IPv6 網(wǎng)絡(luò)安全架構(gòu)研究

李容權(quán) 江蘇農(nóng)林職業(yè)技術(shù)學(xué)院

引言

在網(wǎng)絡(luò)信息技術(shù)進(jìn)步發(fā)展的同時，人們的生活與互聯(lián)網(wǎng)之間的聯(lián)系也更加緊密，這也使得IPv6 網(wǎng)絡(luò)在應(yīng)用的過程中不斷發(fā)展。但當(dāng)前階段的IPv6 網(wǎng)絡(luò)安全架構(gòu)受自身因素的影響，在網(wǎng)絡(luò)安全方面仍面臨著相應(yīng)的困境。與此同時，新型網(wǎng)絡(luò)攻擊方式的產(chǎn)生與發(fā)展也為IPv6 網(wǎng)絡(luò)帶來了安全隱患。因此，對IPv6 網(wǎng)絡(luò)安全架構(gòu)進(jìn)行研究和分析，構(gòu)建和完善相應(yīng)網(wǎng)絡(luò)安全模型，可以有效增強(qiáng)IPv6 網(wǎng)絡(luò)的安全性，為其進(jìn)一步的推廣和應(yīng)用奠定堅實(shí)的基礎(chǔ)。

1、 網(wǎng)絡(luò)安全框架

通信軟件、硬件設(shè)備以及操作系統(tǒng)組成了計算機(jī)的網(wǎng)絡(luò)安全框架，在互聯(lián)網(wǎng)應(yīng)用不斷建設(shè)發(fā)展的同時，網(wǎng)絡(luò)安全問題也備受人們重點(diǎn)關(guān)注。網(wǎng)絡(luò)安全框架可劃分為服務(wù)和機(jī)制安全等兩個方面。Internet Protocol Version 6 作為新一代互聯(lián)網(wǎng)協(xié)議，可以簡稱為IPv6，在應(yīng)用范圍上也更加普及化，由于其地址長度可達(dá)到128b，使得主機(jī)容量得到一定的提升，與此同時，IPv6 對網(wǎng)絡(luò)層數(shù)據(jù)可以實(shí)現(xiàn)良好的加作用密，校驗(yàn)相應(yīng)的IP 報文，能夠有效強(qiáng)化網(wǎng)絡(luò)安全。IPv6 網(wǎng)絡(luò)安全通過對認(rèn)證頭和封裝安全載荷擴(kuò)展頭的應(yīng)用，使二者進(jìn)行有效結(jié)合，從而通過加密算法完成加密工作，同時，將傳輸模式各類應(yīng)用與IPSec 隧道進(jìn)行組合，以此完成級別產(chǎn)生差異時的安全防護(hù)。

2、 IPv6 網(wǎng)絡(luò)的安全隱患

數(shù)據(jù)傳輸隱患。隨著互聯(lián)網(wǎng)的發(fā)展，IP 協(xié)議數(shù)據(jù)流在進(jìn)行傳輸?shù)倪^程中大部分是明文傳輸，這也為網(wǎng)絡(luò)中的不法分子提供了篡改和監(jiān)聽的機(jī)會，以竊取傳輸數(shù)據(jù)的形式來取得用戶名、賬號及密碼等相關(guān)的用戶個人信息，并對這些信息進(jìn)行非法利用。

IP 地址隱患。在IPv6 網(wǎng)絡(luò)中，黑客可以利用IP 地址的特點(diǎn)對其進(jìn)行偽造或修改，如果用戶未能及時對其進(jìn)行仔細(xì)辨別，就會給非法黑客提供可乘之機(jī)，個人信息會出現(xiàn)泄露的情況。與此同時，黑客還能夠通過Denial of Service 進(jìn)行惡性攻擊，以發(fā)送虛假IP 地址的形式對服務(wù)器內(nèi)的資源造成損耗，使得用戶無法正常連接到網(wǎng)絡(luò)。

信息協(xié)議隱患。在信息發(fā)布時，由于未對發(fā)布源的真實(shí)性進(jìn)行核查，特別在局域網(wǎng)絡(luò)中，信息發(fā)布具備一定的自主性，黑客可以通過信息協(xié)議對IPv6 網(wǎng)絡(luò)進(jìn)行攻擊，用戶可能會受到虛假信息的誘導(dǎo)，從而出現(xiàn)被騙的情況。

用戶身份隱患。IP 協(xié)議無法認(rèn)證使用用戶的身份，只可以鑒別訪問的IP，這也為不法分子提供了可乘之機(jī)，在黑客破壞網(wǎng)絡(luò)或進(jìn)行釣魚時，IPv6 并不能做出及時有效的判定。

3、 IPv6 網(wǎng)絡(luò)安全框架設(shè)計

3.1 IPSec 安全協(xié)議

Internet Protocol Security 作為IPv6 的網(wǎng)絡(luò)安全協(xié)議，可以簡稱為IPSec。在主機(jī)間進(jìn)行信息傳遞時，這一協(xié)議能夠?yàn)楣舶踩峁┮欢ūＵ稀?/p>

3.2 安全網(wǎng)絡(luò)模型

本次針對網(wǎng)絡(luò)通信安全而構(gòu)建相應(yīng)的網(wǎng)絡(luò)安全模型，通過對可信任的第三方對節(jié)點(diǎn)進(jìn)行建立，從而完成身份驗(yàn)證，同時提升IKE的安全性。

對信息進(jìn)行加密變換、流量填充或附加數(shù)字簽名來完成安全變換。在安全變換完成后，秘密消息利用算法而產(chǎn)生，僅支持可以進(jìn)行解密的通信雙方進(jìn)行此信息的交流與共享，而且第三方所分配的信息同時為通信雙方提供支持。IPSec 作為IPv6 中的重要組成部分，在VPN方面充分發(fā)揮其功能和價值。IKE 驗(yàn)證模塊作為系統(tǒng)的關(guān)鍵，可以對IKE 協(xié)議的載荷數(shù)據(jù)進(jìn)行有效的校驗(yàn)，發(fā)送請求以及產(chǎn)生響應(yīng)。為增強(qiáng)IPv6 網(wǎng)絡(luò)安全，本次重點(diǎn)優(yōu)化IKE 的協(xié)商過程，利用可信任的第三方增添協(xié)商數(shù)據(jù)包，發(fā)揮轉(zhuǎn)發(fā)處理的服務(wù)功能，以此過濾IKE 交換的協(xié)商信息，可信任的第三方能夠?qū)f(xié)商消息進(jìn)行及時有效的處理，保證其以規(guī)范的消息格式進(jìn)行轉(zhuǎn)發(fā)。

3.3 仿真實(shí)驗(yàn)

本次實(shí)驗(yàn)同時應(yīng)用2 臺PC 機(jī)以及1 臺服務(wù)器，以此完成網(wǎng)絡(luò)環(huán)境的構(gòu)建，設(shè)立IPSec 節(jié)點(diǎn)在PC 機(jī)上，將服務(wù)器選定為可信任的第三方。

基 于Linux 系 統(tǒng) 環(huán) 境，利 用Openswan 來 保 證IPSec 安全 機(jī) 制 的 實(shí) 現(xiàn)，兩 處PC 機(jī) 的IPv6 地 址 為2018：250：1800：1：：1以 及2018：250： 1800：1：：2， 服 務(wù) 器 一 方 的IPv6 地 址 為2018：250：1800：1：：3。以手動秘鑰的形式對ESP 進(jìn)行加密，完成PC機(jī)與服務(wù)器之間的連接工作，通過IKE 協(xié)商的形式在IKE 目的地選項(xiàng)報頭類型增添協(xié)商數(shù)據(jù)包，將目的地址轉(zhuǎn)變?yōu)榉?wù)器的轉(zhuǎn)發(fā)地址。利用監(jiān)聽軟件捕獲新增的數(shù)據(jù)包，通過對監(jiān)聽數(shù)據(jù)的整理和分析，能夠得到PC 機(jī)的IP 地址、初始和響應(yīng)信息，結(jié)合這一信息來攻擊IPv6 網(wǎng)絡(luò)。優(yōu)化前的IKE 協(xié)商交換數(shù)據(jù)包的執(zhí)行結(jié)果如下：

Source address：2018：250：1800：1：：1

destination address：2018：250：1800：1：：2

oser datagram pcotocol.src port：isakmp(500)，dstport：isak mp(500)

internet security asseciation and key management protocol inltiator cookie：0x9559AED7A7FCFB66

xesponder cookie：0x0000000000000000

next. payload： security association(1)

version：1.0 Exchange type： identity protection(main mode)(2)

01 lags

message ID：0x00000000 length：212

security association payload

veoder ID payload

vendor ID payload

在應(yīng)用優(yōu)化后的IKE 協(xié)商過程，對IKE 協(xié)商數(shù)據(jù)包進(jìn)行IPSec加密，接著將其在ESP 載荷中進(jìn)行封裝，執(zhí)行結(jié)果如下：

Frame 631(170 bytes on wire，170 bytes captured)

ethernetII，src：D-Link_0c：ac：B3(00：50：ba：0c：ac：83)，ost：0Li nk_0c：bc：36(00：50：ba：0)Internet protocol Vension 6

encapsulating security Payload

優(yōu)化后，監(jiān)聽軟件對此數(shù)據(jù)結(jié)構(gòu)無法進(jìn)行分析，由此可見，利用IPSec 安全機(jī)制進(jìn)行加密，可以提升IKE 協(xié)商過程的安全性，從而提升IPv6 網(wǎng)絡(luò)的總體安全性。

4、 結(jié)語

對于IPv6 網(wǎng)絡(luò)而言，IPSec 作為其通信安全機(jī)制，通過秘鑰交換協(xié)議和安全策略對主機(jī)間存在的安全通信問題進(jìn)行解決。而其中的IKE 協(xié)議對整體的安全和有效性產(chǎn)生直接影響，根據(jù)實(shí)際情況利用可信任的第三方對IKE 的協(xié)商標(biāo)準(zhǔn)進(jìn)行強(qiáng)化，能夠有效增強(qiáng)主機(jī)的通信安全。本次的仿真實(shí)驗(yàn)證明了安全模型具備可操作性，能夠增強(qiáng)IPv6 網(wǎng)絡(luò)安全。