IPv6中的IPsec安全

IPv6开始在互联网上出现。采用是缓慢的，但随着40多亿个IPv4地址的神奇数字即将达到，随着物联网的势头增强，IPv6的采用速度将会更快。

IPv6中所有的增强都令人兴奋不已。一些人甚至声称这是互联网安全的答案。但到目前为止，它还没有兑现这一承诺。卡巴斯基实验室的安全研究员Santiago Pontiroli指出:“IPv6在构建时考虑到了可扩展性和遵从性，不仅是在可用的地址空间方面，而且在处理多播通信时也是如此。”“此外，符合IPv6的实现意味着默认支持IPSec，从安全的角度来看，这是我们在IPv4中已经有的。但它的使用是可选的，而且通常很少，”他补充道。

IPsec
IPv6的安全元素叫做IPsec。因特网工程任务组(IETF)开发了IPsec来保护封装在因特网协议(IP)中的网络通信。IPsec是一套用于验证和加密通信会话的IP数据包的协议。它是一个开放标准框架，通过确保IP网络上数据通信的完整性、机密性、不可抵赖性和身份验证，定义了网络内安全通信的策略。它还描述了如何实施这些策略，并可以检测重放攻击。

IPsec工作在OS内核级。它是对TCP/IP协议套件中IP实现的修改，即对现代操作系统内核的修改。图1为IPsec架构框图。

图1:IPsec体系结构，由Cavium提供。

IPsec中的协议被设计用来做两件事——在会话开始时在代理之间建立相互身份验证，以及协商会话加密密钥。IPsec还可以用于数据保护和数据阻断。这些都成为IoE非常重要的问题。

Microsemi首席技术官吉姆•阿拉里斯表示:“IPv4的安全问题更简单，因为可以重复使用地址。“对于IPv6，由于连接设备越来越多，问题会成倍增加。因为网络上有如此多的哑巴和半哑巴设备，如果它们不保护密钥和数据，就会产生巨大的影响。”

因此，这两项安全措施必须在任何物联网设备中实现。这两个参数的一个例子是，可以将IPsec设置为要求使用IPsec协商的传输会话在计算机之间传递数据。另一种可能是，它可以通过实现IPsec阻止策略来阻止除特定端口(例如端口80 (HTTP)和端口443 (HTTPS)之外的所有访问来阻止数据。

IPsec发现
可以找到IPv6的下钻在这里．本文只关注IPv6的IPsec部分。

表1:IPvX特征表。

IPsec的字面意思是互联网协议安全。它也存在于IPv4中，但已经为IPv6进行了重写。表1概述了这两种协议，以及它们之间的区别。

实际上，IPsec有两种工作模式:传输模式和隧道模式。

在传输模式下，只有有效载荷被加密;标头未动。源主机和目标主机执行所需的任何加密操作。使用L2TP (Layer 2 Tunneling Protocol)协议建立一条隧道，加密数据通过隧道发送。从本质上讲，密文是在源端创建的，然后由目的端的主机检索。这样的配置创建的是一个端到端安全链路，其中实际端点是源IP地址和目的IP地址。这种模式通常用于主机到主机类型的通信，其中网络是已知的，并且在端点上维护了额外的安全性。漏洞在于，虽然数据内容受到保护，但一般的网络流量没有任何加密。

隧道模式最安全。有专门的网关，沿着跳点执行加密处理。此外，还有由源主机和目标主机执行的加密。这种方法建立了网关到网关的安全性，因此，与传输模式不同，整个网络是安全的(参见图2)。

图2:一般VPN隧道图。礼貌:RockSecure。

对于任何一种模式都需要注意的一点是，在实现它时，所有网关都需要能够验证数据包是真实的，以及能够在两端验证数据包。如果发现任何数据包是无效的，则必须丢弃，而不管数据包协议是什么。

数据包编码
IPsec的优点之一是它能够实现数据编码。为了保证安全性，IPsec协议实现了两种类型的数据包编码(DPE)。一个是身份验证头(AH)。第二种是封装安全有效负载(ESP)。这种特殊的编码方案为数据提供了网络级别的安全性，是许多以最低安全性运行的IoE设备(低端设备、简单传感器、可穿戴设备等)的关键元素之一。

AH报头的功能是通过键控哈希函数(也称为消息验证码(mac))提供数据包的完整性和真实性。报头还可以在实现AH的多个网关和主机之间建立安全性。它还可以防止非法修改，并可选地提供防重放安全性。

ESP报头的功能是提供数据封装、加密和数据机密性。数据机密段是通过对称密钥加密提供的。

IPsec中更重要的元素之一是所谓的安全联盟(SA)。SA使用称为安全参数索引的东西添加了一个安全层。SPI号包含在AH和ESP中，以确定数据包使用的是哪个SA。此外，还包括指向端点的IP目的地址，该端点可能是路由器、防火墙，甚至最终用户。

最后，安全联盟使用安全策略告诉路由器它需要对数据包做什么。选项包括丢弃数据包、替换不同的SA和完全丢弃SA。安全策略数据库用于存储正在使用的策略。

IPsec:很好，但并不完美
IPsec提高了Internet通信安全的门槛。恩智浦半导体物联网和智能家居营销总监菲利普•勒威尔表示:“IPSec不能直接解决问题，因为IPV6没有处理密钥管理问题，而密钥管理是关键，因为IoE上的许多‘东西’都将处于可能被篡改的环境中。”“因此，在物联网IPv4网络中需要使用具有安全存储的非对称密钥，在IPv6网络中也将继续需要。”

还有其他不完美之处。IPsec不是把通信包裹在安全严密的毯子里的茧。虽然它具有很大的灵活性，但这种灵活性是有代价的，特别是复杂性。作为一个极其灵活的平台，它可能会令人困惑。一些安全专家表示，这些选项，以及随之而来的大量文档，导致了实施它的阻力。简而言之，IPv6安全与IPv4在方法上有细微的不同。正确理解和部署它可能会使安全供应商、组织和最终用户感到困惑。这意味着部署中充满安全漏洞或实现薄弱的可能性很大。

弱点暴露
让我们看一下一个域间或大型分布式系统。在这种情况下，很可能存在多种安全策略与IPsec的安全策略相互干扰。

一个简单的例子可能是两台主机之间，其中一台主机使用防火墙，其安全策略指示它拒绝任何加密流量。在某一时刻，两台主机建立了直接隧道，但不知道防火墙的安全策略。由于IPsec的灵活性，以及它有如此多的配置可能性，在这一点上，这是一个合理的场景。回到混淆问题，安装方可能只是为了建立连接而做了最低限度的工作。虽然它可以考虑防火墙的策略，但这可能不仅仅是因为它太复杂了。

在这种情况下，所有到达防火墙的加密流量都将被丢弃。具有讽刺意味的是，每个跳点都完美地实现了其安全策略。奇怪的是，它们按照设计工作，但结合在一起，它们就失败了。这是为了简单起见而使用的一个相当旧的场景，但是仍然有许多类似或并行配置存在问题的情况。

哪里会出问题
虽然IPsec即将实现，但全局部署存在一些问题。IPsec将有助于保护IoE，并为未来几年将上线的数十亿台IoE设备提供安全平台。然而，要做到这一点，有几件事需要解决。

首先，它的部署很稀疏。这意味着早期部署可能会带来风险漏洞和设计缺陷，直到学习曲线被驯服。毕竟，许多安全漏洞和后门只是由于缺乏经验的编程而造成的，而不是蓄意破坏。

还有另一个安全风险。Rapid7的首席研究官HD Moore说:“每个启用IPv6的系统都有一个‘本地链接’地址，本地网络上的任何其他机器都可以与之通信。”“这允许入侵者访问本地网络-直接或通过受损的IPv4系统-访问和攻击其他本地机器的IPv6接口。”

其次，IPv4和IPv6不能直接通信。这意味着在过渡阶段完成之前，将会有大量的双栈网络运行这两个版本。运行双栈意味着所有的功能都必须在每个栈上复制。这使得潜在的错误增加了一倍，安全问题增加了一倍，出错的几率也增加了一倍。

在这一切的中间将是入口。恩智浦的Lewer说:“一个主要的挑战将是网关的能力。“例如，这些网关不仅需要能够在IPV6和6LoWPAN之间架桥，而且只要网络上有IPv4节点，网关就需要支持双栈以及IPv4 -IPV6网络地址转换(NAT)。”

此外，这种堆栈还增加了存在“隐藏”内容的风险，因为它可能被包装在一个协议中以通过另一个协议。这是在管道的某个地方插入恶意软件的配方。IPsec可以用来帮助保护这些堆栈，但它的实现不同于IPv4和IPv6。因此，必须开发统一的应用程序方法，并全面实现。

所有这些都意味着，在转型过程中，可能会是一段坎坷的旅程。当然，也会发现一些尚未浮出水面的问题。

信件
虽然IPv6已经存在了很多年，但它是那些尚未获得应有动力的协议之一，因为目前还没有对它的迫切需求。这是一个相对复杂的平台，有很多选择，这使得它有点令人生畏。此外，还没有实施全面、大规模的培训或测试计划。

最重要的是，我们现在才开始认真研究IPsec。幸运的是，我们还有一点时间——有时，而不是一直。如果该行业很快开始考虑转换，将有足够的时间进行有序和平稳的过渡。我们将能够积极主动，而不是被动地培训工程师，进行IPsec调整和微调，以及有意义的平台演进。但问题依然存在:我们会这样做吗?