书城计算机网络下一代互联网
19457200000013

第13章 下一代互联网安全和可信任互联网(1)

内容提要

虽然IPv6协议本身考虑了对网络安全的更好支持,但是IPv6协议也带来了一些新的安全问题。下一代互联网安全机遇与挑战并存。可信任互联网是构建安全可信的下一代互联网的关键技术,而真实IP源地址验证体系结构是可信任下一代互联网技术的基础。

5.1 下一代互联网安全

下一代互联网的主要特征之一是以IPv6协议替换IPv4协议,IPv6协议具有128位的地址空间,支持灵活的扩展报头及无状态地址自动配置,将IPSec作为实现必选项,更好地支持移动性等特征。IPv6协议本身考虑了对网络安全的更好支持,但是同时IPv6协议也带来了一些新的安全问题。这些新的安全问题有的直接来自IPv6协议及其相关协议;有的存在于从IPv4向IPv6协议过渡的过程中。并且,随着下一代互联网规模的不断扩大,会产生许多新的应用模式,网络应用范围不断扩大、接入方式呈现多样化,攻击手段会与日俱增,上述这些新的网络安全问题需要有相应的安全策略应对,同时下一代互联网的大规模部署也会给信息安全监管带来挑战。

保障下一代互联网的网络和信息安全是发展下一代互联网的重要前提,下一代互联网将成为国家未来信息基础设施的重要组成部分,关系到国家安全和社会经济健康发展,因此,下一代互联网网络和信息安全对于维护国家安全和经济发展至关重要。并且,抓住下一代互联网的发展契机,掌握下一代互联网网络和信息安全关键技术,有利于逐渐改变目前互联网受制于人的不利局面,逐步实现网络安全自主、可控。

5.1.1 IPv6协议相关安全问题分析

和IPv4协议相比,IPv6协议在地址空间、支持无状态地址自动配置、保护通信的完整性和机密性等方面有所提高,此外,IPv6协议设计还具有易于实现路由表聚类、增强了对移动性的支持等特点。一方面,这些特点使得IPv6协议的性能比IPv4协议有所提高,但是另一方面,这些特点也带来了新的安全问题。

由于IPv6协议是网络层的协议,因此其对网络安全问题的影响很大一部分集中在网络层。IPv6安全问题主要可以划分为以下几类:

(1)和IPv4协议类似的安全问题;

(2)IPv6协议产生的新的安全问题;

(3)由IPv4向IPv6过渡带来的安全问题;

(4)下一代互联网新型应用带来的安全问题。

通过分析比较IPv4和IPv6协议的安全问题,发现采用IPv6协议后,有些安全问题的原理和特征基本没有发生变化,如窃听攻击、应用层攻击、中间人攻击、洪泛攻击等。由于IPv6协议的引入,许多安全问题的原理和特征发生了显著变化,主要有侦察、非授权访问、分组头部和分段信息的篡改、源地址伪造等[1]。

1.IPv6与IPv4协议类似的安全问题

采用IPv6协议后,原理和特征与IPv4网络中基本未发生变化的安全问题可以划分为三类。

1)网络层以上的安全问题

网络层以上的安全问题主要是各种应用层的攻击,由于IPv6协议是网络层协议,它替代IPv4后,对上层提供的服务没有改变,因此,应用层攻击的特征和原理基本没有发生变化。

2)与网络层数据保密性和完整性相关的安全问题

与网络层数据保密性和完整性相关的安全问题主要是窃听攻击和中间人攻击。由于这类攻击主要通过截获IP数据包来获取相关敏感信息。破坏数据保密性和完整性。因此,采用不同的IP协议,其攻击原理没有发生变化。

窃听攻击是在网络中利用某种手段非法窥探其他用户间的信息流进而获得其密码和资料的攻击。通常采用嗅探(Sniff)的方法,利用网络嗅探器窃听数据流;并利用协议分析器解析分析数据,找到有用信息。

中间人攻击(MITM)是一种“间接”的网络安全攻击,这种攻击模式通过各种技术手段将受攻击者控制的一台计算机虚拟放置在两台通信计算机之间,这台受攻击者控制的计算机就称为“中间人”。然后“中间人”能够与那两台通信中的计算机建立活动连接并从中读取或修改传递的信息,然而两个通信中的计算机用户却认为他们是在直接互相通信。中间人拦截数据、修改数据,并发送修改后的数据。典型的中间人攻击有会话劫持、DNS欺骗、恶意代理服务器等。MITM攻击成为对网上银行、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。

采用IPSec协议后,窃听和中间人攻击将比较困难,主要原因是IPSec协议在网络层对数据分组提供加密和认证等安全服务,使得攻击者无法对所截获的数据包进行解密,从而无法获取有效信息。但是,由于目前还没有解决IPSec中涉及的大规模密钥分配和管理的困难,无法进行大规模部署,因此在IPv6网络中仍然存在窃听和中间人攻击。

3)与网络层可用性相关的安全问题

与网络层可用性相关的安全问题主要是指洪泛攻击,这种攻击造成正常用户无法访问网络资源,如常见的TCP SYN Flooding攻击。这种攻击利用了TCP的三次握手机制,攻击者向被攻击主机的TCP服务器端口发送大量的TCP SYN分组。如果该端口正在监听连接请求,那么被攻击主机将通过发送SYN-ACK分组对每个TCP SYN分组进行应答。由于攻击者发送的分组的源地址通常是随机产生的,当然不可能建立真正的TCP连接。服务器端一般会重试并等待一段时间后丢弃这个未完成的连接。服务器端将会维护一个非常大的半开连接列表,进而消耗大量服务器资源,而无暇理睬其他正常客户的请求,从而导致服务器受到拒绝服务攻击。

上述几种攻击形式在目前互联网中已经存在,在下一代互联网中还会出现,可以基于目前互联网已有的技术方案加以防范和解决。

2.IPv6网络下攻击原理发生变化的安全问题

与IPv4网络安全问题相比,IPv6网络中,原理和特征发生明显变化的安全问题主要包括以下几个方面。

1)扫描

扫描是一种基本的网络攻击方式,也是很多其他网络攻击方式的初始步骤。扫描的过程包括:端口扫描、信息搜集、漏洞发现、攻击实施。扫描技术主要有TCP Connect、TCP SYN、利用IP分片及UDP端口扫描等。网络攻击者试图通过扫描获得关于被攻击网络地址、服务、应用等各个方面尽可能多的信息。

IPv4相对较小的地址空间为网络攻击前期的拓扑检测、主机扫描及攻击对象分析提供了便利,在IPv6环境下扫描非常困难。主要原因是,IPv6的一个子网空间比整个IPv4地址空间都大。IPv6协议使用后64位进行子网编码,每个子网可以容纳的主机数目是264,而IPv4协议中最常见的子网大小是28,因此,在IPv6网络中对所有主机进行扫描非常困难。据计算,在一个拥有1万个主机的IPv6子网中,假设地址随机均匀分布,以100万次每秒的速度扫描,发现第一个主机所需要的时间的均值超过28年。

但是攻击者可以根据IPv6协议的特点,通过运用一些特殊策略简化和加快子网扫描。主要的策略有:

(1)很多提供公共服务的主机可以通过DNS直接发现其主机地址;

(2)由于IPv6地址难以记忆,网络管理员可能会给服务器配置一些比较特殊的IPv6地址,可以通过猜测这些简单的IP地址实施扫描;

(3)由于IPv6地址自动配置机制中,主机的IP地址会采用MAC地址扩展加子网前缀构成,可以利用厂商的网卡地址范围缩小扫描空间;

(4)恶意攻击者可以通过攻破DNS服务器或路由器,读取其缓存信息来获得相关主机的IP地址信息;

(5)利用IPv6协议规定的特殊组播地址,如所有路由器(FF05:2)、所有DHCP服务器(FF05:1:3)等实现扫描。因此,限制这些地址无法从外部网络访问是必需的。

针对上述问题,IPv6专门引入了随机地址生成机制,以随机方式生成地址中的主机标识,并和子网前缀组成一个随机地址供主机临时使用。这种方式可以有效地抵制主机身份泄露及小范围地址空间扫描尝试,但给现有的网络安全管理机制带来了一系列新的负面影响。例如,针对以随机生成地址为源地址的主机发起的攻击难以监控和追踪,其所发起的DoS攻击则更加难以进行有效防范。此外,随机地址对于整个网络安全策略的定义、实施和管理也提出了更高的要求。由于IPv6不再强调以单一IP地址的方式来标识主机,一个主机网络接口能够被赋予多个IP地址,而这些地址有可能同时具备可在网络上路由的网络前缀,这种多宿主的网络地址配置方式和随机地址一样,在实现高度配置灵活性的同时,均要求网络安全策略中主机标识定义及其控制粒度能够与之相适应,因此要求IPv6实现完备的整体安全策略和有效的访问控制机制。

2)非授权访问

访问控制服务是信息安全中的一个重要组成部分,它的实现技术包括访问控制列表、防火墙等。防火墙是在两个网络之间实施访问控制政策的一个或一组系统。按主要技术划分,包括包过滤型防火墙、地址转换型防火墙和应用层代理型防火墙等。应用层代理型防火墙工作在应用层,受IPv6的影响比较小,其余的两种都受到比较大的影响。

地址转换型防火墙主要通过地址转换技术,使外网的机器看不到被保护主机的IP地址,从而使防火墙内部的机器免受攻击,但是由于地址转换技术和IPSec在功能上不匹配,在IPv6环境下,很难穿越地址转换型防火墙利用端到端的IPSec进行通信。

包过滤型防火墙工作在网络层,基于IP源地址和目的地址、协议类型、TCP/UDP源端口号和目的端口号,以及ICMP的消息类型等信息对经过的每一个包进行检查。在IPv4中,IP报头和TCP报头是紧接在一起的,而且长度基本固定,所以防火墙很容易找到报头,并使用相应的过渡规则。然而在IPv6环境下,IP报头中存在许多扩展头,防火墙必须逐个查找,直到找到TCP/UDP报头才能进行过滤,这对防火墙的处理性能会有很大影响,在带宽很高的情况下,防火墙的处理能力将成为整个网络的瓶颈。再者,对于包过滤型防火墙,如果使用IPSec的ESP机制,整个数据包被加密,防火墙无法解密。此外,包过滤防火墙对于ICMP消息的控制需要更加小心,IPv4下防火墙可以设置对ICMP消息进行过滤处理,但因为ICMPv6对IPv6至关重要,如MTU发现、自动配置和重复地址检测等。

另外,IPv6协议中的扩展头和分片机制也对防火墙造成较大影响,原因如下:IPv6协议中规定某些扩展头只能由目的主机查看并处理,如分片扩展头、路由选择扩展头和部分类型的信宿选项报头等,源和目的节点之间的路由节点均不需要查看这些扩展数据,中间节点对这些扩展头的处理和解释是没有定义的。但是,这项技术引起了广泛的争议,因为它有可能与潜在的安全需求相抵触。例如,IPv6网络中,由于多个IPv6扩展头的存在,防火墙很难计算有效数据报的最小尺寸,同时还存在传输层协议报头不在第一个分片分组内的可能,这使得防火墙、IDS等中间节点如果不对分片进行重组就无法实施基于端口信息的访问控制策略。这些安全机制所涉及的实现行为在目前的IPv6建议中依然没有得到明确。

3)伪造源地址

在IPv4网络中,源地址伪造的攻击非常普遍,如SYN Flooding、UDP Flood Smurf等攻击。对于这类攻击的防范主要有两类方法:一类是基于事前预防的过滤类方法,其代表有准入过滤(Ingress Filtering)等;另一类是基于事后追查的回溯类方法,其代表有ICMP回溯和分组标记等。这些方案都存在部署困难的缺陷,而由于网络地址转换(NAT)的存在,攻击发生后的追踪尤其困难。

在IPv6网络中,一方面,由于地址汇聚,准入过滤(Ingress Filtering)等过滤类的方法实现会更简单,负载更小;另一方面,由于少有网络地址的转换,追踪更容易。但是,因为要从IPv4向IPv6过渡,如何防止伪造源地址的分组穿越隧道(Tunnel)成为一个重要的问题。

综合上面的分析,IPv6的子网空间增大,这使得IPv4下基于地址前缀的源地址验证粒度不够,同时过渡技术的使用也使得穿过过渡节点IP源地址伪造更难被发现。

4)头操作与分片攻击

分片与头操作攻击主要有两个目的:首先,通过分片来逃避网络安全设备如NIDS或状态防火墙的检测;其次是通过分片或头操作来直接攻击网络基础设施。

IPv6中对选项头的数量没有限制,攻击者可以设置无限长的IPv6选项头链,使路由器穷于应付选项头的处理,甚至可能导致DoS攻击,如IPv4中的分片攻击技术在IPv6中就可以通过选项头来实现。

IPv4环境下处理分片包比较容易,因为IPv4包头有明显的标志,只要查看offset是否等于0即可。IPv6环境下情况比较特殊,IPv6协议规定只能由数据的发起端来进行分片,同时只有数据接收端才能进行数据重组操作,而中间网络设备是不参与分片和重组的。分片的标志也不是在IPv6的固定位置,而是由IPv6的扩展包头来说明。为此攻击者可以通过发送大量的分片IPv6攻击包,使得中间路由器和被攻击者在选项头的处理与数据包的重组上消耗大量资源和时间。

综合上面的分析,IPv6下要对基于数据包分片技术的攻击进行更为复杂的处理。

5)邻居发现与DHCP攻击

邻居发现协议(RFC 1970、RFC 2461、RFC 4861)替代了IPv4下使用ARP和ICMPv4完成的主要功能,其报文使用ICMPv6的报文结构和多个选项构成。邻居发现协议可以实现路由器发现、前缀发现、参数发现、地址自动配置、地址解析、确定下一跳、邻节点不可到达检测、重复地址检测及路由器重定向等功能。

邻居发现协议主要面临两类安全攻击:一类是重定向攻击,攻击者将报文从目的节点重定向到链路上的其他节点;另一类是拒绝服务攻击,攻击者破坏被攻击者与其他所有节点的通信。

重定向攻击包括以下几种情况。

(1)恶意的最后一跳路由器。攻击者周期性地发送路由器通告,假冒真的最后一跳路由器声明其生命期值为0,被欺骗的主机就会认为该路由器不再提供服务,进而选择假的主机作为默认路由器,攻击者就有机会截取主机的通信或实施中间人攻击。

(2)邻居请求或通告的欺骗。由于邻居缓存默认总是用新的信息来覆盖旧的信息,攻击者只须发送包含不同链路层地址的邻居请求或邻居通告,就能将本应发送到合法节点的报文转发到其他链路层地址。但攻击时间受限,攻击者必须一直对虚假的链路层地址做出响应以使攻击继续。此类攻击类似于IPv4中的ARP欺骗攻击。

(3)虚假的重定向报文攻击。利用重定向报文将发送到固定目的节点的报文转发到链路上的另一个地址。攻击者使用最后一跳路由器作为源地址发送重定向报文给合法主机。主机检查报文源地址是自己的默认路由器,从而接受该重定向。

拒绝服务攻击包含以下几个方面。

(1)虚假的地址配置前缀。攻击节点发出包含错误子网前缀的路由器通告,主机使用错误的前缀信息通过地址自动配置机制设置IP地址,因此该主机无法在子网中正常运行。

(2)重复地址检测的拒绝服务攻击。攻击者通过响应所有的重复地址检测过程,声称已使用被攻击者请求的地址,被攻击者将无法获取IP地址,进而实现拒绝服务攻击。

(3)邻居不可达检测(NUD)失败。节点通常依赖上层信息来确定其他节点是否可达,但如果上层通信的延迟足够长,节点就会激活NUD,发送邻居请求到目的节点。如果可达,目的节点会回应邻居通告;否则经过几次重试失败后,该节点就会删除对应的邻居缓存记录。攻击者持续发送虚假邻居通告来响应NUD的邻居请求,进而造成拒绝服务。

(4)虚假的路由器通告参数。主机使用路由器通告中的参数来确定自己是否要进行保持状态的地址配置。攻击者发送包含恶意参数的虚假路由器通告来破坏通信。例如,声明较小值的跳数限制,主机按此参数配置后发出的数据包将无法到达目的节点。

综合上面的分析可以看到,IPv6下引入的邻居发现协议,功能丰富但是面临重定向和拒绝服务两个类别的多种安全攻击,存在安全隐患。目前IETF已经通过了安全邻居发现协议(SeND)来弥补邻居发现协议的安全问题。

6)路由攻击

路由攻击可能破坏或重定向网络中的流量。路由攻击有多种手段,如利用快速宣告和撤销路由、发布虚假路由信息等。IPv4网络防范攻击手段是在路由器之间采用加密认证机制保护路由协议的安全。IPv6中有些路由协议的安全机制仍然保持不变。例如,BGP仍然依赖于TCP MD5认证机制,它要求在IPv6中全面部署IPSec,但在IPv6网络的初期,密钥管理和PKI的建设相关问题没有很好地解决,从而更容易受到攻击。概括起来,路由攻击主要包括以下几种类型的攻击:①BGP应用层攻击,也称为路由伪造攻击,含伪造网络前缀、伪造AS-PATH、未分配路由注入、抖动攻击和强度攻击等;②TCP层的连接劫持攻击;③IP层的BGP邻居IP地址Spoofing攻击等。

3.IPv4向IPv6过渡的安全问题

由于IPv4向IPv6的过渡需要经历一个较长的过程,在这段时期,由于IPv4和IPv6会共同存在,过渡机制将带来一些安全问题。

目前主要的过渡技术包括双栈技术、隧道技术和翻译技术,它们分别将面临一些安全问题。

1)双栈技术

双栈技术是指在网络节点中同时具有IPv4和IPv6两个协议栈,这样,它既可以接收、处理、收发IPv4的分组,又可以接收、处理、收发IPv6的分组。在路由器中IPv4和IPv6路由信息按照各自的路由协议进行计算,维护不同的路由表。双栈设备的协议栈实现将有可能同时涉及IPv4下和IPv6下的各种安全问题。

双协议栈的部署为网络新增节点提供了一种IPv4/IPv6兼容互访的便捷机制,但是它有可能导致网络安全策略管理及其策略定义机制的混淆。IPv4/IPv6混合网络中的HTTP、DNS等网络服务将以不同的协议方式同时存在,这种并存的局面有可能使得双栈主机用户错误地相信并访问本不可信的服务,从而导致一定的安全威胁。双协议栈应用方式下的网络环境对网络安全策略定义、实施的粒度及其维护和管理均提出了更高的要求,需要引入相应的混合网络安全策略管理机制来与之相适应。

2)隧道技术

隧道技术是IPv4/IPv6过渡中经常使用的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据的技术。在IPv4-IPv6共存的场景下,隧道技术可以实现IPv4网络或主机穿越中间的IPv6网络,以及IPv6网络或主机穿越中间的IPv4网络的互访。具有代表性的隧道技术有6to4、网状软线(Softwire Mesh)、6over4、6PE、DSTM 6RD和Dual-stack lite技术等。

隧道封装的方式将令边界防火墙和IDS等简单报文检测机制失效,攻击者可能以伪造隧道报文的形式逃避入站源地址过滤并将其注入内网隧道技术中。隧道端点的分片和重组及其相关安全问题,以及跨越隧道的源地址追溯问题等都是急需解决的安全问题。

3)翻译技术

对应协议的翻译可以分为两个层面来进行:一方面是IPv4与IPv6协议层的翻译,另一方面是IPv4应用与IPv6应用之间的翻译。翻译技术作为过渡技术的可能之一,其本身的很多细节还在探讨和分析中。隧道技术无法实现IPv4网络和IPv6网络的直接互通,而翻译技术的目标正是IPv4和IPv6网络的互通。代表性的翻译技术有NAT44、NAT-PT、NAT64、IVI技术等。NAT-PT网络地址及报头格式转换的分组处理方式决定了其无法使用IPSec的端对端安全特性来提高自身的安全性,翻译中的地址端口映射问题、应用层翻译问题等都需要对相关安全问题进行考虑。

总之,在过渡场景下,防火墙的设计、IPSec的配置、过渡技术本身实现的漏洞和源地址的追溯等方面都可能存在新的安全问题。

4.移动IP安全问题

移动IPv6中也有很多安全问题:由错误绑定消息引起的拒绝服务攻击、中间人攻击(Man-in-the-Middle Attack)、劫持攻击(Hijacking Attack)和假冒攻击(Impersonation Attack)等。攻击者通过伪造移动节点的绑定更新,并将它发给家乡代理和它所知道的移动节点的通信对端,可将伪造的转交地址宣告出去,从而使移动节点得不到任何数据包;攻击者还可将自己的一个IPv6地址作为转交地址宣告出去,从而假冒移动节点并得到原本应该发给移动节点的数据包;攻击者也可以将网络中某攻击目标的IPv6地址作为转交地址宣告出去,从而将流量引向攻击目标,这一方面造成移动节点得不到任何数据包,另一方面如果流向攻击目标的流量足够多还能形成对攻击目标的拒绝服务攻击。

5.IPSec实现和部署的安全问题

IPSec机制尽管为IPv4/IPv6提供了可靠的安全传输保障,在应用实践的过程中,IPSec也暴露出灵活性不够、互操作性较差、实现标准化欠缺等一系列缺陷。

作为一种在IPv6协议中必须支持的网络安全机制,IPSec的部署和实施需要网络边界、路由系统等外部环境的参与,这使得IPSec的通用性受到了一定的限制。其根源在于分布式网络自治环境下密钥部署及管理机制的复杂性和不灵活性,这一缺陷在强调任意端对端通信模式的IPv6网络环境中尤为突出。它给IPSec的配置和管理造成了较大的负面影响,同时也使得许多安全性要求较高的典型网络应用更倾向于选择自定义的网络安全机制来实现安全增强,而不是盲目地信任外界网络环境。

此外,IPSec还无法与防火墙、IDS等常用的安全机制实现配合与协同,IPSec对报头信息及内容的加密有可能妨碍边界访问控制机制的安全检查,并且逃避入侵监控机制对恶意内容的检测。由上述分析可知,尽管IPSec的安全作用在IPv6中得到了空前的重视,但是由于目前其应用的弊端和适用范围的局限性,它无法解决所有的安全问题,其在IPv6网络环境下的实际应用效果仍有待进一步的考察和研究。

在密钥交换协议方面,作为IPSec实现中的密钥交换协议,IKE保证了安全关联SA建立过程的安全性和动态性。IKEv1协议由于是一个混合型协议,其自身的复杂性不可避免地带来一些安全及性能上的缺陷,已经成为目前实现的IPSec系统的瓶颈。IETF发布了RFC 4306,用IKEv2协议来彻底解决这些问题。IKEv2协议在IKEvl基础上进行了有针对性的优化和强化,克服了IKEv1的诸多缺点。

在加密算法方面,在2004年的美国密码会议上,山东大学王小云教授发表的题为《对MD4,MD5,HAVAL-128,RIPEMD等Hash函数的碰撞攻击》[2]的学术报告是密码学Hash函数研究方向上的一个里程碑。这份报告对一些国际上通行的Hash函数给出了快速寻找碰撞攻击的方法。之后,在2005年欧洲密码和美国密码会议上,王小云进一步发表了对Hash函数研究的新进展。MD5和SHA-1这两种应用最为广泛的数字签名加密算法都被破解。研究和设计更安全的Hash函数已经成为国内外密码学家的热点课题。

6.下一代互联网新应用带来的安全问题

随着下一代互联网规模的不断扩大,也会产生许多新的应用模式,如下一代互联网支持三网融合、云计算、物联网、大规模移动应用等,应用环境的复杂性和应用服务的多样性使得将会出现新的应用安全问题。上述这些新的安全问题需要有相应的安全策略应对。物联网的引入将带来特殊的安全问题,包括物联网物件/感知节点的本地安全问题、感知网络的传输与信息安全问题、核心网络的传输与信息安全问题和物联网业务的安全问题。

5.1.2 国际标准发展情况

IPv6协议的安全标准体系与IPv4相比没有明显改变。原有涉及IPSec的标准基本适用于IPv6。IPv6安全标准的成熟度和IPv4基本一致。

IETF在地址生成、邻居发现等领域新增了一些提高IPv6网络协议安全性的标准,针对邻居发现协议的安全问题,采用CGA技术来防止IP地址的伪造。CGA技术基于公私密钥对的非对称加密体系,主要是为了防止攻击者伪造IPv6源地址。目前IETF已有相关标准,包括密码地址生成协议CGA(RFC 3972)[3]和安全邻居发现协议SeND(RFC 3971)[4]等。IETF还成立了专门的CSI工作组,关注CGA和SeND协议的维护和改进。

安全邻居发现协议SeND通过在邻居发现协议报文中捎带主机公钥及其RSA签名的方式来提供报文鉴别及完整性保护功能,利用CGA密钥地址生成技术来确保公钥与IP地址主机标识部分之间的匹配关系以防止公钥-地址哄骗,并引入了专门的授权委托发现机制,辅助接入主机在配置未完成的场合下获取证书链信息,完成邻接路由器及主机的身份验证。此外,为了抵制重放攻击,SeND还定义了时间戳、现时值等一系列全新的NDP协议选项。

值得指出的是,SeND本身并没有提供邻居发现协议数据机密性的保护,也没有实现相应的链路层安全机制以保证链路层地址与IP层地址之间可信绑定关系,这有可能导致关键配置信息泄露及其针对链路层的哄骗攻击;同时,由于SeND中较多地采用了证书验证、数字签名等加解密运算,庞大的计算量使得其协议本身非常容易受到有针对性的DoS攻击的影响。这些安全问题依然有待于进一步研究。

此外,由清华大学推动成立的SAVI工作组,则关注IP分组源地址的验证,这一工作组的解决方案既适用于IPv4网络,也适用于IPv6网络,源地址验证对于从体系结构的角度提高下一代互联网的安全性具有重要意义。源地址验证的问题可以划分为接入子网内、自治系统内和自治系统间三个层次。SAVI目前关注接入子网内的IP源地址验证,后续将会更新工作组章程,关注其他层次的源地址验证。目前,工作组已经完成了伪造源地址的安全威胁分析标准草案,并针对DHCP、SLAAC和SeND等情况提出了具体的解决方案的标准草案。其中,清华大学针对DHCPv4和DHCPv6的情况,提出了控制报文监听(CPS)的解决方案,受到工作组内的多方认可,并已经在一些厂商的设备中予以实现。

5.1.3 国际下一代互联网安全战略与措施

21世纪以来,信息技术迅猛发展,网络技术不断演进,以云计算为代表的新型计算模式及大量交互式新媒体和新服务的出现,推动了人类社会、物理世界和信息世界的融合。传统的网络空间(cyberspace)被赋予新的意义,称之为网域或控域。它的内涵不仅包括由通信网络、互联网、无线传感器网等各类型网络构成的信息传播和信息消费载体,还包括信息感应设备、软/硬件基础设施、业务系统、各类应用系统及广大用户群体和物理世界。网络空间已经渗入人们的日常生活、社会活动、经济行为、国家安全的各个领域,成为最重要的国家战略基础设施之一,成为推动国民经济可持续发展和社会进步的重要支撑。

网络空间的提出改变了国家安全的概念,以美国为代表的西方发达国家纷纷在网络和信息安全领域进行了大规模的战略部署。

1.美国的战略与措施

在国家战略方面,美国作为信息第一大国,信息技术及其产业不仅成为美国经济的支柱和动力,而且成为美国交通、能源、金融、通信乃至国防、情报等赖以存在和发展的基础。美国政府认为,关键基础设施和信息系统的安全已经成为其面临的首要威胁之一,必须采取措施保障关键基础设施和信息系统的安全,避免信息灾难。因此,美国十分重视信息安全,是最早制定和实施信息安全战略的国家,并随着形势的变化不断发展和完善。2009年1月以来,美国高度重视网络安全在国家安全战略中的作用,将其列为执政的首要任务之一。2009年5月29日美国发布了“CYBERSPACE POLICY REVIEW:Assuring a Trusted and Resilient Information and Communications Infrastructure”(“网络空间政策审查——保证一个可信与有弹性的信息和通信基础设施”)报告,该报告强调“美国21世纪的经济繁荣将依赖于网络安全”。美国政府认为网络空间基础设施是美国国家安全和经济运行的关键资产,美国宣布将动用一切可能的国家力量和手段来保护这一资产,从而实现保护其国家安全和公共安全。确保经济繁荣及顺利为公众提供基本公共服务的目标。为此,美国政府启动了系统网络空间安全保障战略措施,并建立相应的体制、机制,宣布设立总统网络安全政策官员和相应机构,建立网络司令部,其中一个重要措施是实质性地启动了“全面的国家网络安全行动”,将网络安全上升为国家行动计划。奥巴马于报告当天表示,要将保护网络基础设施作为维护美国国家安全的第一要务,指出来自网络空间的威胁已成为美国面临的最严重的经济和军事威胁之一。2009年3月10日,美国国会发布了“国家网络安全综合计划:法律授权和政策考虑”报告。这是一份有关美国信息化战争与国防和法律政策问题的报告。指出奥巴马政府的网络安全重点是继续加强行政和立法部门。国家和国土安全部门关注的首要威胁是对政府关键基础设施的网络攻击。美国联邦审计署还发布了“美国国家网络安全战略:需要进行的关键改进”报告,对需要进一步加强的网络安全关键领域和改进美国国家网络安全战略提出了建议。紧接着,在2009年6月23日,美国国防部部长盖茨下令,批准建设美国网络战司令部。从布什政府的“全面的国家网络安全倡议”到奥巴马政府的网络安全评估,再到美军成立网络战司令部,可以看出,美国政府近两年来将网络安全提升到了一个全新的高度。总体来说,美国应对网络安全威胁的战略对策有以下特点:

(1)将网络安全看成美国国家安全的重要组成部分,注重构建全面的国家网络安全战略;

(2)美国的政府网络和国家关键基础设施是国家网络安全战略关注的核心对象;

(3)以网络安全技术对抗网络安全威胁,从被动防御走向主动攻击。

在具体措施方面,美国由于在IPv4地址方面非常充足,在发展下一代互联网方面没有其他国家那么紧迫,但是,美国在下一代互联网的安全问题研究方面也有一些进展。北美IPv6工作组执行委员会在2002年给美国政府提出了一份题为“IPv6 Response to National Strategy to Secure Cyberspace Final V2.0”的建议书,在建议书中,提到了IPv6对国家安全的重要性,并给出了IPv6部署和策略建议。美国的国家科学和技术委员会(National Science and Technology Council)在2005年发布的报告“Cyber Security:A Crisis of Prioritization”中,将网络安全列为优先研究课题。在2006年发布的报告“Federal Plan for Cyber Security and Information Assurance Research and Development”中指出要重视IPv6的安全问题,报告中提到,目前美国政府和国防部正在部署IPv6,特别要重视IPv6带来的安全风险,以及IPSec的重要性。美国国家安全局(NSA)投资3000多万美元,以确保能放心地在保密网络上使用IPv6。同时,美国国土安全部在美国白宫网站上发布的一份报告“DHS Must Address Internet Protocol Version 6 Challenges, OIG-08-61”中提出,要重视IPv6协议带来的挑战,报告中提出要注重IPv6部署、安全、管理等方面的内容。美国军方对下一代互联网的安全问题进行了详细分析,于2006年发布了“IPv6 Security Assessment”的报告,对IPv6的安全问题进行了分析。

2.欧洲的战略与措施

欧盟信息技术起源于20世纪60年代中期,和美国互联网技术的发端几乎是同步的。欧盟的信息安全架构主要分为三个层次,即:安全技术层、安全管理层、安全政策层。在整个架构中,信息安全技术的发展是推动力,信息安全政策的完善是保障,信息安全管理的健全是手段;三者相辅相成、互相作用,共同构筑了欧盟的信息安全保障架构。

2004年3月,为提高欧共体范围内网络与信息安全的级别,提高欧共体、成员国及业界团体对网络与信息安全问题的防范、处理和响应能力,培养网络与信息安全文化,欧洲议会和欧盟委员会颁布了“建立欧洲网络和信息安全机构的规则”,正式成立“欧洲信息安全局(ENISA)”。该机构作为超越成员国和欧盟委员会之外的机构,对促进各利益主体间的协作具有基础性意义。

2007年3月22日,欧盟通过了“关于建立欧洲信息安全社会战略的决议”,要求在全社会实现网络和信息系统的可用性、保密性与完整性,标志着欧盟已经将区域的信息安全提升到社会形态的高度。除成立统一的欧洲信息安全局以外,欧盟各成员国还有各具特色的信息安全管理机构,如德国的信息安全联邦办公室、法国的中央信息系统安全司、奥地利的共和国安全政策部联邦办事处、罗马尼亚的国家机密资料登记处、丹麦的国家信息技术和电信局,以及芬兰的交通与通信部等。

欧盟大多数国家都有一个计算机应急反应小组(CERT)作为国家网络与信息安全的联络点,与其他国家的计算机应急反应小组开展国际合作,并与本国其他计算机应急小组共同应对危机和开展其他活动。大多数情况下这个联络点由向政府和公关部门机构提供服务的计算机应急反应小组承担。

2009年2月13日,欧洲网络与信息安全局(ENISA)首次出版了关于欧洲30个国家(包括欧盟27个成员国及冰岛、立陶宛、挪威)的网络与信息安全状态的完全国别报告,评估了上述国家正在进行或计划进行的网络与信息安全行动,提供了有关这些国家网络与信息安全的现状概览。2009年4月,欧盟网络与信息安全局(ENISA)发布了“通信网络弹性:成员国政策和法规及政策建议”报告,明确要求每个成员国必须建立一支全国性的计算机应急小组。

在具体措施方面,2008年5月欧盟在布鲁塞尔召开的“欧盟IPv6日”活动中,欧洲议会、委员会、经济和社会委员会、区域委员会共同发表了此次IPv6日的公告“Action Plan for the deployment of Internet Protocol version 6(IPv6)in Europe(欧洲部署互联网协议版本6(IPv6)行动计划)”,关于IPv6的安全,他们的看法是,IPv6的安全并不比IPv4的安全更好或更坏,只是不同;并且在IPv4/v6双栈情况下的安全问题可能更为复杂,需要在实际部署和配置时,对安全进行监测。对于IPv6安全的措施,报告中提到:委员会将传播最佳的做法,并且将与供应商提供完整的IPv6功能。委员会与法律部门或其他部门一道,将监测IPv6广泛部署后的安全问题和隐私问题。

3.我国的战略与措施

保障网络与信息安全对我国新时期的发展具有重要战略意义。党中央、国务院做出了一系列重要决策或部署。中央领导同志多次就加强信息安全保障工作做出重要指示。胡锦涛总书记要求“把信息安全放到至关重要的位置上,认真加以考虑和解决”。强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。

2003年,中共中央办公厅和国务院办公厅联合发文“关于加强信息安全保障工作的意见”(中办、国办发2003年27号文),明确要求“加强以密码技术为基础的信息保护和网络信任体系建设”,“建设和完善信息安全监控体系”。2006年,我国人大、政协“两会”通过了《国家中长期科学和技术发展规划纲要(2006—2020)》,在发展思路的第4条指出:“以发展高可信网络为重点,开发网络信息安全技术及相关产品,建立信息安全技术保障体系,具备防范各种信息安全突发事件的技术能力。”2006年,我国发布了“2006—2020年国家信息化发展战略”,指出信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。国家对信息化发展提出了九大发展战略,其中之一就是“建设国家信息安全保障体系”,要求全面加强国家信息安全保障体系建设,实现信息化与信息安全协调发展;建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。

在技术领域,国家863计划和国家科技支撑计划正在支持建设可信任互联网。为了构建安全、可信的互联网,需要从体系结构的角度入手,通过深入的需求分析和广泛的国际合作,在继承互联网设计精髓的基础上,提出可信任互联网的设计原则和目标、体系结构和协议标准。构建可信任互联网,应综合考虑国家信息安全需求和国家信任体系建设、互联网运行管理、互联网应用等多方面的需求,充分考虑下一代互联网面临的威胁和挑战,并结合信息安全领域中传统的安全理论和技术。

5.1.4 下一代互联网安全情况小结

尽管提高安全性是IPv6重要的设计出发点之一,但是出于兼容性的考虑,IPv6并没有完全颠覆IPv4时代所采用的基本安全机制,而是采用逐步引入增强措施的方式来实现安全性的提高。这些安全机制的合理应用将会对IPv6的网络安全状况产生积极的影响。下一代互联网安全机遇与挑战并存。

下一代互联网存在以下安全方面的挑战。

(1)针对IPv6协议的一些新特点,某些安全攻击的形式和原理会产生变化,产生新的安全攻击,需要研发IPv6的网络安全设备。同时,目前IPv6尚未大规模商用,还缺乏大规模的IPv6网络环境来验证IPv6安全设备的有效性。

(2)IPv6地址空间扩大后,使得国家信息安全监管体系的可扩展性面临极大挑战;IPv6协议提供的IPSec加密功能,使得已有网络安全监管系统在有害信息的识别与过滤方面带来新的问题,还有可能增大安全事件事后溯源的难度。

(3)网络安全关键技术问题尚待解决,云计算、三网融合、物联网等新应用产生新的安全问题,以及多种业务模式下的网络安全审计问题等,都是需要解决的关键技术问题。

(4)域名体系存在安全隐患,我国仍然缺乏对根域名服务器的最终管理权,域名体系安全受制于人。此外,我国域名服务体系缺少统一的管理体系、监控分析、技术规范及安全防范措施,无法保障长期、安全、稳定服务。

下一代互联网为解决上述安全问题提供了技术基础平台,目前IPv6还没有大规模使用,这就使得可以在建网初期就突出安全顶层设计和整体规划,制定科学的防御方案和安全管理措施,研究网络安全架构、机制和技术,攻克关键核心技术,使下一代互联网比目前互联网更安全、可信、可控、可管。必须抓住这一机遇,在下一代互联网的发展过程中,逐步解决下一代互联网安全问题,为下一代互联网的发展提供保障条件。

随着IPv6技术的不断成熟,加之目前对下一代互联网网络安全的重视及对下一代互联网安全研究的审慎态度,从长远的观点来看,IPv6将会带来一个比IPv4更为可靠、高效的网络安全方案。