墨C O…NPUI' E 残汉I Pv6环冼下的同络安全问题 黄悦 (海军指挥学院,江苏南京21 1800) 摘 要:IPv6协议是新一代互联网协议,有效解决了当今IPv4协议面临的诸多问题。介绍了IPv6的提出背景及主要特点,探 讨了IPv6引入带来的网络安全问题。 关键词:IPv4;IPv6;网络安全 A Simple Discussion on the Network Security of IPv6 HUANG Yue (Naval command co ̄logo,Nan2ng,Ji ̄ngsu 21100o,Okra) Abstract:IP version 6 is the Flew generation of Internet protocol,and jt effectively solves many problems introduced by IP version 4.This article discusses the background and fe&tures of IP version 6 and probes the problems of the network security introduced by IP version 6. Key words:IPv4;1Pv6;network security 0引言 网络的繁荣发展加上最初设计的地址分类方法 的不合理,导致今天IP地址极度缺乏。同时,随 着互联网技术和移动通信业务的迅速发展,运用 惟一IP地址的无线设备的激增,IP协议需要相应 IP地址对目标地址进行攻击。由于网络中存在的 MTU的限制,因此传送大于该网络MTU的数据 包要进行分片,由此也带来安全上的漏洞。攻击者 只需要二个UDP分片,就可造成一些操作系统瘫 痪。假冒IP地址,即攻击者利用被攻击者的IP地 址或者一个根本不存在的地址作为特殊数据包的 源地址,通过发送大量数据包占用被攻击者的资源, 造成被攻击者不能正常工作。 IPv6是Internet协议族中关于网络层的一个最 地提高和发展。IPv6采用长度为128位的IP地址, 彻底解决了IPv4地址不足的难题。与IPv4相比, IPv6具有以下优势:(1)庞大的地址空间;(2)自动 地址分配;(3)简化了报头格式;(4)提高了服务质 量;(5)提供了认证和私密性;(6)支持移动服务…。 由于在IPv6中引入了新特性,以及IPv4向 IPv6过渡时期的转换技术也会引起安全问题,和传 统的IPv4网络相比,IPv6的安全技术和威胁方面 新版本,它的设计被认为是IPv4的一个革命性进步。 IPv6巨大的地址空间及引入IPSec带来的加密和认 证机制,实现了网络层的身份认证和数据包的完整 性、机密性,增强了网络层的安全,对于应对网络 威胁和攻击,保障网络通信安全成效显著。 都发生了变化,因此对IPv6环境下的网络安全进 行相关研究,具有重要的意义。 IPv6利用数据包头的扩展部分可以提供路由器 级的安全性 ,一方面,IPv6数据包的接收者可以 1 IPv6提高了安全性 rP地址是根据IP协议规定的格式给每一台正 式接入Internet。的主机所分配的供全球标识的惟一 通信地址。目前,全球广泛使用的IP协议是4.0 版本,记为IPv4。IPv4地址分配的不合理,导 致IP地址分布极为零散,攻击者可以任意伪造源 要求发送者首先利用IPv6认证头(数据包头的扩 展部分)进行“登录”,然后才接收数据包,这种 登录是算法独立的,可以有效阻止网络黑客的攻击。 另一方面,利用IPv6的封闭安全头(数据包头的 扩展部分)加密数据包,这种加密也是算法独立的, 这意味着可以安全地在互联网上传输敏感凝冁,不 69l圊2 0口1圃2豳.0 3 lw.nsc,org。 _ S elj I Y 墨. I亡 — E R TY0M P UT E!1必担心被第三方截获。 在设计IPv6时,协议作为一个重要的方面进 直存在,不过在IPv6中,追溯攻击源头比在IPv4 中更容易一些H 。此外,IPv6协议本身还有一些 问题待解决。事实上,IPv6环境下的病毒已经出 现。IPv6现在面临的安全威胁主要包括:地址扫描、 非法访问、分片、路由协议的认证、蠕虫攻击、对 icmpv6的攻击、对邻居发现的攻击和对无状态地 址自动配置的攻击。 行考虑,将IP安全体系结构(IPSec)纳入了协 议整体之中,成为协议的有机组成部分。IPSec通 过身份验证头AH与封装安全性净荷头ESP相结 合,配合相关的密钥管理机制,为IP提供安全特性, 如提供访问控制、数据源的身份验证、数据完整性 检查、机密性保证以及抗重播攻击 。 2 IPv6的安全问题 IPv6是在积累了IPv4十几年经验的基础上 提出的,弥补了IPv4安全性方面存在的一些问题, 但并不是说IPv6网络中不再有安全问题。总体来 讲,IPv6环境下的安全问题来源于两个方面:一是 由IPv6本身的缺陷引发;二是由IPv6的过渡技术 引发。 2.1本身缺陷引发的问题 IPv6只是在IP层对原有的网络协议进行了改 造和扩展,而没有对其他协议层进行构造。在IPv6 普及之后,其他协议层存在的攻击行为很容易移植 到IPv6上来,比如应用层的缓冲区溢出攻击和传 输层的TCP SYN FLOOD攻击。IPv6仍保留着 IPv4的诸多结构特点,如选项分片和TTL等,这 些选项都曾经被黑客用于攻击IPv4结点。到目前 为止,所有使用的安全策略都是在IPv4下已经存 在的,IPv6无法从根本上解决安全的问题。 以下这些网络攻击技术,不论是在IPv4还是 IPv6的网络中都存在:报文侦听,由于公钥和密钥 的问题,在未配置IPSec的情况下,偷看IPv6的 报文仍然是可能的;任何针对应用层,如Web服 务器、数据库服务器等的攻击仍然有效;中间人攻 击,虽然IPv6提供了IPSec,还是有可能遭到中向 人的攻击,应尽量使用正常的瓣交换弯钥;_洪 水攻击,向被攻击的主机发送 量的网络流量将一 2.2过渡技术引发的问题 IPv4和IPv6会在很长的一段时期内共存, IPv4向IPv6过渡基本有双栈协议和隧道技术 , 目前,这两种技术运行都不理想。双栈协议整个协 议栈的结构比较复杂,而且两种协议各自工作,同 时带来了存在于各自协议中的安全问题。另外,双 。/ 协议共存也容易引起混乱,使网络存在不确定的安 全隐患,也给了恶意用户更多攻击机会。隧道机制 也存在不少问题,如容易躲过入口过滤检测,对隧 道接口的攻击等。自动隧道机制尤其危险,因为任 -,ll 何来源的数据包都不经过检查就接受和封装蠢这 j、 会带来三种主要威胁:拒绝服务(DoS),反射DBS, 非授权访问。现在已经发现了从IPv4向IPv6过渡 时的一些安全漏洞,例如黑客可以使用IPv6非法 访问采用了IPv4和IPv6两种协议的LAN的网络 资源,攻击者通过安装了双栈的使用IPv6的主机, 建立由IPv6到IPv4的隧道,绕过防火墙对IPv4 进行攻击。 3需要解决的问题 在IPv6环境下,不可能彻底解决所有安全问题, 同时还伴随其产生新的安全问题,因此,保护网络 安全和信息安全是一个长期的系统工程。 网络管理保障了网络安全高效地运行,然而目 前缺少技术成熟的针对IPv6的网管设备和软件产 品。从而缺乏对IPv6网络的监测和管理、及对大 漱络故障定位和分析的手段。 (下转第75页) 2 O 1 2.0 3 田团圆圈}7c COMl,鼍JTER ECI 7RI Y 防护主要包括:物理边界、局域网边界、单机边界 和应用边界等防护,实践证明单个部件是不能很好 术防范措施,逐步消除失、泄密隐患。技术防范措 施可归纳为四个方面:一是加强物理环境与设施安 全措施;二是加强设备与介质安全措施;三是加强 地对网络安全进行防御的,只有将这些安全技术及 产品结合起来,多个部件协同工作,进行立体的网 络边界安全建设,才能达到保护整个网络安全的目 运行与开发安全措施;四是加强信息安全措施。 信息技术的高速发展,带给人们一种“高科技 恐惧症”,觉得高科技“防不胜防”,对保密工作失 去信心。但是“高科技”并不可怕,高新技术的基 础是基本的科学原理,科技再如何发展也不能违背 的。在我所的计算机网络系统应用中,采用一对单 独两芯光纤隔离物理边界;采用主机审计与监控系 统、域控服务器、中间转换机控制单机边界;采用 交换机控制局域网络边界;采用防火墙和文件流转 基本的原理和科学规律。只有充分利用信息技术手 段,加强技术防范措施,才能做好我所的计算机网 络系统信息保密管理工作。 权限控制应用边界。例如:配置主机审计与监控系 统、域控服务器、防火墙和中间转换机边界防护策 略;关闭交换机无用端口,绑定交换机端口与单机 MAC地址;配置OA办公系统公文使用权限,控 制公文流转信息流向。 参考文献 [j】胡道元,闭京华.网络安全.北京:清华大学出版社, 2004. [2]李卫,等,计算机网络安全与管理.北京:清华大学 4充分利用信息技术做好我所的计算机 网络系统信息保密技术防范措施 我们应该充分利用信息技术,采取有针对性的 技术防范措施,坚持多种技术防范,严把“进出口” 关的原则,加强我所的计算机网络系统信息保密技 出版社.2004. 作者简介:王新(1 967一),男,本科,高级工程师,主 要从事信息技术管理工作。 收稿日期:2O1 1—1 2--1 9 (上接第7O页) 另外,IPv6协议仍需在实践中完善,移动IPv6 也同样存在安全挑战。接下来,还需在进一步完善 协议,研究服务质量及安全性等一系列问题上下功 参考文献 [1]周逊.IPv6下一代互联网核心[ M】.北京:电子工业出 版社,2003. [2]将亮,郭建.下一代网络移动fP v6技术[M J.北京:机 械工业出版社,2005. 夫,研发IPv6网络下的防火墙、VPN、入侵检测 系统、漏洞扫描、网络过滤、防病毒网关等网络安 全设备,还需配合多种技术手段,如认证体系、加 密体系、密钥分发体系、可信计算体系等等。 IPv6是国际公认的、开放的标准,其实际应 用还需假以时日,我国要加紧参与国际IPv6研究, [5】(美)Davie s J.深入解析JPv6[V】.北京:人民邮电出版 社,2009. [4]段忠祥,王立杰.浅析IP v6的安全问题[J】.广西轻工 业,2008(1 2):85. [5】耿健.IPv6协议及其网络安全性研究[J].电子元器件应 用,201 0,1 2(9):78. 争取为未来IPv6顶级地址分配单位之一,这样既 完全解决了地址申请问题,又可使在我国设立域名 解析根服务器成为可能。@ 作者简介黄悦(1 985-),女,硕士,研究方向:信息安全。 收稿日期:201 1—1 2—29