当前位置:文档之家› IPV6安全机制

IPV6安全机制

IPV6安全机制
IPV6安全机制

IPv6的安全机制及其对现有网络安全体系的影响

王玲,钱华林1

(中国科学院计算机网络信息中心 CNNIC 北京市 100080)

E-mail:lwang@https://www.doczj.com/doc/3d5370820.html,,hlqian@https://www.doczj.com/doc/3d5370820.html,

摘要IPv6不但解决了当今IP地址匮乏的问题,并且由于它引入了加密和认证机制,实现了基于网络层的身份认证,确保了数据包的完整性和机密性,因此,可以说IPv6实现了网络层安全。但是,这种安全并不是绝对的。并且由于IPv6的安全机制,给当前的网络安全体系带来了新的挑战,致使许多在现有的网络中对保护网络安全中起着重要作用的工具受到巨大的冲击,急需安全专家进一步研究和积累经验,尽快找出合适的解决方法。

关键字:计算机网络 IPv6 安全

IPv6 Security and Its Impact to Today’s Network Security Architecture

Ling Wang and Hualin Qian

(Computer Network Information Center, Chinese Academy of Sciences, Beijing 100080)

E-mail:lwang@https://www.doczj.com/doc/3d5370820.html,,hlqian@https://www.doczj.com/doc/3d5370820.html,

Abstract: IPv6 (Internet Protocol version 6) is the successor to IPv4, which is the current IP protocol version used on the Internet. IPv6 not only eliminate the address exhaustion problem, but also improve IP layer security because it supports two security mechanisms, Authentication Header (AH) and Encapsulating Security Payload (ESP). But the security mechanisms of IPv6 also make great impact to today’s network security architecture. Many of today’s network security tools such as filter firewall, NAT firewall and network based intrude detection system can not work with IPv6. The security experts have to find new way to protect the security of the next generation Internet.

Keyword:computer network IPv6 security

1 引言

由于IPv4在设计之初在资源限制上较为保守,所以现在Internet的爆炸性增长引发了网络地址不足的危机,并且这个危机正日益严重,按目前入网主机的增长速度,预计到2005年左右IP地址将被耗尽[1];另一方面,出于对安全和信息私密性的考虑,越来越多的商业机构和政府部门不再愿意在不安全的网络上发送他们敏感的信息和进行明文的信息交流,从

1本文受863新一代互联网技术综合试验环境(2001AA112130)资助

作者简介:

钱华林:男,1940年生,中国科学院计算机网络信息中心研究员,博士生导师。主要研究方向为计算机网络体系结构、先进网络技术等。

王玲:女,1973年生,河北省秦皇岛人,中国科学院计算技术研究所在读博士研究生。主要研究方向为计算机网络管理、网络安全。

而导致对于加密和认证的需求飞速增长。

为了解决这些问题,IETF从1992年起就开始了相关的研究,并于1994年提出了IPng 建议草案。1995年底IETF提出了正式的协议规范,这个规范又经过进一步的修改,成为今天的IPv6。IPv6采用了128位的地址空间,彻底解决IPv4地址不足的问题。为了加强安全性,IPv6中定义了认证报头(Authentication Header,AH)和封装化安全净荷(Encapsulating Security Payload,ESP),从而使在IPv4中仅仅作为选项使用的IPsec协议成为IPv6的有机组成部分。IPsec提供了两种安全机制:加密和认证[2]。加密是通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。认证使得IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。

可以说,正是由于IPsec的引入,使得IPv6在网络层的安全性上得到了很大的增强。但是它的应用也带来的一些新的问题,并且对于现行的网络安全体系提出了新的要求和挑战。

2 现行IP网络的安全性

对于网络层的安全性,有如下三个公认的指标[2]:

身份验证:能够可靠地确定接收到的数据与发送的数据一致,并且确保发送该数据的实体与其所宣称的身份一致。

完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改。

机密性:确保数据只能为预期的接收者使用或读出,而不能为其他任何实体使用或读出。完整性和身份验证经常密切相关,而机密性有时使用公共密钥加密来实现,这样也有助于对源端进行身份验证。

在现行的IP网络中,IPsec使用得并不普遍。所以在现在的网络中,伪装源地址是相当容易的,数据包的接收者根本就没有办法弄清楚数据包的源地址栏里所注明的主机是不是数据包的真正发出者。这就使得恶意的用户可以冒充其他人得到有用的信息。如果是经过仔细的策划,一个恶意的用户甚至可以因此取得服务器的控制权;而明码传输和存储转发的数据传输方式,使得“中间人”篡改正在传输的数据成为可能;在开放的网络中,数据包可能经过任意数量的未知网络,任一个网络中都可能有包嗅探器在工作,以明文的形式在网络上传播数据也毫无机密性可言。

除了以上的三点以外,为了确保网络安全,还应该解决下列威胁[2]:

拒绝服务攻击:例如,攻击者可能使某主机淹没于大量请求中,从而致使系统崩溃;或者重复传送很长的Email报文,企图以恶意业务流塞满用户或站点带宽。

愚弄攻击:即实体传送虚假来源的包。

而现在的IP网络对这两个问题也无能为力。

从以上的分析看来,现在的网络的安全性明显不足。如果网络仅作为研究工具,或者在研究、军事、教育和政府等管理得相对严格的环境中使用,缺乏安全性并不是一个严重的缺

陷。但是,随着IP网络在商用和消费中的重要性与日俱增,网络的安全性问题变得日益突出,亟待改善。

3IPv6对于网络层安全的增强

现行的IP网络很难保证Internet的安全,而且基于IPv4的Internet安全机制大多建立于应用程序级,如E-mail加密、SNMPv2网络管理安全、接入安全(HTTP、SSL)等。与之对应的是,IPv6的所有的命令和执行都有安全方面的考虑。并且,它提供了加密和认证机制。这些机制都是在网络层上实现的,对于网络层以上的应用是不可见的。这样,应用程序就不必了解这些安全机制的细节。

IPv6的安全主要由IP的AH(Authentication Header)和ESP(Encapsulating Security Payload)标记来实现。当然还要有正确的相关密钥管理协议。RFC1826(IP认证报头)中对AH 进行了描述,而ESP报头在RFC1827(IP封装化安全净荷(ESP))中描述。

3.1 认证报头

IPv6通过AH使数据包的接收者可以验证数据是否真的是从它的源地址发出的,并提供密码验证或完整性测试。缺省时它使用了一个加密的MD5算法,但是由于检验的机制与所使用的具体算法无关,任何实现都可以根据需要选用任何算法,如Sun公司将发布的v6.0 IPv6 Prototype就采用MD5验证报头。

AH的作用如下[2]:

为IP数据包提供强大的完整性服务,这意味着AH可用于对IP数据包所承载的数据进行验证。

为IP数据包提供强大的身份验证,这意味着AH可用于将实体与数据包的内容相关联。 如果在完整性服务中使用了公钥数字签名算法,AH可以为IP数据包提供不可抵赖服务。 通过使用顺序号字段来防止重放攻击。

AH可以在隧道模式和传输模式下使用,这意味着它既可用于为两个节点间的简单直接的数据包传送提供身份验证和保护,也可用于对发给安全性网关或由安全性网关发出的整个数据包流进行封装。在传输模式中,AH保护初始IP数据包的数据,也保护在逐跳转发中不变化的部分IP报头,如跳转极限字段或选路扩展报头。当AH用于隧道模式中时,初始的目的IP 地址与整个初始IP数据包一起,封装在全新的IP数据包中,该数据包再被发送到安全性网关。因此,整个初始IP数据包以及传送中不变的封装IP报头部分都得以保护。

3.2 封装化安全净荷

由于协议分析仪或“sniffer”的大量使用,恶意的用户可以截取网络上的数据包并且可以从中窃取数据。所以,除了认证之外,IPv6还提供了一个标准的扩展头--封装化安全净荷(ESP),在网络层实现端到端的数据加密,以对付网络上的监听。

ESP报头提供了几种不同的服务,其中某些服务与AH有所重叠[2]:

通过加密提供数据包的机密性。

通过使用公共密钥加密对数据来源进行身份验证。

通过由AH提供的序列号机制提供对抗重放服务。

通过使用安全性网关来提供有限的业务流机密性。

ESP使用的缺省密码算法是密码分组链接方式的数据加密标准(DES-CBC)。任何其它的适当的算法如各种RSA算法等也可以使用。它可以在主机之间或安全网关之间使用,以保证更多的安全。与AH类似,ESP既可用于隧道模式,也可用于传输模式。使用隧道模式时,ESP 报头对整个IP数据包进行封装,并作为IP报头的扩展将数据包定向到安全性网关。在传输模式中,ESP加密传输层协议报头(如TCP、UDP或ICMP等)和数据部分。

ESP报头可以和AH结合使用。实际上,如果ESP报头不使用身份验证机制,建议将AH和ESP 报头一起使用。在传输模式中,如果有AH,IP报头以及选路扩展报头或分段扩展报头都在AH 之前,其后跟随ESP报头,这样,首先进行身份验证,然后再对ESP解密。任何目的地选项报头可以在ESP报头之前,也可以在ESP报头之后,或者ESP报头前后都有,而ESP报头之后的扩展头将被加密。

通过对IPv6所提供的新的安全机制的介绍,我们可以看出,IPv6可以进行身份认证,并且可以保证数据包的完整性和机密性,所以在安全性方面,IPv6有了质的飞跃。

4 IPv6的安全机制对现行网络安全体系的新挑战

在前面的分析中,我们了解了IPv6优点,但是,这并不能说IPv6已经可以确保系统的安全了。这里面有很多原因,最重要的是,安全包含着各个层次,各个方面的问题,不是仅仅由一个安全的网络层就可以解决得了的。如果黑客从网络层以上的应用层发动进攻,比如利用系统缓冲区溢出或木马的方法,纵使再安全的网络层也与事无补。

即使仅仅从网络层来看,IPv6也不是十全十美的。它毕竟同IPv4有着极深的渊源。并且,在IPv6中还保留着很多原来IPv4中的选项,如分片,TTL。而这些选项曾经被黑客用来攻击IPv4协议或者逃避检测,很难说IPv6能够逃避得了类似的攻击。同时,由于IPv6引进了加密和认证,还可能产生新的攻击方式。比如大家都知道,加密是需要很大的计算量的。而当今网络发展的趋势是带宽的增长速度远远大于CPU主频的增长。如果黑客向目标发送大量貌似正确实际上却是随意填充的加密数据包,被害者就有可能由于消耗了大量的CPU 时间用于检验错误的数据包而不能响应其他用户的请求,造成拒绝服务。

另外,当前的网络安全体系是基于现行的IPv4协议的。当前防范黑客的主要工具,有防火墙、网络扫描、系统扫描、 Web安全保护、入侵检测系统等。IPv6的安全机制对他们的冲击可能是巨大的,甚至是致命的。

4.1 防火墙

当前的防火墙有三种类型:包过滤型,应用代理型和地址转换型。除了应用代理型防火墙工作在应用层,受到IPv6的影响比较小之外,其他的两种都受到了几乎是致命的冲击。

地址转换型防火墙:它可以使局域网外面的机器看不到被保护的主机的IP地址,从而使防火墙内部的机器免受攻击。但由于地址转换技术(NAT)和IPsec在功能上不匹配,很难穿越地址转换型防火墙利用IPsec进行通信[3]。当采用AH进行地址认证时,IP报头也是认证的对象,因此不能做地址转换。当只用ESP对分组认证/加密时,因为IP报头不在认证范围内,乍一看地址转换不会出现问题,但即使在这种情况下也只能作一对一的地址转换,而不能由多个对话共用一个IP地址。这是因为ESP既不是TCP也不是UDP,不能以端口号的不同进行区分的缘故。此外,在用UDP实现ESP的情况下,因双方都要求源端口号和目的端口号为500,如进行地址转换就要变换端口号,则不能正常工作。

包过滤型防火墙:基于IPv4的包过滤型防火墙是依据数据包中源端和目的端的IP地址和TCP/UDP端口号进行过滤的。在IPv4中,IP报头和TCP报头是紧接在一起的,而且其长度基本是固定的,所以防火墙很容易找到报头,并使用相应的过滤规则。然而在IPv6下TCP/UDP报头的位置有了变化,IP报头与TCP/UDP报头之间常常还存在其他的扩展报头,如路由选项报头,AH/ESP报头等。防火墙必须逐个找到下一个报头,直到TCP/UDP报头为止,才能进行过滤,这对防火墙的处理性能会有很大的影响。在带宽很高的情况下,防火墙的处理能力就将成为整个网络的瓶颈[4]。

使用了IPv6加密选项后,数据是加密传输的,由于IPsec的加密功能提供的是端到端的保护,并且可以任选加密算法,密钥是不公开的。防火墙根本就不能解密。因此防火墙就无从知道TCP/UDP端口号。如果防火墙把所有的加密包都放行的话,其实也就为黑客穿刺防火墙提供了一条思路:防火墙不再能够限制外部的用户所能访问的端口号了,也就是不能禁止外部用户访问某些本不应该对外提供的服务了。

4.2 入侵检测

一般来说,入侵检测(IDS)是防火墙后的第二道安全屏障。按照审计数据来源的不同,IDS分为基于网络的IDS(NIDS)和基于主机的IDS(HIDS)。

NIDS直接从网络数据流中截获所需的审计数据并从中搜索可疑行为[5]。它能够实时得到目标系统与外界交互的所有信息,包括一些很隐蔽的端口扫描和没有成功的入侵尝试;此外,由于NIDS不在被监视系统中运行,并且使用被动监听的工作方式,所以它不容易为入侵者所发觉,因此它所收集的审计数据被篡改的可能性很小,并且它不影响被保护的系统的性能。但是在对待被加密的IPv6数据方面,NIDS有着和包过滤防火墙同样的尴尬[4]。所以,如果有黑客使用加密之后的数据包进行攻击,NIDS就很难抓到什么蛛丝马迹了。

HIDS运行于被保护的主机系统中,监视文件系统或者操作系统(OS)及各种服务生成的日志文件,以便发现入侵踪迹[5]。它通常作为用户进程运行,其正常运行依赖于操作系统底层的支持,与系统的体系结构有关,所以,熟练的入侵者能够篡改这些进程的输出、关闭进程,修改系统日志,甚至更换系统核心以逃避检测。

除此之外,基于主机的HIDS只能知道它所保护的主机的信息,却很难收集到其他主机的信息,甚至由于它运行在应用层而很难得到底层的网络信息。并且,HIDS自身的安全直接依赖于它所在的主机的安全,如果主机被攻破了,HIDS报警的正确性,就很值得怀疑。

4.3 取证

在网络遭到入侵后,取证和查找原因也是相当关键的。但是,诚如以上的分析,对于使用了带有加密选项的IPv6协议进行通信的主机,几乎无证可取,无据可查。防火墙和基于网络的入侵检测系统不明白受害机器在做什么,所有的保护主机的工作几乎都交给了HIDS,而被攻破的主机上还能留下多少可信的证据,没有人能知道。保护用户的秘密和保护主机的安全之间变成了一对矛盾。

4.4 其他

尽管IPv6比IPv4具有明显的先进性,但是IETF认识到,要想在短时间内将Internet 和各个企业网络中的所有系统全部从IPv4升级到IPv6是不可能的,换言之,IPv6与IPv4系统在Internet中长期共存是不可避免的现实。这也对现在的安全产品提出新的问题。因为对于同时支持IPv4和IPv6的主机,黑客可以同时用两种协议进行协调作战,逃避检测[6]。只有同时支持两种协议,并且可以把它们联系起来分析,才能做到更安全。另外,在2000年日本提出的一个关于IPv6安全的草案上,提出了由于IPv4和IPv6地址转换不当而造成拒绝服务的例子[6],也值得我们考虑。

5 结论

综上论述,IPv6解决了IP地址匮乏的问题,同时,它简化了协议报头,并且引入了两个新的扩展报头AH和ESP。它们帮助IPv6解决了身份认证,数据完整性和机密性的问题,使IPv6真正实现了网络层安全,这是一大进步。但是,这些安全机制对于当前的计算机网络安全体系造成了很大的冲击。使对于IPv6加密数据包的过滤,入侵检测和取证都处于一种真空状态。为了适应新的网络协议和新的发展方向,寻找新的解决安全问题的途径变得非常急迫。而安全专家也应该面对新情况,进一步研究和积累经验,尽快找出合适的解决方法。

参考文献:

[1]. (美) Christian Huitema 著,陶文星,胡文才译,《新因特网协议IPv6 (第二版) 》,北京:清华大学出版社,1999年4月12 日出版:98-116;

[2]. (美) Pete Ldshin著,《IPv6详解》,北京:机械工业出版社,2000年4月1日出版:69-79;

[3]. 李津生,洪佩琳著,《下一代Internet的网络技术》,北京:人民邮电出版社,2001年3月出版;

[4]. 中科网威许榕生刘宝旭毕学尧等,《入侵防范研究的展望》,见:互联网世界_2001年第2期(2001年2月6日出版),https://www.doczj.com/doc/3d5370820.html,/text/0102/0102_20.htm;

[5]. 林曼筠,钱华林《入侵检测系统:原理、入侵隐藏与对策》,见:微电子学与计算机2002年第一期;

[6]. Jun-ichiro itojun Hagino,Possible abuse against IPv6 transition technologies,

draft-itojun-ipv6-transition-abuse-01.txt,2001,

https://www.doczj.com/doc/3d5370820.html,/i-d/draft-itojun-ipv6-transition-abuse-01.txt

相关主题
相关文档 最新文档