IPv6在云安全中的应用

白瑞双,李金凯,宋林海,杨 猛

(易讯科技股份有限公司,沈阳 110168)

随着云计算的快速发展和广泛应用,云安全成为一个极其重要的问题。云计算的灵活性、可扩展性及高效性可使人们更好地利用资源及服务,但也带来了一些安全问题。IPv6作为下一代互联网协议,正逐渐在云安全领域展示出其独特的作用及潜力[1-2]。但IPv6在云安全中也面临着一些安全问题:缺乏成熟的IPv6安全解决方案及工具,令部署与管理IPv6网络变得复杂;IPv6设备与应用的兼容性问题可能导致安全漏洞及风险;Pv6网络攻击的新型威胁与防御挑战需要加强安全意识并采取相应的措施[2]。本研究深入探索了IPv6在云安全中的作用、突破及存在的问题,提出相应的解决方案。

1 IPv6的基本概念及特点

IPv6是下一代互联网协议,具有广阔的128位地址空间,使用冒号分隔的8组16进制数字表示地址,引入了自动地址配置与无状态地址配置等新的地址分配及配置方式,采用先进的路由协议及邻居发现机制,具有支持移动性的特性[3]。IPv6最显著的特点是巨大的地址空间扩展能力,通过改进的地址解析及地址选择策略,提高了数据包传输效率及网络性能。IPv6在安全方面具有多项增强功能,将IPSec作为其核心安全机制,提供端到端的加密、认证及完整性保护,支持强大的认证及加密机制,确保数据在传输过程中的安全性,支持防火墙与访问控制列表,可限制对网络资源的访问并提供安全保护,提供了强大的流量监测及审计功能,能够更好地监控及管理网络安全。

2 IPv6在云安全中的作用及其存在的问题

2.1 IPv6在云安全中的作用

IPv6在云安全中具有突破性的作用:①提供更多的地址空间,满足云计算规模扩展需求。IPv6的128位地址空间相比IPv4的32位地址空间更广阔,能够为云计算提供更多的唯一IP地址,更好地满足不断增长的云计算规模扩展需求,确保每个云实例及设备都能获得独立的IP地址,从而提高云环境的可扩展性及灵活性。②支持更好的网络分段与隔离,加强云环境的安全性。IPv6引入了更灵活的子网划分与地址分配方式,使云环境中的不同部分可以被有效分割和隔离,有助于减少潜在的攻击面,提高云环境的安全性。使用IPv6的地址类型及流量控制机制,可以更精细地管理及控制各个子网之间的通信,提升云环境的隔离性及安全性。③提供高效的数据包处理及路由功能,提升云服务性能。IPv6采用先进的数据包处理及路由机制具有更高的处理效率及更快的路由转发速度,这对于云环境中大量的数据流量及复杂的网络通信非常重要,能够提升云服务的性能及响应速度,为用户提供更好的体验。④支持IPSec等安全协议,保护云中数据传输的机密性及完整性。IPv6原生地支持IPSec协议,可提供端到端的加密、认证及完整性保护。在云环境中,数据的安全性至关重要,通过使用IPv6的IPSec功能,云服务提供商可保护云中数据传输的机密性及完整性,防止敏感信息被窃取或篡改,从而增强云环境的安全性[4]。

2.2 云安全问题

云服务是一种较新的计算环境,使用虚拟化为应用程序提供计算、内存、存储及网络设施等服务资源。云服务使用虚拟机管理程序,提供与云基础设施交互的虚拟环境。虚拟机管理程序是应用程序与云基础设施之间的边界。普通虚拟化已让位于使用半虚拟化技术的裸机虚拟化,在裸机虚拟化中,虚拟机管理程序取代了主机操作系统并直接控制硬件。此外,还有三种云范式占据主导地位。IaaS(基础设施即服务)致力于用使用虚拟机的云基础设施取代桌面及服务器等公司基础设施[5]。但这并没有解决云服务中的安全数据访问及存储问题。云服务最初被视为公司基础设施的替代品,故其安全机制与服务器相同。企业产生的数据被视为企业DNA,数据管理方式非常复杂,并非所有数据都可随意访问,即在公司内部,某些机密数据访问权限受限。

3 基于IPv6的云安全框架设计与应用

3.1 架构设计

基于IPv6的云安全框架设计如图1所示。由用户安全层、应用安全层、管理程序安全层、传输安全层、存储安全层组成。用户安全层涉及用户身份验证及授权,应用安全层用于向虚拟机管理程序验证应用程序的身份,虚拟机管理程序安全层用于向云基础设施验证应用程序及用户,传输安全层可在应用程序与云基础设施之间提供安全通信,存储安全层用于保护云基础设施中的数据。

图1 基于IPv6的云安全框架Fig.1 Cloud security framework based on IPv6

3.2 框架特点

IPv6格式如表1所示。IPv6与IPSec一起设计使用,IPv6协议栈内置了IPSec的功能及机制,每个数据包都可以携带IPSec头部,用于加密及认证数据。IPSec可以在端到端的通信链路上建立安全连接,通过使用加密算法对数据进行加密,防止未经授权的访问及窃取[6]。

IPSec可通过隧道模式在不可信的网络中创建安全的虚拟专线。在IPv6中,IPSec隧道可在IPv6网络中传输IPv4流量或在IPv4网络中传输IPv6流量。这种隧道模式允许在不同的网络之间建立安全连接,确保数据在跨网络传输时的安全性。

将IPv6与IPSec结合使用,可轻松实现端到端的加密及认证,保护数据在云环境中的传输安全。无论是在公共云还是私有云环境中,IPv6与IPSec的结合都为云计算提供了更高级别的安全性,确保敏感数据的保密性,防止数据被篡改或窃取。

3.3 应用案例

对江西某县级医院患者ID系统开发项目应用云安全框架,使用该系统建立电子健康管理系统。当管理系统需要读取修改患者信息时,系统找到并读取数据,转发到服务器对象。管理系统使用PKE机制与服务器建立安全连接以交换共享密钥。当服务器获得最新读数时,会读取患者的ID并生成一个存储最新读数的新文件。数据存储在上传完云端后,将数据发送给医生,具体运行如图2所示。

文件系统是一个加密所有数据块的分布式文件系统。数据块被复制并随机放置在多个云块存储服务器上。为了提高安全性,文件的索引节点或元数据部分不存储在云中。由于元数据受到保护,入侵者无法解码数据块,提高了整个文件的安全性。

在文件安全传输方面开发了一种基于局域网/云环境的安全传输协议。采用SP协议,与TCP协议不同,其是基于消息的协议,其中消息在通过网络接口传输之前被分成块。SP协议提供可靠的服务,可在不可靠的数据基础上运行,如UDP或原始以太网。

在初步测试中测量了客户端与服务器在用户空间中的运行情况,客户端位于用户空间,服务器位于内核空间,这些结果与TCP的标准内核版本进行比较。SP在UDP上运行,传输数据块大小保持1472字节,以模仿TCP完成的分段,结果如图2所示。由图2可知,SP协议可以在用户空间及内核空间中有效执行,提供更大的灵活性,该电子健康管理系统能够较好地将数据存储在公共云环境中。

4 IPv6在云安全中面临的挑战

在云安全中,IPv6面临着一些挑战及难题,需克服以确保云环境的安全性[7]。

IPv6的广阔地址空间可能导致地址管理的复杂性增加。由于IPv6提供了大量的唯一IP地址,云服务提供商需要有效管理并分配这些地址,避免地址冲突和滥用。此外,需要采取措施来监控与检测潜在的地址欺骗及地址劫持行为,以确保地址的正确使用及安全性。

IPv6的部署和配置带来了新的安全风险。由于IPv6是一个新的协议,许多网络设备与应用程序可能缺乏对IPv6的完全支持,这可能导致配置错误、漏洞及不完善的安全措施。需深入了解IPv6的安全特性及最佳实践,确保正确配置并更新设备及应用程序,减少潜在的攻击面。

需重视IPv6的安全性。尽管IPv6原生支持IPSec,但仍需要正确配置及使用IPSec,以提供有效的加密及认证。此外,IPv6环境中的其他安全机制与工具可能还需进一步发展及完善,以满足云环境中不断变化的安全需求。

5 结束语

讨论了IPv6在云安全中的重要作用及面临的难题,分析了IPv6安全协议的优势,这是满足云计算规模扩展需求、加强云环境安全性的重要工具。将基于IPv6的云安全框架应用于某医院的电子健康管理系统中,结果表明,该电子健康管理系统能够较好地将数据存储在公共云环境中。指出了IPv6在云安全中面临的挑战,需采取相应的措施来克服这些问题,以确保云环境的安全性及可靠性。通过合理利用IPv6的优势,为云计算提供强大的安全保护,推动云计算的发展及应用。