資源描述:
《ipv6的安全性研究》由會員上傳分享��,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1�、IPV6的安全性研究摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,IPv4地址資源的枯竭����,其固有的局限性無法滿足網(wǎng)絡(luò)發(fā)展的需求,由IPv4向IPv6的升級過渡成為互聯(lián)網(wǎng)發(fā)展必然趨勢��。在安全性方面��,由于我國大部分企業(yè)和學(xué)校在IPv4環(huán)境下都是通過NAT技術(shù)接入互聯(lián)網(wǎng)��,安全性難以得到保障���,IPv6協(xié)議在網(wǎng)絡(luò)安全問題上得到改進。IP安全協(xié)議(IPSec)對主機上的數(shù)據(jù)包進行封裝,保證了端到端的安全�����。本文深入分析了IPv6的安全機制��,探討了IPSec����、IPV6加密機制、IPV6密鑰管理機制等方面的安全問題。關(guān)鍵詞:IPv4���;IPV6�����;IPv
2����、6安全策略�;安全性中圖分類號:TP393.081IPv6的產(chǎn)生目前,以TCP/TP協(xié)議簇為基木通訊機制的互聯(lián)網(wǎng)取得了飛速發(fā)展�。IPv4在互聯(lián)網(wǎng)在實際應(yīng)用中越來越暴露其脆弱性,成為制約互聯(lián)網(wǎng)發(fā)展的瓶頸因素���。比如地址空間有限��、路由選擇效率不高����、缺乏服務(wù)質(zhì)量保證����、IPv4的安全性等等問題的存在����,1994年7月����,IETF決定以SIPP作為IPng的基礎(chǔ),同時把地址數(shù)由64位增加到128位��。新的IP協(xié)議稱為IPv6oIPv6繼承TIPv4的優(yōu)點����,摒棄其缺點。主要體現(xiàn)在簡化的報頭和靈活的擴展�、層次化的地址結(jié)構(gòu)、即插即用的連網(wǎng)方式
3����、�、網(wǎng)絡(luò)層的認證與加密、服務(wù)質(zhì)量的優(yōu)化�、對移動通訊更好的支持等幾個方面。2IPv6的技術(shù)改進IPv6協(xié)議對IPv4協(xié)議進行多方面的改進�����,下面從地址空間、高性能�����、安全性��、業(yè)務(wù)性支持����、配置和維護等角度分析IPV6的改進和增強:(1)在地址分配上支持長度為128位的單地址的網(wǎng)絡(luò)尋址架構(gòu),該協(xié)議定義了全局聚合單播地址����、木地鏈路地址多播、選播地址V6-V4兼容地址和測試地址等一系列地址類型���。(2)提高了傳輸控制及路山交換的性能��。IPv6通過對報頭簡化以及定義了擴展選項�,對約束報文和分片控制進行管理�����,采用了可聚合的層級化尋址方式和
4���、路由方式�,提高了更加適合交換式的高速網(wǎng)絡(luò)環(huán)境。(3)IPv6協(xié)議提供了對IPSec4強制要求的規(guī)定����,既要包括支持多種密鑰加密方式的密鑰交換一一管理協(xié)議框架IKE。從而實現(xiàn)鑒別首部機制AH和安全負載封裝機制ESP�。(4)IPv6協(xié)議定義了移動IP場合的主機注冊、代理轉(zhuǎn)接和優(yōu)化路由機制�����。任一IPv6的移動主機在漫游的同時均能保持莫原有的IPv6地址�。從而實現(xiàn)與接入方式無關(guān)的端對端無縫通信。(5)IPv6協(xié)議提供了流標簽機制��。服務(wù)優(yōu)先級和路由策略等多種服務(wù)質(zhì)量保障能力�����,實現(xiàn)了對分層編碼���,資源預(yù)留等實時網(wǎng)絡(luò)控制的支持,具備綜
5�����、合集成的差異化數(shù)據(jù)服務(wù)提供能力。(6)IPv6協(xié)議采用基于IP的鄰居發(fā)現(xiàn)協(xié)議替代鏈路層的ARP協(xié)議和部分ICMP功能����,并提供了網(wǎng)絡(luò)自動配置功能,從而增強網(wǎng)絡(luò)維護管理機制的健壯性�����,提高網(wǎng)絡(luò)配置管理的高效性�����。1IP安全協(xié)議(IPSec)IPSec主要由AH(AuthenticationHeader,認證協(xié)議)��、ESP(封裝安全載荷��,EncapsulatingSecurityPayload)和IKE(InternetKeyExchangeSecureProtocol,Internet密鑰交換協(xié)議)等三個主要協(xié)議組成�����,提供了
6��、安全認證、保證數(shù)據(jù)完整性和機密性等保護形式�����,這三個安全協(xié)議將成為未來Internet安全標準���。IPSec為IPv6提供了網(wǎng)絡(luò)安全保障��,但IPSec目前還不完善����,存在一些問題�,主要表現(xiàn)在:(1)TPSec作為網(wǎng)絡(luò)層協(xié)議不能處理高層應(yīng)用的安全性問題;(2)在部署和實施IPSec協(xié)議時�,需要路山系統(tǒng)和網(wǎng)絡(luò)邊界等外部環(huán)境的參與,限制了通用性�����;(3)IPSec的API應(yīng)用開發(fā)接口還不是標準化的�,對其開發(fā)的應(yīng)用較少;(4)IPSec的IKE�、拒絕服務(wù)攻擊、防止流量分析等方面不完善�����。所以���,IPSoc協(xié)議還要其設(shè)備如防火墻���、VPN、
7����、網(wǎng)絡(luò)過濾、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備以及高層安全協(xié)議共同協(xié)調(diào)工作��。1SA(SecurityAssociations,安全聯(lián)盟)SA是IPSec協(xié)議的重要部分�,用于在使用All協(xié)議和ESP協(xié)議時提供保證,是這兩個協(xié)議必須使用的���,IPSec規(guī)定AH協(xié)議和ESP協(xié)議的實現(xiàn)必須支持SAoInternet密鑰交換協(xié)議的主要功能之一就是對SA進行建立和維護��。SA(安全聯(lián)盟)能夠采用單工的連接方式對在其上傳輸?shù)臄?shù)據(jù)信號提供安全服務(wù)�����。在信息傳輸?shù)膬蓚€主機Z間���,或者兩個安全網(wǎng)關(guān)Z間��,其認證通信時采用兩個SA,分別用于通信的發(fā)送方和通信的接
8�����、收方���。根據(jù)所選的安全協(xié)議SA不同,提供不同的安全服務(wù)��。比如可以選擇AH或ESP等�����。2IPv6的加密機制在IPv6中���,IPSec協(xié)議在ESP字段中放入加密數(shù)據(jù)����,實現(xiàn)了IP數(shù)據(jù)包在傳輸過程中的加密�,保證了傳輸?shù)陌踩裕€可以根據(jù)用戶要求的不同�����,對用戶的整個IP數(shù)據(jù)包或者只對IP數(shù)據(jù)包中的高層協(xié)議部分進行認證加密,也可以將ESP和AH組合或嵌套��,提供
