IPv6环境下信网络安全策略研究.docVIP

IPv6环境下电信网络安全策略研究 　　摘 要：1995年12月，IETF提出的RFC2460标准协议，标志IPv6的产生。到20世纪末，IPv6协议得到了进一步的更新和完善，一个完整的协议体系基本上形成。IPv6的产生，是对IPv4协议的升级和优化，可以说是下一代网络体系的核心。IPv6的出现，可以解决IPv4地址面临枯竭的致命缺陷，并且在地址分类、报文格式、可靠性、服务质量、移动性、寻径效率、ICMP等诸多方面进行了协议优化和更新，使之更加适应下一代网络运行的发展需要。论文通过对IPv4协议的缺陷进行分析，进而归纳出其引发的一系列安全问题，在此基础上论述了在网络安全领域IPv6较IPv4协议的优势，以及IPv6协议引入后可能带来的新的安全问题，在此基础之上提出电信网络应对IPv6的安全体系策略构建。 中国论文网 /1/viewhtm　　关键词：IPv6；网络安全；IP协议；构建策略；计算机网络 　　1 引言 　　随着信息化网络的不断发展和互联网用户数量的不断增加，IP互联网的脆弱性也慢慢的暴露在大家面前，如互联网IP资源受限，网络质量得不到保障，越来越多的安全隐患出现等。已经沿用至今的网络层协议IPv4会逐渐被IPv6协议所取代，成为下一代互联网发展的趋势之一。下一代互联网将带来更快的用户体验、更多的Web应用、更大的扩展规模，但安全隐患也会越来越多。因此，研究怎么样去分析和处理下一代互联网的安全隐患，就显得尤为必要。 　　2 解析IPv4协议之不足 　　众所周知，目前世界上在使用的IPv4地址资源数量已经严重不足，除了使用像DHCP等各种技术来缓解IPv4地址短缺问题以外，在大多数情况下，我们都是基于私有IP地址与网络地址转换技术相结合的方式来解决地址不足的网络设计弊端。譬如通过ADSL技术等各种拨号上网方式、众多企业网络与校园网用户基本都是使用私有IPv4地址范围，接入互联网主要是通过网络地址转换技术来实现。这种实现方式很难保证网络传输效率和协议应用安全性。 　　2.1 基于联网信任可靠的问题 　　网络互连可信度不高主要由于其应用优先的设计思路造成的，互联网设计者的本意是为了实现方便快捷的连通。初始的TCP/IP协议族缺少对发起请求的IP地址的验证，而采用NAT/MAP地址映射隐藏提供可复用的IP地址。相关文献指出，目前互联网中垃圾?]件和病毒邮件的泛滥，根源在于数亿网民没有属于自己的公网IP地址资源。IP地址欺骗、身份伪造、钓鱼攻击、拒绝服务攻击、IP包头篡改、反射攻击，正是多种多样的匿名方式使得攻击者能够不暴露自己的真实地址躲避对起行为的追查。 　　2.2 C2C连接特性 　　由于使用地址转换技术导致网络穿透性差，对一些应用程序在应用层协议中包涵上层协议信息，以及部分需要在后端进行认证、加密的程序都无法有效支持。导致IP协议C2C的连接特性被破坏，使得在C2C层面特定应用无法加载，成为快速连接的障碍。 　　2.3 网络传输加密 　　IPSEC作为传统互联网的加密方法，在IPv4协议中IPSec协议没有硬性规定使用。而且就算使用了IPSec通讯，一般情况下也是通过网关对网关的方式在边界部署。采用NAT与IPSec会出现不匹配，很可能在NAT环境下无法启用，同时也不支持VPN的扩展，这些问题导致网络加密传输没有得到广泛的应用。 　　3 解析IPv6协议的改进 　　3.1 简析IPSec安全协议 　　与IPv4协议有明显差异，IPSec协议已经是IPv6协议中的必选安全协议而不是扩展可选协议。IPSec协议可以为IP提供“加密传输特性”，这些特性包括身份源验证、访问控制、机密性保证机制、数据完整性检查，以及防止重放攻击等。为了提高路由协议的抗攻击的能力，已经有部分新的路由协议采用IPSec来对路由表信息进行加密和认证，如OSPFv3 和 RIPng。 　　IPSec协议簇主要包括几个方面。AH：认证报头；ESP：封装化安全载荷；IKE：Internet密钥交换，以及强制转码类型等相关组件。AH用于保证数据的一致性。它要校验源地址和目的地址这些标明发送/接收设备的字段是否在路由过程中被改变。如果未通过校验，数据包就会被抛弃。通过这种方式，AH为数据的完整性和原始性提供了鉴定依据。ESP用于保证数据的机密性和数据的一致性。ESP报头提供集成功能和IP数据的可靠性。集成保证数据不被恶意破坏，可靠性保证使用密码技术的安全。IKE采用密钥交换协议自动实现通信双方安全参数的可靠协商与获取，进而能够最大程度地保证网络层的通信安全。 　　3.2 保障C2C的安全通讯 　　IPv6最大的优势在于保障C2C的安全，采取端到端安全和移动性安全，可以满足互联网用户的安全需求。与IPv4不同点，NAT技术在IPv6中不能应用