IPV6網(wǎng)絡安全問題的探討

【摘 要】隨著瓦聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全越來越受到重視，IPV6取代IPV4成為新的ＩＰ協(xié)議勢在必行，對于基于IPV6協(xié)議的下一代互聯(lián)網(wǎng)絡安全成為人們研究的重要內(nèi)容，本文詳細介紹了IPV6的技術特點，以及IPV6在安全方面的改進和它所存在的安全隱患。

【關鍵詞】IPV6協(xié)議；網(wǎng)絡安全；IPSec

0.引言

目前IPv4依然是Internet應用最為廣泛的網(wǎng)絡層協(xié)議。由于當初設計時沒有預見到網(wǎng)絡發(fā)展如此迅速，所以IPV4在很多方面已不能滿足當今互連網(wǎng)發(fā)展的需求，比如安全性問題、服務質(zhì)量和語音通訊等方面都不能滿足要求。隨著網(wǎng)絡規(guī)模的繼續(xù)擴大和網(wǎng)絡應用范圍的增加，以及IP地址分配不合理，目前IPv4地址僅剩下不到10%幾乎枯竭。為了解決IP地址數(shù)量短缺的問題，IETF提出了新一代互聯(lián)網(wǎng)絡協(xié)議，即IPv6協(xié)議，基于IPv6協(xié)議的下一代互聯(lián)網(wǎng)的發(fā)展將是歷史的必然。我國政府十二五規(guī)劃中，要大力發(fā)展IPv6技術。我相信在十二五期間，我國Ipv6網(wǎng)絡會迅速的發(fā)展起來，隨著IPv6網(wǎng)絡的大規(guī)模的應用，我們也將面臨更多的安全問題。

1．IPV6優(yōu)勢

與IPv4相比，IPv6具有許多優(yōu)勢，首先，IPv6解決了IP地址數(shù)量短缺的問題；其次，IPv6對IPv4協(xié)議中諸多不完善之處進行了較大的改進。IPv6的協(xié)議在網(wǎng)絡層發(fā)生了以下變化：地址空間得到了擴展，采用了新的地址生成和分配策略，強制使用IPSec，簡化了數(shù)據(jù)包頭部并支持擴展頭部，引入了“流”的概念。

IPv6作為網(wǎng)絡層協(xié)議，他的變化其實是改善了網(wǎng)絡層的安全性。巨大的地址空間給網(wǎng)絡探測攻擊、病毒和蠕蟲傳播帶來困難；分層次、可匯聚的地址結(jié)構(gòu)以及密鑰生成地址CGA協(xié)議增加了IP 欺騙的難度，并能有效地對地址進行溯源；強制使用IPSec協(xié)議在很大程度上提升了端對端的隱私性；簡單的數(shù)據(jù)包頭部以及靈活的擴展頭部可以提高網(wǎng)絡安全設備工作效率，降低分片攻擊的可能性；定義多播地址、取消廣播地址，則能夠有效避免網(wǎng)絡層的洪泛攻擊。

2.IPV6安全機制

IPv6不但解決了IP地址數(shù)量短缺的問題，還對于IPv4協(xié)議中諸多不完善之處進行了較大更改。其中最為顯著的就是將IPSec（IPSecurity）集成到協(xié)議內(nèi)部，從此IPSec將不單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個部分。IPSEC提供四種不同的形式來保護通過公有或私有IP網(wǎng)絡來傳送的私有數(shù)據(jù)：安全關聯(lián)（SA)、IP認證頭（AH) 、IP封裝安全載荷（ESP）、密匙管理（Key management）。

2.1安全關聯(lián)(SA)

IP Sec中的一個基本概念是安全關聯(lián)(SA)，安全關聯(lián)包含驗證或者加密的密鑰和算法。它是單向連接，為保護兩個主機或者兩個安全網(wǎng)關之間的雙向通信需要建立兩個安全關聯(lián)。安全關聯(lián)提供的安全服務是通過AH和ESP兩個安全協(xié)議中的一個來實現(xiàn)的。如果要在同一個通信流中使用AH和ESP兩個安全協(xié)議，那么需要創(chuàng)建兩個（或者更多）的安全關聯(lián)來保護該通信流。一個安全關聯(lián)需要通三個參數(shù)進行識別，它由安全參數(shù)索引（AH/ESP報頭的一個字段）、目的IP地址和安全協(xié)議（AH或者ESP）三者的組合唯一標識。

2.2報頭驗證(AuthenticationHeader)

認證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個密碼。AH通過一個只有密匙持有人才知道的\"數(shù)字簽名\"來對用戶進行認證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結(jié)果；AH還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。IPv6的驗證主要由驗證報頭（AH）來完成。驗證報頭是IPv6的一個安全擴展報頭，它為IP數(shù)據(jù)包提供完整性和數(shù)據(jù)來源驗證，防止反重放攻擊，避免IP欺騙攻擊。

2.3封裝安全載荷協(xié)議－ESP（EncapsulatingSecurityPayload）

安全加載封裝（ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙打開內(nèi)容。ESP也能提供認證和維持數(shù)據(jù)的完整性。ESP用來為封裝的有效載荷提供機密性、數(shù)據(jù)完整性驗證。AH和ESP兩種報文頭可以根據(jù)應用的需要單獨使用，也可以結(jié)合使用，結(jié)合使用時，ESP應該在AH的保護下。在IPv6中，加密是由ESP擴展報頭來實現(xiàn)的。ESP用來為封裝的有效載荷提供機密性、數(shù)據(jù)來源驗證、無連接完整性、反重放服務和有限的業(yè)務流機密性。

ESP不保護任何IP報頭字段，除非這些字段被ESP封裝（隧道模式），而AH則為盡可能多的IP報頭提供驗證服務。所以如果需要確保一個數(shù)據(jù)包的完整性、真實性和機密性時，需同時使用AH和ESP。先使用ESP，然后把AH報頭封裝在ESP報頭的外面，從而接收方可以先驗證數(shù)據(jù)包的完整性和真實性，再進行解密操作，AH能夠保護ESP報頭不被修改。

2.4密鑰管理協(xié)議IKMP（InternetKeyManagementProtocal）

密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙：AH和ESP各兩個發(fā)送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，例如，一個56位的密匙可以表示為8DF39DA852E0C25B。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數(shù)商業(yè)應用了。密匙管理包括手工和自動兩種方式。手工管理方式是指管理員使用自己的密鑰及其它系統(tǒng)的密鑰手工設置每個系統(tǒng)。這種方法在小型網(wǎng)絡環(huán)境中使用比較實際。自動管理系統(tǒng)可以隨時建立新的SA密鑰，并可以對較大的分布式系統(tǒng)上使用密鑰進行定期的更新。自動管理模式是很有彈性的，但需要花費更多的時間及精力去設置，同時，還需要使用更多的軟件。

IP Sec的自動管理密鑰協(xié)議的默認名字是ISAKMP/Oakley。OAKLEY協(xié)議，其基本的原理是Diffie-Hellman密鈅交換算法。OAKLEY協(xié)議支持完整轉(zhuǎn)發(fā)安全性，用戶通過定義抽象的群結(jié)構(gòu)來使用Diffie-Hellman算法，密鈅更新，及通過帶外機制分發(fā)密鈅集，并且兼容用來管理SA的ISAKMP協(xié)議。因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議（ISAKMP）定義程序和信息包的格式來建立、協(xié)商、修改和刪除安全連接（SA）。SA包括所有如IP層服務、傳輸或應用層服務、流通傳輸?shù)淖晕冶Ｗo的各種各樣的網(wǎng)絡協(xié)議所需要的信息。ISAKMP 定義交換密鑰生產(chǎn)的有效載荷和認證數(shù)據(jù)。ISAKMP 通過集中安全連接的管理減少了在每個安全協(xié)議中復制函數(shù)的數(shù)量，同時還能通過一次對整個服務堆棧的協(xié)議來減少建立連接的時間，增加了安全性。

3.IPV6存在的安全問題

當然，IPv6的協(xié)議變化也會導致網(wǎng)絡層出現(xiàn)一些新的安全問題，比如IPSec 的使用會提高網(wǎng)絡攻擊檢測的難度、龐大的地址空間會給網(wǎng)絡訪問控制和入侵檢測帶來挑戰(zhàn)。IPv6先進的網(wǎng)絡發(fā)現(xiàn)特性讓網(wǎng)絡管理員能夠選擇他們路由數(shù)據(jù)封包的路徑。在理論上，這是一個重大改良，但是從安全角度看，這是一個安全隱患。因為這導致本地IPv6網(wǎng)絡有安全風險，這種特性讓攻擊者可以不費吹灰之力跟蹤和達到遠程網(wǎng)絡此外，其過渡技術和方案也存在安全隱患。另外，IPv6協(xié)議主要在網(wǎng)絡層發(fā)生了變化，而傳輸層與應用層協(xié)議的安全性仍然與IPv4沒有區(qū)別，所以也將繼承IPv4 既有的一些安全問題。Ipv6不可能在短時間內(nèi)代替Ipv4，兩種版本網(wǎng)絡協(xié)議將會共存很長的一段時間，這將增加網(wǎng)絡的復雜性，并且可能出現(xiàn)新的安全問題。

4.總結(jié)

IPv6網(wǎng)絡由于IPSec提供的安全服務，能有效防止長期困擾人們的許多網(wǎng)絡攻擊，如IP欺騙、拒絕服務攻擊、數(shù)據(jù)篡改和網(wǎng)絡探測活動等。IPSec是目前可提供的最好的網(wǎng)絡安全解決方案，它努力使Internet上的安全機制標準化，向更安全的Internet邁進了一大步。但我們也注意到IPv6安全機制還尚未成熟，比如IPsec中可能有許多安全問題需要解決，如FTP， Telnet，DNS， and SNMP，對QOS和DHCP可能會導致IPSec無效或受限。為了適應IPv6網(wǎng)絡協(xié)議和新的發(fā)展方向，IPv6協(xié)議還有待繼續(xù)完善。

【參考文獻】

［１］陳坤彥，趙炬紅.淺析IPV6技術及其安全機制[J].煤炭技術，2011，30(12):188-189．

［２］郎為民.下一代網(wǎng)絡技術原理與應用[Ｍ].北京：機械工業(yè)出版社，2006．

［３］張玉潔.基于IPV6的安全協(xié)議IPSec的研究[Ｍ].南京理工大學，2008．

［４］張曙峰.基于IPV6的網(wǎng)絡安全問題探討[J].科技致富向?qū)В?011，(24):128．