APP下载

关于IPv6的安全性分析

2014-08-15王文溥

长治学院学报 2014年5期
关键词:报文防火墙加密

王文溥

(长治学院 计算机系,山西 长治 046011)

1 引言

IPv6相对于IPv4,在细节上进行了改进和提升。其中包括:第一,IPv6比IPv4使用的网络地址更大,数据报头部的格式更加新颖。第二,IPv6将IPv4中使用的含有变长的可选项的头部进行了改良,改为使用规范的定长的头部处理可选信息。

IPv6主要特性表现在以下五个方面:Addvesisize、Headver Format、Excension Header、Supportforawd and以及Excensible Proload。

2 IPV6的安全体系架构

IPSec安全性服务的系统构成有AuthenticationHeader、封装安全性净荷头(EncapsulatingSecurityPayloadHeader)、密钥管理协议的安全机制。AH在IP身份验证头(RFC4302)中得到阐述,ESP头在RFC4303和RFC4305中对得到阐述。以上这些也只是安全体系架构的第一层。

各安全性头可单独也可一起使用。在AH放在ESP头前面时,可以同时使用多个扩展头,此时,必须先通过身份验证,再净荷解密ESP头。在IPSec隧道的应用中,大部分的扩展头可嵌套在一起进行,也就是源节点对IP包进行加密和数字签名,在发送给本地安全性网关后,这个网关第二次实施加密和数字签名,再发送给其他安全性网关。

在实际应用中,还有一点是不容忽视的,即ESP头与AH在IPv4和IPv6中都是适用的。

3 IPv6安全性应用的现实性分析

3.1 公钥传递

IPv6协议的IPSec需求在RFC4301有所界定,但并没有关于密钥交换途径的规定。因此,通过手动设置主密钥来完成,但因其需要耗费大量的时间,并不适合大规模的应用。所以,可以选择通过使用一台中心授权服务器来实现。在大量的实际应用中,中心授权服务器的使用还存在一些问题和缺陷。

3.2 防火墙和入侵检测系统

IPv6的优势之一就是端到端的IPSec,然而,ESP加密的方式会增大防火墙的安全威胁:在包是端到端加密的情况下,防火墙要实现绕过密码直接对包进行监测。在系统中心放置加密密钥则会导致网络出现中心漏洞。可行性的解决途径是:单独设立专有服务器来存储攻击者的信息和数据,客户端将这些数据库进行下载,计算机对其进行检测,当出现与数据库类相同的内容时就发起警报。

3.3 兼容性

随着互联网的普及使用,从IPv4转化到IPv6是需要一个过程的。就IPv6来说,绝非是一个简单的升级,并不是从IPv4直接升级成为了IPv6,通过比较分析我们可以看到,其头部特性和匹配地址的机制是存在差异的,这两种机制并不是彼此兼容的。所以,怎样将IPv4完美转化到IPv6是需首要解决的问题,也成为了相关业内人士共同研究的话题。

4 IPv6的企业安全性模型

互联网日益普及,而且,因为业务上的需求,NAT的使用范围更为广泛,在这种情势之下我们也要对IPv4做客观的分析。在实践应用中,IPv4的安全性能正在逐步降低,带来许多的不稳定因素,严重影响到了其安全性。而作为IPv6,暴露的部分问题还是可以做出有效的处理和解决的。假设必须要对外部的隐藏网络进行拓扑,那就不应该再利用NAT相关技术,而应采用privateaddressing等技术。

在先前的IPv4网络内,其安全模型是边界防火墙和NAT的集成。而在IPv6网络内,应当构建一个更为科学有效的模型来确保整个网络的安全性,而且,需要强化端口之间的联络水准。在IPv6中,无论哪个节点都是拥有IPSec能力的。全部依靠防火墙显然不行。一旦黑客进到了防火墙后的网络,就会完全悉知整个网络内容,不但信息安全得不到保证,同时,给整个网络安全带来巨大的隐患。要构建健全的模型,必须要发挥节点、可信主机、核心安全策略库这三者的功效,有机统一在一起,从而形成建立在网络ID基础之上的身份验证体系。与此同时,防火墙的作用还能进一步挖掘,但现实情况是,单纯依托它是不够的,需要将其和节点防火墙结合起来,形成一个综合性、分布式的安全网络。

5 IPV6在下一代互联网中存在的问题研究

5.1 运用TCP协议的不足

当前最为流行的运用TCP协议不足进行攻击的形式就是SYNFlood攻击,具体来说,就是同一时间发布大量的假的TCP链接请求,导致内存资源或者CPU资源耗费完。黑客首先给主机发布大量假地址的含有SYN标识的TCP报文。而主机则会向这一地址发送AYN+ACK报文,但是,由于地址是假的,所以,它不会返回到最终的ACK报文,主机等待之后,会再次发送AYN+ACK报文,而那些没有进行完的链接就会进行列队,等候再次发送。同时,这些没有进行完的链接在列队中存在时间上的间隙,通常的再次传送次数和超时机制应付不了那些恶意的大量的TCPSYN报文,这样就导致这种时间上的间隙被完全占据。此时服务器就会来处理这些链接,从而没法响应那些新的请求,资源也就耗费完了。这种问题的缘由在于TCP协议自身存在不足,目前,IPv6也不能解决这一问题[5]。

5.2 网络病毒

在IPv6中,地址有128位,显然,其长度是比较长的,这样就保证了病毒不能凭借对地址段的扫描来攻击主机,从一定程度来说,降低了网络病毒对安全性的威胁。但我们也要客观地看到,在IPv6中,许多关键性的服务器或者是主机都是通过了路由器的,所以,它们的IP地址存在着很大的风险,比较容易就被攻击了。因此,关键性的服务器或者是主机的安全防控十分必要,假设被攻击,会对整个网络产生威胁。

5.3 对应用服务的威胁

在IPv6中,其加密和安全机制主要是在传输以及网络层起作用,由于安全性并不是单一的,而是多方面、多层次的,而互联网本身和运用管理系统的不健全,这就导致无论如何推行IPv6,也不能从本质上来解决所有层面的安全隐患。

5.4 拒绝服务DoS的攻击

拒绝服务攻击指的是:通过某种强制性的手段,刻意来对协议进行攻击,或者是刻意来消耗对象的相关资源。其目的是,促使计算机或者是网络的服务以及访问资源功能丢失,导致系统停止运作,甚至导致系统崩溃。它并不是要获取攻击对象的资源,而是要毁坏相应的资源或设备。

在IPv6网络中,由于其组发地址的方式比较特殊,就很可能受到攻击。比方说,其地址FF01::1代表着全部的动态地址分配服务器,假设给这一地址发布IPv6报文,而这个报文就能传达到整个网络中的动态地址分配服务器中。

除此之外,认证以及加密都是要计算的,为了确保安全稳定,加密的密匙就需要长一些,而此时的计算量就会变大。而在目前,COU主频的增长速率是远小于网络带宽的速率的,假设黑客给主机发布大量的恶性或者是没有的加密包数据,那么,CPU就会花费大量时间来分析这些数据包,此时,其它请求就无法做出反应。

总的来说,在IPv6下一代的互联网中确保网络的安全和稳定,就必须要有一套完善、科学、有效、全面的安全体制,以网络体系为基础,确保在设计阶段、推行阶段以及客户应用阶段的安全和稳定,与此同时,对管控的基础作用要加以重视,严格区分权限和层次两方面,必须重视规则和体制,要全方位结合起来,以此来保证网络的安全性和稳定性。

[1]张贵军.基于I Pv6协议的网络安全问题探讨[J].微计算机信息.2011,12(2):35-38.

[2]谢馥嘉.新一代互联网通信协议I Pv6安全性研究[J].科技信息.2011,14(6):46-47.

[3]苏晓浅.析I Pv6的安全机制对现有网络安全体系的影响[J].通信电源技术.2010,04(3):23-24.

[4]王艳华、左明.基于I Pv6的互联网安全问题探讨[J].网络安全技术与应用.2011,02(5):30-33.

[5]黄春颖.从I P V4到I P V6过渡时期的安全隐患研究[J].电脑知识与技术.2011,02(4):29-30.

(责任编辑张剑妹)

猜你喜欢

报文防火墙加密
基于J1939 协议多包报文的时序研究及应用
一种新型离散忆阻混沌系统及其图像加密应用
CTCS-2级报文数据管理需求分析和实现
构建防控金融风险“防火墙”
浅析反驳类报文要点
一种基于熵的混沌加密小波变换水印算法
ATS与列车通信报文分析
认证加密的研究进展
在舌尖上筑牢抵御“僵尸肉”的防火墙
基于ECC加密的电子商务系统