1 引言
随着网络新应用和新技术的不断发展,IPv4地址已不能满足网络发展的需求。IPv6协议以其巨大的地址空间、内在的安全机制等特性,成为国内外下一代网络发展的研究热点。安全是保证网络健康发展的重要因素,IPv6网络安全保障体系的配套建设也成为IPv6网络建设的重要方面,如果在IPv6网络设计阶段就对网络安全进行通盘考虑,能够提升网络架构的整体安全性;同时,将网络安全与网络建设同步,有利于网络资源的合理分配。而IPv6网络从IP层协议本身进行了安全性改善,其安全性提升也为新应用的开展提供了便利,为端到端安全提供更灵活、方便的技术手段,能够促进新的安全业务和应用的开展。但是,随着基于IPv6的下一代网络中应用的增加、速度的加快和规模的变大,IPv6网络面临着新的安全风险,因此电信IPv6网络建设中必须同步考虑网络安全这一重要问题。
本文从电信运营商的角度出发,把握IPv6网络建设的脉搏,对电信IPv6网络安全保障体系的架构进行了深入研究,给出了过渡时期电信IPv6网络安全保障体系建设策略。
2 电信IPv6网络安全风险
电信IPv6网络是以IPv6协议为基础和标志性技术的下一代互联网。IPv6协议相对于IPv4协议在安全方面有了一定的改善,解决或缓解了IPv4环境中存在的部分安全问题,但物理层、链路层和应用层等安全问题在IPv6网络环境中则仍然存在。另外,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。
(1)IPv6安全改进
IPv6协议巨大的地址空间、固化的安全机制等新特性对提升网络安全性有一定的作用。第一,IPv6将原先独立于IPv4协议簇之外的报头认证和安全信息封装作为扩展头置于IPv6基本协议之中,为IPv6网络实现端到端安全认证和加密封装提供了协议上的保证,能在一定程度上提升业务和应用的安全性;第二,IPv6协议禁止具有IPv6组播目的地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息,从而避免了广播风暴的产生;第三,IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1 280 byte的重组数据包等机制,有效防范了IP碎片包攻击;第四,IPv6地址数量庞大,对IPv6网络实施扫描攻击比较困难,通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施;第五, IPv6对地址前缀的指定及分配较规律,使得下游ISP的地址总是落在上游ISP的汇总地址空间内,对ISP而言,易于在入口实现过滤机制,有效防御虚假源地址攻击,同时基于IPv6的真实源地址技术的发展也使解决这种安全问题成为可能。
(2)IPv6网络中仍存在的安全风险
IPv4网络环境中大部分安全风险在IPv6网络环境中仍将存在,而且某些安全风险随着IPv6协议新特性的引入将变得更加严重。第一,DDoS等异常流量攻击仍然猖獗甚至更为严重,主要包括TCP-flood、UDP-flood等现有DDoS攻击,以及IPv6协议本身机制的缺陷所引起的攻击,如邻居发现(ND)协议报文缺乏认证可能引发的重复地址检测(duplicate address detection,DAD)攻击、IP-flooding攻击等。第二,针对DNS的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。第三,IPv6协议作为网络层的协议,仅对网络层安全有影响,其他(包括物理层、数据链路层、传输层、应用层等)各层的安全风险在IPv6网络中仍将保持不变。
