資源描述:
《基于ipv6的網(wǎng)絡(luò)安全問題分析new》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1�、萬方數(shù)據(jù)76福建電腦2011年第2期基于IPV6的網(wǎng)絡(luò)安全問題分析馬文靜1��,2(1��、華東師范大學(xué)上海2000622��、浙江師范大學(xué)浙江金華321000)【摘要】:本文首先對(duì)IPV4網(wǎng)絡(luò)協(xié)議的安全性進(jìn)行簡單分析����,然后給出了IPV6新的網(wǎng)絡(luò)安全機(jī)制���,介紹了IPSec的相關(guān)原理.最后指出了IPV6網(wǎng)絡(luò)存在的安全問題�����。【關(guān)鍵詞】:IPV6�����;IPSec����;網(wǎng)絡(luò)安全1.引言目前獲得廣泛應(yīng)用的網(wǎng)絡(luò)層協(xié)議依然是IPV4.但是隨著網(wǎng)絡(luò)規(guī)模的繼續(xù)擴(kuò)大和網(wǎng)絡(luò)用戶的增加.基于IPV6協(xié)議的下一代互聯(lián)網(wǎng)的發(fā)展將是歷史的必然。下一代互聯(lián)網(wǎng)能帶來更快的速度���、更大的規(guī)模�、更多的應(yīng)用�,但是,同時(shí)
2�����、也將面對(duì)更多的安全風(fēng)險(xiǎn)�����。因此����,關(guān)于下一代互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的研究顯得尤為必要��。2.IPv4協(xié)議的安全缺陷因特網(wǎng)的基石是IPv4協(xié)議.該協(xié)議在實(shí)現(xiàn)上力求效率��,而沒有考慮安全因素�����。因?yàn)槟菢訜o疑增大代碼量.從而降低了IP的運(yùn)行效率����。所以說IPv4本身在設(shè)計(jì)上就是不安全的.下面是現(xiàn)存的IPv4協(xié)議的一些安全缺陷:1)IP欺騙(IPSpoofing)����。一個(gè)IP數(shù)據(jù)包是否來自其真正的源地址�����,IP協(xié)議本身并不提供任何技術(shù)保證��。從IP協(xié)議的幀結(jié)構(gòu)分析.可知��。任意一臺(tái)主機(jī)可以發(fā)出含有任意源地址的IP數(shù)據(jù)包.使得基于IP地址標(biāo)識(shí)的數(shù)據(jù)包從理論上來說是不可信的����。從而可以使得一些基于I
3�����、P地址實(shí)現(xiàn)的訪問控制技術(shù)失效��。目前網(wǎng)絡(luò)上的很多攻擊手段.如SYNFlooding�����。DoS/DDoS和SMURF等均是利用了IP協(xié)議這個(gè)缺陷����。2)源路由攻擊���。源路由是IP幀結(jié)構(gòu)的一個(gè)選項(xiàng)�。它的設(shè)計(jì)功能為使IP數(shù)據(jù)包沿指定的路徑從源地址到達(dá)目的地址��。但是也被網(wǎng)絡(luò)攻擊者利用�,它一方面可以被用來假冒源IP地址的數(shù)據(jù)包到達(dá)目的地址.另一方面也使得入侵者能夠繞開某些網(wǎng)絡(luò)的安全措施.從對(duì)方?jīng)]有預(yù)料到的路徑到達(dá)目的地址。3)網(wǎng)絡(luò)偵聽�����。目前網(wǎng)絡(luò)上傳輸?shù)男畔⒋蟛糠譃槊魑男畔ⅰI踔烈恍┎僮飨到y(tǒng)的登錄密碼�����。如大多數(shù)Unix系統(tǒng)目前仍缺省采用明文密碼方式.這些敏感信息很容易通過網(wǎng)絡(luò)偵
4����、聽工具獲得.而網(wǎng)絡(luò)上的竊聽工具又非常豐富,如Sniffer�����、Tcpdump和Snoop等���,使得網(wǎng)絡(luò)用戶很容易獲取其他網(wǎng)絡(luò)用戶的密碼。3.IPSec安全機(jī)制在設(shè)計(jì)基于IPv6的下一代互聯(lián)網(wǎng)協(xié)議時(shí).增加了對(duì)網(wǎng)絡(luò)層安全性的要求.規(guī)定所有的IPv6實(shí)現(xiàn)必須支持IPSec(InternetProtocolSecufity)��。IPSec是為彌補(bǔ)IP協(xié)議薄弱的安全性.由IETF定義的一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議.可以無縫的為IP通信提供多種類型的安全防護(hù)��。包括接人控制�����、數(shù)據(jù)源身份驗(yàn)證�����、數(shù)據(jù)完整性檢查、機(jī)密性保證以及抗重放攻擊等等�。2.1IPsec工作原理IPSec無論
5、工作在哪種工作模式下.當(dāng)IP數(shù)據(jù)包進(jìn)入或離開支持IPSec的網(wǎng)絡(luò)端口時(shí).IPSec模塊將根據(jù)安全策略數(shù)據(jù)庫(SPD)決定對(duì)該IP包進(jìn)行何種形式的處理��。對(duì)IP數(shù)據(jù)包的處理方式分為3種:拋棄��、旁路和根據(jù)安全關(guān)聯(lián)(SA)進(jìn)行IPSec處理�����。當(dāng)某網(wǎng)絡(luò)端口接收到lP數(shù)據(jù)包后.根據(jù)該IP包的相關(guān)屬性以及制訂的一些安全設(shè)置.在安全關(guān)聯(lián)數(shù)據(jù)庫中尋找相應(yīng)的安全關(guān)聯(lián)�。對(duì)該IP數(shù)據(jù)包進(jìn)行解密等處理,然后在安全策略庫中尋找相應(yīng)的安全策略.如果不存在與該IP數(shù)據(jù)包相對(duì)應(yīng)的安全策略.則將拋棄該IP數(shù)據(jù)包并在日志文件中加以記錄:如果找到了相應(yīng)的安全策略并且策略規(guī)定要拋棄該包.則拋棄該IP
6��、數(shù)據(jù)包并在日志文件中加以記錄:如果策略規(guī)定要旁路該IP包���,則不對(duì)該IP包作另外的處理�,讓它通過�;如果策略規(guī)定要對(duì)該lP包進(jìn)行IPSec處理.則該策略里應(yīng)包含對(duì)該IP數(shù)據(jù)包進(jìn)行處理的一個(gè)或多個(gè)安全關(guān)聯(lián)指針.通過安全關(guān)聯(lián)指針可以在安全關(guān)聯(lián)數(shù)據(jù)庫中找到相應(yīng)的安全關(guān)聯(lián).如果該安全關(guān)聯(lián)與剛才找到的安全關(guān)聯(lián)一致,則對(duì)該IP數(shù)據(jù)包進(jìn)行IPSec安全處理:若兩者不一致的話���,則要將IP包拋棄�����。另外需要說明��,在IPv6中��,對(duì)進(jìn)入的IP數(shù)據(jù)包出去的IP數(shù)據(jù)包的處理是有所區(qū)別的��,比如對(duì)安關(guān)聯(lián)的定位�����、尋找的方法是不完全相同�����。這里就不深入說明��。IPsec提供了兩種安全機(jī)制:加密和認(rèn)證���。
7、加密是通過對(duì)數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性.以防數(shù)據(jù)在傳輸過程中被他人截獲而失密��。認(rèn)證使得IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭到改動(dòng)。這樣基于IPv6的下一代互聯(lián)網(wǎng)在網(wǎng)絡(luò)層的安全性得到了大大的增強(qiáng)���。通過所定義的完整的安全機(jī)制.在身份驗(yàn)證(AH)和封裝安全萬方數(shù)據(jù)2011年第2期福建電腦載荷(ESP)安全協(xié)議的支持下.為IPv6提供可交互操作的和高質(zhì)量的基于加密的安全服務(wù).這種安全服務(wù)包括訪問控制���、無連接的完整性、數(shù)據(jù)源認(rèn)證���、抗重播(replay)保護(hù)�����、保密性和有限傳輸流保密性在內(nèi)的服務(wù)�。2.2身份驗(yàn)證協(xié)議一AH(Auth
8�����、enticationHeader����,RFC2402中描
