Ipv6下的安全防范綜述

徐國(guó)棟 孟曉景

山東科技大學(xué) 山東 266510

0 引言

因特網(wǎng)協(xié)議版本6(Internet Protocol Version 6, Ipv6)是網(wǎng)絡(luò)層協(xié)議的第二代標(biāo)準(zhǔn)協(xié)議，也被稱為下一代因特網(wǎng)(Ip Next Generation，IPng)，它是工程任務(wù)組(Internet Engineering Task Force，IETF)設(shè)計(jì)的一套規(guī)范，是Ipv4的升級(jí)版本。

同Ipv4相比Ipv6中引用了IPsec機(jī)制，增強(qiáng)了網(wǎng)絡(luò)的安全性，但是由于在Ipv6環(huán)境下傳輸數(shù)據(jù)包機(jī)制與Ipv4基本相同，而且網(wǎng)絡(luò)基礎(chǔ)設(shè)施和技術(shù)能力不夠等原因，Ipv6網(wǎng)絡(luò)環(huán)境下也存在著安全隱患。

（1）Ipv6本身特有的缺陷，無(wú)狀態(tài)自動(dòng)尋址，雖然給合法網(wǎng)絡(luò)用戶使用帶來(lái)了方便，但非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò)。無(wú)狀態(tài)地址自動(dòng)配置中的沖突地址檢測(cè)機(jī)制也給拒絕服務(wù)攻擊帶來(lái)可能：惡意攻擊者只要回復(fù)對(duì)臨時(shí)地址進(jìn)行的鄰居請(qǐng)求，請(qǐng)求者就會(huì)認(rèn)為地址沖突而放棄使用該臨時(shí)地址；Ipv6中引入了ICMPv6和PMTU，實(shí)現(xiàn)的是IPv4中的ICMP和ARP的功能。在這里ICMPv6就很容易被入侵者利用，不斷產(chǎn)生錯(cuò)誤的數(shù)據(jù)包或者冒充原節(jié)點(diǎn)發(fā)送數(shù)據(jù)包，造成網(wǎng)絡(luò)通訊錯(cuò)誤等等問(wèn)題。

（2）隨著 IPv6網(wǎng)絡(luò)的逐步演進(jìn)以及組播應(yīng)用的飛速增長(zhǎng)，組播網(wǎng)絡(luò)安全與單播網(wǎng)絡(luò)安全有著相似的要求：用戶認(rèn)證，數(shù)據(jù)一致性檢查，數(shù)據(jù)加密，用戶授權(quán)等方面。但是，考慮到組播技術(shù)的特點(diǎn)，如多點(diǎn)到多點(diǎn)傳輸，無(wú)需加入群組就可以向群組中發(fā)送數(shù)據(jù)等，使攻擊者更容易發(fā)現(xiàn)網(wǎng)絡(luò)中的關(guān)鍵系統(tǒng)。

（3）由于Ipv6應(yīng)用不夠完全，在很長(zhǎng)一段時(shí)間內(nèi)是Ipv6與Ipv4網(wǎng)絡(luò)并存的局面，因此必須使用隧道技術(shù)。非法用戶可以使用IPv6訪問(wèn)來(lái)占用IPv4和IPv6的網(wǎng)絡(luò)資源，攻擊者還可以通過(guò)安裝雙棧的IPv6的主機(jī)，建立由IPv6到IPv4的隧道，繞過(guò)防火墻對(duì)IPv4進(jìn)行攻擊。

1 Ipv6安全防范機(jī)制

1.1 Ipsec機(jī)制

相對(duì)Ipv4而言，Ipv6引入了Ipsec機(jī)制，圖1所示，是IPSec協(xié)議的安全體系結(jié)構(gòu)。Ipv6主要是通過(guò)身份驗(yàn)證報(bào)頭(AH)和加密安全有效數(shù)據(jù)(ESP)來(lái)實(shí)現(xiàn)的。

圖1 Ipv6體系結(jié)構(gòu)

（1）認(rèn)證報(bào)頭：IPv6利用AH使數(shù)據(jù)包的接收者可以驗(yàn)證數(shù)據(jù)是否真的是從它的源地址發(fā)出的，并提供密碼驗(yàn)證或完整性測(cè)試。缺省時(shí)它使用了一個(gè)加密的 MDS算法，但是由于檢驗(yàn)的機(jī)制與所使用的具體算法無(wú)關(guān)，任何實(shí)現(xiàn)都可以根據(jù)需要選用任何算法，如sun公司將發(fā)布的v6.0IPv6Proto帥e就采用MDS驗(yàn)證報(bào)頭。AH的作用如下：為IP數(shù)據(jù)包提供強(qiáng)大的完整性服務(wù)，這意味著AH可用于對(duì)IP數(shù)據(jù)包所承載的數(shù)據(jù)進(jìn)行驗(yàn)證。

（2）ESP的作用：IPsec封裝安全負(fù)載(IPsec ESP)是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議，其主要設(shè)計(jì)在IPv4和IPv6中提供安全服務(wù)的混合應(yīng)用。IPsec ESP通過(guò)加密需要保護(hù)的數(shù)據(jù)以及在IPsec ESP的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來(lái)提供機(jī)密性和完整性。根據(jù)用戶安全要求，這個(gè)機(jī)制既可以用于加密一個(gè)傳輸層的段(如：TCP、UDP、ICMP、IGMP)，也可以用于加密整個(gè)的 IP數(shù)據(jù)報(bào)。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性。

1.2 Ipsec的實(shí)施部署

Ipsec是一個(gè)協(xié)議集合，它的內(nèi)部結(jié)構(gòu)和實(shí)現(xiàn)過(guò)程比較復(fù)雜，因此，我們采用模塊化思想將它進(jìn)行設(shè)計(jì)。

Ipsec有三種實(shí)施方法：將Ipsec作為Ipv6協(xié)議棧的一部分來(lái)實(shí)現(xiàn)，與操作系統(tǒng)OS集成實(shí)施；將Ipsec作為協(xié)議棧中的BITS來(lái)實(shí)現(xiàn)，將特殊的Ipsec代碼插入到網(wǎng)絡(luò)協(xié)議中，在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間實(shí)施，稱為堆棧中的塊 BITS；將Ipsec作為線路的BITW來(lái)實(shí)現(xiàn)，使用安全性處理功能。

（1）基于Linux平臺(tái)的Ipsec協(xié)議實(shí)施

在 Linux最新內(nèi)核 2.6平臺(tái)上，基于 Netfilter框架的HOOK機(jī)制，實(shí)現(xiàn)IPv6環(huán)境下的IPSec協(xié)議。其中所使用的關(guān)鍵技術(shù)有安全策略(決定兩個(gè)實(shí)體之間能否通信，以及如何進(jìn)行通信。策略的核心由三部分組成：SA、SAD、SPD)、動(dòng)態(tài)密鑰交換IKE、Linux內(nèi)核改造(將IPSec無(wú)縫接入)。實(shí)現(xiàn)該技術(shù)的原理和方案如圖2。

圖2 基于Linux平臺(tái)的Ipsec協(xié)議實(shí)施設(shè)計(jì)原理

當(dāng)數(shù)據(jù)報(bào)經(jīng)過(guò)Netfilter機(jī)制的過(guò)程。數(shù)據(jù)報(bào)從左邊進(jìn)入系統(tǒng)，進(jìn)行 IP校驗(yàn)以后，數(shù)據(jù)報(bào)經(jīng)過(guò)第一個(gè)鉤子 NF_IP6_PRE_ROUTING注冊(cè)函數(shù)進(jìn)行處理；然后就進(jìn)入路由代碼，其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)的；若該數(shù)據(jù)包是發(fā)送給本機(jī)的，則該數(shù)據(jù)經(jīng)過(guò)鉤子NF_IP6_ LOCAL_IN注冊(cè)函數(shù)進(jìn)行處理，然后傳遞給上層協(xié)議；若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)，則它被 NF_IP6_FORWARD注冊(cè)函數(shù)處理，經(jīng)過(guò)轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)經(jīng)過(guò)最后一個(gè)鉤子NF_IP6_POST_ ROUTING注冊(cè)函數(shù)處理以后，再傳輸?shù)骄W(wǎng)絡(luò)上；本機(jī)產(chǎn)生的外出數(shù)據(jù)包經(jīng)過(guò)鉤子NF_IP6_LOCAL_OUT注冊(cè)函數(shù)處理以后，進(jìn)行路由選擇處理，然后經(jīng)過(guò)最后一個(gè)鉤子 NF_IP6_POST_ROUTING注冊(cè)函數(shù)處理以后，再發(fā)送到網(wǎng)絡(luò)上，進(jìn)而實(shí)現(xiàn)Ipsec功能。

基于Netfilter框架機(jī)制，在Linux內(nèi)核實(shí)現(xiàn)IPv6的IPSec方法，有效地提高了IPSec協(xié)議處理的效率，提高了IP包在IPSec網(wǎng)關(guān)上的傳送速度，使 IPSec網(wǎng)關(guān)成為瓶頸的可能降低，也使得IPSec自身的安全性得到提高。這種簡(jiǎn)單、高效、易于擴(kuò)展的方式實(shí)現(xiàn)了IPSec協(xié)議，提供了對(duì)網(wǎng)絡(luò)通信的安全保障，有著廣闊的應(yīng)用前景，例如安全路由器、安全網(wǎng)關(guān)、VPN等。

（2）基于SafeXcel芯片的Ipsec安全模塊的設(shè)計(jì)

軟件實(shí)現(xiàn)Ipv6是有一定的缺陷的，現(xiàn)在也有部分硬件產(chǎn)品也實(shí)現(xiàn)了部分 Ipsec的功能，基于 SafeXcel芯片的 Ipsec安全模塊，是以開(kāi)弦系列密碼芯片作為算法模塊，由 FPGA控制實(shí)現(xiàn)對(duì)IPV6數(shù)據(jù)包的IPSec處理，同時(shí)配以必要的SPD和SAD。

圖3 基于SafeXcel芯片的ipsec安全模塊的設(shè)計(jì)原理

安全模塊對(duì)數(shù)據(jù)包的處理主要分輸出處理流程和輸入處理兩部分(如圖3所示)。

輸出處理時(shí)，來(lái)自線路接口的標(biāo)準(zhǔn) IPV6包送入輸出包處理控制單元。在輸出處理控制單元中，首先根據(jù)數(shù)據(jù)包的源IP地址，目的IP地址以及傳輸協(xié)議等選項(xiàng)查SPD1，如果沒(méi)有查到對(duì)應(yīng)的SP條目，如果查到了對(duì)應(yīng)的SP條目但對(duì)應(yīng)的SA還沒(méi)有建立，這時(shí)丟棄當(dāng)前包，并通知處理器，處理器將源IP地址，目的IP地址及SPI等內(nèi)容送主控子系統(tǒng)，主控子系統(tǒng)啟動(dòng)IKE協(xié)議發(fā)起SA協(xié)商；如果查到了對(duì)應(yīng)的SA，首先檢查SA是否過(guò)期。若過(guò)期，則丟棄當(dāng)前包并刪除當(dāng)前SA，通知主控子系統(tǒng)發(fā)起一個(gè)新的SA協(xié)商；若沒(méi)有過(guò)期，則繼續(xù)檢查是否需要進(jìn)行序列號(hào)溢出檢查。若不需要進(jìn)行序列號(hào)溢出檢查，則首先對(duì)SA的生命周期字段值進(jìn)行更新，然后根據(jù)查到的SA對(duì)數(shù)據(jù)包進(jìn)行IPSec處理；若需要進(jìn)行序列號(hào)溢出檢查，則檢查序列號(hào)字段值。若序列號(hào)溢出，則丟棄當(dāng)前包并刪除當(dāng)前 SA，通知主控子系統(tǒng)發(fā)起一個(gè)新的SA協(xié)商；若沒(méi)有溢出，則首先對(duì)SA的生命周期字段值和序列號(hào)字段進(jìn)行更新，然后根據(jù)查到的SA對(duì)數(shù)據(jù)包進(jìn)行IPSec處理。IPSec處理包括：將加密指令和密鑰連同IPV6數(shù)據(jù)包一起送入密碼芯片1進(jìn)行加密運(yùn)算，然后再將加密后的數(shù)據(jù)封裝為隧道模式ESP數(shù)據(jù)包，最后將生成的ESP數(shù)據(jù)包和主控送來(lái)的SA協(xié)商包合路后送出。

輸入處理時(shí)，交換網(wǎng)絡(luò)送來(lái)的數(shù)據(jù)包送入輸入處理單元。首先判斷送來(lái)的數(shù)據(jù)包的類型，如果是SA協(xié)商包，則送主控子系統(tǒng)處理；如果是 IPV6數(shù)據(jù)包，則不做處理送線卡；如果是IPSec數(shù)據(jù)包，則根據(jù)IPSec數(shù)據(jù)包的源IP地址，目的IP地址以及傳輸協(xié)議等選項(xiàng)查的SPD2。如果沒(méi)有查到對(duì)應(yīng)的SP條目，則不做處理送線卡；如果查到了對(duì)應(yīng)的SP條目，則從SAD2中取出對(duì)應(yīng)的SA，檢查SA的SPI值與包頭中的SPI值是否相同。若不同，則丟棄該包；若相同則利用查到的SA策略對(duì)數(shù)據(jù)包進(jìn)行抗重放驗(yàn)證和SA生存期驗(yàn)證。如果驗(yàn)證不通過(guò)，則丟棄該包，SA到期還需要將對(duì)應(yīng)的SA刪除并進(jìn)行新的SA的協(xié)商。若驗(yàn)證通過(guò)，則首先對(duì)SA進(jìn)行更新，然后根據(jù)查到的SA對(duì)該包進(jìn)行IPSec處理。處理時(shí)，首先剝離外部IP頭，然后將加密部分送密碼芯片2進(jìn)行解密，最后，將還原的 IPV6數(shù)據(jù)包和未經(jīng)處理的數(shù)據(jù)包合路后送線卡。

該安全模塊的最大優(yōu)點(diǎn)就是用硬件實(shí)現(xiàn)了IPSec協(xié)議，并配以高速專用密碼芯片，使得對(duì)數(shù)據(jù)的安全保護(hù)能夠達(dá)到很高的速度。

2 Ipv6環(huán)境下基于分布式防火墻的IPv6網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

Ipsec最大的缺陷是其復(fù)雜性，Ipsec包含了太多的選項(xiàng)和太多的靈活性，其協(xié)議本身也需要進(jìn)一步的完善，而且需要指出的是，雖然 Ipsec可以阻止多種攻擊，但無(wú)法抵御Sniffer、DoS攻擊、泛洪攻擊和應(yīng)用層攻擊。Ipsec協(xié)議作為一個(gè)網(wǎng)絡(luò)層協(xié)議，只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，不能對(duì)上層如Web、E-mail及ftp等應(yīng)用提供安全保障，因此IPSec的實(shí)施并不能替代傳統(tǒng)的安全設(shè)備，防火墻和入侵檢測(cè)系統(tǒng)等仍有存在的必要，下面以Ipv6環(huán)境下分布式防火墻設(shè)計(jì)為例，旨在說(shuō)明Ipv6環(huán)境下的整體安全安全防范。

如果要建立一個(gè)基于分布式防火墻的網(wǎng)絡(luò)安全系統(tǒng)，如此單一的分布式防火墻系統(tǒng)在網(wǎng)絡(luò)防御上能力有限，必須結(jié)合其他的網(wǎng)絡(luò)安全技術(shù)，同時(shí)分布式安全系統(tǒng)自身也應(yīng)獲得更高的自測(cè)安全度，這就需要入侵檢測(cè)系統(tǒng)的幫助。

入侵檢測(cè)系統(tǒng)(Intrusion-detection system, IDS)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的安全防護(hù)技術(shù)，這是它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于：結(jié)合了入侵檢測(cè)系統(tǒng)的分布式入侵檢測(cè)DIDS利用多個(gè)檢測(cè)主體，采用多種檢測(cè)方法，依靠分布于網(wǎng)絡(luò)中的多個(gè)入侵?jǐn)?shù)據(jù)來(lái)源，通過(guò)協(xié)同工作來(lái)實(shí)現(xiàn)檢測(cè)。當(dāng)前的網(wǎng)絡(luò)入侵行為通常表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，采用分布式入侵檢測(cè)，利用多個(gè)檢測(cè)主體協(xié)作，可以更全面的、更準(zhǔn)確的檢測(cè)入侵。

改進(jìn)后的DIDS系統(tǒng)如圖4所示。

圖4 改進(jìn)后的DIDS系統(tǒng)

由此我們可以建立一個(gè)Ipv6環(huán)境下的安全系統(tǒng)，系統(tǒng)結(jié)構(gòu)如圖 5所示，主要由四個(gè)部件組成：分布式防火墻部件(DFW部件)、分布式入侵檢測(cè)部件(DIDS部件)、信息綜合部件、管理決策部件。其中DFW部件采用分布式防火墻的結(jié)構(gòu)。DIDS部件的主機(jī)入侵檢測(cè)模塊與DFW部件的主機(jī)防火墻模塊(D-HFW)在一個(gè)受保護(hù)主機(jī)中共同構(gòu)成主機(jī)防御子系統(tǒng)；DIDS部件的網(wǎng)絡(luò)入侵檢測(cè)模塊和DFW部件的網(wǎng)絡(luò)防火墻模塊(D-NFW)在一個(gè)受保護(hù)網(wǎng)絡(luò)的邊界，共同構(gòu)成了邊界防御子系統(tǒng)。信息綜合部件與管理決策部件共存于系統(tǒng)服務(wù)器中。系統(tǒng)服務(wù)器集中管理各個(gè)分布在網(wǎng)絡(luò)中的防御子系統(tǒng)。

圖5 安全系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)由各防御子系統(tǒng)構(gòu)成整個(gè)安全系統(tǒng)。

入侵檢測(cè)系統(tǒng)是對(duì)侵入主機(jī)的行為進(jìn)行檢測(cè)，安全巡邏服務(wù)器可針對(duì)不同安全級(jí)別的主機(jī)，查看主機(jī)的安全情況并向服務(wù)器做出匯報(bào)。安全服務(wù)器根據(jù)返回的匯報(bào)信息類型與策略服務(wù)器及時(shí)通信，并做出判斷或決定，以最快的速度修補(bǔ)防火墻中的漏洞；管理決策部件針對(duì)DIDS部件和信息綜合部件發(fā)送來(lái)的入侵告警信息，進(jìn)行安全防御的響應(yīng)決策。針對(duì)網(wǎng)絡(luò)安全狀況，實(shí)時(shí)、智能地調(diào)整系統(tǒng)其他各個(gè)部件的安全策略，是對(duì)這個(gè)部件的一個(gè)基本要求。對(duì)此，管理決策部件應(yīng)用專家系統(tǒng)作為實(shí)施方案。

3 總結(jié)

IPv6作為現(xiàn)行網(wǎng)絡(luò)的替代者，已經(jīng)在逐步被社會(huì)大眾及企業(yè)接受，在不遠(yuǎn)的將來(lái)將最終取代IPv4成為主干網(wǎng)絡(luò)。然而隨之而來(lái)的是現(xiàn)行網(wǎng)絡(luò)的安全問(wèn)題。在此背景下，本文對(duì)IPv6相關(guān)的安全技術(shù)進(jìn)行研究和總結(jié)，是具有現(xiàn)實(shí)意義的。

[1]劉喆,王蔚然.分布式防火墻的網(wǎng)絡(luò)安全系統(tǒng)研究[J].電子科技大學(xué)學(xué)報(bào).2005.

[2]潘大慶.基于 SafeXcel芯片的 IPV6安全模塊的設(shè)計(jì)[J].通信技術(shù).2009.

[3]黃智祥,葉震,孫志勇.防火墻技術(shù)及其體系結(jié)構(gòu)研究[J].計(jì)算機(jī)與信息技術(shù).1999.

[4]肖昌吉.分布式防火墻原理及其技術(shù)研究[J].中國(guó)民航飛行學(xué)院學(xué)報(bào).2005.

[5]張武軍.基于 IPv6的下一代網(wǎng)絡(luò)安全研究[D].西安:西安電子科技大學(xué).2006.

[6]趙春燕,姚青.基于 Kernel2.6的 IPv6安全協(xié)議的研究與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版).2009.

[7]王以伍,任宇,陳俊.IPv6安全技術(shù)分析[J].電腦知識(shí)與技術(shù).2008.

[8]李振強(qiáng),趙曉宇,馬嚴(yán).IPv6安全脆弱性研究[J].計(jì)算機(jī)應(yīng)用研究.2006.