1 安全问题爆发的原因
随着网络的发展,互联网上巨大的利益诱惑,使得互联网上的攻击并不像以往那么单纯了。现代网络周边环境的封闭性已经被打破,市场对于支持居家办公网络、分支机构连通性网络、无线移动性网络和新的企业到企业网络的需求不断增加,确保网络安全性和可用性已经成为更加复杂的任务。
2 下一代互联网的安全性
基于IPv4协议的互联网向IPv6协议的下一代互联网发展已经是不争的发展之路,下一代互联网的研究和建设正逐步成为信息技术领域的热点和不可或缺的重要领域。相对于传统的IPv4网络,IPv6为网络安全带来了很多好处,主要包括以下几个方面。
⑴可溯源性
IPv6巨大的地址空间带来了网络的可溯源性。在IP v4网络中,由于网络地址少而必须布置的NA T存在,使得攻击发生后的追踪变得尤其困难。这导致目前采用的基于事前预防的过滤类方法或是基于事后追查的回溯类方法都存在部署困难的缺陷,使得安全的保障性大大降低。随着IPv6的逐步部署,巨大的地址空间使得每个用户都可以获得惟一的网络IPv6地址,该地址可以和用户的个人信息绑定,更加有利于互联网的溯源行为。由于溯源行为的简单化,网络罪犯可能被发现并获得惩罚的可能性提高,互联网上的行为就能够受到更多的约束,从而降低了网络的犯罪率,带来一个较为安全的网络。不仅如此,IPv6的地址汇聚、过滤类的方法实现会更简单,负载更小;另一方面由于节点不需要使用NA T就可以和对方沟通,不需要网络地址的转换,追踪更容易,不论客户以何种方式连接,都能够通过简单的过滤完成对节点地址的控制,提高了网络的安全性。
⑵反侦察能力
除个人信息和地址绑定带来可溯源的安全性之外,另一方面由于庞大的IPv6地址,使得在IPv4网络中常常被黑客使用的侦察在IPv6网络中变得更加困难。侦察是很多其他网络攻击方式的初始步骤,网络攻击者能够通过侦察获得信息,进一步获得关于被攻击网络地址、服务、应用等内容,为下一步的攻击做准备。据计算,在一个拥有1万个主机的IPv6子网中,假设地址随机均匀分布,以一百万次每秒的速度扫描,发现第一个主机所需要的时间均值超过28年。这使得网络侦察变得极为困难,从而防范进一步攻击的发生,也降低了攻击可能带来的危害程度。
⑶NDP和SEND
巨大的I P v6地址带来了网络安全的第一层保护—— 可溯源和反侦察,而第二层保护来自于IP v6协议本身针对网络安全作出的更多改善,比如IPv6取消了ARP。在IPv6中,ARP的功能被邻居发现协议(Neighbor Discovery Protocol,NDP)所代替。邻居发现协议通过发现链路上的其他节点,判断其他节点的地址,寻找可用路由,并保存可到达的其他节点的信息来保证通信。对比ARP,NDP仅在链路层实现,更加独立于传输介质。同时IP v6协议中的NDP,相对于IPv4下的NDP补充了邻居不可达发现(Neighbor Unreachability Detection,NUD), 加强了I P包在节点路由间传递的健壮性。此外,下一代互联网的安全邻居发现(SEcure NeighborDiscovery,SEND)(RFC3971)协议通过独立于IPSec的另一种加密方式(Cryptographically Generated Address),保证了传输的安全性。
⑷强制实现的IPSec能力
IPv6的另一个安全性体现是来自其要求强制实现IPSec的能力。IPSec为I P v6网络中的每个节点提供了数据源认证、完整性和保密性的能力,同时还可以使节点有能力抵抗重放攻击。通过两个扩展报头—— 认证头(Authentication Header,AH)和封装安全载荷(Encapsulation SecurityPayload,ESP)将安全机制内嵌在协议之中。其中A H实现保护数据完整性(即不被非法篡改)、数据源发认证(即防止源地址假冒)和抗重放(Replay)攻击3个功能,而ESP则在AH所实现的安全功能基础上,增加了对数据保密性的支持。
