡病毒，利用先進的計算機病毒查殺軟件和殺毒軟件定期掃描和查殺，以確保網絡的安全。在進行查殺過程中，還能有效地監控網絡文件、網頁、郵件、程序，防止異常情況的發生。

（三）建立和完善合理的網絡體系

建立和完善科學合理的網絡系統可以有效地防止盜竊網絡信息。相關技術人員可以采取隔離的方法以確保網絡信息的安全性。技術人員建立網絡防火墻也可以有效的對網絡的安全進行隔離。根據設立的DMZ訪問規則以及安全過濾規則，可有效地控制外網用戶，以防止非法訪問，確保必要的服務器的暢通，設立相應的的保護系統，有效控制那些對服務器有害的攻擊。同時，還可以按照時間段規則，從而使內網用戶的訪問時間不能超過網絡協議所規定的時間。通過設置IP地址與MAC地址綁定，實現防止ARP欺詐行為。防火墻除了可以阻止大量的惡意網絡攻擊外還可以確保重要的個人信息不被泄露。

（四）安裝電磁屏蔽防止信息泄露

一般情況下，信息在網絡系統的工作過程中是可以通過電源線、地線、信號線進行傳播的，當然還可以在空間中通過電磁波傳播出去，同樣面臨信息泄露的威脅，有的信息可以在傳播過程中能夠被快速的分辨出來，造成信息泄露，因此技術人員還可以在關鍵部位安裝電磁屏蔽，涉密信息在通過計算機鍵盤輸入的時候還可以在附近放置干擾器，這樣可以在很大程度上預防信息的監聽和泄露。

（五）培養核心人才研發新技術

IPv6的國際認證已在全球得到了廣泛的認可，目前，我國在相關方面掌握了多達16項自主產權技術。 IPv6的發展給我國新的網絡市場開拓了更多的發展機會，因此，我國必須增加IPv6的技術開發和研究，加大財政投入，繼續培養新一代網絡核心人才，積極參與國際上關于IPv6的研究。

五、結論

解決新一代的網絡安全問題，構建可信任的下一代互聯網，將是一項長期而艱巨的任務。下一代互聯網意味著更大的規模、更快的速度和更多的應用，與此同時，也將面臨更多的網絡安全問題，因此，我們應該更加關注網絡的安全性，在部署時考慮建立新型的網絡架構，未雨綢繆，打造一個更為安全的網絡。

參考文獻：

[1]蘇金樹，涂睿，王寶生，劉亞萍. 互聯網新型安全和管理體系結構研究展望[J]. 計算機應用研究. 2009（10）

[2]鄧中波，黃孝倫，唐明燈. 探討互聯網的影響與下一代網絡的安全管理[J]. 網絡安全技術與應用. 2010（07）

[3]汪斌強，鄔江興. 下一代互聯網的發展趨勢及相應對策分析[J]. 信息工程大學學報. 2009（01）

[4]趙競雄，王曉菊. IPv4協議與IPv6協議[J]. 軟件導刊. 2010（02）

[5]Christian Huitema. 新因特網協議IPv6（第二版）.清華大學出版社，1999年4月12日出版

[6]Pete Ldshin 著. IPv6詳解.北京：機械工業出版社，2000年4月1日出版

[7]甘宏，潘丹. 基于網絡安全入侵檢測技術與防火墻結合的應用研究[J]. 科技廣場. 2011（01）