李嘉偉，魏金俠，龍春*

1.中國科學(xué)院計算機網(wǎng)絡(luò)信息中心，北京 100190

2.中國科學(xué)院大學(xué)，北京 100049

引言

近年來，互聯(lián)網(wǎng)技術(shù)得到了空前的發(fā)展，以Internet 為基礎(chǔ)的全球互聯(lián)網(wǎng)對人們的生活生產(chǎn)方式產(chǎn)生了深遠的影響。然而，隨著互聯(lián)網(wǎng)技術(shù)的深入發(fā)展以及影響范圍的迅速擴大，網(wǎng)絡(luò)的規(guī)模變得越來越龐大，網(wǎng)絡(luò)的結(jié)構(gòu)也越來越復(fù)雜，使得現(xiàn)有的網(wǎng)絡(luò)服務(wù)難以滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用的需求。

目前互聯(lián)網(wǎng)的協(xié)議族是 TCP/IP 協(xié)議族，其為Internet 的核心，IP 協(xié)議是網(wǎng)絡(luò)層協(xié)議，是 TCP/IP 協(xié)議族的核心?，F(xiàn)行絕大多數(shù)互聯(lián)網(wǎng)的IP 協(xié)議版本號為 4，即 IPv4 互聯(lián)網(wǎng)協(xié)議。但 IPv4 存在地址空間小，安全性低，路由表過于龐大，服務(wù)質(zhì)量難以保障，移動性支持不足等一系列問題。因此，無論從計算機技術(shù)自身的發(fā)展還是從互聯(lián)網(wǎng)的規(guī)模和安全性方面的發(fā)展來看，IPv4 已經(jīng)無法適應(yīng)現(xiàn)代網(wǎng)絡(luò)的需求?；谝陨显?，在 1992年，互聯(lián)網(wǎng)工程任務(wù)組 (Internet Engineering Task Force，簡稱 IETF) 開始研究定制IPv4 的后續(xù)版本，并于 1994年成立了 IPng (IP Next Generation) 工作組，以制定下一代互聯(lián)網(wǎng)協(xié)議，即IPv6 的相關(guān)標準，來解決現(xiàn)有網(wǎng)絡(luò)中出現(xiàn)的問題[1]。

目前，關(guān)于下一代互聯(lián)網(wǎng)協(xié)議 IPv6 及其安全技術(shù)的研究受到了世界各國的普遍重視。在 IPv6 的研究與普及領(lǐng)域，美國，日本，歐洲等發(fā)達國家仍處于領(lǐng)先地位。美國作為互聯(lián)網(wǎng)的發(fā)源地，擁有的IPv4地址數(shù)量充足，沒有 IP 地址短缺的憂慮，因此，美國并沒有大力推廣 IPv6 的使用，其在提出 IPv6 之后，主要角色為世界 IPv6 的研究協(xié)調(diào)中心。但這并不代表美國對 IPv6 的發(fā)展不重視，在 2003年6月9日，美國國防部發(fā)表備忘錄，決定將整個部門的網(wǎng)絡(luò)系統(tǒng)升級到 IPv6，并在 2004年3月，國防部最大的IPv6 試驗網(wǎng)絡(luò) Moonv6 完成了第二階段測試。在日本，政府對 IPv6 的發(fā)展和推廣極其重視，日本于1999年12月開始提供 IPv6 試驗服務(wù)，2001年4月開始提供 IPv6 商用服務(wù)，并制定了一系列 IPv6 發(fā)展和推廣的計劃，在研發(fā)和應(yīng)用方面都屬于世界的前列[2]。在歐洲，2001年歐盟成立了 IPv6 Task Force 專門制定歐盟的IPv6 推廣計劃，目前已經(jīng)建立了 Euro6IX和 6NET 等 IPv6 試驗網(wǎng)絡(luò)，且歐洲各大廠商正在加快 IPv6 的研發(fā)進程[3]。

我國對 IPv6 的研究始于 1998年，中國教育和科研計算機網(wǎng) (China Education and Research Network，簡稱 CERNET) 建立了國內(nèi)首個 IPv6 試驗床。在 2002年，天地互聯(lián)信息技術(shù)有限公司和本地運營廠商合作建立了我國首個商用電信級 IPv6 試驗網(wǎng)，由此可見，我國是世界上較早開展 IPv6 試驗和應(yīng)用的國家。并且，我國詳細制定了 IPv6 的部署規(guī)劃，計劃用 5 到10年的時間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6 商業(yè)應(yīng)用網(wǎng)絡(luò)，實現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟社會各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量[4]。

從基于 IPv4 的互聯(lián)網(wǎng)過渡到基于 IPv6 的互聯(lián)網(wǎng)已是歷史的必然。基于 IPv6 的下一代互聯(lián)網(wǎng)將會支持更多的網(wǎng)絡(luò)應(yīng)用，網(wǎng)絡(luò)規(guī)模也會變得更為復(fù)雜和龐大，與此同時，所面臨的安全風險也會相應(yīng)增多。安全是保證網(wǎng)絡(luò)正常運轉(zhuǎn)的決定性因素，因此，針對下一代網(wǎng)絡(luò)的網(wǎng)絡(luò)安全研究是一個極其重要的領(lǐng)域。

1 簡介

1.1 IPv6 相比于 IPv4 的優(yōu)勢

IPv6 作為下一代互聯(lián)網(wǎng)協(xié)議，其繼承了 IPv4 的優(yōu)點，并針對在 IPv4 中出現(xiàn)的問題進行了改進。相比于 IPv4，IPv6 具有如下新的特點和優(yōu)勢：

1.1.1 巨大的地址空間

IPv6 引入的一個重要原因便是解決 IPv4 地址匱乏的問題。IPv6 的地址長度為 128 位，32 字節(jié)，包含 2128 (大約為 3.4×1038)個可用的IP 地址。在使用IPv6 的情況下，地址空間被耗盡的可能幾乎不存在，可以有效解決 IPv4 地址空間匱乏的問題[5]。

1.1.2 內(nèi)置的安全性

不同于 IPv4，IPv6 提供了網(wǎng)絡(luò)層安全機制，IPv6要求強制使用因特網(wǎng)安全協(xié)議 IPsec，并已將其標準化。IPSec 是 IETF 的IPSec 小組設(shè)計的端到端保護 IP層通信安全的機制，其是一組 IP 安全協(xié)議集。IPSec定義了在網(wǎng)絡(luò)層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊。IPsec 在 IPv6 中是必須支持的，而在 IPv4 中是可選的。

1.1.3 報頭改進

IPv6 對數(shù)據(jù)報報頭進行了改進，這同時也是IPv6 在改進網(wǎng)絡(luò)性能方面的基礎(chǔ)。IPv4 報頭長度不固定且結(jié)構(gòu)復(fù)雜，路由器很難對數(shù)據(jù)包處理效率進行提升。IPv6 對報頭進行了簡化，IPv6 報頭的基本結(jié)構(gòu)如圖1 所示，對比與 IPv4 報頭，如圖2 所示，IPv6 報頭只有 8個字段，比 IPv4 的14個字段減少了6個，從而降低了數(shù)據(jù)包處理的復(fù)雜度，減少了處理協(xié)議頭的開銷。

1.1.4 更小的路由表

隨著 IPv4 的發(fā)展以及全球帶寬的逐年增加，路由器的負擔逐漸加重，即便采用 CIDR 技術(shù)仍然無法徹底解決路由表過于龐大的問題。IPv6 的地址分配遵循聚類的原則，定義分級路由結(jié)構(gòu)，采用統(tǒng)一的基于地理位置的分配策略，有利于路由的快速查找和聚合，有效減小了路由表的長度，從而提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。

1.1.5 對 QoS 更好的支持

圖1 IPv4 報頭Fig.1 IPv4 header

圖2 IPv6 報頭Fig.2 IPv6 header

IPv4 不會對不同的用戶或應(yīng)用加以區(qū)分，其采取的是一種“盡力而為”的傳輸方式，因此很難保證服務(wù)質(zhì)量 QoS (Quality of Service)。IPv6 為了解決上述問題，在協(xié)議頭中加入了流量類型 (Traffic Class) 和流標簽 (Flow Label) 兩個字段。通過流量類型字段可以設(shè)置 IPv6 數(shù)據(jù)包的優(yōu)先級，其目的是允許源節(jié)點和路由器給數(shù)據(jù)包加上優(yōu)先級標識，在所選擇的鏈路上，可以根據(jù)帶寬、延時或其他特性對數(shù)據(jù)包進行相應(yīng)的處理[6]。IPv6 中，流是從特定源節(jié)點發(fā)往目標節(jié)點的數(shù)據(jù)包序列，源節(jié)點希望路由器對該數(shù)據(jù)包序列進行特殊處理。IPv6 使用流標簽標識一個流，同屬一個流中的數(shù)據(jù)包，路由器不需要重新處理每個數(shù)據(jù)包的報頭，根據(jù)流標簽便可獲取 QoS 要求并快速轉(zhuǎn)發(fā)，可以有效處理實時流量。

1.2 IPv6 的安全機制

IP 協(xié)議在最初設(shè)計時并沒有過多考慮安全性問題，因此在基于 IPv4 的網(wǎng)絡(luò)中時常會發(fā)生 IP 欺騙，網(wǎng)絡(luò)竊聽，數(shù)據(jù)竊取等網(wǎng)絡(luò)攻擊行為。且目前的網(wǎng)絡(luò)安全機制大多是建立于應(yīng)用層的，如電子郵件加密，安全套接字協(xié)議 (SSL) 等，無法直接從網(wǎng)絡(luò)層保證網(wǎng)絡(luò)的安全。因此，在 1995年，IETF 針對保護 IP 通信的安全性，制定了一套 IP 安全協(xié)議 (IPSecurity，簡稱 IPSec)。IPSec 是 IPv4 的一個可選擴展協(xié)議，但其是 IPv6 的強制組成部分，IPSec 是 IPv6 不可或缺的重要特點之一。IPSec 提供了一種標準的，健壯的安全機制，可用其為網(wǎng)絡(luò)層提供安全保證，其提供的安全服務(wù)包括：數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊，IPSec 的安全服務(wù)通過 AH 協(xié)議，ESP 協(xié)議，安全關(guān)聯(lián)(Security Association，簡稱 SA) 以及 IKE 協(xié)議相結(jié)合的機制來實現(xiàn)，IPSec 整體的體系結(jié)構(gòu)如圖3 所示[7]。

1.2.1 AH 協(xié)議

AH 協(xié)議為 IP 數(shù)據(jù)包提供以下三種服務(wù)：數(shù)據(jù)完整性驗證，數(shù)據(jù)源身份驗證，防重放攻擊。AH 不光對 IP 數(shù)據(jù)包的包頭進行驗證，還對 IP 數(shù)據(jù)包在傳輸過程中不發(fā)生改變的內(nèi)容進行驗證。但其不提供任何機密性保證，AH 只能保證檢測出數(shù)據(jù)包在傳輸過程中其內(nèi)容是否被惡意篡改，但無法檢測數(shù)據(jù)包在傳輸途中是否被竊取。

1.2.2 ESP 協(xié)議

ESP 協(xié)議提供數(shù)據(jù)加密，數(shù)據(jù)完整性驗證，數(shù)據(jù)源身份驗證，防重放攻擊服務(wù)。加密是 ESP 最基本的功能，而其他三項服務(wù)均是可選的。在 ESP 協(xié)議中提供的數(shù)據(jù)完整性驗證與 AH 協(xié)議有一定的區(qū)別，AH會對整個 IP 數(shù)據(jù)包的內(nèi)容進行驗證，而 ESP 的完整性驗證只關(guān)心 IP 數(shù)據(jù)包的內(nèi)容部分。

1.2.3 IKE 協(xié)議

IKE 協(xié)議主要負責密鑰的管理，對通信實體間使用的協(xié)議，加密算法以及生成共享會話密鑰的方法進行協(xié)商。IKE 會將密鑰協(xié)商的結(jié)果保存在 SA 中，以供 AH 和 ESP 通信時使用。

1.2.4 SA

圖3 IPSec 體系結(jié)構(gòu)Fig.3 IPSec architecture

SA 是 IPSec 的基礎(chǔ)，AH 協(xié)議和 ESP 協(xié)議必須使用 SA 才可以實現(xiàn)各自的安全服務(wù)。SA 是兩個應(yīng)用IPSec 的實體 (主機或路由器等) 間建立的一個單向邏輯連接，是安全策略的具體化和實例化，其提供了保護通信的具體細節(jié)，例如：采用的IPSec 協(xié)議種類，驗證算法，加密算法，運行模式等。因此 SA 可看做構(gòu)成 IPSec 的基礎(chǔ)[8]。

2 IPv6 與 IPv4 的過渡技術(shù)

IPv6 與 IPv4 可以說是兩種完全不同的協(xié)議，兩者不具備相關(guān)性且無法兼容，因此需要一些特定的過渡技術(shù)來使二者共存于網(wǎng)絡(luò)中。

2.1 雙協(xié)議棧技術(shù)

該技術(shù)的工作原理是使網(wǎng)絡(luò)中的節(jié)點同時支持IPv4 協(xié)議棧與 IPv6 協(xié)議棧。兩種協(xié)議基于的物理平臺是相同的，且傳輸層協(xié)議沒有任何區(qū)別，因此，節(jié)點可以同時支持兩種協(xié)議的通信，當與網(wǎng)絡(luò)中的IPv4節(jié)點通信時采用 IPv4 協(xié)議標準，與網(wǎng)絡(luò)中的IPv6 節(jié)點通信時采用 IPv6 協(xié)議標準，雙協(xié)議棧的結(jié)構(gòu)如圖4所示[9]。

2.2 隧道技術(shù)

該技術(shù)是將 IPv6 的數(shù)據(jù)包封裝到 IPv4 的數(shù)據(jù)包中，使得 IPv6 數(shù)據(jù)包可以在 IPv4 網(wǎng)絡(luò)中進行傳輸，在到達目的主機后再對數(shù)據(jù)包進行解封，其工作流程如圖5 所示，該技術(shù)只需在隧道的入口和出口處進行相應(yīng)修改，對整個流程的其他部分沒有要求，因此在實現(xiàn)上相對容易。目前 IPv4 網(wǎng)絡(luò)仍然非常龐大，在向 IPv6 過度的過程中，隧道技術(shù)不可避免將會被大量使用，因此，針對隧道技術(shù)的研究備受關(guān)注，現(xiàn)有的隧道技術(shù)有：手工隧道，自動配置隧道，6over4 隧道，6to4 隧道[10]。

圖4 雙協(xié)議棧結(jié)構(gòu)Fig.4 Dual protocol stack structure

2.3 轉(zhuǎn)換技術(shù)

轉(zhuǎn)換技術(shù)的基本思想是將 IPv4 與 IPv6 的數(shù)據(jù)分組互相之間進行轉(zhuǎn)換，即根據(jù) IP 報頭地址和協(xié)議的不同，對 IP 分組做語義翻譯，從而可以使僅支持IPv4 與僅支持 IPv6 的網(wǎng)絡(luò)節(jié)點進行正常的通信。相關(guān)技術(shù)包括：NAT-PT (Network Address Translator -Protocol Translator)，SIIT (Stateless IP/ICMP Translation Algorithm)，Gateway Mechanism 等[11]。

3 IPv6 面臨的安全性問題

3.1 IPv6 內(nèi)部數(shù)據(jù)結(jié)構(gòu)隱患

為了提高協(xié)議運行效率，IPv6 引入了大量內(nèi)部數(shù)據(jù)結(jié)構(gòu)，用于保存最近通信產(chǎn)生的與網(wǎng)絡(luò)狀態(tài)以及路由等相關(guān)的信息，主要包括：鄰居緩存，目的緩存，綁定緩存，默認路由列表等信息。針對每一個網(wǎng)絡(luò)接口，IPv6 都會為其維護這些內(nèi)部數(shù)據(jù)結(jié)構(gòu)，雖然方便了通信，但同時也帶來了安全隱患。如果不對這些內(nèi)部數(shù)據(jù)結(jié)構(gòu)的生成和應(yīng)用加以限制，攻擊者便可以通過在通信源 IPv6 節(jié)點上制造錯誤信息來使源節(jié)點的數(shù)據(jù)結(jié)構(gòu)信息發(fā)生改變，致使目的節(jié)點無法收到數(shù)據(jù)[12]。如，攻擊者可以在網(wǎng)絡(luò)中發(fā)布錯誤的路由信息來誤導(dǎo)源 IPv6 節(jié)點，致使其無法找到正確的目標地址。

3.2 鄰居發(fā)現(xiàn)協(xié)議 (NDP) 隱患

NDP 作為 IPv6 的基本組成部分，實現(xiàn)了 IPv4 中ARP 和 ICMP 的路由器發(fā)現(xiàn)，重定向，地址自動配置，重復(fù)地址檢測，地址解析和鄰居不可達檢測的功能，NDP 的最初設(shè)計是基于完全可信網(wǎng)絡(luò)的，因此其在開放網(wǎng)絡(luò)環(huán)境下容易被惡意使用[13]。攻擊者可以利用 NDP 在網(wǎng)絡(luò)中發(fā)布錯誤前綴，錯誤的路由器宣告以及錯誤的重定向消息，可以誤導(dǎo)源節(jié)點使 IP 數(shù)據(jù)報無法流向正確的目的節(jié)點。攻擊者也可以利用虛假的路由消息重定向其他網(wǎng)絡(luò)節(jié)點的流量到被攻擊節(jié)點進而達到拒絕服務(wù)攻擊的目的，并且攻擊者可以偽造路由器的IP地址，發(fā)送該路由器生命期為 0 的路由器宣告消息，使得本地主機錯誤地認為該路由器不再正常工作，導(dǎo)致主機與外部網(wǎng)絡(luò)的節(jié)點無法進行正常通信[14]。

3.3 移動 IPv6 隱患

移動 IPv6 協(xié)議提供一種支持主機移動的網(wǎng)絡(luò)層解決方案，使移動節(jié)點可以在不同的網(wǎng)絡(luò)中自由移動且始終保持現(xiàn)有的連接，其基本工作流程如圖6 所示?？梢苿有噪m然方便了通信，但同時也帶來了安全隱患。如果攻擊者在移動主機，家鄉(xiāng)代理和對端節(jié)點之間的通信線路上截獲或篡改相關(guān)的信令報文，便可以引發(fā)攻擊[15]。

1. 攻擊者可以在網(wǎng)絡(luò)中大量發(fā)送地址綁定更新消息來耗盡家鄉(xiāng)代理的資源，使家鄉(xiāng)代理的綁定緩存表發(fā)生溢出，從而導(dǎo)致其無法及時處理合法用戶的綁定更新請求，具體過程如圖7 所示：

2. 惡意主機可以通過向?qū)Χ斯?jié)點發(fā)送偽裝的綁定更新消息，將網(wǎng)絡(luò)服務(wù)器的IP地址作為大量移動節(jié)點的轉(zhuǎn)交地址，那么大量的網(wǎng)絡(luò)流量便會發(fā)向服務(wù)器，引發(fā)分布式拒絕服務(wù)攻擊。

3. 攻擊者偽裝為移動節(jié)點，使用移動節(jié)點家鄉(xiāng)地址發(fā)送綁定更新給家鄉(xiāng)代理，從而把家鄉(xiāng)代理發(fā)往移動節(jié)點的數(shù)據(jù)流量定向到自身，達到截獲移動節(jié)點數(shù)據(jù)包，阻斷合法通信的目的，具體過程如圖8所示[17]。

圖5 隧道技術(shù)流程Fig.5 Tunnel technology process

圖6 移動 IPv6 工作流程Fig.6 Mobile IPv6 work flow

圖7 拒絕服務(wù)攻擊Fig.7 Denial of service attack

3.4 對現(xiàn)行安全體系提出的挑戰(zhàn)

3.4.1 防火墻

防火墻主要包括包過濾型，狀態(tài)檢測型以及應(yīng)用代理型三種類別。在網(wǎng)絡(luò)層工作的防火墻為包過濾型和狀態(tài)檢測型防火墻，隨著 IPv6 的引入，網(wǎng)絡(luò)層將會呈現(xiàn)出許多新的特性，如 IPv6 的內(nèi)嵌安全機制，移動 IP 處理等問題，并且在較長時間內(nèi) IPv4 與 IPv6會處于共存狀態(tài)，防火墻要同時處理 IPv4 和 IPv6 中存在的安全問題，這都將會對現(xiàn)有的在網(wǎng)絡(luò)層工作的防火墻提出新的安全挑戰(zhàn)。

3.4.2 入侵檢測系統(tǒng) (Intrusion Detection Systems,IDS)

IDS 是繼防火墻之后的又一道安全屏障，其可以從系統(tǒng)內(nèi)部或者網(wǎng)絡(luò)中收集信息，并對收集的信息進行分析從而發(fā)現(xiàn)可能的攻擊行為。在 IPv6 的網(wǎng)絡(luò)環(huán)境中，使用了其加安全加密機制后，數(shù)據(jù)是以密文形式傳輸?shù)?，?IPSec 提供的加密服務(wù)是端到端的，加密算法和加密密鑰均是不公開的，IDS 無法對數(shù)據(jù)內(nèi)容解密獲取 TCP 或 UDP 端口號，因此 IDS 無法對加密的IPv6 數(shù)據(jù)包進行分析工作。

3.4.3 針對加密方式的攻擊

IPv6 擁有自身的安全機制，即 IPSec，但 IPSec僅是網(wǎng)絡(luò)層協(xié)議，僅負責網(wǎng)絡(luò)層的安全，并不負責應(yīng)用層的安全。并且，如果加密算法所耗費的計算資源過多，惡意用戶便可以通過大量發(fā)送任意填充的加密數(shù)據(jù)包引發(fā)拒絕服務(wù)攻擊。

3.5 IPv6 組播技術(shù)存在的隱患

IPv6 中組播技術(shù)的應(yīng)用可以減少網(wǎng)絡(luò)傳輸開銷，降低網(wǎng)絡(luò)帶寬使用量，減少接收者觀測到的延遲，且可以使發(fā)送者將數(shù)據(jù)“一次”發(fā)給“無限個”接收者。組播技術(shù)有很大優(yōu)勢，但同時也帶來了安全隱患。首先，組內(nèi)的成員關(guān)系是開放的，任何一個成員都可以查看組中的數(shù)據(jù)或者向組中插入數(shù)據(jù)，因此，可能會出現(xiàn)偽裝的惡意數(shù)據(jù)源向組內(nèi)發(fā)送有害數(shù)據(jù)。其次，任何組成員可以使用 MLD 協(xié)議來邀請其他成員加入組播組，然而對新加入成員的身份認證機制還很欠缺，因此很可能會出現(xiàn)對機密數(shù)據(jù)竊聽的惡意行為[18]。

3.6 IPv6 過渡技術(shù)存在的隱患

3.6.1 雙協(xié)議棧技術(shù)

雙協(xié)議棧雖然解決了 IPv4 與 IPv6 之間的通信問題，但是網(wǎng)絡(luò)節(jié)點必須擁有 IPv4 協(xié)議，這并不利于解決 IPv4 地址匱乏的問題。并且由于同時使用兩種協(xié)議，存在于各自協(xié)議中的安全問題會同時出現(xiàn)在網(wǎng)絡(luò)當中，這使得網(wǎng)絡(luò)會出現(xiàn)更多的安全隱患。

3.6.2 隧道技術(shù)

隧道技術(shù)雖然思想簡單易實現(xiàn)，但會給網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)。原有的報文過濾機制中，網(wǎng)關(guān)會對來自于外部網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾檢查，保護內(nèi)部網(wǎng)絡(luò)免受攻擊。但在隧道技術(shù)中，攻擊者可以為惡意的IPv6 數(shù)據(jù)分組創(chuàng)建一個合法的IPv4 報頭，在網(wǎng)絡(luò)邊界，網(wǎng)關(guān)會將合法的IPv4 報頭拆除并將惡意的IPv6數(shù)據(jù)分組送入內(nèi)網(wǎng)，這使得網(wǎng)關(guān)的過濾功能失效，具體過程如圖9 所示[19]。

圖8 會話劫持Fig.8 Session hijacking

圖9 隧道中 IP 欺騙流程Fig.9 Tunnel IP spoofing process

3.6.3 轉(zhuǎn)換技術(shù)

在轉(zhuǎn)換技術(shù)中，由于需要對數(shù)據(jù)分組的報頭，協(xié)議以及地址等進行轉(zhuǎn)換翻譯，網(wǎng)絡(luò)節(jié)點在進行通信時會產(chǎn)生額外的開銷，耗費大量計算資源，產(chǎn)生延遲，因此轉(zhuǎn)換技術(shù)對網(wǎng)絡(luò)設(shè)備的性能要求較高。并且，攻擊者可以利用地址轉(zhuǎn)換耗費計算資源過多的缺陷，向網(wǎng)絡(luò)節(jié)點發(fā)送大量數(shù)據(jù)包，降低網(wǎng)絡(luò)服務(wù)的性能，實施 DoS 攻擊。

4 針對 IPv6 安全性問題的解決方案

4.1 針對 IPv6 內(nèi)部數(shù)據(jù)結(jié)構(gòu)隱患對策

針對 IPv6 內(nèi)部數(shù)據(jù)結(jié)構(gòu)的攻擊中，攻擊者主要目標便是使 IPv6 節(jié)點產(chǎn)生錯誤的內(nèi)部數(shù)據(jù)結(jié)構(gòu)信息，致使網(wǎng)絡(luò)節(jié)點無法確定正確的傳輸路徑，因此，需要對內(nèi)部數(shù)據(jù)結(jié)構(gòu)的生成和應(yīng)用進行限制，可采取的措施有：

(1) 任何路由器不得轉(zhuǎn)發(fā)鄰居發(fā)現(xiàn)消息，使攻擊者必須與源 IPv6 節(jié)點處于同一鏈路，該措施限定了攻擊者的存在范圍，且方便管理員配置同一鏈路上節(jié)點之間通信的安全參數(shù)[20]；

(2) 采取身份驗證機制，節(jié)點之間的通信必須采用 IPSec 中的AH 協(xié)議進行身份驗證，禁止未通過身份驗證的節(jié)點發(fā)布綁定更新，前綴和路由信息。

4.2 針對 NDP 隱患對策

4.2.1加密生成地址技術(shù) (CGA)

為解決 NDP 中的安全隱患，IETF 引入了 NDP安全機制的算法 SEND (Secure Neighbor Discovery，簡稱 SEND)，同時引入了加密生成地址技術(shù)CGA(Cryptographically Generated Addresses，CGA)，該技術(shù)主要用于解決 NDP 中偽造 IP 地址攻擊，防止攻擊者偽造 IP 地址[21]。CGA 基于非對稱加密體系，利用主機產(chǎn)生的公私鑰對，保障 IP 地址主機標識部分與公鑰間匹配關(guān)系，具體過程為：利用私鑰對來自該 IP 地址的消息進行簽名，其他網(wǎng)絡(luò)節(jié)點使用公鑰驗證簽名，確定該消息是否來自地址的真正擁有者。

4.2.2IPSec的AH認證

將IPSec的AH協(xié)議引入NDP中，在NDP報文的鄰居發(fā)現(xiàn)選項中加入MAC地址選項，使AH對IP地址和MAC地址同時進行驗證，有效防范偽造 IP 地址或 MAC 地址的重定向攻擊[22]。

4.3 針對移動 IPv6 隱患對策

4.3.1 采用 AAA 機制

AAA 機制指的是認證 (Authentication)，授權(quán)(Authorization) 和記賬 (Accounting)。認證部分分為用戶的身份認證和消息認證。身份認證開以采用口令，數(shù)字證書等方法，消息認證可采用數(shù)字簽名，HASH等方法。授權(quán)則對通過認證的用戶進行權(quán)限管理，根據(jù)用戶的不同身份以及不同請求，確定用戶應(yīng)該擁有的權(quán)限類型以及用戶可以訪問的資源類型。記賬部分計算用戶在連接過程中消耗的資源數(shù)目[23]。

4.3.2 家鄉(xiāng)代理地址綁定消息保護

使用 IPSec 來保護發(fā)送給家鄉(xiāng)代理的地址綁定消息和數(shù)據(jù)流量。移動節(jié)點家鄉(xiāng)地址和家鄉(xiāng)代理都是已知的，所以可以預(yù)先為移動節(jié)點和家鄉(xiāng)代理配置 SA，之后使用 AH 和 ESP 建立安全隧道，提供數(shù)據(jù)認證，機密性保護，完整性檢查，防止數(shù)據(jù)竊取和重放攻擊[24]。

4.4 針對現(xiàn)行安全體系的改進

4.4.1 針對防火墻

隨著 IPv6 應(yīng)用的范圍增大，防火墻要做出針對性的改進，主要體現(xiàn)在過濾規(guī)則優(yōu)化和體系結(jié)構(gòu)完善兩方面。在過濾規(guī)則方面，可通過手動方式來配置 IPsec 策略，通過 IPsec 創(chuàng)建 IPv6 數(shù)據(jù)過濾式防火墻，同時完成對安全策略數(shù)據(jù)庫 (SPD) 的配置以及安全關(guān)聯(lián)數(shù)據(jù)庫 (SAD) 的配置。在防火墻體系機構(gòu)方面，可在過濾路由器和內(nèi)網(wǎng)之間設(shè)置一臺堡壘主機，外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)必須經(jīng)過堡壘主機，拓撲圖如圖10 所示。

對于采用了 IPSec 加密機制的數(shù)據(jù)包，堡壘主機將作為 IPSec 的終點，在堡壘主機中完成對數(shù)據(jù)包的驗證和解密工作，若 AH 認證失敗則丟棄數(shù)據(jù)包，通過則對解密之后數(shù)據(jù)的內(nèi)容進行過濾，決定數(shù)據(jù)包可否進入內(nèi)網(wǎng)。

圖10 改進的防火墻體系Fig.10 Improved firewall system

4.4.2 針對 IDS

針對 IPv6 對現(xiàn)有 IDS 提出的挑戰(zhàn)，可以改進現(xiàn)有 IDS 的體系結(jié)構(gòu)，加入針對網(wǎng)絡(luò)協(xié)議進行解析的模塊，具體結(jié)構(gòu)如圖11 所示。

首先從系統(tǒng)或網(wǎng)絡(luò)中收集需要檢測的數(shù)據(jù)，傳輸?shù)絽f(xié)議分析模塊，協(xié)議分析模塊對數(shù)據(jù)包進行解析，提取出各協(xié)議的報頭和對應(yīng)的數(shù)據(jù)內(nèi)容并根據(jù)不同的協(xié)議類型進行分析。在該步驟也可以定義自己的數(shù)據(jù)結(jié)構(gòu)，將數(shù)據(jù)包的解析內(nèi)容存入數(shù)據(jù)結(jié)構(gòu)中提升后續(xù)模式規(guī)則匹配模塊的處理速度。

4.4.3 針對加密體系

圖11 改進的IDS 系統(tǒng)Fig.11 Improved IDS

雖然 IPv6 引入了 IPSec，但其只針對網(wǎng)絡(luò)層安全，因此在應(yīng)用層仍然需要采取各種安全機制來保證網(wǎng)絡(luò)應(yīng)用的安全性。

4.5 針對組播隱患對策

4.5.1 認證機制

要有效識別組成員的身份，該認證包含接收者認證和源認證。源認證方案包含基于 MAC 的和基于HASH 的，源認證可以使組成員直接判斷數(shù)據(jù)源的合法性，繼而決定是否接受發(fā)送來的組播數(shù)據(jù)。而對于接收者，要實行授權(quán)機制，只有被授權(quán)的用戶才可以進行組播通信，保護通信內(nèi)容不被泄露。

4.5.2 組密鑰管理

由于組播環(huán)境的開放性和動態(tài)性，使得組播數(shù)據(jù)的機密性和完整性受到了威脅，因此，可以對組播通信數(shù)據(jù)進行加密，組播密鑰只有組內(nèi)的合法成員才可以擁有，組外的非法用戶無法獲得密鑰。組密鑰管理涉及到密鑰的生成，分配和更新等操作，因此，安全有效的組密鑰管理技術(shù)是組播安全的一個重要研究點。

4.6 針對過渡技術(shù)隱患對策

4.6.1 針對雙協(xié)議棧

目前正處于 IPv4 向 IPv6 過渡的時期，因此IPv6 與 IPv4 處于共存狀態(tài)，但最終 IPv6 會完全取代 IPv4，那時雙協(xié)議棧技術(shù)存在的安全隱患將不復(fù)存在，且目前雙協(xié)議棧技術(shù)已經(jīng)過時，因此應(yīng)盡量找到一種可以替代雙協(xié)議棧方式的過渡方法。

4.6.2 針對隧道技術(shù)

一個隧道連接的兩個端點和其連接的IPv6 網(wǎng)絡(luò)是確定的，可以對所有通過隧道的業(yè)務(wù)同時使用 IPv4和 IPv6 兩種過濾規(guī)則，加強對數(shù)據(jù)包頭部信息的檢查。并且為了保護數(shù)據(jù)隱私，可以在隧道端點使用IPv4 的IPSec，也可以在 IPv6 端實現(xiàn) IPv6 的IPSec。但 IPSec 的使用會對增加延遲，因此在性能和安全之間需要做折中的設(shè)計和處理，避免同時用 IPv4 和IPv6 的IP 安全協(xié)議。

4.6.3 針對轉(zhuǎn)換技術(shù)

用安全接口層對數(shù)據(jù)報進行加密，數(shù)據(jù)報經(jīng)過協(xié)議翻譯網(wǎng)關(guān)時，網(wǎng)關(guān)對封裝數(shù)據(jù)進行解密，重新計算數(shù)據(jù)報傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議的校驗和，之后對數(shù)據(jù)報再次加密發(fā)送給目的節(jié)點。源與目的建立起安全連接后，源節(jié)點再發(fā)送一個攜帶其 IP 地址的地址翻譯公告給目的節(jié)點，目的節(jié)點此時得到了源節(jié)點的IP地址，目的節(jié)點將其保存在安全連接的安全關(guān)聯(lián)數(shù)據(jù)庫中，用于之后數(shù)據(jù)報鑒別[25]。

5 結(jié) 語

IPv6 作為下一代互聯(lián)網(wǎng)的關(guān)鍵技術(shù)，正在受到世界各國越來越多的關(guān)注，但安全問題仍是阻礙其大規(guī)模推廣的原因之一，也是各國針對 IPv6 重點研究的內(nèi)容之一。本文通過對 IPv6 關(guān)鍵技術(shù)進行研究，對潛在的威脅和隱患進行了詳細分析，并針對性地提出了安全建議和對策。但從長遠來看，IPv6 所面臨的安全威脅絕不限于本文所說，在 IPv4 與 IPv6 的過渡階段，還有很多新的安全問題需要研究。因此，在走向 IPv6 時代的過程中，對安全問題要始終保持高度重視，深入研究發(fā)掘各種可能的安全威脅和隱患，制定和完善相應(yīng)的應(yīng)對策略，保障國家下一代互聯(lián)網(wǎng)的部署順利進行。