下一代互联网核心技术IPv6研究
来源:用户上传
作者: 晏 晶
【摘要】 深入研究下一代互联系网的核心技术IPv6,详细介绍了IPv6跟IPv4相比的优势,研究了IPv6中所采用的IPSec协议、认证机制、加密机制和密钥管理机制等安全机制,讨论了IPv6的应用策略,展望了IPv6的应用前景。
【关键词】 IPv4;IPv6;优势;安全机制;发展前景
随着互联网技术的飞速发展,上网的的人数越来越多,目前广泛所用的IP协议为IPv4,IPv4的地址域为32位,可提供232(约40亿)个地址,按现在网络的接入速度,这些地址将在很快用完,IP资源匮乏将成为制约互联网发展的瓶颈。Internet面临的另一个问题是路由表规模的急剧膨胀,如不采取措施可能在IP地址枯竭之前就会导致网络瘫痪。正是在这一背景下提出了新一代的Internet协议IPv6,IPv6不仅技术先进,还可以提供巨大的地址空间,其发展前景广阔。尽管在很长一段时间内IPv4将和IPv6保持共存,最终必将过渡到IPv6。IPv6有着良好的发展前景,比如最近美国最大有线电视运营商Comcast日前宣布了其IPv6商用计划,用户可以从今年第二季度起自愿选择使用IPv6服务。
一、IPv6的优势
IP是应用于互联网的传输控制协议,IPv6即IP的第六个版本,是由IETF,设计的用来替代现行的IPv4协议的一种新的IP协议,用作下一代互联网协议,IPv6最早于1994年被提出。IPv6与IPv4相比具有如下的优势:
1.IPv6提供巨大的地址空间。IPv6的IP地址域为128位,即拥有2128巨大的地址空间。理论上这一规模能够对地球表面的每一平方米提供6.6×10~23个网络地址。IPv6采用和IPv4一样的地址分层应用,实际可用的总数要小得多,但保守的估计每平方米也有1600个IP地址。
2.网络吞吐量大大提升。IPv6报头结构简单,加入了可选项并删除了IPv4报头中不常用的域。IPv6的报头长度固定,不需要占用过多的内存容量,简化的报头格式使得路由器或交换机对报头的处理开销有效的减少。这样提高了数据包的处理效率,提升了网络吞吐量。
3.支持自动配置。IPv6支持多种形式的自动配置,IPv6采用启动协议和动态主机配置协议支持自动配置,同时IPv6还采用了无状态自动配置的自动配置服务。
4.服务质量获得改善。基于IPv4的Internet在设计之初,只有一种简单的服务质量,即采用“尽最大努力”(Best effort)传输。随着IP网上多媒体业务增加,诸如IP电话、VoD、电视会议等,对传输延时和延时抖动均有严格的要求。IPv6引入了流的概念,一个流是以某种方式相关联的一系列信息包,IP层必须以相关的方式对待它们,IPv6数据包包含了8位的业务流类别和20位的流标签。当它的中间节点接受到一个信息包时,通过验证流标签来判断信息包属于哪个流,知道信息包的服务质量需求,再进行快速转发。流标签使为数据包所属类型提供个性化的网络服务成为可能,从而有效保障相关业务的服务质量。
5.支持移动性。IPv6定义了在IP层实现的移动支持协议 。IPv6使用可扩展的分组头来简化到移动节点的路由,并以安全的方式进行路由优化。移动节点使用自动配置和临节点发现功能来从外地网络中获取配置转交地址,移动IPv6具有比IPv4下移动协议更高的路由效率。
6.IPv6寻路效率高。IPv6具有与网络适配的层次地址。层次化分配IP地址可减小路由表的规模,从而减少了存储器的容量和CPU的开销,提高了查表和转发IP分组的速度。
二、IPv6的安全机制
IPv6协议强制要求实现IPSec,IPSec主要由认证协议(AH)、封装安全载荷(ESP)和Internet密钥交换协议(IKE)三个协议来提供认证、数据完整、机密性三种保护形式,这三个协议将是未来Internet的安全标准。IPSec协议体系提供了IPv6网络环境下的网络层数据传输各种安全服务,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播攻击等,解决了网络层端到端数据传输的安全问题。IPv6拥有巨大的地址空间,增大了地址扫描的难度,因而更加安全。
1.认证机制。IPv6通过认证报头(AH)为IP数据报提供强大的完整性服务,可以使整个初始IP数据包以及传送中不变的报头部分得到保护。IPSec协议通过在AH字段中加入认证信息来实现安全的、可靠的信息传输。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。这种认证机制提高了系统的安全性,但是在实际的使用中并不一定要求所有的支撑系统都必须使用这些安全机制。AH认证可以防止大量的网络攻击,比如IP地址欺骗、IP源路由欺骗等。
2.加密机制。IPSec协议通过将加密数据放置在ESP字段中来实现对IP数据包的加密传输。用户可以根据自己的需要对整个IP数据包进行加密,也可以只对IP数据包中的高层协议部分(如TCP、UDP)进行加密。ESP和AH都能提供认证、数据完整检查和抗重放攻击,但只有ESP能加密,ESP和AH能够组合或嵌套,ESP协议也使隧道模式和传输模式两种模式进行数据传输。隧道模式下的ESP为原始IP数据包提供身份认证,而且在还选择了加密的情况下对原始IP数据包和ESP尾部进行加密处理,只是新的IP头还是没有得到保护。这种模式可用于主机及安全网关,当ESP在安全网关上实现时,必须采用隧道模式,传输模式只对IP数据包中的上层传输层的数据部分进行封装加密。无论是隧道模式还是传输模式IPSec协议都必须在发送IP数据包之前计算好ESP的各个字段,并在收到相应的IP数据包后,必须能够恢复原来IP数据包的内容。
3.密钥管理机制。Intenet密钥交换IKE是建立在密钥管理协议ISAKMP基础上,提供了通信双方协商安全参数和建立安全协定的框架。IKE的最终结果是一个通过验证的密钥以及建立在双方同意基础上的安全协定,即SA. SA包括所有如IP层服务、传输或应用层服务、流通传输的自我保护的各种各样的网络协议所需要的信息。不管是AH还是ESP,密钥管理都是整个安全机制安全性的关键。IKE在协商建立SA之前,必须对通信双方进行认证。
相对IPv4而言,IPv6安全特性得到了很大的增强,但是IPv6不能解决所有安全的问题,并且由于新的报头的引入等原因,IPv6还带来了一些新的安全问题。主要有:非法访问、数据包分片攻击路由协议的认证支持、组发地址攻击、对ICMPv6的攻击、对邻居发现的攻击、对无状态地址自动配置的攻击、缺乏安全产品的支持等。
三、IPv6应用策略
现阶段网络以IPv4占主导地位,要过渡到IPv6,必须在不中断现有业务的基础之上,平滑的过度到IPv6,要达到这个目的,应该根据网络发展的现实情况,各个阶段采用不同的策略来应用IPv6,首先是IPv6发展的初级阶段,在这个阶段IPv4网络仍占主导地位,IPv6网络是一些孤岛。绝大部分仍然是基于IPv4,在此情况下应该采用隧道技术互联IPv6网络,目前正处这个阶段;其次是IPv6与IPv4共存阶段,在此阶段IPv6得到较大规模的应用,出现了骨干IPv6网络,在此平台上引入了大量的业务,在此阶段主要采用隧道技术与协议转换技术相结合的方法;最后是IPv6 占主导地位阶段,骨干网全部是IPv6,而IPv4网络成了孤岛,此阶段采用隧道技术互联IPv4网络。
四、IPv6发展前景
IPv6技术体系经历了十多年的发展,基本标准日益成熟,各个行业各种类型的支持IPv6的网络设备也相继问世,并逐渐进入商业应用以及民众生活。在国外,已有部分电信运营商已经建立IPv6网络,并开始提供接入服务以及一些基于IPv6的增值业务。在网络已经基本成熟的条件下,如何在其上为用户提供新的业务,并为运营商创造新的价值,这是下一代互联网成功的关键。IPv6技术的应用前景广泛,主要有以下几方面:3G通讯业务;大众型移动智能终端;网络化的智能家居;在线游戏;安全便捷的电子商务活动;视频直播;丰富的网络监控系统等。无论是哪一种应用或市场,在IPv4 的时代,由于有限的地址,极大的制约着他们的发展。而当IPv6出现后,这一切都将成为过去。
五、结论
与IPv4相比,IPv6有大的空间,可以解决地址枯竭的问题;IPv6在网络保密性、完整性方面有了更好的改进,在可控性方面有了新的保证,安全性更高;IPv6有着良好的应用前景,但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题。要保障IPv6网络的安全,还需配合网络设备的安全功能以及其它多种手段,诸如认证体系、加密体系等来共同实现。
参考文献
[1]蒋亚平,蔡增玉,李淑霞.IPv6安全性分析与研究[J].河南教育学院学报(自然科学版).2009(18)2:30~32
[2]邹礼萍.浅析IPV6的安全问题[J].电脑知识与技术.2009(5)28:7927~7928
[3]肖嵬.基于IPv6的下一代网络在校园网中的实现[J].重庆师范大学学报(自然科学版).2009(26)04:82~85
[4]刘小凤.IPv6技术及其应[J].企业技术开发.2009(28)11:3~4,30
[5]李智康,张婕.浅谈IPv6在校园网中的应用[J].中国现代教育装备.2008(4):53~55
转载注明来源:https://www.xzbu.com/2/view-611675.htm