基于IPv6下的網(wǎng)絡安全研究與應用

李泉 朱熹 陶科

[ 作者簡介 ]

李泉，男，湖北武漢人，湖北日報傳媒集團，工程師，本科，研究方向：網(wǎng)絡安全。

朱熹，男，湖北武漢人，湖北日報傳媒集團，助理工程師，本科，研究方向：網(wǎng)絡安全。

陶科，男，湖北武漢人，湖北日報傳媒集團，助理工程師，本科，研究方向：網(wǎng)絡安全。

[ 摘要 ]

IPv6屬于新興的網(wǎng)絡協(xié)議，該技術引起了許多國家和研究單位的關注。在應用IPv6協(xié)議的同時，也給網(wǎng)絡安全帶來了全新的挑戰(zhàn)，在新環(huán)境下怎樣才能夠保證網(wǎng)絡世界的安全，安全傳輸網(wǎng)絡數(shù)據(jù)、保證信息交換的安全等，都是目前需要解決的網(wǎng)絡安全問題。本文從網(wǎng)絡安全方面入手，對IPv6協(xié)議進行了研究，首先介紹了該協(xié)議的優(yōu)勢，然后分析了其存在的安全問題，最后以此為基礎，提出了相應的改進策略，以供參考。

[ 關鍵詞 ]

IPv6協(xié)議;網(wǎng)絡安全;研究應用

中圖分類號：G3

文獻標識碼：A

DOI：10.3969/j.issn.1672-0407.2022.04.063

在不斷發(fā)展信息技術的同時，計算機網(wǎng)絡最關鍵的功能就是共享資源，因此也凸顯了信息安全問題的重要性。根據(jù)相關報道可以得知，計算機網(wǎng)絡經(jīng)常會遇到入侵問題。破壞信息系統(tǒng)會給企業(yè)造成巨大的經(jīng)濟損失。每年在全球造成的損失達到了數(shù)百億美元，這種破壞越來越嚴重。所以，為了避免黑客對電腦保密程序的攻破，使計算機和網(wǎng)絡系統(tǒng)的運行更加安全，就需要做好對安全問題的研究，其現(xiàn)實意義十分重要。

1 IPv6網(wǎng)絡安全研究

在IPv6網(wǎng)絡以往的體系構架中，為了保障網(wǎng)絡安全，大多會應用具有安全防范功能的應用層，或是加密郵件，數(shù)據(jù)加密主要發(fā)生于網(wǎng)頁訪問期間，并沒有處理網(wǎng)絡層。LEFT在1995年應用了具有安全規(guī)范功能的IP層，也就是IPSEC在IPv6中通過對IPSEC協(xié)議的集成，為IPv6構建了相應的安全體系，其核心就是IPSEC。

1.1 IPv6網(wǎng)絡安全優(yōu)勢——IPSEC

IPv6最顯著的特征就是對IPSEC的集成，意味著IPv6的安全服務更加完善，能夠保障數(shù)據(jù)的安全來源，確保安全連貫的傳輸數(shù)據(jù)，并且可以訪問控制相關數(shù)據(jù)，進而避免重復發(fā)送數(shù)據(jù)帶來的影響。

IPSEC的結構中包含了三種主要的協(xié)議，也就是AH、ESP和ISAKMP這三種協(xié)議。AH協(xié)議能夠保證完整的傳輸信息數(shù)據(jù)，并且能夠從來源方面實現(xiàn)對信息數(shù)據(jù)的準確判斷。而應用ESP協(xié)議可以加密數(shù)據(jù)包，如此可以獲取到安全的信息數(shù)據(jù)。AH和ESP這兩種協(xié)議在進行交流的過程中，ISAKMP協(xié)議可以起到保護信息數(shù)據(jù)的作用。

1.2 安全加載封裝

ESP具有全加密數(shù)據(jù)包的功能，因此可以安全地傳輸信息，避免他人的惡意監(jiān)聽，想要打開內(nèi)容的用戶必須輸入密鑰。ESP還具有AH的認證和保證完整數(shù)據(jù)的功能。ESP采用了數(shù)據(jù)加密DES-CBC標準，此類標準可以認證數(shù)據(jù)來源等，包括RSA算法在內(nèi)的其他適當算法也具有此類功能。

不僅可以單獨使用ESP，還可以同時使用P認證頭，ESP頭的列域如下：

安全參數(shù)索引：能夠實現(xiàn)對安全協(xié)作體的標識。序列號：該計數(shù)器值呈線性增加趨勢。核載數(shù)據(jù)：8位長度的整數(shù)倍。填充：用來指定數(shù)據(jù)在加密前填充，能夠使填充長度和下一頭域的結束位置32位整數(shù)處。填充長度：填充在表示前的字數(shù)。下一頭：該數(shù)據(jù)屬于荷載數(shù)據(jù)。認證數(shù)據(jù)：其中所包含的檢查值具有完整性。

1.3 密鑰交換協(xié)議

IKE的建立離不開密鑰管理協(xié)議，通信雙方可以對安全參數(shù)進行協(xié)商，并對安全協(xié)議框架進行建立。最終所獲取到的IKE密鑰或SA安全協(xié)議是經(jīng)過驗證或經(jīng)過雙方同意的。對于AH和ESP來說，整個安全機制都需要通過密鑰管理來保障其安全性。IKE在對SA進行協(xié)商建立之前，必須認證通信雙方。在IKE中可以實現(xiàn)對DSS、RSA這兩種簽名的預定義和加密，并且可以對RSA加密進行改進等等。除了在密鑰的預共享環(huán)節(jié)，其他環(huán)節(jié)Ca認證機構很少以特定形式參與，涉及復雜的實現(xiàn)過程。在密鑰的預共享環(huán)節(jié)，通信雙方需要提前對某個密鑰進行共享，此類方法在小型網(wǎng)絡中較為適用。

1.4 ESP頭的處理

在處理ESP頭的過程中，主要包含的處理方式有解密和加密，與AH頭的處理十分相似。在進行封裝的過程中，應當采用科學合理的協(xié)議模式和驗證算法，封裝內(nèi)容和封裝格式應當以ESP報文為標準，最后，應當對ESP前所有IP頭的和進行重新計算，最終可以獲取到相應的IP包。接收：攜帶ESP頭的IP數(shù)據(jù)包在發(fā)送到目標節(jié)點后，所發(fā)送的如果是一個分段，就必須進行保留，直到收集完所有分段為止，并對IP包進行完整的裝配。同時需要在ESP頭中檢查SPI是否存在對應的SA，如果答案是否定的，那么該IT包就不能使用。然后結合相應的序列號進行檢查，判斷該IT包是否具有傳播性，如果答案是肯定的，那么也不能使用此包。相反的，通過對相關密鑰的使用，向身份驗證器傳遞該完整包，并由其負責身份驗證，然后根據(jù)所獲取到的驗證結果對比相應的身份驗證數(shù)據(jù)，如果結果一致，那么就可以采用SA中的密鑰和解密算法解密該IP包。相反的話，此包就不能使用。在成功驗證解密身份之后，應當檢查結果數(shù)據(jù)包的模式，對比此包模式與SA中的說明是否相符，如果結果是否定的，那么此包就不能使用。最后，需要驗證此包是否正確，并對其進行拆分還原，如此可以實現(xiàn)對真實原始數(shù)據(jù)的獲取。在處理數(shù)據(jù)包的過程中，IPSEC可以保證IP層具有安全的數(shù)據(jù)。

2 IPv6網(wǎng)絡安全保障存在的問題

2.1 網(wǎng)絡安全過渡技術問題

由于長期以來我國一直采用的是IPv4網(wǎng)絡，該網(wǎng)絡具有較大的影響力和較強的滲透力，隨后誕生的IPv6網(wǎng)絡必定可以提升人們獲取和存儲網(wǎng)絡資源的速度和強度，但是，IPv4在轉化成為IPv6期間遇到了各種問題，其中有許多網(wǎng)絡技術難關難以攻破。在升級換代網(wǎng)絡期間，由于最初使用的網(wǎng)絡設備所采用的是IPv4協(xié)議，因此必須全面升級路由器和軟硬件，如此才可以實現(xiàn)對IPv6協(xié)議網(wǎng)絡的正式使用，這也意味著這項工程的復雜性較強，并且需要花費較長的時間。在這一過程中，其內(nèi)外部都存在安全漏洞，也必定會遇到拒絕服務和中間人等因素帶來的影響。

2.2 IPv6網(wǎng)絡自身的安全問題

從本質上來說，Ipv6屬于新型網(wǎng)絡的一種，在調(diào)試期間依然發(fā)現(xiàn)許多安全問題有待完善。除此之外，IPv6網(wǎng)絡架構與IPv4十分相似，IPv6網(wǎng)絡中出現(xiàn)了許多IPv4網(wǎng)絡沒有解決的問題。并且在不斷擴充網(wǎng)絡地址的過程中出現(xiàn)了各種新型問題，因此，許多新出現(xiàn)的問題仍未得到有效解決。

首先，依然存在DNS攻擊，甚至情況更為嚴重。在IP網(wǎng)絡中，安全問題和安全隱患依然十分嚴重，出現(xiàn)了更多的DNS黑客攻擊問題，對IPv6網(wǎng)絡造成了嚴重的影響，無法保障其安全性。此外，依然沒有解決異常網(wǎng)絡流量問題。IPv4網(wǎng)絡轉變?yōu)镮Pv6網(wǎng)絡以及實際使用IPv6網(wǎng)絡期間，經(jīng)?？梢钥吹竭@一問題。再加上在實際應用IP理念網(wǎng)絡的過程中，存在的機制缺陷依然有許多，新型網(wǎng)絡輸入到傳輸層和數(shù)據(jù)鏈路層后，經(jīng)常會遇到異常流量攻擊問題。

3 IPv6網(wǎng)絡安全保障策略

3.1 在過渡期提升安全防范系數(shù)

在將IPv4網(wǎng)絡轉變?yōu)镮Pv6網(wǎng)絡的過程中，網(wǎng)絡環(huán)境和安全漏洞十分脆弱、煩多，在這一過程中，應當采用最高級別的安全防范系數(shù)。在過渡時期想要實現(xiàn)對安全網(wǎng)絡防范系數(shù)的提升，就應當做好對網(wǎng)絡安全環(huán)境的全面改善，統(tǒng)一規(guī)劃支撐系統(tǒng)和運營平臺，按照IPv6網(wǎng)絡的標準，對安全檢測性能進行提升。

針對支撐系統(tǒng)來說，相關人員應當采用安全系數(shù)更高的支撐系統(tǒng)，借助當前的安全保障體系，為DNS系統(tǒng)提供全面的安全保障。IPv6網(wǎng)絡中的DNS系統(tǒng)與IPv4網(wǎng)絡相同，因此，在研發(fā)IPv4網(wǎng)絡期間用于防護和保護DNS系統(tǒng)的措施和技術也可以在IPv6網(wǎng)絡中使用，只需采用IPv6協(xié)議的接入端參數(shù)即可。

在規(guī)劃運營平臺的過程中，相關人員應當在過渡期統(tǒng)一規(guī)劃和部署網(wǎng)絡平臺的運營，按照IPv6協(xié)議的標準調(diào)整IPv4以往所采用的網(wǎng)絡安全運營平臺，并且需要做好對IPv6網(wǎng)源和IPv6安全設備的充分利用，做好對安全檢測技術的加強提升，將安全檢測技術應用到各個環(huán)節(jié)，如此可以使IPv4網(wǎng)絡更加安全地轉變?yōu)镮Pv6網(wǎng)絡，如此也可以為IPv6網(wǎng)絡環(huán)境建立有效的安全保障體系。

3.2 實施防火墻簡化安全過濾規(guī)則

部分主機具有良好的安全敏感性，在局域網(wǎng)中，這些主機經(jīng)常會遇到一些強制傳輸過來的外部流量，想要解決這個問題可以應用IPSEC。如果通信結構中不包含IPSEC框架，那么就會被防火墻丟棄。如此可以簡單地結合防火墻和IPSEC。防火墻根據(jù)目標地址，就能夠在數(shù)據(jù)包進入前檢測其中是否存在AH或ESP，然而，其并不具有下一環(huán)節(jié)處理功能。

在安全過濾規(guī)則方面，通過防火墻的簡化，其在處理數(shù)據(jù)包時只需要經(jīng)過子網(wǎng)1和子網(wǎng)2的處理流程。子網(wǎng)1可以過濾出安全信息，子網(wǎng)1可以過濾處理需要發(fā)送的內(nèi)容，賦予前端端口號全新的信息，將過濾級別加入其中，為接下來的運作提供過濾憑證。隨后，子網(wǎng)1在過濾計算其中信息的過程中，會對信息進行檢索和測算，并在網(wǎng)域內(nèi)存儲計算結果，最終加密和驗證該數(shù)據(jù)包。子網(wǎng)2在過濾安全信息時，數(shù)據(jù)包在經(jīng)過子網(wǎng)1的處理后會發(fā)送給子網(wǎng)2，并由其負責確認該數(shù)據(jù)包是否完整。子網(wǎng)2確認數(shù)據(jù)包具有完整的數(shù)據(jù)和信息后，會對多余的信息進行過濾。多余的信息就是子網(wǎng)1中未設置的各類信息數(shù)據(jù)，例如源端口和目的地址等。在過濾完這部分后，子網(wǎng)2通過對IPSC技術的運用，可以解密和認證數(shù)據(jù)包，最終以網(wǎng)絡安全要求為標準實施重新過濾。

3.3 采用屏蔽主機網(wǎng)關防火墻系統(tǒng)

在設計該系統(tǒng)的過程中，需要在局域網(wǎng)和外界網(wǎng)的子網(wǎng)中間，配置單個分組過濾路由器和基站主機。在這期間，需要在局域網(wǎng)絡中設置一個基站主機，然后將分組過濾路由器放置于基站主機和外網(wǎng)間。分組過濾路由器所采用的過濾原則如下：IPSEC隧道以基站主機為中點，而外部主機只能夠與基站主機連接。局域網(wǎng)內(nèi)的其余所有流量都會被子網(wǎng)阻止，而分組過濾路由器并不具有驗證和解密分組數(shù)據(jù)的功能，所以只是進行簡單的過濾。

基站主機是唯一能夠介入外部主機的接口，基站主機在驗證解密過濾完數(shù)據(jù)包后，分組過濾路由器就無需再實施這些操作。如此，該路由器就只負責過濾明文信息，在完成信息解密后，由基站主機負責過濾工作。

主要涉及如下步驟：

3.3.1 分組過濾路由器在接收到外部網(wǎng)絡數(shù)據(jù)后會對其進行檢查，主要檢查的內(nèi)容為網(wǎng)關地址和原地址等等。然后結合相應的過濾規(guī)則，選擇轉發(fā)或丟棄數(shù)據(jù)包。

3.3.2 如果數(shù)據(jù)包來自分組過濾路由器，在發(fā)送到基站主機后，內(nèi)部數(shù)據(jù)會涉及兩種身份驗證情況：一是成功驗證數(shù)據(jù)后進行解密過濾;二是數(shù)據(jù)驗證失敗后，失敗的數(shù)據(jù)會被丟棄。

3.3.3 最后，根據(jù)先前條件對數(shù)據(jù)進行驗證，經(jīng)過驗證后，數(shù)據(jù)才能夠通過基站到達各內(nèi)部子網(wǎng)主機中。

4 結束語

根據(jù)上文內(nèi)容可以得知，IPv6地址可以使互聯(lián)網(wǎng)的發(fā)展更加穩(wěn)定持久，具有十分重要的作用。IPv6內(nèi)部的IP地址資源十分龐大，除了可以將單獨的IP地址提供給終端外，還可以在發(fā)生問題時實現(xiàn)對IP來源的快速查找，可以開展更加高效、高質量的網(wǎng)絡工作，為網(wǎng)絡安全提供有效保障。但是目前在應用IPv6技術的過程中，依然遇到許多問題，這些問題會引發(fā)非法用戶攻惡意攻擊網(wǎng)絡安全，所以相關人員應當做好對該技術的深入研究，不斷地完善IPv6技術，盡量為用戶提供一個安全的網(wǎng)絡環(huán)境，如此可以加快IPv6的發(fā)展速度。

參考文獻

[1]檀小璐，婁雨. 基于IPv6環(huán)境下的網(wǎng)絡安全關鍵技術研究[J]. 電腦知識與技術，2016，12（34）：47-48.

[2]杜學凱，吳承榮，嚴明. IPv6環(huán)境下的IPSEC通信安全審計機制研究[J]. 計算機應用與軟件，2017，34（1）：298-305，320.

[3]任宏暉，李英壯，李先毅. IPv4-IPv6過渡技術下基于CIDF的入侵檢測系統(tǒng)研究[J]. 廣西大學學報（自然科學版），2011，36（51）：190-194.

[4]王曉曄，金義富，石艷. 基于IPv6的IPsec安全體系結構的研究[J]. 網(wǎng)絡安全技術與應用，2008（7）：24-26.

[5]沈亮，張艷，顧健. 物聯(lián)網(wǎng)網(wǎng)絡層中基于IPv6的信息安全產(chǎn)品發(fā)展趨勢研究[J]. 信息網(wǎng)絡安全，2012（8）：38-40.