论文部分内容阅读
摘 要:随着网络技术的飞速发展,IPv4地址资源的枯竭,其固有的局限性无法满足网络发展的需求,由IPv4向IPv6的升级过渡成为互联网发展必然趋势。在安全性方面,由于我国大部分企业和学校在IPv4环境下都是通过NAT技术接入互联网,安全性难以得到保障,IPv6协议在网络安全问题上得到改进。IP安全协议(IPSec)对主机上的数据包进行封装,保证了端到端的安全。本文深入分析了IPv6的安全机制,探讨了IPSec、IPV6加密机制、IPV6密钥管理机制等方面的安全问题。
关键词:IPv4;IPV6;IPv6安全策略;安全性
中图分类号:TP393.08
1 IPv6的产生
目前,以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性,成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在,1994年7月,IETF决定以SIPP作为IPng的基础,同时把地址数由64位增加到128位。新的IP协议称为IPv6。IPv6继承了IPv4的优点,摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。
2 IPv6的技术改进
IPv6协议对IPv4协议进行多方面的改进,下面从地址空间、高性能、安全性、业务性支持、配置和维护等角度分析IPV6的改进和增强:(1)在地址分配上支持长度为128位的单地址的网络寻址架构,该协议定义了全局聚合单播地址、本地链路地址多播、选播地址V6-V4兼容地址和测试地址等一系列地址类型。(2)提高了传输控制及路由交换的性能。IPv6通过对报头简化以及定义了扩展选项,对约束报文和分片控制进行管理,采用了可聚合的层级化寻址方式和路由方式,提高了更加适合交换式的高速网络环境。(3)IPv6协议提供了对IPSec4强制要求的规定,既要包括支持多种密钥加密方式的密钥交换——管理协议框架IKE。从而实现鉴别首部机制AH和安全负载封装机制ESP。(4)IPv6协议定义了移动IP场合的主机注册、代理转接和优化路由机制。任一IPv6的移动主机在漫游的同时均能保持其原有的IPv6地址。从而实现与接入方式无关的端对端无缝通信。(5)IPv6协议提供了流标签机制。服务优先级和路由策略等多种服务质量保障能力,实现了对分层编码,资源预留等实时网络控制的支持,具备综合集成的差异化数据服务提供能力。(6)IPv6协议采用基于IP的邻居发现协议替代链路层的ARP协议和部分ICMP功能,并提供了网络自动配置功能,从而增强网络维护管理机制的健壮性,提高网络配置管理的高效性。
3 IP安全协议(IP Sec)
IPSec主要由AH(Authentication Header,认证协议)、ESP(封装安全载荷,Encapsulating Security Payload)和IKE(Internet Key Exchange Secure Protocol,Internet密钥交换协议)等三个主要协议组成,提供了安全认证、保证数据完整性和机密性等保护形式,这三个安全协议将成为未来Internet安全标准。
IPSec为IPv6提供了网络安全保障,但IPSec目前还不完善,存在一些问题,主要表现在:(1)IP Sec作为网络层协议不能处理高层应用的安全性问题;(2)在部署和实施IP Sec协议时,需要路由系统和网络边界等外部环境的参与,限制了通用性;(3)IP Sec的API应用开发接口还不是标准化的,对其开发的应用较少;(4)IP Sec的IKE、拒绝服务攻击、防止流量分析等方面不完善。所以,IPSec协议还要其设备如防火墙、VPN、网络过滤、漏洞扫描等网络安全设备以及高层安全协议共同协调工作。
4 SA(Security Associations,安全联盟)
SA是IPSec协议的重要部分,用于在使用AH协议和ESP协议时提供保证,是这两个协议必须使用的,IPSec规定AH协议和ESP协议的实现必须支持SA。Internet密钥交换协议的主要功能之一就是对SA进行建立和维护。SA(安全联盟)能够采用单工的连接方式对在其上传输的数据信号提供安全服务。在信息传输的两个主机之间,或者两个安全网关之间,其认证通信时采用两个SA,分别用于通信的发送方和通信的接收方。根据所选的安全协议SA不同,提供不同的安全服务。比如可以选择AH或ESP等。
5 IPv6的加密机制
在IPv6中,IPSec协议在ESP字段中放入加密数据,实现了IP数据包在传输过程中的加密,保证了传输的安全性,还可以根据用户要求的不同,对用户的整个IP数据包或者只对IP数据包中的高层协议部分进行认证加密,也可以将ESP和AH组合或嵌套,提供了灵活性。比如可以对TCP或者UDP进行加密传输。提供了安全认证和数据完整检查,以及抗重放攻击等措施。
ESP主要用于对数据报进行加密以提供多种安全服务。比如可以保证IP数据包的机密性、认证数据源的身份、对抗重放攻击、提供业务流机密性等安全服务。ESP采用数据加密标准DES-CBC。ESP协议在进行数据传输时可以工作在隧道模式和传输模式两种模式下。IPSec协议在发送IP数据包之前,对ESP的各个字段进行计算,当接收端收到IP数据包之后,对原来IP数据包内容进行恢复。在隧道模式下时,ESP提供了原始IP数据包身份认证措施,还提供了对原始IP数据包和ESP尾部进行认证加密操作。在这种工作模式下,虽然既适合于主机,也适合于安全网关,但对于新的IP头不能进行保护,当ESP协议工作在安全网关时,只能采用隧道工作模式。表现出局限性。在传输工作模式下,该协议只对IP包中的传输层数据进行加密封装(如对IP包中TCP、UDP报文部分)。 6 IPv6的密钥管理机制
IKE(Internet密钥交换协议)是建立在ISAKMP(Internet Security Association and Key Management Protoco1,密钥管理协议)基础上的一种协议,该协议提供了在数据交换的通信双方,通过协商方式进行安全参数、安全协定等方面的框架建立,从而得到一个通过验证的“密钥”和建立在双方同意基础上的“安全协定”也就是SA。在这个安全协定中,包括了IP层服务、应用层或传输服务、自我保护传输等各种网络协议所涉及了一些重要信息。无论是AH或者ESP,IKE都是整个安全机制的关键部件。IKE只有在通信双方进行认证后才能协商建立SA。
IPv6就一种具有诸多优势和功能的新一代网络协议,为语音传输、数据、视频融合提供高品质的、多样化的通信服务,对于我们进行全方位、高品质的网络应用与服务提供广阔的前景。主要用于实现端到端实时通信、移动互联和宽带网络等方面。比如VOIP(Voiceover IP)电话业务、VOD视频点播、移动智能终端应用、无线网络应用等等。目前,在网络安全技术方面,国内已取得了很大发展,但面对新协议下日益复杂的入侵技术和多样性的恶意代码的存在,网络安全技术面临着巨大的挑战。本文对IPv6核心技术及安全性问题探讨,进一步梳理了IPv6的安全性问题。由于IPv4向IPv6的过渡是一个相对漫长的过程,IPv6环境下的网络安全性问题是很重要的一个环节,今后还有很多工作要做,本文的研究还存在很多不足之处,在将来IPv6将和具体的应用相结合之后,很多安全问题又会被发现,一些新的独特的网络安全问题也会被解决。
参考文献:
[1]Hagen5.Ipv6精髓[M].技桥.北京:清华大学出版社,2004,3.
[2]王志淳,吴峰.IPv6核心技术的分析[J].中国有线电视,2003,23.
[3]杜小丹,张凤荔,羊裔高,焉涛.基于移动IPv6的IPSec安全体系[J].电子科技大学学报,2004,8.
作者简介:贾山(1987-),男,河南开封人,河南中烟工业有限责任公司漯河卷烟厂,信息中心网络管理员,研究方向:网络工程。
作者单位:河南中烟工业有限责任公司漯河卷烟厂,河南漯河 462000
关键词:IPv4;IPV6;IPv6安全策略;安全性
中图分类号:TP393.08
1 IPv6的产生
目前,以TCP/IP协议簇为基本通讯机制的互联网取得了飞速发展。IPv4在互联网在实际应用中越来越暴露其脆弱性,成为制约互联网发展的瓶颈因素。比如地址空间有限、路由选择效率不高、缺乏服务质量保证、IPv4的安全性等等问题的存在,1994年7月,IETF决定以SIPP作为IPng的基础,同时把地址数由64位增加到128位。新的IP协议称为IPv6。IPv6继承了IPv4的优点,摒弃其缺点。主要体现在简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的优化、对移动通讯更好的支持等几个方面。
2 IPv6的技术改进
IPv6协议对IPv4协议进行多方面的改进,下面从地址空间、高性能、安全性、业务性支持、配置和维护等角度分析IPV6的改进和增强:(1)在地址分配上支持长度为128位的单地址的网络寻址架构,该协议定义了全局聚合单播地址、本地链路地址多播、选播地址V6-V4兼容地址和测试地址等一系列地址类型。(2)提高了传输控制及路由交换的性能。IPv6通过对报头简化以及定义了扩展选项,对约束报文和分片控制进行管理,采用了可聚合的层级化寻址方式和路由方式,提高了更加适合交换式的高速网络环境。(3)IPv6协议提供了对IPSec4强制要求的规定,既要包括支持多种密钥加密方式的密钥交换——管理协议框架IKE。从而实现鉴别首部机制AH和安全负载封装机制ESP。(4)IPv6协议定义了移动IP场合的主机注册、代理转接和优化路由机制。任一IPv6的移动主机在漫游的同时均能保持其原有的IPv6地址。从而实现与接入方式无关的端对端无缝通信。(5)IPv6协议提供了流标签机制。服务优先级和路由策略等多种服务质量保障能力,实现了对分层编码,资源预留等实时网络控制的支持,具备综合集成的差异化数据服务提供能力。(6)IPv6协议采用基于IP的邻居发现协议替代链路层的ARP协议和部分ICMP功能,并提供了网络自动配置功能,从而增强网络维护管理机制的健壮性,提高网络配置管理的高效性。
3 IP安全协议(IP Sec)
IPSec主要由AH(Authentication Header,认证协议)、ESP(封装安全载荷,Encapsulating Security Payload)和IKE(Internet Key Exchange Secure Protocol,Internet密钥交换协议)等三个主要协议组成,提供了安全认证、保证数据完整性和机密性等保护形式,这三个安全协议将成为未来Internet安全标准。
IPSec为IPv6提供了网络安全保障,但IPSec目前还不完善,存在一些问题,主要表现在:(1)IP Sec作为网络层协议不能处理高层应用的安全性问题;(2)在部署和实施IP Sec协议时,需要路由系统和网络边界等外部环境的参与,限制了通用性;(3)IP Sec的API应用开发接口还不是标准化的,对其开发的应用较少;(4)IP Sec的IKE、拒绝服务攻击、防止流量分析等方面不完善。所以,IPSec协议还要其设备如防火墙、VPN、网络过滤、漏洞扫描等网络安全设备以及高层安全协议共同协调工作。
4 SA(Security Associations,安全联盟)
SA是IPSec协议的重要部分,用于在使用AH协议和ESP协议时提供保证,是这两个协议必须使用的,IPSec规定AH协议和ESP协议的实现必须支持SA。Internet密钥交换协议的主要功能之一就是对SA进行建立和维护。SA(安全联盟)能够采用单工的连接方式对在其上传输的数据信号提供安全服务。在信息传输的两个主机之间,或者两个安全网关之间,其认证通信时采用两个SA,分别用于通信的发送方和通信的接收方。根据所选的安全协议SA不同,提供不同的安全服务。比如可以选择AH或ESP等。
5 IPv6的加密机制
在IPv6中,IPSec协议在ESP字段中放入加密数据,实现了IP数据包在传输过程中的加密,保证了传输的安全性,还可以根据用户要求的不同,对用户的整个IP数据包或者只对IP数据包中的高层协议部分进行认证加密,也可以将ESP和AH组合或嵌套,提供了灵活性。比如可以对TCP或者UDP进行加密传输。提供了安全认证和数据完整检查,以及抗重放攻击等措施。
ESP主要用于对数据报进行加密以提供多种安全服务。比如可以保证IP数据包的机密性、认证数据源的身份、对抗重放攻击、提供业务流机密性等安全服务。ESP采用数据加密标准DES-CBC。ESP协议在进行数据传输时可以工作在隧道模式和传输模式两种模式下。IPSec协议在发送IP数据包之前,对ESP的各个字段进行计算,当接收端收到IP数据包之后,对原来IP数据包内容进行恢复。在隧道模式下时,ESP提供了原始IP数据包身份认证措施,还提供了对原始IP数据包和ESP尾部进行认证加密操作。在这种工作模式下,虽然既适合于主机,也适合于安全网关,但对于新的IP头不能进行保护,当ESP协议工作在安全网关时,只能采用隧道工作模式。表现出局限性。在传输工作模式下,该协议只对IP包中的传输层数据进行加密封装(如对IP包中TCP、UDP报文部分)。 6 IPv6的密钥管理机制
IKE(Internet密钥交换协议)是建立在ISAKMP(Internet Security Association and Key Management Protoco1,密钥管理协议)基础上的一种协议,该协议提供了在数据交换的通信双方,通过协商方式进行安全参数、安全协定等方面的框架建立,从而得到一个通过验证的“密钥”和建立在双方同意基础上的“安全协定”也就是SA。在这个安全协定中,包括了IP层服务、应用层或传输服务、自我保护传输等各种网络协议所涉及了一些重要信息。无论是AH或者ESP,IKE都是整个安全机制的关键部件。IKE只有在通信双方进行认证后才能协商建立SA。
IPv6就一种具有诸多优势和功能的新一代网络协议,为语音传输、数据、视频融合提供高品质的、多样化的通信服务,对于我们进行全方位、高品质的网络应用与服务提供广阔的前景。主要用于实现端到端实时通信、移动互联和宽带网络等方面。比如VOIP(Voiceover IP)电话业务、VOD视频点播、移动智能终端应用、无线网络应用等等。目前,在网络安全技术方面,国内已取得了很大发展,但面对新协议下日益复杂的入侵技术和多样性的恶意代码的存在,网络安全技术面临着巨大的挑战。本文对IPv6核心技术及安全性问题探讨,进一步梳理了IPv6的安全性问题。由于IPv4向IPv6的过渡是一个相对漫长的过程,IPv6环境下的网络安全性问题是很重要的一个环节,今后还有很多工作要做,本文的研究还存在很多不足之处,在将来IPv6将和具体的应用相结合之后,很多安全问题又会被发现,一些新的独特的网络安全问题也会被解决。
参考文献:
[1]Hagen5.Ipv6精髓[M].技桥.北京:清华大学出版社,2004,3.
[2]王志淳,吴峰.IPv6核心技术的分析[J].中国有线电视,2003,23.
[3]杜小丹,张凤荔,羊裔高,焉涛.基于移动IPv6的IPSec安全体系[J].电子科技大学学报,2004,8.
作者简介:贾山(1987-),男,河南开封人,河南中烟工业有限责任公司漯河卷烟厂,信息中心网络管理员,研究方向:网络工程。
作者单位:河南中烟工业有限责任公司漯河卷烟厂,河南漯河 462000