王艷華 左明

中國礦業(yè)大學(xué)圖文信息中心 江蘇 221116

0 引言

據(jù)全球互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)(IANA)的報道，到2010年11月初，全球IPv4地址僅剩2億個，不足總量的5%，根據(jù)IANA的分配計劃，最后5個A的IPv4地址將于2011年初分配完畢，距離此前專家預(yù)測的2011年8月再次提前。2010年被稱為IPv6中國商用元年，下一代互聯(lián)網(wǎng)的建設(shè)得到從國家到產(chǎn)業(yè)的高度重視，國家已經(jīng)從戰(zhàn)略高度重視以IPv6為特質(zhì)的下一代互聯(lián)網(wǎng)建設(shè)，在解決地址資源共享和網(wǎng)絡(luò)安全的基礎(chǔ)上，積極推進(jìn)IPv6的商用進(jìn)程，逐步實現(xiàn)向IPv6的全面過渡。

由于現(xiàn)有互聯(lián)網(wǎng)最初設(shè)計是為了軍事和科研用途，并不對外開放，缺乏完整的安全體系結(jié)構(gòu)考慮，導(dǎo)致現(xiàn)有的安全技術(shù)大多是在現(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)上進(jìn)行修修補(bǔ)補(bǔ)的單元安全技術(shù)。隨著網(wǎng)絡(luò)應(yīng)用的增加、速度的加快和規(guī)模的擴(kuò)大，必然面對更多的安全風(fēng)險，因此網(wǎng)絡(luò)安全研究已經(jīng)成為下一代互聯(lián)網(wǎng)研究中的一個重要的領(lǐng)域，也是發(fā)展下一代互聯(lián)網(wǎng)應(yīng)該注意的最關(guān)鍵和必須解決的問題。在我國，863項目，973項目中都有對下一代互聯(lián)網(wǎng)安全體系結(jié)構(gòu)研究的重要支持。

1 IP安全協(xié)議IPSec

原來的互聯(lián)網(wǎng)安全機(jī)制只建立于應(yīng)用層，如IDEA加密算法、E-mail加密等，這些應(yīng)用程序級的算法或技術(shù)不能適用于計算機(jī)通信網(wǎng)絡(luò)中的各種應(yīng)用需求，以及ISP今后可能出現(xiàn)的新的應(yīng)用需求。而Internet網(wǎng)絡(luò)的重要特點是以IP協(xié)議作為網(wǎng)絡(luò)層的惟一標(biāo)準(zhǔn)協(xié)議。因此，如果能夠保證IP層的安全，在很大程度上就保證了 IP網(wǎng)上的通信安全，這便是IETF網(wǎng)絡(luò)安全組制定IPSec(Internet Protocol Security)協(xié)議的基本思路。

IPSec提供了既可以應(yīng)用于IPv4也可以應(yīng)用于IPv6的安全性機(jī)制，它只是IPv4的可選擴(kuò)展協(xié)議，卻是IPv6的必選組成部分。IPSec的主要功能是在網(wǎng)絡(luò)層對數(shù)據(jù)分組提供認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機(jī)制通過對數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過程中被竊聽。

IPSec在IP層上對數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供訪問控制、數(shù)據(jù)源身份認(rèn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計和實現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。IPSec支持主機(jī)之間、主機(jī)與網(wǎng)關(guān)、網(wǎng)關(guān)之間的組網(wǎng)方式。

IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議Authentication Header(AH)、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP)、密鑰管理協(xié)議 Internet Key Exchange(IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。

其中AH協(xié)議定義了認(rèn)證的應(yīng)用方法，可以驗證數(shù)據(jù)的起源、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播；ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，除具有AH的所有能力之外，還可選擇保障數(shù)據(jù)的機(jī)密性，以及為數(shù)據(jù)流提供有限的機(jī)密性保障。AH和ESP協(xié)議根據(jù)安全聯(lián)盟(SA)規(guī)定的參數(shù)為IP數(shù)據(jù)包提供安全服務(wù)。在實際進(jìn)行IP通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。IKE是IPSec規(guī)定的一種用來自動管理SA的協(xié)議，由 Internet安全關(guān)聯(lián)和密鑰管理協(xié)議 ISAKMP以及OAKLEY與SKEME兩種密鑰交換協(xié)議綜合組成。IKE的實現(xiàn)可支持協(xié)商 VPN，也可支持IP地址事先并不知道的遠(yuǎn)程接入。IKE解決了在不安全的網(wǎng)絡(luò)環(huán)境中安全地建立或更新共享密鑰的問題。

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)，在可控性、抗否認(rèn)性方面有了新的保證，例如網(wǎng)絡(luò)偵察、報頭攻擊、碎片攻擊、假冒地址及蠕蟲病毒等IPv4中常見的攻擊方式將在IPv6網(wǎng)絡(luò)中失效，但I(xiàn)Pv6不可能徹底解決所有安全問題，同時還會伴隨其產(chǎn)生新的安全問題，它的應(yīng)用也給現(xiàn)行的網(wǎng)絡(luò)體系帶來了新的要求和挑戰(zhàn)。IPSec作為一個網(wǎng)絡(luò)層 IPv6路由協(xié)議，只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，不能對其上層如Web、E-mail及FTP等應(yīng)用的安全負(fù)責(zé)，另外，也無法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊等。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項技術(shù)并不能實現(xiàn)，還需配合多種手段，諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計算體系等。

2 IPv6存在的安全問題

IPv4協(xié)議向 IPv6協(xié)議升級過程中，構(gòu)建可信任的下一代互聯(lián)網(wǎng)，將是一項長期而艱巨的任務(wù)。在建設(shè)IPv6網(wǎng)絡(luò)的時候，需要全面考慮網(wǎng)絡(luò)的安全問題。

2.1 傳統(tǒng)的安全設(shè)備需要改進(jìn)

IPv6中同樣需要部署防火墻、VPN(虛擬專用網(wǎng)絡(luò))、IDS(入侵檢測系統(tǒng))、UTM(統(tǒng)一威脅管理)、流控、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。但由于IPv6的新特性，IPv6不向下兼容，原有的針對 IPv4的網(wǎng)絡(luò)安全產(chǎn)品在IPv6網(wǎng)中不能直接使用，用于整個網(wǎng)絡(luò)的通信路由和安全分析的硬件和軟件都要進(jìn)行升級，需要提供對 IPv6協(xié)議的支持，同時在實現(xiàn)方式上需要根據(jù)IPv6協(xié)議的特性進(jìn)行改進(jìn)。

IPv6防火墻用來保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)層和傳輸層的攻擊。IPv4中防火墻過濾的依據(jù)是IP地址和TCP/UDP端口號。IPv4中IP頭部和TCP頭部是緊接在一起的，而且其長度基本固定，所以防火墻過濾模塊很容易找到 IP地址和TCP/UDP端口信息，從而用相應(yīng)的策略。而在IPv6中，擴(kuò)展報頭存在于IP基本報頭和TCP/UDP報頭之間，對過濾模塊與過濾函數(shù)尋找IP地址以及TCP/UDP中的端口信息帶來麻煩。另外，由于IPv6集成了IPSec，網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行了完全的加密，這樣，如何過濾經(jīng)過加密的數(shù)據(jù)是IPv6防火墻必須解決的又一問題，且對防火墻的處理性能會有很大的影響。

IPv6入侵檢測系統(tǒng)用來監(jiān)聽、接收網(wǎng)段上的所有數(shù)據(jù)包，并對其進(jìn)行分析，發(fā)現(xiàn)攻擊并進(jìn)行報警。IDS產(chǎn)品和防火墻一樣，在IPv6下不能直接運(yùn)行，除了基于上面兩個原因外，還需要支持以下機(jī)制：高速網(wǎng)絡(luò)下的數(shù)據(jù)包捕獲機(jī)制；支持可擴(kuò)展的IPv6源地址定位庫和定位機(jī)制；能夠支持IPv6流量分析機(jī)制；支持 IPv6協(xié)議規(guī)則集的靈活定義及分析裝載，能檢測出IPv6特有的攻擊行為；能提供支持IPv6協(xié)議的入侵檢測管理界面；同時支持IPv4和IPv6及過渡機(jī)制。由于IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來網(wǎng)絡(luò)上的數(shù)據(jù)通訊的保密性將會越來越強(qiáng)，這使網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機(jī)入侵檢測引擎也面臨在多種不同平臺如何部署的問題。這就需要研究IDS新的部署方式，再下一步，研究如何才能在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)。

2.2 過渡過程中的安全威脅

IPv6過渡技術(shù)是在過渡期間，根據(jù)某種特定需求，實現(xiàn)同種IP協(xié)議或不同IP協(xié)議網(wǎng)絡(luò)設(shè)備之間通信的方法。IPv6過渡技術(shù)本身和 IPv4/IPv6 共存都會帶來新的安全問題，目前很多問題還不能得到很好的解決。在進(jìn)行IPv4到IPv6過渡策略的設(shè)計中，公認(rèn)且具有代表性的主要有雙棧方式、隧道方式和網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換方式。

雙棧的節(jié)點同時運(yùn)行IPv4和IPv6兩套協(xié)議棧，針對對象是通信端節(jié)點，包括主機(jī)、路由器。由于兩種協(xié)議共存時破壞了原 IPv4 網(wǎng)絡(luò)安全機(jī)制，很多網(wǎng)絡(luò)管理員是分給IPv6一個以該地址所述的類前綴為開頭的地址，這樣，黑客需要掃描的IPv6地址范圍就小了很多。另外，由于雙棧路由器是使用隧道機(jī)制在IPv4網(wǎng)絡(luò)中路由IPv6包，則，黑客侵入IPv4設(shè)備后，會激活I(lǐng)Pv6-in-IPv4隧道，這樣就可以成功繞過過濾和入侵檢測系統(tǒng)。雙協(xié)議棧技術(shù)是 IPv6 過渡技術(shù)的基礎(chǔ)，在隧道技術(shù)和協(xié)議轉(zhuǎn)換技術(shù)中都需要使用雙協(xié)議棧技術(shù)。因此，這些安全威脅也存在于其他過渡技術(shù)中。

隧道技術(shù)是將一種協(xié)議的數(shù)據(jù)報文封裝在另一種協(xié)議的數(shù)據(jù)報文中傳輸，是連接孤島的有效方法。隧道端點一般在接收到封裝的數(shù)據(jù)包后，先進(jìn)行解封裝，再交給系統(tǒng)中其他數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制處理。于是，隧道技術(shù)，以 IPv6 over IPv4隧道為例，受到的安全威脅主要來自IPv4網(wǎng)絡(luò)中攻擊者發(fā)送給隧道端點的偽造IP地址的封裝數(shù)據(jù)包，攻擊的對象可以是普通 IPv6 節(jié)點或隧道端點，主要包括：利用源地址偽造躲避追蹤、利用源地址偽造進(jìn)行反射DoS攻擊、利用鄰居發(fā)現(xiàn)協(xié)議消息欺騙。對于自動建立隱式隧道的技術(shù)，如 6to4、Teredo等，它們需要處理來自任何IPv4節(jié)點的數(shù)據(jù)包，而且隧道另一端的信息是從隧道端點接收到的 IPv6分組的目的地址處獲得的，這就使得它們除了需要面對普通隧道的安全問題外，還可能受到以下兩方面的威脅：利用IPv4廣播地址DoS攻擊、服務(wù)竊取。

網(wǎng)絡(luò)地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換方式是通過對IPv4和IPv6協(xié)議之間的報文格式和信息的轉(zhuǎn)換，實現(xiàn)使用不同IP協(xié)議的主機(jī)或者其他網(wǎng)絡(luò)設(shè)備之間的互通。面臨的安全問題主要來自以下幾個方面：在傳輸過程中進(jìn)行協(xié)議翻譯，修改數(shù)據(jù)分組源、目的地址，因此無法使用 IPSec；協(xié)議翻譯設(shè)備需要通過DNS-ALG對DNS應(yīng)答進(jìn)行轉(zhuǎn)換，從而破壞了DNS SEC的加密機(jī)制，影響了DNS SEC的部署；存在利用IP分段進(jìn)行DoS攻擊的漏洞；存在利用組播地址進(jìn)行反射DoS攻擊的漏洞；存在利用動態(tài)綁定機(jī)制DoS攻擊的漏洞。對于以上安全問題，一般可以采用轉(zhuǎn)換設(shè)備進(jìn)行地址合法性驗證、添加認(rèn)證機(jī)制和使用靜態(tài)綁定技術(shù)等加以緩和，但這些機(jī)制會極大的消耗系統(tǒng)資源，并且增加了系統(tǒng)的復(fù)雜性。

2.3 缺乏成熟的IPv6網(wǎng)管產(chǎn)品

目前，由國家發(fā)改委和教育部批復(fù)立項的“教育科研基礎(chǔ)設(shè)施IPv6技術(shù)升級和應(yīng)用示范”項目，正在國內(nèi)百所高校如火如荼的進(jìn)行，該項目的建設(shè)目標(biāo)之一便是：到 2010年底前，在接入CERNET和CNGI-CERNET2的基礎(chǔ)上，將校園網(wǎng)升級到下一代互聯(lián)網(wǎng)，建立安全、可控、可管和可運(yùn)營的下一代校園網(wǎng)試商用環(huán)境。

網(wǎng)絡(luò)管理是網(wǎng)絡(luò)正常運(yùn)行的必要保障，相對于IPv6網(wǎng)絡(luò)建設(shè)和標(biāo)準(zhǔn)化工作的進(jìn)展，IPv6網(wǎng)管的發(fā)展要相對滯后。國內(nèi)外針對IPv6的網(wǎng)管系統(tǒng)處于起步階段，缺乏成熟的IPv6網(wǎng)管產(chǎn)品，缺乏大規(guī)模應(yīng)用的驗證，缺乏對IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測和管理的手段，對大范圍的網(wǎng)絡(luò)故障定位和性能分析的能力還有待提高。

IPv6的網(wǎng)管系統(tǒng)應(yīng)同時支持IPv6和IPv4網(wǎng)絡(luò)環(huán)境，支持IPv4//IPv6雙棧管理，提供網(wǎng)管事務(wù)驅(qū)動的工作流機(jī)制，支持網(wǎng)管信息綜合搜索和顯示，采用分布式體系結(jié)構(gòu)，提供高效的實時反映機(jī)制，進(jìn)行故障監(jiān)控、性能監(jiān)控，并且支持高度可視化的信息界面和豐富的人機(jī)交互。

IPv6的管理可借鑒 IPv4，但對于一些網(wǎng)管技術(shù)，如SNMP(簡單網(wǎng)絡(luò)管理)等，不管是移植還是重建，其安全性都必須從本質(zhì)上有所提高。IPv6網(wǎng)絡(luò)管理所涉及的主要技術(shù)包括：網(wǎng)絡(luò)管理系統(tǒng)與IPv6設(shè)備間交換管理信息時所需的基于IPv6的網(wǎng)絡(luò)管理協(xié)議和IPv6網(wǎng)絡(luò)管理信息模型。

另外，就網(wǎng)絡(luò)安全而言，管理比技術(shù)更重要。這里的管理并不局限于網(wǎng)管軟件，還包括管理制度、人員培訓(xùn)、密鑰分發(fā)以及保密制度等等。先進(jìn)的安全技術(shù)和設(shè)備會因管理不善而崩潰，完善的管理可以在一定程度上消除技術(shù)落后帶來的不利因素。

2.4 IPv6協(xié)議本身仍需在實踐中完善

IPv6協(xié)議本身并不是完美的，它是在 IPv4的結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成的，在IPv6中仍保留著IPv4的諸多結(jié)構(gòu)特點，例如數(shù)據(jù)的分片和 TTL(生存時間)等，這些選項都曾經(jīng)被黑客用來攻擊IPv4協(xié)議或者逃避檢測。IPv6組播功能僅僅規(guī)定了簡單的認(rèn)證功能，還難以實現(xiàn)嚴(yán)格的用戶限制功能。另外，DHCP(動態(tài)主機(jī)配置協(xié)議)必須經(jīng)過升級才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。

安全算法本身存在安全問題。IPSec的 AH協(xié)議、ESP協(xié)議中分別使用認(rèn)證算法和加密算法，這些算法本身就存在局限性，不能夠保證某一算法自身的安全。山東大學(xué)王小云教授帶領(lǐng)的密碼研究小組先后破譯了包含MD5與SHA-1在內(nèi)的系列 Hash函數(shù)算法。另外，從密鑰的分配管理來看，IPSec依賴的PKI目前還沒形成完善的標(biāo)準(zhǔn)。此外，對用戶來說，加密解密消耗的CPU時間會使用戶的服務(wù)響應(yīng)速度變慢，如果黑客向目標(biāo)發(fā)送大量貌似正確實際上卻是隨意填充的加密數(shù)據(jù)包，被攻擊者就可能消耗大量的CPU時間用于檢驗錯誤的數(shù)據(jù)包而不能響應(yīng)其他用戶的請求，造成拒絕服務(wù)。

無狀態(tài)地址自動配置(Stateless Address Autoconfiguration)存在安全隱患。IPv6地址為128位，考慮到配置地址的方便，通過鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protoco1)，節(jié)點不需要任何人工操作即可發(fā)現(xiàn)同一鏈路上的其他節(jié)點，進(jìn)行地址解析，發(fā)現(xiàn)鏈路上的路由器，維持到活躍鄰居的可達(dá)信息等。該機(jī)制給合法用戶帶來方便的同時，也使得非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò)，特別是在無線環(huán)境中，如果沒有數(shù)據(jù)鏈路層的認(rèn)證和訪問控制，一個配有無線網(wǎng)卡的非法用戶甚至不受物理網(wǎng)線連接的限制就可以輕松地接入和訪問IPv6網(wǎng)絡(luò)。鄰居發(fā)現(xiàn)協(xié)議在沒有認(rèn)證保護(hù)時，規(guī)定跳限制域必須是最大值 255，可以防止來自鏈路外的攻擊。但這種措施對鏈路內(nèi)發(fā)起的攻擊卻無能為力，而IPv6的無狀態(tài)地址自動配置恰恰為鏈路內(nèi)攻擊提供了便利。無狀態(tài)地址自動配置中的沖突地址檢測機(jī)制也給拒絕服務(wù)攻擊帶來可能，惡意攻擊者只要回復(fù)對臨時地址進(jìn)行的鄰居請求，請求者就會認(rèn)為地址沖突而放棄使用該臨時地址。

3 總結(jié)與展望

隨著下一代互聯(lián)網(wǎng)應(yīng)用的增加，速度的加快和規(guī)模的擴(kuò)大，國家、網(wǎng)絡(luò)運(yùn)營者和使用者對于IPv6的安全問題日益重視。本文在對IPSec安全協(xié)議介紹的基礎(chǔ)上，著重探討了IPv6網(wǎng)絡(luò)目前存在的安全問題，研究了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備的改進(jìn)，分析了過渡過程中的安全威脅，指出網(wǎng)絡(luò)管理及網(wǎng)管產(chǎn)品的重要性，并對IPv6協(xié)議本身的脆弱性進(jìn)行了探討，希望能為正在進(jìn)行這方面工作的同仁提供一些參考。

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)，在可控性、抗否認(rèn)性方面有了新的保證。但是IPSec安全協(xié)議的集成，并不能保障IPv6的絕對安全，還需要配合防火墻、入侵檢測系統(tǒng)、網(wǎng)管軟件等手段同時使用，還要繼續(xù)完善IPv6協(xié)議，深入研究IPv6網(wǎng)絡(luò)安全組織和策略體系，提升 IPv6網(wǎng)絡(luò)整體安全水平，達(dá)到網(wǎng)絡(luò)安全縱深防御的目標(biāo)，形成可管可控可信的IPv6網(wǎng)絡(luò)架構(gòu)，推動下一代網(wǎng)絡(luò)安全應(yīng)用的發(fā)展。

[1]王相林.IPv6核心技術(shù)[M].北京:科學(xué)出版社.2009.

[2]楊碧天,常立夏,詹德新.IPv6安全性能研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2008.

[3]梁羽.IPv6的安全問題探討[J].科協(xié)論壇.2008.

[4]王帥,沈軍,金華敏.電信 IPv6網(wǎng)絡(luò)安全保障體系研究[J].電信科學(xué).2010.

[5]徐貴寶.選擇適當(dāng)技術(shù)保證網(wǎng)絡(luò)安全過渡[J].通信世界. 2003.

[6]雷茗洋.基于 IPv6協(xié)議的網(wǎng)絡(luò)安全分析[J].數(shù)字技術(shù)與應(yīng)用.2010.

[7]Zagar,D,Gragic,K.IPv6 Security Threats and Possible Solutions [J].Automation Congress.2006.WAC '06.World. 2010.