不灭的话题——IPv6安全问题

不灭的话题——IPv6安全问题

在互联网的不断发展的过程中，折射出更为突出的安全问题。现在，IPv6的商用，给我们带来了更为严峻的安全问题。IPv6安全问题，是否能是我们完全放心地使用互联网呢？这里，笔者认为，不管是哪个时代，哪个领域安全问题永远是不灭的话题。

IPv6安全问题

IPv6能彻底解决互联网中的安全问题吗？

原来的互联网安全机制只建立于应用程序级，如E-mail加密、SNMPv2网络管理安全、接入安全HTTP、SSL）等，无法从IP层来保证Internet的安全。为了加强互联网的安全性，从1995年开始，IETF着手研究制定了一套IP安全IP Security，IPSec）协议用于保护IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性机制，它是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。通过集成IPSec，IPv6实现了IP级的安全。IPSec提供如下安全性服务：访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。

IPSec的认证报头Authentication Header，AH，RFC2402中描述）协议定义了认证的应用方法，封装安全负载Encapsulating Security Payload，ESP，RFC2406中描述）协议定义了加密和可选认证的应用方法。IPSec安全性服务完全通过AH和ESP头相结合的机制来提供，当然还要有正确的相关密钥管理协议。在实际进行IP通信时，可以根据安全需求同时使用这两种协议或选择使用其中的一种。

IPv6实质上不会比IPv4更加安全。IPv6标准的起草者、思科总部的两位“杰出网络技术领袖”Fred Baker和 Tony Hain认为IPv6从根本上来说，只是IP地址改变的协议包，并不能解决现在的互联网协议IPv4中的安全问题。但是由于IPSec提供的端到端安全性的两个基本组件——认证和加密——都是IPv6协议的必备组件，而在IPv4中，它们只是可选组件，因此，采用IPv6，安全性会更加简便、一致。更重要的是，IPv6使我们有机会在将网络转换到这种新型协议的同时发展端到端安全性。

为解决IPv6安全问题，传统的安全设备需要做那些改进？

IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备，但由于IPv6的一些新特点，IPv4网中现有的这些安全设备在IPv6网中不能直接使用，还需要做些改进：

防火墙的设计

由于IPv6相对IPv4在数据报头上有了很大的改变，所以原来的防火墙产品在IPv6网络上不能直接使用，必须做一些改进。针对IPv6的Socket套接口函数已经在RFC3493：Basic Socket Interface Extensions for IPv6中定义，以前的应用程序都必须参考新的API做相应的改动。

IPv4中防火墙过滤的依据是IP地址和TCP/UDP端口号。IPv4中IP头部和TCP头部是紧接在一起的，而且其长度是固定的，所以防火墙很容易找到头部，并应用相应的策略。然而在IPv6中TCP/UDP报头的位置有了根本的变化，它们不再是紧连在一起的，通常中间还间隔有其他的扩展头部，如路由选项头部，AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤操作，这对防火墙的处理性能会有很大的影响。

入侵检测系统IDS）的设计

在IPv6安全问题下也使我们不得不放弃以往的网络监控技术，投身一个全新的研究领域。首先，IDS产品同防火墙一样，在IPv6下不能直接运行，还要做相应的修改。其次，IDS的工作原理实际上是一个监听器，接收网段上的所有数据包，并对其进行分析，从而发现攻击，并实施相应的报警措施。但是，如果使用传输模式进行端到端的加密，IDS就无法工作，因为它接收的是加密的数据包，无法理解。当然，解决方案之一是让IDS能对这些数据包进行解密，但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样，也有待时间的考验。

由于IPv6中引入了网络层的加密技术，未来网络上的数据通讯的保密性将会越来越强，这使网络入侵检测系统和主机入侵检测引擎也面临在多种不同平台如何部署的问题。这就需要研究IDS新的部署方式，再下一步，研究如何才能在任何网络状况、任何服务器、任何客户端、任何应用环境都能进行适当的自转换和自适应。