1 引言
随着网络新应用和新技术的不断发展,IPv4地址已不能满足网络发展的需求。IPv6协议以其巨大的地址空间、内在的安全机制等特性,成为国内外下一代网络发展的研究热点。安全是保证网络健康发展的重要因素,IPv6网络安全保障体系的配套建设也成为IPv6网络建设的重要方面,如果在IPv6网络设计阶段就对网络安全进行通盘考虑,能够提升网络架构的整体安全性;同时,将网络安全与网络建设同步,有利于网络资源的合理分配。而IPv6网络从IP层协议本身进行了安全性改善,其安全性提升也为新应用的开展提供了便利,为端到端安全提供更灵活、方便的技术手段,能够促进新的安全业务和应用的开展。但是,随着基于IPv6的下一代网络中应用的增加、速度的加快和规模的变大,IPv6网络面临着新的安全风险,因此电信IPv6网络建设中必须同步考虑网络安全这一重要问题。
本文从电信运营商的角度出发,把握IPv6网络建设的脉搏,对电信IPv6网络安全保障体系的架构进行了深入研究,给出了过渡时期电信IPv6网络安全保障体系建设策略。
2 电信IPv6网络安全风险
电信IPv6网络是以IPv6协议为基础和标志性技术的下一代互联网。IPv6协议相对于IPv4协议在安全方面有了一定的改善,解决或缓解了IPv4环境中存在的部分安全问题,但物理层、链路层和应用层等安全问题在IPv6网络环境中则仍然存在。另外,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。
(1)IPv6安全改进
IPv6协议巨大的地址空间、固化的安全机制等新特性对提升网络安全性有一定的作用。第一,IPv6将原先独立于IPv4协议簇之外的报头认证和安全信息封装作为扩展头置于IPv6基本协议之中,为IPv6网络实现端到端安全认证和加密封装提供了协议上的保证,能在一定程度上提升业务和应用的安全性;第二,IPv6协议禁止具有IPv6组播目的地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息,从而避免了广播风暴的产生;第三,IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1 280 byte的重组数据包等机制,有效防范了IP碎片包攻击;第四,IPv6地址数量庞大,对IPv6网络实施扫描攻击比较困难,通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施;第五, IPv6对地址前缀的指定及分配较规律,使得下游ISP的地址总是落在上游ISP的汇总地址空间内,对ISP而言,易于在入口实现过滤机制,有效防御虚假源地址攻击,同时基于IPv6的真实源地址技术的发展也使解决这种安全问题成为可能。
(2)IPv6网络中仍存在的安全风险
IPv4网络环境中大部分安全风险在IPv6网络环境中仍将存在,而且某些安全风险随着IPv6协议新特性的引入将变得更加严重。第一,DDoS等异常流量攻击仍然猖獗甚至更为严重,主要包括TCP-flood、UDP-flood等现有DDoS攻击,以及IPv6协议本身机制的缺陷所引起的攻击,如邻居发现(ND)协议报文缺乏认证可能引发的重复地址检测(duplicate address detection,DAD)攻击、IP-flooding攻击等。第二,针对DNS的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。第三,IPv6协议作为网络层的协议,仅对网络层安全有影响,其他(包括物理层、数据链路层、传输层、应用层等)各层的安全风险在IPv6网络中仍将保持不变。
(3)IPv6网络过渡技术安全问题
IPv4向IPv6的过渡是一个长期的过程,在IPv4与IPv6共存时期,为解决两者间互通所采取的各种措施将带来新的安全风险。例如,隧道方式下存在的拒绝服务攻击、中间人攻击,NAT-PT技术下存在的拒绝服务攻击等。
综合以上的分析,笔者认为,尽管IPv6协议在设计时考虑了安全问题,但IPv6网络环境相较于IPv4网络环境在安全性上并没有大的提升。第一,IPv6网络在IP层引入了IPv6协议,在网络架构上采用双栈等过渡技术以IPv4网络为基础进行逐步演进,因此在网络安全架构上没有质的改变。第二,IPSec机制作为IPv6数据包头的一部分内嵌到协议本身,尽管能使IPSec中间路由过程加快,但在IPSec部署实施上与IPv4并没有明显不同,同样需配套PKI等体系的建设。第三,相对于IPv4网络环境而言,在IPv6网络环境中实施扫描和分片类型的攻击将更加困难,但实施溢出类和DDoS等资源占用类攻击并未有难度上的变化,该类攻击在网络攻击危害中仍占据主导地位,IPv6网络环境的安全威胁仍很严峻。第四,IPv6网络同样需考虑应用层、传输层、物理层等的安全。
为防止IPv4网络发展过程中在安全方面出现的亡羊补牢、疲于应付的局面重蹈,电信运营商应在IPv6网络的设计和建设阶段同步考虑安全问题,配合多种手段从多个维度、多个层次构建IPv6网络保障安全体系。
3 电信IPv6网络安全保障体系框架
根据电信网络特点,可将电信IPv6网络安全保障体系分为当前时间点的静态安全防护体系以及后续动态安全运营体系两个层面。通过IPv6网络各平面的隔离控制以及相应安全保护和控制措施的实施保障网络的静态安全;同时通过安全检测和响应等安全基础设施和相关安全管理组织、制度和流程的配套建设,实现对网络安全风险的动态发现和管理,并通过IPv6网络安全业务的开展将安全防护手段向客户网络延伸,加强电信网络的安全可控。最终实现网络持续安全保障和改进的长效目标,形成安全可管可控的电信可信IPv6网络架构。
(1)静态安全防护体系
根据ITU-T X.805标准(端到端通信系统安全框架),网络可分为基础设施层、业务层和应用层,每个网络层次又可以划分为管理、控制和用户三个平面。为了实现层次化、等级化的安全防护,电信IPv6网络静态安全防护体系可考虑通过网络设计和优化来保障网络内在的健壮性,同时清晰地划分业务、管理和控制三个平面,采用多种技术手段隔离管控,并在每个平面实施相应安全防护措施,从而使每个平面在安全方面都具备访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私性8个属性。具体来说,电信运营商可从以下两个方面开展静态安全防护体系的建设。
一方面清晰界定网络层次,进行合理管控,实现业务平面、信令和控制平面、网络和业务管理平面逻辑分离,在每个平面实施相应安全防护措施(在控制平面实现网元设备之间认证及路由信息安全更新与传递;在业务平面实现用户登录认证、业务授权、业务和网络资源可用性保证、业务安全控制要求;在管理平面实现维护终端的认证与授权,核心的数据、应用、系统、网络平台的保护,各支撑系统的承载方式,以及访问控制要求、系统与外部交互要求的相应控制点、内外部的维护管理要求),并有效利用IPv6协议的PSec特性、源地址过滤技术等加强平面内的安全保护。
另一方面合理管控三平面之间的资源互访,在各平面安全域根据各域的特点辅以相应的安全保护和控制措施,在同一物理网络承载不同业务,应实现带宽管理机制,同时业务互访应在应用层进行有限互联,避免网络层直联,并在IPv4/6双栈设备上采用严格的网络过滤和访问控制策略防范IPv4和IPv6安全问题的相互影响。
来源:电信科学
