有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：按照國家廣播電視總局關(guān)于推進IPv6規(guī)模部署和應(yīng)用的要求，運營商正逐年落實IPv6部署和應(yīng)用工作，有線電視網(wǎng)絡(luò)IPv6應(yīng)用規(guī)模不斷提升。與此同時，運營商應(yīng)同步開展IPv6網(wǎng)絡(luò)安全部署實踐，以更好地應(yīng)對當前IPv6攻擊不斷攀升的態(tài)勢。本文圍繞有線電視網(wǎng)絡(luò)設(shè)備IPv6安全關(guān)鍵技術(shù)展開研究，對IPv6網(wǎng)絡(luò)安全性進行分析，對有線電視網(wǎng)絡(luò)中的通用網(wǎng)絡(luò)設(shè)備路由協(xié)議的安全風險和防護進行研究，以期為IPv6網(wǎng)絡(luò)安全實踐提供一些參考。

關(guān)鍵詞：IPv6網(wǎng)絡(luò)安全路由協(xié)議

1引言

IPv6協(xié)議是下一代互聯(lián)網(wǎng)協(xié)議，在地址空間、安全性等方面有巨大提升。物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新技術(shù)驅(qū)動網(wǎng)絡(luò)空間向萬物互聯(lián)演進，利用IPv6技術(shù)解決地址短缺問題、培育創(chuàng)新空間是大勢所趨。世界各國已充分認識到規(guī)模部署IPv6的迫切性，全球通信行業(yè)及開展新興技術(shù)應(yīng)用的企業(yè)都在向IPv6遷移。目前，全球IPv6支持能力水平穩(wěn)步提升，APNICLabs國家/地區(qū)IPv6支持能力統(tǒng)計數(shù)據(jù)顯示，截至2022年3月8日，全球IPv6支持能力達29.8%。2021年，中央網(wǎng)信辦、發(fā)改委、工信部聯(lián)合發(fā)布《關(guān)于加快推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，明確了“十四五”時期應(yīng)全面深入推進IPv6規(guī)模部署和應(yīng)用，加快促進互聯(lián)網(wǎng)演進升級。隨后，廣電行業(yè)制定了相應(yīng)的工作任務(wù)臺賬，全面推進廣電行業(yè)IPv6規(guī)模部署和應(yīng)用。在IPv6規(guī)模部署過程中，安全問題是非常重要的。在網(wǎng)絡(luò)層面，IPv6網(wǎng)絡(luò)面臨協(xié)議、機制自身存在的安全問題，通用網(wǎng)絡(luò)設(shè)備路由器和路由協(xié)議在IPv6環(huán)境下也面臨著新的安全挑戰(zhàn)。

2IPv6網(wǎng)絡(luò)安全性分析

2.1IPv6協(xié)議的特征和安全性增強

與IPv4相比，IPv6在地址空間、首部格式、安全性支持、配置和維護等方面進行了改進，同時實現(xiàn)了安全性的增強。安全性的增強一方面源于地址空間大大提升，另一方面源于IPv6協(xié)議族中提供了若干安全特性。IPv6的主要特征如下。2.1.1地址空間的擴展。IPv6將地址長度從IPv4的64位擴展到128位，地址空間容量是IPv4的296倍，地址空間得到極大擴展。IPv6海量地址空間提升了網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)勘察的難度，在網(wǎng)絡(luò)層實施傳統(tǒng)的順序掃描或隨機掃描策略將是不可行的。2.1.2層級化的編制方式和豐富的地址類型。IPv6采用了可聚合的層級化的子網(wǎng)分級編址方式，并定義了全球聚合單播地址、本地鏈路地址、多播/選播地址等一系列地址類型，有助于提高路由表的空間聚合效率和路由交換性能，更加適合交換式的高速網(wǎng)絡(luò)環(huán)境。2.1.3高效的協(xié)議首部。IPv6的協(xié)議報文首部格式采用基本首部和擴展首部相結(jié)合的定義方式?；臼撞烤哂泄潭ǖ拈L度，便于節(jié)點進行快速處理，可以減少處理開銷，提升數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。擴展首部采用選項鏈表形式，可以為協(xié)議功能的擴展提供高度的靈活性和自主性。2.1.4支持IPsecIPv6以一組RFC定義了網(wǎng)絡(luò)安全。協(xié)議框架IPsec，包括了鑒別首部機制（AH）和安全負載封裝機制（ESP），以及支持多種密鑰加密方式的因特網(wǎng)密鑰管理交換協(xié)議（IKE）等，以保障IP層數(shù)據(jù)包的安全傳輸。2.1.5IP層鄰居發(fā)現(xiàn)協(xié)議與無狀態(tài)地址自動配置IPv6協(xié)議族中定義基于IP的鄰居發(fā)現(xiàn)協(xié)議，替代IPv4中采用的鏈路層ARP協(xié)議和部分ICMP功能，在三層實現(xiàn)地址解析和鄰居發(fā)現(xiàn)，并提供無狀態(tài)地址自動配置功能，提升了協(xié)議在不同二層介質(zhì)條件下的適用性，減輕了二層網(wǎng)絡(luò)壓力，而且可以使用三層的安全機制增強網(wǎng)絡(luò)維護管理機制的健壯性。

2.2IPv6網(wǎng)絡(luò)的安全風險

網(wǎng)絡(luò)層面的IPv6安全風險分析主要從IPv6協(xié)議機制出發(fā)來展開，包括網(wǎng)絡(luò)編址機制、IPv6報文格式、ICMPv6協(xié)議、鄰居發(fā)現(xiàn)協(xié)議等。2.2.1網(wǎng)絡(luò)編址機制的安全風險。網(wǎng)絡(luò)尋址空間的大小對于目前的網(wǎng)絡(luò)安全分析技術(shù)將產(chǎn)生直接的影響。任何類型的攻擊的第一個階段通常都涉及對目標的勘察，攻擊者會評估目標，選定穿透防御最容易的方法以及實施攻擊的最優(yōu)方式，并確定攻擊實際上是否成功。與IPv4相比，IPv6高達128位的地址長度顯著提升了網(wǎng)絡(luò)掃描的難度，傳統(tǒng)的基于網(wǎng)絡(luò)層的隨機掃描和順序掃描策略在IPv6下難以實施。然而，若IPv6編址方式不合理，如采用將EUI-64地址轉(zhuǎn)換為IPv6地址的編制方式、在IPv6地址中嵌入IPv4地址的編制方式、在IPv6地址中嵌入端口號的編制方式或采用十六進制“字”構(gòu)造IPv6地址的方式等[1]，則會降低掃描的搜索空間，減弱網(wǎng)絡(luò)掃描的難度。2.2.2IPv6報文格式的安全風險。IPv6采用了基本首部和可選的擴展首部相結(jié)合的分組格式。基本首部格式簡練且具有相對固定的長度；擴展首部以選項鏈表的形式替代了IPv4下單一且長度不定的IP頭選項字段，以提供良好的協(xié)議擴展性。IPv6在安全性方面優(yōu)于IPv4，但其設(shè)計仍然有不嚴密之處，為安全威脅的產(chǎn)生創(chuàng)造了便利條件。IPv6基本首部中存在未完全定義字段和保留字段，如版本、流量類型、流標簽、下一報頭、跳限制等字段。一方面，攻擊者可能將字段設(shè)置為未定義取值，用以干擾安全設(shè)備或消耗資源，甚至實施拒絕服務(wù)（DoS）攻擊；另一方面，攻擊者可能利用這些字段來構(gòu)建隱蔽信道，它能使通信雙方繞過系統(tǒng)安全訪問機制的檢查，并以違反系統(tǒng)安全策略的方式傳遞秘密信息。IPv6擴展首部機制是IPv6協(xié)議的新特性之一。擴展首部的引入最大程度地減少了節(jié)點處理IPv6協(xié)議首部的開銷，而且它使得未來IPv6功能的擴展具有高度的靈活性和自主性。IPv6協(xié)議主要定義了逐跳選項首部、分段首部、目的地選項首部、路由首部、認證首部、封裝安全載荷首部等擴展首部。IPv6協(xié)議還明確規(guī)定了發(fā)送節(jié)點對IPv6擴展首部的順序和次數(shù)的要求，但同時IPv6協(xié)議要求IPv6節(jié)點必須能夠接收并嘗試處理以任意順序構(gòu)成的擴展首部。任意類型的擴展首部能夠以不同的順序或是未定的次數(shù)在IPv6數(shù)據(jù)包中出現(xiàn)，這種不受約束的特性存在極大的安全隱患，比如將許多擴展首部鏈接在一起精心構(gòu)造的報文，可能會被用來規(guī)避防火墻和入侵防御系統(tǒng)的安全控制；處理冗長的擴展首部會帶來極大的資源消耗，由此可能導致拒絕服務(wù)攻擊；擴展首部存在大量的數(shù)據(jù)空間，可能會被用于實現(xiàn)隱蔽通信等。2.2.3ICMPv6協(xié)議的安全風險。ICMPv6協(xié)議是IPv6協(xié)議族中的一個基礎(chǔ)協(xié)議，合并了IPv4中的ICMP(控制報文協(xié)議)、IGMP(組成員協(xié)議)、ARP(地址解析協(xié)議)、NDP（鄰居發(fā)現(xiàn)協(xié)議）等多個協(xié)議的功能。每個IPv6節(jié)點都必須完全實現(xiàn)ICMPv6的基礎(chǔ)協(xié)議。對于ICMPv6協(xié)議的攻擊，主要分為四類：一是通過偽造虛假報文或產(chǎn)生大量不合法報文等方式，利用ICMPv6報文造成拒絕服務(wù)攻擊；二是利用精心編制的ICMPv6消息開展網(wǎng)絡(luò)嗅探，通過探測站點以確定拓撲并識別潛在的攻擊目標；三是利用重定向消息發(fā)起重定向攻擊；四是一些ICMPv6錯誤數(shù)據(jù)報文可能需要雙向通過防火墻，而報文透明傳輸容易被用來進行隱蔽通信等。2.2.4鄰居發(fā)現(xiàn)協(xié)議的安全風險。鄰居發(fā)現(xiàn)協(xié)議是IPv6中的一種重要協(xié)議，定義在ICMPv6中，屬于ICMPv6的消息性報文。鄰居發(fā)現(xiàn)協(xié)議定義了路由器公告（RA）報文、路由器信息請求（RS）報文、鄰居請求（NS）報文、鄰居公告（NA）報文和重定向報文。利用這些報文，鄰居發(fā)現(xiàn)協(xié)議主要實現(xiàn)地址解析、重復(fù)地址檢測、鄰居不可達檢測、無狀態(tài)地址自動配置和重定向功能。IPv6節(jié)點通過鄰居發(fā)現(xiàn)協(xié)議確定鏈路上鄰居節(jié)點的鏈路層地址，尋找進行包轉(zhuǎn)發(fā)的鄰居路由器。另外，節(jié)點使用鄰居發(fā)現(xiàn)協(xié)議可以確定鄰居的可達性，并能檢測改變了的鏈路層地址?；卩従影l(fā)現(xiàn)協(xié)議的攻擊是IPv6下一個需要面對的十分重要的安全威脅，主要分為兩類：一類是基于鄰居發(fā)現(xiàn)協(xié)議的拒絕服務(wù)攻擊，包括RA報文配置虛假的地址前綴或網(wǎng)絡(luò)參數(shù)（MTU、跳數(shù)限制等）造成主機的拒絕服務(wù)、重復(fù)地址檢測中通過虛假的NS或NA報文干擾造成拒絕服務(wù)攻擊、鄰居不可達檢測中通過虛假的NA報文回應(yīng)NS報文造成拒絕服務(wù)攻擊等；另一類是基于鄰居發(fā)現(xiàn)協(xié)議的欺騙攻擊，包括偽裝路由器發(fā)送虛假RA報文實施監(jiān)聽或中間人欺騙攻擊、使用RS/NS/NA報文實施鄰居緩存欺騙攻擊或地址欺騙攻擊，以及發(fā)送虛假的重定向報文實施重定向攻擊。

3通用網(wǎng)絡(luò)設(shè)備路由協(xié)議安全風險及防護

有線網(wǎng)絡(luò)運營商內(nèi)部環(huán)境的安全是IPv6安全的一個重要領(lǐng)域。一個網(wǎng)絡(luò)運營商如何保障其網(wǎng)絡(luò)的安全會直接影響整個互聯(lián)網(wǎng)的安全。有線網(wǎng)絡(luò)運營商IP數(shù)據(jù)網(wǎng)通常劃分為骨干網(wǎng)、城域網(wǎng)和接入網(wǎng)。骨干網(wǎng)匯聚了全省的所有業(yè)務(wù)，通常由核心層、匯接層和出口層組成，如圖1所示。核心層負責省內(nèi)各城域網(wǎng)絡(luò)間的訪問流量；匯接層負責接入層流量的匯聚和轉(zhuǎn)發(fā)；出口層負責與ISP/ICP等外部網(wǎng)絡(luò)間的Internet訪問流量。有線電視IP數(shù)據(jù)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備通常為路由器、三層交換機等，一臺網(wǎng)絡(luò)設(shè)備可以劃分為4個不同流量平面，即數(shù)據(jù)平面、管理平面、控制平面和服務(wù)平面。網(wǎng)絡(luò)設(shè)備的控制平面主要涉及信令協(xié)議，路由協(xié)議是其中的一種重要協(xié)議。路由器使用路由協(xié)議以收斂IP轉(zhuǎn)發(fā)數(shù)據(jù)庫。目前，最常用的支持IPv6的路由協(xié)議分別是邊界網(wǎng)關(guān)協(xié)議BGP4+、路由信息協(xié)議下一代（RIPng）、最短路徑優(yōu)先路由協(xié)議版本3（OSPFv3）和中間系統(tǒng)到中間系統(tǒng)版本6（ISISv6）。在網(wǎng)絡(luò)中，路由器容易受到中斷攻擊、消耗路由器計算資源的攻擊、緩沖區(qū)溢出攻擊或重放攻擊，這些攻擊可能造成DoS或數(shù)據(jù)包的次優(yōu)路由。此外，路由器被攻擊的方式可能還包括大量路由信息的注入、錯誤路由信息注入以及其他可能導致其性能下降的流量。路由協(xié)議最初是針對友好環(huán)境設(shè)計的，用以處理數(shù)據(jù)流量的路由，所有路由器協(xié)作完成加快收斂時間的共同目標，意味著路由協(xié)議本身面對攻擊是脆弱的。因此，在控制層面需要采取措施保證路由器及其路由協(xié)議的安全。路由器應(yīng)對威脅的一種重要方式是使用密碼學方法認證在路由器之間發(fā)送的消息。邊界網(wǎng)關(guān)協(xié)議BGP4+支持使用MD5認證或Keychain認證；RIPng支持MD5認證，同時還可使用IPsec認證；OSPFv3通常使用IPsec認證保證鄰接鄰居之間的信息安全；ISISv6則采用自身協(xié)議定義的ISIS認證方式。針對DoS攻擊，路由器實行白名單安全機制，為每個端口建立“白名單安全”標簽，在“白名單安全”列表中的端口之間可以實現(xiàn)快速的報文互換；針對大量路由信息注入的攻擊，應(yīng)采取單鄰居路由數(shù)量限制的策略，限制存入路由數(shù)據(jù)庫的路徑數(shù)目或設(shè)置接收路徑數(shù)目的限制值。

4結(jié)語

在IPv6規(guī)模部署與應(yīng)用的同時，需要同步加強IPv6網(wǎng)絡(luò)安全保障。本文從網(wǎng)絡(luò)層面展開對IPv6相關(guān)網(wǎng)絡(luò)安全性的分析，有助于加深對于網(wǎng)絡(luò)層面IPv6安全問題的理解；對有線電視網(wǎng)絡(luò)設(shè)備中的路由器及路由協(xié)議的安全風險和防護進行分析，為有線網(wǎng)絡(luò)設(shè)備控制平面的網(wǎng)絡(luò)安全實踐提供了參考。

參考文獻

[1]張連成,郭毅.IPv6網(wǎng)絡(luò)安全威脅分析[J].信息通信技術(shù),2019,13(6):7-14.

作者:趙翠 趙明 湯新坤 單位:國家廣播電視總局廣播電視科學研究院