2.1 网络协议安全概述

2.1.1 网络协议的安全风险

网络协议（Protocol）是实现网络功能的最基本的机制和规则，是进行网络通信和数据交换而建立的规则、标准或约定的集合，是一种特殊的软件。

网络体系层次结构参考模型主要有两种：开放系统互连参考模型OSI（Open System Interconnection）模型和TCP/IP模型。国际标准化组织ISO的OSI模型共有7层，由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。其设计之初是期望为网络体系与协议发展提供一种国际标准，后来由于其过于庞杂，使TCP/IP成为Internet的基础协议和实际应用的“网络标准”。

TCP/IP模型与OSI参考模型不同，由低到高依次由网络接口层、网络层、传输层和应用层4部分组成。其4层体系对应OSI参考模型的7层体系，与常用的相关协议的对应关系如图2-1所示。

各种网络依靠其协议实现互连结点之间的通信与数据交换，网络协议是网络实现连接与交互极为重要的组成部分，在设计之初只注重异构网的互联，忽略了其安全性问题，此外，网络各层协议是一个开放体系，具有计算机网络及其部件所能够完成的基本功能，这种开放性及缺陷将网络系统处于安全风险和隐患的环境中。

网络协议的安全风险可归结为3个方面。

1）网络协议（软件）自身的设计缺陷和实现中存在的一些安全漏洞，容易受到不法者的侵入和攻击。

2）网络协议没有有效的认证机制和验证通信双方真实性的功能。

3）网络协议缺乏保密机制，没有保护网上数据机密性的功能。

2.1.2 TCP/IP层次安全性

TCP/IP的安全性可以分为多层，各安全层都是一个包含多个特征的实体。在不同层次上，可以增加不同的安全策略和安全性。如在传输层提供安全套接层服务（Secure Sockets Layer，SSL），以及其继任者传输层安全（Transport Layer Security，TLS），是为网络通信提供安全及数据完整性的一种安全协议；在网络层提供虚拟专用网（Virtual Private Network，VPN）技术等。下面分别介绍TCP/IP不同层次的安全性及提高各层安全性的技术和方法，TCP/IP网络安全技术层次体系如图2-2所示。

1.TCP/IP物理层的安全性

TCP/IP模型的网络接口层对应着OSI模型的物理层和数据链路层。物理层安全问题是指由网络环境及物理特性产生的网络设施和线路安全性，致使网络系统出现安全风险，如设备被盗、意外故障、设备损坏与老化、信息探测与窃听等。由于以太网上存在交换设备并采用广播方式，可能在某个广播域中侦听、窃取并分析信息。为此，保护链路上的设施安全极为重要，物理层的安全措施相对较少，最好采用“隔离技术”保证每两个网络在逻辑上能够连通，同时从物理上隔断，并加强实体安全管理与维护。

2.TCP/IP网络层的安全性

网络层的主要功能是用于数据包的网络传输，其中IP是整个TCP/IP协议体系结构的重要基础，TCP/IP中所有协议的数据都以IP数据报形式进行传输。

TCP/IP协议族常用的两种IP版本是IPv4和IPv6。IPv4在设计之初没有考虑到网络安全问题，IP包本身不具有任何安全特性，从而导致在网络上传输的数据包很容易泄露或受到攻击，IP欺骗和ICMP攻击都是针对IP层的攻击手段，如伪造IP包地址、拦截、窃取、篡改和重播等。因此，通信双方无法保证收到IP数据报的真实性。IPv6简化了IPv4中的IP头结构，并增加了对安全性的设计。

3.TCP/IP传输层的安全性

TCP/IP传输层主要包括传输控制协议TCP和用户数据报协议UDP，其安全措施主要取决于具体的协议。传输层的安全主要包括：传输与控制安全、数据交换与认证安全、数据保密性与完整性等。TCP是一个面向连接的协议，用于多数的互联网服务，如HTTP、FTP和SMTP。为了保证传输层的安全，Netscape通信公司设计了安全套接层协议SSL（Secure Socket Layer），现更名为传输层协议TLS（Transport Layer Security），主要包括SSL握手协议和SSL记录协议两个协议。

SSL握手协议用于数据认证和数据加密的过程，利用多种有效密钥交换算法和机制。SSL记录协议对应用程序提供的信息进行分段、压缩、认证和加密。SSL协议提供了身份验证、完整性检验和保密性服务，密钥管理的安全服务可为各种传输协议重复使用。

4.TCP/IP应用层的安全性

在应用层中，利用TCP/IP运行和管理的程序有多种。网络安全性问题主要出现在需要重点解决的常用应用系统（协议）中，包括HTTP、FTP、SMTP、DNS和Telnet等。

（1）超文本传输协议（HTTP）安全

HTTP是互联网上应用最广泛的协议。使用80端口建立连接，并进行应用程序浏览、数据传输和对外服务。其客户端使用浏览器访问并接受从服务器返回的Web网页。一旦下载了具有破坏性的Active X控件或Java Applets插件，这些程序会在用户的终端上运行并含有恶意代码、病毒或特洛伊木马，注意不要下载未经过检验的程序。

（2）文件传输协议（FTP）安全

FTP是建立在TCP/IP连接上的文件发送与接收协议。由服务器和客户端组成，每个TCP/IP主机都有内置的FTP客户端，而且多数服务器都有FTP程序。FTP通常使用20和21两个端口，由21端口建立连接，使连接端口在整个FTP会话中保持开放，用于在客户端和服务器之间发送控制信息和客户端命令。在FTP的主动模式下，常用20端口进行数据传输，在客户端和服务器之间每传输一个文件都要建立一个数据连接。

（3）简单邮件传输协议（SMTP）安全

不法分子可以利用SMTP对E-mail服务器进行干扰和破坏。如通过SMTP对E-mail服务器发送大量的垃圾邮件和聚集数据包，致使服务器不能正常处理合法用户的使用请求，导致拒绝服务。目前，绝大部分的计算机病毒基本都是通过邮件或其附件进行传播的。因此，SMTP服务器应增加过滤、扫描及设置拒绝指定邮件等功能。

（4）域名系统（DNS）安全

计算机网络通过DNS在解析域名请求时使用其53端口，在进行区域传输时使用TCP 53端口。黑客可以进行区域传输或利用攻击DNS服务器窃取区域文件，并从中窃取区域中所有系统的IP地址和主机名。可采用防火墙保护DNS服务器并阻止各种区域传输，还可通过配置系统限制接受特定主机的区域传输。

（5）远程登录协议（Telnet）安全

Telnet的功能是进行远程终端登录访问，曾用于管理UNIX设备。允许远程用户登录是产生Telnet安全问题的主要原因。另外，Telnet以明文方式发送所有用户名和密码，给非法者以可乘之机，只要利用一个Telnet会话即可远程作案，现已成为防范的重点。

2.1.3 IPv6的安全性概述

IPv6是在IPv4基础上改进的下一代互联网协议，对其的研究和建设正逐步成为信息技术领域的热点之一，IPv6的网络安全研究和应用已成为下一代互联网研究中的一个重要领域。

1.IPv6的优势及特点

1）扩展地址空间及应用。IPv6设计之初主要是解决由于互联网迅速发展而导致IPv4地址空间将被耗尽的问题，以免影响整个互联网的进一步扩展。由于IPv4采用32位地址长度，大约只有43亿个地址，而IPv6采用128位地址长度，极大地扩展了IP地址空间。

IPv6的研发还解决了IPv4的其他多种问题，如安全性、端到端IP连接、服务质量（QoS）、多播、移动性和即插即用等功效。IPv6还对报头进行了重新设计，由一个简化长度固定的基本报头和多个可选的扩展报头组成。既可加快路由速度，又能灵活地支持多种应用，便于扩展新的应用。IPv4和IPv6的报头分别如图2-3和图2-4所示。

2）提高网络的整体性能。IPv6的数据包可以超过64KB，使应用程序可利用最大传输单元（MTU）获得更快、更可靠的数据传输，并在设计上改进了选路结构，采用简化的报头定长结构和更合理的分段方法，使路由器加快数据包处理速度，从而提高了转发效率，并提高了网络的整体吞吐量等性能。

3）加强网络安全性能。IPv6以内嵌安全机制要求强制实现IP安全协议IPSec，提供支持数据源发认证、完整性和保密性的能力，同时可抗重放攻击。安全机制主要由两个扩展报头实现：认证头（Authentication Header，AH）和封装安全载荷（Encapsulation Security Payload，ESP）。

4）提供更好的服务质量。IPv6在分组的头部中定义业务流类别字段和流标签字段两个重要参数，以提供对服务质量（Quality of Service，QoS）的支持。业务流类别字段将IP分组的优先级分为16个等级。对于需要特殊QoS的业务，可在IP数据包中设置相应的优先级，路由器根据IP包的优先级分别对这些数据进行不同处理。流标签用于定义任意一个传输的数据流，以便网络中的各结点可对此数据进行识别与特殊处理。

5）实现更好的组播功能。组播是一种将信息传递给已登记且计划接收该消息的主机功能，可同时给大量用户传递数据，传递过程只占用一些公共或专用带宽开销而不在整个网络广播，以减少带宽。IPv6还具有限制组播传递范围的一些特性，组播消息可被限于某一特定区域、公司、位置或其他约定范围，从而减少带宽的使用并提高安全性。

6）支持即插即用和移动性。当联网设备接入网络后，以自动配置可自动获取IP地址和必要的参数，实现即插即用，简化了网络管理，易于支持移动结点。IPv6不仅从IPv4中借鉴了很多概念和术语，还提供了移动IPv6所需的新功能。

7）提供必选的资源预留协议（Resource Reservation Protocol，RSVP）功能，用户可在从源点到目的地的路由器上预留带宽，以便提供确保服务质量的图像和其他实时业务。

2.IPv4与IPv6安全问题比较

通过比较IPv4和IPv6下的安全问题，发现有些安全问题的原理和特征基本无变化，有的地方引进IPv6后安全问题的原理和特征却发生了很大变化。主要包括以下内容。

1）与IPv4下的情况比较，原理和特征基本未发生变化的安全问题可划分为3类：网络层以上的安全问题；与网络层数据保密性和完整性相关的安全问题；与网络层可用性相关的安全问题。如窃听攻击、应用层攻击、中间人攻击和洪泛攻击等。

① 网络层以上的安全问题：主要是各种应用层的攻击，其原理和特征无任何变化。

② 网络层数据保密性和完整性相关的安全问题：主要是窃听和中间人攻击。由于IPSec没有解决大规模密钥分配和管理的难点，缺乏广泛的部署，在IPv6网络中，仍然存在相同的安全问题。

③ 与网络层可用性相关安全问题：主要是指网络系统的洪泛攻击，如TCP SYN flooding攻击等。

2）原理和特征发生明显变化的安全问题，主要包括4个方面。

① 侦测。是一种基本攻击方式，也是其他网络攻击方式的初始步骤。黑客为了能攻击得手，需要获得被攻击网络地址、服务和应用等尽可能多的情报。IPv4协议的子网地址空间只有28位容易被侦测，IPv6的默认子网地址空间为264位，安全很多。

② 非授权访问。IPv6下的访问控制同IPv4下的情形类似，依赖防火墙或路由器访问控制表（ACL）等控制策略，由地址、端口等信息实施控制。对地址转换型防火墙，外网的终端看不到被保护主机的IP地址，使防火墙内部免受攻击，但是地址转换技术（NAT）和IPSec功能不匹配，在IPv6下很难穿越地址转换型防火墙以IPSec通信。对包过滤型防火墙，若采用IPSec的ESP，由于3层以上的信息不可见，更难控制。此外，对ICMP消息控制更需谨慎，由于ICMPv6对IPv6至关重要，如MTU发现、自动配置和重复地址检测等。

③ 篡改分组头部和分段信息。在IPv4网络中的设备和端系统都可以对分组进行分片，分片攻击通常用于两种情形：一是利用分片逃避网络监控设备，如防火墙和IDS；二是直接利用网络设备中协议栈实现的漏洞，以错误的分片分组头部信息直接对网络设备发动攻击。IPv6网络中的中间设备不再分片，由于多个IPv6扩展头的存在，防火墙很难计算有效数据包的最小尺寸，此时传输层协议报头有可能不在第一个分片分组内，从而使网络监控设备若不对分片进行重组，将无法实施基于端口信息的访问控制策略。

④ 伪造源地址。IPv4网络的源地址伪造的攻击很多，如SYN Flooding、UDP Flood Smurf等攻击。对其防范主要有两类方法：一是基于事前预防的过滤类方法，如准入过滤等；二是基于事后追查的回溯类方法，如Internet控制报文协议（Internet Control Message Protocol，ICMP）回溯和分组标记等。实际上，这些方案都存在部署困难等缺陷，由于存在网络地址转换（NAT），使攻击后追踪更难。在IPv6网络中，一是由于地址汇聚，过滤类方法实现更简单且负载更小；二是由于转换网络地址少且容易追踪。从IPv4向IPv6过渡，防止伪造源地址的分组穿越隧道成为一个重要课题。

3.IPv6的安全机制

1）协议安全。如上所述，在协议安全层面，IPv6全面支持认证头AH认证和封装安全有效载荷ESP扩展头。支持数据源发认证、完整性和抗重放攻击等。

2）网络安全。IPv6的安全主要体现在4个方面。

① 实现端到端安全。在两端主机上对报文IPSec进行封装，中间路由器实现对有IPSec扩展头的IPv6报文封装传输，可实现端到端安全。

② 提供内网安全。当内部主机与Internet上其他主机通信时，可通过配置IPSec网关实现内网安全。由于IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的结点解析处理，因此，可利用IPSec隧道方式实现IPSec网关，也可通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更灵活，有利于提供完善的内网安全，但较为复杂。

③ 由安全隧道构建安全VPN。通过IPv6的IPSec隧道实现的VPN，可在路由器之间建立IPSec安全隧道，是最常用的安全组建VPN的方式。IPSec网关路由器实际上是IPSec隧道的终点和起点，为了满足转发性能，需要路由器专用加密加速板卡。

④ 以隧道嵌套实现网络安全。通过隧道嵌套的方式可获得多重安全保护，当配置IPSec的主机通过安全隧道接入配置IPSec网关的路由器，且该路由器作为外部隧道的终点将外部隧道封装剥除时，嵌套的内部安全隧道便构成对内网的安全隔离。

3）其他安全保障。由于网络的安全威胁为多层且分布于各层之间，对于物理层的安全隐患，可通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境和加强安全管理进行防护。

4.移动IPv6的安全性

移动IPv6是IPv6的一个重要组成部分，移动性是其最大的特点。引入的移动IP给网络带来了新的安全隐患，应采取特殊安全措施。

（1）移动IPv6的特性

从IPv4到IPv6使移动IP技术发生了根本性变化，IPv6的许多新特性也为结点移动性提供了更好的支持，如“无状态地址自动配置”和“邻居发现”等。IPv6组网技术极大地简化了网络重组，更有效促进了因特网移动性。

移动IPv6的高层协议辨识作为移动结点（Move Node，MN）唯一标识的归属地址。当MN移动到外网获得一个转交地址（Care-of Address，CoA）时，CoA和归属地址的映射关系称为一个“绑定”。MN通过绑定注册过程将CoA通知给位于归属网络的归属代理（Home Agent，HA）。之后，对端通信结点（Correspondent Node，CN）发往MN的数据包首先被路由到HA，然后HA根据MN的绑定关系，将数据包封装后发送给MN。为了优化迂回路由的转发效率，移动IPv6也允许MN直接将绑定消息发送到对端CN，无需经过HA的转发，即可实现MN和对端通信主机的直接通信。

（2）移动IPv6面临的安全威胁

移动IPv6基本工作流程只针对于理想状态的互联网，并未考虑现实网络的安全问题。而且，移动性的引入也会带来新的安全威胁，如对报文的窃听、篡改和拒绝服务攻击等。因此，在移动IPv6的具体实施中必须谨慎处理这些安全威胁，以免降低网络安全级别。

移动IP主要用于无线网络，不仅要面对无线网络所有的安全威胁，还要处理由移动性带来的新安全问题，所以，移动IP相对有线网络更加脆弱、复杂。另外，移动IPv6通过定义移动结点、HA和通信结点之间的信令机制，较好地解决了移动IPv4的三角路由问题，但在优化的同时也出现了新的安全问题。目前，移动IPv6受到的主要威胁包括拒绝服务攻击、重放攻击和信息窃取等。

5.移动IPv6的安全机制

移动IPv6针对上述安全威胁，在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数。对HA和通信结点可比较前后两个注册消息序列号，并结合随机数的散列值，判定注册消息是否为重放攻击。若消息序列号不匹配或随机数散列值不正确，则可视作过期注册消息，不予处理。

对其他形式的攻击，可利用<移动结点，通信结点>和<移动结点，归属代理>之间的信令消息传递进行有效防范。移动结点和归属代理之间可通过建立IPSec安全联盟，以保护信令消息和业务流量。由于移动结点归属地址和归属代理为已知，所以可以预先为移动结点和归属代理配置安全联盟，并使用IPSec AH和ESP建立安全隧道，提供数据源认证、完整性检查、数据加密和重放攻击防护。

讨论思考

1）从互联网发展角度看，网络安全问题的主要原因是什么？

2）IPv6在安全性方面具有哪些优势？