APP下载

基于IPv6下的网络安全研究与应用

2022-06-25李泉朱熹陶科

南北桥 2022年4期
关键词:子网路由器数据包

李泉 朱熹 陶科

[ 作者简介 ]

李泉,男,湖北武汉人,湖北日报传媒集团,工程师,本科,研究方向:网络安全。

朱熹,男,湖北武汉人,湖北日报传媒集团,助理工程师,本科,研究方向:网络安全。

陶科,男,湖北武汉人,湖北日报传媒集团,助理工程师,本科,研究方向:网络安全。

[ 摘要 ]

IPv6属于新兴的网络协议,该技术引起了许多国家和研究单位的关注。在应用IPv6协议的同时,也给网络安全带来了全新的挑战,在新环境下怎样才能够保证网络世界的安全,安全传输网络数据、保证信息交换的安全等,都是目前需要解决的网络安全问题。本文从网络安全方面入手,对IPv6协议进行了研究,首先介绍了该协议的优势,然后分析了其存在的安全问题,最后以此为基础,提出了相应的改进策略,以供参考。

[ 关键词 ]

IPv6协议;网络安全;研究应用

中图分类号:G3

文献标识码:A

DOI:10.3969/j.issn.1672-0407.2022.04.063

在不断发展信息技术的同时,计算机网络最关键的功能就是共享资源,因此也凸显了信息安全问题的重要性。根据相关报道可以得知,计算机网络经常会遇到入侵问题。破坏信息系统会给企业造成巨大的经济损失。每年在全球造成的损失达到了数百亿美元,这种破坏越来越严重。所以,为了避免黑客对电脑保密程序的攻破,使计算机和网络系统的运行更加安全,就需要做好对安全问题的研究,其现实意义十分重要。

1 IPv6网络安全研究

在IPv6网络以往的体系构架中,为了保障网络安全,大多会应用具有安全防范功能的应用层,或是加密邮件,数据加密主要发生于网页访问期间,并没有处理网络层。LEFT在1995年应用了具有安全规范功能的IP层,也就是IPSEC在IPv6中通过对IPSEC协议的集成,为IPv6构建了相应的安全体系,其核心就是IPSEC。

1.1 IPv6网络安全优势——IPSEC

IPv6最显著的特征就是对IPSEC的集成,意味着IPv6的安全服务更加完善,能够保障数据的安全来源,确保安全连贯的传输数据,并且可以访问控制相关数据,进而避免重复发送数据带来的影响。

IPSEC的结构中包含了三种主要的协议,也就是AH、ESP和ISAKMP这三种协议。AH协议能够保证完整的传输信息数据,并且能够从来源方面实现对信息数据的准确判断。而应用ESP协议可以加密数据包,如此可以获取到安全的信息数据。AH和ESP这两种协议在进行交流的过程中,ISAKMP协议可以起到保护信息数据的作用。

1.2 安全加载封装

ESP具有全加密數据包的功能,因此可以安全地传输信息,避免他人的恶意监听,想要打开内容的用户必须输入密钥。ESP还具有AH的认证和保证完整数据的功能。ESP采用了数据加密DES-CBC标准,此类标准可以认证数据来源等,包括RSA算法在内的其他适当算法也具有此类功能。

不仅可以单独使用ESP,还可以同时使用P认证头,ESP头的列域如下:

安全参数索引:能够实现对安全协作体的标识。序列号:该计数器值呈线性增加趋势。核载数据:8位长度的整数倍。填充:用来指定数据在加密前填充,能够使填充长度和下一头域的结束位置32位整数处。填充长度:填充在表示前的字数。下一头:该数据属于荷载数据。认证数据:其中所包含的检查值具有完整性。

1.3 密钥交换协议

IKE的建立离不开密钥管理协议,通信双方可以对安全参数进行协商,并对安全协议框架进行建立。最终所获取到的IKE密钥或SA安全协议是经过验证或经过双方同意的。对于AH和ESP来说,整个安全机制都需要通过密钥管理来保障其安全性。IKE在对SA进行协商建立之前,必须认证通信双方。在IKE中可以实现对DSS、RSA这两种签名的预定义和加密,并且可以对RSA加密进行改进等等。除了在密钥的预共享环节,其他环节Ca认证机构很少以特定形式参与,涉及复杂的实现过程。在密钥的预共享环节,通信双方需要提前对某个密钥进行共享,此类方法在小型网络中较为适用。

1.4 ESP头的处理

在处理ESP头的过程中,主要包含的处理方式有解密和加密,与AH头的处理十分相似。在进行封装的过程中,应当采用科学合理的协议模式和验证算法,封装内容和封装格式应当以ESP报文为标准,最后,应当对ESP前所有IP头的和进行重新计算,最终可以获取到相应的IP包。接收:携带ESP头的IP数据包在发送到目标节点后,所发送的如果是一个分段,就必须进行保留,直到收集完所有分段为止,并对IP包进行完整的装配。同时需要在ESP头中检查SPI是否存在对应的SA,如果答案是否定的,那么该IT包就不能使用。然后结合相应的序列号进行检查,判断该IT包是否具有传播性,如果答案是肯定的,那么也不能使用此包。相反的,通过对相关密钥的使用,向身份验证器传递该完整包,并由其负责身份验证,然后根据所获取到的验证结果对比相应的身份验证数据,如果结果一致,那么就可以采用SA中的密钥和解密算法解密该IP包。相反的话,此包就不能使用。在成功验证解密身份之后,应当检查结果数据包的模式,对比此包模式与SA中的说明是否相符,如果结果是否定的,那么此包就不能使用。最后,需要验证此包是否正确,并对其进行拆分还原,如此可以实现对真实原始数据的获取。在处理数据包的过程中,IPSEC可以保证IP层具有安全的数据。

2 IPv6网络安全保障存在的问题

2.1 网络安全过渡技术问题

由于长期以来我国一直采用的是IPv4网络,该网络具有较大的影响力和较强的渗透力,随后诞生的IPv6网络必定可以提升人们获取和存储网络资源的速度和强度,但是,IPv4在转化成为IPv6期间遇到了各种问题,其中有许多网络技术难关难以攻破。在升级换代网络期间,由于最初使用的网络设备所采用的是IPv4协议,因此必须全面升级路由器和软硬件,如此才可以实现对IPv6协议网络的正式使用,这也意味着这项工程的复杂性较强,并且需要花费较长的时间。在这一过程中,其内外部都存在安全漏洞,也必定会遇到拒绝服务和中间人等因素带来的影响。

2.2 IPv6网络自身的安全问题

从本质上来说,Ipv6属于新型网络的一种,在调试期间依然发现许多安全问题有待完善。除此之外,IPv6网络架构与IPv4十分相似,IPv6网络中出现了许多IPv4网络没有解决的问题。并且在不断扩充网络地址的过程中出现了各种新型问题,因此,许多新出现的问题仍未得到有效解决。

首先,依然存在DNS攻击,甚至情况更为严重。在IP网络中,安全问题和安全隐患依然十分严重,出现了更多的DNS黑客攻击问题,对IPv6网络造成了严重的影响,无法保障其安全性。此外,依然没有解决异常网络流量问题。IPv4网络转变为IPv6网络以及实际使用IPv6网络期间,经常可以看到这一问题。再加上在实际应用IP理念网络的过程中,存在的机制缺陷依然有许多,新型网络输入到传输层和数据链路层后,经常会遇到异常流量攻击问题。

3 IPv6网络安全保障策略

3.1 在过渡期提升安全防范系数

在将IPv4网络转变为IPv6网络的过程中,网络环境和安全漏洞十分脆弱、烦多,在这一过程中,应当采用最高级别的安全防范系数。在过渡时期想要实现对安全网络防范系数的提升,就应当做好对网络安全环境的全面改善,统一规划支撑系统和运营平台,按照IPv6网络的标准,对安全检测性能进行提升。

针对支撑系统来说,相关人员应当采用安全系数更高的支撑系统,借助当前的安全保障体系,为DNS系统提供全面的安全保障。IPv6网络中的DNS系统与IPv4网络相同,因此,在研发IPv4网络期间用于防护和保护DNS系统的措施和技术也可以在IPv6网络中使用,只需采用IPv6协议的接入端参数即可。

在规划运营平台的过程中,相关人员应当在过渡期统一规划和部署网络平台的运营,按照IPv6协议的标准调整IPv4以往所采用的网络安全运营平台,并且需要做好对IPv6网源和IPv6安全设备的充分利用,做好对安全检测技术的加强提升,将安全检测技术应用到各个环节,如此可以使IPv4网络更加安全地转变为IPv6网络,如此也可以为IPv6网络環境建立有效的安全保障体系。

3.2 实施防火墙简化安全过滤规则

部分主机具有良好的安全敏感性,在局域网中,这些主机经常会遇到一些强制传输过来的外部流量,想要解决这个问题可以应用IPSEC。如果通信结构中不包含IPSEC框架,那么就会被防火墙丢弃。如此可以简单地结合防火墙和IPSEC。防火墙根据目标地址,就能够在数据包进入前检测其中是否存在AH或ESP,然而,其并不具有下一环节处理功能。

在安全过滤规则方面,通过防火墙的简化,其在处理数据包时只需要经过子网1和子网2的处理流程。子网1可以过滤出安全信息,子网1可以过滤处理需要发送的内容,赋予前端端口号全新的信息,将过滤级别加入其中,为接下来的运作提供过滤凭证。随后,子网1在过滤计算其中信息的过程中,会对信息进行检索和测算,并在网域内存储计算结果,最终加密和验证该数据包。子网2在过滤安全信息时,数据包在经过子网1的处理后会发送给子网2,并由其负责确认该数据包是否完整。子网2确认数据包具有完整的数据和信息后,会对多余的信息进行过滤。多余的信息就是子网1中未设置的各类信息数据,例如源端口和目的地址等。在过滤完这部分后,子网2通过对IPSC技术的运用,可以解密和认证数据包,最终以网络安全要求为标准实施重新过滤。

3.3 采用屏蔽主机网关防火墙系统

在设计该系统的过程中,需要在局域网和外界网的子网中间,配置单个分组过滤路由器和基站主机。在这期间,需要在局域网络中设置一个基站主机,然后将分组过滤路由器放置于基站主机和外网间。分组过滤路由器所采用的过滤原则如下:IPSEC隧道以基站主机为中点,而外部主机只能够与基站主机连接。局域网内的其余所有流量都会被子网阻止,而分组过滤路由器并不具有验证和解密分组数据的功能,所以只是进行简单的过滤。

基站主机是唯一能够介入外部主机的接口,基站主机在验证解密过滤完数据包后,分组过滤路由器就无需再实施这些操作。如此,该路由器就只负责过滤明文信息,在完成信息解密后,由基站主机负责过滤工作。

主要涉及如下步骤:

3.3.1 分组过滤路由器在接收到外部网络数据后会对其进行检查,主要检查的内容为网关地址和原地址等等。然后结合相应的过滤规则,选择转发或丢弃数据包。

3.3.2 如果数据包来自分组过滤路由器,在发送到基站主机后,内部数据会涉及两种身份验证情况:一是成功验证数据后进行解密过滤;二是数据验证失败后,失败的数据会被丢弃。

3.3.3 最后,根据先前条件对数据进行验证,经过验证后,数据才能够通过基站到达各内部子网主机中。

4 结束语

根据上文内容可以得知,IPv6地址可以使互联网的发展更加稳定持久,具有十分重要的作用。IPv6内部的IP地址资源十分庞大,除了可以将单独的IP地址提供给终端外,还可以在发生问题时实现对IP来源的快速查找,可以开展更加高效、高质量的网络工作,为网络安全提供有效保障。但是目前在应用IPv6技术的过程中,依然遇到许多问题,这些问题会引发非法用户攻恶意攻击网络安全,所以相关人员应当做好对该技术的深入研究,不断地完善IPv6技术,尽量为用户提供一个安全的网络环境,如此可以加快IPv6的发展速度。

参考文献

[1]檀小璐,娄雨. 基于IPv6环境下的网络安全关键技术研究[J]. 电脑知识与技术,2016,12(34):47-48.

[2]杜学凯,吴承荣,严明. IPv6环境下的IPSEC通信安全审计机制研究[J]. 计算机应用与软件,2017,34(1):298-305,320.

[3]任宏晖,李英壮,李先毅. IPv4-IPv6过渡技术下基于CIDF的入侵检测系统研究[J]. 广西大学学报(自然科学版),2011,36(51):190-194.

[4]王晓晔,金义富,石艳. 基于IPv6的IPsec安全体系结构的研究[J]. 网络安全技术与应用,2008(7):24-26.

[5]沈亮,张艳,顾健. 物联网网络层中基于IPv6的信息安全产品发展趋势研究[J]. 信息网络安全,2012(8):38-40.

猜你喜欢

子网路由器数据包
买千兆路由器看接口参数
路由器每天都要关
子网划分问题研究及应用
SmartSniff
无线路由器的保养方法
子网划分的简易方法
基于安全协议的虚拟专用子网研究
视觉注意的数据包优先级排序策略研究
无线路由器辐射可忽略
移动IPV6在改进数据包发送路径模型下性能分析