本发明专利技术提供一种IPv6网络安全防护系统,包括,通过IPv6网络相互连接的静态安全防护模块和动态安全运营模块;所述静态安全防护模块,用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息;所述动态安全运营模块,用以通过安全检测及相应的安全基础设施、安全组织单元、安全策略单元及安全技术单元的配合,发现和管理网络安全风险,并通过IPv6网络向终端网络进行安全防护。本发明专利技术并在逻辑上实现三个平面的隔离;增强企业的内网安全;报障过渡时期安全;报障在IPv4网络环境下的DNS安全防护又提供对IPv6协议的支持,有效控制和预防网络安全风险及过渡技术安全风险。
【技术实现步骤摘要】
一种IPv6网络安全防护系统
本专利技术涉及网络安全
,特别是涉及一种IPv6网络安全防护系统。
技术介绍
IPv6技术虽然解决了当前IP地址匮乏问题,但也为电网公司网络安全防护带了新的变化与挑战。IPv6因地址空间巨大,在应对部分安全攻击方面具有天然优势,在可溯源性、反黑客嗅探能力、邻居发现协议、安全邻居发现协议以及端到端的IPSec安全传输能力等方面提升了网络安全性。但在IPv6网络下,新的安全问题也随之而来,如针对于安全检测的自动扫描会越来越难,用户隐私更易暴露,互联网暴露面也在增加,IP地址情报库也很难有效的管控庞大的IP地址体量,在过渡期间的双栈安全协议风险等。IPv6网络如何防止整个企业网络不被攻击、侵入、干扰、破坏和非法使用,确保关键信息基础设施安全,是必须系统性考虑的问题。为此,需要深入研究IPv6技术特点,结合电网企业电力监控系统网络安全防护需求,深入探索IPv6网络下网络安全防护体系,严守IPv6下的网络安全。邻居发现协议(NDP)由IETF颁布的RFC2461详细定义,它作为IPv6协议栈中的一个网络层协议,包含IPv4中的地址解析协议(ARP)、因特网控制报文协议(ICMP)中的路由器发现部分和重定向部分的所有功能。前面详细分析了NDP存在的安全隐患,NDP建议用IPsec协议保护NDP消息的安全,但无具体说明。为了增强安全机制,IETF提供了NDP的安全扩展协议SEND协议。SEND在原NDP消息基础上添加4个新的消息选项,用于对邻居发现消息源(即通信节点身份)的认证。另外,SEND定义了一个授权代表发现(ADD,AuthorizationDelegationDiscovery)过程,通过数字证书来验证节点是否为可信路由器。此证书格式定义了两个新的主机与路由间的ICMPv6消息——CPS和CPA,从而使得主机在路由的协助下获得一个从被验证节点到其信任的第三方的认证路径和CPA,从而使得主机在路由的协助下获得一个从被验证节点到其信任的第三方的认证路径。一个完整的SEND消息包含了IPv6首部消息、邻居发现消息和SEND协议扩展消息选项这三个部分,如图1所示。IPv6首部的主要包含128比特源地址字段、128比特目的地址字段和8比特跳数限制字段等。邻居发现消息采用的是IPv6控制报文(ICMPv6)的格式,分为ICMPv6首部和邻居发现消息说明数据,其中,ICMPv6首部包含8比特类型字段、8比特编码字段和16比特校验和字段,邻居发现消息说明数据部分包含了邻居发现消息首部和邻居发现消息选项。SEND协议在邻居发现协议的基础上添加了新的邻居发现消息选项,这些选项具有相似的帧格式,分别实现了加密生成地址(CGACryptographicallyGeneratedAddress),对SEND消息进行数字签名并验证,时间戳和随机数生成验证,以及授权代表发现等功能。SEND协议作为邻居发现协议的扩展协议,在原有邻居发现消息的基础上添加了2个新的消息,认证路径请求消息(CPS,CertificationPathSolicitation)和认证路径应答消息(CPA,ertificationPathAdvertisement),用来实现主机节点对路由器节点真实身份的验证。(1)CGA选项,CGA是一种将公钥信息与IP地址绑定生成的IPv6地址。加密生成地址CGA用来确保ND消息的发送者是所声明地址的拥有者。所有节点在声明一个地址之前都产生一对密钥,CGA选项用于携带公钥和相关参数,利用单向HASH函数生成IPv6地址的接口标识符(2)RSA选项,为防止NDP消息在传递过程中被篡改,或者攻击者在获得节点的CGA地址和公钥后,冒充节点发出消息,SEND协议使用了数字签名机制来保证消息的安全。RSA签名项把基于公钥的签名附加到NDP消息中,其格式如表2所示。RSA选项包含发送方公钥的hash值,以及根据发送方私钥和ND报文,使用RSA算法生成的数字签名。RSA选项用来验证ND报文的完整性和发送者的真实性。(3)Timestamp选项,时间戳(Timestamp)选项的目的是为了确保无请求通告和重定向不被重放。(4)Nonce选项,随机字段(Nonce)选项与时间戳选项作用相同。SEND协议通过在邻居消息(NS、NA、RS、RA)中添加CGA、RSA数字签名选项、基于X.509的证书选项等,除了能实现对邻居节点的身份认证,保证节点是所声称IP地址的真实拥有者,还能够保护消息的完整性,以及完成对某一路由器是否为可信路由器的验证机制。SEND协议规定CGA选项必须被添加在所有NS、NA和RS消息中(除非RS消息的源地址未指明),消息的接收者通过验证由CGA选项的参数字段重新计算所得64比特哈希值hash1,是否与源地址的接口标识符部分相同(除5位特定比特值),由此判断消息发送者是否为所声称源IP地址的真实拥有者。攻击节点若想通过伪造IP地址的方式造成拒绝服务攻击、重定向攻击或中间人攻击,必须通过“杂凑碰撞”的方式,产生一个与hash1相关的CGA地址,由于产生碰撞的威胁是较低的,因此从一定程度上防止了以伪造IP源地址方式产生的各类攻击。为防止攻击节点获取合法节点的公钥和CGA地址后,冒充其发送SEND消息或对消息进行篡改,SEND规定所有的NS、NA、RS(除非源地址未指明)和RA消息必须添加RSA数字签名选项,即使消息接收节点通过了对发送节点的CGA验证,也必须进行RSA数字签名验证。由于攻击节点不具有合法消息发送节点的私钥,因此无法冒充发送节点生成数字签名,从而进一步保证了消息的完整性,能够阻止个别节点企图冒充合法节点实施上述三种攻击的行为。然而SEND协议仍存在一些安全缺陷,有些安全威胁甚至是由SEND协议安全扩展功能所产生的:(1)CGA技术虽然可以实现身份认证,但并不能保证IP地址本身的正确性,非法节点可能产生自己的公钥和CGA地址并加入SEND消息中,这是由于产生CGA的公钥并不是通过证书颁发所得,若使用基于PKI(公钥基础设施)的方式,在部署和实施上则较为困难。(2)虽然合法节点可以使用与公钥相关的私钥,对SEND消息进行签名并进一步保证自己身份的合法性,但这也使得攻击者容易转而针对CGA地址以及RSA数字签名过程进行拒绝服务攻击。例如,针对CGA的产生和随后的DAD(地址碰撞检测)过程,攻击节点可以向正在生成CGA的合法节点发送DAD回复消息(NA消息),声称自己具有此CGA地址,当碰撞次数超过2,则本次CGA生成失败,这样合法节点就必须改进算法,使得在DAD检测的时候就对NA消息进行验证。同样针对计算复杂度更高的RSA数字签名和验证,攻击节点也可能会实施拒绝服务攻击。(3)在一些不安全链路上,攻击节点可以捕获SEND消息,并更改CGA选项中的参数,造成CGA验证失败从而阻止合法节点的通信。这是由于IP报文在网络中明文传输引起的,目前的解决方法是通过IPSec对端到端的报文传输进行保护,但是攻击者仍有方法插入一个虚假IPS本文档来自技高网...
【技术保护点】
1.一种IPv6网络安全防护系统,其特征在于,包括通过IPv6网络相互连接的静态安全防护模块和动态安全运营模块;/n所述静态安全防护模块,用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息;/n所述动态安全运营模块,用以通过安全检测及相应的安全基础设施、安全组织单元、安全策略单元及安全技术单元的配合,发现和管理网络安全风险,并通过IPv6网络向终端网络进行安全防护。/n
【技术特征摘要】
1.一种IPv6网络安全防护系统,其特征在于,包括通过IPv6网络相互连接的静态安全防护模块和动态安全运营模块;
所述静态安全防护模块,用以通过IPv6网络对各单元或模块隔离控制、调整相应安全规范及控制措施监控IPv6网络的静态安全信息;
所述动态安全运营模块,用以通过安全检测及相应的安全基础设施、安全组织单元、安全策略单元及安全技术单元的配合,发现和管理网络安全风险,并通过IPv6网络向终端网络进行安全防护。
2.如权利要求1所述的系统,其特征在于,所述静态安全防护模块包括通过第一IPv6网络相互连接的控制单元、业务单元、管理单元;
所述控制单元,用以网元设备之间认证及路由信息安全更新与传递;
所述业务单元,用以用户登录的认证、业务的授权、业务和网络资源的调控、业务安全的控制;
所述管理单元,用以维护终端的认证与授权,核心的数据、应用、系统及网络平台的保护,通过IPv6的IPSec协议访问控制系统与外部交互要求的相应控制点对内外部进行维护管理。
3.如权利要求2所述的系统,其特征在于,所述第一IPv6网络设置基础设施层、业务层和应用层;所述基础设施层内至少设置一个控制单元、一个业务单元、一个管理单元;所述业务层内至少设置一个控制单元、一个业务单元、一个管理单元;所述应用层内至少设置一个控制单元、一个业务单元、一个管理单元。
4.如权利要求2所述的系统,其特征在于,所述动态安全运行模块包括通过IPv6网络相互连接的安全组织单元、安全策略单元、安全技术单元;
所述安全组织单元,用以对系统相连网络、系统内模块进行安全组织架构的统一管理;
所述安全策略单元,用以管理实施动态安全运行模块内的运作流程和管理制度,提供网络安全的策略指引;
所述安全技术单元,用以对网络安全的监控、分析、实施及管理,为业务系统的建设、市场运营和维护提供支持,从IP网、内部网络和系统到外部客户的安全管理。
5.如权利要求4所述的系统,其特征在于,所述安全组织单元对系统内网路、系统对接的网路、系统内业务模块、安全业务模块进行统一管理,将实体化的安全部门和配套人员形成自上而下的安全组织架构,进行网络运营,对系统监控的工程建设各阶段进行风险控制。
6.如权利要求4所述的系统,其特征在于,所述安全策略单元包括,
策略模块,用以管理网络全工作的总体策略,确定网络...
【专利技术属性】
技术研发人员:黄萍,刘昕林,刘威,
申请(专利权)人:深圳供电局有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。