IPv6 網絡安全架構研究

李容權 江蘇農林職業技術學院

引言

在網絡信息技術進步發展的同時，人們的生活與互聯網之間的聯系也更加緊密，這也使得IPv6 網絡在應用的過程中不斷發展。但當前階段的IPv6 網絡安全架構受自身因素的影響，在網絡安全方面仍面臨著相應的困境。與此同時，新型網絡攻擊方式的產生與發展也為IPv6 網絡帶來了安全隱患。因此，對IPv6 網絡安全架構進行研究和分析，構建和完善相應網絡安全模型，可以有效增強IPv6 網絡的安全性，為其進一步的推廣和應用奠定堅實的基礎。

1、 網絡安全框架

通信軟件、硬件設備以及操作系統組成了計算機的網絡安全框架，在互聯網應用不斷建設發展的同時，網絡安全問題也備受人們重點關注。網絡安全框架可劃分為服務和機制安全等兩個方面。Internet Protocol Version 6 作為新一代互聯網協議，可以簡稱為IPv6，在應用范圍上也更加普及化，由于其地址長度可達到128b，使得主機容量得到一定的提升，與此同時，IPv6 對網絡層數據可以實現良好的加作用密，校驗相應的IP 報文，能夠有效強化網絡安全。IPv6 網絡安全通過對認證頭和封裝安全載荷擴展頭的應用，使二者進行有效結合，從而通過加密算法完成加密工作，同時，將傳輸模式各類應用與IPSec 隧道進行組合，以此完成級別產生差異時的安全防護。

2、 IPv6 網絡的安全隱患

數據傳輸隱患。隨著互聯網的發展，IP 協議數據流在進行傳輸的過程中大部分是明文傳輸，這也為網絡中的不法分子提供了篡改和監聽的機會，以竊取傳輸數據的形式來取得用戶名、賬號及密碼等相關的用戶個人信息，并對這些信息進行非法利用。

IP 地址隱患。在IPv6 網絡中，黑客可以利用IP 地址的特點對其進行偽造或修改，如果用戶未能及時對其進行仔細辨別，就會給非法黑客提供可乘之機，個人信息會出現泄露的情況。與此同時，黑客還能夠通過Denial of Service 進行惡性攻擊，以發送虛假IP 地址的形式對服務器內的資源造成損耗，使得用戶無法正常連接到網絡。

信息協議隱患。在信息發布時，由于未對發布源的真實性進行核查，特別在局域網絡中，信息發布具備一定的自主性，黑客可以通過信息協議對IPv6 網絡進行攻擊，用戶可能會受到虛假信息的誘導，從而出現被騙的情況。

用戶身份隱患。IP 協議無法認證使用用戶的身份，只可以鑒別訪問的IP，這也為不法分子提供了可乘之機，在黑客破壞網絡或進行釣魚時，IPv6 并不能做出及時有效的判定。

3、 IPv6 網絡安全框架設計

3.1 IPSec 安全協議

Internet Protocol Security 作為IPv6 的網絡安全協議，可以簡稱為IPSec。在主機間進行信息傳遞時，這一協議能夠為公共安全提供一定保障。

3.2 安全網絡模型

本次針對網絡通信安全而構建相應的網絡安全模型，通過對可信任的第三方對節點進行建立，從而完成身份驗證，同時提升IKE的安全性。

對信息進行加密變換、流量填充或附加數字簽名來完成安全變換。在安全變換完成后，秘密消息利用算法而產生，僅支持可以進行解密的通信雙方進行此信息的交流與共享，而且第三方所分配的信息同時為通信雙方提供支持。IPSec 作為IPv6 中的重要組成部分，在VPN方面充分發揮其功能和價值。IKE 驗證模塊作為系統的關鍵，可以對IKE 協議的載荷數據進行有效的校驗，發送請求以及產生響應。為增強IPv6 網絡安全，本次重點優化IKE 的協商過程，利用可信任的第三方增添協商數據包，發揮轉發處理的服務功能，以此過濾IKE 交換的協商信息，可信任的第三方能夠對協商消息進行及時有效的處理，保證其以規范的消息格式進行轉發。

3.3 仿真實驗

本次實驗同時應用2 臺PC 機以及1 臺服務器，以此完成網絡環境的構建，設立IPSec 節點在PC 機上，將服務器選定為可信任的第三方。

基 于Linux 系 統 環 境，利 用Openswan 來 保 證IPSec 安全 機 制 的 實 現，兩 處PC 機 的IPv6 地 址 為2018：250：1800：1：：1以 及2018：250： 1800：1：：2， 服 務 器 一 方 的IPv6 地 址 為2018：250：1800：1：：3。以手動秘鑰的形式對ESP 進行加密，完成PC機與服務器之間的連接工作，通過IKE 協商的形式在IKE 目的地選項報頭類型增添協商數據包，將目的地址轉變為服務器的轉發地址。利用監聽軟件捕獲新增的數據包，通過對監聽數據的整理和分析，能夠得到PC 機的IP 地址、初始和響應信息，結合這一信息來攻擊IPv6 網絡。優化前的IKE 協商交換數據包的執行結果如下：

Source address：2018：250：1800：1：：1

destination address：2018：250：1800：1：：2

oser datagram pcotocol.src port：isakmp(500)，dstport：isak mp(500)

internet security asseciation and key management protocol inltiator cookie：0x9559AED7A7FCFB66

xesponder cookie：0x0000000000000000

next. payload： security association(1)

version：1.0 Exchange type： identity protection(main mode)(2)

01 lags

message ID：0x00000000 length：212

security association payload

veoder ID payload

vendor ID payload

在應用優化后的IKE 協商過程，對IKE 協商數據包進行IPSec加密，接著將其在ESP 載荷中進行封裝，執行結果如下：

Frame 631(170 bytes on wire，170 bytes captured)

ethernetII，src：D-Link_0c：ac：B3(00：50：ba：0c：ac：83)，ost：0Li nk_0c：bc：36(00：50：ba：0)Internet protocol Vension 6

encapsulating security Payload

優化后，監聽軟件對此數據結構無法進行分析，由此可見，利用IPSec 安全機制進行加密，可以提升IKE 協商過程的安全性，從而提升IPv6 網絡的總體安全性。

4、 結語

對于IPv6 網絡而言，IPSec 作為其通信安全機制，通過秘鑰交換協議和安全策略對主機間存在的安全通信問題進行解決。而其中的IKE 協議對整體的安全和有效性產生直接影響，根據實際情況利用可信任的第三方對IKE 的協商標準進行強化，能夠有效增強主機的通信安全。本次的仿真實驗證明了安全模型具備可操作性，能夠增強IPv6 網絡安全。