注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

汪涛

 
 
 

日志

 
 
关于我

南京邮电大学学士,北京邮电大学硕士。出版《生态社会人口论》(人民出版社),《通播网宣言》(北京邮电大学出版社) unsnet@163.com

网易考拉推荐
 
 

汪涛:IPv6重大缺陷之三——漏洞极大的安全设计  

2008-02-01 21:29:16|  分类: IPv6、IPv9和超级 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
   摘要:由于互联网安全模式所存在的根本缺陷,基于战争的攻防型安全模式是不可能获得真正意义上的安全的。IPv6更加重了攻防型安全模式所存在的问题。IPv6地址中的接口ID设计会导致对普通用户变相强制性的实名制,而由于IPv6又同时规定接口ID可以采用其它方式甚至随机数和手工方式分配,这使黑客等IPv6的行家们却可以轻易隐藏自已的物理地址,这种状态不仅比IPv4更加不安全,而且这种安全上对普通用户的极端不平等一旦被对IPv6一无所知的普通用户们广泛获知,几乎等同于一个惊世的丑闻。采用网关的隧道方式也有可能帮助黑客或敌对国家的间谍隐藏自己的行踪,造成黑客更难被发现,或造成更大的国家战略安全问题。

 

    互联网从开始发展直到现在一直把匿名作为其优点之一。但是,这种完全不能确认用户身份的状态导致了网络黑客横行。IPv6地址设计中采用接口ID设置,提供了确认对方物理终端的技术条件。另外,IPv6还在其扩展头中增加了身份验证头AH和封装安全性数据头(ESP)。这些安全设计提供了两个方面的安全服务:

    一是验证数据源身份。这是通过使用散列技术来实现数字签名;

    二是对数据传输过程进行保密。如果使用隧道模式,则不仅可以对传送的数据进行保密,甚至对IP包头也可以保密。

    我们先不去对以上安全技术本身作评价,而是要分析一下互联网最基本的安全模式。事实上,互联网之所以非常难以获得安全的关键原因在于它的最基本的安全模型就是建立在不适当的前提之上的。通讯安全最早出现在战争中,而战争中的安全是一种攻防型的安全模型。在这种安全模型中,一方面永远不可能有真正意义上的安全。道高一尺,魔高一丈;魔高一丈,道高十丈,永远没完没了。进攻和防守的技术你来我往,不断互相促进,互相加高。加密和解密的手段无所不用其极,不断互相促进,互相不断超越。另一方面更关键的是,这种安全模型下的安全不仅是相对的,而且往往是互斥的。某种安全技术的采用本身并非绝对意味着就是安全,也不意味着就是不安全,而是要看谁在使用它和相对于谁来说的。雷达的采用使防空的一方更安全,但却使空军进攻的一方更不安全。隐形技术的采用使空军进攻的一方更安全,但却使防守的一方更不安全。

    加密的技术更高了,会使通讯的一方更安全,但却会使解密的一方更不安全。网络监听的一方并非都是非法的,大量通讯网络中被设置了合法监听功能,这是国家战略安全的保证。但如果通讯过程被黑客和经济间谍解密,则就会对合法的通讯过程造成不安全;对网络攻击发现和破解的技术更高了,对黑客就更不安全,但对民用通讯过程就更安全……。

    因此,说采用了某种安全技术后,网络通讯就更安全是没有意义的,这就如同说“因为世界上出现了第四代隐形战机,所以世界就更加和平”、“因为导弹防御系统开发成功,所以世界就会更加安宁”一样是没有意义的。出现了第四代隐形战机世界并非就会更加和平,也不是就更加不和平,关键是要看如何使用这些新的技术和武器,以及相对于谁来说的。

    所以,如果把安全问题仅仅简化为两个角色参与的加密和解密,进攻和防守的问题,则无论采用什么安全技术,都不会有真正的社会安全获得。

    在IPv4协议中缺乏对通信对方身份的验证,的确给黑客隐藏自己提供了条件,而同时它也使普通用户提供了隐私的掩蔽,找到黑客很困难,黑客锁定普通用户也同样困难。但在IPv6中,由于接口ID的使用,并且绝大多数情况下接口ID是与MAC地址一一对应的。普通用户搞不明白这里面会有什么问题,而黑客则可以利用这一点锁定被攻击的用户。这相当于强制使普通用户成为实名制,而黑客却依然保持了匿名。并且IPv6容许以人工设置和随机数的方式产生接口ID,这更给黑客或其他精通IPv6技术的攻击者隐藏自己,更方便地锁定被攻击的普通用户提供了非对称的有利条件。由此一来,它将比IPv4更加不安全。在IPv4中,黑客和普通用户至少还是处于技术上平等的地位,而在IPv6中却处于了极端不平等的地位。如果对IPv6技术一无所知的普通用户们知道了这种状况之后,他们会对此作何感想?这与一个惊世的丑闻有多大区别?

    INTEL公司曾经想在其CPU中增加全球唯一的序列号,但这个技术设计因为会使全球终端PC用户被锁定而受到强烈反对,此事不得不最终作罢。但IPv6接口ID的设计相比CPU中增加序列号更加有过之而无不及。因为CPU中的序列号还需要特殊的软件才能启用,不是随便谁都可以用的,并且一旦在CPU中加了序列号,所有CPU都会有,大家都是平等的。

    但IPv6的接口ID会使任何通讯过程中一旦你的IP包传过去,马上就把自己终端的MAC地址告诉对方了。这相当于强制普通用户把自己的身份证号码贴在自己脑门上,并在所有最基本的通信过程中暴露自己的身份。普通用户的MAC地址锁定在自己的IP地址中,而IPv6协议本身却容许了另外一些人可以随意设置自己的接口ID。很难理解如果市场不能接受INTEL公司在CPU中增加全球唯一序列号的话,为什么可以接受IPv6的这种更加过分100倍都不止的接口ID方式?如果当普通用户搞清楚了IPv6的这个设计所带来的结果是什么之后,他们为什么可以容许这种方式继续存在?

    现在,如果黑客对某个合法用户发起攻击,我们有可能通过IP地址找到其攻击地点。但如果IPv6中安全网关的隧道方式被黑客采用的话,从网上就根本无法确认其数据包是从什么地方发出的了。如果隧道方式被敌对国家的安全机关采用,我方安全机关就难以追踪敌方间谍活动。不仅搞不清楚对方通信的内容,连对方通信地址和如何区别敌方通信的数据包都做不到了。反过来,如果可以做到的话,又证明了隧道方式的安全性能是不可靠的,即然不可靠,为什么要在IPv6的扩展头中设置这么个没用的东西?

    我们并非是要对以上任何安全技术本身好坏作评价,因为安全问题最关键的要素并不在这些安全技术本身,而在于我们如何来设计安全的基本模型。战争的攻防型安全只是安全模型的一种,而在绝大多数普通使用环境下,更多需要采用的是社会安全模型。社会安全是多角色参与的安全模型,它包括侵害人、受害人、法律体系、公安体系和社会保险体系。如果在没有建立适当的安全模型之前,仅仅局限于安全技术本身考虑问题,有可能采用的安全技术越多,给普通用户带来的结果却是越不安全。

    如果不首先解决基本安全模型的问题,无论安全技术本身怎么发展,结果都是猪八戒照镜子——里外不是人。采用的安全技术越多,无论是什么安全技术,就越是里外不是人。攻防型的安全模型里,无论采用什么样的安全技术,从安全技术本身来说都是自相矛盾的。IPv6采用的安全技术比IPv4更多,所以它就会把这种自相矛盾更加扩大化。

    IPv6之所以形成这种成本极高、所要解决的真正根本问题被忽略、安全设计漏洞巨大等复杂局面,与其整体上混乱的逻辑结构是密切相关的。请看下集:

    IPv6重大缺陷系列四——逻辑混乱的整体结构。

 

IPv6重大缺陷系列:

一、IPv6重大缺陷之一——违反网络平滑升级的天条

二、IPv6重大缺陷系列二——含混不清的地址空间设计

三、IPv6重大缺陷之三——漏洞极大的安全设计

四、IPv6重大缺陷之四——逻辑混乱的整体结构

 

 

 
  评论这张
 
阅读(649)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017