有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：按照國家廣播電視總局關(guān)于推進(jìn)IPv6規(guī)模部署和應(yīng)用的要求，運(yùn)營商正逐年落實(shí)IPv6部署和應(yīng)用工作，有線電視網(wǎng)絡(luò)IPv6應(yīng)用規(guī)模不斷提升。與此同時，運(yùn)營商應(yīng)同步開展IPv6網(wǎng)絡(luò)安全部署實(shí)踐，以更好地應(yīng)對當(dāng)前IPv6攻擊不斷攀升的態(tài)勢。本文圍繞有線電視網(wǎng)絡(luò)設(shè)備IPv6安全關(guān)鍵技術(shù)展開研究，對IPv6網(wǎng)絡(luò)安全性進(jìn)行分析，對有線電視網(wǎng)絡(luò)中的通用網(wǎng)絡(luò)設(shè)備路由協(xié)議的安全風(fēng)險和防護(hù)進(jìn)行研究，以期為IPv6網(wǎng)絡(luò)安全實(shí)踐提供一些參考。

關(guān)鍵詞：IPv6網(wǎng)絡(luò)安全路由協(xié)議

1引言

IPv6協(xié)議是下一代互聯(lián)網(wǎng)協(xié)議，在地址空間、安全性等方面有巨大提升。物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)驅(qū)動網(wǎng)絡(luò)空間向萬物互聯(lián)演進(jìn)，利用IPv6技術(shù)解決地址短缺問題、培育創(chuàng)新空間是大勢所趨。世界各國已充分認(rèn)識到規(guī)模部署IPv6的迫切性，全球通信行業(yè)及開展新興技術(shù)應(yīng)用的企業(yè)都在向IPv6遷移。目前，全球IPv6支持能力水平穩(wěn)步提升，APNICLabs國家/地區(qū)IPv6支持能力統(tǒng)計(jì)數(shù)據(jù)顯示，截至2022年3月8日，全球IPv6支持能力達(dá)29.8%。2021年，中央網(wǎng)信辦、發(fā)改委、工信部聯(lián)合發(fā)布《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，明確了“十四五”時期應(yīng)全面深入推進(jìn)IPv6規(guī)模部署和應(yīng)用，加快促進(jìn)互聯(lián)網(wǎng)演進(jìn)升級。隨后，廣電行業(yè)制定了相應(yīng)的工作任務(wù)臺賬，全面推進(jìn)廣電行業(yè)IPv6規(guī)模部署和應(yīng)用。在IPv6規(guī)模部署過程中，安全問題是非常重要的。在網(wǎng)絡(luò)層面，IPv6網(wǎng)絡(luò)面臨協(xié)議、機(jī)制自身存在的安全問題，通用網(wǎng)絡(luò)設(shè)備路由器和路由協(xié)議在IPv6環(huán)境下也面臨著新的安全挑戰(zhàn)。

2IPv6網(wǎng)絡(luò)安全性分析

2.1IPv6協(xié)議的特征和安全性增強(qiáng)

與IPv4相比，IPv6在地址空間、首部格式、安全性支持、配置和維護(hù)等方面進(jìn)行了改進(jìn)，同時實(shí)現(xiàn)了安全性的增強(qiáng)。安全性的增強(qiáng)一方面源于地址空間大大提升，另一方面源于IPv6協(xié)議族中提供了若干安全特性。IPv6的主要特征如下。2.1.1地址空間的擴(kuò)展。IPv6將地址長度從IPv4的64位擴(kuò)展到128位，地址空間容量是IPv4的296倍，地址空間得到極大擴(kuò)展。IPv6海量地址空間提升了網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)勘察的難度，在網(wǎng)絡(luò)層實(shí)施傳統(tǒng)的順序掃描或隨機(jī)掃描策略將是不可行的。2.1.2層級化的編制方式和豐富的地址類型。IPv6采用了可聚合的層級化的子網(wǎng)分級編址方式，并定義了全球聚合單播地址、本地鏈路地址、多播/選播地址等一系列地址類型，有助于提高路由表的空間聚合效率和路由交換性能，更加適合交換式的高速網(wǎng)絡(luò)環(huán)境。2.1.3高效的協(xié)議首部。IPv6的協(xié)議報文首部格式采用基本首部和擴(kuò)展首部相結(jié)合的定義方式?；臼撞烤哂泄潭ǖ拈L度，便于節(jié)點(diǎn)進(jìn)行快速處理，可以減少處理開銷，提升數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。擴(kuò)展首部采用選項(xiàng)鏈表形式，可以為協(xié)議功能的擴(kuò)展提供高度的靈活性和自主性。2.1.4支持IPsecIPv6以一組RFC定義了網(wǎng)絡(luò)安全。協(xié)議框架IPsec，包括了鑒別首部機(jī)制（AH）和安全負(fù)載封裝機(jī)制（ESP），以及支持多種密鑰加密方式的因特網(wǎng)密鑰管理交換協(xié)議（IKE）等，以保障IP層數(shù)據(jù)包的安全傳輸。2.1.5IP層鄰居發(fā)現(xiàn)協(xié)議與無狀態(tài)地址自動配置IPv6協(xié)議族中定義基于IP的鄰居發(fā)現(xiàn)協(xié)議，替代IPv4中采用的鏈路層ARP協(xié)議和部分ICMP功能，在三層實(shí)現(xiàn)地址解析和鄰居發(fā)現(xiàn)，并提供無狀態(tài)地址自動配置功能，提升了協(xié)議在不同二層介質(zhì)條件下的適用性，減輕了二層網(wǎng)絡(luò)壓力，而且可以使用三層的安全機(jī)制增強(qiáng)網(wǎng)絡(luò)維護(hù)管理機(jī)制的健壯性。

2.2IPv6網(wǎng)絡(luò)的安全風(fēng)險

網(wǎng)絡(luò)層面的IPv6安全風(fēng)險分析主要從IPv6協(xié)議機(jī)制出發(fā)來展開，包括網(wǎng)絡(luò)編址機(jī)制、IPv6報文格式、ICMPv6協(xié)議、鄰居發(fā)現(xiàn)協(xié)議等。2.2.1網(wǎng)絡(luò)編址機(jī)制的安全風(fēng)險。網(wǎng)絡(luò)尋址空間的大小對于目前的網(wǎng)絡(luò)安全分析技術(shù)將產(chǎn)生直接的影響。任何類型的攻擊的第一個階段通常都涉及對目標(biāo)的勘察，攻擊者會評估目標(biāo)，選定穿透防御最容易的方法以及實(shí)施攻擊的最優(yōu)方式，并確定攻擊實(shí)際上是否成功。與IPv4相比，IPv6高達(dá)128位的地址長度顯著提升了網(wǎng)絡(luò)掃描的難度，傳統(tǒng)的基于網(wǎng)絡(luò)層的隨機(jī)掃描和順序掃描策略在IPv6下難以實(shí)施。然而，若IPv6編址方式不合理，如采用將EUI-64地址轉(zhuǎn)換為IPv6地址的編制方式、在IPv6地址中嵌入IPv4地址的編制方式、在IPv6地址中嵌入端口號的編制方式或采用十六進(jìn)制“字”構(gòu)造IPv6地址的方式等[1]，則會降低掃描的搜索空間，減弱網(wǎng)絡(luò)掃描的難度。2.2.2IPv6報文格式的安全風(fēng)險。IPv6采用了基本首部和可選的擴(kuò)展首部相結(jié)合的分組格式?；臼撞扛袷胶喚毲揖哂邢鄬潭ǖ拈L度；擴(kuò)展首部以選項(xiàng)鏈表的形式替代了IPv4下單一且長度不定的IP頭選項(xiàng)字段，以提供良好的協(xié)議擴(kuò)展性。IPv6在安全性方面優(yōu)于IPv4，但其設(shè)計(jì)仍然有不嚴(yán)密之處，為安全威脅的產(chǎn)生創(chuàng)造了便利條件。IPv6基本首部中存在未完全定義字段和保留字段，如版本、流量類型、流標(biāo)簽、下一報頭、跳限制等字段。一方面，攻擊者可能將字段設(shè)置為未定義取值，用以干擾安全設(shè)備或消耗資源，甚至實(shí)施拒絕服務(wù)（DoS）攻擊；另一方面，攻擊者可能利用這些字段來構(gòu)建隱蔽信道，它能使通信雙方繞過系統(tǒng)安全訪問機(jī)制的檢查，并以違反系統(tǒng)安全策略的方式傳遞秘密信息。IPv6擴(kuò)展首部機(jī)制是IPv6協(xié)議的新特性之一。擴(kuò)展首部的引入最大程度地減少了節(jié)點(diǎn)處理IPv6協(xié)議首部的開銷，而且它使得未來IPv6功能的擴(kuò)展具有高度的靈活性和自主性。IPv6協(xié)議主要定義了逐跳選項(xiàng)首部、分段首部、目的地選項(xiàng)首部、路由首部、認(rèn)證首部、封裝安全載荷首部等擴(kuò)展首部。IPv6協(xié)議還明確規(guī)定了發(fā)送節(jié)點(diǎn)對IPv6擴(kuò)展首部的順序和次數(shù)的要求，但同時IPv6協(xié)議要求IPv6節(jié)點(diǎn)必須能夠接收并嘗試處理以任意順序構(gòu)成的擴(kuò)展首部。任意類型的擴(kuò)展首部能夠以不同的順序或是未定的次數(shù)在IPv6數(shù)據(jù)包中出現(xiàn)，這種不受約束的特性存在極大的安全隱患，比如將許多擴(kuò)展首部鏈接在一起精心構(gòu)造的報文，可能會被用來規(guī)避防火墻和入侵防御系統(tǒng)的安全控制；處理冗長的擴(kuò)展首部會帶來極大的資源消耗，由此可能導(dǎo)致拒絕服務(wù)攻擊；擴(kuò)展首部存在大量的數(shù)據(jù)空間，可能會被用于實(shí)現(xiàn)隱蔽通信等。2.2.3ICMPv6協(xié)議的安全風(fēng)險。ICMPv6協(xié)議是IPv6協(xié)議族中的一個基礎(chǔ)協(xié)議，合并了IPv4中的ICMP(控制報文協(xié)議)、IGMP(組成員協(xié)議)、ARP(地址解析協(xié)議)、NDP（鄰居發(fā)現(xiàn)協(xié)議）等多個協(xié)議的功能。每個IPv6節(jié)點(diǎn)都必須完全實(shí)現(xiàn)ICMPv6的基礎(chǔ)協(xié)議。對于ICMPv6協(xié)議的攻擊，主要分為四類：一是通過偽造虛假報文或產(chǎn)生大量不合法報文等方式，利用ICMPv6報文造成拒絕服務(wù)攻擊；二是利用精心編制的ICMPv6消息開展網(wǎng)絡(luò)嗅探，通過探測站點(diǎn)以確定拓?fù)洳⒆R別潛在的攻擊目標(biāo)；三是利用重定向消息發(fā)起重定向攻擊；四是一些ICMPv6錯誤數(shù)據(jù)報文可能需要雙向通過防火墻，而報文透明傳輸容易被用來進(jìn)行隱蔽通信等。2.2.4鄰居發(fā)現(xiàn)協(xié)議的安全風(fēng)險。鄰居發(fā)現(xiàn)協(xié)議是IPv6中的一種重要協(xié)議，定義在ICMPv6中，屬于ICMPv6的消息性報文。鄰居發(fā)現(xiàn)協(xié)議定義了路由器公告（RA）報文、路由器信息請求（RS）報文、鄰居請求（NS）報文、鄰居公告（NA）報文和重定向報文。利用這些報文，鄰居發(fā)現(xiàn)協(xié)議主要實(shí)現(xiàn)地址解析、重復(fù)地址檢測、鄰居不可達(dá)檢測、無狀態(tài)地址自動配置和重定向功能。IPv6節(jié)點(diǎn)通過鄰居發(fā)現(xiàn)協(xié)議確定鏈路上鄰居節(jié)點(diǎn)的鏈路層地址，尋找進(jìn)行包轉(zhuǎn)發(fā)的鄰居路由器。另外，節(jié)點(diǎn)使用鄰居發(fā)現(xiàn)協(xié)議可以確定鄰居的可達(dá)性，并能檢測改變了的鏈路層地址?；卩従影l(fā)現(xiàn)協(xié)議的攻擊是IPv6下一個需要面對的十分重要的安全威脅，主要分為兩類：一類是基于鄰居發(fā)現(xiàn)協(xié)議的拒絕服務(wù)攻擊，包括RA報文配置虛假的地址前綴或網(wǎng)絡(luò)參數(shù)（MTU、跳數(shù)限制等）造成主機(jī)的拒絕服務(wù)、重復(fù)地址檢測中通過虛假的NS或NA報文干擾造成拒絕服務(wù)攻擊、鄰居不可達(dá)檢測中通過虛假的NA報文回應(yīng)NS報文造成拒絕服務(wù)攻擊等；另一類是基于鄰居發(fā)現(xiàn)協(xié)議的欺騙攻擊，包括偽裝路由器發(fā)送虛假RA報文實(shí)施監(jiān)聽或中間人欺騙攻擊、使用RS/NS/NA報文實(shí)施鄰居緩存欺騙攻擊或地址欺騙攻擊，以及發(fā)送虛假的重定向報文實(shí)施重定向攻擊。

3通用網(wǎng)絡(luò)設(shè)備路由協(xié)議安全風(fēng)險及防護(hù)

有線網(wǎng)絡(luò)運(yùn)營商內(nèi)部環(huán)境的安全是IPv6安全的一個重要領(lǐng)域。一個網(wǎng)絡(luò)運(yùn)營商如何保障其網(wǎng)絡(luò)的安全會直接影響整個互聯(lián)網(wǎng)的安全。有線網(wǎng)絡(luò)運(yùn)營商IP數(shù)據(jù)網(wǎng)通常劃分為骨干網(wǎng)、城域網(wǎng)和接入網(wǎng)。骨干網(wǎng)匯聚了全省的所有業(yè)務(wù)，通常由核心層、匯接層和出口層組成，如圖1所示。核心層負(fù)責(zé)省內(nèi)各城域網(wǎng)絡(luò)間的訪問流量；匯接層負(fù)責(zé)接入層流量的匯聚和轉(zhuǎn)發(fā)；出口層負(fù)責(zé)與ISP/ICP等外部網(wǎng)絡(luò)間的Internet訪問流量。有線電視IP數(shù)據(jù)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備通常為路由器、三層交換機(jī)等，一臺網(wǎng)絡(luò)設(shè)備可以劃分為4個不同流量平面，即數(shù)據(jù)平面、管理平面、控制平面和服務(wù)平面。網(wǎng)絡(luò)設(shè)備的控制平面主要涉及信令協(xié)議，路由協(xié)議是其中的一種重要協(xié)議。路由器使用路由協(xié)議以收斂IP轉(zhuǎn)發(fā)數(shù)據(jù)庫。目前，最常用的支持IPv6的路由協(xié)議分別是邊界網(wǎng)關(guān)協(xié)議BGP4+、路由信息協(xié)議下一代（RIPng）、最短路徑優(yōu)先路由協(xié)議版本3（OSPFv3）和中間系統(tǒng)到中間系統(tǒng)版本6（ISISv6）。在網(wǎng)絡(luò)中，路由器容易受到中斷攻擊、消耗路由器計(jì)算資源的攻擊、緩沖區(qū)溢出攻擊或重放攻擊，這些攻擊可能造成DoS或數(shù)據(jù)包的次優(yōu)路由。此外，路由器被攻擊的方式可能還包括大量路由信息的注入、錯誤路由信息注入以及其他可能導(dǎo)致其性能下降的流量。路由協(xié)議最初是針對友好環(huán)境設(shè)計(jì)的，用以處理數(shù)據(jù)流量的路由，所有路由器協(xié)作完成加快收斂時間的共同目標(biāo)，意味著路由協(xié)議本身面對攻擊是脆弱的。因此，在控制層面需要采取措施保證路由器及其路由協(xié)議的安全。路由器應(yīng)對威脅的一種重要方式是使用密碼學(xué)方法認(rèn)證在路由器之間發(fā)送的消息。邊界網(wǎng)關(guān)協(xié)議BGP4+支持使用MD5認(rèn)證或Keychain認(rèn)證；RIPng支持MD5認(rèn)證，同時還可使用IPsec認(rèn)證；OSPFv3通常使用IPsec認(rèn)證保證鄰接鄰居之間的信息安全；ISISv6則采用自身協(xié)議定義的ISIS認(rèn)證方式。針對DoS攻擊，路由器實(shí)行白名單安全機(jī)制，為每個端口建立“白名單安全”標(biāo)簽，在“白名單安全”列表中的端口之間可以實(shí)現(xiàn)快速的報文互換；針對大量路由信息注入的攻擊，應(yīng)采取單鄰居路由數(shù)量限制的策略，限制存入路由數(shù)據(jù)庫的路徑數(shù)目或設(shè)置接收路徑數(shù)目的限制值。

4結(jié)語

在IPv6規(guī)模部署與應(yīng)用的同時，需要同步加強(qiáng)IPv6網(wǎng)絡(luò)安全保障。本文從網(wǎng)絡(luò)層面展開對IPv6相關(guān)網(wǎng)絡(luò)安全性的分析，有助于加深對于網(wǎng)絡(luò)層面IPv6安全問題的理解；對有線電視網(wǎng)絡(luò)設(shè)備中的路由器及路由協(xié)議的安全風(fēng)險和防護(hù)進(jìn)行分析，為有線網(wǎng)絡(luò)設(shè)備控制平面的網(wǎng)絡(luò)安全實(shí)踐提供了參考。

參考文獻(xiàn)

[1]張連成,郭毅.IPv6網(wǎng)絡(luò)安全威脅分析[J].信息通信技術(shù),2019,13(6):7-14.

作者:趙翠 趙明 湯新坤 單位:國家廣播電視總局廣播電視科學(xué)研究院