IPv6的安全機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響

IPv6 作為新版IP 協(xié)議，不僅很好地解決了目前IP 地址匱乏的問題，而且由于加密和認(rèn)證機(jī)制的引入，使其在網(wǎng)絡(luò)層的機(jī)密性、完整性方面有了更好的改進(jìn)。因此，可以說IPv6 實(shí)現(xiàn)了網(wǎng)絡(luò)層安全。但這種安全不是絕對(duì)的，文中對(duì)IPv6 的安全特性進(jìn)行初步探討，指出IPv6 的廣泛應(yīng)用還有待進(jìn)一步的深入研究。

　　1 IPv6 安全機(jī)制

　　1 .1 IPv6 定義

　　IPv6(Internet Protocol Version 6 )是IETF 設(shè)計(jì)的用于替代現(xiàn)行版本IPv4 協(xié)議的下一代IP 協(xié)議。目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP 協(xié)議族，其網(wǎng)絡(luò)層的協(xié)議就是IP，同時(shí)也是TCP/IP 協(xié)議族的核心協(xié)議。隨著電子網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)將逐漸進(jìn)入人們的日常生活，我們的生活點(diǎn)滴都將進(jìn)入Internet，正是在這樣的環(huán)境下，IPv6 應(yīng)運(yùn)而生。

　　1 .2 IPv6 特點(diǎn)

　　IPv6 是可以無限制地增加IP網(wǎng)址數(shù)量，并且擁有卓越網(wǎng)絡(luò)安全性能和巨大網(wǎng)址空間等特點(diǎn)的新一代互聯(lián)網(wǎng)協(xié)議。特點(diǎn)表現(xiàn)為:

　　(1)地址空間巨大:IPv6 地址空間由IPv4 的32位擴(kuò)大到128 位，地址空間增大了2 的96 次方倍。

　　(2)地址層次豐富且分配合理:IPv6 的終端管理機(jī)構(gòu)將某一確定的TLA分配給某些骨干網(wǎng)的ISP，然后骨干網(wǎng)ISP 再有選擇性地為各個(gè)中小ISP 分配NLA，而Internet 用戶則從中小ISP 獲得單一的IP 地址。

　　(3)靈活的IP 報(bào)文頭部格式:IPv6 用固定格式的擴(kuò)展頭部取代了IPv4 中可變長(zhǎng)度的選項(xiàng)字段，并且選項(xiàng)部分的出現(xiàn)方式也有所變化。

　　(4)提高IP 層網(wǎng)絡(luò)安全性能:IPv6 要求強(qiáng)制實(shí)施Internet 網(wǎng)絡(luò)安全協(xié)議IPSec ，并將其標(biāo)準(zhǔn)化。該協(xié)議支持驗(yàn)證頭協(xié)議、封裝安全性載荷協(xié)議和密鑰交換IKE 協(xié)議，這3 種協(xié)議將是未來因特網(wǎng)的安全標(biāo)準(zhǔn)。

　　IPv6 除擁有上述特性以外，還具有無狀態(tài)自動(dòng)配置、簡(jiǎn)化報(bào)文頭部格式、支持多類型服務(wù)以及允許協(xié)議繼續(xù)演變等特性。

　　2 IPv4 協(xié)議與IPv6 協(xié)議比較

　　2 .1 IPv6 協(xié)議優(yōu)勢(shì)

　　IPv6 協(xié)議相對(duì)于IPv4 協(xié)議優(yōu)勢(shì)體現(xiàn)在:一是具有更大的地址空間;二是使用更小的路由表;三是增加了增強(qiáng)的組播(Multicast )支持和對(duì)流的支持(FlowControl );四是加入了對(duì)自動(dòng)配置(Auto Configuration)的支持;五是具有更高的安全性。

　　2 .2 IPv4 與IPv6 表示方法及功能的比較

　　IPv6 協(xié)議是對(duì)IPv4 協(xié)議的修改和擴(kuò)充，從根本上解決了IPv4 網(wǎng)絡(luò)地址枯竭和路由表急劇膨脹等問題。

　　2 .3 IPv4 與IPv6 的地址類型與分配方式的比較

　　IP 地址是一種等級(jí)地址，IPv4 的32 位地址被分成網(wǎng)絡(luò)地址和主機(jī)地址，其地址分配采用基于類別的方式，主要有三種方式:A、B 和C，以及2 種特殊的網(wǎng)絡(luò)地址D 和E。IPv6 的地址長(zhǎng)度為128 位，IPv6 地址也有3 類，即單播地址、組播地址和泛播地址。與IPv4 采用塊狀地址分配方式相比，IPv6 協(xié)議可根據(jù)用戶的需要進(jìn)行層狀地址分配。

　　2 .4 IPv4 與IPv6 的安全策略比較

　　IPv4 作為一種簡(jiǎn)單的網(wǎng)絡(luò)互通協(xié)議，存在一系列的安全漏洞，應(yīng)用程序只能通過自身攜帶的私有性和認(rèn)證性操作機(jī)制才能完成安全性操作。IPv6 則全面支持IPsec ，這要求提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全解決方案，以便滿足和提高不同的IPv6 協(xié)議實(shí)現(xiàn)協(xié)同工作能力。IPsec 通過正確使用封裝安全性凈荷頭(ESP)和身份驗(yàn)證頭(AH)來實(shí)現(xiàn)如下安全*:①訪問機(jī)制;②無連接的完整性;③數(shù)據(jù)源身份驗(yàn)證;④對(duì)包重放攻擊的防御;⑤加密;⑥有限的業(yè)務(wù)機(jī)密性。

　　3 IPv6 的安全機(jī)制與現(xiàn)有網(wǎng)絡(luò)安全體系

　　IPv6 的安全機(jī)制及其對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響表現(xiàn)在:一方面，網(wǎng)絡(luò)急劇發(fā)展引起IPv4 在資源設(shè)計(jì)上的有限性凸顯，直接引發(fā)網(wǎng)絡(luò)地址不足的危機(jī)，并且這個(gè)危機(jī)正日益呈現(xiàn)加劇趨勢(shì);另一方面，出于對(duì)安全和信息私密性的考慮，越來越多的商業(yè)機(jī)構(gòu)和政府部門不再愿意在不安全的網(wǎng)絡(luò)上發(fā)送他們敏感的信息和進(jìn)行明文的信息交流，從而導(dǎo)致對(duì)加密和認(rèn)證需求的飛速增長(zhǎng)。

　　3 .1 現(xiàn)行IP 網(wǎng)絡(luò)的安全性

　　IPv6 的安全機(jī)制對(duì)網(wǎng)絡(luò)層的安全性，有如下三個(gè)公認(rèn)的指標(biāo):(1)身份驗(yàn)證;(2)完整性;(3)機(jī)密性。完整性和身份驗(yàn)證經(jīng)常緊密聯(lián)系，而機(jī)密性則經(jīng)常通過使用公共密鑰加密來實(shí)現(xiàn)，這樣也有助于對(duì)源端進(jìn)行身份驗(yàn)證。除了上述三點(diǎn)以外，為了確保網(wǎng)絡(luò)安全，還應(yīng)解決下列威脅網(wǎng)絡(luò)安全的問題:(1 )拒絕服務(wù)攻擊;(2)愚弄攻擊:即實(shí)體傳送虛假來源的包。

　　3 .2 IPv6 對(duì)于網(wǎng)絡(luò)層安全的增強(qiáng)

　　現(xiàn)行的IPv4 協(xié)議很難保證英特網(wǎng)的安全，而與之對(duì)應(yīng)的IPv6 則對(duì)所有的命令和執(zhí)行程序都有安全方面的考慮，并且提供基于網(wǎng)絡(luò)層上的加密和認(rèn)證機(jī)制，這種機(jī)制對(duì)于網(wǎng)絡(luò)層以上的應(yīng)用是不可見的。IPv6的安全主要由IP 的AH 和ESP 標(biāo)記以及正確的相關(guān)密鑰管理協(xié)議來實(shí)現(xiàn)。

　　(1)認(rèn)證報(bào)頭

　　IPv6 協(xié)議通過AH 使數(shù)據(jù)包的接收者可以驗(yàn)證數(shù)據(jù)是否真的是從其源地址發(fā)出的，并對(duì)傳送數(shù)據(jù)提供密碼驗(yàn)證或完整性測(cè)試。AH 的作用如下:(1 )為IP 數(shù)據(jù)包提供強(qiáng)大的完整*;(2 )為IP 數(shù)據(jù)包提供強(qiáng)大的身份驗(yàn)證;(3 )如果IPv6 在完整*中使用了公鑰數(shù)字簽名算法，AH 可以為IP 數(shù)據(jù)包提供無可推卸的服務(wù);(4)通過使用順序號(hào)字段來防止重復(fù)攻擊。AH 可以在傳輸模式和隧道模式下使用，這意味著它不僅可用于為兩個(gè)節(jié)點(diǎn)間的直接的數(shù)據(jù)包傳送提供身份驗(yàn)證和保護(hù)服務(wù)，而且還可用于對(duì)發(fā)給安全性網(wǎng)關(guān)或由安全性網(wǎng)關(guān)發(fā)出的全部數(shù)據(jù)包流進(jìn)行封裝。

　　(2)封裝化安全凈荷

　　除了認(rèn)證報(bào)頭之外，IPv6 還提供了一個(gè)標(biāo)準(zhǔn)的擴(kuò)展頭，即封裝化安全凈荷(ESP)，用于網(wǎng)絡(luò)層實(shí)現(xiàn)端到端的數(shù)據(jù)加密，以對(duì)付網(wǎng)絡(luò)竊聽。一般而言，ESP 報(bào)頭提供了幾種不同的服務(wù)[4]:(1)通過加密提供數(shù)據(jù)包的機(jī)密性;(2)通過使用公共密鑰加密對(duì)數(shù)據(jù)來源進(jìn)行身份驗(yàn)證;(3 )通過由AH 提供的序列號(hào)機(jī)制提供對(duì)抗重放服務(wù);(4)通過使用安全性網(wǎng)關(guān)來提供有限的業(yè)務(wù)流機(jī)密性。ESP 使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標(biāo)準(zhǔn)(DES-CBC)。任何其它的適當(dāng)算法如各種RSA算法等也可以使用。

　　3 .3 IPv6 的安全機(jī)制對(duì)現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)

　　盡管IPv6 具有諸多優(yōu)點(diǎn)，但并不能確保系統(tǒng)的安全運(yùn)行。原因有很多，最重要是由于網(wǎng)絡(luò)安全是一個(gè)包含著各個(gè)層次，各個(gè)方面的問題，而不是一個(gè)僅僅由安全的網(wǎng)絡(luò)層就可以解決的問題。即便僅僅從網(wǎng)絡(luò)層來看，IPv6也不是完美的。畢竟它還保留著很多原來IPv4 中的選項(xiàng)和服務(wù)功能，如分片、TTL 等。而黑客曾經(jīng)用這些選項(xiàng)去攻擊IPv4 協(xié)議或者逃避檢測(cè)，所以不能保證IPv6 能夠逃避得了類似的攻擊。同時(shí)，由于IPv6 引進(jìn)了加密和認(rèn)證機(jī)制，還可能引起新的攻擊方式。

　　4 結(jié) 論

　　綜上所述，IPv6 既很好地解決了IP 地址匱乏的問題，也簡(jiǎn)化了協(xié)議報(bào)頭，并且成功引入了兩個(gè)新的擴(kuò)展報(bào)頭AH 和ESP。它們幫助IPv6 解決了身份認(rèn)證問題，數(shù)據(jù)完整性和機(jī)密性的問題，使IPv6 真正實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，這相對(duì)于IPv4 而言是一大進(jìn)步。但是，由于IPv6 安全機(jī)制尚未成熟，這些安全機(jī)制對(duì)于當(dāng)前的網(wǎng)絡(luò)安全體系造成了巨大的沖擊。因此，為了適應(yīng)新的網(wǎng)絡(luò)協(xié)議和新的發(fā)展方向，尋找新的解決網(wǎng)絡(luò)安全問題的途徑變得異常急迫。