2.1 网络协议安全概述

2.1.1 网络协议的安全风险

网络协议（Protocol） 是进行网络通信和数据交换的规则、标准或约定的集合，是一种特殊的软件。

网络体系层次结构参考模型 主要有两种：开放系统互连参考模型OSI（Open System Interconnection）模型和TCP/IP模型。国际标准化组织ISO规定的网络协议OSI模型共有7层，其设计之初旨在为网络体系与协议发展提供一种国际标准，此后由于其过于庞杂且难以实现，致使TCP/IP成为Internet的基础协议和实际应用的“网络协议标准”。

TCP/IP模型主要由4部分组成，由低到高分别为网络接口层、网络层、传输层和应用层。TCP/IP模型的4层体系对应OSI参考模型的7层体系， 常用的相关协议的对应关系 如图2-1所示。

网络协议用于实现各种网络的连接、通信、交互与数据交换，在其设计初期和实际应用中主要注重不同结构网络的互联互通问题，而忽略了其安全性问题。网络各层协议是一个开放体系且存在漏洞缺陷，致使整个网络系统存在着很多安全风险和隐患。 网络协议的安全风险 主要概括为3个方面：

1）网络协议（软件）自身的设计缺陷和实现中存在的一些安全漏洞缺陷，很容易被黑客利用来侵入网络系统并实施攻击和破坏。

2）网络协议本身没有认证机制，不能验证通信双方的真实性。

3）网络协议没有保密机制，不能对网上数据的保密性进行保护。

2.1.2 TCP/IP层次安全性

TCP/IP安全的有效防护通常采取多层保护的方式，主要通过在多个层次增加不同的具体的网络安全策略和安全措施实现。例如常用的网银或网购中，在传输层提供安全套接层（Secure Sockets Layer，SSL）和其升级后的传输层安全（Transport Layer Security，TLS）服务，是为网络传输提供安全和数据完整性的一种安全协议，又如在网络层提供虚拟专用网（Virtual Private Network，VPN）技术（详见2.2节）等。以下分别介绍提高TCP/IP各层安全性的技术和方法， TCP/IP网络安全技术层次体系 如图2-2所示。

1.TCP/IP网络接口层的安全性

TCP/IP模型的网络接口层对应着OSI模型的物理层和数据链路层。 网络接口层安全包括 网络设备、设施、网络线路及周边环境或物理特性引起的安全问题，如设备设施被盗、损坏或老化、意外故障、信息泄露等。当采用广播方式时，网络信息容易被侦听、窃取或分析。因此，保护链路安全极为重要，加密、流量填充等是有效措施。在实际中常用“隔离技术”使网络在逻辑上保持连通，同时在物理上保持隔离，并加强实体安全管理与维护。网络分段也是保证安全的一项基本措施，将非法用户与网络资源互相隔离，从而可以限制非法用户访问。

2.TCP/IP网络层的安全性

网络层主要用于网络连接和数据包传输，其中IP是整个TCP/IP体系结构的重要基础，TCP/IP中所有协议的数据都以IP数据包的形式进行传输。

TCP/IP协议簇常用的两种IP版本是IPv4和IPv6。IPv4在设计之初根本没有考虑网络安全问题，IP包本身不具有任何保护特性，导致在网络上传输的数据包很容易泄露或受到攻击。针对IP层的攻击手段有IP欺骗和ICMP攻击等，如伪造IP包地址、拦截、窃取、篡改、重播等，所以，通信双方无法保证收到IP数据包的真实性。IPv6简化了IPv4中的IP头结构，并增加了安全性的设计。

3.TCP/IP传输层的安全性

TCP/IP传输层主要包括传输控制协议TCP和用户数据报协议UDP，主要安全措施取决于具体的协议。 传输层的安全 主要包括：传输与控制安全、数据交换与认证安全、数据保密性与完整性等。TCP是一个面向连接的协议，用于多数的互联网服务，如HTTP、FTP和SMTP。为了保证传输层的安全，主要采用安全套接层协议SSL和升级的传输层协议TLS。SSL协议主要包括SSL握手协议和SSL记录协议两个协议。

SSL握手协议具有数据认证和加密功能，利用多种有效密钥交换算法和机制。SSL记录协议对应用程序提供信息分段、压缩、认证和加密。SSL协议提供了身份验证、完整性检验和保密性服务，密钥管理的安全服务可被各种传输协议重复使用。

4.TCP/IP应用层的安全性

在TCP/IP应用层中，运行和管理的应用程序较多。 网络安全性问题主要是需要重点防范的应用协议 ，包括HTTP、FTP、SMTP、DNS、Telnet等。

（1）超文本传输协议（HTTP）安全

HTTP是互联网上应用最广泛的协议，常用80端口建立连接，并进行应用程序浏览、数据传输和对外服务，其客户端使用浏览器访问并接收从服务器返回的Web网页。如果下载了具有破坏性的Active X控件或Java Applets插件，这些控件或插件将在用户终端运行并可能含有病毒、木马程序或恶意代码，注意不要下载或打开未确认的文件与链接。

（2）文件传输协议（FTP）安全

FTP是建立在TCP/IP连接上的文件发送与接收协议。它由服务器和客户端组成，每个TCP/IP主机都有内置FTP客户端，而且多数服务器都有FTP程序。FTP常用20和21两个端口，由21端口建立连接，使连接端口在整个FTP会话中保持开放，用于在客户端和服务器之间发送控制信息和客户端命令。在FTP的主动模式下，常用20端口进行数据传输，在客户端和服务器之间每传输一个文件都要建立一个数据连接。

（3）简单邮件传输协议（SMTP）安全

需要防范黑客利用SMTP对E-mail服务器进行干扰和破坏。如通过SMTP对E-mail服务器发送大量垃圾邮件和数据包或请求，致使服务器不能提供正常服务，导致拒绝服务。此外，很多网络病毒基本都是通过邮件或其附件进行传播。所以，对SMTP服务器增加过滤、扫描及设置拒绝指定邮件等功能很有必要。

（4）域名系统（DNS）安全

DNS是互联网的最基本服务，其安全性极为重要。黑客可以进行区域传输或通过攻击DNS服务器窃取区域文件，以及区域中所有系统的IP地址和主机名。采取的防范措施主要是采用防火墙保护DNS服务器并阻止各种区域传输，还可通过配置系统限制接收特定主机的区域传输。

（5）远程登录协议（Telnet）安全

Telnet的功能是进行远程终端登录访问，曾用于管理UNIX设备等。允许远程用户登录是产生Telnet安全风险的主要问题，此外，Telnet以明文方式发送所有用户名和密码，给非法者提供了可乘之机，利用Telnet会话进行远程作案已经成为防范重点。

2.1.3 IPv6的安全性概述

IPv6是在IPv4的基础上升级改进的下一代互联网协议，对IPv6的网络安全性研究和应用已成为研究的一个热点。处于世界领先水平且具有我国知识产权的IPv9，可以自主决定安全等级、系数和控制的权力分配和手段，是彻底摆脱受制于人的国家安全大计。

1.IPv6的优势及特点

1）扩展地址空间及功能。IPv6主要用于解决因互联网快速发展而导致IPv4地址空间被耗尽的问题。IPv4采用32位地址，只有大约43亿个地址，IPv6采用128位地址长度，极大地扩展了IP地址空间。对IPv6的研发还解决了很多其他问题，如安全性、端到端IP连接、服务质量（QoS）、多播、移动性和即插即用等。IPv6对报头重新进行了设计，由一个简化长度固定的基本报头和多个可选的扩展报头组成，既可加快路由速度，又能灵活支持多种应用，便于扩展新应用。

2）增加网络整体性能。IPv6数据包可以超过原有限定，使应用程序利用最大传输单元MTU获得更快、更可靠的数据传输，并在设计上改进了选路结构，采用简化的报头定长结构和更合理的分段方法，使路由器加快数据包处理速度，从而提高了转发效率，并提高了网络的整体吞吐量等性能。

3）加强网络安全机制。IPv6以内嵌安全机制要求强制实现IP安全协议IPSec，提供支持数据源发认证、完整性和保密性的能力，同时可抗重放攻击。安全机制主要由两个扩展报头实现：认证头（Authentication Header，AH）和封装安全载荷（Encapsulation Security Payload，ESP）。

4）提高服务质量。IPv6在分组的头部中定义了业务流类别字段和流标签字段两个重要参数，以提供对服务质量（Quality of Service，QoS）的支持。业务流类别字段将IP分组的优先级分为16个等级。对于需要特殊QoS的业务，可在IP数据包中设置相应的优先级，路由器根据IP数据包的优先级分别对此数据进行不同的处理。流标签用于定义任意一个传输的数据流，以便网络中各节点可对此数据进行识别和特殊处理。

5）提供更好的组播功能。组播类似群发，是一种将信息传递给已登记且计划接收该消息的主机功能，可同时给大量用户传递数据，传递过程只占用一些公共或专用带宽而不在整个网络广播。IPv6还具有限制组播传递范围的特性，组播消息可被限于一特定区域，如公司、特定位置或其他约定范围，从而减少带宽的使用并提高安全性。

6）实现即插即用和移动性。当各种设备接入网络后，通过自动配置可自动获取IP地址和必要的参数，实现即插即用，可简化网络管理，便于支持移动节点。IPv6不仅从IPv4中借鉴了很多概念和术语，还提供了移动IPv6所需的新功能。

7）支持资源预留协议（Resource Reservation Protocol，RSVP）功能，用户可在从源点到目的地的路由器上预留带宽，以便提供确保服务质量的图像和其他实时业务。

2.IPv4与IPv6安全性比较

通过对比IPv4和IPv6的安全性，发现有些原理和特征基本无变化，主要包括3个方面：

1）网络层以上的安全问题。主要是各种应用层的攻击，其原理和特征无任何变化。

2）网络层数据保密性和完整性相关的安全问题。主要是窃听和中间人攻击，由于IPSec（Internet Protocol Security）没有解决大规模密钥分配和管理的难点，缺乏广泛的部署，在IPv6网络中，仍然存在同样的安全问题。

3）仍然存在同网络层可用性相关的安全问题。主要是指网络系统的洪泛攻击，如TCP SYN Flooding攻击等。

升级为IPv6后，部分网络安全问题的原理和特征发生了很大变化，主要包括4个方面：

1）踩点探测。踩点探测是黑客攻击的一种初始步骤和基本方式。黑客攻击之前，需要先踩点获取被攻击目标的IP地址、服务、应用等信息。IPv4协议的子网地址空间很小，容易被探测，相对而言IPv6的子网地址空间为天文数字，相对安全很多。

2）非授权访问。IPv6的访问控制同IPv4类似，按照防火墙或路由器访问控制表（ACL）等控制策略，由地址、端口等信息进行控制。对地址转换型防火墙，外网的终端看不到被保护主机的IP地址，使防火墙内部免受攻击，但是地址转换技术（NAT）和IPSec功能不匹配，在IPv6下很难通过地址转换型防火墙同IPSec通信。对包过滤型防火墙，若用IPSec的ESP，由于3层以上的信息不可见，所以更难控制。此外，由于ICMPv6对IPv6至关重要，对ICMP消息的控制更需谨慎，如MTU发现、自动配置、重复地址检测等。

3）篡改分组头部或分段信息。IPv4网络中的设备和端系统都可对分组进行分片。常见的分片攻击有两种：一是利用分片躲避网络监控，如防火墙等；二是直接利用网络设备中协议栈实现中的漏洞，以错误的分片分组头部信息直接对网络设备发动攻击。IPv6网络中的中间设备不再分片，由于存在多个IPv6扩展头，防火墙难以计算有效数据包的最小尺寸，传输层协议报头也可能不在第一个分片分组内，致使网络监控设备在不分片重组时，将无法实施基于端口信息的访问控制策略。

4）伪造源地址。IPv4网络伪造源地址的攻击较多，而且防范和追踪难度也比较大。在IPv6网络中，由于地址汇聚，对于过滤类方法实现相对简单且负载更小，另外由于转换网络地址少，容易追踪。防止伪造源地址的分组穿越隧道已成为一个重要研究课题。

3.IPv6的安全机制

1）协议安全。在协议安全层面，全面支持认证头AH认证和封装安全有效载荷ESP扩展头。支持数据源发认证、完整性和抗重放攻击等。

2）网络安全。IPv6的网络安全 主要体现 在4个方面：

①实现端到端安全。在两端主机上对报文IPSec封装，中间路由器实现对有IPSec扩展头的IPv6报文封装传输，可实现端到端安全。

②保护内网安全。当内部主机与Internet其他主机通信时，可通过配置IPSec网关实现内网安全。由于IPSec作为IPv6的扩展报头只能被目的节点解析处理，因此，可利用IPSec隧道方式实现IPSec网关，也可通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者实现方式更灵活，有利于提供完善的内网安全。

③由安全隧道构建安全虚拟专用网VPN。通过IPv6的IPSec隧道实现VPN，最常用的安全组建VPN方式是在路由器之间建立IPSec安全隧道。IPSec网关路由器实际上是IPSec隧道的终点和起点，为了满足转发性能，需要路由器专用加密加速方式。

④以隧道嵌套实现网络安全。通过隧道嵌套的方式可获得多重安全保护，当配置IPSec的主机通过安全隧道接入配置IPSec网关的路由器，且该路由器作为外部隧道的终结点将外部隧道封装剥除时，嵌套的内部安全隧道便构成对内网的安全隔离。

3）其他安全保障。由于网络的安全威胁为多层且分布于各层之间。对物理层的安全隐患，可通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境和加强安全管理进行防护。

4.移动IPv6的安全性

移动IPv6是IPv6的一个重要组成部分，移动性是其最大的特点。移动IP协议会给网络带来新的安全隐患，需要采取特殊的具体有效的安全措施。

（1）移动IPv6的主要特性

IPv6使移动IP技术发生了根本性变化，其很多新特性也为节点移动性提供了更好的支持，如“无状态地址自动配置”和“邻居发现”等。IPv6组网技术极大地简化了网络重组，更有效地促进了因特网移动性。移动IPv6的高层协议可辨识移动节点（Move Node，MN）唯一标识的归属地址。当MN移动到外网获得一个转交地址（Care-of Address，CoA）时，CoA和归属地址的映射关系称为一个 绑定 。MN通过绑定注册过程将CoA通知给位于归属网络的归属代理（Home Agent，HA）后。对端通信节点（Correspondent Node，CN）发往MN的数据包先被路由送到HA，HA根据MN的绑定关系，将数据包封装后发送给MN。为了优化迂回路由的转发效率，移动IPv6也允许MN直接将绑定消息发送到对端节点CN，无须经过HA的转发，即可实现MN和对端通信主机的直接通信。

（2）移动IPv6面临的安全风险

移动IPv6基本工作流程只针对互联网理想状态，并未考虑网络安全问题。此外，移动性的引入也将带来新的安全威胁，如窃听报文、篡改和拒绝服务攻击等。所以，在移动IPv6的具体实施中须谨慎处理其安全委托，以免降低网络安全级别。

移动IP不仅要解决无线网络所有的安全威胁，还要处理由移动性带来的新安全问题，所以，移动IP相对有线网络更脆弱和复杂。另外，移动IPv6协议通过定义移动节点、HA和通信节点之间的信令机制，较好地解决了移动IPv4的三角路由问题，但在进行优化的同时也出现了新的安全问题。目前，移动IPv6受到的主要威胁包括拒绝服务攻击、重放攻击和信息窃取等。

5.移动IPv6的安全机制

移动IPv6针对上述安全威胁，通过在注册消息中添加序列号以防范重放攻击，并在协议报文中引入时间随机数。对HA和通信节点可比较前后两个注册消息序列号，并结合随机数的散列值，检测注册消息是否为重放攻击。若消息序列号不匹配或随机数散列值不正确，则可作为过期注册消息，不予处理。

对其他形式的攻击，可利用<移动节点，通信节点>和<移动节点，归属代理>之间的信令消息传递进行有效防范。移动节点和归属代理之间可通过建立IPSec安全联盟，以保护信令消息和业务流量。由于移动节点归属地址和归属代理为已知，所以可以预先为移动节点和归属代理配置安全联盟，并使用IPSec AH和ESP建立安全隧道，提供数据源认证、完整性检查、数据加密和重放攻击防护。

讨论思考

1）网络协议的安全风险主要有哪些？

2）概述TCP/IP应用层的主要安全性。

3）移动IPv6面临的安全威胁有哪些？