第一篇：IPv6對(duì)網(wǎng)絡(luò)安全的改進(jìn)與挑戰(zhàn)

IPv6對(duì)網(wǎng)絡(luò)安全的改進(jìn)與挑戰(zhàn)

谷 耀

摘要：本文從IPv4地址資源緊缺引發(fā)的安全問(wèn)題出發(fā)，論述了IPv6協(xié)議對(duì)網(wǎng)絡(luò)安全的多項(xiàng)改進(jìn)，以及IPv6協(xié)議引入后帶來(lái)的新的安全問(wèn)題，并指出由IPv4向 IPv6轉(zhuǎn)移可能出現(xiàn)的安全漏洞及相應(yīng)對(duì)策。

關(guān)鍵詞：IPv6，網(wǎng)絡(luò)安全，IP協(xié)議

一、IPv4地址資源匱乏引發(fā)的安全問(wèn)題

由于我國(guó)IPv4地址資源嚴(yán)重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊缺外，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT/PAT）技術(shù)來(lái)解決這個(gè)問(wèn)題。比如PSTN/ADSL/GPRS撥號(hào)上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有的IPv4地址，通過(guò)NAT技術(shù)接入互聯(lián)網(wǎng)的。這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障。1．互聯(lián)網(wǎng)可信度問(wèn)題

互聯(lián)網(wǎng)不可信是有其歷史和技術(shù)原因的，互聯(lián)網(wǎng)設(shè)計(jì)者的初衷就是為了互聯(lián)和共享。TCP/IP協(xié)議不驗(yàn)證源IP地址，而采用NAT則掩蓋了用戶真實(shí)的IP地址。有專家指出，現(xiàn)在匿名垃圾郵件和病毒郵件之所以能夠泛濫成災(zāi)，就是因?yàn)橹袊?guó)九千多萬(wàn)網(wǎng)民只擁有不足4000萬(wàn)IP地址。IP地址欺騙、身份難以確認(rèn)、網(wǎng)絡(luò)釣魚(yú)、虛假服務(wù)請(qǐng)求、源路由篡改，正是這種匿名性使得黑客能夠偽造或者屏蔽IP地址實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的攻擊并逃避懲罰。2．端到端連接特性

由于NAT透明性差，不能支持那些應(yīng)用層協(xié)議中包含有IP地址、TPC/UDP協(xié)議端口等信息的應(yīng)用程序，以及需要在應(yīng)用層進(jìn)行認(rèn)證、加密的應(yīng)用程序。因而破壞了IP協(xié)議端到端的連接特性，使得端到端的業(yè)務(wù)無(wú)法開(kāi)展，成為安全連接的技術(shù)障礙。

3．網(wǎng)絡(luò)安全性

作為Internet安全標(biāo)準(zhǔn)，IPv4并沒(méi)有強(qiáng)制要求實(shí)現(xiàn)IPSec。即使采用IPSec，通常也只是部署在IPv4網(wǎng)絡(luò)的邊界路由器。并且，NAT技術(shù)和IPSec會(huì)有矛盾，有的情況下無(wú)法協(xié)同工作。采用NAT技術(shù)還限制了VPN（虛擬專用網(wǎng)）的可擴(kuò)展性，這些都在一定程度上限制了網(wǎng)絡(luò)加密和網(wǎng)絡(luò)安全。

二、IPv6協(xié)議在網(wǎng)絡(luò)安全方面的改進(jìn) 1． IP安全協(xié)議（IPSec）

IPSec是IPv4的一個(gè)可選擴(kuò)展協(xié)議，而在IPv6則是一個(gè)必備組成部分。IPSec協(xié)議可以“無(wú)縫”地為IP提供安全特性，如提供訪問(wèn)控制、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)完整性檢查、機(jī)密性保證，以及抗重播（Replay）攻擊等。新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來(lái)對(duì)路由信息進(jìn)行加密和認(rèn)證，提高抗路由攻擊的性能。

IPSec協(xié)議簇主要包括：AH：認(rèn)證報(bào)頭（RFC1826），ESP：封裝化安全載荷（RFC1827），IKE：Internet密鑰交換（RFC2409），以及強(qiáng)制轉(zhuǎn)碼類型等相關(guān)組件。AH用于保證數(shù)據(jù)的一致性。它要校驗(yàn)源地址和目的地址這些標(biāo)明發(fā)送/接收設(shè)備的字段是否在路由過(guò)程中被改變。如果未通過(guò)校驗(yàn)，數(shù)據(jù)包就會(huì)被拋棄。通過(guò)這種方式，AH為數(shù)據(jù)的完整性和原始性提供了鑒定依據(jù)。ESP用于保證數(shù)據(jù)的機(jī)密性和數(shù)據(jù)的一致性。ESP報(bào)頭提供集成功能和IP數(shù)據(jù)的可靠性。集成保證數(shù)據(jù)不被惡意破壞，可靠性保證使用密碼技術(shù)的安全。IKE采用密鑰交換協(xié)議自動(dòng)實(shí)現(xiàn)通信雙方安全參數(shù)的可靠協(xié)商與獲取，進(jìn)而能夠最大程度地保證網(wǎng)絡(luò)層的通信安全。

雖然IPSec能夠防止多種攻擊，但無(wú)法抵御Sniffer、DoS攻擊、洪水（Flood）攻擊和應(yīng)用層攻擊。IP Sec作為一個(gè)網(wǎng)絡(luò)層協(xié)議，只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，不能對(duì)其上層如Web、E-mail及FTP等應(yīng)用的安全負(fù)責(zé)。2．端到端的安全保證

IPv6最大的優(yōu)勢(shì)在于保證端到端的安全,可以滿足用戶對(duì)端到端安全和移動(dòng)性的要求。IPv6限制使用NAT，允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用其全球惟一的地址進(jìn)行通信。當(dāng)建立一個(gè)IPv6的連接時(shí)，在兩端主機(jī)上對(duì)數(shù)據(jù)包進(jìn)行IPSec封裝，中間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸，通過(guò)對(duì)通信端的驗(yàn)證和對(duì)數(shù)據(jù)的加密保護(hù)，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳輸，因此，無(wú)需針對(duì)特別的網(wǎng)絡(luò)應(yīng)用部署ALG（應(yīng)用層網(wǎng)關(guān)），保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

3．地址分配與源地址檢查

在IPv6的地址概念中，有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來(lái)說(shuō)，這樣的地址分配為網(wǎng)絡(luò)管理員加強(qiáng)網(wǎng)絡(luò)安全管理提供了方便。若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址；若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問(wèn)服務(wù)，那么就可以只給這臺(tái)服務(wù)器分配一個(gè)本地網(wǎng)絡(luò)地址，企業(yè)網(wǎng)外部的任何人都無(wú)法訪問(wèn)這些主機(jī)。

由于IPv6地址構(gòu)造是可會(huì)聚的（aggregate-able）、層次化的地址結(jié)構(gòu)，因此，在IPv6接入路由器對(duì)用戶進(jìn)入時(shí)進(jìn)行源地址檢查，使得ISP可以驗(yàn)證其客戶地址的合法性。

IPv6鄰居發(fā)現(xiàn)機(jī)制（Neighbor dicovery）動(dòng)態(tài)收集相鄰網(wǎng)絡(luò)信息，包括本地網(wǎng)絡(luò)參數(shù)、IPv6地址到MAC地址的解析、路由復(fù)位及相鄰節(jié)點(diǎn)狀態(tài)等，替代了ARP和RARP，幫助節(jié)點(diǎn)從目的IP地址中確定本地節(jié)點(diǎn)（即鄰居）的鏈路層地址，可有效減輕“廣播風(fēng)暴”等的不利影響。

地址重復(fù)檢測(cè)機(jī)制（DAD：Duplicate Address Detection）檢測(cè)和確定節(jié)點(diǎn)想使用的IP地址是否已經(jīng)在網(wǎng)絡(luò)中配置使用，如果已被占用，則拒絕為該節(jié)點(diǎn)網(wǎng)絡(luò)接口賦予該地址，而另行指派地址，解決安全引導(dǎo)（boot-strap）問(wèn)題。4．源路由檢查

出于安全性和多業(yè)務(wù)的考慮，許多核心路由器需要開(kāi)啟反向路由檢測(cè)功能，防止源路由篡改和攻擊。5．防止未授權(quán)訪問(wèn)

IPv6固有的對(duì)身份驗(yàn)證的支持，以及對(duì)數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的支持和改進(jìn)，使得IPv6增強(qiáng)了防止未授權(quán)訪問(wèn)能力，更加適合于那些對(duì)敏感信息和資源有特別處理要求的應(yīng)用。6．域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ)，有助于抵御網(wǎng)上的身份偽裝與偷竊。而采用可以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展(DNS Security Extensions)協(xié)議，能進(jìn)一步增強(qiáng)目前針對(duì)DNS新的攻擊方式的防護(hù)（例如：“網(wǎng)絡(luò)釣魚(yú)（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊）。這些攻擊會(huì)控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。此外，專家認(rèn)為，如果能爭(zhēng)取在我國(guó)建立IPv6域名系統(tǒng)根服務(wù)器，對(duì)于我國(guó)的信息安全很有必要和十分重要。7．靈活的擴(kuò)展報(bào)頭

一個(gè)完整的IPv6的數(shù)據(jù)包可包括多種擴(kuò)展報(bào)頭：逐個(gè)路程段選項(xiàng)報(bào)頭，目的選項(xiàng)報(bào)頭，路由報(bào)頭，分段報(bào)頭，身份認(rèn)證報(bào)頭，有效載荷安全封裝報(bào)頭，最終目的報(bào)頭。這些擴(kuò)展報(bào)頭不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時(shí)也為安全性提供了保障。

8．網(wǎng)絡(luò)掃描與病毒蠕蟲(chóng)傳播

當(dāng)病毒和蠕蟲(chóng)在感染了一臺(tái)主機(jī)之后，就開(kāi)始對(duì)其他主機(jī)進(jìn)行隨機(jī)掃描，在掃描到其他有問(wèn)題的主機(jī)后，會(huì)把病毒傳染給該主機(jī)。這種傳播方式的傳播速度在IPv4環(huán)境下非常迅速（如Nimdar病毒在4、5分鐘內(nèi)感染了上百萬(wàn)臺(tái)計(jì)算機(jī)）。但這種傳播方式因?yàn)镮Pv6的地址空間的巨大變得不適用了，病毒及網(wǎng)絡(luò)蠕蟲(chóng)在IPv6的網(wǎng)絡(luò)中傳播將會(huì)變得很困難。

9．網(wǎng)絡(luò)放大攻擊（Broadcast Amplication Attacks）

ICMPv6在設(shè)計(jì)上不會(huì)響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以,只需要在網(wǎng)絡(luò)邊緣過(guò)濾組播數(shù)據(jù)包即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

10.碎片（Fragment）攻擊

IPv6認(rèn)為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的,處理時(shí)會(huì)丟棄MTU小于1280字節(jié)的數(shù)據(jù)包（除非它是最后一個(gè)包），有利于防止碎片攻擊。

由此看來(lái)，IPv6協(xié)議確實(shí)比IPv4的安全性有所改進(jìn)。IPv4中常見(jiàn)的一些攻擊方式，將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報(bào)頭攻擊、ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲(chóng)等。但數(shù)據(jù)包偵聽(tīng)、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問(wèn)題，在IPv6中仍會(huì)繼續(xù)繼續(xù)，只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

三、IPv6引入后帶來(lái)的新的安全問(wèn)題

IPv6是新的協(xié)議，在其發(fā)展過(guò)程中必定會(huì)產(chǎn)生一些新的安全問(wèn)題： 1．拒絕服務(wù)攻擊（DoS）：由于IPSec加密/解密需要大量的計(jì)算開(kāi)銷，若攻擊者向目標(biāo)主機(jī)發(fā)送大量隨意的加密數(shù)據(jù)包，就有可能造成被攻擊主機(jī)消耗大量的資源來(lái)檢驗(yàn)這些垃圾數(shù)據(jù)包，無(wú)法響應(yīng)其他網(wǎng)絡(luò)用戶的服務(wù)請(qǐng)求，造成目標(biāo)主機(jī)停止服務(wù)。

此外，IPv6中的組播（Multicast）地址定義方式也會(huì)給攻擊者帶來(lái)一些機(jī)會(huì)。例如，IPv6地址FF05::2是所有的路由器，F(xiàn)F05::5是所有的DHCP服務(wù)器，如果向這類地址發(fā)IPv6數(shù)據(jù)包，這個(gè)數(shù)據(jù)包就會(huì)到達(dá)網(wǎng)絡(luò)中所有的路由器或DHCP服務(wù)器，所以可能會(huì)出現(xiàn)一些專門針對(duì)這些網(wǎng)絡(luò)設(shè)備的拒絕服務(wù)攻擊。

2．包過(guò)濾式防火墻：由于IPSec實(shí)現(xiàn)端到端的加密，并能夠采用多種加密算法，且密鑰不公開(kāi)，防火墻無(wú)法解密IP數(shù)據(jù)包，也就無(wú)從知道TCP/UDP協(xié)議端口號(hào)，因此導(dǎo)致包過(guò)濾式防火墻無(wú)法根據(jù)訪問(wèn)控制規(guī)則ACL正常工作。

3．入侵檢測(cè)系統(tǒng)（IDS）：通過(guò)加密通道的攻擊目前尚不多見(jiàn)，但隨著IPv6的普及，這類問(wèn)題會(huì)逐漸突出。同包過(guò)濾式防火墻一樣，采用IPsec端到端加密的IPv6 數(shù)據(jù)包使得傳統(tǒng)IDS無(wú)法識(shí)別數(shù)據(jù)包中的黑客攻擊跡象或違反安全策略的行為。并且，IDS采用的是失效開(kāi)放（Fail Open）工作機(jī)制，一旦IDS遭遇拒絕服務(wù)攻擊后系統(tǒng)作用就會(huì)停止，整個(gè)網(wǎng)絡(luò)系統(tǒng)就變?yōu)殚_(kāi)放，一切通行無(wú)阻。

4．IPv6中規(guī)定所有的IPv6主機(jī)都要求接受并處理IPv6的路由擴(kuò)展報(bào)頭，并轉(zhuǎn)發(fā)路由擴(kuò)展報(bào)頭內(nèi)的數(shù)據(jù)包。這樣就有可能被黑客修改這個(gè)路由擴(kuò)展報(bào)頭來(lái)改變數(shù)據(jù)包的轉(zhuǎn)發(fā)方向，從而繞過(guò)網(wǎng)絡(luò)防火墻。5．IPv6尚待解決的問(wèn)題

? IPv6的網(wǎng)絡(luò)管理：IP網(wǎng)中許多不安全問(wèn)題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對(duì)于一些網(wǎng)管技術(shù)，如SNMP等，不管是移植還是重新另搞，其安全性都必須從本質(zhì)上有所提高。由于目前針對(duì)IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒(méi)有成熟產(chǎn)品出現(xiàn)，因此缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段，缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒(méi)有網(wǎng)管，何談保障網(wǎng)絡(luò)高效、安全運(yùn)行？

? 公共密鑰（PKI）管理： PKI管理在IPv6中是懸而未決的新問(wèn)題。

? IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過(guò)濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實(shí)上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還有待時(shí)日。

? IPv6協(xié)議仍需在實(shí)踐中完善。如IPv6組播功能僅僅規(guī)定了簡(jiǎn)單的認(rèn)證功能，所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能；而移動(dòng)IPv6（Mobiel IPv6）也存在很多新的安全挑戰(zhàn)；DHCP必須經(jīng)過(guò)升級(jí)才可以支持IPv6地址，DHCPv6仍然處于研究、制定之中。

6．向 IPv6轉(zhuǎn)移可能出現(xiàn)的安全漏洞

由于IPv6與IPv4網(wǎng)絡(luò)將會(huì)長(zhǎng)期共存，網(wǎng)絡(luò)必然會(huì)同時(shí)存在兩者的安全問(wèn)題，或由此產(chǎn)生新的安全漏洞。

已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移出現(xiàn)的一些安全漏洞，例如：黑客可以使用IPv6非法訪問(wèn)采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源。攻擊者可以通過(guò)安裝了雙棧的使用IPv6的主機(jī)，建立由IPv6到IPv4的隧道，繞過(guò)防火墻對(duì)IPv4進(jìn)行攻擊。向IPv6協(xié)議的轉(zhuǎn)移與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，需要重新配置防火墻，其安全措施必須經(jīng)過(guò)慎重的考慮和測(cè)試。IPv4環(huán)境下的IDS并不能直接支持IPv6，需要重新設(shè)計(jì)。原來(lái)應(yīng)用在IPv4協(xié)議的安全策略和安全措施必須在IPv6上得到落實(shí)。

目前，IPv4向IPv6過(guò)渡有多種技術(shù)，其中基本過(guò)渡技術(shù)有：雙棧、隧道和協(xié)議轉(zhuǎn)換，但目前這幾種技術(shù)運(yùn)行都不理想。有專家建議，向IPv6轉(zhuǎn)移盡量采用雙棧技術(shù)，避免采用協(xié)議轉(zhuǎn)換；盡量采用靜態(tài)隧道，避免采用動(dòng)態(tài)隧道。這些都需要在廣泛實(shí)驗(yàn)中加以檢驗(yàn)。

結(jié)束語(yǔ)

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)，在可控性和抗否認(rèn)性方面有了新的保證。但I(xiàn)Pv6不僅不可能徹底解決所有安全問(wèn)題，同時(shí)還會(huì)伴隨其產(chǎn)生新的安全問(wèn)題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來(lái)自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn)，還需配合多種手段，諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計(jì)算體系等。參考文獻(xiàn)：

[1].Pete Ldshin，IPv6詳解，機(jī)械工業(yè)出版社；

[2].王玲等，IPv6的安全機(jī)制及其對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響； [3].Albert Ball, etc.Testing IPv6 Security;

[4].S.Convery, etc.IPv6 and IPv4 Threat Comparison

原載<計(jì)算機(jī)世界>2005年48期(2005-12-12)第 D09版

第二篇：IPv6的網(wǎng)絡(luò)安全改進(jìn)與新問(wèn)題

(IPv4地址資源的緊缺引發(fā)了一系列安全問(wèn)題，盡管IPv6協(xié)議在網(wǎng)絡(luò)安全上做了多項(xiàng)改進(jìn)，但是其引入也帶來(lái)了新的安全問(wèn)題。下面這篇文章分別從 IPv6安全上的改進(jìn),引入的新問(wèn)題,遷移時(shí)的漏洞三個(gè)方面概述了IPv6的安全性.)

IPv6的網(wǎng)絡(luò)安全改進(jìn)與新問(wèn)題

由于我國(guó)IPv4地址資源嚴(yán)重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問(wèn)題，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來(lái)解決這個(gè)問(wèn)題。比如PSTN、ADSL、GPRS撥號(hào)上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址，通過(guò)NAT技術(shù)接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障。從根本上看，互聯(lián)網(wǎng)可信度問(wèn)題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒(méi)有強(qiáng)制采用IPSec而帶來(lái)的安全性問(wèn)題，使IPv4網(wǎng)絡(luò)面臨各種威脅。

IPv6協(xié)議在網(wǎng)絡(luò)安全上有改進(jìn)

IP安全協(xié)議(IPSec)IPSec是IPv4的一個(gè)可選擴(kuò)展協(xié)議，而在IPv6則是一個(gè)必備組成部分。IPSec協(xié)議可以“無(wú)縫”地為IP提供安全特性，如提供訪問(wèn)控制、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)完整性檢查、機(jī)密性保證，以及抗重播(Replay)攻擊等。新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來(lái)對(duì)路由信息進(jìn)行加密和認(rèn)證，提高抗路由攻擊的性能。

需要指出的是，雖然IPSec能夠防止多種攻擊，但無(wú)法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊和應(yīng)用層攻擊。IPSec作為一個(gè)網(wǎng)絡(luò)層協(xié)議，只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，不能對(duì)其上層如Web、E-mail及FTP等應(yīng)用的安全負(fù)責(zé)。

端到端的安全保證 IPv6最大的優(yōu)勢(shì)在于保證端到端的安全，可以滿足用戶對(duì)端到端安全和移動(dòng)性的要求。IPv6限制使用NAT，允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用其全球惟一的地址進(jìn)行通信。每當(dāng)建立一個(gè)IPv6的連接，都會(huì)在兩端主機(jī)上對(duì)數(shù)據(jù)包進(jìn)行 IPSec封裝，中間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸，通過(guò)對(duì)通信端的驗(yàn)證和對(duì)數(shù)據(jù)的加密保護(hù)，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞，因此，無(wú)需針對(duì)特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān))，就可保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

地址分配與源地址檢查在IPv6的地址概念中，有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來(lái)說(shuō)，這樣的地址分配為網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全管理提供了方便。若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問(wèn)服務(wù)，那么就可以只給這臺(tái)服務(wù)器分配一個(gè)本地網(wǎng)絡(luò)地址，而企業(yè)網(wǎng)外部的任何人都無(wú)法訪問(wèn)這些主機(jī)。

由于IPv6地址構(gòu)造是可會(huì)聚的(aggregate-able)、層次化的地址結(jié)構(gòu)，因此，在IPv6接入路由器對(duì)用戶進(jìn)入時(shí)進(jìn)行源地址檢查，使得ISP可以驗(yàn)證其客戶地址的合法性。

源路由檢查出于安全性和多業(yè)務(wù)的考慮，許多核心路由器可根據(jù)需要，開(kāi)啟反向路由檢測(cè)功能，防止源路由篡改和攻擊。

防止未授權(quán)訪問(wèn) IPv6固有的對(duì)身份驗(yàn)證的支持，以及對(duì)數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的支持和改進(jìn)，使得IPv6增強(qiáng)了防止未授權(quán)訪問(wèn)的能力，更加適合于那些對(duì)敏感信息和資源有特別處理要求的應(yīng)用。

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ)，有助于抵御網(wǎng)上的身份偽裝與偷竊，而采用可以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展(DNS Security Extensions)協(xié)議，能進(jìn)一步增強(qiáng)目前針對(duì)DNS新的攻擊方式的防護(hù)，例如“網(wǎng)絡(luò)釣魚(yú)(Phishing)”攻擊、“DNS中毒(DNS poisoning)”攻擊等，這些攻擊會(huì)控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。此外，專家認(rèn)為，如果能爭(zhēng)取在我國(guó)建立IPv6域名系統(tǒng)根服務(wù)器，則對(duì)于我國(guó)的信息安全很有必要和十分重要。

靈活的擴(kuò)展報(bào)頭 一個(gè)完整的IPv6的數(shù)據(jù)包可包括多種擴(kuò)展報(bào)頭，例如逐個(gè)路程段選項(xiàng)報(bào)頭、目的選項(xiàng)報(bào)頭、路由報(bào)頭、分段報(bào)頭、身份認(rèn)證報(bào)頭、有效載荷安全封裝報(bào)頭、最終目的報(bào)頭等。這些擴(kuò)展報(bào)頭不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時(shí)也為安全性提供了保障。

防止網(wǎng)絡(luò)掃描與病毒蠕蟲(chóng)傳播當(dāng)病毒和蠕蟲(chóng)在感染了一臺(tái)主機(jī)之后，就開(kāi)始對(duì)其他主機(jī)進(jìn)行隨機(jī)掃描，在掃描到其他有漏洞的主機(jī)后，會(huì)把病毒傳染給該主機(jī)。這種傳播方式的傳播速度在 IPv4環(huán)境下非常迅速(如Nimdar病毒在4～5分鐘內(nèi)可以感染上百萬(wàn)臺(tái)計(jì)算機(jī))。但這種傳播方式因?yàn)镮Pv6的地址空間的巨大變得不適用了，病毒及網(wǎng)絡(luò)蠕蟲(chóng)在IPv6的網(wǎng)絡(luò)中傳播將會(huì)變得很困難。

防止網(wǎng)絡(luò)放大攻擊(Broadcast Amplication Attacks)ICMPv6在設(shè)計(jì)上不會(huì)響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以，只需要在網(wǎng)絡(luò)邊緣過(guò)濾組播數(shù)據(jù)包，即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

防止碎片(Fragment)攻擊 IPv6認(rèn)為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的，處理時(shí)會(huì)丟棄MTU小于1280字節(jié)的數(shù)據(jù)包(除非它是最后一個(gè)包)，這有助于防止碎片攻擊。

由此看來(lái)，IPv6協(xié)議確實(shí)比IPv4的安全性有所改進(jìn)，IPv4中常見(jiàn)的一些攻擊方式，將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報(bào)頭攻擊、ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲(chóng)等。但數(shù)據(jù)包偵聽(tīng)、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問(wèn)題，IPv6仍應(yīng)對(duì)乏力，只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

引入IPv6出現(xiàn)的安全新問(wèn)題

IPv6是新的協(xié)議，在其發(fā)展過(guò)程中必定會(huì)產(chǎn)生一些新的安全問(wèn)題，主要包括應(yīng)對(duì)拒絕服務(wù)攻擊(DoS)乏力、包過(guò)濾式防火墻無(wú)法根據(jù)訪問(wèn)控制列表ACL正常工作、入侵檢測(cè)系統(tǒng)(IDS)遭遇拒絕服務(wù)攻擊后失去作用、被黑客篡改報(bào)頭等問(wèn)題。

此外，在IPv6中還有一些問(wèn)題有待解決，主要包括:

1.IP網(wǎng)中許多不安全問(wèn)題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對(duì)于一些網(wǎng)管技術(shù)，如SNMP等，不管是移植還是重新另搞，其安全性都必須從本質(zhì)上有所提高。由于目前針對(duì)IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒(méi)有成熟產(chǎn)品出現(xiàn)，因此缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段，缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒(méi)有網(wǎng)管，何談保障網(wǎng)絡(luò)高效、安全運(yùn)行?

2.PKI管理在IPv6中是懸而未決的新問(wèn)題。

3.IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過(guò)濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實(shí)上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還尚需時(shí)日。

4.IPv6協(xié)議仍需在實(shí)踐中完善，例如IPv6組播功能僅僅規(guī)定了簡(jiǎn)單的認(rèn)證功能，所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能，而移動(dòng)IPv6(Mobiel IPv6)也存在很多新的安全挑戰(zhàn)。DHCP必須經(jīng)過(guò)升級(jí)才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。

向IPv6遷移的可能漏洞

由于IPv6與IPv4網(wǎng)絡(luò)將會(huì)長(zhǎng)期共存，網(wǎng)絡(luò)必然會(huì)同時(shí)存在兩者的安全問(wèn)題，或由此產(chǎn)生新的安全漏洞。

已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問(wèn)采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過(guò)安裝了雙棧的使用IPv6的主機(jī)，建立由IPv6到IPv4的隧道，繞過(guò)防火墻對(duì)IPv4進(jìn)行攻擊。

向IPv6協(xié)議的轉(zhuǎn)移與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，需要重新配置防火墻，其安全措施必須經(jīng)過(guò)慎重的考慮和測(cè)試，例如IPv4環(huán)境下的IDS并不能直接支持IPv6，需要重新設(shè)計(jì)，原來(lái)應(yīng)用在IPv4協(xié)議的安全策略和安全措施必須在IPv6上得到落實(shí)。

目前，IPv4向IPv6過(guò)渡有多種技術(shù)，其中基本過(guò)渡技術(shù)有雙棧、隧道和協(xié)議轉(zhuǎn)換，但目前這幾種技術(shù)運(yùn)行都不理想。專家建議，向IPv6轉(zhuǎn)移應(yīng)盡量采用雙棧技術(shù)，避免采用協(xié)議轉(zhuǎn)換;盡量采用靜態(tài)隧道，避免采用動(dòng)態(tài)隧道;這些都需要在廣泛實(shí)驗(yàn)中加以檢驗(yàn)。

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn)，在可控性和抗否認(rèn)性方面有了新的保證，但I(xiàn)Pv6不僅不可能徹底解決所有安全問(wèn)題，同時(shí)還會(huì)伴隨其產(chǎn)生新的安全問(wèn)題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來(lái)自應(yīng)用層而非IP層，因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn)，還需配合多種手段，諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計(jì)算體系等。

第三篇：無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與改進(jìn)探討

無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與改進(jìn)探討

摘 要：無(wú)線網(wǎng)絡(luò)的安全主要是用戶與用戶之間的信息往來(lái)是否能夠保證其安全性隱私性，用戶之間信息的往來(lái)包括信息的傳送和信息的接收。那么無(wú)線網(wǎng)絡(luò)的安全問(wèn)題也應(yīng)從這兩個(gè)方面入手。無(wú)線網(wǎng)絡(luò)的隱患時(shí)時(shí)存在，在研究相關(guān)技術(shù)的同時(shí)，相關(guān)專家應(yīng)該加強(qiáng)交流，進(jìn)行探討。本文通過(guò)介紹無(wú)線網(wǎng)絡(luò)的威脅，以及我國(guó)相關(guān)技術(shù)的應(yīng)用來(lái)進(jìn)一步探討如何更有效地解決這一難題。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；非法訪問(wèn)；網(wǎng)絡(luò)安全無(wú)線網(wǎng)絡(luò)的現(xiàn)狀和威脅

1.1 無(wú)線網(wǎng)絡(luò)的現(xiàn)狀

我們平時(shí)使用的無(wú)線局域網(wǎng)其實(shí)還存在著大量的安全隱患，這種隱患可能是我們?cè)馐鼙容^大的損失，特別對(duì)企業(yè)來(lái)說(shuō)，黑客的侵入，可能會(huì)是一個(gè)企業(yè)的系統(tǒng)發(fā)生混亂和癱瘓，更可能給企業(yè)帶來(lái)慘重的損失。隨著社會(huì)的發(fā)展著中問(wèn)題日益暴露出來(lái)，因?yàn)樗鼘?duì)我們?cè)斐傻挠绊懸呀?jīng)無(wú)法繼續(xù)無(wú)視下去，因此，我國(guó)對(duì)無(wú)線網(wǎng)絡(luò)的安全問(wèn)題已經(jīng)開(kāi)始重視，下發(fā)各種限令和規(guī)范措施來(lái)維護(hù)網(wǎng)絡(luò)的安全性。

1.2 無(wú)線網(wǎng)絡(luò)的威脅

我們都應(yīng)該知道我們使用的網(wǎng)絡(luò)分為廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)以及個(gè)人網(wǎng)絡(luò)。這幾種網(wǎng)絡(luò)的覆蓋面積依次減少。可以說(shuō)我們生活處處有網(wǎng)絡(luò)，網(wǎng)絡(luò)帶給我們便利和極高的自由行。但是同時(shí)也讓我們面臨一些問(wèn)題，其中安全問(wèn)題是最重要的問(wèn)題，因?yàn)榫W(wǎng)絡(luò)是由很多交錯(cuò)的網(wǎng)絡(luò)線路和眾多的用戶組成的巨型網(wǎng)絡(luò)，設(shè)備儀器發(fā)出的信息和數(shù)據(jù)不可能只針對(duì)一個(gè)用戶發(fā)送或接收。只要在這個(gè)區(qū)域的覆蓋范圍內(nèi)，任何都可以自由的獲取信息或數(shù)據(jù)，當(dāng)然這些都是在你根本沒(méi)有察覺(jué)的情況下，你的隱私可以說(shuō)是無(wú)處藏身的，一些極重要的個(gè)人信息就隨時(shí)有被竊取的可能性。除了可以自由獲取信息和數(shù)據(jù)外，一些不法者也能夠把一些亂七八糟的信息和數(shù)據(jù)隨時(shí)插入到這些網(wǎng)絡(luò)渠道中。無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)與分析

2.1 無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)

現(xiàn)在為了保護(hù)無(wú)線網(wǎng)絡(luò)的安全問(wèn)題，出現(xiàn)了幾種方法，第一種主要是控制他人的訪問(wèn)權(quán)，這樣一來(lái)如果沒(méi)有你的認(rèn)證，其它人就不能訪問(wèn)，這樣就不用擔(dān)心自己的信息被隨意的截取和訪問(wèn)了。訪問(wèn)權(quán)是用戶設(shè)置的一張通行證，如果的不到用戶的認(rèn)證，那么它只能被攔截在門外了。第二種是用戶要記住對(duì)對(duì)自己的信息進(jìn)行加密措施，一旦加密，就可以有效保護(hù)自己的信息或數(shù)據(jù)不被他人獲取或攔截。當(dāng)然，給自己的重要信息加密是保護(hù)我們網(wǎng)絡(luò)信息安全的基礎(chǔ)，我們每一個(gè)人都應(yīng)該有這種意識(shí)。第三種是對(duì)訪問(wèn)者進(jìn)行安全認(rèn)證，我們可以通過(guò)安全認(rèn)證來(lái)確定者是不是非法的，從而也能把它擋在門外。安全認(rèn)證有實(shí)體認(rèn)證和數(shù)據(jù)源認(rèn)證，如果單單用其中的一種認(rèn)證方式，那么安全認(rèn)證效果就會(huì)大打折扣，兩者同時(shí)運(yùn)用能夠有效保護(hù)我們的網(wǎng)絡(luò)安全。第四種是對(duì)數(shù)據(jù)或信息進(jìn)行校驗(yàn)認(rèn)證，這樣可以防止不法訪問(wèn)者截取和諧該用戶的重要信息和數(shù)據(jù)了。

2.2 無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)分析

為了維護(hù)無(wú)線網(wǎng)絡(luò)的安全，出現(xiàn)了3A技術(shù)，這種技術(shù)是現(xiàn)在無(wú)線網(wǎng)絡(luò)最基本的保證網(wǎng)絡(luò)安全的用方法，同時(shí)也是應(yīng)用最廣泛，最基本的一種技術(shù)。另外新出現(xiàn)的WSAP技術(shù)，它其實(shí)是一種網(wǎng)絡(luò)認(rèn)證的協(xié)議，但是它有一個(gè)很顯著地特點(diǎn)就這種認(rèn)證時(shí)匿名的。相關(guān)的研究人員對(duì)這種最新的認(rèn)證方法進(jìn)行了多次的理論對(duì)比和比較，所以我們有信心有理由信任這種新的認(rèn)證方法，它已經(jīng)可以滿足我們對(duì)私人信息和數(shù)據(jù)保密性和安全性的一般要求。探討無(wú)線網(wǎng)絡(luò)安全技術(shù)的發(fā)展

要進(jìn)一步實(shí)現(xiàn)保護(hù)無(wú)線網(wǎng)絡(luò)安全的目的，除了用戶自身要做好加密的措施外，還要好好利用一些功能和性能強(qiáng)大的認(rèn)證體系，同時(shí)我們應(yīng)加快一些更加好的協(xié)議出現(xiàn)的速度，因?yàn)榫W(wǎng)絡(luò)每天都發(fā)生著變化一些黑客采取的非法手段也不聽(tīng)的更新著，所以無(wú)限網(wǎng)絡(luò)安全的相關(guān)技術(shù)的開(kāi)發(fā)工作時(shí)沒(méi)有止境的，只有深刻的認(rèn)識(shí)到無(wú)線網(wǎng)絡(luò)存在的安全隱患，同時(shí)對(duì)不同的安全技術(shù)進(jìn)行不斷地研究和探討，并不斷開(kāi)發(fā)新的保護(hù)技術(shù)才能使無(wú)線網(wǎng)絡(luò)環(huán)境保持健康，繼續(xù)成長(zhǎng)。總結(jié)

近幾十年來(lái)網(wǎng)絡(luò)的普及已經(jīng)使我們每一個(gè)人都時(shí)時(shí)刻刻身處網(wǎng)絡(luò)之中，特別是無(wú)線網(wǎng)絡(luò)的興起更加的方便了人們的生活，無(wú)線網(wǎng)絡(luò)的開(kāi)放性和移動(dòng)性以及機(jī)動(dòng)性都被我們所接受，但是隨之帶來(lái)的安全隱患也時(shí)時(shí)刻刻威脅著我們的生活。市場(chǎng)上已經(jīng)有的一些安全技術(shù)和安全協(xié)議基本上能夠保證我們的信息和數(shù)據(jù)不被竊取或修改。但是面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們應(yīng)該加緊相關(guān)，安全技術(shù)開(kāi)發(fā)的腳步，不僅要關(guān)注網(wǎng)絡(luò)現(xiàn)存的一些威脅和漏洞還要預(yù)防哪些網(wǎng)絡(luò)可能存在的一些漏洞，提前做好預(yù)防措施。相關(guān)研究開(kāi)發(fā)人員應(yīng)該加強(qiáng)交流和探討，在對(duì)各種無(wú)線網(wǎng)絡(luò)安全技術(shù)進(jìn)行分析比較的情況下，開(kāi)發(fā)出新的更有效的保護(hù)措施。

[參考文獻(xiàn)]

[1]郭萍.無(wú)線網(wǎng)絡(luò)認(rèn)證體系結(jié)構(gòu)及相關(guān)技術(shù)研究[D].南京理工大學(xué)，2012.[2]肖躍雷.可信網(wǎng)絡(luò)連接關(guān)鍵技術(shù)研究及其應(yīng)用[D].西安電子科技大學(xué)，2013.[3]何道敬.無(wú)線網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)研究[D].浙江大學(xué)，2012.[4]王文彬.無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)研究與改進(jìn)[D].山東大學(xué)，2007.[5]王雙劍，丁輝.無(wú)線網(wǎng)絡(luò)安全的機(jī)制及相關(guān)技術(shù)措施[J].科技傳播，2012，06：154+147.

第四篇：“后XP時(shí)代”,企業(yè)信息網(wǎng)絡(luò)安全市場(chǎng)的挑戰(zhàn)與機(jī)遇

“后XP時(shí)代”,企業(yè)信息網(wǎng)絡(luò)安全市場(chǎng)的挑戰(zhàn)與機(jī)遇

近期，IT業(yè)發(fā)生發(fā)生了兩件十分引人關(guān)注的大事：一件是2014年4月，服役了13年的微軟XP“退休”了；另一件是XP退役幾天后，國(guó)內(nèi)互聯(lián)網(wǎng)安全協(xié)議OpenSSL被曝存在十分嚴(yán)重的安全漏洞。

中國(guó)信息系統(tǒng)裸奔？用不用XP，都糾結(jié)

XP退役，意味著微軟公司以后對(duì)XP系統(tǒng)不再提供任何官方的升級(jí)版本與保護(hù)措施，2億仍安裝XP系統(tǒng)的中國(guó)用戶。如果再使用XP系統(tǒng)，在沒(méi)有任何安全保護(hù)的情況下，更容易遭新病毒和木馬攻擊，或?qū)⑻幱凇奥惚肌睜顟B(tài)。

“微軟停止XP補(bǔ)丁服務(wù)后帶來(lái)的主要風(fēng)險(xiǎn)是漏洞得不到修復(fù)。這意味著，黑客可以利用漏洞遠(yuǎn)程入侵和控制XP用戶電腦，盜取電腦上任意文件和賬號(hào)密碼。”中國(guó)國(guó)家信息安全漏洞庫(kù)特聘專家袁仁廣認(rèn)為，“以往安全軟件只能防木馬病毒，對(duì)漏洞缺乏抵抗力。在沖擊波蠕蟲(chóng)爆發(fā)、伊朗核設(shè)施被Stuxnet（震網(wǎng)）破壞、谷歌公司遭遇極光攻擊等安全事件中，黑客攻擊都是通過(guò)漏洞發(fā)起的，諸多安全軟件所構(gòu)成的防護(hù)基本形同虛設(shè)。安全形勢(shì)嚴(yán)峻，特別是中國(guó)政府機(jī)構(gòu)和公司單位相當(dāng)一部分仍在使用XP系統(tǒng)。”

國(guó)家互聯(lián)網(wǎng)信息中心公布的網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)顯示，XP退役后，雖然360、金山、騰訊和瑞星等國(guó)內(nèi)廠商表示在4月8日后將出手保護(hù)XP，并針對(duì)XP新出現(xiàn)的高危漏洞提供防護(hù)措施，但國(guó)內(nèi)網(wǎng)絡(luò)安全問(wèn)題仍呈現(xiàn)上升的態(tài)勢(shì)，單是4月9日這一天，境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量為57.8萬(wàn)臺(tái)，環(huán)比上升5.6%。

互聯(lián)網(wǎng)安全協(xié)議OpenSSL是互聯(lián)網(wǎng)存在的重要基礎(chǔ)協(xié)議之一，如果黑客利用了這次發(fā)現(xiàn)的OpenSSL上的漏洞，可以套取3成https開(kāi)頭網(wǎng)址的用戶登錄賬號(hào)密碼。有消息說(shuō)，這次暴露的OpenSSL漏洞可能波及到2億國(guó)內(nèi)網(wǎng)民，因此IT技術(shù)員們稱這個(gè)漏洞為“心臟失血”。業(yè)界專家稱，OpenSSL被曝存在嚴(yán)重的安全漏洞，這與XP退役、微軟不再提供防護(hù)技術(shù)大有關(guān)系。

根據(jù)《2013中國(guó)軟件盜版率調(diào)查報(bào)告》的數(shù)據(jù)，在中國(guó)的PC中，XP的市場(chǎng)份額占70.1%，即XP用量約為2億臺(tái)，其中84.2%用戶沒(méi)有升級(jí)到“視窗8”的計(jì)劃。現(xiàn)在企業(yè)用戶很糾結(jié)。如果不離棄XP，不升級(jí)切換到Win7/Win8應(yīng)用環(huán)境，總有隱憂后患――企業(yè)網(wǎng)絡(luò)系統(tǒng)會(huì)不會(huì)瞬間成為黑客主要攻擊目標(biāo)？而升級(jí)切換到Win7/Win8，應(yīng)用成本、業(yè)務(wù)的連續(xù)性、兼容性卻是這些企業(yè)難于承受。

青島某數(shù)據(jù)技術(shù)有限公司信息技術(shù)部CIO鄭經(jīng)理表示，“XP對(duì)我們企業(yè)而言，有時(shí)就如雞肋，棄之可惜，食之無(wú)味。作為WinXP的替代版本，Win7/Win8具有更好的安全性，這一點(diǎn)我們是清楚的，也是非常看重的。但是，作為一家外包服務(wù)類企業(yè)，我們要同時(shí)面對(duì)100多家客戶的不同操作平臺(tái)。從我們現(xiàn)在測(cè)試的結(jié)果來(lái)看，Win7對(duì)于比較陳舊的一些客戶平臺(tái)（因?yàn)镮E版本，第三方軟件版本等原因），依然存在著一些兼容性問(wèn)題。如果兩者沒(méi)有對(duì)接兼容好，我們業(yè)務(wù)就會(huì)出現(xiàn)問(wèn)題、跑單，我們客戶就會(huì)流失。”

廈門一家計(jì)算機(jī)生產(chǎn)制造商的一位研發(fā)主管對(duì)此表示贊同，“從目前的情況來(lái)看，將所有的系統(tǒng)進(jìn)行升級(jí)，似乎更為合理。但事實(shí)上，升級(jí)到Win7/Win8等新系統(tǒng)將面臨很多新的問(wèn)題。而企業(yè)許多應(yīng)用管理軟件使用時(shí)間較長(zhǎng)，已形成穩(wěn)定規(guī)范。例如，外包服務(wù)類企業(yè)軟件如信息技術(shù)外包（ITO）、業(yè)務(wù)流程外包（BPO）等最初開(kāi)發(fā)時(shí)是基于WindowsXP，除了底層代碼，還有后期很多升級(jí)都是在原有軟件基礎(chǔ)上修改，就像蓋房子，地基是Windows XP，磚瓦結(jié)構(gòu)（外包類應(yīng)用軟件）都是建立在此地基上，突然要升級(jí)到Win7/Win8等高版本操作系統(tǒng)上，肯定有諸多不適不配，如果沒(méi)有全面統(tǒng)籌應(yīng)對(duì)，這房子就會(huì)動(dòng)搖，應(yīng)用程序運(yùn)行速度會(huì)很慢，甚至宕機(jī)，影響工作。而且住戶已經(jīng)習(xí)慣了原有的門和窗戶的位置，叫他們搬家，打心底不太樂(lè)意。”

加強(qiáng)自主可控的核心軟硬件建設(shè)

WindowsXP退役，再次提醒我們?cè)谧灾鲃?chuàng)新上的短板。信息系統(tǒng)的核心軟硬件，尤其是操作系統(tǒng)（如Windows系列）和CPU芯片等與系統(tǒng)的安全關(guān)系極大，歷來(lái)我國(guó)政府和重要信息系統(tǒng)中，大量采用外國(guó)的操作系統(tǒng)和CPU等核心軟硬件，存在極大安全隱患。為了從根本上增強(qiáng)國(guó)內(nèi)信息安全，中國(guó)工程院院士倪光南表示：“今后我們要對(duì)智能終端操作系統(tǒng)、CPU和網(wǎng)絡(luò)架構(gòu)等這些系統(tǒng)中使用的核心軟硬件以自主可控的國(guó)產(chǎn)軟硬件進(jìn)行替代，由替代XP所引發(fā)的操作系統(tǒng)國(guó)產(chǎn)化替代就是一個(gè)重要的必要環(huán)節(jié)。”

同時(shí)倪光南及國(guó)內(nèi)部分專家建議，國(guó)內(nèi)應(yīng)在信息安全領(lǐng)域權(quán)威機(jī)構(gòu)――中國(guó)國(guó)家信息安全漏洞庫(kù)的支撐下，集中我國(guó)信息安全領(lǐng)域的力量協(xié)同攻關(guān)，采用自主創(chuàng)新的可信計(jì)算技術(shù)進(jìn)行安全加固，在微軟停止對(duì)“XP”支持后，推出有公信力的“安全云服務(wù)”，接管我國(guó)2億臺(tái)XP電腦用戶的服務(wù)支撐。這樣，可防止在微軟中止支持XP后繼續(xù)使用XP的電腦出現(xiàn)嚴(yán)重安全事件。

其實(shí)去年“棱鏡門”早已暴露了國(guó)內(nèi)網(wǎng)絡(luò)信息安全所存在的問(wèn)題。無(wú)論是非法的政府行為還是民間黑客行為，都給嚴(yán)重依賴國(guó)外技術(shù)裝備的中國(guó)信息化特別是關(guān)鍵行業(yè)的信息安全敲響了警鐘。當(dāng)前，國(guó)內(nèi)已建的重要信息系統(tǒng)幾乎均為外國(guó)品牌，基本在IBM、HP等美國(guó)企業(yè)壟斷下，而操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件也基本在Oracle、微軟和redhat等美國(guó)企業(yè)控制下。而國(guó)內(nèi)互聯(lián)網(wǎng)更是被以思科為首的美國(guó)網(wǎng)絡(luò)巨頭所把持，已經(jīng)形成了從PC網(wǎng)絡(luò)到移動(dòng)網(wǎng)絡(luò)的絕對(duì)壟斷格局，國(guó)內(nèi)網(wǎng)絡(luò)廠商基本很難進(jìn)入這個(gè)領(lǐng)域。

有專家認(rèn)為，中國(guó)的信息安全在以思科、英特和微軟為代表的美國(guó)公司面前，簡(jiǎn)直就是在跳裸舞，毫無(wú)秘密可言。一旦戰(zhàn)爭(zhēng)爆發(fā)，美國(guó)政府極有可能利用思科在全球部署的產(chǎn)品，發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)，對(duì)敵國(guó)實(shí)施致命打擊。

目前國(guó)內(nèi)政府和企業(yè)對(duì)國(guó)外電子信息產(chǎn)品過(guò)分依賴，而任何信息電子產(chǎn)品都可植入后門，成為竊取情報(bào)的工具，不知不覺(jué)中成為政府、國(guó)企的信息安全隱患。今后XP退役所引起的各種安全**（包括OpenSSL嚴(yán)重的安全漏洞）更說(shuō)明了國(guó)內(nèi)信息安全的自主創(chuàng)新已經(jīng)成為事關(guān)國(guó)家安全的重大戰(zhàn)略問(wèn)題，只有自主可控的國(guó)產(chǎn)產(chǎn)品才是安全可信，尤其是移動(dòng)互聯(lián)網(wǎng)時(shí)代，國(guó)家、企業(yè)信息安全問(wèn)題已從PC端全面轉(zhuǎn)移到各種各樣的移動(dòng)終端設(shè)備上，只有國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)服務(wù)商、國(guó)產(chǎn)的移動(dòng)安全市場(chǎng)產(chǎn)品聯(lián)合起來(lái)才能真正全面完整有效地抵御境內(nèi)外敵對(duì)黑客勢(shì)力的滲透、入侵。

賽迪智庫(kù)信息安全研究所所長(zhǎng)劉權(quán)建議，推廣使用國(guó)產(chǎn)軟件，政府要起帶動(dòng)作用，特別是在政府采購(gòu)中要集中采購(gòu)國(guó)產(chǎn)軟硬件產(chǎn)品，包括服務(wù)器、操作系統(tǒng)和辦公軟件等，而各IT廠商應(yīng)結(jié)成聯(lián)盟，聯(lián)合上下游資源，共同與國(guó)外企業(yè)競(jìng)爭(zhēng)。

“后XP時(shí)代”的網(wǎng)絡(luò)安全市場(chǎng)盛宴開(kāi)啟

不過(guò)，XP退役既是挑戰(zhàn)，也是機(jī)遇。在“后XP時(shí)代”，一個(gè)巨大的網(wǎng)絡(luò)安全市場(chǎng)正在開(kāi)啟，國(guó)內(nèi)眾多廠商將迎來(lái)機(jī)會(huì)和競(jìng)爭(zhēng)。

近段時(shí)間以來(lái)，國(guó)內(nèi)滬深股市，信息安全概念板塊再度全線活躍，多只個(gè)股受到市場(chǎng)資金的追捧。在市場(chǎng)人士看來(lái)，信息安全行業(yè)再度受資本熱捧的背后，是微軟XP系統(tǒng)停止服務(wù)后，給國(guó)內(nèi)軟件行業(yè)帶來(lái)的巨大想象空間。近幾年來(lái)我國(guó)信息安全行業(yè)市場(chǎng)規(guī)模持續(xù)高速增長(zhǎng)。據(jù)統(tǒng)計(jì)，我國(guó)2010年信息安全產(chǎn)品和信息安全服務(wù)市場(chǎng)分別為6.06億和3.38億美元，2012年兩者市場(chǎng)規(guī)模分別為8.77億和4.61億美元。根據(jù)IDC預(yù)測(cè)，到2015年，國(guó)內(nèi)信息安全產(chǎn)品和安全服務(wù)的市場(chǎng)規(guī)模有望分別達(dá)到14.35億美元和6.84億美元，復(fù)合增長(zhǎng)率分別為18.8%和15.1%，網(wǎng)絡(luò)安全、信息服務(wù)等行業(yè)有望受益。

招商證券發(fā)布的報(bào)告認(rèn)為，如今網(wǎng)絡(luò)安全的外延和內(nèi)涵發(fā)生了根本性變化，行業(yè)全面打開(kāi)了全新成長(zhǎng)空間。一是IT日益滲透人類的生產(chǎn)生活成為現(xiàn)代社會(huì)的基礎(chǔ)，網(wǎng)絡(luò)安全的外延極度擴(kuò)張。二是高級(jí)持續(xù)性威脅（APT）攻擊等新型攻擊技術(shù)的出現(xiàn)使得網(wǎng)絡(luò)攻擊從軟件走向硬件，國(guó)家重大基礎(chǔ)設(shè)施成為亟需保護(hù)的對(duì)象。網(wǎng)絡(luò)空間的安全與國(guó)土安全、經(jīng)濟(jì)安全、政治安全成為國(guó)家安全的基礎(chǔ)，但我國(guó)國(guó)家意義上的網(wǎng)絡(luò)空間自主可控和防護(hù)尚是一片處女地，信息安全內(nèi)涵和邊界的擴(kuò)張將帶來(lái)行業(yè)市場(chǎng)空間的成倍擴(kuò)張，從而打開(kāi)了龍頭公司的市值上升空間。

國(guó)內(nèi)外在信息安全方面的差距主要是基礎(chǔ)IT軟硬件方面的技術(shù)差距和信息對(duì)抗方面的投入差距。近年美國(guó)在網(wǎng)絡(luò)安全對(duì)抗方面的國(guó)家性投入預(yù)算達(dá)到40億美金左右，中短期來(lái)看，通過(guò)加大信息對(duì)抗投入來(lái)從戰(zhàn)術(shù)上實(shí)現(xiàn)安全，成為確保網(wǎng)絡(luò)安全現(xiàn)實(shí)可行的做法。

第五篇：利用Web服務(wù)架構(gòu)對(duì)網(wǎng)絡(luò)安全支付協(xié)議的改進(jìn)

利用Ｗｅｂ服務(wù)架構(gòu)對(duì)網(wǎng)絡(luò)安全支付協(xié)議的改進(jìn)

【摘 要】安全電子交易協(xié)議（SET協(xié)議）其安全性和復(fù)雜性都非常高。隨著網(wǎng)絡(luò)的普及以及新一代網(wǎng)絡(luò)的出現(xiàn)，它將可能得到更大的應(yīng)用，但是它自身卻無(wú)法克服虛假交易和洗錢等網(wǎng)上支付漏洞。因而本文通過(guò)增加承運(yùn)商角色提出對(duì)這個(gè)問(wèn)題的解決模型。

【關(guān)鍵詞】SET Web服務(wù) 網(wǎng)絡(luò)支付引言

自互聯(lián)網(wǎng)誕生以來(lái)，通過(guò)網(wǎng)絡(luò)達(dá)成傳統(tǒng)商務(wù)貿(mào)易就是人類一直孜孜不倦的追求目標(biāo)。而在互聯(lián)網(wǎng)發(fā)展到今天，人們對(duì)電子商務(wù)的認(rèn)識(shí)早已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)以往僅僅代替?zhèn)鹘y(tǒng)商務(wù)業(yè)務(wù)的需要了。

本文將就在新的網(wǎng)絡(luò)條件下SET協(xié)議的應(yīng)用以及對(duì)其不足進(jìn)行完善和改進(jìn)，尤其針對(duì)避免網(wǎng)絡(luò)貿(mào)易上的虛假貿(mào)易提出自己的建設(shè)性意見(jiàn)。SET協(xié)議及不足

SET協(xié)議（Secure Electronic Transaction安全電子交易協(xié)議）最早由Visa和MasterCard提出，后來(lái)得到IBM和Microsoft支持，由幾家公司共同聯(lián)合開(kāi)發(fā)。這一協(xié)議主要針對(duì)信用卡用戶而設(shè)計(jì)，它不僅制定了相應(yīng)的加解密算法、認(rèn)證方法等技術(shù)手段，而且還詳細(xì)規(guī)定了客戶、商家、銀行等各方的數(shù)字證書(shū)的含義、響應(yīng)動(dòng)作以及與交易相關(guān)的責(zé)任認(rèn)定等。1 SET協(xié)議模型

SET協(xié)議的支付模型如圖1所示，交易的每個(gè)階段包括了身份認(rèn)證、信息的加解密、數(shù)字簽名/驗(yàn)證、數(shù)字信封、消息摘要生成/驗(yàn)證等過(guò)程。

2SET協(xié)議的不足

因?yàn)榫哂懈甙踩珡?fù)雜性，造成了SET協(xié)議在應(yīng)用上的較高成本代價(jià)，以及完成一個(gè)交易的較高時(shí)間代價(jià)。這就使其普及應(yīng)用受到了很大的影響。隨著計(jì)算機(jī)成本的降低和計(jì)算機(jī)網(wǎng)絡(luò)的普及，相信SET協(xié)議在互聯(lián)網(wǎng)上的應(yīng)用又將活躍起來(lái)。

不過(guò)，當(dāng)前SET協(xié)議，就如何在支付的時(shí)候更大的保護(hù)交易雙方的利益，防止虛假交易和洗錢活動(dòng)在網(wǎng)絡(luò)的掩護(hù)下肆虐進(jìn)行，還是無(wú)法解決這樣的問(wèn)題。而就虛假交易來(lái)說(shuō)，現(xiàn)在各國(guó)銀行也無(wú)法判斷，僅僅是通過(guò)限制網(wǎng)上貿(mào)易的額度對(duì)這些問(wèn)題進(jìn)行象征性的管制。這些都是現(xiàn)有SET協(xié)議本身所無(wú)法克服的問(wèn)題。

我們將在接下來(lái)的部分討論利用當(dāng)前的流行技術(shù)Web Services來(lái)融入第三方物流信息，以彌補(bǔ)對(duì)以上SET協(xié)議在這些方面的不足之處。Web服務(wù)

Web服務(wù)模型

Web服務(wù)體系結(jié)構(gòu)基于三種角色（服務(wù)提供者、服務(wù)注冊(cè)中心和服務(wù)請(qǐng)求者）之間的交互。圖 2顯示了這些操作、提供這些操作的組件及它們之間的交互。改進(jìn)后的模型設(shè)計(jì)

僅僅通過(guò)對(duì)SET協(xié)議本身加解密算法或者認(rèn)證手段等等技術(shù)條件進(jìn)行增減或效率改進(jìn)是很難針對(duì)防范虛假交易和洗錢活動(dòng)的。我們?cè)谶@里提出一種將可信賴的第三方物流承運(yùn)商加入到整個(gè)交易流程中來(lái)的辦法，不但可以達(dá)到比設(shè)定交易資金限額方法更有效的結(jié)果，而且還能更大的保護(hù)交易各方的利益，盡量避免交易中產(chǎn)生的不必要糾紛。本文設(shè)計(jì)的改進(jìn)后的模型具體如圖3所示。

其中客戶與商家進(jìn)行訂單協(xié)商的過(guò)程因與圖1重復(fù)，故這里就直接從商家向客戶發(fā)出購(gòu)物響應(yīng)后開(kāi)始描述，主要過(guò)程

（1）商家向客戶發(fā)出購(gòu)物響應(yīng)后，客戶的購(gòu)物行動(dòng)基本完成，商家按照客戶訂單信息備貨，并通知承運(yùn)商到商家倉(cāng)庫(kù)收貨；

（2）承運(yùn)商到商家確認(rèn)收貨，并將貨物的物流信息以Web Service的方式提供給商家服務(wù)器，以便商家和客戶實(shí)時(shí)跟蹤自己的貨物狀態(tài)，以及有利于客戶安排接貨；

（3）承運(yùn)商將貨物運(yùn)送到客戶地址，通知客戶準(zhǔn)備接貨；

（4）客戶驗(yàn)貨并確認(rèn)收貨，承運(yùn)商通過(guò)移動(dòng)商務(wù)系統(tǒng)或本地網(wǎng)絡(luò)實(shí)時(shí)地將信息傳送回承運(yùn)商服務(wù)器；

（5）承運(yùn)商將客戶確認(rèn)收貨信息（包括承運(yùn)商的證書(shū)）通過(guò)Web Service的方式實(shí)時(shí)回送給商家，以便商家在第一時(shí)間向支付網(wǎng)關(guān)發(fā)出獲款請(qǐng)求；

（6）商家向支付網(wǎng)關(guān)發(fā)出獲款請(qǐng)求，其中包括承運(yùn)商的證書(shū)和承運(yùn)商發(fā)送貨物的track number，支付網(wǎng)關(guān)檢查商家和承運(yùn)商的證書(shū)，并以調(diào)用承運(yùn)商服務(wù)器提供的Web服務(wù)驗(yàn)證貨物發(fā)送情況；

（7）承運(yùn)商服務(wù)器提供相應(yīng)的貨物狀態(tài)信息查詢服務(wù)，支付網(wǎng)關(guān)獲得相關(guān)確認(rèn)后判斷這是一次真實(shí)的交易，然后向銀行發(fā)出放款請(qǐng)求，得到響應(yīng)后支付網(wǎng)關(guān)立即向商家作出獲款響應(yīng)。

這樣，整個(gè)交易至此就完全結(jié)束了。

而在這個(gè)模型中，承運(yùn)商并不需要像SET協(xié)議里那樣提供完整的加解密、數(shù)字信封、數(shù)字摘要、雙重簽名等操作，而只需通過(guò)注冊(cè)相應(yīng)的Web服務(wù)，然后向支付網(wǎng)關(guān)提供自己的數(shù)字證書(shū)就可以了。所以其帶來(lái)的系統(tǒng)開(kāi)銷和網(wǎng)絡(luò)開(kāi)銷并不太大。

最重要的一點(diǎn)是，有這樣的一個(gè)可信賴的第三方承運(yùn)商的參與，我們就可以大大提高防范虛假交易和洗錢活動(dòng)的效率。尤其針對(duì)SET協(xié)議有相當(dāng)大的意義，因?yàn)樾庞每ňW(wǎng)上支付是SET協(xié)議的最大支持對(duì)象，而通過(guò)虛假網(wǎng)上實(shí)現(xiàn)信用卡套現(xiàn)或洗錢的活動(dòng)確實(shí)有些防不勝防，如果采用本文的模型那么實(shí)現(xiàn)這樣的防范將相對(duì)容易得多。結(jié)束語(yǔ)

電子商務(wù)安全涉及到方方面面，而其中支付的安全（包括技術(shù)安全和社會(huì)安全）是一個(gè)非常重要的課題。本文僅就SET協(xié)議在提供更好的交易各方利益保護(hù)方面和防范虛假交易方面提出了相應(yīng)的改進(jìn)模式，而其中主要涉及到對(duì)Web Services的應(yīng)用。相信利用Web服務(wù)和分布式網(wǎng)絡(luò)架構(gòu)提出電子商務(wù)新的支付模式和開(kāi)發(fā)新支付平臺(tái)在不遠(yuǎn)的將來(lái)就會(huì)出現(xiàn)，這也將推動(dòng)整個(gè)電子商務(wù)走向新的高潮。

參考文獻(xiàn)：

[1]柯新生.網(wǎng)絡(luò)支付與結(jié)算.北京：電子工業(yè)出版社，2004，182-194.International Technical Support Organization，Secure Electronic Transactions：Credit Card Payment on the Web in Theory and Practice，IBM Corporation，1997，17-49.蘇成，胡慶鋒，趙飛芙.SET協(xié)議的分析與改進(jìn).計(jì)算機(jī)時(shí)代，2004，（3）：20-21.陳炎，楊庚.基于Web Services的電子錢包系統(tǒng)的分布式解決方案研究.南京郵電學(xué)院學(xué)報(bào)，2005，（1）：42-45.馬強(qiáng)，李燕軍.網(wǎng)絡(luò)安全之GAP技術(shù)研究.林楓.電子商務(wù)安全理論與實(shí)務(wù).北京航天航空大學(xué)出版社.信息安全與技術(shù).中國(guó)信息安全測(cè)試認(rèn)證中心.