基于IPv6的网络内生安全技术探析

2022-07-21 作者:中兴通讯 段威,周继华  
基于IPv6的网络内生安全技术探析 - 中兴通讯技术(简讯)
您当前访问的的浏览器版本过低,为了给您带来更好的体验,建议您升级至Edge浏览器或者推荐使用Google浏览器
取消
基于IPv6的网络内生安全技术探析
发布时间:2022-07-21  作者:中兴通讯 段威,周继华  阅读量:

IP网络中的灵魂三问:你是谁,你从哪里来,你到哪里去

 

自2017年《推进互联网协议第六版(IPv6)规模部署行动计划》发布以来,我国IPv6发展显著加速,IPv6活跃用户数从2019年底的2.7亿增长到2020年底的4.6亿,2021年底增长到6.08亿,占我国全部网民数的60.11%。

IPv6的初衷是为了解决IPv4地址消耗殆尽的问题,但由于NAT技术的出现,地址耗尽的问题已经在很大程度上得到了缓解,因此,单纯从地址消耗的角度,从IPv4升级到IPv6的需求迫切度已经降低。

那么,IPv6技术大规模的推广的动力从何而来? 这其中有很大一部分是网络安全的需求,不是因为IPv6带来了下一代网络,而是因为下一代网络的发展,需要能更好地利用IPv6的一些特性来提升网络的整体安全性。

我们知道,哲学家有一个著名的灵魂三问。网络,尤其是IP网络,也存在同样的灵魂三问:你是谁(设备的可信标识),你从哪里来(报文源地址的合法性),你到哪里去(目标可访问约束)。

传统上,IP网络的特点是尽力传输,效率优先,主要关心“你到哪里去”,根据目的地址查找路由表进行寻址转发,而对于“你是谁”“你从哪里来”并不关注。在不考虑网络安全的情况下,这种方式能最大利用IP网络的转发能力。而在考虑到IP网络安全问题时,需要更多地关注“你是谁”和“你从哪里来”的问题。精准地确定“你是谁”和“你从哪里来”,是身份可信的基础。

 

IP网络里的身份证、健康码和行程码

 

“身份可信”包括了应用层和网络层两个方面。应用层相对比较成熟,比如某些网站注册后,新人只有基本权限,回帖到一定积分后,才能获得发帖权限,发帖到一定数量,才能获得站内消息权限。但是IP网络中,网络层协议本身在身份可信方面做得还不够充分,可以从多个方向加强。

网络层的身份可信加强,可以分为两个方向,一个方向是不做身份地址分离,通过其他技术手段来提高IP地址的可信度,比如SIDR(Secure Inter Domain Routing安全域间路由)技术。SIDR中的ROV就像查身份证,会查证IP地址和AS的归属关系;BGPSec就像行程码,会记录一个路由信息的真实AS路径信息。目前ROV技术已经进行了规模部署,全球超过20%的路由信息可以通过ROV进行验证。BGPSec尚未实际部署,主要原因是BGPSec需要全路径支持(就像行程码如果只是部分城市生效,那么就不可信了),而BGPSec需要对路由器设备进行升级改造,实际部署难度过高。

网络层的身份可信加强,另一个方向是通过定义IPv6地址,实现身份地址分离来提高IP地址的可信程度。中兴通讯的内生安全定义“内生安全网络是以可信标识为锚点,以信任为基础,具有共识机制,具备内在自免疫可进化安全能力的网络安全体系”,这其中的可信标识,就是在IPv6地址中携带真实地址标识和可信身份标识,就体现了身份地址分离以提高IP地址可信程度的理念。IPv6相比于IPv4,头部长度从32位增加到了128位。IETF的RFC4291 IPv6寻址结构中,没有明确规定路由寻址要用多少位,但在实际使用中,128位如果都做寻址,在很多场景下会比较浪费。比如SRv6中,就是因为SRH头128位太浪费,推出了多种头压缩技术,如GSRV,每个SRH头可以用来标识4跳。当然,如果IPv6地址还是和IPv4一样,单纯只是用来寻址,即使只用前64位,也很浪费。因此,CCSA等标准组织正在研究如何更好地对IPv6地址进行可信编址。就像手机号码11位,就能知道是哪个省、哪个市的电话一样,IPv6地址也可以通过预先规划,发挥更多的作用。比如把IPv6地址的前半段路由前缀+用户子网,做成真实地址标识(参见图1)。

      图1   IPv6地址规划

IPv6后半部分,接口标识部分的使用,是网络内生安全的关键。该部分可以放置终端设备的可信身份标识,让网络层就能确定报文的真实来源。这种做法有很大的发挥空间,比如,在IPv6头中使用可验证的标签来进行反射型DDOS攻击的防御,就是可信身份标识结合加密算法的一种应用。

此外,目前业界也正在研究终端设备上自身可信标识的使用,使得有线终端可以和无线终端的IMIE号一样,有个唯一的标签,并能将相应标签和IPv6地址的可信身份标识进行映射。

还有一些研究是根据对设备自身安全水平的评估,比如是否是可信计算环境、是否具备可信启动、是否安装了必要的补丁,给可信身份标识再加上一个安全信任等级,就像给IPv6地址赋予了绿码、黄码和红码这样的健康码信息。在此基础上,IP网络中就可以利用可信身份标识开展更多的安全相关工作,更好地对IPv6网络的安全进行控制。

有线设备的可信身份标识可以由设备TEE(Trusted Execution Environment,可信执行环境)产生,也可以存储在可信计算环境中。在设备接入网络时,接入服务器对该身份进行验证,并根据身份来分配IPv6地址。这样,设备的IPv6的前半部分地址,是经过可信编址后形成的真实地址标识,可以用来做网络寻址,而后半部分地址,就是设备的可信身份标识。这样,有线设备就也拥有了自己的网络身份证、健康码和行程码。

 

中兴通讯提出内生安全防护模型和方案

 

中兴通讯在网络5.0产业和技术创新联盟中,提出了“支撑新型网络体系结构的内生安全防护模型和系统方案”(见图2)。该方案基于IPv6的新型网络,以网络身份为基础建立可信机制,并以网络为主导,将安全可信延伸到端侧。

        图2   支撑新型网络体系结构的内生安全防护模型和系统方案

在这套可信机制中,通过报文内嵌可信标识的方式,实现网络身份的可信管理,并通过身份可信管理、身份与位置可信关联、密钥管理、服务与发起端认证关联等,解决IP欺骗对网络安全构成巨大威胁、攻击难以检测、安全响应缓慢等原有难题,并最终通过身份可信(报文内嵌可信标识、身份真实性控制)、服务可控(服务可访问性检查和控制)和数据可靠(数据通道加密),解决数据网络是谁、从哪里来、到哪里去的三大终极问题。该方案获得2021年网络5.0峰会的创新科技成果发布奖项。

 

2022年,中兴通讯再接再厉,推出了支持基于IPv6可信标识认证接入的原型机设备,并继续在包括CCSA(中国通信标准化协会)、IETF(国际互联网工程任务组)等国内国际标准组织中推动和参与基于IPv6的内生安全技术的标准化工作,为IP网络的可信安全保驾护航。

本期相关文章