基于IPv6网络安全问题分析.docVIP

基于IPv6网络安全问题分析 　　摘要:在全球金融危机的背景下,中国政府把下一代互联网纳入了国家电子信息产业振兴规划。作为下一代网络的核心协议,IPv6从一定程度上解决了IPv4网络存在的很多问题。在安全性方面,IPv6做了一些改进,但也未能解决所有的安全问题。本文先分析了IPv6协议的安全机制,对IPv6网络所面临安全威胁进行全面地剖析和研究,并给出在网络部署过程中的一些建议。 　　关键词:IPv6;下一代网络;安全 　　中图分类号:TP393 文献标识码:A 文章编号:1000-8136(2009)27-0177-03 　　 　　1引言 　　 　　IPv4是一个非常成功的协议,互联网辉煌的发展史已经反复证明了这一点。但随着Internet规模爆炸式地扩张和新应用的不断推出,IPv4由于自身的局限性,已经无法再支撑计算机互联网的进一步发展。其具体表现为:IP地址空间有限,且分配严重不均衡;对安全考虑不足;QoS(服务质量)效率不高;配置不够简单;不能有效支持移动性等。 　　1994年,在IETF批准的RFC1752中公布了IPv6规范,并明确了以IPv6作为下一代网络协议IPng(IP-the next generation)的基础。IPv6采用128位地址,其提供的地址数量达2128个,有一个很恰当的比喻可以帮助我们理解这个枯燥的数字:IPv6巨大的地址空间可以为地球上的每一粒沙子分配一个IP地址。但IPv6并不是仅仅以扩大地址空间为最终目标,它对IPv4编址方案也做了一些修正,以支撑下一代网络。其改进的措施包括:全新的报文结构;巨大的地址空间;全新的配置方式;更好的QoS支持;内置的安全性;全新的邻居发现协议;良好的拓展性;内置的移动性等。 　　IPv6取代IPv4是历史的必然。从1996年IETF发起成立6BONE(IPv6试验床)至今,IPv6作为可控、可信、可扩展的下一代协议,已经逐步加快了商业化的步伐。1998年6月,我国CERNET加入6BONE,并且在2003年启动了下一代互联网示范工程(CNGI)的建设。目前已建成世界上最大的IPv6骨干网络,并实施了一系列的IPv6应用。在全球金融危机的背景下,中国政府进一步加大了对IPv6应用以及推进下一代互联网的力度,已经把下一代互联网纳入了国家电子信息产业振兴规划,并且正在进一步制定行动计划。2009年6月1日,在全球范围内开始为网站和ISP提供IPv6服务认证,拉开了IPv6商业化的序幕。 　　安全性作为重大的技术挑战之一,在IPv4已寸步难行,IPv6是为解决现在互联网技术挑战而搭建的一个新平台,互联网要获得继续发展的支撑,必须在新平台上进行关键技术的突破。 　　 　　2IPv6的安全机制 　　 　　IPv6协议自身支持IPSec,为网络安全性提供了基于标准的解决方案。 　　IPSec为IP及上层协议提供了数据完整性、数据源身份认证、抗重放攻击、数据内容的机密性等安全服务,其作为网络安全标准在IPv6下强制实现。它定义了一个系统来提供安全协议选择、安全算法、确定服务所使用的密钥等服务,从而在IP层提供安全保障。IPSec主要由认证头AH(Authentication Header)协议、封装安全负载ESP(Encapsulating Security Payload)协议、密钥管理协议IKE(Internet Key Exchange)三部分组成。AH能提供数据源的认证、完整性、及抗重放服务。ESP除能提供AH的功能外还提供数据保密性。 　　2.1IPSec的体系结构 　　图1描述了IPSec的体系结构,该结构体现了各组件之间的交互。 　　图1IPSec结构 　　(1)封装安全负载(ESP)――通过加密IP数据包提供机密性和身份验证。IP数据包加密隐藏数据及源主机和目的主机的身份。ESP可验证内部IP数据包和ESP报头的身份,从而提供数据来源验证和数据完整性检查。尽管加密和身份验证在 ESP中都是可选功能,但必须至少选择其中一个。 　　(2)验证报头(AH)――不要求或不允许有机密性时使用。AH为两个系统间传递的IP数据包提供数据验证和数据完整性检查。它验证从端到端传递的消息在传送过程中是否未被篡改,还验证数据来源是否被确定。AH不提供数据包的数据机密性(加密)检查。AH 协议单独使用时提供的保护较脆弱,因此需要将其与ESP协议配合使用,来提供数据加密和篡改检测等安全功能。 　　2.2IPsec的配置 　　IPsec依赖现有算法来实现加密、身份验证和密钥交换。IPsec提供框架,管理员选择在该框架内实现安全服务所要使用的算法。图2显示了IPsec的配置方式。 　　配置IPsec网关以提供安全服务时,有四个IPsec