IPV4向IPV6過渡階段的計(jì)算機(jī)網(wǎng)絡(luò)安全研究

陳哲強(qiáng)

武警浙江省總隊(duì) 浙江 杭州 310000

引言

在當(dāng)今數(shù)字化社會(huì)中，互聯(lián)網(wǎng)已經(jīng)成為人們生活和工作中不可或缺的一部分。然而，隨著互聯(lián)網(wǎng)的不斷發(fā)展和擴(kuò)展，其安全問題也面臨巨大挑戰(zhàn)。其中一個(gè)重要的挑戰(zhàn)是IPV4（Internet Protocol Version 4）向IPV6（Internet Protocol Version 6）的過渡。IPV6作為下一代互聯(lián)網(wǎng)協(xié)議，旨在解決IPV4中的地址耗盡問題，并提供更多的安全性和性能優(yōu)勢。因此，為了適應(yīng)未來互聯(lián)網(wǎng)的需求，全球范圍內(nèi)正在進(jìn)行從IPV4到IPV6的過渡工作。

然而，這個(gè)過渡過程涉及眾多的技術(shù)挑戰(zhàn)，其中之一就是網(wǎng)絡(luò)安全。IPV6引入了許多新的安全特性，但同時(shí)也引入了新的潛在威脅和漏洞。因此，研究如何在IPV4向IPV6的過渡階段確保網(wǎng)絡(luò)的安全性變得至關(guān)重要。這包括了確保現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施在過渡期間不會(huì)受到嚴(yán)重的漏洞攻擊，同時(shí)也要考慮到新的安全挑戰(zhàn)。

1 IPv6概述

IPv6有3種類型的地址：單播、任播和多播。任播地址允許發(fā)送方將數(shù)據(jù)包發(fā)送給地址組中的任意成員。在傳統(tǒng)密碼學(xué)中，收件人和發(fā)件人使用相同的密鑰，即使用相同或等效的密鑰。IPv6的引入旨在改變地址空間，以擴(kuò)大地址范圍[1]。IPv4使用32位地址長度，總共可提供約43億個(gè)地址，而IPv6使用128位地址長度。除了解決地址短缺問題外，IPv6還解決了IPv4無法解決的其他問題，如IP連接、服務(wù)質(zhì)量、安全性、多播、移動(dòng)性和插值等。它支持對(duì)公司網(wǎng)絡(luò)的無縫遠(yuǎn)程訪問，連接到公司的虛擬私人網(wǎng)絡(luò)，甚至最終用戶也可以通過“在線時(shí)間”連接到公司網(wǎng)絡(luò)。這種安全機(jī)制在技術(shù)上是可行的。對(duì)于從事移動(dòng)技術(shù)的人來說，IPv6是公司IP網(wǎng)絡(luò)存在的保證。同時(shí)，IPv6與IP安全服務(wù)和機(jī)制兼容。下一代網(wǎng)絡(luò)更符合一般使用習(xí)慣，用戶能夠像使用手機(jī)和電視一樣方便地使用各種網(wǎng)絡(luò)服務(wù)。IPv6作為下一代互聯(lián)網(wǎng)的主要技術(shù)，將極大地改善網(wǎng)絡(luò)的自主安全性。在IPv6中，IPv4廣播地址函數(shù)嵌入到傳輸?shù)亩帱c(diǎn)地址中。在安全方面，IPv6引入了兩個(gè)新的擴(kuò)展身份驗(yàn)證頭，提供了內(nèi)置的身份驗(yàn)證和數(shù)據(jù)完整性。

2 IPv6網(wǎng)絡(luò)安全問題與加密技術(shù)

IPv6的安全問題是由于IPv6地址的數(shù)量幾乎是無限的，所有的IP設(shè)備都可以被分配到一個(gè)共同的地址，因此可以通過網(wǎng)絡(luò)直接進(jìn)行通信。IPv6提供了3個(gè)重要的安全服務(wù)：報(bào)文檢查、報(bào)文完整性檢查和報(bào)文可靠性。額外的IPv6擴(kuò)展確保了報(bào)文的安全性。RFC 1883描述了擴(kuò)展頭的使用。最著名的標(biāo)準(zhǔn)加密算法是美國的DES及其各種變種。在許多常見的密碼中，DES能夠抵抗所有已知的密碼攻擊。此外，密鑰管理問題相對(duì)簡單，數(shù)字簽名和驗(yàn)證特別方便，但算法復(fù)雜性較高，數(shù)據(jù)加密速度較慢。隨著現(xiàn)代電子和密碼學(xué)的發(fā)展，開放密鑰加密算法將成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)有前景的加密系統(tǒng)。加密技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域最有效的技術(shù)之一[2]，它不僅可以防止未經(jīng)授權(quán)的竊聽和訪問，還可以保護(hù)數(shù)據(jù)的機(jī)密性和完整性。

在網(wǎng)絡(luò)安全領(lǐng)域，除了上述的技術(shù)措施，加強(qiáng)網(wǎng)絡(luò)安全管理也是必要的。其中一個(gè)測試包括密碼檢查或完整性檢查，默認(rèn)情況下使用的是加密的MD5算法，但可以根據(jù)需要選擇其他算法。例如，第一個(gè)安全標(biāo)準(zhǔn)將使用安全封裝協(xié)議（ESP）來擴(kuò)展隧道模式和傳輸模式。在傳輸模式下，初始的IP報(bào)文成為原始文本，然后被封裝在ESP中。未加密的IP頭中的信息被用來將機(jī)密數(shù)據(jù)從源路由到目的地。在傳輸模式下，ESP包含源代碼加密協(xié)議，該協(xié)議使用默認(rèn)的加密算法將數(shù)據(jù)和IP消息連接在一起，以實(shí)現(xiàn)源代碼的控制和保護(hù)。

在IP協(xié)議級(jí)別上，普遍認(rèn)為IPv6將取代IPv4成為下一代網(wǎng)絡(luò)的基本標(biāo)準(zhǔn)。在涉及IPv6網(wǎng)絡(luò)和許多場景中，網(wǎng)絡(luò)需要同時(shí)支持IPv4和IPv6。在這種情況下，安全性是一個(gè)重要考慮因素。傳統(tǒng)密碼學(xué)的優(yōu)勢在于它能夠經(jīng)受時(shí)間和攻擊的高度保密性。因此，密鑰管理是系統(tǒng)中確保安全的重要因素。最強(qiáng)大的公鑰加密算法是當(dāng)涉及不同內(nèi)部網(wǎng)絡(luò)時(shí)，不僅需要研究其實(shí)施方法，更重要的是采取全面評(píng)估網(wǎng)絡(luò)各個(gè)方面的措施，包括物理保護(hù)及其他"軟"因素，如人為因素對(duì)安全和信息安全的影響。信息安全涉及法律、技術(shù)、管理和使用的許多方面，包括信息系統(tǒng)本身的安全性以及信息和數(shù)據(jù)的安全性。信息安全還涉及物理和邏輯技術(shù)措施，但單一技術(shù)無法解決所有問題，這意味著整個(gè)網(wǎng)絡(luò)必須完全支持從主干訪問2個(gè)IPv4/IPv6協(xié)議棧的情況。

從性能的角度來看，不建議使用隧道技術(shù)來管理內(nèi)部網(wǎng)絡(luò)的路由和維護(hù)。在實(shí)施路由策略時(shí)，建議使用域間路由協(xié)議作為外部邊界路由協(xié)議。為了將網(wǎng)絡(luò)管理數(shù)據(jù)與商業(yè)數(shù)據(jù)分開，并創(chuàng)建一個(gè)獨(dú)立的網(wǎng)絡(luò)管理數(shù)據(jù)通道，即外部網(wǎng)絡(luò)管理，以確保安全傳輸重要的管理數(shù)據(jù)和敏感的統(tǒng)計(jì)數(shù)據(jù)。網(wǎng)絡(luò)安全建議安裝路由器和防火墻來提高網(wǎng)絡(luò)設(shè)備的安全性。防火墻設(shè)備必須支持兩套協(xié)議，并制定相應(yīng)的安全策略來保護(hù)兩套協(xié)議。

3 IPV4向IPV6過渡階段的計(jì)算機(jī)網(wǎng)絡(luò)安全解決方案

基于IPv6的計(jì)算機(jī)網(wǎng)絡(luò)安全解決方案和預(yù)期使用擴(kuò)展包來改善IPv6網(wǎng)絡(luò)安全提供了路由器的安全級(jí)別。IPv6數(shù)據(jù)包的收件人可以通過查看IPv6數(shù)據(jù)包的頭（擴(kuò)展包）進(jìn)入系統(tǒng)。這種輸入在算法上是獨(dú)立的，有效地防止了黑客攻擊。另一方面，包是通過IPv6安全加密的。從算法的角度來看，這種加密也是獨(dú)立的，這意味著機(jī)密數(shù)據(jù)可以通過互聯(lián)網(wǎng)安全傳輸。IPv6需要執(zhí)行互聯(lián)網(wǎng)安全協(xié)議以確保IP和標(biāo)準(zhǔn)化網(wǎng)絡(luò)的安全。提供數(shù)據(jù)源、數(shù)據(jù)完整性、加密、復(fù)制保護(hù)和其他IP級(jí)功能。支持未來互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的安全包和協(xié)議是IPv6協(xié)議的一部分，補(bǔ)充了IPv4擴(kuò)展。有兩種安全機(jī)制：身份驗(yàn)證和加密。加密機(jī)制的傳輸通過編碼確保了數(shù)據(jù)的隱私。簡而言之，正是由于互聯(lián)網(wǎng)本身的安全缺陷，導(dǎo)致互聯(lián)網(wǎng)本身存在許多安全問題。互聯(lián)網(wǎng)進(jìn)入設(shè)計(jì)階段需要充分考慮這樣一個(gè)事實(shí),即許多網(wǎng)絡(luò)協(xié)議和應(yīng)用程序提供必要的安全服務(wù)開始規(guī)劃安全威脅,如SMTP發(fā)送垃圾電子郵件。IP網(wǎng)絡(luò)沒有提供服務(wù)質(zhì)量控制機(jī)制這不是為了竊取信息，而是為了防止攻擊對(duì)象（設(shè)備或網(wǎng)絡(luò)）不正常工作。IPv6網(wǎng)絡(luò)為攻擊者提供了更多的機(jī)會(huì)，因?yàn)樗褂昧艘环N識(shí)別組地址的方法[3]。例如，IPv6 地址是所有的DHCP服務(wù)器。這意味著如果IPv6消息發(fā)送到這個(gè)地址，它可以訪問網(wǎng)絡(luò)中的所有DHCP服務(wù)器，因此可能會(huì)對(duì)這些服務(wù)器進(jìn)行一些攻擊。與此同時(shí)，由于IPv6正在輸入加密和身份驗(yàn)證，這需要一定數(shù)量級(jí)的計(jì)算。關(guān)鍵在于鍵需要達(dá)到一定的長度，因?yàn)殒I越長，加密計(jì)算的數(shù)量就越大，尤其是在開源系統(tǒng)中。互聯(lián)網(wǎng)和網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)在執(zhí)行過程中也留下了許多漏洞，通常被認(rèn)為軟件錯(cuò)誤的數(shù)量與規(guī)模成正比。由于軟件網(wǎng)絡(luò)和相關(guān)軟件變得越來越復(fù)雜，市場軟件生產(chǎn)商沒有受到嚴(yán)格的質(zhì)量控制，留下了重大的安全風(fēng)險(xiǎn)，比如解決緩沖區(qū)地址溢出問題。

網(wǎng)絡(luò)發(fā)展的趨勢是能力的增長速度遠(yuǎn)遠(yuǎn)快于處理器主頻率的增長。這種趨勢為黑客提供了一些攻擊機(jī)會(huì)，其中之一是通過發(fā)送大量加密的數(shù)據(jù)包，看似合法但實(shí)際上是隨機(jī)生成的，以實(shí)施拒絕服務(wù)攻擊。在這種攻擊中，受害者的系統(tǒng)可能會(huì)花費(fèi)大量時(shí)間來驗(yàn)證這些錯(cuò)誤的數(shù)據(jù)包，而無法響應(yīng)其他合法用戶的請(qǐng)求。這是一種典型的洪水攻擊示例，其中黑客發(fā)送大量的虛假信息，并偽造TCP SYN原始主機(jī)地址。這導(dǎo)致目標(biāo)主機(jī)分配了大量資源，然后攻擊者又返回到起始地址。由于原始地址被偽造，原始主機(jī)永遠(yuǎn)不會(huì)回應(yīng)ACK消息，這導(dǎo)致受害主機(jī)的隊(duì)列積壓了大量的SYN + ACK包。盡管通常有超時(shí)機(jī)制和重傳策略，但這種攻擊仍然能夠占用大量資源。

網(wǎng)絡(luò)安全管理戰(zhàn)略包括定義安全管理水平和范圍，以及制定網(wǎng)絡(luò)功能規(guī)則和訪問系統(tǒng)。IPv6代表著互聯(lián)網(wǎng)協(xié)議的下一個(gè)版本，或者更確切地說，是下一代互聯(lián)網(wǎng)協(xié)議。它最初被認(rèn)為是滿足互聯(lián)網(wǎng)快速發(fā)展需求的必要步驟。IPv6引入了強(qiáng)制性的網(wǎng)絡(luò)機(jī)制，其中包括了兩種服務(wù)。安全負(fù)載在數(shù)據(jù)傳輸中用于確保數(shù)據(jù)的隱私和一致性。然而，由于攻擊者不斷演化，他們也發(fā)展出了各種方法來繞過這些安全機(jī)制，因此IPv6下一代互聯(lián)網(wǎng)仍然容易受到攻擊。

應(yīng)用層攻擊明顯是針對(duì)應(yīng)用程序級(jí)別的攻擊，如Web服務(wù)器和數(shù)據(jù)庫服務(wù)器。盡管這些系統(tǒng)提供了一定程度的安全機(jī)制，但由于管理員或用戶的技術(shù)限制以及維護(hù)管理的工作量，這些機(jī)制可能不會(huì)達(dá)到預(yù)期的效果。例如，使用默認(rèn)設(shè)置和弱密碼常常是許多成功攻擊的原因之一。因此，維護(hù)者需要不斷升級(jí)和改進(jìn)網(wǎng)絡(luò)安全措施，以適應(yīng)不斷演化的威脅。

IPv6的發(fā)展對(duì)我國具有多個(gè)方面的意義。首先，它促進(jìn)了國內(nèi)產(chǎn)業(yè)的發(fā)展和實(shí)現(xiàn)信息工業(yè)化。IPv6作為提高國家通信工業(yè)整體技術(shù)水平的戰(zhàn)略性工具，在國際競爭中起到積極的作用。其次，隨著IPv6解決方案的實(shí)施，它已成為互聯(lián)網(wǎng)和移動(dòng)網(wǎng)絡(luò)的主要公共協(xié)議，在國家安全戰(zhàn)略方面，IPv6的發(fā)展將有效推動(dòng)下一代互聯(lián)網(wǎng)和中國5G移動(dòng)網(wǎng)絡(luò)的發(fā)展，有助于有效管理信息和通信技術(shù)，確保中國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的可靠性和信息安全，更好地為國家、社會(huì)和人民服務(wù)[4]。

未來的信息和通信網(wǎng)絡(luò)將超越國界，國家或運(yùn)營商將爭奪更多的用戶資源。因此，為了確保IPv6下一代互聯(lián)網(wǎng)的安全運(yùn)行，我們需要一個(gè)可靠而全面的網(wǎng)絡(luò)安全服務(wù)系統(tǒng)。在現(xiàn)代入侵檢測系統(tǒng)中，協(xié)議分析技術(shù)是已知的最常見和最有效的攻擊檢測技術(shù)之一。網(wǎng)絡(luò)安全需要使用協(xié)議分析技術(shù)來掃描網(wǎng)絡(luò)數(shù)據(jù)包。為了滿足IPv6下一代互聯(lián)網(wǎng)的安全需求，我們需要改進(jìn)網(wǎng)絡(luò)架構(gòu)，并使用新的密鑰交換協(xié)議。IPv6防火墻技術(shù)用于創(chuàng)建路由，并為多個(gè)控制域提供復(fù)雜的安全機(jī)制和解決方案。同時(shí)，新的網(wǎng)絡(luò)架構(gòu)必須確保安全性，同時(shí)不會(huì)使網(wǎng)絡(luò)過于低效或不夠開放。由于IPv6提供了足夠的IP地址，它為構(gòu)建更有效的系統(tǒng)來保護(hù)網(wǎng)絡(luò)和用戶資源提供了基礎(chǔ)。

4 結(jié)束語

在IPv4向IPv6過渡的計(jì)算機(jī)網(wǎng)絡(luò)安全研究中，文章深入探討了這一轉(zhuǎn)變過程中的安全挑戰(zhàn)和解決方案。IPv6作為下一代網(wǎng)絡(luò)協(xié)議的基本標(biāo)準(zhǔn)，為人們提供了更大的地址空間和增強(qiáng)的安全性功能。然而，在過渡階段，網(wǎng)絡(luò)必須同時(shí)支持IPv4和IPv6，這給網(wǎng)絡(luò)安全帶來了一系列的考驗(yàn)。隨著技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)環(huán)境的變化，網(wǎng)絡(luò)安全仍然是一個(gè)不斷演化的領(lǐng)域，需要人們不斷關(guān)注和研究。本文研究內(nèi)容為網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)人士和決策者提供有益的指導(dǎo)，以確保過渡期間的網(wǎng)絡(luò)安全和順利的IPv6部署。