《基于IPV6协议的网络安全机制》由会员分享,可在线阅读,更多相关《基于IPV6协议的网络安全机制(10页珍藏版)》请在金锄头文库上搜索。
1、*职业技术学院专 科 毕 业 论 文论 文 题 目 基于IPV6协议的网络安全机制 专 业 网络系统管理 学 生 姓 名 xxx 指 导 老 师 xx 提 交 时 间 2009年12月 基于IPV6协议的网络安全机制摘 要本文阐述了互联网规模与技术飞速发展的今天,Ipv4网络暴露出越来越多的问题,如地址空间不足、QoS、安全问题 等。为了解决Internet的这些问题,尤其是解决地址空间不足的问题,IPv6普及的迫切性和必要性。并且探讨了IPv6及Ipv6在网络安全方面的独到之处及技术要点,以及相较于IPv6协议与关键词IPV6协议;网络安全1 引言随着IP网络规模和业务的迅速发展,IP网络的
2、用户数急剧增加,正因为如此,IP网络暴露出越来越多的问题,如地址空间不足、QoS、安全问题 等。为了解决Internet的这些问题,尤其是解决地址空间不足的问题,IETF于1992年在IPv4的基础上定义了下一代的Internet协议, 被称之为“IPV6”ipv6的出现完美的解决了ip地址的不足和ipv4在设计之初没有考虑到安全问题,虽然ipv6在短期内无法广泛应用,但随着IP地址告急IPV6发展只不过是时间问题2 IPv4协议简介IPv4是Internet Protocol version 4(网际协议版本4)的英文简称,而中文简称为“网协版4”。IPv4,是互联网协议(Internet
3、Protocol,IP)的第四版,也是第一个被广泛使用,构成现今互联网技术的基石的协议。Ipv4可以运行在各种各样的底层网络上,比如端对端的串行数据链路(PPP协议和SLIP协议) ,卫星链路等等。局域网中最常用的是以太网。2.1 IPv4的应用现状IP地址是人们在网络上的“身份证”,随着网络的普及和智能家电的广泛使 用,不管是上网的用户,还是智能产品的信息终端,都需要拥有自己的IP地址。 的全球因特网所采用的协议是TCP/IP协议。IP是TCP/IP协议中网络层的协议,是TCP/IP协议族的核心协议。 目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数
4、为32位,也就是最多有2的32次方的电脑可以联到Internet上。近十年来由于互联网的蓬勃发展,IP位址的需求量愈来愈 大,使得IP地址的发放愈趋严格,各项资料显示全球IPv4地址可能在很短时间内即将消耗殆尽,最根本的解决办法还是扩大IP地址,采用IPv6方案,从 32位的IPv4地址位过渡到128位的IPv6地址位。3 IPV6协议3.1 IPv6的由来Internet依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet上,每一个节点都依靠惟一的IP地址互相区分和相互联系。目前因特网使用的地址都是IPv4地址IPv6基本协议是经过多次改进
5、后确定的。现在的IPv6协议是1995年由Cisco公司的Steve Deering和Nokia公司的Robert Hinden完成起草并定稿的(即RFC2460)。1998年,ieTF对RFC2460进行了较大的改进,形成了现有的RFC2460(1998版)。3.2 IPv6协议的主要特点为适应实际应用的要求,IPv6在IPv4的设计思想上加以改进,增加了一些必要的新功能。IPv6的主要特点如下:3.2.1 经过扩展的地址和路由选择功能。IP地址长度由32位增加到128位,可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。3.2.2定义了任一成员(anycast) 地址
6、。用来标识一组接口,在不会引起混淆的情况下将简称“任一地址”,发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。3.2.3简化的首部格式。IPv4首部的某些字段被取消或改为选项,以减少报文分组处理过程中常用情况的处理费用,并使得IPv6首部的带宽开销尽可能低,尽管地址长度增加了。虽然IPv6地址长度是IPv4地址的四倍,IPv6首部的长度只有IPv4首部的两倍。3.2.4支持扩展首部和选项。IPv6的选项放在单独的首部中,位于报文分组中IPv6首部和传送层首部之间。因为大多数IPv6选项首部不 会被报文分组投递路径上的任何路由器检查和处理,直至其到达最终目的地,这种组织方式有利于
7、改进路由器在处理包含选项的报文分组时的性能。IPv6的另一 改进,是其选项与IPv4不同,可具有任意长度,不限于40字节。3.2.5支持验证和隐私权。IPv6定义了一种扩展,可支持权限验证和数据完整性。这一扩展是IPv6的基本内容,要求所有的实现必须支持这一扩展。IPv6还定义了一种扩展,借助于加密支持保密性要求。3.2.6支持自动配置。IPv6支持多种形式的自动配置,从孤立网络节点地址的“即插即用”自动配置,到DHCP提供的全功能的设施。3.2.7服务质量能力。IPv6增加了一种新的能力,如果某些报文分组属于特定的工作流,发送者要求对其给予特殊处理,则可对这些报文分组加标号,例如非缺省服务质
8、量通信业务或“实时”服务。3.3 IPv6中的地址类型和表示方法IPv6地址类型主要有:3.3.1单播地址(unicast)该地址标识某一单个接口。发往单播地址的包将被传送到该地址指向的接口3.3.2任播地址(anycast)该地址标识属于不同节点的一组接口。发往任播地址的包将被传送到该地址标的某一个接口,通常是路由协议计算出的最近的那个接口。3.3.3组播地址(multicast)同样该地址标识属于不同节点的一组接口。但发往组播地址的包将被传送到该地址标识的所有接口,IPv6地址表示方法:一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节之间用冒号分隔
9、,除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构称为可聚合全局单点广播地址的地址。3.4 Ipv6编码Ipv6是借鉴了电话号码的编码体系,以地理(教学案例,试卷,课件,教案)概念清晰、简明易记的数字分配域名。一个Ipv6的IP地址由类似电话号码的国家代码、地区代码和智能终端代码(或服务商代码)组成。4 IPV6协议在网络安全机制方面体现安全性既涉及网络安全也涉及信息安全,是发展下一代互联网应注意的最关键问题。随着互联网的大规模商用化和在国民经济中越来越重要的地位,安全 威胁成为一个必须解决的问题。通过集成IPSec,IPv6实现了IP级的安全。IPSec提供如下安全性服务
10、:访问控制、无连接的完整性、数据源身份认 证、防御包重传攻击、保密、有限的业务流保密性。4.1协议安全在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头,AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。4.2网络安全4.2.1端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。4.2.2对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,
11、可以通过配置的IPSec网关实现。因为 IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6 扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。4.2.3通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道,构成安 全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密 板卡。
12、4.2.4通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。作为IPv6的一个组成部分,IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传 输等。为解决IPv6网络安全问题,IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备,但由于IPv6的一些新特点,IPv4网中现有的这 些安全设备在IPv6网中不能直接使用,还需要做适当的改进。由于IP
13、v6中引入了网络层的加密技术,未来网络上的数据通讯的保密性将会越来越强,IPv协议的研究最初是出于国内有关部门的需要而研制的一种与当前IPv4协议(或者IPv6协议)不同的、可互通但相对独立的、有自主知识 产权的网络协议,极大地提高了我国的国家网络安全和信息安全,一举打破美国垄断与控制的国际互联网,并进而控制和威胁我国信息安全与国家安全的不利局面。 IPv9地址协议由我国自主控制分配,路由设备的密级由我国自主设立,在域名资源、安全控制等方面,将更有保障。5 IPv4到IPv6的过渡技术5.1过渡技术的概述与现状如何完成从IPv4到IPv6的转换是IPv6发展需要解决的第一个问题。现有的几乎每个
14、网络及其连接设备都支持IPv4,因此要想一夜间就完成从IPv4到IPv6的转换是不切实际的。 IPv6必须能够支持和处理IPv4体系的遗留问题。可以预见,IPv4向IPv6的过渡需要相当长的时间才能完成。目前,IETF已经成立了专门的工作组,研究IPv4到IPv6的转换问题,并且已提出了很多方案,主要包括以下几个类型:5.2 双协议栈技术IPv6和IPv4是功能相近的网络层协议,两者都基于相同的物理平台,而且加载于其上的传输层协议TCP和UDP又没有任何区别。由图1所示的协议栈结构可以看出,如果一台主机同时支持IPv6和IPv4两种协议,那么该主机既能与支持IPv4协议的主机通信,又能与支持I
15、Pv6协议的主机通信,这就是双协议栈技术的工作机理。5.3.隧道技术随着IPv6网络的发展,出现了许多局部的IPv6网络,但是这些IPv6网络需要通过IPv4骨干网络相连。将这些孤立的IPv6岛相互联通必须使用隧道技术。利用隧道技术可以通过现有的运行IPv4协议的Internet骨干网络(即隧道)将局部的IPv6网络连接起来,因而是IPv4向IPv6过渡的初期最易于采用的技术。路由器将IPv6的数据分组封装入IPv4,IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处,再将IPv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,因而非常容易实现。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。5.4.网络地址转换/协议转换技术网络地址转换/协议转换技术NAT-PT(Network Address Translation - Protocol Translation)通过与SIIT协议转换和传统的IPv4下的动态地址翻译(NAT)以及适当的应用层网关
