下一代网络过渡中安全问题的研究

下一代网络过渡中安全问题的研究

摘要:本文阐述了IPv4和IPv6的主要的过渡技术,对IPv6取代IPv4期间网络可能存在的各种安全问题进行了具体的研究和分析,特别是重点地研究了过渡所用主要技术与网络中所采用的安全技术存在的不匹配问题。

关键词:IPv4 IPv6 过渡技术

随着计算机网络的飞速发展,以IPv4技术为基础的网络在发展中遇到诸多问题和技术瓶颈,尤其IPv4地址匮乏问题。解决IP地址不足的根本途径是用IPv6取代IPv4,但目前的网络结构和网络设备大多是基于IPv4技术的,IPv6的推广应用牵涉到这些网络结构和网络软、硬件设备的更换,只能逐步用IPv6替换IPv4网络。在IPv6逐渐替换IPv4的过渡过程中,随着过渡技术的应用及网络结构变得越来越复杂,在网络安全方面产生了越来越多的不容忽视的问题[1]。

1 网络过渡技术

网络过渡技术一般包括:双协议栈技术、隧道技术和翻译技术。

1.1 双协议栈技术

双协议栈技术就是在主机上同时配备IPv4和IPv6。该技术实现了IPv6和IPv4两种协议的完全匹配,但由于主机仍然需要一个IPv4地址,所以它一般只能作为实现翻译技术、隧道技术等其他主要过渡

技术的工具。

1.2 隧道技术

隧道技术就是通过建立一条虚拟的隧道来连接通信双方。这种技术主要应用于连接彼此分隔的IPv6子网络,通过在IPv4 网络中建立一条通信信道达到IPv6子网络互相之间的连接。处于隧道两头的IPv6子网络中的主机进行通信时,是感觉不到隧道的存在的,隧道是由处于隧道端点的网关来管理的。

1.3 翻译技术

翻译技术包括无状态因特网控制报文协议-因特网网际协议翻译和网络层协议-地址翻译技术。实施无状态因特网控制报文协议-因特网网际协议翻译技术的环境是要有一个具备双协议栈且安装了无状态因特网控制报文协议-因特网网际协议翻译技术转换器的翻译网关。网络层协议-地址翻译技术是目前最著名的地址翻译机制,是无状态因特网控制报文协议-因特网网际协议翻译技术和NAT动态地址翻译技术的结合与改进。NAT-PT处于IPv4网络和IPv6网络的交界处,用来实现IPv4主机与IPv6主机之间的通信。在NAT-PT中,使用应用层网关ALG转换分组中的IP地址格式。

2 过渡技术中的安全问题

2.1 双栈技术的安全问题

双协议栈技术的采用,会在一台主机上同时运行两种版本的网络层协议。这两种网络层协议在技术上存在不相关性,他们之间的协调配合的不完善往往会造成一些安全方面的缺陷,其中任何一种网络层协议存在的安全问题都会影响到另一种网络层协议的安全运行。

2.2 隧道技术的安全问题

网络隧道技术的采用,使网络结构变得更加复杂。对于一个本来安装设置了各种安全设备和技术的网络,当网络中加入了隧道技术后,这些安全设备和技术所形成的安全功能就有可能受到隧道的破坏而丧失原有的功能。

2.3 地址翻译技术的安全问题

网络层安全协议是为保护在网络上正常传送的数据的安全而设计的协议。它的目的就是要尽量保护在网络上正常传送的数据的安全。因此他对在网络上正常传送的数据进行了最大程度的保密和防止更改等[2]。而网络层协议-地址翻译技术为了实现不同网络中采用不同网络层协议的主机能实现相互之间的通信,需要对网络中传送的数据报进行协议和IP地址的变换,这种变换涉及到数据报内部一系列相关字段的值的更改,由于网络层安全协议对数据的保护,往往使这种变换无法正常完成,带来网络安全协议技术与网络层协议-地址翻译技术不匹配的问题[3]。

(1)修改后的数据报的内容会和用修改前数据报内容运算得出的数据报摘要发生不一致。

(2)修改了IP地址后的数据报如果不同时对数据报网络运输层报头里的检验和重新进行计算更改,就会发生检验和错误。

(3)接收端从数据报中提取的选择符信息就发生了变化,接收端无法在安全策略数据库中找到数据报的安全处理的策略,就会丢弃这个数据报。

(4)使双方的协商无法进行。

(5)改变了端口号,给联系带来了麻烦。

3 封装安全加载的改进方案

通过对网络安全协议与网络层协议-地址翻译技术的不匹配问题的研究,本文提出一种称作封装安全加载的改进方案的改进策略。

3.1 发送方网络安全协议对数据报的处理过程

在发送方,当需要发送的用户数据报被传送到网络安全协议层后,网络安全协议层从数据报中提取出数据报的运输层和安全插口层的报头,再和生成的封装安全加载报尾一起,进行封装安全加载的加密,生成一个加密包。然后把加密包的长度填入封装安全加载报头中新增

加的加密包的长度字段里。然后对由封装安全加载报头、加密包和用户数据组成的数据段进行认证运算,生成封装安全加载的效验值,放入封装安全加载的校验数据域中。

3.2 接收方网络安全协议对数据报的处理过程

在接收方,先根据封装安全加载报头中新增加的加密包的长度字段的值,从数据报中提取出加密包和用户数据。然后对由数据报的封装安全加载报头、加密包和用户数据组成的数据段进行封装安全加载校验和的计算,所得结果与封装安全加载的校验数据域中的值进行比较,若相同,就通过了验证。然后对加密的用户数据和加密包进行解密。最后拼装成原始的数据报。

3.3 在地址翻译和协议翻译网关上对数据报的处理过程

在地址翻译和协议翻译网关上,对接收的数据报的处理分三个步骤完成。第一步,接收端收到数据报后,对数据报解密。第二步,进行数据报的协议和地址的修改,根据修改后的报文重新计算传输控制协议中的检验和。第三步,地址翻译和协议翻译网关重新对数据报进行加密和鉴定,生成一个新的数据报。数据报在从发送方到接收方的整个传送过程中,要经过发送方加密→地址翻译和协议翻译网关解密→地址翻译和协议翻译网关加密→接收方解密这样一个两次加密,两次解密的过程。

4 结语