IPv6的安全機制及其安全性討論

朱倩,嚴曉峰

摘要:該文從IP發展歷史入手,簡要回顧了IPv6的主要特性,闡述了IPv6的安全機制,對IPv6的現實性應用給出了見解,認為IPv6已經進入實用化階段,應該從現實角度完成IPv6安全性的實際應用,完善公鑰、防火墻和兼容性等工作。最后,該文對企業網絡從IPv4轉為IPv6后的網絡安全性模型提出了一些看法。

關鍵詞:IPv6;安全性;企業模型

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)34-9665-03

IPv6 Security Mechanisms and Safety Discussions

ZHU Qian1, YAN Xiao-feng2

(1.Wuhan University Computer Science, Wuhan 430072, China; 2.Jiujiang College of Information Science Teaching Software, Jiujiang 332005, China)

Abstract: The history of the development from the IP start with a brief review of the main features of IPv6, describes IPv6 security mechanisms, practical applications of IPv6, gives the opinion that the IPv6 has entered a practical stage, it should be completed from a realistic point of view IPv6 the practical application of safety, improve the public key, firewall, and compatibility and so on. Finally, the text of the enterprise network from IPv4 to IPv6 network security model, after a number of observations.

Key words: IPv6; security; enterprise model

1 IPv6概述

1.1 IP協議

IP協議誕生于70年代中期[1]。IP解決的最根本的問題是如何把網絡連接在一起,也就是把計算機連接在一起,而且除了其他計算機的網絡地址之外,這些連接起來的計算機無需了解任何的網絡細節。這就有以下三個要求:首先,每個連接在“網絡的網絡”上的計算機必須具有唯一的標識;其次,所有計算機都能夠與所有其他計算機以每個計算機都能識別的格式進行數據的收發;最后,一臺計算機必須能夠在了解另一計算機的網絡地址后把數據可靠地傳至對方,而無需了解對方計算機和網絡的任何細節[2]。IP協議實現了上述目標。

1.2 IPv6概述

IPv6自1996年由IETF的RFC2460加以規范以來,已經得到了廣泛的研究和一定的部署。[10]

IPv6保留了IPv4的很多非常成功的特征。如IPv4、IPv6都是無連接的—每一個數據報都含有目的地址,每一數據報獨立地被路由。就象 IPv4一樣,IPv6的數據報頭部也含有用于標識一個數據報被丟棄前已經過的最大站數的域。另外, IPv6保留了IPv4可選項中的大部分通用機制。

盡管保留了當前版本的基本概念,IPv6仍然修改了所有的細節。例如,IPv6使用更大的地址和一個全新的數據報頭部格式。另外,IPv6使用一系列的定長的頭部去處理可選信息,而不象當前版本那樣只使用一種含有變長的可選項的頭部。

IPv6中的新加特征主要可分為以下五類:[4-5]

1)地址尺寸(Address Size)。每個IPv6地址含128位,代替了原來的32位,這一下地址空間大得足以適應好幾十年的全球Internet的發展。

2)頭部格式(Header Format)。IPv6的數據報頭部與IPv4的完全不一樣,IPv4頭部的每一個域幾乎都變了,或被替代掉了。

3)擴展頭部(Extension Header)。不象IPv4只使用一種頭部格式,IPv6將信息放于分離的頭部之中。一個IPv6的數據報組成:IPv6的基本頭部,后跟零個或多個擴展頭部,再后跟數據。當前,IPv6定義了6種擴展頭,分別是:步跳擴展頭、路由擴展頭、分段擴展頭、驗證擴展頭、封裝安全性凈荷擴展頭、目標選項擴展頭。[6]

4)對音頻和視頻的支持(Support for audio and video)。IPv6的一種機制讓發送方與接收方能夠通過底層網絡建立一條高質量的路徑,并將數據報與這一路徑聯系起來。雖然這種機制用于需要較高性能保證的音頻和視頻應用,它也可用于將數據報與低成本路徑聯結。

5)可擴展的協議(Extensible Protocol)。IPv6并不象IPv4那樣規定了所有可能的協議特征。相反,設計者們提供了一種方案,使得發送方能為一個數據報增加另外的信息。擴展方案使得IPv6比IPv4更靈活,意味著隨時能在設計中增加所需的新特征。

2 IPV6的安全機制與體系結構

2.1 計算機安全與網絡安全技術概述

安全機制是決策的集合,它們集中體現了一個組織對安全的態度。更準確的說,安全機制對于可接受的行為以及應對違規做出何種響應確定了界限。[3]

要保護數據就必須小心防范可能的攻擊。人們通常只會注意來自外部網絡的攻擊,而真正的安全機制需要考慮很多其它的問題。要特別注意的方面包括:篡奪權限(盜取密碼)、IT系統管理權限的不當或錯誤使用、濫用權限、軟件的薄弱點(在運行超級用戶以上級別的應用程序時緩存、堆棧溢出)、網絡監聽或消息重發、特洛伊木馬、病毒和蠕蟲等、安全攻擊,比如偽裝、IP欺騙、DoS攻擊或中間人攻擊、路由的誤用等。

實際上,數據表明來自外部的惡意攻擊只占對計算機和網絡威脅的一小部分。很多攻擊來自內部,并且與人們不正確的使用權限有關。[7]

IPv4的目的只是作為簡單的網絡互通協議,因而其中沒有包含安全特性。

對于安全性,可以定義如下三個公認的目標[2]:

1)身份驗證:能夠可靠地確定接收到的數據與發送的數據一致,并且確保發送該數據的實體與其所宣稱的身份一致;

2)完整性:能夠可靠地確定數據在從源到目的地傳送的過程中沒有被修改;

3)機密性:確保數據只能為預期的接收者使用或讀出,而不能為其他任何實體使用或讀出。

完整性和身份驗證經常密切相關,而機密性有時使用公共密鑰加密來實現,這樣也有助于對源端進行身份驗證。

IPv6的安全機制主要表現在以下幾個方面[9]:

1)將原先獨立于IPv4協議族之外的報頭認證和安全信息封裝作為IPv6的擴展頭置于IPv6基本協議之中,為IPv6網絡實現全網安全認證和加密封裝提供了協議上的保證。IPv6中通過身份驗證頭(AH)和封裝安全性凈荷(ESP)頭來實現身份驗證和安全性,包括安全密碼傳輸、加密和數據包的數字簽名。

2)地址解析放在ICMP(Internet Control Message Protocol)層中,這使得其與ARP(Address Resolution Protocol)相比,與介質的偶合性更小,而且可以使用標準的IP認證等安全機制。

3)對于協議中的一些可能會給網絡帶來安全隱患的操作,IPv6 協議本身都做了較好的防護。例如:因為一條鏈路上多個接口同時啟動發送鄰居請求消息而帶來的鏈路擁塞隱患,IPv6采用在一定范圍內的隨機延時發送方法來減輕鏈路產生擁塞的可能,這同時也減少了多個節點在同一時間競爭同一個地址的可能。

4)除了IPSec和IPv6本身對安全所做的措施之外,其他的安全防護機制在IPv6上仍然有效。諸如:NAT-PT(Net Address Translate-Protocol Translate)可以提供和IPv4中的NAT相同的防護功能;通過擴展的ACL(Access Control List)在IPv6上可以實現IPv4 ACL所提供的所有安全防護。另外,基于VPLS(Virtual Private LAN Segment)、VPWS(Virtual Private Wire Service)的安全隧道和VPN(Virtual Private Network)等技術,在IPv6上也可以完全實現。

2.2 IPv6安全機制

如前所述,IPSec安全性服務完全通過AH(Authentication Header)和封裝安全性凈荷(Encapsulating Security Payload Header,ESP )頭相結合的機制來提供,當然還要有正確的相關密鑰管理協議。RFC 4302(IP身份驗證頭)中對AH進行了描述,而ESP頭在RFC 4303和RFC 4305(IP封裝安全性凈荷( ESP ) )中描述。上述RFC及IP安全性體系結構RFC僅僅是解決安全性問題的第一步。

各安全性頭可以單獨使用,也可以一起使用。如果一起使用多個擴展頭,AH應置于ESP頭之前,這樣,首先進行身份驗證,然后再對 ESP頭凈荷解密。使用IPSec隧道時,這些擴展頭也可以嵌套。即,源節點對 IP包進行加密和數字簽名,然后發送給本地安全性網關,該網關則再次進行加密和數字簽名,然后發送給另一個安全性網關。

實際上,AH和ESP頭既可以用于IPv4,也可以用于IPv6,這一點很重要。

AH認證支持hmac_md5_96、hmac_sha_1_96認證加密算法,ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。[13]

3 IPv6安全性應用的現實性分析

IPv6網絡在安全性上對IPv4的優勢并不如我們預計的那么大。很多已知的在IPv4上實現的攻擊,在IPv6上一樣能夠實現,因此,我們用來保護數據的方式實際上也差不多。如同IPv4一樣,遲早會有惡意的攻擊者找到新方法來攻入網絡。網絡攻防就像常說的矛和盾,此消彼長。另外有一點必須指出的是,大多數操作系統內的IPv6是很容易配置的,某些時候隧道模式會作為缺省模式被激活。

如果我們使用檢測系統對MAC頭 0x86DD或者對IPv4協議字段41協議進行監控,我們會發現網絡上原來已經有數量龐大的計算機開始使用IPv6系統了。

3.1 公鑰傳遞

RFC 4301規定了IPv6協議的IPSec需求,但并沒有提及密鑰是如何交換的。我們可以手動設定主密鑰,但是在大規模應用時,這項工作會非常耗時。因此,在這種條件下,應該使用一臺中心授權服務器。根據目前能了解到的應用情況,這種中心授權服務器還有很多細節問題需要解決,比如和RFC 4306規定的IKEv2協議的沖突問題。

3.2 防火墻和入侵檢測系統

端到端的IPSec是IPv6的主要優點之一,然而,如果使用ESP加密,那么已有的防火墻就可能發生問題:假如包是端到端加密,那么防火墻或者路由器如何在不解密的條件下來進行包的檢測呢?把所有的加密密鑰放在一個中心位置也會使網絡出現中心薄弱環節。一個比較好的解決方案是,使用一個服務器來存儲攻擊者或進行了網絡異常分析工作計算機的數據庫,客戶機下載這些數據庫,數據計算機自己對包進行掃描,如果發現了和數據庫相符的內容,就向中心服務器報警。

3.3 兼容性

互聯網的普及使IPv4向IPv6的過渡需要很長一段時間才能完成。IPv6也不僅僅是對IPv4的簡單升級,因為頭部特征和配址機制的不同,這兩種協議是互不兼容的。因此,IPv4如何平滑地過渡到IPv6是必須解決的一個問題。[10]

近年來的實踐過程中,屢屢出現本來在IPv4系統中工作正常的設備、軟件在采用IPv6協議后出現問題的事件。根據報道,如果IGMP snooping置為有效,那么有些交換機會無法傳送IPv6的多播包。使用VLAN站點并使用ISL加密,那么IPv6會不能正常工作。[8]同時,傳統上被認為固若金湯的BSD系統,也在處理IPv6封包的程式碼中,存在某種存儲器損毀的弱點,可能造成系統被攻擊者控制的高危險,“該項弱點可讓黑客避開操作系統內建的所有安全機制”。[12] Juniper networks使用ipv6的m系列及t系列路由器,由于“內存溢漏”(memory leak),可以讓攻擊者發動DoS攻擊。[11]

因此,業界還要花費大量的精力和財力來進行已有系統的兼容性試驗,避免出現不可預知的嚴重損失。

4 IPv6的企業安全性模型

近年來,由于業務需要,NAT越來越多地被使用,與此而來的還有IPv4網絡端對端透明的缺失和安全性的降低。IPv6可以部分地解決這一問題。如果要對外部隱藏網絡拓撲結構是必須的話,那么應該使用如RFC 3041規定的諸如private addressing技術等,而不能再繼續使用NAT技術。

在傳統的IPv4網絡中,標準的安全性模型是集成化的NAT和邊界防火墻的使用。在IPv6網絡里,應該設計一個更先進的安全模型來改善整個網絡的安全,與此同時還要促進端對端的聯絡能力。IPv6的每個節點都具有IPSec能力。僅僅依賴一個防火墻是不可靠的。假如入侵者進入了防火墻背后的網絡,那么一切都將是一覽無余的非加密內容。要建立完善的模型,必須將中心安全策略倉庫、可信主機和節點結合起來,使三方共同作用,建立一個以網絡ID為基礎的身份驗證網絡系統。防火墻仍然可以使用,但以現在的觀點而言,僅僅以邊界防火墻來進行企業級防護是不夠的,邊界防火墻還要和節點級防火墻相互作用,形成綜合性分布式防火墻網絡。

參考文獻:

[1] Naganand Doraswamy.IPSEC:新一代因特網安全標準[M].北京:機械工業出版社,1999.12.

[2] Pete Ldshin.IPv6詳解[M].北京:機械工業出版社,2000.4.

[3] William R.Cheswick.防火墻與因特網安全[M].北京:機械工業出版社,2000.4.

[4] Tamara Dean.計算機網絡實用教程[M].北京:機械工業出版社,2000.9.

[5] Douglas E.Comer.計算機網絡與因特網[M].北京:機械工業出版社,2005.9.

[6] Michael Palmer.局域網與廣域網的設計與實現[M].北京:機械工業出版社,2000.8.

[7] Silvia Hagen.IPv6 Essentials[M].OReilly,2006.4.

[8] David Malone, Niall Murphy.IPv6 Network Administration[M].OReilly,2005.4.

[9] 關于IPv6安全網絡的架構分析問題,http://cisco.ccxx.net/cisco/601.html.

[10] IPv4到IPv6的演進策略,http://cisco.ccxx.net/cisco/4109.html.

[11] 陶蓉.Juniper路由軟件出現漏洞IPv6應慎行[J].通信世界報,2004.11.

[12] OpenBSD發現IPv6安全漏洞,http://bbs.mychat.to/read.php?tid=608036.

[13] 中興通訊股份有限公司.談IPv6網絡的協議安全和安全機制,http://cisco.ccxx.net/cisco/2140.html.