解析IPv6網(wǎng)絡(luò )協(xié)議安全及其安全機制

與IPv4相比，IPv6具有許多優(yōu)勢。首先，IPv6解決了IP地址數量短缺的問(wèn)題;其次，IPv6對IPv4協(xié)議中諸多不完善之處進(jìn)行了較大的改進(jìn)。其中最為顯著(zhù)的就是將IPSec集成到協(xié)議內部，從此IPSec將不再單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPV6的各個(gè)領(lǐng)域。當然，IPSec的大規模使用將不可避免地對網(wǎng)絡(luò )設備的轉發(fā)性能產(chǎn)生影響，這就需要更高的硬件性能保障。本文主要介紹IPV6網(wǎng)絡(luò )的安全性、安全機制。

1.協(xié)議安全

在協(xié)議安全層面上，IPv6全面支持認證頭(AH)認證和封裝安全有效負荷(ESP)信息安全封裝擴展頭。AH認證支持hmac_md5_96、hmac_sha_1_96認證加密算法，ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。

2.網(wǎng)絡(luò )安全

(1)端到端的安全保證。在兩端主機上對報文進(jìn)行IPSec封裝，中間路由器實(shí)現對有IPSec擴展頭的IPV6報文進(jìn)行透傳，從而實(shí)現端到端的安全。

(2)對內部網(wǎng)絡(luò )的保密。當內部主機與因特網(wǎng)上其他主機進(jìn)行通信時(shí)，為了保證內部網(wǎng)絡(luò )的安全，可以通過(guò)配置的IPSec網(wǎng)關(guān)實(shí)現。因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節點(diǎn)解析處理，因此IPSec網(wǎng)關(guān)可以通過(guò)IPSec隧道的方式實(shí)現，也可以通過(guò)IPV6擴展頭中提供的路由頭和逐跳選項頭結合應用層網(wǎng)關(guān)技術(shù)來(lái)實(shí)現。后者的實(shí)現方式更加靈活，有利于提供完善的內部網(wǎng)絡(luò )安全，但是比較復雜。

(3)通過(guò)安全隧道構建安全的VPN.此處的VPN是通過(guò)IPv6的IPSec隧道實(shí)現的。在路由器之間建立IPSec的安全隧道，構成安全的VPN是最常用的安全網(wǎng)絡(luò )組建方式。IPSec網(wǎng)關(guān)的路由器實(shí)際上就是IPSec隧道的終點(diǎn)和起點(diǎn)，為了滿(mǎn)足轉發(fā)性能的要求，該路由器需要專(zhuān)用的加密板卡。

(4)通過(guò)隧道嵌套實(shí)現網(wǎng)絡(luò )安全。通過(guò)隧道嵌套的方式可以獲得多重的安全保護。當配置了IPSec的主機通過(guò)安全隧道接入到配置了IPSee網(wǎng)關(guān)的路由器，并且該路由器作為外部隧道的終結點(diǎn)將外部隧道封裝剝除時(shí)，嵌套的內部安全隧道就構成了對內部網(wǎng)絡(luò )的安全隔離。

3.其他安全保障

IPSec為網(wǎng)絡(luò )數據和信息內容的有效性、一致性以及完整性提供了保證，但是數據網(wǎng)絡(luò )的安全威脅是多層面的，它們分布在物理層、數據鏈路層、網(wǎng)絡(luò )層、傳輸層和應用層等各個(gè)部分。

對于物理層的安全隱患，可以通過(guò)配置冗余設備、冗余線(xiàn)路、安全供電、保障電磁兼容環(huán)境以及加強安全管理來(lái)防護。對于物理層以上層面的安全隱患，可以采用以下防護手段：通過(guò)諸如AAA、TACACS+、RADIUS等安全訪(fǎng)問(wèn)控制協(xié)議控制用戶(hù)對網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限來(lái)防止針對應用層的攻擊;通過(guò)MAC地址和IP地址綁定、限制每端口的MAC地址使用數量、設立每端口廣播包流量門(mén)限、使用基于端口和VLAN的ACL、建立安全用戶(hù)隧道等來(lái)防范針對二層網(wǎng)絡(luò )的攻擊;通過(guò)進(jìn)行路由過(guò)濾、對路由信息的加密和認證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來(lái)加強三層網(wǎng)絡(luò )的安全性。路由器和交換機對IPSec的完善支持保證了網(wǎng)絡(luò )數據和信息內容的有效性、一致性以及完整性，并且為網(wǎng)絡(luò )安全提供了諸多解決辦法。