IPv6的安全機制對現(xiàn)有網(wǎng)絡安全體系的影響

IPv6 作為新版IP 協(xié)議，不僅很好地解決了目前IP 地址匱乏的問題，而且由于加密和認證機制的引入，使其在網(wǎng)絡層的機密性、完整性方面有了更好的改進。因此，可以說IPv6 實現(xiàn)了網(wǎng)絡層安全。但這種安全不是絕對的，文中對IPv6 的安全特性進行初步探討，指出IPv6 的廣泛應用還有待進一步的深入研究。

1 IPv6 安全機制

1 .1 IPv6 定義

IPv6(Internet Protocol Version 6 )是IETF 設計的用于替代現(xiàn)行版本IPv4 協(xié)議的下一代IP 協(xié)議。目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP 協(xié)議族，其網(wǎng)絡層的協(xié)議就是IP，同時也是TCP/IP 協(xié)議族的核心協(xié)議。隨著電子網(wǎng)絡技術的發(fā)展，計算機將逐漸進入人們的日常生活，我們的生活點滴都將進入Internet，正是在這樣的環(huán)境下，IPv6 應運而生。

1 .2 IPv6 特點

IPv6 是可以無限制地增加IP網(wǎng)址數(shù)量，并且擁有卓越網(wǎng)絡安全性能和巨大網(wǎng)址空間等特點的新一代互聯(lián)網(wǎng)協(xié)議。特點表現(xiàn)為:

(1)地址空間巨大:IPv6 地址空間由IPv4 的32位擴大到128 位，地址空間增大了2 的96 次方倍。

(2)地址層次豐富且分配合理:IPv6 的終端管理機構(gòu)將某一確定的TLA分配給某些骨干網(wǎng)的ISP，然后骨干網(wǎng)ISP 再有選擇性地為各個中小ISP 分配NLA，而Internet 用戶則從中小ISP 獲得單一的IP 地址。

(3)靈活的IP 報文頭部格式:IPv6 用固定格式的擴展頭部取代了IPv4 中可變長度的選項字段，并且選項部分的出現(xiàn)方式也有所變化。

(4)提高IP 層網(wǎng)絡安全性能:IPv6 要求強制實施Internet 網(wǎng)絡安全協(xié)議IPSec ，并將其標準化。該協(xié)議支持驗證頭協(xié)議、封裝安全性載荷協(xié)議和密鑰交換IKE 協(xié)議，這3 種協(xié)議將是未來因特網(wǎng)的安全標準。

IPv6 除擁有上述特性以外，還具有無狀態(tài)自動配置、簡化報文頭部格式、支持多類型服務以及允許協(xié)議繼續(xù)演變等特性。

2 IPv4 協(xié)議與IPv6 協(xié)議比較

2 .1 IPv6 協(xié)議優(yōu)勢

IPv6 協(xié)議相對于IPv4 協(xié)議優(yōu)勢體現(xiàn)在:一是具有更大的地址空間;二是使用更小的路由表;三是增加了增強的組播(Multicast )支持和對流的支持(FlowControl );四是加入了對自動配置(Auto Configuration)的支持;五是具有更高的安全性。

2 .2 IPv4 與IPv6 表示方法及功能的比較

IPv6 協(xié)議是對IPv4 協(xié)議的修改和擴充，從根本上解決了IPv4 網(wǎng)絡地址枯竭和路由表急劇膨脹等問題。

2 .3 IPv4 與IPv6 的地址類型與分配方式的比較

IP 地址是一種等級地址，IPv4 的32 位地址被分成網(wǎng)絡地址和主機地址，其地址分配采用基于類別的方式，主要有三種方式:A、B 和C，以及2 種特殊的網(wǎng)絡地址D 和E。IPv6 的地址長度為128 位，IPv6 地址也有3 類，即單播地址、組播地址和泛播地址。與IPv4 采用塊狀地址分配方式相比，IPv6 協(xié)議可根據(jù)用戶的需要進行層狀地址分配。

2 .4 IPv4 與IPv6 的安全策略比較

IPv4 作為一種簡單的網(wǎng)絡互通協(xié)議，存在一系列的安全漏洞，應用程序只能通過自身攜帶的私有性和認證性操作機制才能完成安全性操作。IPv6 則全面支持IPsec ，這要求提供基于標準的網(wǎng)絡安全解決方案，以便滿足和提高不同的IPv6 協(xié)議實現(xiàn)協(xié)同工作能力。IPsec 通過正確使用封裝安全性凈荷頭(ESP)和身份驗證頭(AH)來實現(xiàn)如下安全*:①訪問機制;②無連接的完整性;③數(shù)據(jù)源身份驗證;④對包重放攻擊的防御;⑤加密;⑥有限的業(yè)務機密性。

3 IPv6 的安全機制與現(xiàn)有網(wǎng)絡安全體系

IPv6 的安全機制及其對現(xiàn)有網(wǎng)絡安全體系的影響表現(xiàn)在:一方面，網(wǎng)絡急劇發(fā)展引起IPv4 在資源設計上的有限性凸顯，直接引發(fā)網(wǎng)絡地址不足的危機，并且這個危機正日益呈現(xiàn)加劇趨勢;另一方面，出于對安全和信息私密性的考慮，越來越多的商業(yè)機構(gòu)和政府部門不再愿意在不安全的網(wǎng)絡上發(fā)送他們敏感的信息和進行明文的信息交流，從而導致對加密和認證需求的飛速增長。

3 .1 現(xiàn)行IP 網(wǎng)絡的安全性

IPv6 的安全機制對網(wǎng)絡層的安全性，有如下三個公認的指標:(1)身份驗證;(2)完整性;(3)機密性。完整性和身份驗證經(jīng)常緊密聯(lián)系，而機密性則經(jīng)常通過使用公共密鑰加密來實現(xiàn)，這樣也有助于對源端進行身份驗證。除了上述三點以外，為了確保網(wǎng)絡安全，還應解決下列威脅網(wǎng)絡安全的問題:(1 )拒絕服務攻擊;(2)愚弄攻擊:即實體傳送虛假來源的包。

3 .2 IPv6 對于網(wǎng)絡層安全的增強

現(xiàn)行的IPv4 協(xié)議很難保證英特網(wǎng)的安全，而與之對應的IPv6 則對所有的命令和執(zhí)行程序都有安全方面的考慮，并且提供基于網(wǎng)絡層上的加密和認證機制，這種機制對于網(wǎng)絡層以上的應用是不可見的。IPv6的安全主要由IP 的AH 和ESP 標記以及正確的相關密鑰管理協(xié)議來實現(xiàn)。

(1)認證報頭

IPv6 協(xié)議通過AH 使數(shù)據(jù)包的接收者可以驗證數(shù)據(jù)是否真的是從其源地址發(fā)出的，并對傳送數(shù)據(jù)提供密碼驗證或完整性測試。AH 的作用如下:(1 )為IP 數(shù)據(jù)包提供強大的完整*;(2 )為IP 數(shù)據(jù)包提供強大的身份驗證;(3 )如果IPv6 在完整*中使用了公鑰數(shù)字簽名算法，AH 可以為IP 數(shù)據(jù)包提供無可推卸的服務;(4)通過使用順序號字段來防止重復攻擊。AH 可以在傳輸模式和隧道模式下使用，這意味著它不僅可用于為兩個節(jié)點間的直接的數(shù)據(jù)包傳送提供身份驗證和保護服務，而且還可用于對發(fā)給安全性網(wǎng)關或由安全性網(wǎng)關發(fā)出的全部數(shù)據(jù)包流進行封裝。

(2)封裝化安全凈荷

除了認證報頭之外，IPv6 還提供了一個標準的擴展頭，即封裝化安全凈荷(ESP)，用于網(wǎng)絡層實現(xiàn)端到端的數(shù)據(jù)加密，以對付網(wǎng)絡竊聽。一般而言，ESP 報頭提供了幾種不同的服務[4]:(1)通過加密提供數(shù)據(jù)包的機密性;(2)通過使用公共密鑰加密對數(shù)據(jù)來源進行身份驗證;(3 )通過由AH 提供的序列號機制提供對抗重放服務;(4)通過使用安全性網(wǎng)關來提供有限的業(yè)務流機密性。ESP 使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標準(DES-CBC)。任何其它的適當算法如各種RSA算法等也可以使用。

3 .3 IPv6 的安全機制對現(xiàn)行網(wǎng)絡安全體系的新挑戰(zhàn)

盡管IPv6 具有諸多優(yōu)點，但并不能確保系統(tǒng)的安全運行。原因有很多，最重要是由于網(wǎng)絡安全是一個包含著各個層次，各個方面的問題，而不是一個僅僅由安全的網(wǎng)絡層就可以解決的問題。即便僅僅從網(wǎng)絡層來看，IPv6也不是完美的。畢竟它還保留著很多原來IPv4 中的選項和服務功能，如分片、TTL 等。而黑客曾經(jīng)用這些選項去攻擊IPv4 協(xié)議或者逃避檢測，所以不能保證IPv6 能夠逃避得了類似的攻擊。同時，由于IPv6 引進了加密和認證機制，還可能引起新的攻擊方式。

4 結(jié) 論

綜上所述，IPv6 既很好地解決了IP 地址匱乏的問題，也簡化了協(xié)議報頭，并且成功引入了兩個新的擴展報頭AH 和ESP。它們幫助IPv6 解決了身份認證問題，數(shù)據(jù)完整性和機密性的問題，使IPv6 真正實現(xiàn)了網(wǎng)絡層安全，這相對于IPv4 而言是一大進步。但是，由于IPv6 安全機制尚未成熟，這些安全機制對于當前的網(wǎng)絡安全體系造成了巨大的沖擊。因此，為了適應新的網(wǎng)絡協(xié)議和新的發(fā)展方向，尋找新的解決網(wǎng)絡安全問題的途徑變得異常急迫。

來源：21IC電子網(wǎng)