IPV6规模部署网络安全威胁浅析

    翟智明

    摘要:基于现代社会的不断进步发展,我国互联网建设进一步完善,并成为国民经济发展的重要设施基础。在全球范围内,互联网也已经深刻影响经济格局、利益格局和安全格局的重要设施。而IP地址作为互联网发展运行的关键基础,其是现阶段比较稀缺的战略资源,针对这一状况,我国从战略高度上提出发展IPV6网络部署和整体规划,以抢占技术制高点。但IPV6规模部署过程中,存在着一定的安全威胁。鉴于此,本文主要从IPV6协议的特征入手,分析其网络安全威胁,并提出相关有效策略,展望未来发展趋势,旨在为我国IPV6规模部署过程中可能会出现的网络安全风险提供一些建议。

    关键词:IPV6;规模部署;网络安全威胁

    中图分类号:TP393? ? 文献标识码:A

    文章编号:1009-3044(2021)18-0058-02

    开放科学(资源服务)标识码(OSID):

    1前言

    IP地址是根据IP协议所提供的一种地址编码格式,是互联网网络设备的身份编号,每一个联网设备都拥有唯一的IP地址,而IPV6是当前互联网商业应用的解决方案之一,其能够解决以往IPV4应用存在的地址空间耗尽以及路由表爆炸等问题,可实现地址空间增加340万亿个,是互联时代发展中实现海量设备互联互通的坚实基础。同时IPV6可保障多条路由表项的合并,有效减少路由表的规模,符合现阶段互联网的发展趋势。但IPV6目前的應用还存在一定的安全隐患和威胁,需要采取有效应对措施,以解决困境。

    2IPV6协议的特征

    IPV6是一种替代现行IPV4的新IP协议,其在网络保密性、完整性等方面具有较大的性能提升,并保障其可控性和抗否认性。主要特征如下:

    (1)IP地址扩展和路由选择功能加强。通过实行IPV6协议,能够将IP地址长度从32位增加到128位,尽可能的支持数量较大的可寻址节点,同时保障自动配置多级的地址层次、简单地址等。

    (2)自动配置无状态地址。一般来说,只有大容量的地址空间才能够保障无状态地址的自动配置,促使IPV6的终端能够比较快速地连接互联网。改善了以往人工配置的现状,形成即插即用的便利配置方法。

    (3)对首部格式进行合理优化。IPV6协议能够将IPV4首部的一些字段改为选项或者直接取消,可在很大程度上减少报文。并且在分组处理中降低首部额外带宽的开销,即便是地址长度增加,也能够实现处理费用降低[1]。

    (4)支持首部和选项扩展。IPV6的选项一般处于单独的首部中,具体是在报文分组中IPV6首部和传送层的首部中间,使其选项具有任意长度,不仅限于40字节。

    (5)支持权限验证和数据的完整性。IPV6重新定义了一种扩展,能够保障权限验证和数据完整性,并成为IPV6的基本内容之一,并可支持保密性要求。

    (6)服务质量能力提高。当某一些的报文分组属于相应的特定工作流,IPV6能够挥发其新能力,此时发送者要求对其进行一定的特殊处理,充分提升服务质量。

    3 IPV6规模部署网络安全威胁

    3.1 技术安全威胁

    虽然IPV6是对IPV4的完善和改进,但在新技术的应用和使用过程中,仍然会出现一定的技术缺陷,致使出现网络安全风险。比如IPV6地址尽管能够缓解IP地址资源紧张的现状。不过由于海量地址的查询相对复杂,造成安全检测难度较大。并且IPV6协议自身也具有安全威胁,攻击者可利用IPV6特有的邻居发现协议等,发送错误的路由宣告以及重定向信息等,可促使数据包流向不确定的方向。就会导致拒绝服务,并拦截和修改数据包。再比如IPV4过渡到IPV6的协议时存在安全问题,攻击者能够借助过渡协议的漏洞,绕开相应的安全监测,对用户网络设备进行攻击,获得控制权,所以IPV4与IPV6共存会带来较大的安全威胁,一旦被攻击者所利用,则会造成较大的安全风险。另外,在当前移动终端、移动互联网、云计算以及大数据等现代化信息技术的发展和应用上,IPV6与其进行融合还存在较大的安全挑战。

    3.2 产业安全威胁

    从互联网及其安全防护设备产业的角度上来看,现阶段多数网络设备及应用仅支持IPV4,不能直接接入IPV6网络。即便是安全防护设备支持IPV6,但其网络防护能力还有待加强,在规模部署中无法满足网络安全全方位的检测防护要求。因此IPV6协议的安全性直接影响到互联网行业以及与其相关产业的经济发展。在IPV6规模化部署的形势下,为解决产业安全威胁,应当加强创新研发和更新支持IPV6的网络设备产品。并且为其解决安全性问题,提高IPV6网络的稳定性,需要全面测试相关的设备、网络、技术等,综合所有因素制定科学的测试计划[2]。

    3.3 管理安全威胁

    基于管理安全出发,IPV6的地址空间大于IPV4,所以在分配和管理IP地址时,在缺乏相应有效的管理知识和经验的支持下,难度较大。并且在数据加密、验证和签名中,都需要对大量的密钥开展安全管理,以此才能够确保网络数据具有良好的安全性,但现有管理策略不能满足实际需求。另外一方面,在IPV6规模部署时,网络用户数量十分片庞大,相应的设备规模较为巨大,需要频繁的操作证书注册、更新、存储以及查询等工作,如果KPI不能满足高访问量的快速反应,则无法提供及时的状态查询,影响服务质量的提升。

    4 IPV6规模部署保障安全的策略

    针对IPV6网络应用出现的安全问题和威胁,应当采取有效的策略,解决主要问题,发挥其替代IPV4的优势性,推动互联网安全建设,满足社会进步和经济发展的需求。所以针对上述技术威胁、产业威胁和管理威胁,应采用以下几个安全策略。

    4.1 强化防护技术投入

    强化对IPV6安全防护技术的研究投入和前瞻部署是十分重要的,首先即是基于IPV6协议的本身特征,分析其很容易受到分片攻击、扩展头攻击或者是邻居发现协议攻击等。所以必须要根据各种攻击类型重点研究其攻击原理、攻击检测以及攻击防御等,为解决方案的制定奠定良好基础。其次是在IPV4向IPV6过渡时,应当将过渡机制与安全防护相融合,形成无缝、平滑和安全技术体系。最后要注重结合新技术,即是可在IPV6环境下,结合物联网、互联网、云计算等安全技术、管理机制等,构建良好的、可靠的解决方案。比如在移动互联网高速发展的趋势下,提高移动网络的安全性,综合考虑IPV6在感知层的应用安全、建立IPV6云计算平台等,促使安全防护技术趋向多样化、有效化方向发展。另外还需扩展邻居发现协议中的安全选项,即是在每个IPV6中设置一对公私钥和多个邻居扩展选项,能够通过时间戳和Nonce选项来抵御攻击。

    4.2 注重研发信息安全产品

    根据IPV6协议的特点和应用要求,为保障产业及行业的健康发展,需要创新研发信息安全产品,在现有网络安全保障系统基础上,进行相应的升级改造,以便于进一步提高对IPV6地址与网络环境的支持能力。并按照我国行业发展要求,在产品中增加IPV6地址精准定位功能,加强侦查打击能力和快速处置效率等。并可建立完善的互联网设备研发体系,针对IPV6的网络安全等级保护、个人信息保护、通报预警、风险评估和灾难恢复、备份等方面入手,提高IPV6协议的应用效果。比如为应对IPV6协议的安全威胁,可在交换机的物理端口设置相应的流量限制,在运行过程中将超出限制的数据包进行丢弃,或者可以在网络防火墙、邊界路由器上启动对IPV6数据包过滤机制,拒绝转发带有安全隐患的报文,可有效解决安全威胁。

    4.3 加大政策支持力度,加强安全管理

    IPV6规模部署的安全威胁防范需要加大政策的支持力度,促使系统管理更加安全。因此应当严格按照我国国务院办公厅印发的《推进互联网协议第六版(IPV6)规模部署行动计划》,落实各项建设措施,提高对安全问题的重视程度。同时要出台相关人才扶持政策,通过IPV6专业知识培训和教育工作,充分提供从业人员的技能,对IPV6规模部署中可能存在的安全威胁,做到早发现、早研究和早解决,避免造成严重的损失后果,构建完善的IPV6网络安全管理体系,在根本上提高安全管理水平,实现规模部署具有良好的应用效果。

    5 IPV6网络安全策略的发展趋势

    对于未来IPV6网络安全策略的发展,为保障IPV6规模部署得到充分的安全保证。则需要采取以下策略方法:采用单一地址的反向传输路径转发,有效拒绝全部拥有模糊源地址的数据包,防范网络恶意攻击;对低信誉的IPV6地址的信息流量采取必要的阻止措施;对出站信息流量进行检查,只允许具备匹配条件的返回流量,不过实质上其仅是通过IPS来检测用户无意带入的僵尸网络流量、恶意软件等;允许入站网络流量在进入到公共DNS时,拥有AAAA记录的地址;当某个内部地址从未与外部进行发送和接受工作,则应当阻止所有信息流量进入到该地址中,确保内部设备不会被外部恶意访问;对所有入站的SSL以及TLS信息流量采取拦截手段,并使用自签名证书对数据包进行解密,以便于在其进入之前开展安全隐患检查;当通过IPS后,默认允许其他入站信息流量,但应当对其速率进行严格的限制,目的是保障网络设备出现超载的情况。在未来IPV6规模部署中实施上述安全策略,能够在很大程度上,确保IPV6协议在实际应用中的安全性和稳定性。

    6 结束语

    综上所述,IPV6相比于IPV4具有诸多优势,其也是未来互联网IP地址资源建设的必经之路。因此在规模化部署过程中,要严格关注网络安全问题。针对现存的安全威胁和隐患,采取技术策略、政策策略以及管理策略等,充分保障IPV6协议的优势得以发挥,切实推动我国社会经济的高效发展。

    参考文献:

    [1] 张连成,郭毅.IPv6网络安全威胁分析[J].信息通信技术,2019,13(6):7-14.

    [2] 林冀宁,蒋武军.基于IPv6蜂窝网络的防火墙安全问题研究[J].江苏通信,2019,35(4):75-76,79.

    【通联编辑:闻翔军】