论文部分内容阅读
摘要:随着Internet的迅速增长以及IPv4地址空间的逐渐耗尽,IPv6作为Internet协议的下一版本,对IPv4的取代将不可避免的成为必然。但是,由于IPv6引入了一些新的特性以及IPv4向IPv6过渡期的存在,也带来了一些安全上的新的风险和威胁,同时和传统的IPv4网络相比,一些固有的安全问题仍然没有得到很好地解决,因此,研究基于IPv6的下一代网络安全关键技术将具有重要的现实意义。本文正基于IPv6技术对网络安全体系结构进行研究。
关键词:IPv6;网络安全;系统设计
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)17-31300-02
Design of Network Security System Based on IPv6
QIAO Xiao-lin
(Computer Center, ShenZhen Polytechnic,ShenZhen 518055,China)
Abstract:It is an inevitable tendency that IPv6 will substitute IPv4 as the next generation Internet Protocol with rapid development of Internet and speedy exhaustion of IPv4 addresses. But security risks and threatens are also introduced with new characteristics of IPv6 and the upgrade of IPv4 to IPv6. Simultaneously,Some intrinsic safety problems are not solved completely in IPv6 networks compared with traditional IPv4 networks. On all accounts,it is significant to study the key security technology of IPv6 based on next generation network.
Key words:IPv6;Network Security;System Design
1 引言
当前,IPv4协议在Internet上的成功应用,使得全球上亿台主机可以互联,极大地促进了Internet的发展。但是,随着网络规模的不断扩大,目前基于IPv4的通信网络显得力不从心,不能满足网络日益发展的要求。IPv4的缺陷和不足使得它已经不能适应Internet高速发展的要求。为此,IETF制定了用以取代IPv4的新一代Internet协议——Ipv6。
AIPN(All IP Network)是网络发展的主要方向,而IPv6正是适应了未来网络发展的要求。目前,各国都在积极研究基于IPv6的下一代网络技术。而在网络中,最关键的技术就是安全技术,没有了安全性,一切新技术都将是空谈。因此,研究基于IPv6的网络安全技术对于我国通信系统的信息保密性、网络安全性都将具有重要的现实意义。
2 IPv6安全性概述
目前基于IPv4的网络安全机制只建立在应用程序级(如Emall加密、HTTP以及SSL等接入安全),无法从IP层来保证网络的安全。为此,IETF从1995年开始研究制定了一套Ip安全(Ip Security,Ipsec)协议用来保障Ip层的安全。通过集成IPSec,IPv6实现了IP级的安全,因而IPSec便成为了IPv6的安全体系架构的核心。IPv6将网络安全协议(I PSec)集成到协议内部,从此IPSec将不单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。具体如下:
①IPv6针对网络安全做出的最大举措就是集成了IPSec,这对IPv6网络实现全网的安全认证和加密封装提供了协议上的保证。
②地址解析放在互联网控制协议(ICMP)的协议层使得ICMP协议与地址解析协议(ARP)相比与介质的耦合性更小,而且可以使用标准的IP认证机制。
③除了IPSec和IPv6本身对安全所作的举措之外,其他的安全防护机制在IPv6上仍然有效。
IPv6网络的安全性主要体现在3个层面,即协议安全、网络安全和安全加密的硬件实现。在协议安全层面上,IPv6的认证头(AH)和封装安全载荷(ESP)信息安全封装扩展头结合多样的加密算法可以满足协议层面的安全需求。在AH认证方面,加密算法可采用hmac_md5_96、hmac_sha_l_96等认证加密算法,在ESP封装方面经常采用的算法有DES_CBC、3DES_CBC以及Null等3种。
在网络安全实现方面,通过IPSec的隧道和传输模式的各种应用组合,可以满足各个网络层面的安全需要,诸如端到端的安全保证、对内部网络的保密、通过安全隧道构建安全的VPN、以及通过嵌套隧道实现不同级别的网络安全等。
大量使用IPSec在提高网络安全的同时不可避免地导致路由器转发和处理性能的劣化,为了消除这些影响,通常是使用专用集成电路(ASIC)实现加密处理,或者通过网络处理器来实现加密处理和转发。
IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证,但是对数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。通常物理层的威胁来自于设备的不可靠性,诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等等,对这样的安全隐患可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。对于物理层以上层面的安全隐患除了来自于针对各种协议的安全隐患以外,还有非法占用网络资源或者耗尽网络资源等隐患,诸如双802.1Q封装攻击、广播包攻击、媒体访问控制(MAC)洪泛、生成树攻击等二层攻击以及虚假的Internet控制消息协议(ICMP)报文、ICMP洪泛、源地址欺骗、路由振荡等来自针对三层协议的攻击。在应用层还有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击手段。对于这些攻击,可以采用的防护手段如下:
①通过诸如TACACS+、RADIUS、AAA等安全访问控制协议控制用户对网络的访问权限来防患针对应用层的攻击。
②通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击。
③通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。
完善的IPv6的IPSec机制提供了网络数据和信息内容的有效性、一致性以及完整性的保证,并且为网络安全提供了诸多的解决办法。为了构建安全网络还可以结合AAA认证,NAT-PT,VPN、ACL的标准访问列表和扩展访问列表、防分片包攻击来实现安全预防;通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由;通过SSHv2、SNMPv3、EXC提供进程访问安全、线路访问安全;通过分级管理、定制特权级管理等手段来实现网络的安全管理;最后通过完善的告警、日志和审计功能实现网络时钟的安全,同时提供访问列表和关键事件的日志、路由协议事件和错误记录等供网络管理人员进行故障分析、定位和统计。
3 基于IPv6的网络安全体系结构
网络安全体系建立的核心目标是机密性、完整性、认证性、可用性和不可否认性等网络系统安全属性的实现。而基于IPv6的网络由于IPSec的内嵌和强制使用,在安全性方面有了较大的提高,能够提供实现以上安全属性的绝大部分的安全服务。但是IPSec不能完全解决网络的安全问题,因此技术方案必须引入针对安全漏洞和网络攻击的研究,通过对安全漏洞的实时检测与修补,对网络攻击的实时监测和防御,结合风险管理的相关措施实现防御的整体性和动态性,其中重点考虑IPv6网络的各种安全威胁和隐患,并引入安全审计和信息综合分析模块来实现防御的智能性,增强体系的学习能力。图1展示了技术方案中各研究要素之间的关系:
图1 安全防御体系技术方案关系图
根据已有的研究成果,这里将给出一个初步的IPv6网络安全动态防御技术体系的模型:该模型既要体现PDRR模型的典型防护过程,也要体现网络安全管理的因素;既要有强大的对已知风险的处理能力,也要有对新的攻击、安全风险和特性的识别能力,而系统的基础安全支撑技术则主要引入了IPSec的作用并结合IPv6网络的安全特性。整个模型如图2所示,以融入等级化思想的安全策略为中心,融入了策划(建立)一实施(实施和运行)一检查(监视和评审)一处置(保持和改进),简称PDCA的信息安全管理体系的部分思想,使技术体系能够很好表现对管理因素的支持。
图2 网络安全动态防御体系的组成结构图
体系的输入成份包括网络威胁和脆弱性(包括网络攻击)和网际协作预警信息,这些都是影响体系安全和处理策略的关键因素。要保护的是系统的全部资产。
体系中包含一个核心过程,来源于安全防护的典型过程,防护一检测一响应一恢复。防护模块负责在攻击发生前基于布置防护屏障,修补系统漏洞,并采用IPSec和密码技术实现数据的保密,认证,和安全接入等功能。从而在自身防御和入侵阻止/延缓两个方面实现综合防范,检测模块负责对异常网络行为和模式进行检测、识别、预警;响应模块根据预警信息对攻击进行反应,恢复模块是使得被保护的网络资源恢复到攻击发生前的状态。防护部分是体系的重要部分,又分成两个部分,一部分是对网络攻击的防护,另一部分是对网络隐患的管理,从而贯彻了主动防御的思想。
风险管理模块是支持安全管理的重要组成部分,一方面通过风险管理,提供相应的防护策略,一方面实现对资产的安全控制和在生命周期过程中的保护。通过若干管理工具,有效支持PDCA过程。
体系中包含一个重要的反馈模块,核心部分是综合信息管理模块,它是系统学习进化的重要组成部分,动态性,智能性的有力体现。包括信息收集与分析,知识提取与控制等,信息来源主要包括系统中各个功能单元提供的日志和分析记录等信息,也包括来自与网络的联动预警信息。结合安全审计模块的使用,它把分析得到的新的预警信息传给防护过程的相关环节,以及其它网络实体。并提取出知识级数据来更新相关的数据库。网际协作信息的输出表明该体系不是孤立的,可充分发挥全网的联动扩展的功能。
IPSec机制和密码管理中心是IPv6网络的安全性基础模块。负责对系统的安全接入,安全服务,安全保密等功能提供基础支持。
4 结束语
网络的安全状况,随着网络技术、黑客技术、网络环境等相关因素的变化而呈现出来的不断变化的特性,仅就攻击和防护技术的发展而言也往往是此消彼长。因此对网络系统的周期性评估和对安全防范能力的即时更新都是必须考虑的因素,在过程上,防范策略要随着网络环境和安全状况的变化不断调整,防护、检测、响应和恢复的各个阶段应紧密协调,其安全策略也要实时更新。同时防护技术体系引入风险管理,它的实施是我们对网络系统安全状况的认识不断深入的良好途径,它也是对于网络动态防御的有力支持。至少包含:漏洞扫描,信息收集与分析控制,攻击实时检测识别,恢复技术,安全数据库的更新维护,系统自适应技术等安全技术单元。从而反映了网络安全的如下内涵:安全系统具有免疫力;扩大安全检测的范畴;引入知识库,使安全系统具有学习进化功能;很好的辅助安全管理;具有强大的系统恢复功能。
参考文献:
[1]任罡.IPv6:如何才能“更安全”[J].中国教育网络.2005,9.
[2]Silvia Hagen著,技桥译.IPv6精髓[M].清华大学出版社.2004.
[3]张俊.浅析IPv6的安全性[J].网络安全技术与应用.2005,10.
[4]胡文江,范振岐.Linux下基于IPsec高级VPN的实现[J].网络安全技术与应用.2005,3.
[5]李涛.网络安全概论[M].电子工业出版社.2004.
[6]Franjo Majstor.Does Ipv6 protocol solve all security problems of Ipv4[J].Information Security Solutions Europe,7-9 Oktober 2003 Vienna Austria.
[7]P. Nikander,J.Kempf,E.Nordmark.IPv6 Neighbor Discovery(ND)Trust Models and Threats[J].IETF RFC 3756.May 2004
[8]Joseph Davies著,张晓彤,晏国最,曾庆峰译.理解IPv6[M].清华大学出版社.2004.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:IPv6;网络安全;系统设计
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)17-31300-02
Design of Network Security System Based on IPv6
QIAO Xiao-lin
(Computer Center, ShenZhen Polytechnic,ShenZhen 518055,China)
Abstract:It is an inevitable tendency that IPv6 will substitute IPv4 as the next generation Internet Protocol with rapid development of Internet and speedy exhaustion of IPv4 addresses. But security risks and threatens are also introduced with new characteristics of IPv6 and the upgrade of IPv4 to IPv6. Simultaneously,Some intrinsic safety problems are not solved completely in IPv6 networks compared with traditional IPv4 networks. On all accounts,it is significant to study the key security technology of IPv6 based on next generation network.
Key words:IPv6;Network Security;System Design
1 引言
当前,IPv4协议在Internet上的成功应用,使得全球上亿台主机可以互联,极大地促进了Internet的发展。但是,随着网络规模的不断扩大,目前基于IPv4的通信网络显得力不从心,不能满足网络日益发展的要求。IPv4的缺陷和不足使得它已经不能适应Internet高速发展的要求。为此,IETF制定了用以取代IPv4的新一代Internet协议——Ipv6。
AIPN(All IP Network)是网络发展的主要方向,而IPv6正是适应了未来网络发展的要求。目前,各国都在积极研究基于IPv6的下一代网络技术。而在网络中,最关键的技术就是安全技术,没有了安全性,一切新技术都将是空谈。因此,研究基于IPv6的网络安全技术对于我国通信系统的信息保密性、网络安全性都将具有重要的现实意义。
2 IPv6安全性概述
目前基于IPv4的网络安全机制只建立在应用程序级(如Emall加密、HTTP以及SSL等接入安全),无法从IP层来保证网络的安全。为此,IETF从1995年开始研究制定了一套Ip安全(Ip Security,Ipsec)协议用来保障Ip层的安全。通过集成IPSec,IPv6实现了IP级的安全,因而IPSec便成为了IPv6的安全体系架构的核心。IPv6将网络安全协议(I PSec)集成到协议内部,从此IPSec将不单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。具体如下:
①IPv6针对网络安全做出的最大举措就是集成了IPSec,这对IPv6网络实现全网的安全认证和加密封装提供了协议上的保证。
②地址解析放在互联网控制协议(ICMP)的协议层使得ICMP协议与地址解析协议(ARP)相比与介质的耦合性更小,而且可以使用标准的IP认证机制。
③除了IPSec和IPv6本身对安全所作的举措之外,其他的安全防护机制在IPv6上仍然有效。
IPv6网络的安全性主要体现在3个层面,即协议安全、网络安全和安全加密的硬件实现。在协议安全层面上,IPv6的认证头(AH)和封装安全载荷(ESP)信息安全封装扩展头结合多样的加密算法可以满足协议层面的安全需求。在AH认证方面,加密算法可采用hmac_md5_96、hmac_sha_l_96等认证加密算法,在ESP封装方面经常采用的算法有DES_CBC、3DES_CBC以及Null等3种。
在网络安全实现方面,通过IPSec的隧道和传输模式的各种应用组合,可以满足各个网络层面的安全需要,诸如端到端的安全保证、对内部网络的保密、通过安全隧道构建安全的VPN、以及通过嵌套隧道实现不同级别的网络安全等。
大量使用IPSec在提高网络安全的同时不可避免地导致路由器转发和处理性能的劣化,为了消除这些影响,通常是使用专用集成电路(ASIC)实现加密处理,或者通过网络处理器来实现加密处理和转发。
IPSec提供了网络数据和信息内容的有效性、一致性以及完整性的保证,但是对数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。通常物理层的威胁来自于设备的不可靠性,诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等等,对这样的安全隐患可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。对于物理层以上层面的安全隐患除了来自于针对各种协议的安全隐患以外,还有非法占用网络资源或者耗尽网络资源等隐患,诸如双802.1Q封装攻击、广播包攻击、媒体访问控制(MAC)洪泛、生成树攻击等二层攻击以及虚假的Internet控制消息协议(ICMP)报文、ICMP洪泛、源地址欺骗、路由振荡等来自针对三层协议的攻击。在应用层还有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击手段。对于这些攻击,可以采用的防护手段如下:
①通过诸如TACACS+、RADIUS、AAA等安全访问控制协议控制用户对网络的访问权限来防患针对应用层的攻击。
②通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层的攻击。
③通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。
完善的IPv6的IPSec机制提供了网络数据和信息内容的有效性、一致性以及完整性的保证,并且为网络安全提供了诸多的解决办法。为了构建安全网络还可以结合AAA认证,NAT-PT,VPN、ACL的标准访问列表和扩展访问列表、防分片包攻击来实现安全预防;通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由;通过SSHv2、SNMPv3、EXC提供进程访问安全、线路访问安全;通过分级管理、定制特权级管理等手段来实现网络的安全管理;最后通过完善的告警、日志和审计功能实现网络时钟的安全,同时提供访问列表和关键事件的日志、路由协议事件和错误记录等供网络管理人员进行故障分析、定位和统计。
3 基于IPv6的网络安全体系结构
网络安全体系建立的核心目标是机密性、完整性、认证性、可用性和不可否认性等网络系统安全属性的实现。而基于IPv6的网络由于IPSec的内嵌和强制使用,在安全性方面有了较大的提高,能够提供实现以上安全属性的绝大部分的安全服务。但是IPSec不能完全解决网络的安全问题,因此技术方案必须引入针对安全漏洞和网络攻击的研究,通过对安全漏洞的实时检测与修补,对网络攻击的实时监测和防御,结合风险管理的相关措施实现防御的整体性和动态性,其中重点考虑IPv6网络的各种安全威胁和隐患,并引入安全审计和信息综合分析模块来实现防御的智能性,增强体系的学习能力。图1展示了技术方案中各研究要素之间的关系:
图1 安全防御体系技术方案关系图
根据已有的研究成果,这里将给出一个初步的IPv6网络安全动态防御技术体系的模型:该模型既要体现PDRR模型的典型防护过程,也要体现网络安全管理的因素;既要有强大的对已知风险的处理能力,也要有对新的攻击、安全风险和特性的识别能力,而系统的基础安全支撑技术则主要引入了IPSec的作用并结合IPv6网络的安全特性。整个模型如图2所示,以融入等级化思想的安全策略为中心,融入了策划(建立)一实施(实施和运行)一检查(监视和评审)一处置(保持和改进),简称PDCA的信息安全管理体系的部分思想,使技术体系能够很好表现对管理因素的支持。
图2 网络安全动态防御体系的组成结构图
体系的输入成份包括网络威胁和脆弱性(包括网络攻击)和网际协作预警信息,这些都是影响体系安全和处理策略的关键因素。要保护的是系统的全部资产。
体系中包含一个核心过程,来源于安全防护的典型过程,防护一检测一响应一恢复。防护模块负责在攻击发生前基于布置防护屏障,修补系统漏洞,并采用IPSec和密码技术实现数据的保密,认证,和安全接入等功能。从而在自身防御和入侵阻止/延缓两个方面实现综合防范,检测模块负责对异常网络行为和模式进行检测、识别、预警;响应模块根据预警信息对攻击进行反应,恢复模块是使得被保护的网络资源恢复到攻击发生前的状态。防护部分是体系的重要部分,又分成两个部分,一部分是对网络攻击的防护,另一部分是对网络隐患的管理,从而贯彻了主动防御的思想。
风险管理模块是支持安全管理的重要组成部分,一方面通过风险管理,提供相应的防护策略,一方面实现对资产的安全控制和在生命周期过程中的保护。通过若干管理工具,有效支持PDCA过程。
体系中包含一个重要的反馈模块,核心部分是综合信息管理模块,它是系统学习进化的重要组成部分,动态性,智能性的有力体现。包括信息收集与分析,知识提取与控制等,信息来源主要包括系统中各个功能单元提供的日志和分析记录等信息,也包括来自与网络的联动预警信息。结合安全审计模块的使用,它把分析得到的新的预警信息传给防护过程的相关环节,以及其它网络实体。并提取出知识级数据来更新相关的数据库。网际协作信息的输出表明该体系不是孤立的,可充分发挥全网的联动扩展的功能。
IPSec机制和密码管理中心是IPv6网络的安全性基础模块。负责对系统的安全接入,安全服务,安全保密等功能提供基础支持。
4 结束语
网络的安全状况,随着网络技术、黑客技术、网络环境等相关因素的变化而呈现出来的不断变化的特性,仅就攻击和防护技术的发展而言也往往是此消彼长。因此对网络系统的周期性评估和对安全防范能力的即时更新都是必须考虑的因素,在过程上,防范策略要随着网络环境和安全状况的变化不断调整,防护、检测、响应和恢复的各个阶段应紧密协调,其安全策略也要实时更新。同时防护技术体系引入风险管理,它的实施是我们对网络系统安全状况的认识不断深入的良好途径,它也是对于网络动态防御的有力支持。至少包含:漏洞扫描,信息收集与分析控制,攻击实时检测识别,恢复技术,安全数据库的更新维护,系统自适应技术等安全技术单元。从而反映了网络安全的如下内涵:安全系统具有免疫力;扩大安全检测的范畴;引入知识库,使安全系统具有学习进化功能;很好的辅助安全管理;具有强大的系统恢复功能。
参考文献:
[1]任罡.IPv6:如何才能“更安全”[J].中国教育网络.2005,9.
[2]Silvia Hagen著,技桥译.IPv6精髓[M].清华大学出版社.2004.
[3]张俊.浅析IPv6的安全性[J].网络安全技术与应用.2005,10.
[4]胡文江,范振岐.Linux下基于IPsec高级VPN的实现[J].网络安全技术与应用.2005,3.
[5]李涛.网络安全概论[M].电子工业出版社.2004.
[6]Franjo Majstor.Does Ipv6 protocol solve all security problems of Ipv4[J].Information Security Solutions Europe,7-9 Oktober 2003 Vienna Austria.
[7]P. Nikander,J.Kempf,E.Nordmark.IPv6 Neighbor Discovery(ND)Trust Models and Threats[J].IETF RFC 3756.May 2004
[8]Joseph Davies著,张晓彤,晏国最,曾庆峰译.理解IPv6[M].清华大学出版社.2004.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。