IPv6的安全機制對現有網(wǎng)絡(luò )安全體系的影響

IPv6 作為新版IP 協(xié)議，不僅很好地解決了目前IP 地址匱乏的問(wèn)題，而且由于加密和認證機制的引入，使其在網(wǎng)絡(luò )層的機密性、完整性方面有了更好的改進(jìn)。因此，可以說(shuō)IPv6 實(shí)現了網(wǎng)絡(luò )層安全。但這種安全不是絕對的，文中對IPv6 的安全特性進(jìn)行初步探討，指出IPv6 的廣泛應用還有待進(jìn)一步的深入研究。

　　1 IPv6 安全機制

　　1 .1 IPv6 定義

　　IPv6(Internet Protocol Version 6 )是IETF 設計的用于替代現行版本IPv4 協(xié)議的下一代IP 協(xié)議。目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP 協(xié)議族，其網(wǎng)絡(luò )層的協(xié)議就是IP，同時(shí)也是TCP/IP 協(xié)議族的核心協(xié)議。隨著(zhù)電子網(wǎng)絡(luò )技術(shù)的發(fā)展，計算機將逐漸進(jìn)入人們的日常生活，我們的生活點(diǎn)滴都將進(jìn)入Internet，正是在這樣的環(huán)境下，IPv6 應運而生。

　　1 .2 IPv6 特點(diǎn)

　　IPv6 是可以無(wú)限制地增加IP網(wǎng)址數量，并且擁有卓越網(wǎng)絡(luò )安全性能和巨大網(wǎng)址空間等特點(diǎn)的新一代互聯(lián)網(wǎng)協(xié)議。特點(diǎn)表現為:

　　(1)地址空間巨大:IPv6 地址空間由IPv4 的32位擴大到128 位，地址空間增大了2 的96 次方倍。

　　(2)地址層次豐富且分配合理:IPv6 的終端管理機構將某一確定的TLA分配給某些骨干網(wǎng)的ISP，然后骨干網(wǎng)ISP 再有選擇性地為各個(gè)中小ISP 分配N(xiāo)LA，而Internet 用戶(hù)則從中小ISP 獲得單一的IP 地址。

　　(3)靈活的IP 報文頭部格式:IPv6 用固定格式的擴展頭部取代了IPv4 中可變長(cháng)度的選項字段，并且選項部分的出現方式也有所變化。

　　(4)提高IP 層網(wǎng)絡(luò )安全性能:IPv6 要求強制實(shí)施Internet 網(wǎng)絡(luò )安全協(xié)議IPSec ，并將其標準化。該協(xié)議支持驗證頭協(xié)議、封裝安全性載荷協(xié)議和密鑰交換IKE 協(xié)議，這3 種協(xié)議將是未來(lái)因特網(wǎng)的安全標準。

　　IPv6 除擁有上述特性以外，還具有無(wú)狀態(tài)自動(dòng)配置、簡(jiǎn)化報文頭部格式、支持多類(lèi)型服務(wù)以及允許協(xié)議繼續演變等特性。

　　2 IPv4 協(xié)議與IPv6 協(xié)議比較

　　2 .1 IPv6 協(xié)議優(yōu)勢

　　IPv6 協(xié)議相對于IPv4 協(xié)議優(yōu)勢體現在:一是具有更大的地址空間;二是使用更小的路由表;三是增加了增強的組播(Multicast )支持和對流的支持(FlowControl );四是加入了對自動(dòng)配置(Auto Configuration)的支持;五是具有更高的安全性。

　　2 .2 IPv4 與IPv6 表示方法及功能的比較

　　IPv6 協(xié)議是對IPv4 協(xié)議的修改和擴充，從根本上解決了IPv4 網(wǎng)絡(luò )地址枯竭和路由表急劇膨脹等問(wèn)題。

　　2 .3 IPv4 與IPv6 的地址類(lèi)型與分配方式的比較

　　IP 地址是一種等級地址，IPv4 的32 位地址被分成網(wǎng)絡(luò )地址和主機地址，其地址分配采用基于類(lèi)別的方式，主要有三種方式:A、B 和C，以及2 種特殊的網(wǎng)絡(luò )地址D 和E。IPv6 的地址長(cháng)度為128 位，IPv6 地址也有3 類(lèi)，即單播地址、組播地址和泛播地址。與IPv4 采用塊狀地址分配方式相比，IPv6 協(xié)議可根據用戶(hù)的需要進(jìn)行層狀地址分配。

　　2 .4 IPv4 與IPv6 的安全策略比較

　　IPv4 作為一種簡(jiǎn)單的網(wǎng)絡(luò )互通協(xié)議，存在一系列的安全漏洞，應用程序只能通過(guò)自身攜帶的私有性和認證性操作機制才能完成安全性操作。IPv6 則全面支持IPsec ，這要求提供基于標準的網(wǎng)絡(luò )安全解決方案，以便滿(mǎn)足和提高不同的IPv6 協(xié)議實(shí)現協(xié)同工作能力。IPsec 通過(guò)正確使用封裝安全性?xún)艉深^(ESP)和身份驗證頭(AH)來(lái)實(shí)現如下安全*:①訪(fǎng)問(wèn)機制;②無(wú)連接的完整性;③數據源身份驗證;④對包重放攻擊的防御;⑤加密;⑥有限的業(yè)務(wù)機密性。

　　3 IPv6 的安全機制與現有網(wǎng)絡(luò )安全體系

　　IPv6 的安全機制及其對現有網(wǎng)絡(luò )安全體系的影響表現在:一方面，網(wǎng)絡(luò )急劇發(fā)展引起IPv4 在資源設計上的有限性凸顯，直接引發(fā)網(wǎng)絡(luò )地址不足的危機，并且這個(gè)危機正日益呈現加劇趨勢;另一方面，出于對安全和信息私密性的考慮，越來(lái)越多的商業(yè)機構和政府部門(mén)不再愿意在不安全的網(wǎng)絡(luò )上發(fā)送他們敏感的信息和進(jìn)行明文的信息交流，從而導致對加密和認證需求的飛速增長(cháng)。

　　3 .1 現行IP 網(wǎng)絡(luò )的安全性

　　IPv6 的安全機制對網(wǎng)絡(luò )層的安全性，有如下三個(gè)公認的指標:(1)身份驗證;(2)完整性;(3)機密性。完整性和身份驗證經(jīng)常緊密聯(lián)系，而機密性則經(jīng)常通過(guò)使用公共密鑰加密來(lái)實(shí)現，這樣也有助于對源端進(jìn)行身份驗證。除了上述三點(diǎn)以外，為了確保網(wǎng)絡(luò )安全，還應解決下列威脅網(wǎng)絡(luò )安全的問(wèn)題:(1 )拒絕服務(wù)攻擊;(2)愚弄攻擊:即實(shí)體傳送虛假來(lái)源的包。

　　3 .2 IPv6 對于網(wǎng)絡(luò )層安全的增強

　　現行的IPv4 協(xié)議很難保證英特網(wǎng)的安全，而與之對應的IPv6 則對所有的命令和執行程序都有安全方面的考慮，并且提供基于網(wǎng)絡(luò )層上的加密和認證機制，這種機制對于網(wǎng)絡(luò )層以上的應用是不可見(jiàn)的。IPv6的安全主要由IP 的AH 和ESP 標記以及正確的相關(guān)密鑰管理協(xié)議來(lái)實(shí)現。

　　(1)認證報頭

　　IPv6 協(xié)議通過(guò)AH 使數據包的接收者可以驗證數據是否真的是從其源地址發(fā)出的，并對傳送數據提供密碼驗證或完整性測試。AH 的作用如下:(1 )為IP 數據包提供強大的完整*;(2 )為IP 數據包提供強大的身份驗證;(3 )如果IPv6 在完整*中使用了公鑰數字簽名算法，AH 可以為IP 數據包提供無(wú)可推卸的服務(wù);(4)通過(guò)使用順序號字段來(lái)防止重復攻擊。AH 可以在傳輸模式和隧道模式下使用，這意味著(zhù)它不僅可用于為兩個(gè)節點(diǎn)間的直接的數據包傳送提供身份驗證和保護服務(wù)，而且還可用于對發(fā)給安全性網(wǎng)關(guān)或由安全性網(wǎng)關(guān)發(fā)出的全部數據包流進(jìn)行封裝。

　　(2)封裝化安全凈荷

　　除了認證報頭之外，IPv6 還提供了一個(gè)標準的擴展頭，即封裝化安全凈荷(ESP)，用于網(wǎng)絡(luò )層實(shí)現端到端的數據加密，以對付網(wǎng)絡(luò )竊聽(tīng)。一般而言，ESP 報頭提供了幾種不同的服務(wù)[4]:(1)通過(guò)加密提供數據包的機密性;(2)通過(guò)使用公共密鑰加密對數據來(lái)源進(jìn)行身份驗證;(3 )通過(guò)由AH 提供的序列號機制提供對抗重放服務(wù);(4)通過(guò)使用安全性網(wǎng)關(guān)來(lái)提供有限的業(yè)務(wù)流機密性。ESP 使用的缺省密碼算法是密碼分組鏈接方式的數據加密標準(DES-CBC)。任何其它的適當算法如各種RSA算法等也可以使用。

　　3 .3 IPv6 的安全機制對現行網(wǎng)絡(luò )安全體系的新挑戰

　　盡管IPv6 具有諸多優(yōu)點(diǎn)，但并不能確保系統的安全運行。原因有很多，最重要是由于網(wǎng)絡(luò )安全是一個(gè)包含著(zhù)各個(gè)層次，各個(gè)方面的問(wèn)題，而不是一個(gè)僅僅由安全的網(wǎng)絡(luò )層就可以解決的問(wèn)題。即便僅僅從網(wǎng)絡(luò )層來(lái)看，IPv6也不是完美的。畢竟它還保留著(zhù)很多原來(lái)IPv4 中的選項和服務(wù)功能，如分片、TTL 等。而黑客曾經(jīng)用這些選項去攻擊IPv4 協(xié)議或者逃避檢測，所以不能保證IPv6 能夠逃避得了類(lèi)似的攻擊。同時(shí)，由于IPv6 引進(jìn)了加密和認證機制，還可能引起新的攻擊方式。

　　4 結 論

　　綜上所述，IPv6 既很好地解決了IP 地址匱乏的問(wèn)題，也簡(jiǎn)化了協(xié)議報頭，并且成功引入了兩個(gè)新的擴展報頭AH 和ESP。它們幫助IPv6 解決了身份認證問(wèn)題，數據完整性和機密性的問(wèn)題，使IPv6 真正實(shí)現了網(wǎng)絡(luò )層安全，這相對于IPv4 而言是一大進(jìn)步。但是，由于IPv6 安全機制尚未成熟，這些安全機制對于當前的網(wǎng)絡(luò )安全體系造成了巨大的沖擊。因此，為了適應新的網(wǎng)絡(luò )協(xié)議和新的發(fā)展方向，尋找新的解決網(wǎng)絡(luò )安全問(wèn)題的途徑變得異常急迫。