IPV6安全性研究.docVIP

IPV6安全性研究 　　摘 要：随着网络技术的飞速发展，IPv4地址资源的枯竭，其固有的局限性无法满足网络发展的需求，由IPv4向IPv6的升级过渡成为互联网发展必然趋势。在安全性方面，由于我国大部分企业和学校在IPv4环境下都是通过NAT技术接入互联网，安全性难以得到保障，IPv6协议在网络安全问题上得到改进。IP安全协议（IPSec）对主机上的数据包进行封装，保证了端到端的安全。本文深入分析了IPv6的安全机制，探讨了IPSec、IPV6加密机制、IPV6密钥管理机制等方面的安全问题。 　　关键词：IPv4；IPV6；IPv6安全策略；安全性 　　中图分类号：TP393.08 　　1 IPv6的产生 　　目前，以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性，成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在，1994年7月，IETF决定以SIPP作为IPng的基础，同时把地址数由64位增加到128位。新的IP协议称为IPv6。IPv6继承了IPv4的优点，摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。 　　2 IPv6的技术改进 　　IPv6协议对IPv4协议进行多方面的改进，下面从地址空间、高性能、安全性、业务性支持、配置和维护等角度分析IPV6的改进和增强：（1）在地址分配上支持长度为128位的单地址的网络寻址架构，该协议定义了全局聚合单播地址、本地链路地址多播、选播地址V6-V4兼容地址和测试地址等一系列地址类型。（2）提高了传输控制及路由交换的性能。IPv6通过对报头简化以及定义了扩展选项，对约束报文和分片控制进行管理，采用了可聚合的层级化寻址方式和路由方式，提高了更加适合交换式的高速网络环境。（3）IPv6协议提供了对IPSec4强制要求的规定，既要包括支持多种密钥加密方式的密钥交换――管理协议框架IKE。从而实现鉴别首部机制AH和安全负载封装机制ESP。（4）IPv6协议定义了移动IP场合的主机注册、代理转接和优化路由机制。任一IPv6的移动主机在漫游的同时均能保持其原有的IPv6地址。从而实现与接入方式无关的端对端无缝通信。（5）IPv6协议提供了流标签机制。服务优先级和路由策略等多种服务质量保障能力，实现了对分层编码，资源预留等实时网络控制的支持，具备综合集成的差异化数据服务提供能力。（6）IPv6协议采用基于IP的邻居发现协议替代链路层的ARP协议和部分ICMP功能，并提供了网络自动配置功能，从而增强网络维护管理机制的健壮性，提高网络配置管理的高效性。 　　3 IP安全协议（IP Sec） 　　IPSec主要由AH（Authentication Header，认证协议）、ESP（封装安全载荷，Encapsulating Security Payload）和IKE（Internet Key Exchange Secure Protocol，Internet密钥交换协议）等三个主要协议组成，提供了安全认证、保证数据完整性和机密性等保护形式，这三个安全协议将成为未来Internet安全标准。 　　IPSec为IPv6提供了网络安全保障，但IPSec目前还不完善，存在一些问题，主要表现在：（1）IP Sec作为网络层协议不能处理高层应用的安全性问题；（2）在部署和实施IP Sec协议时，需要路由系统和网络边界等外部环境的参与，限制了通用性；（3）IP Sec的API应用开发接口还不是标准化的，对其开发的应用较少；（4）IP Sec的IKE、拒绝服务攻击、防止流量分析等方面不完善。所以，IPSec协议还要其设备如防火墙、VPN、网络过滤、漏洞扫描等网络安全设备以及高层安全协议共同协调工作。 　　4 SA（Security Associations，安全联盟） 　　SA是IPSec协议的重要部分，用于在使用AH协议和ESP协议时提供保证，是这两个协议必须使用的，IPSec规定AH协议和ESP协议的实现必须支持SA。Internet密钥交换协议的主要功能之一就是对SA进行建立和维护。SA（安全联盟）能够采用单工的连接方式对在其上传输的数据信号提供安全服务。在信息传输的两个主机之间，或者两个安全网关之间，其认证通信时采用两个SA，分别用于通信的发送方和通信的接收方。根据所选的安全协议SA不同，提供不同的安全服务。比如可以选择AH或ESP等。 　　5 IPv6的加密机制 　　在IPv6中，IPSec协议在ESP字段中放入加密数据，实现了IP数据包在传输过程中的加密，保证