IPv6网络下信息安全技术初探.docVIP

IPv6网络下信息安全技术初探 　　摘要：文章首先介绍了IPv6技术的优势及信息安全技术在网络应用中的重要性，然后介绍了当前信息安全技术的常用技术，最后针对IPv6的信息安全技术进行了分析。 　　关键词：IPv6 信息安全 IPSec 体系结构 　　 　　引言 　　计算机技术和通信技术的发展与融合，使Internet的应用和规模飞速发展。随着IPv4技术的日趋完善、成熟，互联网应用在世界各国各个领域蓬勃发展。但与此同时，IP地址资源紧缺、路由表庞大、QoS和移动缺陷等一系列问题也暴露出来，亟需一个更合理、更先进的互联网技术来解决IPv4网络的先天不足，满足人们日益增长的互联网络应用需求。 　　IPv6所提供的巨大的地址空间以及所具有的诸多优势和功能，使其成为构筑下一代网络的重要基础。IPv6网络技术最终取代IPv4网络技术，成为新的互联网技术准则，是新技术发展的必然结果。顺应世界互联网网络技术的发展趋势，及时开展基于IPv6网络的相关应用的研究和实验，是具有前瞻性和实用性的一项工作。 　　网络应用中信息安全问题一直是不可忽视的首要问题，是网络是否能得到广泛应用的前提。如果信息的保密与隐私的保护不能得到满足，电子商务、电子政务、私人信息传输等个人应用就难以得到广泛运用。 　　 　　1、网络信息安全技术 　　随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术[1]。 　　密码理论与技术方面主要包括两部分，即基于数学的密码理论与技术和非数学的密码理论与技术。目前最为人们所关注的实用密码技术是PKI技术。国外的PKI应用已经开始，PKI技术将成为所有应用的计算基础结构的核心部件．包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。目前国际上对非数学的密码理论与技术非常关注，讨论也非常活跃。密码技术特别是加密技术是信息安全技术中的核心技术，国家关键基础设施中不可能引进或采用别人的加密技术，只能自主开发[2]。 　　在安全体系结构方面，美国国家安全局和国家技术标准研究所、加、英、法、德、荷共同提出“信息技术安全评价通用准则”(CC for ITSEC)。CC综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求，但它仍然缺少综合解决信息的多种安全属性的理论模型依据。CC标准于1999年7月通过国际标准化组织认可，确立为国际标准，编号为ISO/IEC 15408。ISO/IEC 15408标准对安全的内容和级别给予了更完整的规范，为用户对安全需求的选取提供了充分的灵活性。 　　信息对抗使得信息安全技术有了更大的用场，极大地刺激了信息安全的研究与发展。信息对抗的能力不仅体现了一个国家的综合实力，而且体现了一个国家信息安全实际应用的水平[3]。 　　在上述所有主要的发展方向上，都包含了密码技术的应用，并且是非常基础性的应用。很多的安全功能和机制的实现都是建立在密码技术的基础之上，甚至可以说没有密码技术就没有安全可言。但是，我们也应该看到密码技术与通信技术、计算机技术以及芯片技术的融合正日益紧密。而这种融合的最终目的还是在于为用户提供高可信任的、安全的计算机和网络信息系统[1]。 　　 　　2、信息安全技术在IPv6网络中的应用 　　IPv6的安全体系是吸收了IPv4的安全经验和教训，根据网络发展的实际需要而逐步改进发展起来的，在网络层上增强了安全性操作，在RFC4301、RFC4302和RFC4303中改进了IPv6的安全体系结构(在RFC2401、RFC2402和RFC2406中进行了初始定义)。 　　IP的安全体系主要用于IP数据报的认证和加密，其目的是为了保证IP层数据信息的完整性、机密性、可控性和可用性。它的安全机制是按模块化设计进行的，如下图所示。 　　 　　从图中可看到安全协议ESP(Encapsulating Security Payload)和AH(Authentication Header)与密码算法相分离,是按照安全关联的理论进行设计的；这样，IPv6的安全性并不依赖于某一特定的认证算法或加密算法、便于将来可用一种功能更强的安全算法替代旧的算法，便于安全算法的扩展．但是这种安全机制也存在一些安全方面的局限性，如缺乏对业务特性的分析服务和无法支持拒绝服务等[4]。 　　此外，近几年IPv6在信息安全方面也进行了许多技术上的改进与应用。 　　IKE协议是IPSec的一部分，它主要用于使IPSec认证自动化、协商IPSec安全结构和制定IP