基于IPV6协议的网络安全机制Word格式文档下载.doc
《基于IPV6协议的网络安全机制Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《基于IPV6协议的网络安全机制Word格式文档下载.doc(10页珍藏版)》请在冰点文库上搜索。
2IPv4协议简介
IPv4是InternetProtocolversion4(网际协议版本4)的英文简称,而中文简称为“网协版4”。
IPv4,是互联网协议(InternetProtocol,IP)的第四版,也是第一个被广泛使用,构成现今互联网技术的基石的协议。
Ipv4可以运行在各种各样的底层网络上,比如端对端的串行数据链路(PPP协议和SLIP协议),卫星链路等等。
局域网中最常用的是以太网。
2.1IPv4的应用现状
IP地址是人们在网络上的“身份证”,随着网络的普及和智能家电的广泛使用,不管是上网的用户,还是智能产品的信息终端,都需要拥有自己的IP地址。
的全球因特网所采用的协议是TCP/IP协议。
IP是TCP/IP协议中网络层的协议,是TCP/IP协议族的核心协议。
目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。
IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。
近十年来由于互联网的蓬勃发展,IP位址的需求量愈来愈大,使得IP地址的发放愈趋严格,各项资料显示全球IPv4地址可能在很短时间内即将消耗殆尽,最根本的解决办法还是扩大IP地址,采用IPv6方案,从32位的IPv4地址位过渡到128位的IPv6地址位。
3IPV6协议
3.1IPv6的由来
Internet依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。
在Internet上,每一个节点都依靠惟一的IP地址互相区分和相互联系。
目前因特网使用的地址都是IPv4地址IPv6基本协议是经过多次改进后确定的。
现在的IPv6协议是1995年由Cisco公司的SteveDeering和Nokia公司的RobertHinden完成起草并定稿的(即RFC2460)。
1998年,ieTF对RFC2460进行了较大的改进,形成了现有的RFC2460(1998版)。
3.2IPv6协议的主要特点
为适应实际应用的要求,IPv6在IPv4的设计思想上加以改进,增加了一些必要的新功能。
IPv6的主要特点如下:
3.2.1经过扩展的地址和路由选择功能。
IP地址长度由32位增加到128位,可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。
3.2.2定义了任一成员(anycast)地址。
用来标识一组接口,在不会引起混淆的情况下将简称“任一地址”,发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。
3.2.3简化的首部格式。
IPv4首部的某些字段被取消或改为选项,以减少报文分组处理过程中常用情况的处理费用,并使得IPv6首部的带宽开销尽可能低,尽管地址长度增加了。
虽然IPv6地址长度是IPv4地址的四倍,IPv6首部的长度只有IPv4首部的两倍。
3.2.4支持扩展首部和选项。
IPv6的选项放在单独的首部中,位于报文分组中IPv6首部和传送层首部之间。
因为大多数IPv6选项首部不会被报文分组投递路径上的任何路由器检查和处理,直至其到达最终目的地,这种组织方式有利于改进路由器在处理包含选项的报文分组时的性能。
IPv6的另一改进,是其选项与IPv4不同,可具有任意长度,不限于40字节。
3.2.5支持验证和隐私权。
IPv6定义了一种扩展,可支持权限验证和数据完整性。
这一扩展是IPv6的基本内容,要求所有的实现必须支持这一扩展。
IPv6还定义了一种扩展,借助于加密支持保密性要求。
3.2.6支持自动配置。
IPv6支持多种形式的自动配置,从孤立网络节点地址的“即插即用”自动配置,到DHCP提供的全功能的设施。
3.2.7服务质量能力。
IPv6增加了一种新的能力,如果某些报文分组属于特定的工作流,发送者要求对其给予特殊处理,则可对这些报文分组加标号,例如非缺省服务质量通信业务或“实时”服务。
3.3IPv6中的地址类型和表示方法
IPv6地址类型主要有:
3.3.1单播地址(unicast)
该地址标识某一单个接口。
发往单播地址的包将被传送到该地址指向的接口
3.3.2任播地址(anycast)
该地址标识属于不同节点的一组接口。
发往任播地址的包将被传送到该地址标的某一个接口,通常是路由协议计算出的最近的那个接口。
3.3.3组播地址(multicast)
同样该地址标识属于不同节点的一组接口。
但发往组播地址的包将被传送到该地址标识的所有接口,IPv6地址表示方法:
一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节之间用冒号分隔,除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构称为可聚合全局单点广播地址的地址。
3.4Ipv6编码
Ipv6是借鉴了电话号码的编码体系,以地理(教学案例,试卷,课件,教案)概念清晰、简明易记的数字分配域名。
一个Ipv6的IP地址由类似电话号码的国家代码、地区代码和智能终端代码(或服务商代码)组成。
4IPV6协议在网络安全机制方面体现
安全性既涉及网络安全也涉及信息安全,是发展下一代互联网应注意的最关键问题。
随着互联网的大规模商用化和在国民经济中越来越重要的地位,安全威胁成为一个必须解决的问题。
通过集成IPSec,IPv6实现了IP级的安全。
IPSec提供如下安全性服务:
访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。
4.1协议安全
在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头,AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。
4.2网络安全
4.2.1端到端的安全保证。
在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。
4.2.2对内部网络的保密。
当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可以通过配置的IPSec网关实现。
因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。
后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。
4.2.3通过安全隧道构建安全的VPN。
此处的VPN是通过IPv6的IPSec隧道实现的。
在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。
IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。
4.2.4通过隧道嵌套实现网络安全。
通过隧道嵌套的方式可以获得多重的安全保护。
当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
作为IPv6的一个组成部分,IPSec是一个网络层协议。
它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。
为解决IPv6网络安全问题,IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备,但由于IPv6的一些新特点,IPv4网中现有的这些安全设备在IPv6网中不能直接使用,还需要做适当的改进。
由于IPv6中引入了网络层的加密技术,未来网络上的数据通讯的保密性将会越来越强,IPv协议的研究最初是出于国内有关部门的需要而研制的一种与当前IPv4协议(或者IPv6协议)不同的、可互通但相对独立的、有自主知识产权的网络协议,极大地提高了我国的国家网络安全和信息安全,一举打破美国垄断与控制的国际互联网,并进而控制和威胁我国信息安全与国家安全的不利局面。
IPv9地址协议由我国自主控制分配,路由设备的密级由我国自主设立,在域名资源、安全控制等方面,将更有保障。
5IPv4到IPv6的过渡技术
5.1过渡技术的概述与现状
如何完成从IPv4到IPv6的转换是IPv6发展需要解决的第一个问题。
现有的几乎每个网络及其连接设备都支持IPv4,因此要想一夜间就完成从IPv4到IPv6的转换是不切实际的。
IPv6必须能够支持和处理IPv4体系的遗留问题。
可以预见,IPv4向IPv6的过渡需要相当长的时间才能完成。
目前,IETF已经成立了专门的工作组,研究IPv4到IPv6的转换问题,并且已提出了很多方案,主要包括以下几个类型:
5.2双协议栈技术
IPv6和IPv4是功能相近的网络层协议,两者都基于相同的物理平台,而且加载于其上的传输层协议TCP和UDP又没有任何区别。
由图1所示的协议栈结构可以看出,如果一台主机同时支持IPv6和IPv4两种协议,那么该主机既能与支持IPv4协议的主机通信,又能与支持IPv6协议的主机通信,这就是双协议栈技术的工作机理。
5.3.隧道技术
随着IPv6网络的发展,出现了许多局部的IPv6网络,但是这些IPv6网络需要通过IPv4骨干网络相连。
将这些孤立的"
IPv6岛"
相互联通必须使用隧道技术。
利用隧道技术可以通过现有的运行IPv4协议的Internet骨干网络(即隧道)将局部的IPv6网络连接起来,因而是IPv4向IPv6过渡的初期最易于采用的技术。
路由器将IPv6的数据分组封装入IPv4,IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。
在隧道的出口处,再将IPv6分组取出转发给目的站点。
隧道技术只要求在隧道的入口和出口处进行修改,对其他部分没有要求,因而非常容易实现。
但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。
5.4.网络地址转换/协议转换技术
网络地址转换/协议转换技术NAT-PT(NetworkAddressTranslation-ProtocolTranslation)通过与SIIT协议转换和传统的IPv4下的动态地址翻译(NAT)以及适当的应用层网关(ALG)相结合,实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信。
上述技术很大程度上依赖于从支持IPv4的互联网到支持IPv6的互联网的转换,我们期待IPv4和IPv6可在这一转换过程中互相兼容。
目前,6to4机制便是较为流行的实现手段之一。
6对基于IPV6协议的网络安全机制的思考
安全问题是一个复杂的问题。
随着时间的推移,技术的变化,网络安全将面临更多威胁和新的挑战,没有绝对安全的网络系统,网络信息对抗是一个长期的研究课题。
保持清醒正确的认识,掌握最新的安全问题情况,再加完善有效的安全策略,是可以阻止大部分的网络破坏,使经济损失降到最低。
IPv6是一个建立可靠的、可管理的、安全和高效的IP网络的长期解决方案。
尽管IPv6的普及应用之日还需耐心等待,不过,了解和研究IPv6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案,对于制定企业网络的长期发展计划,规划网络应用的未来发展方向,都是十分有益的。
目前虽然对Ipv6网络技术有各种不同的看法,但它得到国家权威机构的认证,且在实验实践中,重要的是Ipv6网络技术的出台,表明我国已成为目前世界上唯一能实现域名、IP地址和MAC地址统一成十进制文本表示方法的国家。
同时,也成为继美国之后,第二个在世界上拥有根域名解析服务器和IP地址硬连接服务器的国家,和世界上第二个拥有自主的域名、IP地址和MAC地址资源的国家及可独立进行域名解析和IP地址硬连接,并可独立自主的分配域名、IP地址和MAC地址的国家,从而维护国家主权、信息安全以及巨大的国家经济利益。
7结语
IPv6为互联网换上一个简捷、高效的引擎,不仅可以解决IPv4目前的地址短缺难题,而且可以使国际互联网摆脱日益复杂、难以管理和控制的局面,变得更加稳定、可靠、高效和安全。
相信Ipv6协议能够为网络安全做出贡献。
参考文献:
[1]李津生洪佩琳.下一代Internet的网络技术[M].北京:
人民邮电出版社,2001。
[2]HagenS.IPv6精髓[M].北京:
清华大学出版社,2004。
[3]张云勇刘韵洁张智江.基于IPv6的下一代互联网[M].北京:
电子工业出版。
[4]DurandA,FasanoP.GuardiniI,etal.IPv6TunnelBroker.RFC3053[S].2001。
[5]孙有越.IPv6过渡机制综述[J].重庆邮电学院学报,2004,16(6):
108-113。
致谢
非常感谢xx老师、在我大学的最后学习阶段——毕业论文阶段给自己的指导,从最初的定题,到资料收集,到写作、修改,到论文定稿,她们给了我耐心的指导和无私的帮助。
为了指导我们的毕业论文,她们放弃了自己的休息时间,她们的这种无私奉献的敬业精神令人钦佩,在此我向她们表示我诚挚的谢意。
同时,感谢所有任课老师和所有同学在这三年来给自己的指导和帮助,是他们教会了我专业知识,教会了我如何学习,教会了我如何做人。
正是由于他们,我才能在各方面取得显著的进步,在此向他们表示我由衷的谢意,并祝所有的老师培养出越来越多的优秀人才,桃李满天下!
xxx
二00九年十月
指导老师意见
文章篇幅符合学院规定,内容完整,层次结构安排科学,主要观点突出,逻辑关系清楚,语言表达流畅,格式符合规范要求;
参考了丰富的文献资料,是一篇合格的专科毕业论文。
指导老师(签名)__________________
年月日
系(部)意见
系(部)负责人(签名)__________________
8
11
升级会员 