IPv6在云安全中的應用

白瑞雙,李金凱,宋林海,楊 猛

(易訊科技股份有限公司,沈陽 110168)

隨著云計算的快速發展和廣泛應用,云安全成為一個極其重要的問題。云計算的靈活性、可擴展性及高效性可使人們更好地利用資源及服務,但也帶來了一些安全問題。IPv6作為下一代互聯網協議,正逐漸在云安全領域展示出其獨特的作用及潛力[1-2]。但IPv6在云安全中也面臨著一些安全問題:缺乏成熟的IPv6安全解決方案及工具,令部署與管理IPv6網絡變得復雜;IPv6設備與應用的兼容性問題可能導致安全漏洞及風險;Pv6網絡攻擊的新型威脅與防御挑戰需要加強安全意識并采取相應的措施[2]。本研究深入探索了IPv6在云安全中的作用、突破及存在的問題,提出相應的解決方案。

1 IPv6的基本概念及特點

IPv6是下一代互聯網協議,具有廣闊的128位地址空間,使用冒號分隔的8組16進制數字表示地址,引入了自動地址配置與無狀態地址配置等新的地址分配及配置方式,采用先進的路由協議及鄰居發現機制,具有支持移動性的特性[3]。IPv6最顯著的特點是巨大的地址空間擴展能力,通過改進的地址解析及地址選擇策略,提高了數據包傳輸效率及網絡性能。IPv6在安全方面具有多項增強功能,將IPSec作為其核心安全機制,提供端到端的加密、認證及完整性保護,支持強大的認證及加密機制,確保數據在傳輸過程中的安全性,支持防火墻與訪問控制列表,可限制對網絡資源的訪問并提供安全保護,提供了強大的流量監測及審計功能,能夠更好地監控及管理網絡安全。

2 IPv6在云安全中的作用及其存在的問題

2.1 IPv6在云安全中的作用

IPv6在云安全中具有突破性的作用:①提供更多的地址空間,滿足云計算規模擴展需求。IPv6的128位地址空間相比IPv4的32位地址空間更廣闊,能夠為云計算提供更多的唯一IP地址,更好地滿足不斷增長的云計算規模擴展需求,確保每個云實例及設備都能獲得獨立的IP地址,從而提高云環境的可擴展性及靈活性。②支持更好的網絡分段與隔離,加強云環境的安全性。IPv6引入了更靈活的子網劃分與地址分配方式,使云環境中的不同部分可以被有效分割和隔離,有助于減少潛在的攻擊面,提高云環境的安全性。使用IPv6的地址類型及流量控制機制,可以更精細地管理及控制各個子網之間的通信,提升云環境的隔離性及安全性。③提供高效的數據包處理及路由功能,提升云服務性能。IPv6采用先進的數據包處理及路由機制具有更高的處理效率及更快的路由轉發速度,這對于云環境中大量的數據流量及復雜的網絡通信非常重要,能夠提升云服務的性能及響應速度,為用戶提供更好的體驗。④支持IPSec等安全協議,保護云中數據傳輸的機密性及完整性。IPv6原生地支持IPSec協議,可提供端到端的加密、認證及完整性保護。在云環境中,數據的安全性至關重要,通過使用IPv6的IPSec功能,云服務提供商可保護云中數據傳輸的機密性及完整性,防止敏感信息被竊取或篡改,從而增強云環境的安全性[4]。

2.2 云安全問題

云服務是一種較新的計算環境,使用虛擬化為應用程序提供計算、內存、存儲及網絡設施等服務資源。云服務使用虛擬機管理程序,提供與云基礎設施交互的虛擬環境。虛擬機管理程序是應用程序與云基礎設施之間的邊界。普通虛擬化已讓位于使用半虛擬化技術的裸機虛擬化,在裸機虛擬化中,虛擬機管理程序取代了主機操作系統并直接控制硬件。此外,還有三種云范式占據主導地位。IaaS(基礎設施即服務)致力于用使用虛擬機的云基礎設施取代桌面及服務器等公司基礎設施[5]。但這并沒有解決云服務中的安全數據訪問及存儲問題。云服務最初被視為公司基礎設施的替代品,故其安全機制與服務器相同。企業產生的數據被視為企業DNA,數據管理方式非常復雜,并非所有數據都可隨意訪問,即在公司內部,某些機密數據訪問權限受限。

3 基于IPv6的云安全框架設計與應用

3.1 架構設計

基于IPv6的云安全框架設計如圖1所示。由用戶安全層、應用安全層、管理程序安全層、傳輸安全層、存儲安全層組成。用戶安全層涉及用戶身份驗證及授權,應用安全層用于向虛擬機管理程序驗證應用程序的身份,虛擬機管理程序安全層用于向云基礎設施驗證應用程序及用戶,傳輸安全層可在應用程序與云基礎設施之間提供安全通信,存儲安全層用于保護云基礎設施中的數據。

圖1 基于IPv6的云安全框架Fig.1 Cloud security framework based on IPv6

3.2 框架特點

IPv6格式如表1所示。IPv6與IPSec一起設計使用,IPv6協議棧內置了IPSec的功能及機制,每個數據包都可以攜帶IPSec頭部,用于加密及認證數據。IPSec可以在端到端的通信鏈路上建立安全連接,通過使用加密算法對數據進行加密,防止未經授權的訪問及竊取[6]。

IPSec可通過隧道模式在不可信的網絡中創建安全的虛擬專線。在IPv6中,IPSec隧道可在IPv6網絡中傳輸IPv4流量或在IPv4網絡中傳輸IPv6流量。這種隧道模式允許在不同的網絡之間建立安全連接,確保數據在跨網絡傳輸時的安全性。

將IPv6與IPSec結合使用,可輕松實現端到端的加密及認證,保護數據在云環境中的傳輸安全。無論是在公共云還是私有云環境中,IPv6與IPSec的結合都為云計算提供了更高級別的安全性,確保敏感數據的保密性,防止數據被篡改或竊取。

3.3 應用案例

對江西某縣級醫院患者ID系統開發項目應用云安全框架,使用該系統建立電子健康管理系統。當管理系統需要讀取修改患者信息時,系統找到并讀取數據,轉發到服務器對象。管理系統使用PKE機制與服務器建立安全連接以交換共享密鑰。當服務器獲得最新讀數時,會讀取患者的ID并生成一個存儲最新讀數的新文件。數據存儲在上傳完云端后,將數據發送給醫生,具體運行如圖2所示。

文件系統是一個加密所有數據塊的分布式文件系統。數據塊被復制并隨機放置在多個云塊存儲服務器上。為了提高安全性,文件的索引節點或元數據部分不存儲在云中。由于元數據受到保護,入侵者無法解碼數據塊,提高了整個文件的安全性。

在文件安全傳輸方面開發了一種基于局域網/云環境的安全傳輸協議。采用SP協議,與TCP協議不同,其是基于消息的協議,其中消息在通過網絡接口傳輸之前被分成塊。SP協議提供可靠的服務,可在不可靠的數據基礎上運行,如UDP或原始以太網。

在初步測試中測量了客戶端與服務器在用戶空間中的運行情況,客戶端位于用戶空間,服務器位于內核空間,這些結果與TCP的標準內核版本進行比較。SP在UDP上運行,傳輸數據塊大小保持1472字節,以模仿TCP完成的分段,結果如圖2所示。由圖2可知,SP協議可以在用戶空間及內核空間中有效執行,提供更大的靈活性,該電子健康管理系統能夠較好地將數據存儲在公共云環境中。

4 IPv6在云安全中面臨的挑戰

在云安全中,IPv6面臨著一些挑戰及難題,需克服以確保云環境的安全性[7]。

IPv6的廣闊地址空間可能導致地址管理的復雜性增加。由于IPv6提供了大量的唯一IP地址,云服務提供商需要有效管理并分配這些地址,避免地址沖突和濫用。此外,需要采取措施來監控與檢測潛在的地址欺騙及地址劫持行為,以確保地址的正確使用及安全性。

IPv6的部署和配置帶來了新的安全風險。由于IPv6是一個新的協議,許多網絡設備與應用程序可能缺乏對IPv6的完全支持,這可能導致配置錯誤、漏洞及不完善的安全措施。需深入了解IPv6的安全特性及最佳實踐,確保正確配置并更新設備及應用程序,減少潛在的攻擊面。

需重視IPv6的安全性。盡管IPv6原生支持IPSec,但仍需要正確配置及使用IPSec,以提供有效的加密及認證。此外,IPv6環境中的其他安全機制與工具可能還需進一步發展及完善,以滿足云環境中不斷變化的安全需求。

5 結束語

討論了IPv6在云安全中的重要作用及面臨的難題,分析了IPv6安全協議的優勢,這是滿足云計算規模擴展需求、加強云環境安全性的重要工具。將基于IPv6的云安全框架應用于某醫院的電子健康管理系統中,結果表明,該電子健康管理系統能夠較好地將數據存儲在公共云環境中。指出了IPv6在云安全中面臨的挑戰,需采取相應的措施來克服這些問題,以確保云環境的安全性及可靠性。通過合理利用IPv6的優勢,為云計算提供強大的安全保護,推動云計算的發展及應用。