資源描述:
《ipv6的安全性研究》由會員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫�。
1、IPV6的安全性研究摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,IPv4地址資源的枯竭,其固有的局限性無法滿足網(wǎng)絡(luò)發(fā)展的需求���,由IPv4向IPv6的升級過渡成為互聯(lián)網(wǎng)發(fā)展必然趨勢�。在安全性方面����,由于我國大部分企業(yè)和學(xué)校在IPv4環(huán)境下都是通過NAT技術(shù)接入互聯(lián)網(wǎng)�����,安全性難以得到保障�����,IPv6協(xié)議在網(wǎng)絡(luò)安全問題上得到改進(jìn)���。IP安全協(xié)議(IPSec)對主機(jī)上的數(shù)據(jù)包進(jìn)行封裝,保證了端到端的安全。本文深入分析了IPv6的安全機(jī)制�����,探討了IPSec��、IPV6加密機(jī)制��、IPV6密鑰管理機(jī)制等方面的安全問題����。關(guān)鍵詞:IPv4;IPV6�;IPv
2�、6安全策略�����;安全性中圖分類號:TP393.081IPv6的產(chǎn)生目前����,以TCP/TP協(xié)議簇為基木通訊機(jī)制的互聯(lián)網(wǎng)取得了飛速發(fā)展。IPv4在互聯(lián)網(wǎng)在實(shí)際應(yīng)用中越來越暴露其脆弱性�,成為制約互聯(lián)網(wǎng)發(fā)展的瓶頸因素。比如地址空間有限�����、路由選擇效率不高���、缺乏服務(wù)質(zhì)量保證、IPv4的安全性等等問題的存在��,1994年7月����,IETF決定以SIPP作為IPng的基礎(chǔ),同時(shí)把地址數(shù)由64位增加到128位�����。新的IP協(xié)議稱為IPv6oIPv6繼承TIPv4的優(yōu)點(diǎn),摒棄其缺點(diǎn)���。主要體現(xiàn)在簡化的報(bào)頭和靈活的擴(kuò)展����、層次化的地址結(jié)構(gòu)�����、即插即用的連網(wǎng)方式
3���、����、網(wǎng)絡(luò)層的認(rèn)證與加密�、服務(wù)質(zhì)量的優(yōu)化、對移動通訊更好的支持等幾個(gè)方面���。2IPv6的技術(shù)改進(jìn)IPv6協(xié)議對IPv4協(xié)議進(jìn)行多方面的改進(jìn)�,下面從地址空間�、高性能���、安全性、業(yè)務(wù)性支持����、配置和維護(hù)等角度分析IPV6的改進(jìn)和增強(qiáng):(1)在地址分配上支持長度為128位的單地址的網(wǎng)絡(luò)尋址架構(gòu),該協(xié)議定義了全局聚合單播地址�、木地鏈路地址多播、選播地址V6-V4兼容地址和測試地址等一系列地址類型����。(2)提高了傳輸控制及路山交換的性能。IPv6通過對報(bào)頭簡化以及定義了擴(kuò)展選項(xiàng)���,對約束報(bào)文和分片控制進(jìn)行管理��,采用了可聚合的層級化尋址方式和
4、路由方式����,提高了更加適合交換式的高速網(wǎng)絡(luò)環(huán)境。(3)IPv6協(xié)議提供了對IPSec4強(qiáng)制要求的規(guī)定��,既要包括支持多種密鑰加密方式的密鑰交換一一管理協(xié)議框架IKE�����。從而實(shí)現(xiàn)鑒別首部機(jī)制AH和安全負(fù)載封裝機(jī)制ESP。(4)IPv6協(xié)議定義了移動IP場合的主機(jī)注冊�����、代理轉(zhuǎn)接和優(yōu)化路由機(jī)制��。任一IPv6的移動主機(jī)在漫游的同時(shí)均能保持莫原有的IPv6地址�����。從而實(shí)現(xiàn)與接入方式無關(guān)的端對端無縫通信����。(5)IPv6協(xié)議提供了流標(biāo)簽機(jī)制。服務(wù)優(yōu)先級和路由策略等多種服務(wù)質(zhì)量保障能力�,實(shí)現(xiàn)了對分層編碼,資源預(yù)留等實(shí)時(shí)網(wǎng)絡(luò)控制的支持���,具備綜
5�����、合集成的差異化數(shù)據(jù)服務(wù)提供能力����。(6)IPv6協(xié)議采用基于IP的鄰居發(fā)現(xiàn)協(xié)議替代鏈路層的ARP協(xié)議和部分ICMP功能,并提供了網(wǎng)絡(luò)自動配置功能���,從而增強(qiáng)網(wǎng)絡(luò)維護(hù)管理機(jī)制的健壯性����,提高網(wǎng)絡(luò)配置管理的高效性����。1IP安全協(xié)議(IPSec)IPSec主要由AH(AuthenticationHeader,認(rèn)證協(xié)議)、ESP(封裝安全載荷����,EncapsulatingSecurityPayload)和IKE(InternetKeyExchangeSecureProtocol,Internet密鑰交換協(xié)議)等三個(gè)主要協(xié)議組成,提供了
6���、安全認(rèn)證����、保證數(shù)據(jù)完整性和機(jī)密性等保護(hù)形式��,這三個(gè)安全協(xié)議將成為未來Internet安全標(biāo)準(zhǔn)�。IPSec為IPv6提供了網(wǎng)絡(luò)安全保障,但I(xiàn)PSec目前還不完善��,存在一些問題��,主要表現(xiàn)在:(1)TPSec作為網(wǎng)絡(luò)層協(xié)議不能處理高層應(yīng)用的安全性問題��;(2)在部署和實(shí)施IPSec協(xié)議時(shí)����,需要路山系統(tǒng)和網(wǎng)絡(luò)邊界等外部環(huán)境的參與,限制了通用性�����;(3)IPSec的API應(yīng)用開發(fā)接口還不是標(biāo)準(zhǔn)化的�����,對其開發(fā)的應(yīng)用較少���;(4)IPSec的IKE�����、拒絕服務(wù)攻擊��、防止流量分析等方面不完善�����。所以�����,IPSoc協(xié)議還要其設(shè)備如防火墻����、VPN、
7����、網(wǎng)絡(luò)過濾、漏洞掃描等網(wǎng)絡(luò)安全設(shè)備以及高層安全協(xié)議共同協(xié)調(diào)工作��。1SA(SecurityAssociations,安全聯(lián)盟)SA是IPSec協(xié)議的重要部分��,用于在使用All協(xié)議和ESP協(xié)議時(shí)提供保證�,是這兩個(gè)協(xié)議必須使用的,IPSec規(guī)定AH協(xié)議和ESP協(xié)議的實(shí)現(xiàn)必須支持SAoInternet密鑰交換協(xié)議的主要功能之一就是對SA進(jìn)行建立和維護(hù)���。SA(安全聯(lián)盟)能夠采用單工的連接方式對在其上傳輸?shù)臄?shù)據(jù)信號提供安全服務(wù)��。在信息傳輸?shù)膬蓚€(gè)主機(jī)Z間�,或者兩個(gè)安全網(wǎng)關(guān)Z間�����,其認(rèn)證通信時(shí)采用兩個(gè)SA,分別用于通信的發(fā)送方和通信的接
8��、收方��。根據(jù)所選的安全協(xié)議SA不同�,提供不同的安全服務(wù)。比如可以選擇AH或ESP等���。2IPv6的加密機(jī)制在IPv6中��,IPSec協(xié)議在ESP字段中放入加密數(shù)據(jù)����,實(shí)現(xiàn)了IP數(shù)據(jù)包在傳輸過程中的加密�,保證了傳輸?shù)陌踩裕€可以根據(jù)用戶要求的不同����,對用戶的整個(gè)IP數(shù)據(jù)包或者只對IP數(shù)據(jù)包中的高層協(xié)議部分進(jìn)行認(rèn)證加密����,也可以將ESP和AH組合或嵌套��,提供
