《基于IPV6的下一代互联网安全管理策略研究.docx》由会员分享,可在线阅读,更多相关《基于IPV6的下一代互联网安全管理策略研究.docx(3页珍藏版)》请在金锄头文库上搜索。
1、基于IPV6的下一代互联网安全管理策略研究摘 要:随着科学技术的日新月异,人类社会朝着数字化、网络化、信息化的方向不断发展,因此网络在生活中发挥着举足轻重的作用。然而随着网络的广泛应用,IPV4地址资源的急剧消耗,基于IPV6的新一代互联网的推进迫在眉睫。而安全问题则是IPV6研究的重要内容,虽然IPV6有它自己的安全机制,但仍存在很多问题,并不能完全保证网络的安全。 关键词:IPV6;安全管理;策略研究1 互联网的发展现状随着互联网的迅速发展,IPv4定义的有限地址空间正在一步步被耗尽,毋庸置疑地址空间的不足将会影响互联网的进一步发展。为了扩大地址空间,拟通过IPV6重新定义地址空间。IPV
2、4采用32位地址长度,只有大约43亿个地址,目前已将被分配完毕,而IPV6采用128位地址长度,几乎可以不受限制地提供地址。因此,IPV6在全球范围内受到重视。由于政府的重视,日本走在IPV6研发的前列。日本于1999年12月开始提供试验服务,2001年4月开始提供商用服务,到目前为止,NTT Com、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务,日本全国利用IPv6的环境正日益完善。研究的内容主要包括IPv6的下一代服务模型、家电网络的应用和服务、网络环境中的IPv6信息机器、使用信息家电的个人内容交换系统、信息家电安全和有效的通信技术、
3、面向流媒体的服务终端及其业务、无线互联网服务、IPv6网络上的IP电话、用非个人电脑设备实施的互联网应用服务、信息家电图像的传送和应用、内容传送模型验证及收费/认证功能。2 对于IPV6安全问题现状的分析IPV6强制实施了标准化的因特网安全协议IPSec,因此在网络安全方面存在一些优势,能够提升业务和应用的安全性,保证端到端的安全。(1)避免了IPV4存在的一些攻击。(2)能够构建安全的专用网络。(3)大大提高了内部网络的保密性。但不容乐观的是IPV6虽然解决了IPV4存在的一些弊端,它本身也有很多安全隐患。如网络病毒、蠕虫病毒、拒绝服务攻击等依然可能利用IPV6的薄弱环节发起进攻。与此同时一
4、些网络管理上的漏洞,也将威胁到基于IPV6的下一代互联网的安全。(1)病毒的威胁。IPV6拥有的地址多达128位,巨大的地址空间必然会存在很多漏洞,比如通过路由器某些关键主机或者服务器的地址会比较容易获取,进而遭到攻击,更可怕的是,病毒一旦入侵,将会对整个网络造成威胁。(2)拒绝服务DoS的攻击威胁。比如有攻击者恶意向目标主机发送大量加密的数据包,这样就会造成目标主机因消耗大量的CPU资源因检测这些数据包而无法正常响应其他请求,从而造成DoS拒绝服务。(3)利用TCP协议的缺陷进行的攻击。以当前最流行的攻击SYN Foold为例,这种攻击方式同步发送大量伪造的TCP连接请求,从而使得被攻击方的
5、CPU资源被耗尽。(4)应用服务的威胁。互联网虽然日益发展,但其自身以及应用和管理体系还不完善,这使得IPV6大范围推广受到阻碍。一些对应服务具有很大的隐蔽性,例如一些黑客窃取双方的密码后会对用户造成恶意攻击。3 IPV6网络管理存在的问题从IPV4到IPV6,地址空间发生了很大了变化,地址空间得到了扩充,因此网络管理也将面临巨大的挑战,性能管理中如何建立有效的性能分析模型,并能够迅速有效地分析出有效地数据是个重大问题。并且考虑到效率和开销问题,传统的性能工具在新的环境下也显得力不从心。此外,在配置管理方面也存在很多问题,现有的管理方式依赖于网络管理人员的专业熟练程度,但IPV6网络的结构复杂
6、,构成不同于往日的网络,这必然会加重网络管理人员的负担和网络管理的维护成本,这些问题如不能及时解决,必然会影响网络的长期发展。4 解决方案4.1 解决IPV6网络之间的通信技术。4.1.1 基于双核的过渡技术。Limited Dual Stack Model要求网络和服务器支持主机需要IPv6从而节省IPv4地址,虽然解决了IPv6网络之间的通信问题,但是仍然无法解决IPv6和IPv4网络之间的通信问题。4.1.2 基于隧道的过渡技术。基于隧道技术的过渡方案主要有:手工配置隧道、自动配置隧道、隧道代理、6to4隧道和6over4隧道等等。通过IPv4隧道传送IPv6需要配置的内容主要有:隧道接
7、口的本地IPv6地址、隧道两端的IPv4地址。4.1.3 基于MPLS的过渡技术。当前基于IPv4的MPLS日趋成熟,已经可以借助MPLSL2/L3VPN技术来连接IPv6的网络。基于MPLS技术的过渡方案有:在CE路由器上配置隧道、基于MPLS电路的IPv6透传、在PE路由器上起用IPv6(6PE)和基于IPv6的MPLS。在CE路由器上配置隧道方案要求CE路由器支持双栈,CE和PE之间运行IPv4,CE负责将IPv6数据封装在IPv4中通过MPLS传送到对端的CE路由器。4.2 解决IPV6和IPV4之间的网络通信技术。4.2.1 SIIT。SIIT定义了在IPv4和IPv6的分组报头之间
8、进行翻译的方法,由于这种翻译是无状态的。因此对于每一个分组都要进行翻译。这种机制可以和其它的机制(如NAT-PT)结合,用于纯IPV6站点同纯IPv4站点之间的通信,但是在采用网络层加密和数据完整性保护的环境下这种技术不适合应用。4.2.2 NAT-P就是在做IPv4/IPv6地址转换(NAT)的同时在IPv4分组和IPv6分组之间进行报头和语义的翻译(PT)。适用于纯IPv4站点和纯IPv6站点之间的对于一些内嵌地址信息的高层协议(如FTP)需要和应用层的网关协作来完成翻译。在NAT-P的基础上利用端口信息,就可以实现NAPT-PT。 5 研究进展5.1 信息模型方面。网络管理信息库及描述管
9、理信息的信息模型是网络管理的重要组成部分,是连接管理者和被管理不可缺少的部分。要想由IPV4扩展到IPV6,就需要增强基于IPV4的SNMP应用,来管理混乱的网络,并且从IPV6本身来说也有一些新的特性需要被管理,因此需要新增MIB定义。目前,IETF就提出了一些关于IPV6的MIB定义。比如TCP的IPV6 MIB定义,UDP的IPV6 MID,以及RFC2465等等。5.2 组织模型方面。一个网络系统区别于另外一个网络系统的重要方面包括灵活的配置网络管理的组件以及灵活的指定管理功能域应该包括的被管对象。而网络管理布局的灵活性又取决于网络管理工作站的分散程度,也就是取决于数据收集、处理、网络
10、控制以及监视功能的分布状况。由于巨大的地址空间,IPV6采取的是集中式体系结构和分层式体系结构。并且因为IPV6的地址空间,工作管理站的分散程度也将是巨大的。但随着网络技术的发展,IPV6环境下分布式管理体系结构也将逐渐完善和发展。5.3 通信模型方面。目前还是通过IPV4进行管理,对于IPV6的网络管理,要依赖于其协议的发展和完善。5.4 功能模型:在IPV6的环境下OSI的五大功能得到了很好的发展。5.4.1 故障管理:目前的故障管理水平还比较低,对失效事件的自动推理过程还不够完善,因此不能迅速的定位故障点。5.4.2 配置管理:目前配置管理的方向主要是基于策略的配置管理。并且IETF已经成立了多个工程组来来进行相应的推广。5.4.3 性能管理:性能管理方面主要考虑了五个方面的问题。分别是如何收集性能信息、如何处理收集到的信息、如何对信息进行加工处理、完成预测功能以及如何开发基于IPV6的性能管理工具。6 结束语总之,要想保证在IPV6互联网下网络的安全性,需要建立一套全面而立体的机制,需要从整个网络体系入手,无论是在设计、实现还是运行阶段,都要注重技术的充分实现。同时,也要注重管理的基础性作用,重视制度和规则的制定,对各个领域进行严格划分,多层次服务才能真正保证网络的安全性参考文献1宋婧.基于IPV6的下一代互联网安全问题探讨.2王奕.基于IPV6的互联网安全问题探析.
