关于IPv6安全性地研究.pdfVIP

关于IPv6安全性的研究 张宜春王晖(北京广播学院) 擅妻：IPv6作为下一代的IP协议，它的提出解决了]Pv4协议在当前罔络中存在的某鉴安全问墨，使嗣络层的安全得到一定 保障。本文主要就IPv6矫设的安全性进行了研究．对IPv6的基本安全体系和工作原理进行了分析，并对其中存在的 不足进行了分析． 美量词：IPv6安全性认证头标封装加密数据包安全关联 1 引言 址的数量明显不够分配，另外路由器中路由表的急剧膨胀也越来越严重地威胁着网络的正常运行，而且 Internet又是一个开放的信道，如果不对通信协议的安全性作出相应的规定，则攻击所导致的潜在危害将具 有空前的破坏性。 验进行了大幅度的功能扩充，使得IPv6在寻址、路由、QoS等方面的性能有了大幅度的提高，同时在安全 性方面，IPv6引入了身份认证和保密通信机制，很大程度上提高了TPv4的安全性能。 2为IP增加安全性的原因 IP从刚开始进行研究时，其主要目的是方便研究人员互相传递信息，只是一个简单的网络互联协议，因 而其中并没有包含完备的安全机制，存在着明显的缺陷。 对于安全性，可以定义如下三个公认的目标： 身份验证：目B够可靠地确定接收到的数据和发送的数据一致，并且能确保发送该数据的实体和其所宣 称的身份相一致。 完整性：能够可靠地确定数据在从源端到目的端传送的过程中没有被修改。 机密性：确保数据只能为预期的接收者使用或读出，而不能为其他实体使用或者读出。 但认证机制的基础又是不安全的IP地址或域名，所以认证机制是很容易被攻破的。 黑客们常采用的一种攻击网络的方法就是“IP欺骗”，“IP欺骗”是通过网络中一个“信任主机／路由 器”以获得一些被保护的信息资源。“IP欺骗策略”利用TPv4协议中的“源路由”特性。网络攻击者可模 仿源路由中某些站由器或者节点的组合，这样就可突破基于IP地址和域名的认证技术，即采用“IP欺骗” 技术改变了路由分组在网络中的传输路径，用某个合法的身份突破了路由器对访问者身份的鉴别。 尽管可以在应用层对数据进行加解密来确保数据的完整性和机密性，但是由于在网络层上TPv4并不 支持对数据报的加密封装，所以并不太适合企业用户传递数据．这主要是因为在开放的网络中，数据包可 能经过了任意数量的未知网络，在每一个网络中都可能存在象sniffer之类的包嗅探器在工作，网络完全没 -92· 有办法察觉到诸如侦听之类的对IP业务的攻击，致使从一个实体发往另一个实体的数据被未经授权的第三 个实体所窃取，因此无法保证其机密性。另外由于IP头是不加密的，所以里面可能包含的实际目的端和源 端的相关信息，网络中的攻击者可以通过例如源地址和目的地址等信息确定进一步攻击。或者就直接所了 解的被攻击主机的IP地址来进行“flood”攻击，导致主机的瘫痪。 综上可得，现在的TPv4协议在网络安全性上存在着明显的缺陷，需要采取必要措施来进行改进．保证 网络的安全性和稳定性。 3 TPv6的安全机制 针对目前使用的TCP／IP结构的所存在的问题，IETF(Internet EngineeringTask AH(Authentication 安全机制作了大量的工作，其主要安全机制可以分为两种：一种是IP 的头部认证，一种是IP ESP(Encapsulati“gSecurityPayload)对数据包进行加密确保信息的机密性。 3．1 TPv6的头部认证 地址，全字长40个字节。“下一个头”域用于指示下一个扩展头标的类型，TPv6的基本头标如图1： 0 4 8 16 24 32 蠢地址 (16字节) 目的地址