下一代网络过渡中安全问题研究.docVIP

下一代网络过渡中安全问题的研究 　　①基金项目：齐齐哈尔大学青年教师科研启动支持计划项目: 200801 　　作者简介：张光妲，女，副教授，硕士；主要研究方向：计算机网络、通信与信息系统 　　 摘 要: 本文阐述了IPv4和IPv6的主要的过渡技术，对IPv6取代IPv4期间网络可能存在的各种安全问题进行了具体的研究和分析，特别是重点地研究了过渡所用主要技术与网络中所采用的安全技术存在的不匹配问题。 　　关键字: IPv4 IPv6 过渡技术 　　中图分类号：TP393文献标识码： A 文章编号：1672-3791（2011）12（b）-0000-00 　　 　　1前言 　　 随着计算机网络的飞速发展，以IPv4技术为基础的网络在发展中遇到诸多问题和技术瓶颈,尤其IPv4地址匮乏问题。解决IP地址不足的根本途径是用IPv6 取代IPv4，但目前的网络结构和网络设备大多是基于IPv4技术的，IPv6的推广应用牵涉到这些网络结构和网络软、硬件设备的更换，只能逐步用IPv6替换IPv4网络。在IPv6逐渐替换IPv4的过渡过程中，随着过渡技术的应用及网络结构变得越来越复杂，在网络安全方面产生了越来越多的不容忽视的问题[1]。 　　2网络过渡技术 　　 网络过渡技术一般包括: 双协议栈技术、隧道技术和翻译技术。 　　 （1）双协议栈技术 　　 双协议栈技术就是在主机上同时配备IPv4和IPv6。该技术实现了IPv6 和IPv4 两种协议的完全匹配，但由于主机仍然需要一个IPv4 地址，所以它一般只能作为实现翻译技术、隧道技术等其他主要过渡技术的工具。 　　 （2）隧道技术 　　 隧道技术就是通过建立一条虚拟的隧道来连接通信双方。这种技术主要应用于连接彼此分隔的IPv6子网络，通过在IPv4 网络中建立一条通信信道达到IPv6子网络互相之间的连接。处于隧道两头的IPv6子网络中的主机进行通信时，是感觉不到隧道的存在的，隧道是由处于隧道端点的网关来管理的。 　　 （3）翻译技术 　　 翻译技术包括无状态因特网控制报文协议-因特网网际协议翻译和网络层协议-地址翻译技术。实施无状态因特网控制报文协议-因特网网际协议翻译技术的环境是要有一个具备双协议栈且安装了无状态因特网控制报文协议-因特网网际协议翻译技术转换器的翻译网关。网络层协议-地址翻译技术是目前最著名的地址翻译机制，是无状态因特网控制报文协议-因特网网际协议翻译技术和NAT动态地址翻译技术的结合与改进。NAT-PT处于IPv4网络和IPv6网络的交界处，用来实现IPv4主机与IPv6主机之间的通信。在NAT-PT中，使用应用层网关ALG转换分组中的IP地址格式。 　　3 过渡技术中的安全问题 　　3.1双栈技术的安全问题 　　 双协议栈技术的采用，会在一台主机上同时运行两种版本的网络层协议。这两种网络层协议在技术上存在不相关性，他们之间的协调配合的不完善往往会造成一些安全方面的缺陷，其中任何一种网络层协议存在的安全问题都会影响到另一种网络层协议的安全运行。 　　3.2隧道技术的安全问题 　　 网络隧道技术的采用，使网络结构变得更加复杂。对于一个本来安装设置了各种安全设备和技术的网络，当网络中加入了隧道技术后，这些安全设备和技术所形成的安全功能就有可能受到隧道的破坏而丧失原有的功能。 　　3.3地址翻译技术的安全问题 　　 网络层安全协议是为保护在网络上正常传送的数据的安全而设计的协议。它的目的就是要尽量保护在网络上正常传送的数据的安全。因此他对在网络上正常传送的数据进行了最大程度的保密和防止更改等[2]。而网络层协议-地址翻译技术为了实现不同网络中采用不同网络层协议的主机能实现相互之间的通信，需要对网络中传送的数据报进行协议和IP地址的变换，这种变换涉及到数据报内部一系列相关字段的值的更改，由于网络层安全协议对数据的保护，往往使这种变换无法正常完成，带来网络安全协议技术与网络层协议-地址翻译技术不匹配的问题[3]。 　　 （1）修改后的数据报的内容会和用修改前数据报内容运算得出的数据报摘要发生不一致。 　　 （2）修改了IP地址后的数据报如果不同时对数据报网络运输层报头里的检验和重新进行计算更改，就会发生检验和错误。 　　 （3）接收端从数据报中提取的选择符信息就发生了变化，接收端无法在安全策略数据库中找到数据报的安全处理的策略，就会丢弃这个数据报。 　　 （4）使双方的协商无法进行。 　　 （5）改变了端口号，给联系带来了麻烦。 　　4封装安全加载的改进方案 　　 通过对网络安全协议与网络层协议-地址翻译技术的不匹配问题的研究，本文提出一种称作封装安全加载的改进方案的改进策略。 　　 (1)发送方网络安全协议对数据报的处