IPV6网络安全协议机制论文

2022-05-01

摘要:IPv6作為新一代网络协议,其已经成为当前全球公认的互联网商业解决战略,全球各个国家均开始进行IPv6的部署。IPv6的投入运用,必然会带来一些新的网络问题,同时与各个网络之间的融合,也会引发一些新的网络问题,如何针对这些问题进行防范就成为保障IPv6顺利运行的重要措施。今天小编为大家精心挑选了关于《IPV6网络安全协议机制论文(精选3篇)》,仅供参考,希望能够帮助到大家。

IPV6网络安全协议机制论文 篇1:

IPSec和NAT协同工作的研究

摘要:网络地址转换(NAT)与网络安全协议(IPSec)都是在因特网上得到广泛应用的优秀技术,但由于目前IPSec和NAT技术的不兼容,使得这两种优秀的技术无法同时在网络中并存。该文对IPSec和NAT协同工作的问题进行了研究,指出NAT穿越方案的适用范围,为合理构建IPSec VPN提供了指导。

关键词:IPSec;NAT;IKE;VPN;UDP封装

Research on Coordination Between IPSec and NAT

ZHANG Ai-ke

(Departmet of Information Engineering, Liuzhou Vocational&Technical College,Liuzhou 545006,China)

Key words: IPSec;NAT;IKE;VPN;UDP encapsulation

1 引言

IPSec与NAT是用来解决IPv4中网络安全与IP地址短缺问题的两项技术。IPSec是Internet工程任务组(IETF)制定的一系列安全标准[1],已被确定为IPv6的必需组成部分,是下一代网络的安全标准,它可以较好地解决目前Internet上面临的安全威胁,有效地保证数据的安全传输。随着Internet的不断发展,采用IPSec技术实现利用互联网建立VPN网络,越来越被众多大中型企业所青睐,IPSec已逐渐成为构建VPN的主流技术。网络地址转换(NAT)技术[2] 在内部网络中使用内部私有IP地址,通过NAT将每个从内部网络发出的数据包的私有地址翻译成合法的公用IP地址在Internet上使用,支持多台主机共享全局IP地址,常见于接入设备和防火墙中,能很好地解决IPv4网络地址枯竭的问题,同时具有屏蔽内部网络的作用。

然而,在实际应用中,IPSec技术和NAT技术存在严重的不兼容性,当IPSec数据流穿越NAT设备时,两者无法协同工作,已被广泛使用的NAT设备制约着基于IPSec技术的VPN的发展。因此,IPSec和NAT兼容性方面的问题已成为当前网络安全领域的研究热点,寻求基于IPSec技术的VPN和现有的NAT设备和平共处,实现NAT透明穿越的解决方案已成为迫在眉睫的任务。

2 问题描述

由于IPSec对数据包进行保护,对数据包的改动会导致验证或解密过程的失败。IPSec与NAT的兼容性冲突是多方面的,其中主要是由于IPSec数据包在穿越NAT时无法进行正确转换造成的。IPSec与NAT的不兼容性问题主要有以下几个方面[3]:

1) IPSec AH和NAT:AH利用消息摘要算法对整个IP数据包产生一个散列值,该散列值的作用范围是整个IP包,包括源IP地址和目的IP地址,接收方利用该散列值认证收到的IP数据包。如果在发送过程中原始IP包的任何字段发生变化,都将会导致接收方的认证失败,接收方将丢弃该包。但NAT会对外出包的源地址和进入包的目的地址进行修改,AH认为IP包被非法修改,从而导致认证失效。ESP的完整性检查不包括IP头(传输模式),或者检查的是不为NAT所修改的内嵌IP协议头(隧道模式),因此在ESP中不存在这样的问题。

2) 校验和与NAT:TCP和UDP在计算校验和时使用了伪头部,因而校验和与IP源和目的地址有依赖关系。因此,当NAT设备改变IP地址后需要重新计算并修改TCP/UDP校验和。当应用了ESP传输模式的IP包经过NAT设备时,由于TCP/UDP校验和处于加密负载之中,该值在在修改了外层IP包头后无法被NAT进行更新,这样,虽然IPSec不会丢弃这个包,但是当它被送往上层协议处理,在进行校验和校验时会出错,这个包还是会被丢弃。ESP隧道模式可以和静态或动态NAT相兼容,因为TCP/UDP校验和只与内层“原始”IP包头有关,对于外层IP包头的的修改并不对其造成影响。然而,在NAPT存在的情况下,AH和ESP都无法通过NAPT,NAPT需要TCP/UDP端口来匹配出入信包,上层端口信息对于NAT网关是不可知的,所以NAT网关无法完成多个私网地址映射到一个公网地址的变换。

3) IKE地址标识符和NAT:在IKE协商中,通信双方使用IP地址作为身份标识符,而NAT设备对IP地址的修改会引起IP头中的地址和标识符不符,IKE会将这样的包丢掉。

4) IKE固定的目标端口和NAPT:IKE协商时的UDP通信端口号一般固定是500,而当NAPT后面的多方主机向同一响应者发起IKE SA时,NAPT需要通过不同的端口号区分不同的连接,因此,响应者必须能够接受非500UDP端口的IKE流量。

5) 重叠的SPD项和NAT:在IKE协商的第二阶段中,NAT后的多个主机和相同响应者协商SPD时会出现重叠,这样,响应者可能在错误的IPSec SA下发送数据包。

6) IPSec SPI选择符和NAT:IPSec ESP流量受加密保护,对NAT是透明的,NAT必须使用IP头和IPSec头来多路分解到来的IPSec信包,目的IP地址、安全协议(AH/ESP)、和SPI共同惟一标识一个安全联盟来达到这个目的。由于SA是单向的,外出和进入包的SPI选取是独立的,因此,仅通过监测外出的流量,NAT无法决定哪个进入的SPI和哪个目标主机相对应。

7) 内嵌IP地址和NAT:当内嵌IP地址时,由于载荷受到完整性保护,IPSec包中的任何IP地址不能被NAT转换。内嵌IP地址的协议包括FTP、IRC、SNMP、LPAP、H.232、SIP和许多游戏协议。

除上述外,有些NAT的具体实现也存在不利于IPSec穿越的特点,例如:某些NAT供应商的NAPT不能处理非UDP/TCP报文,拒绝通过ESP、AH报文;有些帮助解决兼容性问题的方法会引起新的不兼容性,如对端口500的特殊处理、对ISAKMP有效载荷进行解析及ISAKMP头部检查等。

3 协同工作的方法

IPSec和NAT的兼容性方案的目的是扩大IPSec的适用范围。根据前面分析的IPSec与NAT之间存在的兼容性问题,以及评估一个解决方案的可配置性、可扩展性、多模式支持能力、与防火墙的兼容性、远程通信能力、互操作性和安全性等原则[4],下面来探讨一些方法来解决IPSec和NAT协同工作的问题。

3.1 RSIP方法

RSIP是指在不同地址域通信的主机自己能处理跨越不同地址域的地址变换问题。它的工作机制[5]是:当RSIP客户机要联系互联网上主机的时候,它查询RSIP服务器以便获得一个端口号和公网IP地址。接着客户机通过隧道将包发往RSIP服务器,RSIP服务器将隧道头剥掉,然后将包发向互联网。对于到达的包,RSIP服务器基于端口号查找客户机IP地址,加入隧道头,然后将它们发往RSIP客户机。

RSIP网关是跨越在多个编址域的多宿主设备,允许主机直接参与到多个编址域中,并不对地址进行翻译,这样尽管主机需要知道RSIP网关,但是却没有破坏Internet端到端的通信,应用RSIP不需要修改源到目的地的IP载荷流,也就避免了对AH、ESP等协议的损伤。

RSIP技术的完全实现需要用新的RSIP网关代替现有的NAT路由设备,同时涉及对客户机的修改、服务器的重新部署等问题,因此实施费用相对较大,部署时间较长,降低了该方案的可行性。

3.2 “6to4”方法

这种方法的基本原理[6]是:各个局部网络运行在IPv6上,在IPv6网络边界安装NAT,NAT给主机提供IPv6地址前缀,这个地址前缀是NAT设备的IPv4 IP地址,当IPv6的数据报到达NAT时,NAT提取IPv6的地址前缀作为IPv6数据报的IPv4隧道地址,NAT把IPv6数据包封装在IPv4数据包中发送出去;在响应方,相应的NAT作IPv4隧道的解封,解封后的数据包在局部网络中用IPv6协议进行路由。在各个VPN保护的子网中是基于IPv6协议通信的。

这种方法很好地考虑了将来整个网络升级到IPv6的情况,同时它需要的支持也很少。

但这种方式要求对NAT进行修改,现在NAT的分布已非常广泛,而且很多NAT设备部署在公司、机构无法控制的地方,例如:ISP部署NAT在它的接入服务器上。因此,实施这种方式的费用较高,短期内难以实现。

3.3 专用NAT方法

其基本思想是:在VPN网关接收到数据包时作一次该网关专用的NAT,将通信链路中作了NAT的数据包根据策略配置恢复没有NAT时的IP地址或端口,当数据包通过网关到达目的地时,与通信链路中没有NAT时的数据包一样。通过这种方式来解决IPSec与NAT兼容性问题的关键是:在双方初始通信时确定NAT的存在,把经过NAT的数据包和系统策略配置中的连接相联系起来,为通信双方的后续通信建立地址、策略绑定,维持这个连接的状态,后续的通信根据连接状态作NAT。

这种处理方式将内部网络的拓扑结构暴露给了通信对方的网关,通信链路中的窃听者也能得到这部分信息,并且每个客户端都必须安装有这个解决方案的实现。专用NAT没有正式文档描述,在已有的几个产品中可以见到,如e-Border Solution provided by Permeo Technologies,Inc。目前没有提供也没有实现这种方案的系统之间的兼容性。

3.4 UDP封装方法

UDP封装法[7]是IETF提出的一种用于IPSec穿越NAT的解决方案,基本思想是:由发送主机在发送前将IPSec数据包封装在UDP中,到达接收方后再去掉外面的IP头以及UDP封装,从而使其中的IPSec数据包不受影响。ESP协议在传输模式和隧道模式下UDP封装格式分别如图1、图2所示。

图1 ESP传输模式UDP封装数据格式变化图

图2 ESP隧道模式UDP封装数据格式变化图

UDP封装法的实现需要对IKE协商进行改进来配合。

1) IKE协商第一阶段

在这一阶段中需要完成两种探测:探测对方是否支持NAT穿越(NAT-T);探测在通信路径中是否存在NAT设备。在IKE第一阶段的前两条交换消息中,发送“厂商ID载荷”,如果对方支持NAT,那么它就能识别此载荷,因为它详细描述了对NAT穿越的支持。然后在主模式的第三个和第四个交换消息或者野蛮模式的第二个和第三个交换消息中,增加载荷NAT-D(NAT-Discovery),载荷的值是源或者目的地址和端口号的HASH值,计算如下:

HASH=HASH(CK-I│CK-R│IP│Port)

其中CK-I,CK-R分别是发送方和接收方的Cookie值。当对方收到NAT-D载荷后,计算地址和端口的HASH值,如果与收到的相同,则表示它们之间没有NAT,否则表明链路中有NAT设备对它做了改变。如果发送者不能确定自己的IP地址,它可以在报文中包含多个本地IP地址的HASH值,仅当所有的HASH值均不匹配时,才表明有NA设备存在。

一些NAT设备不改变源端口500,即使NAT后面有多个客户机。这些NAT设备通过Cookie值而不是端口来完成与后面多个客户机的映射,这样,IKE很难发现NAT设备的兼容性能力。最好的方法是发现存在NAT设备后,把IKE传输从端口500上移走。一般在NAT设备被探测到后,发起者必须立刻将UDP的源端口和目的端口都设置为4500。这样会出现一个问题:IKE协商数据包(UDP数据包)和协商完成后的UDP封装ESP数据包使用相同的端口4500进行发送,为了区分出这两种数据包,在IKE数据包的UDP头和IKE头之间添加四字节的Non-ESP标志,与UDP封装的ESP包中的SPI域对齐,且值为全零。封装后的IKE包和ESP包的格式[8]如图3所示。

图3UDP封装后IKE包和ESP包的区别

2) IKE协商第二阶段

如果在第一阶段发现有NAT设备存在,IKE的第二阶段协商SA时就作相应的变化:添加两种新的模式:UDP封装隧道模式和UDP封装传输模式;增加NAT-OA以发送发起者的原始IP地址,以修正因NAT变换后的TCP/UDP校验和;位于NAT后面的IPSec发起方定期发送保持激活报文(keep alive),用以保持所建立的NAT映射不变。

该方案不需要对IKE或IPSec协议本身做任何的改动,只需要对IKE的实现做一些小的改进,该方法只依赖于NAT对UDP的支持,所以可以与绝大多数的NAT设备一起协同工作,具有简单且易于实现的优点,在总体上对NAT穿越问题有了较好的解决。但是,该方案的缺点也很明显:不支持AH协议,增加了载荷长度,延长了IKE协商SA的时间,无法实现NAT后多主机发起通信,泄漏了内网地址信息等。尽管如此,IETF提出的UDP封装法及在它基础上进行的各种改进,仍然是目前解决IPSec与NAT兼容性问题的主流技术。

3.5 TCP封装方法

使用UDP协议的好处在于传输数据比较快,UDP协议在传输小数据量时确实比TCP协议有更好的效率。但是,当需要传输的数据量比较大(如使用数字证书进行身份认证和密钥协商)时,UDP协议数据容易失序和丢失;在一个噪音比较大,数据失真比较多,容易受干扰的网络环境(如无线网络)中,往往造成数据的大量失真。出现这些情况时,需要上层协议对UDP数据包进行重新排序或重传等操作,由此造成的效率损失往往比较大,在此我们可以考虑使用TCP协议进行密钥协商。TCP协议能够很好地处理数据报的失序和丢失问题,在大数据量传输时也有很好的表现。TCP协议在建立过程和拆除过程中的数据交换所造成的效率损失并不比UDP协议处理时的损失大。

在实际的应用环境中,使用UDP封装会遇到以下的复杂情况:UDP数据属于上层数据,如果长度比较大,IP层会对此数据进行分片,先由IPSec协议对此分片数据进行封装,再由UDP协议进行二次封装以穿越NAT;到达目的地后拆除UDP的二次封装,需要再由IP层对分片数据进行重组。假如其中UDP二次封装的一个数据报丢失,那么整个UDP数据报都需要重新发送而不是只发送丢失的数据分片。这将造成整个通信效率明显下降。在此我们可以考虑使用TCP协议对IPSec数据包进行二次封装。TCP协议不会造成数据的失序和丢失,TCP协议会自动重新发送丢失的数据报而不是全部业务数据重新发送。此时使用TCP不会造成明显的效率降低,而是更好地提供了数据的传输服务。

以上分析的虽然是复杂的情形,但VPN通信是面向广域网的安全传输需求,它相比局域网环境中的通信要复杂得多,在实际应用中各种情况都可能出现,所以用TCP代替UDP对IPSec数据包进行封装以穿越NAT设备的考虑是具有现实意义的。

4 结束语

基于IPSec的VPN技术和NAT技术都是充满前途和广泛被使用的网络技术,解决IPSec和NAT的协同工作问题,对于部署VPN具有重要的意义。该文在详细分析了影响IPSec和NAT无法兼容的原因后,提出了实现NAT穿越几种方法,其中详细介绍了比较适用于目前网络环境的UDP封装法,并提出了用TCP封装IPSec数据包的设想,下一步的研究工作就是在此基础上进一步深入加以完善。

参考文献:

[1] Naganand Doraswamy.IPSec新一代因特网安全标准[M].北京:机械工业出版社,1998.

[2] RFC-1631-1994.The IP Network Address Translator (NAT) [S].

[3] 谭兴烈,张世雄.IPSec和NAT协同工作技术研究[J].计算机工程与应用,2003(12):I64-165.

[4] 李孝展,潘金贵.IPSec与NAT兼容性问题及其解决方案剖析[J].计算机应用与软件,2007,24(2):161-163.

[5] RFC-3103-2001.M.Borella, D.Grabelsky ,J Lo,K.Taniguchi. Ream Specific IP:Protocol Specification( RSIP)[S].

[6] RFC-3056-2001.B.Carpente and K.Moore.Connection of IPv6 Domains via IPv4 Clouds[S].

[7] RFC-3984-2005. A. Huttunen, W. Dixon, V. Volpe. UDPEncapsulation of IPsec Packets[S].

[8] 肖玲,周军,肖庆.IPSec与NAT不兼容性讨论与改进[J].信息技术与信息化,2007(2):66-68.

作者:张爱科

IPV6网络安全协议机制论文 篇2:

IPv6环境下的网络安全分析及防范措施研究

摘要:IPv6作為新一代网络协议,其已经成为当前全球公认的互联网商业解决战略,全球各个国家均开始进行IPv6的部署。IPv6的投入运用,必然会带来一些新的网络问题,同时与各个网络之间的融合,也会引发一些新的网络问题,如何针对这些问题进行防范就成为保障IPv6顺利运行的重要措施。基于此,本研究主要针对IPv6环境下的网络安全进行了系统的分析,并结合网络安全问题提出几点防范措施,仅供参考与借鉴。

关键词:IPv6;网络安全;防范措施

5G时代的到来,科学技术与信息化技术的迅猛发展,网络设备的不断增长,传统IPv4显然已经无法满足网络发展需求,IPv6已经成为未来发展的主要方向。从地址配置的层面来看,IPv6的有效应用,在 一定程度上降低用户、设施的泄露风险;从应用层面进行分析,IPv6能够有效能够对当前海量的设备提供有效的支持,且能够进行更为准确的溯源[1]。在看到IPv6应用优势的同时,我们也需要看到IPv6所面临的新兴网络安全问题,能否解决这些网络安全问题就成为IPv6推广运用的关键所在。

一、IPv6环境下的网络安全分析

(一)邻居发现协议安全隐患

IPv6主要是使用邻居发现协议(NDP),其可以了解相同链路当中各个节点,基于节点的应用,能够针对各种地址进行针对性的解析,有效维持邻居科大信息。NDP对于错误的路由器宣告,仍旧会进行发送,使得IP数据包朝着非指定位置进行传输,以此来实现拦截数据、修改数据包、拒绝数据包等各项服务,这就使得IPv6协议当中的邻居发现协议面临安全隐患。

(二)可移动性安全隐患

可移动性是IPv6的重要特征之一,其能够保障各个网络节点在不改变IP地址的情况连接网络,同时满足各个节点之间的通信需求。而这种便捷性也为不法分子提供了入侵的机会。

(三)安全机制隐患

对于IPv6协议的早期应用来说,主要是制定IPSec进行安全防护,现阶段IPv6主要是选择自定义安全机制,在未能建立一套规范、统一的安全机制情况下,IPv6仍旧存在一定程度的安全隐患。尤其是对于过渡期的IPv6应用,其会在一定时间段内与IPv4共存,同时也会与各个网络之间进行连接,安全机制也需要根据实际情况进行动态调整,其也会导致IPv6面临诸多不确定的安全隐患[2]。

二、防范措施与建议

(一)IPv6漏洞挖掘与修补

IPv6作为新兴的网络协议,其尚未进行系统的漏洞挖掘,实际应用过程中还存在诸多隐患。根据美国国家漏洞数据库(NVD)分析的数据可以看出,随着IPv6的不断应用,IPv6协议漏洞呈现为逐年上涨的趋势。因此,为有效保障IPv6协议的顺利应用,还需要进一步加大IPv6漏洞的挖掘工作,以便于及时针对各种漏洞进行有效的修补,将IPv6协议的安全隐患降到最低。

(二)IPv6网络设备与产品升级优化

早在2019年,《2018-2019全球IPv6支持度白皮书》的正式发布,进一步规范了IPv6认证标准,各个硬件厂商也开始积极布局IPv6协议,越来越多具有IPv6认证的网络设备开始投入到市场,如同意威胁管理UTM、Web应用防火墙WAF、审计、入侵检测防御IDP、入侵防御系统IPS、入侵检查系统IDS等等。这就需要充分结合IPv6 Ready Logo要求,积极推进IPv6网络设备与产品的优化升级,尽可能满足IPv6协议应用需求的同时,针对各种网络安全问题进行有效的预防。

(三)加强共存网络与其他网络安全防范

IPv6协议的运用并非一蹴而就的,过渡期还需要与其他网络协议进行共用。因此,对于IPv6网络安全问题的防范,不仅需要专门配置IPv4、IPv6专用防护措施,同时也需要强化过渡阶段IPv4、IPv6共存情况下的交叉网络防护问题,尽可能权衡两种网络交叉使用过程中存在的各种潜在风险,采取针对性的防范措施进行预防。在此基础上,对于其他网络来说,IPv6协议也存在一定的关联,包括移动互联网、5G、云平台、物联网、数据中心IDC等等,均需要考虑IPv6协议运用后的综合型防护措施,通过整体防御措施的全面布局,才能够进一步保障IPv6协议环境下的网络安全。

三、结语

综上所述,IPv6协议作为未来网络发展的必然趋势,其已经成为各个国家大力发展的重要内容,能否在IPv6协议方面占领先机,在一定程度上决定了网络协议、标准方面的话语权。在大力推进IPv6的同时,也需要意识到IPv6本身是一种新的协议,在实际应用的过程中必然会面临各种安全问题,未来还需要针对各种潜在的安全隐患进行梳理,以此来制定针对性的防护措施,从而有效促进IPv6的顺利运行,保障互联网的安全性。

参考文献

[1]郎平,延志伟.IPv6对网络安全治理的挑战及影响[J].信息安全与通信保密,2019(05):40-47.

[2]赵肃波.中国IPv6发展与网络安全挑战[J].信息安全研究,2019,5(03):261-272.

作者:方木龙

IPV6网络安全协议机制论文 篇3:

IPV6规模部署网络安全威胁浅析

摘要:基于现代社会的不断进步发展,我国互联网建设进一步完善,并成为国民经济发展的重要设施基础。在全球范围内,互联网也已经深刻影响经济格局、利益格局和安全格局的重要设施。而IP地址作为互联网发展运行的关键基础,其是现阶段比较稀缺的战略资源,针对这一状况,我国从战略高度上提出发展IPV6网络部署和整体规划,以抢占技术制高点。但IPV6规模部署过程中,存在着一定的安全威胁。鉴于此,本文主要从IPV6协议的特征入手,分析其网络安全威胁,并提出相关有效策略,展望未来发展趋势,旨在为我国IPV6规模部署过程中可能会出现的网络安全风险提供一些建议。

关键词:IPV6;规模部署;网络安全威胁

开放科学(资源服务)标识码(OSID):

1前言

IP地址是根据IP协议所提供的一种地址编码格式,是互联网网络设备的身份编号,每一个联网设备都拥有唯一的IP地址,而IPV6是当前互联网商业应用的解决方案之一,其能够解决以往IPV4应用存在的地址空间耗尽以及路由表爆炸等问题,可实现地址空间增加340万亿个,是互联时代发展中实现海量设备互联互通的坚实基础。同时IPV6可保障多条路由表项的合并,有效减少路由表的规模,符合现阶段互联网的发展趋势。但IPV6目前的應用还存在一定的安全隐患和威胁,需要采取有效应对措施,以解决困境。

2IPV6协议的特征

IPV6是一种替代现行IPV4的新IP协议,其在网络保密性、完整性等方面具有较大的性能提升,并保障其可控性和抗否认性。主要特征如下:

(1)IP地址扩展和路由选择功能加强。通过实行IPV6协议,能够将IP地址长度从32位增加到128位,尽可能的支持数量较大的可寻址节点,同时保障自动配置多级的地址层次、简单地址等。

(2)自动配置无状态地址。一般来说,只有大容量的地址空间才能够保障无状态地址的自动配置,促使IPV6的终端能够比较快速地连接互联网。改善了以往人工配置的现状,形成即插即用的便利配置方法。

(3)对首部格式进行合理优化。IPV6协议能够将IPV4首部的一些字段改为选项或者直接取消,可在很大程度上减少报文。并且在分组处理中降低首部额外带宽的开销,即便是地址长度增加,也能够实现处理费用降低[1]。

(4)支持首部和选项扩展。IPV6的选项一般处于单独的首部中,具体是在报文分组中IPV6首部和传送层的首部中间,使其选项具有任意长度,不仅限于40字节。

(5)支持权限验证和数据的完整性。IPV6重新定义了一种扩展,能够保障权限验证和数据完整性,并成为IPV6的基本内容之一,并可支持保密性要求。

(6)服务质量能力提高。当某一些的报文分组属于相应的特定工作流,IPV6能够挥发其新能力,此时发送者要求对其进行一定的特殊处理,充分提升服务质量。

3 IPV6规模部署网络安全威胁

3.1 技术安全威胁

虽然IPV6是对IPV4的完善和改进,但在新技术的应用和使用过程中,仍然会出现一定的技术缺陷,致使出现网络安全风险。比如IPV6地址尽管能够缓解IP地址资源紧张的现状。不过由于海量地址的查询相对复杂,造成安全检测难度较大。并且IPV6协议自身也具有安全威胁,攻击者可利用IPV6特有的邻居发现协议等,发送错误的路由宣告以及重定向信息等,可促使数据包流向不确定的方向。就会导致拒绝服务,并拦截和修改数据包。再比如IPV4过渡到IPV6的协议时存在安全问题,攻击者能够借助过渡协议的漏洞,绕开相应的安全监测,对用户网络设备进行攻击,获得控制权,所以IPV4与IPV6共存会带来较大的安全威胁,一旦被攻击者所利用,则会造成较大的安全风险。另外,在当前移动终端、移动互联网、云计算以及大数据等现代化信息技术的发展和应用上,IPV6与其进行融合还存在较大的安全挑战。

3.2 产业安全威胁

从互联网及其安全防护设备产业的角度上来看,现阶段多数网络设备及应用仅支持IPV4,不能直接接入IPV6网络。即便是安全防护设备支持IPV6,但其网络防护能力还有待加强,在规模部署中无法满足网络安全全方位的检测防护要求。因此IPV6协议的安全性直接影响到互联网行业以及与其相关产业的经济发展。在IPV6规模化部署的形势下,为解决产业安全威胁,应当加强创新研发和更新支持IPV6的网络设备产品。并且为其解决安全性问题,提高IPV6网络的稳定性,需要全面测试相关的设备、网络、技术等,综合所有因素制定科学的测试计划[2]。

3.3 管理安全威胁

基于管理安全出发,IPV6的地址空间大于IPV4,所以在分配和管理IP地址时,在缺乏相应有效的管理知识和经验的支持下,难度较大。并且在数据加密、验证和签名中,都需要对大量的密钥开展安全管理,以此才能够确保网络数据具有良好的安全性,但现有管理策略不能满足实际需求。另外一方面,在IPV6规模部署时,网络用户数量十分片庞大,相应的设备规模较为巨大,需要频繁的操作证书注册、更新、存储以及查询等工作,如果KPI不能满足高访问量的快速反应,则无法提供及时的状态查询,影响服务质量的提升。

4 IPV6规模部署保障安全的策略

针对IPV6网络应用出现的安全问题和威胁,应当采取有效的策略,解决主要问题,发挥其替代IPV4的优势性,推动互联网安全建设,满足社会进步和经济发展的需求。所以针对上述技术威胁、产业威胁和管理威胁,应采用以下几个安全策略。

4.1 强化防护技术投入

强化对IPV6安全防护技术的研究投入和前瞻部署是十分重要的,首先即是基于IPV6协议的本身特征,分析其很容易受到分片攻击、扩展头攻击或者是邻居发现协议攻击等。所以必须要根据各种攻击类型重点研究其攻击原理、攻击检测以及攻击防御等,为解决方案的制定奠定良好基础。其次是在IPV4向IPV6过渡时,应当将过渡机制与安全防护相融合,形成无缝、平滑和安全技术体系。最后要注重结合新技术,即是可在IPV6环境下,结合物联网、互联网、云计算等安全技术、管理机制等,构建良好的、可靠的解决方案。比如在移动互联网高速发展的趋势下,提高移动网络的安全性,综合考虑IPV6在感知层的应用安全、建立IPV6云计算平台等,促使安全防护技术趋向多样化、有效化方向发展。另外还需扩展邻居发现协议中的安全选项,即是在每个IPV6中设置一对公私钥和多个邻居扩展选项,能够通过时间戳和Nonce选项来抵御攻击。

4.2 注重研发信息安全产品

根据IPV6协议的特点和应用要求,为保障产业及行业的健康发展,需要创新研发信息安全产品,在现有网络安全保障系统基础上,进行相应的升级改造,以便于进一步提高对IPV6地址与网络环境的支持能力。并按照我国行业发展要求,在产品中增加IPV6地址精准定位功能,加强侦查打击能力和快速处置效率等。并可建立完善的互联网设备研发体系,针对IPV6的网络安全等级保护、个人信息保护、通报预警、风险评估和灾难恢复、备份等方面入手,提高IPV6协议的应用效果。比如为应对IPV6协议的安全威胁,可在交换机的物理端口设置相应的流量限制,在运行过程中将超出限制的数据包进行丢弃,或者可以在网络防火墙、邊界路由器上启动对IPV6数据包过滤机制,拒绝转发带有安全隐患的报文,可有效解决安全威胁。

4.3 加大政策支持力度,加强安全管理

IPV6规模部署的安全威胁防范需要加大政策的支持力度,促使系统管理更加安全。因此应当严格按照我国国务院办公厅印发的《推进互联网协议第六版(IPV6)规模部署行动计划》,落实各项建设措施,提高对安全问题的重视程度。同时要出台相关人才扶持政策,通过IPV6专业知识培训和教育工作,充分提供从业人员的技能,对IPV6规模部署中可能存在的安全威胁,做到早发现、早研究和早解决,避免造成严重的损失后果,构建完善的IPV6网络安全管理体系,在根本上提高安全管理水平,实现规模部署具有良好的应用效果。

5 IPV6网络安全策略的发展趋势

对于未来IPV6网络安全策略的发展,为保障IPV6规模部署得到充分的安全保证。则需要采取以下策略方法:采用单一地址的反向传输路径转发,有效拒绝全部拥有模糊源地址的数据包,防范网络恶意攻击;对低信誉的IPV6地址的信息流量采取必要的阻止措施;对出站信息流量进行检查,只允许具备匹配条件的返回流量,不过实质上其仅是通过IPS来检测用户无意带入的僵尸网络流量、恶意软件等;允许入站网络流量在进入到公共DNS时,拥有AAAA记录的地址;当某个内部地址从未与外部进行发送和接受工作,则应当阻止所有信息流量进入到该地址中,确保内部设备不会被外部恶意访问;对所有入站的SSL以及TLS信息流量采取拦截手段,并使用自签名证书对数据包进行解密,以便于在其进入之前开展安全隐患检查;当通过IPS后,默认允许其他入站信息流量,但应当对其速率进行严格的限制,目的是保障网络设备出现超载的情况。在未来IPV6规模部署中实施上述安全策略,能够在很大程度上,确保IPV6协议在实际应用中的安全性和稳定性。

6 结束语

综上所述,IPV6相比于IPV4具有诸多优势,其也是未来互联网IP地址资源建设的必经之路。因此在规模化部署过程中,要严格关注网络安全问题。针对现存的安全威胁和隐患,采取技术策略、政策策略以及管理策略等,充分保障IPV6协议的优势得以发挥,切实推动我国社会经济的高效发展。

参考文献:

[1] 张连成,郭毅.IPv6网络安全威胁分析[J].信息通信技术,2019,13(6):7-14.

[2] 林冀宁,蒋武军.基于IPv6蜂窝网络的防火墙安全问题研究[J].江苏通信,2019,35(4):75-76,79.

【通联编辑:闻翔军】

作者:翟智明