IPv6能為信息安全帶來什么

責(zé)任編輯:sjia

2012-11-27 09:15:21

摘自:人民網(wǎng)

IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù),預(yù)計(jì)未來數(shù)年內(nèi),將逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議。

IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù),預(yù)計(jì)未來數(shù)年內(nèi),將逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議。因此,了解IPv6的信息安全特性及隱患,并尋求相應(yīng)的對(duì)策,對(duì)于提高下一代互聯(lián)網(wǎng)的信息安全水平,具有十分重要的意義。

IPv6的信息安全特性

IPv6作為下一代IP協(xié)議,是未來互聯(lián)網(wǎng)建構(gòu)的基石。其主要特點(diǎn):一是能提供比IPv4大得多的地址空間。有人形象地稱這一協(xié)議可為地球表面的每粒沙子分配一個(gè)IP地址。二是數(shù)據(jù)傳輸速度更快?;贗Pv6的主干網(wǎng)或城域網(wǎng)的傳輸速率,將比現(xiàn)在提高100倍到1000倍。

安全問題一直是網(wǎng)絡(luò)通信中關(guān)注的焦點(diǎn)問題。IPv6在設(shè)計(jì)之初,就對(duì)安全性有了較為周密的考慮,它內(nèi)嵌一種標(biāo)準(zhǔn)化的IP安全協(xié)議(IPsec),解決了通信設(shè)備之間安全通信的標(biāo)準(zhǔn)化、互操作等問題,從而確保端到端的通信安全,實(shí)現(xiàn)“深度防護(hù)”安全策略。采用IPv6后,發(fā)送信息的設(shè)備有了永久的IP地址,設(shè)備類型很容易被識(shí)別。IPsec還能提供認(rèn)證報(bào)頭服務(wù),用于保證數(shù)據(jù)的保密性和一致性。

IPv6還采取了兩項(xiàng)技術(shù)措施增強(qiáng)其安全性。一是認(rèn)證,它要求接收端中能存放發(fā)送端的信息,如果接收端無法識(shí)別發(fā)送端,則無法進(jìn)行信息傳輸;如果可以進(jìn)行通信,則需保證信息是由指定發(fā)送端發(fā)送的,同時(shí)信息在傳輸過程中沒有被其他用戶更改。二是私有性,它要求發(fā)送的信息必須被加密,接收端必須是授權(quán)的,這樣就能很好地防止信息被未授權(quán)用戶竊取。

IPv6作為一種新的網(wǎng)絡(luò)通信協(xié)議,尚未被廣泛推廣應(yīng)用,絕大多數(shù)用戶對(duì)其了解不深,專門進(jìn)行相關(guān)研究的就更少,這就決定了針對(duì)IPv6網(wǎng)絡(luò)的攻擊方法手段,還沒有真正發(fā)展起來,也很少有機(jī)會(huì)去驗(yàn)證其攻擊效果。然而,隨著IPv6的推廣應(yīng)用,也會(huì)像目前IPv4一樣,信息安全隱患將會(huì)逐漸暴露,并被攻擊者加以利用。

IPv6的信息安全隱患

構(gòu)建基于IPv6的可信任下一代互聯(lián)網(wǎng),是一項(xiàng)長期而艱巨的任務(wù)。雖然IPv6與IPv4相比,在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮,但仍然存在一些難以解決的安全隱患。

一是難以應(yīng)對(duì)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊仍然是IPv6面臨的最嚴(yán)重的一種攻擊,它可能導(dǎo)致計(jì)算機(jī)硬盤、物理設(shè)備毀壞和所有可用內(nèi)存耗盡的危險(xiǎn)。IPv6支持動(dòng)態(tài)自動(dòng)尋址,雖然給合法網(wǎng)絡(luò)用戶使用帶來了方便,但非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò),埋下了拒絕服務(wù)攻擊的隱患。拒絕服務(wù)攻擊主要包括兩種方式:一種是通過向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包,使得主機(jī)忙于處理這些無用的數(shù)據(jù)包而無法響應(yīng)有用的信息;另一種是對(duì)網(wǎng)絡(luò)上兩個(gè)節(jié)點(diǎn)之間的通信直接進(jìn)行干擾,攻擊者可以冒充通信節(jié)點(diǎn)向目標(biāo)通信節(jié)點(diǎn)發(fā)送錯(cuò)誤消息,從而造成路由迂回,導(dǎo)致網(wǎng)絡(luò)帶寬浪費(fèi)及時(shí)延增加。對(duì)這兩種方式,IPv6從技術(shù)上都沒有很好地解決。

二是難以彌補(bǔ)整個(gè)網(wǎng)絡(luò)協(xié)議族的安全缺陷。根據(jù)國際標(biāo)準(zhǔn)化組織提出的各種計(jì)算機(jī)在世界范圍內(nèi)互聯(lián)成網(wǎng)的標(biāo)準(zhǔn)框架,即開放系統(tǒng)互聯(lián)參考模型,計(jì)算機(jī)網(wǎng)絡(luò)分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層等七個(gè)功能層。IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議,其安全性設(shè)計(jì)得再好,也只能保證本功能層的安全,其他功能層如應(yīng)用層的網(wǎng)頁服務(wù)、郵件服務(wù)及文件傳輸?shù)确?wù)的安全仍然難以保證。

加強(qiáng)IPv6信息安全的對(duì)策

互聯(lián)網(wǎng)協(xié)議設(shè)計(jì)的一個(gè)基本要求,就是新協(xié)議的設(shè)計(jì)不能引入新的安全威脅。如果存在安全威脅,那么協(xié)議本身必須要規(guī)定相應(yīng)的安全機(jī)制來克服。因此,要深入研究IPv6的技術(shù)特點(diǎn),針對(duì)各種可能的安全威脅,改進(jìn)完善技術(shù)手段,建立健全防范機(jī)制。

一方面,要改進(jìn)完善技術(shù)手段。一是改進(jìn)防火墻的設(shè)計(jì),應(yīng)對(duì)拒絕服務(wù)攻擊。IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的改變,要求防火墻必須解析整個(gè)數(shù)據(jù)包才能進(jìn)行過濾操作,這對(duì)防火墻的處理性能會(huì)有很大的影響。因此,必須采取各種技術(shù)手段,提高防火墻的性能,適應(yīng)IPv6的需要。二是完善入侵檢測系統(tǒng)的設(shè)計(jì),嚴(yán)格用戶限制。IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù),未來網(wǎng)絡(luò)數(shù)據(jù)通訊的保密性將會(huì)越來越強(qiáng),要求入侵檢測系統(tǒng)在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng),以嚴(yán)格控制訪問用戶的身份認(rèn)證和權(quán)限驗(yàn)證等內(nèi)容。三是采用安全遷移設(shè)計(jì),保障快速平穩(wěn)過渡。目前,IPv4正在向IPv6過渡,與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣,其安全措施必須經(jīng)過慎重的考慮和測試,避免產(chǎn)生新的技術(shù)漏洞。

另一方面,要建立健全防護(hù)機(jī)制。盡管IPv6還不是當(dāng)前網(wǎng)絡(luò)通信的主流協(xié)議,但從長遠(yuǎn)看,有必要開展超前研究,從健全安全防范制度和建立防范體系兩個(gè)方面,制定下一代互聯(lián)網(wǎng)的系統(tǒng)安全機(jī)制和信息安全機(jī)制。一是要健全安全防范制度,保障網(wǎng)絡(luò)系統(tǒng)安全。為加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全,在管理上要建章立制來強(qiáng)化相關(guān)人員的安全意識(shí)及規(guī)范其處置行為。例如,建立安全檢查制度,定期和不定期相結(jié)合進(jìn)行安全保密檢查,排查安全隱患,杜絕網(wǎng)絡(luò)違規(guī)操作,減少人為紕漏;建立網(wǎng)絡(luò)值勤制度,不斷強(qiáng)化網(wǎng)絡(luò)值勤人員的保密意識(shí)、責(zé)任意識(shí)及服務(wù)意識(shí),明確人員的職責(zé)劃分和操作規(guī)程,建立完善的值勤登記統(tǒng)計(jì),使網(wǎng)絡(luò)值勤管理精細(xì)化、正規(guī)化。二是要建立具有主動(dòng)性的網(wǎng)絡(luò)安全防范體系,確保網(wǎng)絡(luò)信息安全。采取加密、認(rèn)證、數(shù)字簽名、訪問控制、安全代理、安全審計(jì)和監(jiān)督控制等多種安全防護(hù)機(jī)制,實(shí)現(xiàn)信息儲(chǔ)存保密、傳輸保密和瀏覽保密,進(jìn)行實(shí)體認(rèn)證、操作員認(rèn)證和信息認(rèn)證,從運(yùn)行機(jī)制上保證網(wǎng)絡(luò)信息的安全。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)