下一代网络安全.docVIP

下一代网络安全方面存在的问题及应对策略 随着世界政治经济的发展 , 商业机构和政府部门越来越依赖计算机，于是，对于通信网络的安全性要求就更为迫切。下一代互联网是未来信息社会的制高点，而 IPv6 则是下一代互联网的基础和灵魂。IPv6 即下一代互联网协议，是由互联网工程任务组 (IETF) 设计的一种新的 IP 协议，以期替代现行的 IPv4 协议。对于 IPv4 协议的缺陷，IPv6 协议进行了较大的改进。 IPv6协议中问题： （1）IPv6内部数据结构的隐患 为了保障协议运行的高效性，IPv6 协议定义了大量内部数据结构，用来保存近期通信产生的网络状态、路由等信息，包括绑定缓存、目的缓存、邻居缓存、前缀列表、默认路由列表等，其中第一个字段即查询关键字字段。由于 IPv6 节点将维护每一个网络接口的内部数据结构，所以如果不采取有效措施约束这些内部数据结构的产生和使用，攻击者只要在通信源 IPv6 的节点上，制造一些错误的信息，造成目的节点无法收到数据，在到达一定规模后就会使整个网络发生瘫痪。 （2）IPv6编址机制的隐患 以目前的网络安全分析技术来讲，网络寻址空间的大小有着直接的影响。IPv6 中，流量窃听将成为攻击者安全分析的主要途径，面对庞大的地址空间，漏洞扫描、恶意主机检测、IDS 等安全机制的部署难度将激增。IPv6 引入了IPv4 兼容地址、本地链路地址、全局聚合单播地址和随机生成地址等全新的编址机制。其中，本地链路地址可自动根据网络接口标识符 ( 如 MAC 地址 ) 生成而无需 DHCP/自动配置协议等外部机制干预，实现不可路由的本地链路级端对端通信，因此移动的恶意主机可以随时连入本地链路，非法访问甚至是攻击相邻的主机和网关。全局聚合单播地址采用了层级式的子网分级编址机制，采用接口令牌和当前网络前缀导出主机地址创建接口标志符，虽然简化了主机身份识别的过程，但是部分削弱了IPv6 庞大的地址空间带来的攻击抵制作用，有可能泄漏用户身份，导致严重的隐私性问题。 （3）无状态地址自动配置的隐患 在 IPv6 中，非授权用户可以更容易接入和使用网络。对于冲突地址检测机制，攻击者只要对临时地址的邻居请求进行回复，请求者就会以为该 IP 地址冲突现象产生，于是放弃使用该临时地址，以至发成拒绝服务（DoS）攻击。 （4）邻居发现协议的隐患 在自动地址配置中,邻居发现协议（NDP）是基于 IP 的协议结构，用来完成邻居可达性检测、链路地址解析、路由及网络前缀发现、流量重定向和 DOA 检测等链路机制。NDP 替代了大多数 IPv4下对等的链路层部分 ICMP 和 ARP 功能，其协议安全性非常关键。报文身份的可鉴别性是 NDP 协议的主要安全需求，而哄骗报文攻击是其所而临的主要安全威胁。攻击者只要仿造节点不可达信息和重复地址检测，进行 DoS 攻击，或者传播虚假的路由响应和重定向报文，就能诱骗网络流量。 （5）IPv6的安全机制对现行网络安全体系的挑战 ①由网络层的传输中采用加密方式带来的隐患分析。 针对密码的攻击，对一些老版本的操作系统，有的组件不是在验证网络传输标识信息时进行信息保护，于是，窃听者可以捕获有效的用户名及其密码，掌握合法用户权限，进入机器内部破坏。 针对密钥的攻击，IPv6下，IPsec 的两种工作模式 ( 传输模式和隧道模式 ) 都要交换密钥，一旦攻击者破解到正确的密钥，就可以得到安全通信的访问权，监听发送者或接收者的传输数据，甚至解密或窜改数据。另外，攻击者可能企图利用泄露密钥计算其它密钥，获得其它安全通信的访问权。 加密耗时过长引发的 DoS 攻击，加密需要很大的计算量，如果黑客向目标主机发送大规模看似合法事实上却是任意填充的加密数据包，目标主机将耗费大量 CPU 时间来检测数据包而无法回应其他用户的通信请求，造成 DoS。 ②对传统防火墙的冲击，现行的防火墙有三种基本类型，即包过滤型、代理服务器型和复合型。其中代理服务器型防火墙工作在应用层，受 IPv6 的影响较小，另外两种防火墙都将遭到巨大冲击。 ③对传统的入侵检测系统的影响，入侵检测（IDS）是防火墙后的第二道安全保障。IDS 按审计数据来源，可以分成基于网络的 IDS（NIDS）和基于主机的 IDS（HIDS）。其中，NIDS可以直接从网络数据流中捕获其所需要的审计数据，从中检索可疑行为。但是，IPv6 数据已经经过加密，如果黑客利用加密后的数据包实施攻击，NIDS 就很难检测到任何入侵行为。 （6）IPv6中组播技术缺陷的隐患 组播用户数量成倍增长却不需要增加网络带宽和通信信息的拷贝，这是组播通信的优势所在。组播的开放性使通信数据缺乏机密性和完整性的安全保护，而 IPv6 组播所需的MLD 等组播维护协议不能满足安全的需要。 ①组播接收者要判