（通信与信息系统专业论文）ipv6网络中ipsec架构的安全增强设计研究.pdf

摘要i p v 6 作为下一代网络的首选协议提供了丰富的地址空间、简洁的网络配置、以优良的可扩展性，良好的q o s 性能、以及对安全性和移动性的支持，特别是在i p 层上实现了基于密码学的端到端的安全框架i p s e c ，极大地提高了网络的安全性。但是内嵌了i p s e c 的i p v 6 协议虽然能够解决一部分安全问题，但仍然不能满足实际需要。如何在p 层提高网络安全性值得深入的研究。具体工作如下：本文以o s i 安全体系结构模型为基础，首先分析了i p v 6 网络的安全体系结构，并给出了i p v 6 网络在各个协议层上所提供的安全需求视图分析，然后阐述了各个协议层存在的安全威胁。并重点对i p s e c 协议的安全性进行了分析。作为i p 层安全体系架构的i p s e c 协议，尽管体现了良好的安全性能，但是根据以上分析，i p s e c 所能解决的安全问题仍十分有限，也存在一定的安全缺陷。因此本文以i p s e c 协议为基础，以安全视图分析为需求，为构建具有高安全性的i p 层安全架构，提出了一种安全性较高，性能较好的i p v 6 网络中i p s e c 架构的安全增强设计方案。本方案从功能、安全强度和实现性能等多个方面对i p s e c 进行了增强设计。在功能上扩展了i k e 密钥交换协议的实体认证能力，在性能上对i k e 等协议进行了一定的优化，在安全强度上给出了三种重要的密码算法e c c 、a e s 和s h a 2 在i p s e c 协议中的应用方案。此外移动i p v 6 是i p v 6 协议的重要组成部分，i p s e c 增强设计应包含对移动网络的支持。针对移动环境的特殊性，本文使用了改进的i k e v 2 协议来实现移动i p v 6网络中任意两个节点之间端到端的传输安全以及移动节点的接入认证安全。关键词：i p s e ei p v 6 算法安全认证a b s t r a c ti p v 6a st h en e x t g e n e r a t i o nn e t w o r kp r e f e r r e dp r o t o c o lp r o v i d e saw e a l t ho fa d d r e s ss p a c e ，s i m p l en e t w o r kc o n f i g u r a t i o n , a c h i e v e sa ni p s e cs e c u r i t yf r a m e w o r ko fe n d - t o e n df o rc r y p t o g r a p h ye s p e c i a l l yi nt h ei pl a y e r , 、历t l lg o o ds c a l a b i l i t y , g o o dq o sp e r f o r m a n c e ，a n ds e c u r i t ya n dm o b i l i t ys u p p o r t , g r e a t l yi m p r o v e st h en e t w o r ks e c u r i t y b u tt h ei p v 6p r o t o c o lb u i l t i ni p s e c ，a l t h o u g hi tc a ns o l v et h ep a r to fs e c u r i t yp r o b l e m s ，b u ts t i l lc a l ln o tm e e tt h ea c t u a ln e e d s i tn e e dt ob es t u d i e dh o wt oi m p r o v en e t w o r ks e c u r i t ya tt h ei pl a y e r s p e c i f i ct a s k sa r ea sf o l l o w s ：t h i sp a p e rf i r s t l ya n a l y s i si p v 6n e t w o r ks e c u r i t ya r c h i t e c t u r eb a s i n go no s is e c u r i t ya r c h i t e c t u r em o d e l ，a n dg i v e si p v 6n e t w o r ki nt h ev a r i o u sp r o t o c o ll a y e r sp r o v i d e do nt h ev i e wo ft h es e c u r i t yr e q u i r e m e n t sa n a l y s i s ，a n dt h e ne l a b o r a t e do ns e c u r i t yt h r e a t so ft h ev a r i o u sp r o t o c o ll a y e r t h es e c u r i t yo fi p s e cp r o t o c o li sa n a l y z e di nt h ep a p e r a st h ei pl a y e rs e c u r i t ya r c h i t e c t u r eo ft h ei p s e cp r o t o c o l ，d e s p i t ee x p r e s s i n gag o o ds a f e t yp e r f o r m a n c e ，b u ta c c o r d i n gt ot h ea b o v ea n a l y s i s ，i p s e cc a ns o l v et h es e c u r i t yp r o b l e mi ss t i l lv e r yl i m i t e d ，t h e r ea r ea l s os o m es e c u r i t yf l a w s t h e r e f o r e ，t h i sa r t i c l ep r e s e n t sah i g h e rs e c u r i t ya n db e t t e rp e r f o r m a n c eo fi p s e ca r c h i t e c t u r ed e s i g ni ni p v 6n e t w o r k ，i no r d e rt ob u i l dh i g h - s e c u r i t yi p l a y e rs e c u r i t ya r c h i t e c t u r e ，谢t l li p s e cp r o t o c o l sa sb a s ea n dw i t ht h ev i e wo fs e c u r i t ya n a l y s i sa sr e q u i r e m e n t n i sp r o g r a mp u t su pt h ee n h a n c e dd e s i g no fi p s e co nt h ef u n c t i o n a l i t y ,p e r f o r m a n c e ，a n ds e c u r i t ys t r e n g t ho fm a n ya s p e c t s i te x t e n d st h ei k ek e ye x c h a n g ep r o t o c o lo fe n t i t ya u t h e n t i c a t i o nc a p a b i l i t i e so nf u n c t i o n a l i t y , o p t i m i z e st h ei k ep r o t o c o li np e r f o r m a n c e ，a n dp r e s e n t st h ea p p l i c a t i o np r o g r a mo ft h r e ei m p o r t a n tc r y p t o g r a p h i ca l g o r i t h m se c c ，a e sa n ds h a 一2i nt h ei p s e cp r o t o c o l so ns e c u r i t ys t r e n g t h i na d d i t i o n , m o b i l ei p v 6i sa ni m p o r t a n tc o m p o n e n tp a r to ft h ei p v 6p r o t o c o l ，i p s e cs t r e n g t h e nd e s i g n es h o u l db ei n c l u d es u p p o r t i n gf o rm o b i l en e t w o r k s s p e c i f i c i t yf o rt h em o b i l ee n v i r o n m e n t ，t h i sa r t i c l eu s e st h ei k e v 2p r o t o c o lt oa c h i e v ea ni m p r o v e do fe n d - t o e n db e t w e e na n yt w on o d e si nt h et r a n s m i s s i o no fs a f e t ya n do fm o b i l en o d ea c c e s sa u t h e n t i c a t i o ns e c u r i t yi nm o b i l ei p v 6n e t w o r k k e y w o r d ：i p s e ci p v 6a l g o r i t h ms e c u r i t ya u t h e n t i c a t i o n创新性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切相关责任。本人签名：日期立! 么芝： ： 丝关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后，发表论文和使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复印手段保存论文( 保密的论文在解密后遵循此规定) 。本学位论文属于保密在一年解密后适用本授权书。本人签名导师签名：日期谚：丝! ：! 竺第一章绪论第一章绪论1 1 研究背景及研究意义随着计算机的日益普及和应用的深入，有越来越多的工作依赖计算机系统，因而计算机的安全问题也显得越来越重要。任何一台计算机，只要它与外界接触，就不可能是绝对安全的，就应当采取安全防范措施。实际上，网络安全措施以及相对应的控制技术种类繁多而且还相互交叉，虽然没有完整统一的理论基础，但是在不同的场合下，这些安全控制技术确实能够发挥出色的功效。在当今飞快发展的信息领域中，i n t e m e t 已发展成世界上规模最大的计算机互联网络。1 9 7 4 年产生的i p v 4 f l 】在经历了2 0 余年令人惊异的增长后，已经逐渐逼近自己的极限，针对这种情况，在1 9 9 8 年由i n t e m e t 工程任务组i e t f 在r f c l 8 8 3 t 2 】定义了用来取代i p v 4 的下一代互联网的核心协议i p v 6 3 1 。在国际上i p v 6 网络技术的发展也受到各个国家的普遍重视。我国在i p v 6 及其安全技术的研究与开发方面也紧跟国际步伐。同时由于我国本身具有巨大的市场潜力，对i p v 6 的发展和需求空间都是其他国家无法比拟的，因此当前i p v 6 的研究与应用已成为一股热潮。2 0 0 5 年我国构筑了6 个全国性的i p v 6 骨干网。i p v 6 协议在i p 层提供了移动管理机制通过移动性扩展，实现了采用无线技术的移动节点在不同接入网络之间漫游时仍能保持i p 通信，为数据、音视频等多种业务提供了统一的传输平台。i e t f 在i p v 6 的基础上于2 0 0 4 年6 月正式提出移动i p v 6 协议( r f c3 7 7 5 ) 1 4 j 。随着移动i p v 6 的发展和部署，移动i p v 6 通信的安全性成为当前讨论的热点和亟待解决的安全问题。其中移动环境的安全威胁及移动i p v 6 协议本身的安全威胁制约了移动i p v 6 的发展。不过，移动i p v 6 要想真正走向大规模应用，必须首先解决好安全问题。i p v 6把i p s e c 5 j 作为必备协议来解决网络层的安全问题，同时为其他类型的安全问题提供解决基础，但i p s e c 远不能解决i p v 6 面临的所有安全问题，其中既有技术能力不够的原因，也有现有安全基础设施不足的原因；而且i p v 6 的采用对现有的安全体系结构也带来了一定挑战。因此建立合理的网络安全体系结构，有机组织网络安全体系中的各种技术就显得极为迫切。实际上，安全方案必须架构在科学的网络安全体系之上，通过分析网络的各个不安全环节，找到安全漏洞，才能做到有的放矢。但i p s e c 作为一种全面而又开放的网络层安全协议，其本身有很多良好的特性。例如因其对操作系统的普适性，对软、硬件实现的兼容性，较为可靠的安全性、与t c p i p 体系的协作性等等，这些优越的性能使我们能够以i p s e c 作为i p v 6整体安全解决方案的基础。所以本文根据i p v 6 环境的安全特性，对i p s e c 安全体2i p v 6 网络中i p s e c 架构的安全增强设计研究系结构进行了一些增强性设计。其中保密性和认证技术是关键，这包括传输的各类信息的保密性和对通信双方的身份认证以及对会话密钥的认证等，需要合适的安全协议和密码算法来有效支持。此外移动i p v 6 是i p v 6 协议的重要组成部分，i p s e c 增强设计应包含对移动网络的支持。1 2 国内外发展现状对于i p s e c 协议而言，当它一经提出就立即引起了网络界的普遍关注。几乎世界上所有大的计算机公司都宣布支持这个标准。目前，国内外已有一些厂家在各自的防火墙产品中加入了对i p s e c 协议的支持。国内对i p s e c 协议的研究水平仍处于实验、摸索阶段。国外的产品虽然性能要优越一些，但是一些国家机关、军事部门的安全问题又不能完全依赖于国外的技术和软件来解决。所以，跟踪研究国夕h p s e c 技术和产品的发展，开发具有自主产权的i p s e c 产品成为国内众多网络安全厂家的努力目标和研究热点i p s e c 协议本身过于复杂。而且还有一个重要的组成部分策略，没有完全实现标准化。因此，尽管此类产品的种类很多，但都存在着各种各样的不足。比较完整地实现i p s e c 整个协议体系的安全产品还比较缺乏。而且，目前的产品大都与防火墙技术结合在一起，功能复杂而庞大，只适合少量部署在子网边界。作为安全网关来保护子网之间的数据传输安全。这些产品不能保护子网内部端到端的数据安全。由于i p s e c 已经成为i p v 6 协议的一个基本组成部分，而且i p v 6 网络中的终端可以普遍得到公有i p 地址，因此能很方便地利用i p s e c 协议保护业务应用层面的数据通信。i p v 6 协议的引入提供了一种新的网络平台，它使得大量、多样化的终端更容易接入i p 网，并在安全和终端移动性方面比i p v 4 协议有了很大的增强。地址空间巨大、内置i p s e c 和移动i p v 6 只是i p v 6 在支持新业务方面的几个主要特征，在这些特征之上会衍生出许多新的特性，从而进一步增强业务层面的能力。i p v 6 协议集成了移动i p v 6 ，因此移动性是i p v 6 的重要特色之一。有了移动i p v 6后，移动节点可以跨越不同的网段实现网络层面的移动，即使移动节点漫游到一个新的网段上，其它终端仍可以利用移动终端原来的p 地址找到它并与之通信。移动i p v 6 的发展还处于初级阶段。实际上，要实现移动i p v 6 的最终目标：全球范围真正的移动网络，满足移动计算和个人通信的所有要求，需要整个移动i p v 6 的体系结构的协调，除了解决路由问题外，还需要进一步完善i p v 6 ，m o b i l ei p v 6 ，i p s e c ，s c t p n ，d i a m e t e r f 7 】等协议，以及对服务质量、安全问题等做深入研究，整个移动i p v 6 体系还有很长的路要走。i e t f 在移动i p v 6 协议标准发布的同时，发布了一个关于使用i p s e c 来保护移第一章绪论3动i p v 6 通信的标准r f c 3 7 7 6 引。此标准定义了采用i p s e c 保护绑定更新、返回路由可达过程、移动前缀发现、业务数据包等的技术细节。此标准对移动i p v 6 通信提供了较好的安全保护。然而现有的标准或草案离真正解决移动l p v 6 环境下的安全问题还存在很大的距离，同时还有很多安全问题需要进一步的研究。现有的加密算法不能完全保护i p s e c 在i p v 6 环境中安全性能；移动节点的安全接入认证过程存在效率低，延迟大等问题。以上这些问题，都是影响i p v 6 能否广泛使用的重要问题，只有保证了移动1 p v 6 环境下的安全问题，移动i p v 6 的前景才能更开阔，才能有真正的商业市场。在本文中就i p v 6 网络安全体系和安全威胁及i p s e c 协议安全架构增强设计方案进行重点研究。1 3 本文研究内容与思路本文从安全服务和安全机制的角度出发，分析i p v 6 网络中各个协议层存在的安全问题和需求，针对安全问题和威胁，以i p s e c 协议为核心，提出了i p v 6 环境下i p s e c 协议的增强设计方案，并且对其中的关键技术，加密和认证算法的应用进行了研究，为了更好地增强i p s e c 安全性能，考虑在移动i p v 6 的环境中，对接入认证和数据传输等问题做进一步研究，同时对所述方案的安全性进行了分析。全文的结构如下：第一章绪论介绍了本文的研究背景、意义以及相关研究现状。第二章对主要对o s i 模型及其相应的安全服务与安全机制的关系进行了具体介绍，在此基础上从安全服务与安全机制方面，重点分析i p v 6 网络的安全服务与安全威胁的关系，最后给出了基于i p v 6 网络的安全体系结构。第三章介绍了i p v 6 网络在各个协议层上所提供的安全需求视图，在此基础上对每层存在的安全威胁和攻击，需要相应的安全措施进行了具体介绍，并分析了每层的安全性，最后对解决网络威胁和攻击的核心安全协议i p s e c 进行了介绍，分析其安全性能，总结i p s e c 能够防范的攻击类型。虽然i p s e c 协议功能比较强大，能够解决网络很多安全威胁，但它还有改进和增强空间，在第四章进行具体分析。第四章针对第三章中所分析的安全问题，网络各协议层存在的安全威胁和攻击，对于i p s e c 协议尚未能解决的一些安全问题。在本章将现有的一些安全技术和加密认证算法等与i p v 6 环境融合，根据协议的安全性和认证困难问题，设计了一个安全性较高，性能较好的i p v 6 网络中i p s e c 架构安全的增强设计方案。在i p s e c协议中合适地应用相应的加密和认证算法来保护i p 数据包的安全，是i p s e c 协议的一个基本目标。从分析和比较每个算法的密钥长度和加密速度和认证效率等方面分析，选择了三个重要的密码算法e c c 、a e s 和s h a 2 在i p s e c 协议中的应用4i p v 6 网络中i p s e c 架构的安全增强设计研究进行了介绍，增强了i p s e c 的安全性能。第五章考虑i p s e c 在移动i p v 6 环境中的应用。针对移动环境的特殊性，由于缺乏相互信任的安全体系，使得i p s e c 很难适用于移动环境。方案使用了改进的i k e v 2 协议来实现移动i p v 6 网络中任意两个节点之间端到端的传输安全。改进的i k e v 2 协议，在i k e 协商阶段l 实现身份的双向认证。同时在移动节点和通信对端之间建立强制的i p s e c 保护，进而实现端到端的保护。最后分析了接入认证和传输认证方案设计的安全性。第六章总结全文所做的工作，对其中的创新点进行总结，同时对下一步工作提出展望。第二章基于o s i 模型i p v 6 网络安全体系结构分析5第二章基于o s i 模型i p v 6 网络安全体系结构分析本章首先对o s i 安全体系结构及相应的安全服务和安全机制进行了介绍。然后在o s i 模型安全体系结构的基础上重点分析了i p v 6 网络的安全体系和各个协议层的安全需求。2 1o s i 模型的安全机制分析国际标准化组织i s o 在1 9 7 9 年建立了一个分委员会专门研究一种用于开放系统的体系结构，提出了开放系统互连( o p e l ls y s t e mi n t e r c o n n e c t i o n ，o s i ) 模型，这是一个定义连接异种计算机的标准主体结构。由于i s o 组织的权威性，使o s i协议成为广大厂商努力遵循的标准。o s l 为连接分布式应用处理的“开放 系统提供了基础。2 1 1o s i 模型概述o s i 采用了分层的结构化技术。i s o 分委员会的任务是定义一组层次和每层所完成的服务。划分层次时应该从逻辑上对功能进行分组。o s i 参考模型共有7 层，物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。下面简要介绍各层的功能。1 物理层：提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性。2 数据链路层：在网络层实体间提供数据发送和接收的功能和过程，提供数据链路的流控。3 网络层：控制分组传送系统的操作、路由选择、拥挤控制、网络互联等功能，它的作用是将具体的物理传送对高层透明。4 传输层：提供建立、维护和拆除传送连接的功能；在选择网络层提供最合适的服务。5 会话层：提供进程之间建立、维护和结束会话连接的功能。6 表示层：代表应用进程协商数据表示；完成数据转换、格式化和文本压缩。7 应用层：提供o s i 用户服务，文件传送协议和网络管理等。o s i 安全体系结构的研究始于1 9 8 2 年，于1 9 8 8 年完成，其成果标志是i s o发布了i s 0 7 4 9 8 2 标准，作为o s i 基本参考模型的补充。这是基于o s i 参考模型七层协议之上的信息安全体系结构。o s i 定义了5 类安全服务，8 种特定的安全机制，5 种普遍性安全机制。它确定了安全服务与安全机制的关系以及在o s i 七层模型安全服务的配置。它还确定6i p v 6 网络中i p s e c 架构的安全增强设计研究了o s i 安全体系的安全管理【9 1 。2 1 2o s i 模型安全服务与安全机制的关系o s i 结构的5 类安全服务如下：1 鉴别鉴别服务提供对通信中的对等实体和数据来源的鉴别。2 访问控制防止对资源的未授权使用，包括防止以及未授权方式使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使用。3 数据机密性这种服务对数据提供保护，使之不被非授权的泄漏。具体分为以下几种：连接机密性、无连接机密性、选择字段机密性、通信业务流机密性。4 数据完整性这种服务对付主动威胁。在一次连接上，连接开始时使用对某实体的鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供保证，为这些数据单元的完整性提供确证。5 抗否认这种服务可取如下两种形式，或两者之一：有数据原发证明的抗否认，为数据的接受者提供数据的原发证据。有交付证明的抗否认，为数据的发送者提供数据交付证据。8 类特定的安全机制包括：加密、数字签名机制，访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择控制机制、公证机制。5 类普遍性安全机制：普遍性安全机制不是为任何特定的服务而特设的。某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为以下几种：可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复。i s 0 7 4 9 8 2 标准说明了实现哪些安全服务应该采取哪种机制，参见表2 1 。o s i安全体系结构最重要的贡献是它总结了各项安全服务在o s i 七层中适当配置为止，参见表2 2 。在标准中表2 2 起到了“航标”作用，因为它说明了参考模型中的各个层次应提供哪些安全服务。在o s i 各层中的安全服务配置，有关各层提供的主要安全服务如下。物理层：提供连接机密性和( 或) 业务流机密性服务。数据链路层：提供连接机密性和无连接机密性服务。网络层：可以在一定程度上提供认证、访问控制、机密性和完整性服务。第二章基于o s l 模型i p v 6 网络安全体系结构分析7运输层：可以提供认证、访问控、机密性( 除了选择字段机密性、业务流机密性) 和完整性( 除了选择字段的完整性) 服务。会话层：不提供安全服务。表示层：本身不提供安全服务。但其提供的设施可支持应用层向应用程序提供安全服务。所以，规定表示层的设施支持基本的数据机密性服务。应用层：必须提供所有的安全服务，它是惟一能提供选择字段服务和抗否认服务的一层。表2 1o s i 安全服务与安全机制的关系机制服务加数字访问数据鉴别通信业路由公密签名控制完整性交换务填充控制证对等实体鉴别yyy数据原发鉴别yy访问拎制服务y连接机密性yy无连接机密性yy选择字段机密性y通信业务流机密性yyy带恢复的连接完整性yy不带恢复的连接完整性yy选择段连接完整性yy无连接完整性yyy选择段无连接完整性yyy有数据原发证叫的抗抵赖yyy由交付证明的抗抵赖yyy说明：y 表示机制适合提供该种服务，空格表示机制不适应提供该种服务。表2 2 安全服务与层之间的关系协议层安全服务l234567对等实体鉴别yyy数据原发攀别yyy访问控制服务yyy连接机密性yyyyyy无连接机密性yyyyy选择字段机密性yy通信业务流机密性yyyy带恢复的连接完整性yy不带恢复的连接完整性yyy选择! 段连接完整性y无连接完整性yyy选择字段无连接完整性y有数据原发证明的抗抵赖y由交付证明的抗抵赖y注：y 表示该服务应该在相应的层中提供，空格表示不提供。必须说明的是，对于第7 层而言，应用程序本身必须提供这些安全服务。8i p v 6 网络中i p s e c 架构的安全增强设计研究2 2 基于i p v 6 网络安全体系分析当i p v 6 取代i p v 4 成为下一代互联网( n g i ) 的核心协议后，建立一个完善的安全体系，合理组织各种安全技术，提供全面统一的安全服务是十分必要的。2 2 1i p v 6 网络及其面临的威胁分析i p v 6 是i e t f 设计的用于替代现行版本i p 协议( i p v 4 ) 的下一代i p 协议。目前的全球因特网所采用的协议族是t c p i p 协议族。i p 是t c p i p 协议族中网络层的协议，是t c p i p 协议族的核心协议。i p v 6 具有长达1 2 8 位的地址空间，可以彻底解决i p v 4 地址不足的问题，除此之外，i p v 6 还采用了分级地址模式、高效口包头、服务质量、主机地址自动配置、认证和加密等许多技术。i p v 6 的大多数思想都来源于i p v 4 ，所以i p v 6 与i p v 4 相比，其基本原理保持不变，但又有以下主要技术进步：地址空间的扩展，由原来的3 2 位扩充到1 2 8 位，彻底解决i p v 4 地址不足问题；支持分层地址结构，从而更易于寻址；扩展支持组播和任意播地址，这使得数据包可以发送给任何一个或一组节点。包头格式的简化，这样可以有效降低路由器或交换机对首部的处理开销。增强了对扩展和选项的支持，可以使转发更为有效。地址自动配置，大容量地址空间能够实现无状态地址自动配置，使得i p v 5终端无需人工配置就能连接到网络上，实现真正的即插即用。集成了认证和加密两种安全机制，保证了网络层端到端通信的完整性和机密性。用设置流标记的方法支持实时传输，并有效保障相关业务的服务质量。扩展为新的i n t e m e t 控制报文协议i c m p v 6 ，并加入了i p v 4 的i n t e m e t 组管理协议i g m p 的组播控制功能以使协议更加完整。在移动网络和实时通信方面i p v 5 较i p v 4 有较大优势，强大的自动配置能力简化了移动主机和局域网的系统管理。由于采用i p v 6 代替i p v 4 ，下一代互联网的网络拓扑及t c p i p 体系结构中各层协议都有不同程度的变动，这使得黑客针对网络进行的攻击也有所改变。i p v 6 网络面临的主要攻击有【1 0 j ：1 侦察( r e c o n n a i s s a n c e ) ：这往往是攻击的第一步。攻击者在攻击之前会使用各种方法尽可能地了解欲入侵网络的情况。2 未授权访问：主要是攻击者针对网络的开放特性而发起的攻击。攻击者试图与网间设备和终端主机建立与其上层协议和应用程序的连接。3 n d ( n e i g h b o rd i s c o v e r y 邻居发现) 和d h c p 攻击：该攻击可以改变缓存中第二章基于0 s i 模型i p v 6 网络安全体系结构分析9的数据，使终端主机与未授权设备或己被破坏的设备进行通信，或使终端主机根据错误的网络信息( 如默认网关，d n s 服务器d 地址等等) 进行配置。4 口分片攻击：这类攻击的目的无非两个：第一，使用分片避开网络安全设备，如n i d s 或全状态防火墙；第二，直接对网络基础设施进行攻击。5 第三层地址假冒：网络中多数攻击是通过l 3 欺骗进行的。攻击者能够修改其口地址和端口，使得通信一方认为它是在和另一方进行通信。6 病毒和蠕虫攻击：该威胁是目前最为突出的安全问题之一，几乎所有的攻击都与之相关。7 路由攻击：主要是破坏数据包或对数据包进行重定向。有很多种攻击方法，包括：虚假路由消息、通道移除等，这都取决于采用什么路由协议。8 s m u r 政击：一种d o s 攻击方法。通过以一个假冒的源i p 地址发送i c m p 应答请求消息给一个子网的广播地址。9 嗅探：攻击者通过在网络流转中抓包以获取登陆证书或某些敏感信息。1 0 应用层攻击：这一类攻击占攻击种类的大多数。一般的攻击如缓冲区溢出、w e b 应用程序攻击( 通用网关接口等) 都属于这类。1 1 设备欺骗：指未经授权的设备连接到网络上。1 2 中间人攻击：由于i p v 4 和i p v 6 的包头自身都没有安全机制，每个协议都依赖于i p s e c 提供安全。所以，i p v 6 网络仍然面临着中间人攻击的威胁。1 3 洪泛攻击：不管是本地还是分布式d o s 攻击，都是用超出接受能力的通信量或链接对网络设备或主机进行洪泛攻击。其中，前八种与i p v 4 网络面临的安全威胁有较大差别，后五种没有本质区别。2 2 2i p v 6 网络安全服务与安全威胁的对应关系针对上面提到的几种主要的攻击方法，可将其按照对网络造成的安全威胁大致分为6 类，包括假冒攻击、授权侵犯、窃听、完整性侵犯、业务否认、业务拒绝。表2 - 3 显示的是这些攻击与威胁的对应关系。1 0i p v 6 网络中i p s e c 架构的安全增强设计研究表2 3 安全威胁与攻击n 胁假冒授权完整性业务业务o s i飞次窃听攻趴攻击侵犯侵犯否认拒绝对应层嗅探y7应用层攻击yyyyyy7设备欺骗yy7中问人攻击yyyyy3 ，4洪泛攻击yy3 , 4侦察yy3 ，4 ，7未授权yy3 , 4 ，7i p 分片攻击yy3l 3 、l 4 欺骗yy3 , 4n d d h c p 攻击yy3 , 4s m u r fyy3路由攻击yyyy3病毒和蠕虫yyyyyy7要应对上面提到的这些安全威胁，必须采取相应的安全服务进行有针对性地防护。表2 4 指出了用于对付这些典型安全威胁的安全服务。表2 5 给出t c p i p v 6 网络中需要提供的安全服务与相应网络层次的关系。表2 4 安全威胁与安全服务安全威胁安全服务假冒攻击认证授权侵犯访问控制窃听攻击数据保密性完整性侵犯数据完攀性业务否认抗抵赖业务拒绝可用性表2 5 安全服务与层次关系t c p i p v 6 协议层安全服务网络接口层网络层传输层应用层认证yyy访问控制yyy数据保密性yyyy数据完整性yyy抵赖性y可用性yyy2 2 3i p v 6 网络安全体系结构分析在i p v 4 网络中，其安全体系结构不关心低层的安全服务，在网络层和传输层所提供的安全服务也很有限，几乎所有的安全服务都由应用层完成。而在i p v 6 网络中，i p 层安全协议i p s e c 弓l 进了两种密码安全机制，可以提供对网络层实体的认证、数据的保密及完整性服务。图2 1 给出了i p v 6 网络的安全体系结构【1 1 1 。第二章基于o s i 模型i p v 6 网络安全体系结构分析1 1厂| i p v 6 层i|i _ j星i 娶拓j 质雏口圈| 困| 国f 园i 匠图2 1i p v 6 网络安全体系结构该网络安全体系结构可用于网络安全功能需求分析以及功能之间的相关性分析，主要分析在t c p i p v 6 网络的各个协议层所需提供的安全服务，来减少i p v 6 网络所面临的由于攻击所造成的包括假冒、授权侵犯、窃听、完整性侵犯、业务否认和业务拒绝在内的六种安全威胁，并由安全管理保障各个协议层次、各种物理实体中安全机制在安全体系结构中作用的有效发挥。由于i p v 6 协议的采用，网络安全体系结构的每个组成部件都较i p v 4 网络有所不同，不仅给安全管理、安全威胁赋予了新的含义，网络的各个协议层也受到一定影响，且提供安全服务的安全机制和技术也会随之改变。安全只是相对的概念，一个网络是否安全需要在特定的安全策略下讨论，不同的安全策略其安全目标不同，所需的安全服务也不同。在网络系统设计阶段，需要把整个系统作为一个整体来考虑，而不仅是某一个安全服务或某个协议层。在网络工程安全方案设计中，只有弄清各种技术在网络安全体系中的位置，才能有机地组织各种安全系统和设备，以提供安全保障体系【1 2 】。各种安全技术通常以以下三个层次来组织：1 ) 端系统安全：保护网络环境下端系统自身的安全。主要的安全技术是用户的认证、访问控制、审计和基于主机的入侵防护技术，并以此来保证系统数据的完整性和保密性。2 ) 网络通信安全：一方面是保障网络自身的安全可靠运行，保证网络基础可用性，包括保护通信子网内部的网络设备、传输链路以及通信软件、逻辑信道等，1 2i p v 6 网络中i p s e c 架构的安全增强设计研究保证网络的可用性首先就是要有合理的拓扑结构；另一方面是为网络内部的系统或上层应用提供公共的安全服务，比如在实现i p s e c 技术，为网络内部的所有系统提供粗粒度的认证、数据保密和完整性以及访问控制服务。3 ) 应用系统安全：在网络环境下构造安全的分布式应用系统。由于许多应用系统没有实现必须的安全服务或者存在安全漏洞，i p v 4 网络大多采用不必修改传统系统就能增加安全服务的应用层代理或应用网关，而i p v 6 最大的优势在于能够通过使用i p s e c 保证端到端的安全，以满足用户对端到端安全和移动性的要求。每当建立一个i p v 6 的连接，都可以在两端主机上对数据包进行i p s e c 封装，中间路由器实现对有i p s e c 扩展头的i p v 6 数据包进行透明传输，通过对通信端的验证和对数据的加密保护，使得敏感数据可以在i p v 6 网络上安全地传递，因此，i p v 6 网络对特别的网络应用部署应用层网关的需求有所下降。2 3 本章小结本章主要对o s i 模型及其相应的安全服务与安全机制的关系进行了具体介绍，在此基础上从安全服务与安全机制方面，重点分析i p v 6 网络的安全服务与威胁的关系，最后给出了i p v 6 网络的安全体系结构。在i p v 6 网络安全体系结构的基础上，将引出了网络各协议层的具体安全需求，每层存在相应的安全威胁和攻击，需要相应的安全措施解决问题，详见第三章。第三章i p v 6 网络各协议层的安全需求研究1 3第三章i p v 6 网络各协议层的安全需求研究在第二章i p v 6 网络安全体系结构的基础上，本章主要对各协议层的安全需求和安全威胁问题【1 3 】进行具体的介绍，最后分析i p s e e 协议在整个i p v 6 网络安全问题方面起到的主导作用。3 1 各协议层的安全需求基于o s i 模型的i p v 6 网络安全体系结构，本文给出了一个针对i p v 6 网络安全技术和安全需求的全视图需求分析，用以说明需要哪些安全服务，安全需求以及何种安全机制的支持和在各个协议层上的安全需求等等。i p v 6 网络各个协议层上的安全需求视图如图3 1 所示。该安全需求视图提供了关于i p v 6 网络各个协议层安全需求和安全协议的全面分析，该视图阐述了当遇到的安全威胁和攻击时，每层所需相应的安全需求用于解决各协议层的安全问题，以及各层安全需求之间的关系。从安全需求视图可以看出网络层的i p s e c 协议是整个i p v 6 网络的核心协议，由于i p s e c 已经成为i p v 6协议的一个基本组成部分，而且i p v 6 网络中的终端可以普遍得到公有i p 地址，因此能很方便地利用i p s e c 协议保护应用层面的数据通信。i p v 6 开始从网络层面逐渐渗入应用层面和终端层面，并呈现出发展的多样化趋势。3 2 网络层的安全问题通讯协议的每一层都有其独特的安全问题。对于许多服务拒绝攻击和信息私有性问题，网络层( o s i 模型的第三层) 是特别的薄弱【1 5 】。在网络层用得最为广泛的协议是i p ( i n t e m e t 协议) 。下面讨论在网络层中与i p 相关的主要安全问题。3 2 1 网络层的安全威胁和安全策略1 i p 欺骗侵入者向一台主机发送带有某i p 地址的消息( 并非自己的i p 地址) ，表明该消息来自于一台受信任主机，以便获得对该主机或其它主机的非授权访问。目前最理想的方法是使用i p s e c 和防火墙，防火墙决定是否允许外部的i p 数据包进入局域网，对来自外部的i p 数据包进行检验。2 路由选择信息协议( p ) 攻击路由选择信息协议( p ) 用于在网络中发布路由选择信息，并从本地网络向外广播路径。1 4i p v 6 网络中i p s e c 架构的安全增强设计研究p g ps ，m i m e具有相当好多用途网际保密性协议邮件扩充协议圈，圈图3 1i p v 6 网络各协议层的安全需求r i p 路由欺骗的防范措施主要有：路由器在接受新路由前应先验证其是否可达。这可以降低攻击的概率。但是r i p 的有些实现并不进行验证，所以，使用i p s e cv p n 路由器之间路由信息加密技术防止r i p 攻击。3 网间控制报文协议i c m p 攻击第三章i p v 6 网络各协议层的安全需求研究1 5i c m p 被网络层用于向一台主机发送单向的告知性消息。在i c m p 中没有验证机制，这就导致了使用i c m p 可以造成服务拒绝的攻击。对于此种攻击，最好的办法就是拒绝网络上所有i c m p 的回应。此外，利用i c m p i 作机制还可进行拒绝服务攻击，并且，将a r p 欺骗和i c m p 重定向结合在一起，还可以实现跨网段欺骗的目的。4 p i n g 淹没( i c m p 淹没) 和死p i n g 攻击，p i n g 是i c m p 最普通的应用，它向某主机发出一条i c m p “响应请求”，并等待该主机回复一条i c m p “响应回复”的消息。攻击者只需向受害计算机发送若干多条i c m p “响应请求”消息，就会导致受害计算机系统瘫痪或速度减慢。死p i n g 攻击：攻击者向受害计算机发送一条比最大i p 数据包容量还要大许多的i c m p 响应请求数据包。对于“p i n go fd e a t h ”攻击，可以采取两种方法进行防范：路由器上对i c m p 数据包进行带宽限制，这样即使有i c m p 攻击，它所占用的带宽也是非常有限的；在主机上设置i c m p 数据包的处理规则，最好是设定拒绝所有的i c m p 数据包。5 t e a r d r o p 攻击攻击者通过更改数据包偏移量和t e a r d r o p 程序发送不可重新正确组合起来的i p 信息碎片，并最终导致受害系统进行重新启动或异常终止。如果遭受了这种攻击之后，最好的解决方法就是服务器应用最新的服务包，或者设置防火墙对分段进行重组，而不是转发它们。6 数据包欺骗因为大多数网络应用程序利用纯文本格式发布网络数据包，所以数据包嗅探器可以向它的使用者提供有意义的信息，如用户帐户名和密码。在网络层使用i p s e cv p n ，i p 欺骗和数据包嗅听将会被有效地减少。3 2 2 网络层的安全协议i p s e c 主要有三个协议【1 6 】，即认证协议( a h ) 、封装安全负载( e s p ) 和密钥交换协议( i k e ) ，用于提供数据认证、数据完整性和加密性三种保护形式。a h和e s p 都能够提供认证服务，但a h 提供的认证服务要强于e s p 。而i k e 主要是对密钥进行交换管理，连同对算法、协议和密钥三个方面进行协商。1 i p s e ea h i l 7 1 ：i p s e c 认证头协议( i p