当前位置:文档之家 › 基于IPv6的下一代互联网安全问题初探

基于IPv6的下一代互联网安全问题初探

  • 格式:pdf
  • 大小:388.96 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

基于IPV6的下一代互联网安全管理策略研究

基于IPV6的下一代互联网安全管理策略研究

基于IPV6的下一代互联网安全管理策略研究随着科学技术的日新月异,人类社会朝着数字化、网络化、信息化的方向不斷发展,因此网络在生活中发挥着举足轻重的作用。

然而随着网络的广泛应用,IPV4地址资源的急剧消耗,基于IPV6的新一代互联网的推进迫在眉睫。

而安全问题则是IPV6研究的重要内容,虽然IPV6有它自己的安全机制,但仍存在很多问题,并不能完全保证网络的安全。

标签:IPV6;安全管理;策略研究1 互联网的发展现状随着互联网的迅速发展,IPv4定义的有限地址空间正在一步步被耗尽,毋庸置疑地址空间的不足将会影响互联网的进一步发展。

为了扩大地址空间,拟通过IPV6重新定义地址空间。

IPV4采用32位地址长度,只有大约43亿个地址,目前已将被分配完毕,而IPV6采用128位地址长度,几乎可以不受限制地提供地址。

因此,IPV6在全球范围内受到重视。

由于政府的重视,日本走在IPV6研发的前列。

日本于1999年12月开始提供试验服务,2001年4月开始提供商用服务,到目前为止,NTT Com、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务,日本全国利用IPv6的环境正日益完善。

研究的内容主要包括IPv6的下一代服务模型、家电网络的应用和服务、网络环境中的IPv6信息机器、使用信息家电的个人内容交换系统、信息家电安全和有效的通信技术、面向流媒体的服务终端及其业务、无线互联网服务、IPv6网络上的IP电话、用非个人电脑设备实施的互联网应用服务、信息家电图像的传送和应用、内容传送模型验证及收费/认证功能。

2 对于IPV6安全问题现状的分析IPV6强制实施了标准化的因特网安全协议IPSec,因此在网络安全方面存在一些优势,能够提升业务和应用的安全性,保证端到端的安全。

(1)避免了IPV4存在的一些攻击。

(2)能够构建安全的专用网络。

(3)大大提高了内部网络的保密性。

IPSec与IPv6:如何在下一代网络中应用安全协议(六)

IPSec与IPv6:如何在下一代网络中应用安全协议(六)

在迅猛发展的信息时代,网络安全成为了人们越来越关注的问题。

随着互联网的普及和应用,不仅人们的生活习惯和工作方式发生了巨大变革,互联网也成为了重要的国家战略领域。

因此,在网络通信中保护数据的安全性显得尤为重要。

为了解决互联网通信的安全问题,IPSec(Internet Protocol Security)协议应运而生。

而随着IPv6(Internet Protocol version 6)的广泛应用,如何将IPSec协议应用于下一代网络成为了一个值得探讨的问题。

首先,我们先了解一下IPSec协议的基本原理和作用。

IPSec是一种用于保护IP数据包完整性、机密性和身份认证的安全协议。

它通过对IP数据包进行加密和认证来保护数据传输的安全。

IPSec可以在网络层提供安全性,防止数据包被篡改、窃听和伪装。

它可以用于虚拟专用网络(VPN)、远程访问和站点到站点的连接等场景,可以保证数据的安全传输和隐私保护。

随着IPv6的广泛应用,如何将IPSec协议应用于下一代网络成为了一个迫切需要解决的问题。

IPv6是下一代互联网协议,它的引入解决了IPv4中的地址空间不足的问题,同时提供了更好的安全性。

然而,尽管IPv6本身提供了一些安全性功能,但仍然需要使用IPSec来进一步加强网络的安全性。

通过将IPSec协议与IPv6的组合应用,可以为IPv6网络提供端到端的安全保护。

具体来说,将IPSec协议应用于IPv6网络中涉及到以下几个方面。

首先是IPv6网络的边界保护,通过在IPv6网络的边界处部署IPSec网关,可以对进出网络的数据包进行加密和认证,确保数据的安全传输。

其次是IPv6站点之间的连接保护,通过在站点之间建立IPSec隧道,可以保证站点之间数据的安全传输。

此外,还可以在IPv6网络中部署IPSec策略,对不同类型的流量进行安全控制和管理。

然而,在将IPSec应用于IPv6网络中还存在一些挑战和问题。

首先是IPv6网络的复杂性,IPv6有着更大、更复杂的地址空间,对于IPSec的部署和管理提出了更高的要求。

IPv6技术应用中的网络安全问题研究

IPv6技术应用中的网络安全问题研究

IPv6技术应用中的网络安全问题研究随着互联网的不断发展,IPv4的地址资源越来越匮乏,IPv6技术应运而生。

IPv6具有更充裕的地址资源、更高效的数据传输、更强大的安全性等特点。

然而,IPv6技术也存在着一些网络安全问题。

本文旨在研究IPv6技术应用中的网络安全问题,并探寻相应的解决方案。

一、IPv6的安全问题1.地址欺骗地址欺骗是指攻击者通过对IPv6分组头的伪造与篡改,使源地址与目的地址不匹配,从而产生的一种网络安全攻击。

地址欺骗会使得被攻击者的网络无法正常工作,造成通信中断、数据泄露、网络控制权失去等问题。

2.路由器安全问题路由器是网络中的重要设备,管理着数据包的转发和路由选择。

IPv6中的路由器可以通过Router Advertisement协议发布路由信息,攻击者可以利用这一点,通过伪造RA广告包来篡改路由信息,从而绕过安全检查,入侵网络系统。

3.地址分配和管理IPv6中,地址空间庞大,分配和管理难度加大。

恶意主机可以借助这个问题,利用安全漏洞和提供的漏洞获得IP地址,进而攻击其他计算机系统。

地址分配和管理的安全方案是IPv6安全的重要问题。

4.应用层协议安全问题IPv6协议中的应用层协议有许多安全问题,例如DNS、HTTP、FTP等。

这些协议的安全问题会引发很多网络安全问题。

如果这些协议没有得到保护,攻击者就可以利用这些漏洞进行攻击,泄露敏感信息等。

二、IPv6的安全措施1.地址欺骗防护首先需要进行源地址验证,防止地址欺骗。

IPv6支持的SEcure Neighbor Discovery(SEND)协议,可以进行防止ARP欺骗、TCP/IP地址伪造等的攻击,从而保护源地址的真实性和一致性。

其次,可以利用IPsec协议的扩展安全选项(ESP)或认证头(AH)进行加密和认证,从而保证数据包的机密性和完整性。

2.路由器安全防护针对路由器安全问题,可以采取一些技术措施。

首先,路由器必须设置防盗密码,对RA数据包加密,并升级感染恶意软件的路由器。

基于IPv6的下一代网络技术与网络安全

基于IPv6的下一代网络技术与网络安全
I n f o r m a t i o n S e c u r i t y・信息 安 全 ・网络控制
基于 I P v 6的 下一代 网络技 术 与 网络 安 全
倪 红 彪
( 吉 林 警 察 学 院 吉 林 长 春
1 3 01 1 7 )
【 摘
要 】 随 着互联 网用 户的 不断 增加 和新 型应 用对 l P地址 的依 赖 , I P v 6 地 址取 代 I P v 4已成 为必然 ,而在 此 过程
r e f e r e n c e t o t h e r e l a t e d p e r s o n n e l wh o s t u d y i n I Pv 6 i n d u s t r y .
【 K e y w o r d s】 I P v 6 ; t r a n s i t i o n t e c h n o l o g y ; n e wo t r k s e c u r i y t
两 网如何 实 现 过渡 和 互通 , 成 为运 营商 、 数 据 中 心 和 内
容 提供 商关注 的焦 点 , 以 下 将 就 目前 现 存 且 常 用 的 I P v 4 向I P v 6过 渡 的 几 项 关 键 技 术 作 简 单 介 绍 。
据 包 叮以更 大 . 从 而 实现 更 可靠 、 更 快速 地 进 行数 据 的 传输 , 同 时通过 在数 据报 头 中添加 流标 记 和业务 级别 大
N e t w o r k T e c h n o l o g y a n d S e c u r i t y o f N e x t G e n e r a t i o n B a s e d o n I P v 6
NiHon g- bi ao

基于IPv6的互联网安全问题探析

基于IPv6的互联网安全问题探析

鉴别 首部 AH 是 为 I 据 报 提供 无 连 接完 P数
整 性与数 据 源认 证 , 并提供 保 护 以避 免重播 情况. 鉴别首 部是 I v P 6的 一 个 安 全 扩 展 报 头 ,P 6的 Iv
认 证 主要 由鉴 别 首部 AH 来 完成 . 别 首部 AH 鉴
通 过在所 有数 据报 头加 入 一个 密钥 , 用 户进 行 对
认证 使得 I P通信 的 数据 接 收 方 能够 确 认数 据 发
送方 的真 实身份 以及 数据在 传输 过程 中是否 遭到 改动 . 这样 基于 I v P 6的下一 代互 联 网在 网络 层 的 安全性 得 到 了大 大 的增 强. 网络安 全是 层 次性 问题 , 网络 层 的安 全 不 能 保证传 输层 及 以上 层 的 安全 , 文 就 怎样 进 一 步 本 完 善 网络安 全体 系 , 更好 地应 用新 的密码 技术 , 加
证 机 制 , 制 实 现 I sc 以实 现 网络 层 安 全 后 仍 可 能 存 在 的 安 全 问 题 进 行 了 分 析 和研 究 , 怎 样 建 立 全 方 位 可 强 Pe, 就 信 任 的计 算 机 网络 安 全 体 系 作 了初 步 探 讨 .
关 键 词 :P 6 互联 网安 全 问题 ;P e 安 全 机 制 Iv ; I sc 中 图分 类 号 : P 9 . 8 T 3 30 文献标识码 : A
的最 关键 问题 . 在设 计基 于 I v P 6的下 一代互 联 网 协议 时 , 加 了对 网络层安 全性 的要求 , 增 规定 所有 的 Iv P 6实 现 必 须 支 持 I S c Itr e rtc l P e (nen tP ooo
S c r y 。P e eui ) I sc提供 了两种 安 全 机 制 : 密 和认 t 加 证. 密是 通过 对 数 据进 行 编码 来 保 证 数 据 的机 加 密性 , 以防 数据 在传 输过程 中被他 人截 获而失 密.

基于IPv6的下一代网络安全问题的探讨

基于IPv6的下一代网络安全问题的探讨

基于IPv6的下一代网络安全问题的探讨
丁文飞;孙会楠;邢彦辰;马德仲
【期刊名称】《计算机安全》
【年(卷),期】2014(000)009
【摘要】作为新一代互联网技术,IPv6技术在解决IPv4存在不足的同时,也带来了新的安全隐患.因此,解决下一代互联网的网络安全问题迫在眉睫.主要从IPv6协议
优势出发,分析存在优势的同时也存在安全隐患.重点探讨实名制IPv6地址分配机制、报头安全漏洞保护方案及基于DSTM方案的过渡机制等三种安全策略.通过对安全策略的设计原理及其所能解决的安全隐患的分析,论证了这三种安全策略能够很好
地解决下一代互联网安全问题,为用户提供安全、诚信的网络社会.
【总页数】4页(P45-48)
【作者】丁文飞;孙会楠;邢彦辰;马德仲
【作者单位】哈尔滨华德学院,黑龙江哈尔滨150025;哈尔滨华德学院,黑龙江哈尔
滨150025;哈尔滨华德学院,黑龙江哈尔滨150025;哈尔滨理工大学,黑龙江哈尔滨150080
【正文语种】中文
【相关文献】
1.基于IPV6的下一代互联网安全问题探讨 [J], 宋婧
2.IPv6的诱惑:IPv6,抢夺下一代网络的话语权 [J], 黄松飞
3.基于IPv6协议的网络安全问题探讨 [J], 张贵军
4.基于IPv6的下一代网络技术与网络安全 [J], 倪红彪
5.基于IPv6的下一代网络技术与网络安全 [J], 陈勇
因版权原因,仅展示原文概要,查看原文内容请购买。

基于IPv6的网络安全研究

基于IPv6的网络安全研究
IPv6是下一代互联网协议,相比于IPv4,IPv6在地址数量、安全性和QoS方面都有了巨大的提升。

然而,在IPv6的推广和应用过程中,安全问题也越来越受到关注。

IPv6的安全问题主要包括以下几个方面:
1. 基础设施安全
IPv6网络的基础设施包括路由器、交换机、防火墙、域名解析器等。

在IPv6网络中,这些设备之间的通信使用的是IPv6协议,因此其安全性就显得尤为重要。

如果攻击者能够入侵这些设备,就能轻易地获取网络中其他设备的信息。

2. 地址管理安全
IPv6使用的是128位的地址,地址管理需要进行权限控制,防止恶意主机和攻击者伪造地址,和破坏地址分配机制。

此外,IPv6地址管理的设计也需要保证IP地址的唯一性和连续性,以便网络的正常运转。

3. 数据包过滤与拦截
IPv6网络中的数据包过滤和拦截需要考虑到IPv4网络中的情况,同时还需关注IPv6协议新增的细节。

4. 安全传输
1。

基于IPv6和SDN的未来互联网的研究

基于IPv6和SDN的未来互联网的研究未来互联网的研究随着人类社会的不断发展,互联网已经成为了人们日常生活中必不可少的一部分。

不过,互联网作为一项技术,也在不断的发展和创新之中。

未来互联网将会面临更多的挑战和机遇,其中基于IPv6和SDN的未来互联网成为了一个备受关注的研究方向。

一、IPv6的未来IPv6是下一代因特网协议,由于IPv4地址不够用,IPv6地址数量巨大,足以满足未来网络发展的需求。

IPv6协议的引入,将为未来互联网奠定基础。

1.地址数量IPv4地址瓶颈促使IPv6发展,IPv6地址数量极大,可以支持更多设备接入互联网。

2.流媒体技术流媒体技术的迅速发展对IPv6技术提出了更高的要求,IPv6协议将更好地支持多媒体传输。

3.网络安全IPv6的IPsec协议将加强数据加密与认证功能,提高网络安全性。

二、SDN的未来SDN(软件定义网络)是一种新型网络,它将网络控制层与数据转发层分离,具有更灵活、高效的网络控制功能。

1.开放式网络SDN网络更加开放,云计算、大数据技术与SDN的深度结合将会为互联网带来新的繁荣。

2.网络虚拟化SDN的网络虚拟化技术可以提供多租户隔离、网络资源动态化分配等功能,为云计算和虚拟化技术提供更好的支持。

3.服务链技术SDN的服务链技术可以实现不同的服务链路定制,满足不同用户的需求。

三、IPv6与SDN的结合IPv6和SDN都是未来互联网的重要组成部分,二者的结合将会产生非常强大的合力。

1.实现智能路由IPv6和SDN的结合可以实现智能路由功能,消除网络拥塞、优化流量控制,提高网络整体性能。

2.强化安全审计功能IPv6与SDN的结合可以强化网络安全审计功能,对网络攻击和威胁做出及时预警和应对措施。

3.提高资源利用效率IPv6与SDN的结合可以提高网络资源利用效率,充分发挥网络能力,推动设备智能化发展。

结语:未来互联网具有很高的创新性和发展潜力,IPv6和SDN的结合将会对未来互联网的发展产生重要的影响。

关于IPv6/下一代互联网探索及对今后的展望

关于IPv6/下一代互联网探索及对今后的展望摘要:本文简单地介绍了ipv6的特点、IPV4与IPV6之间的3种过度技术、IPv6的热门应用及对今后的展望等。

关键词:IPv6 技术应用前言在中国IPv6技术以及应用正受到越来越多的重视,抓住IPv6将带动我国信息产业的腾飞。

IPv6技术强大的应用前景,给我国互联网产业带来巨大的变化,有利于给消费者带来更优质实惠的网络服务,有利于运营商探索新的商业模式,有利于未来3G的发展和应用。

1 IPv6的特点1.1地址空间巨大:IPv6地址空间由IPv4的32位扩大到128位,2的128次方形成了一个巨大的地址空间。

采用IPV6地址后,未来的移动电话、冰箱等信息家电都可以拥有自己的IP地址。

1.2地址层次丰富分配合理:IPv6的管理机构将某一确定的TLA分配给某些骨干网的ISP,然后骨干网ISP再灵活地为各个中小ISP分配NLA,而用户从中小ISP获得IP地址。

1.3 实现IP层网络安全:IPv6要求强制实施因特网安全协议IPSec,并已将其标准化。

IPSec支持验证头协议、封装安全性载荷协议和密钥交换IKE协议,这3种协议将是未来Internet的安全标准。

1.4 无状态自动配置:IPv6通过邻居发现机制能为主机自动配置接口地址和缺省路由器信息,使得从互联网到最终用户之间的连接不经过用户干预就能够快速建立起来。

2 IPV4与IPV6之间的3种过度技术2.1 双栈技术双协议栈技术是使IPv6 节点与IPv4 节点互联的最直接方式,其应用对象是主机、路由器等通信节点。

支持双协议栈的IPv6 节点与IPv6 节点通信时使用IPv6 协议,与IPv4 节点通信时使用IPv4 协议栈。

支持双协议栈的结点接收到数据报时,拆开并检查,如果IPv4/IPv6 头中的第一个字段的版本是4,该报就由IPv4 栈来处理;若为6,则由IPv6 栈来处理。

双协议栈技术的优点是易于实现,互通性好,缺点是必须为每一个双栈节点分配一个合法的IPv4 地址,这就又将面临IPv4 地址资源紧张的问题;另外,每个双栈节点要同时运行IPv4 和IPv6两种协议,同时计算、维护与存储两套表项,对路由器等网络设备而言还需要对两种协议栈进行报文转换和封装,这又增加了每个节点的负担,对这些节点的性能产生更高的要求;还有,在采用双栈技术的网络中DNS 服务器必须要支持主机域名与IPv6 地址的映射。

基于IPv6的下一代网络技术与网络安全

关 键词 : I P v 6 ; 网络 技 术 ; 网络 安全
目前 , I P v 6已经成为必然 的发展趋势 ,并且各项的过滤技术也 2 . 4服务质量的保证 相对完善 。 然而 , I P v 6的网络安全 问题 , 一直是互联 网领域中非常关 现有的 I P v 4协议 已经远远无法适应于现代网络市场的需求 , 越 注的 内容 , 虽然其 本身又具备 一定 的安全性 能 , 但是 , I P V 6中还存 来越多的问题逐渐暴露 出来 , 使得服务质量无法得 到保 障。最为 明 在 一定的安全漏洞 ,如果 进行过滤过程 时 ,这些漏洞很 容易破坏 显的就是在无线链路 中的使用 , 不仅用时较长 , 还会频 繁发生错误 。 I P v 4网络系统的稳定性 。 因此 , 本文以基 于 I P V 6的以一代 网络技术 3 I P v 6 工 作 的 主 要 原理 与网络安全为重点 ,具体介绍了 I P v 6的核 心技 术以及相关 的安全 3 . 1 移动节点采用 I P v 6版的路 由器搜索确定它的转交地址 。 问题 , 总结出一些 自身 的看法与建议。 3 . 1 . 1 移动节点 连接 在它 的家乡链路 上时与任何 固定的主机 和 1 现 状 路 由器一样 工作 。 如今 , I P v 4地址 已经无 法在适应 于现代 网络市场 的需求 ,随着 3 . 1 . 2当移动节点连接在它 的外地链 路上时 ,采用 I P v 6定义 的 网络用户量的不断增加 , 向着 I P v 6地址 的过度是必然 的发 展趋 势。 地址 自动配置方法得 到外地链路上的转交地址。 由于移动 I P v 6没 其次 , I P v 6 不仅存 有大量的 I P地址资源 , 所包含 的数据包容量也非 有外地代理 ,因此移动 I P v 6 中唯一的一种转交地址是 配置转交地 常大 , 能够更好更 快的对数据进行传输 , 并且在这一传输过程中 , 还 址 , 移动节点用接受的路由器广播报文中的 M 位来决定采用 哪一 , 那 么移 动 节 点 采 用 被 动 地址 自动 配 置 , 否 会 对数据报头上添加标记和业务的级别 , 当设备接 入到 I P v 6之后 , 种 方 法 。如 果 M 位 为 0 可 以快速获得 相对 应的设置 , 为用户带来 了极大 的变化 , 充分保证 则移动节点采用 主动地址 自动配置 。 了移动性的效率 与质量 。此外 , 最 为重要 的是 , I P V 6可以利用 I P S e e 3 . 2如果 可以保证操作 时的安 全性 ,移动节点也将它 的转交 地 来确保 自身的安全性 , 对 网络层进行一定 的保护 , 然而 , 这种安全保 址通知它的通信节点 。移动 I P v 6采用布告过程将它 当前的转交地 障并不是绝 对的,新一代 的互联 网中仍 旧存在很多的安全威胁 , 这 址通 知给它 的家 乡代 理或其他 节点 。移动 I P v 6中的布告 和移 动 也需要相关的技 术人员进行不断 的探索分析 , 从 而研发 出更 加完 善 I P v 4 中 的注 册有 很大 的不 同 。在移 动 I P v 4 中 ,移 动节 点通 过 的网络技术。 U D P / I P包 中携带 的注册信息将它的转交地址告诉 家乡代理 ,而移 动 I P v 6中 的移 动节点用 目的地 址可选项将 转交地址通 知给其 他 2 I P v 4协议的缺点 现在 , 互联 网的正常运行都 是延续 了 I P v 4网络协议 而工作 的, 节点 。为移动 I P v 6布告所定义 的三条消息为绑定更新绑定应答和 但I P v 4协 议 中仍 旧存 在 了 很 多 的 不 足 和 问 题 , 尤其是 在移动方面 , 绑定请求 。这些消息都被 放在 目的地可选报 头中 , 这表明这些消息 存在 了一定的安全隐患 , 严 重影 响了网络环境秩序。 因此 , 本文具体 都 只被最终 目的节 点检查 。移动 I P v 6布告过程包括在移 动节点和 家 乡代理或通信节点间交换绑定更新和绑定应答 。 绑定应答很可能 归纳 了 I P V 4 在 支 持 移 动 性 方 面存 在 的缺 点 : 2 . 1 地 址 空 间 有 限 是在移动节点收到一个 绑定请求后 发出的。有 时 , 通信节点通过 向 I P v 4网络协议最大的问题就是地址 资源严重短缺 , 使用户不能 移动节点发送一个绑定请 求启 动布告过程 , 移动节点则通过发送绑 使用专 门的 I P地 址 , 通常都是使用 一个 公共网络的 I P地址来 进行 定更新启动布告过程。在这两种情况 中 , 移动节点都 向家乡代理或 信息属 于的传输过程 ,而这 一传 输过程 中就会产 生很多 的安全 漏 通信节点告知它当前的转交地址 。 移动节点可以通过绑定更新 中的 洞, 致使 黑客以及非法用户进入到 网络 系统 中 , 从而导致数 据被篡 应答位来要求接收者是否通过 向移动节点发送绑定应答来响应 。 绑 改, 甚至会发生数据丢失 的情况 , 造成人们严 重的经济损失 , 也大大 定应答首先通知移动节点绑定更新已收到 , 其次还告诉移动节点绑 影响 了通信的效率与质量。 定更新是否被接受 。 3 . 3移动 I P v 6 同时采用隧道和源路 由技术 向连接在外 地链 路 2 . 2 存在 “ 三角路由路径 ” 在 I P v 4 网络 中 , M N 移动到外 地 网络 时要使 用外地代理 的 上的移动节点传送数据包 : 3 . 3 . 1 知道移 动节点 的转 交地址 的通信 节点可 以利用 I P v 6选 I P 地址作 为 M N 的转交地址 。这样 , 当通信对端 向 M N 发送分 组 时 ,分 组按 I P v 4 的寻路机制首先到达 M N 的归属本地 网络。 路报头直接将数据包 发送给移动节点 ,这 些包不需要经过 家乡代 它们将经过从始发点到移动节点的一条优化路 由。 本 地代理 ( H A) 拦 截后用 隧道技术将分组 转发给 M N 的转 交地 理 , 址 ,外地代理解隧道封装后再将 分组转 发给 M N,而 M N 发给 3 . 3 . 2如果通信节点不知道移动节点的转交地址 , 那 么它就像其 这 时通信 C N 的分组 通过标准 的 I P寻路机 制直接转发给 C N,形成 了 C N 它任何固定节点发送数据包那样 向移动节点发送数据包 , 与 M N 通信中的“ 三角路 由路径” , 严重影响了分组转发 的效率 。 节点只是将移动节点的家乡地址放 入 目的 I P v 6地址域 中,并将它 自己的地址放在源 I P v 6地址域中。这样发送 的一个数据包将被送 2 . 3移 动 切换 和频 繁 域 内移 动 问 题 I P v 4 不能很 好解 决移动 结点 的越 区切换 和频 繁域 内移 动 问 往移动节 点的家乡链路 , 就像移动 I P v 4中那样 。在家 乡链路上 , 家 题。切换 问题是指 : 从 M N 离开原先 的外地网络开始 , 到H A接 收 乡代理截获这个数 据包 ,并将它通过 隧道 送往移动节 点的转交地 发 现内层数据包 的 目的地是它 的 到新 的注册请求 的这段时间内 , 由于 H A不知道 M N 新 的转交地 址。移动节点将送过来 的包拆封 , 址, H A仍 将属于 M N的 I P包通过隧 道发送到原来 的外地 网络 , 家乡地址 , 于是将 内层数据包交给高层协议处理 。 导致了这部分数据 的丢失。这种情况特别在 M N 频繁切换或 M N 4 I P v 6关键技术研究 与H A的距离很远 的时候特别 明显 。当 M N在小范 围内 , 如蜂窝 现阶段 , I P v 6网络协议的开发和应用都是基于 I P v 4基础上发展 基站间进行频繁移动时 , 会导致 网络 中产生大量 的注册报文 。特别 的, 而这两者协议无法共 同使 用 , 这也导致网络业务无 法真正保 障 是 当移动设备大量使用时 , 会严重影响网络的性能 。 连贯性 , 给 网络用户带来 了极 大的不便 。因此 , 如何才能实 现 I P v 6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于IPv6的下一代互联网安全问题初探栗培国清华大学计算机系北京(100084)E-mail(lipeiguo@)摘要随着互联网的大规模商用,安全问题变得日益突出。

IPv6 在解决目前互联网IP 地址不足而应运而生,它引入了加密和认证机制,并且强制实现IPsec。

IPv6实现了基于网络层的身份认证,确保了数据包的完整性和机密性,实现了网络层安全。

但是,这种安全并不是绝对的。

下一代互联网仍存在许多安全威胁,需要建立全方位可信任的计算机网络安全体系,保证下一代互联网的安全性。

关键字:IPv6 网络安全下一代互联网中图分类号: TP393.081 引言互联网刚出现时,主要用于教育科研网,在各大学的研究人员之间传送E-Mail,以及共同合作的职员间共享资源。

在这种使用环境下,网络协议的设计中很少关注网络的安全性,安全性未能引起足够的注意[1]。

但是现在,随着互联网的大规模商用化,大家每天利用互联网进行学习,使用网络来处理银行事务和网上购物。

互联网在国民经济中越来越重要的地位,网络安全问题变得日益突出。

这里所说的安全问题既涉及网络安全也涉及信息安全,网络安全是指运行安全与数据安全;信息安全是指对信息的机密性、完整性、可用性的保护。

安全威胁成为一个必须解决的问题,是发展下一代互联网应注意的最关键问题。

因此,早在90年代初期,互联网工程任务组IETF(Internet Engineering Task Force)就开始着手下一代互联网协议IPng(Internet Protocol the next generation)的制定工作,1994年IETF提出了IPng建议草案,1995年底IETF提出了正式的协议规范,该规范经过进一步修改,成为今天的IPv6 (Internet Protocol version 6)。

在设计基于IPv6的下一代互联网协议时,增加了对网络层安全性的要求,规定所有的IPv6实现必须支持IPSec(Internet Protocol Security)。

IPsec 提供了两种安全机制:加密和认证[2]。

加密是通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。

认证使得IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。

这样基于IPv6的下一代互联网在网络层的安全性得到了大大的增强。

2 IPv6的十大主要技术特点针对目前互联网协议IPv4的不足,IETF提出了下一代互联网协议IPv6。

因而其主要技术特点也是针对IPv4而言。

①. 扩展地址,地址空间增大,IP地址由32bit增加到128bit,地址结构更加层次化,地址空间增加到能支持3.4ⅹ1038 台主机;②. 简化头格式,IP包头格式简化,在IPv4中象校验和,IHL(Internet Header Length),鉴定标识,分段偏移等字段在新IP v6中不再保留。

IP v6仅包含7个字段,简化了数据报文头部,减少了路由表长度,同时减少了路由器处理报头的时间,降低了报文通过网络的延迟;③.支持扩展和选项的改进,对选项的更好支持,以前必需的字段现在只是选项,更加灵活便于分组处理;④.增加流标识,可以标记数据所属的流类型以便路由器进行相应的处理,提供特定的QoS(Quality of Service);⑤.源端分割,只在发送者分段,路由器不再执行分段功能,发送者应该检查所建立路径所需最小MTU (Maximum Transmission Unit);⑥.路由选择: IPv6 路由与物理接口而不是接口关联(绑定)。

IPv6 与 IPv4 的源地址选择功能不同。

允许重复路由以提高稳健性,但在路由查找时将忽略重复路由。

⑦.不需SUM区域检查(Header checksum):在路由器中检查SUM区域的协议数据包被移除,数据包在网络传输前已通过检查,另外高层协议如TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)也允许自我确认,大多数情况下移除SUM区域检查不会产生严重的问题。

⑧.最大传输单元MTU:IPv6 的MTU结构化下限为1280个字节。

也就是,IPv6将不会在低于此极限时对信息包分段。

要通过小于1280MTU的链路发送 IPv6,链路层必须明确地对IPv6信息包进行分段和合并。

⑨.可扩展协议:不像IPv4,IPv6不再定义未来所有可能协议,允许发送人添加数据包信息,这样使IPv6 比IPv4有更广泛的灵活性,以后可设计新需求。

⑩.安全性:身份验证和加密的功能,在IPV6中为支持认证,进行数据完整性及数据保密的扩展。

3 IP Sec安全机制IPSec的安全主要由IP的认证报头AH(Authentication Header,RFC2402中描述)、封装安全载荷ESP (Encapsulating Security Payload,RFC2406中描述)、安全连接SA(Security Associations, RFC2401中描述)和密钥管理协议IKMP(Internet Key Management Protocol, RFC2408中描述)四部分来实现。

它能够为IPv6提供可交互操作的和高质量的基于加密的安全服务,这种安全服务包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务[3]。

3.1 认证报头AH认证报头AH是为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况[4]。

认证报头是IPv6的一个安全扩展报头,IPv6的认证主要由认证报头AH来完成。

认证报头AH通过在所有数据包头加入一个密钥,对用户进行认证。

这种认证是IP数据包通过一定加密算法得出的编码结果,相当对IP数据包进行数字签名,只有密钥持有人才知道的“数字签名”来对用户进行认证。

同时这种签名还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。

认证报头AH可被独立使用,或与 IP 封装安全载荷ESP相结合使用,或通过使用隧道模式的嵌套方式。

在应用中它经常和无连接完整性服务结合使用,这为IP数据包提供完整性和数据来源验证,防止反重放攻击,避免IP欺骗攻击。

IPv6 通过认证报头AH使数据包的接收者可以验证数据是否真的是从它的源地址发出的,并提供密码验证或完整性测试。

为IP数据报头和上层协议提供足够多的无连接的完整性验证、数据源认证、选择性抗重播服务。

3.2 封装安全载荷ESP封装安全载荷ESP提供机密性、数据源验证、无连接的完整性、抗重播服务(一种部分序列完整性的形式)和有限信息流机密性[5]。

为了保证Internet传输的原始数据包的机密性,封装被保护的数据是必须的,将被保护的数据和相关控制信息加密并把被加密的编码数据放入封装安全载荷ESP的相应字段部分。

根据安全应用需求, 封装安全载荷ESP提供两种使用方式,即传输模式和隧道模式。

这两种模式分别可理解为用于加密传输层段或用来加密一个完整的IP数据包。

同认证报头AH一样,封装安全载ESP也可以单独应用,可以与IP认证报头AH相结合使用,或者采用嵌套形式。

由于到达的IP分组可能失序,ESP使用对称加密算法,每个分组必须携带所有要求的数据,以便允许接收方为解密建立加密同步,这个数据可能明确地装载在有效载荷字段[5]。

总之,封装安全载ESP规定了使用一种可选的加密算法来提供机密性,并规定了一种可选的认证算法来提供认证和完整性,ESP试图提供信息的机密性和完整性服务。

3.3 安全关联SA安全关联SA是一种简单的逻辑连接,为了安全的目的而生成的。

一个安全关联SA上的所有传输提供相同的安全处理。

在IPSec中,安全关联SA是一个抽象的中间层,由使用认证报头AH或者封装安全载荷ESP 来实现,安全关联SA包含验证或者加密的密钥和算法[3]。

它是一个单向“连接”,它为通过它的传输提供安全服务,为保护两个主机或者两个安全网关之间的双向通信需要建立两个安全关联。

一个安全关联SA需要通三个参数进行识别,它由安全参数索引SPI(Security Parameters Index,AH/ESP报头的一个字段)、目的IP地址和安全协议(AH或者ESP)三者的组合唯一标识。

如果要在同一个通信流中使用认证报头AH和封装安全载荷ESP两个安全协议,那么需要创建两个(或者更多)的安全关联SA来保护该通信流。

3.4 密钥管理协议IKMP在IPSec中,密钥管理协议IKMP主要用于建立和维护安全关联SA,为多重的安全协议和应用程序建立安全关联SA,作为所有另外的安全协议互操作的和普通的框架。

密钥管理协议IKMP对联系的协议提供保护攻击,该保护提供安全关联SA和建立的密钥,保证与需要的部分一起的而不与一个攻击者一起[6]。

集中化管理安全关联SA,减少了在每个安全协议中重复功能的数量,减少连接时间,提高通讯效率。

密钥管理协议IKMP定义交换密钥生产的有效载荷和认证数据,支持不同安全协议的加密算法。

提供认证机制和密钥生成算法,提供多重的密钥的交换技术、加密算法、认证机制和安全服务。

IPSec的四部分是一个有机的整体,前两者是两种主要为认证和加密标记,而后两者为前两者更好发挥作 用服务。

通过对IPsec所提供的新的安全机制的介绍,我们可以看出,IPv6提供了身份认证和加密功能,可以保证数据包的完整性和机密性,所以在安全方面,IPv6有了很大的提高。

4 安全问题从IPv6 主要技术特点和IPsec安全机制来看,基于IPv6的下一代互联网的有了长足的进步,可以说是在网络层安全机制是相当完善的。

但是,这并不能说IPv6 已经可以确保网络系统的安全了。

这里面有很多原因,最重要的是,安全问题包含着各个层次,各个方面的问题,不是仅仅由一个安全的网络层就可以解决得了的。

如果黑客从网络层以上的应用层发动进攻,比如利用系统缓冲区溢出或木马的方法,纵使再安全的网络层也与事无补。

即使仅仅从网络层来看,IPv6 也不是十全十美的。

它毕竟同IPv4 有着极深的渊源。

并且,在IPv6 中还保留着很多原来IPv4 中的选项,如分片,TTL(Time To Live)。

而这些选项曾经被黑客用来攻击IPv4 协议或者逃避检测,很难说IPv6 能够逃避得了类似的攻击。

IPv6的倡导者将着重点放在了保护数据安全之上,将网络安全问题交付给终端用户[7]。

因此,IPv6并没有解决所有网络安全问题,各种网络威胁仍然存在,如最普及的网络攻击病毒和蠕虫攻击、这种看起来简单的的网络攻击行为,在IPv6的网络中仍将存在。