基于IPv6下一代互联网安全问题初探.pdfVIP

基于 IPv6 的下一代互联网安全问题初探 栗培国 清华大学计算机系 北京(100084) E-mail(lipeiguo@ ） 摘要 随着互联网的大规模商用,安全问题变得日益突出。IPv6 在解决目前互联网IP 地址不足而应运而生， 它引入了加密和认证机制，并且强制实现IPsec。IPv6实现了基于网络层的身份认证，确保了数据包的完整性 和机密性，实现了网络层安全。但是，这种安全并不是绝对的。下一代互联网仍存在许多安全威胁，需要建 立全方位可信任的计算机网络安全体系，保证下一代互联网的安全性。 关键字：IPv6 网络安全 下一代互联网 中图分类号:TP393.08 1 引言 互联网刚出现时,主要用于教育科研网，在各大学的研究人员之间传送E-Mail，以及共同合作的职员间共 [1] 享资源。在这种使用环境下，网络协议的设计中很少关注网络的安全性，安全性未能引起足够的注意 。但是 现在，随着互联网的大规模商用化，大家每天利用互联网进行学习,使用网络来处理银行事务和网上购物。互 联网在国民经济中 来越重要的地位，网络安全问题变得日益突出。这里所说的安全问题既涉及网络安全也 涉及信息安全，网络安全是指运行安全与数据安全；信息安全是指对信息的机密性、完整性、可用性的保护。 安全威胁成为一个必须解决的问题，是发展下一代互联网应注意的最关键问题。因此，早在90年代初期，互 联网工程任务组IETF （Internet Engineering Task Force）就开始着手下一代互联网协议IPng （Internet Protocol the next generation）的制定工作,1994年IETF提出了IPng建议草案,1995年底IETF提出了正式的 协议规范,该规范经过进一步修改,成为今天的IPv6 (Internet Protocol version 6)。在设计基于IPv6的下 一代互联网协议时，增加了对网络层安全性的要求，规定所有的IPv6实现必须支持IPSec(Internet Protocol [2] Security)。IPsec 提供了两种安全机制：加密和认 。加密是通过对数据进行编码来保 数据的机密性， 以防数据在传输过程中被他人截获而失密。认 使得IP 通信的数据接收方能够确认数据发送方的真实身份以 及数据在传输过程中是否遭到改动。这样基于IPv6的下一代互联网在网络层的安全性得到了大大的增强。 2 IPv6的十大主要技术特点 针对目前互联网协议 IPv4 的不足，IETF 提出了下一代互联网协议 IPv6。因而其主要技术特点也是针对 1 IPv4 而言。 ①. 扩展地址，地址空间增大，IP 地址由32bit 增加到128bit，地址结构更加层次化，地址空间增加到 38 能支持3.4 ⅹ10 台主机； ②. 简化头格式，IP包头格式简化，在IPv4中象校验和，IHL(Internet Header Length)，鉴定标识，分 段偏移等字段在新IP v6中不再保留。IP v6仅包含7个字段,简化了数据报文头部，减少了路由表长度，同时 减少了路由器处理报头的时间，降低了报文通过网络的延迟； ③.支持扩展和选项的改进，对选项的更好支持，以前必需的字段现在只是选项，更加灵活便于分组处理； ④.增加流标识，可以标记数据所属的流类型以便路由器进行 应的处理，提供特定的 QoS(Quality of Service)； ⑤.源端分割，只在发送者分段，路由