IPv6對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響.doc

本科生畢業(yè)論文 設(shè)計(jì) 冊(cè) 學(xué) 部 信息工程學(xué)部 專 業(yè) 網(wǎng)絡(luò)工程 班 級(jí) 2009 級(jí) 1 班 學(xué) 生 張萬(wàn)翔 指導(dǎo)教師 侯衛(wèi)紅 論文編號(hào) 2013230303022 河北師范大學(xué)匯華學(xué)院本科畢業(yè)論文 設(shè)計(jì) 任務(wù)書 編 號(hào) 2013230303022 論文 設(shè)計(jì) 題目 IPv6 對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響 學(xué) 部 信息工程學(xué)部 專業(yè) 網(wǎng)絡(luò)工程 班級(jí) 2009 級(jí) 1 班 學(xué)生姓名 張萬(wàn)翔 學(xué)號(hào) 2009513403 指導(dǎo)教師 侯衛(wèi)紅 職稱 講師 1 論文 設(shè)計(jì) 研究目標(biāo)及主要任務(wù) 研究目標(biāo) IPv6 對(duì)現(xiàn)在網(wǎng)絡(luò)安全的影響 主要任務(wù) 通過(guò) IPv6 的含義 特征 安全機(jī)制及其較 IPv4 的優(yōu)越性分析 IPv6 的現(xiàn)狀及 發(fā)展趨勢(shì) 并根據(jù) IPv6 的安全機(jī)制分析研究其對(duì)現(xiàn)有網(wǎng)絡(luò)安全的影響 2 論文 設(shè)計(jì) 的主要內(nèi)容 論文先從現(xiàn)有 IPv4 的缺點(diǎn)和不足分析 IPv6 的特征及其發(fā)展趨勢(shì) 然后從 IP 的安全性 IPv6 對(duì)于網(wǎng)絡(luò)層安全的增強(qiáng) 協(xié)議安全與網(wǎng)絡(luò)安全以及其他安全保障等四個(gè)方面分析 IPv6 的安全機(jī)制 最后在防火墻 入侵檢測(cè) 認(rèn)證等方面敘述 IPv6 對(duì)現(xiàn)有網(wǎng)絡(luò)安全的 影響 3 論文 設(shè)計(jì) 的基礎(chǔ)條件及研究路線 基礎(chǔ)條件 通過(guò)圖書館閱覽室及上網(wǎng)查閱資料 研究路線 首先概述 IPv6 及其現(xiàn)狀和發(fā)展趨勢(shì) 突出了 IPv6 的特性和發(fā)展前景 然后 從四個(gè)方面對(duì) IPv6 的安全架構(gòu)進(jìn)行分析 最后根據(jù) IPv6 的安全機(jī)制逐條分析其對(duì)現(xiàn)有 網(wǎng)絡(luò)安全的影響 4 主要參考文獻(xiàn) 1 Y Rekhter CIDR and Glassful Routing RFC817 S IETF 1995 2 Pete Ldshin IPv6詳解 M 機(jī)械工業(yè)出版 2000 3 Sandeep Knmar CLASSIFICATION AND DETECTION OF COMPUTER INTRUSIONS PhD thesis M Purdue University 2010 5 計(jì)劃進(jìn)度 階段起止日期 1 開(kāi)題2012 11 15 2 收集資料2012 11 15 2013 02 01 3 完成初稿2013 02 01 2013 03 20 4 修改 完成二稿2013 03 20 2013 04 20 5 定稿 答辯2013 04 20 2013 05 15 指 導(dǎo) 教師 2012 年 12 月 20 日 教研室主任 年 月 日 河北師范大學(xué)匯華學(xué)院本科生畢業(yè)論文 設(shè)計(jì) 開(kāi)題報(bào)告書 信息工程 學(xué)部 網(wǎng)絡(luò)工程 專業(yè) 2013 屆 學(xué)生 姓名 張萬(wàn)翔 論文 設(shè) 計(jì) 題目 IPv6 對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響 指導(dǎo) 教師 侯衛(wèi)紅 專業(yè) 職稱 講師 所屬教 研室 網(wǎng)絡(luò)工程 研究 方向 計(jì)算機(jī)應(yīng)用 課題論證 見(jiàn)附頁(yè) 方案設(shè)計(jì) 首先闡述了 IPv6 的含義及特征 通過(guò)比較 IPv4 和 IPv6 的功能和特點(diǎn)分 析了 IPv6 的現(xiàn)狀和發(fā)展趨勢(shì) 然后通過(guò)對(duì)現(xiàn)行 IP 的安全性 IPv6 對(duì)于網(wǎng)絡(luò)層安全的 增強(qiáng) 協(xié)議安全與網(wǎng)絡(luò)安全以及其他安全保障等方面詮釋了 IPv6 的安全機(jī)制 最后 從防火墻 入侵檢測(cè) 取證等方面分析了 IPv6 的安全機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影 響 進(jìn)度計(jì)劃 2012 11 15 開(kāi)題 2012 11 15 2013 02 01 收集資料 2013 02 01 2013 03 20 完成初稿 2013 03 20 2013 04 20 修改 完成二稿 2013 04 20 2013 05 15 定稿 答辯 指導(dǎo)教師意見(jiàn) 指導(dǎo)教師簽名 2012 年 12 月 20 日 教研室意見(jiàn) 教研室主任簽名 2012 年 12 月 20 日 河北師范大學(xué)本科生畢業(yè)論文 設(shè)計(jì) 開(kāi)題報(bào)告 附頁(yè) 課題論證 一 國(guó)內(nèi)外研究現(xiàn)狀和研究背景 隨著互聯(lián)網(wǎng)的迅速發(fā)展 IPv4 定義的有限地址空 間消耗速度正在逐年加快 雖然采取了許多節(jié)約地址的方法 這些方法同時(shí)也帶來(lái)了安 全等其他方面的問(wèn)題 但據(jù) IETF Internet 工程任務(wù)組 估計(jì) 按照互聯(lián)網(wǎng)現(xiàn)在的 發(fā)展速度 IPv4 地址仍將會(huì)在 2005 2010 年間被分配完畢 IPv6 互聯(lián)網(wǎng)協(xié)議版本 6 就是在這種情況下應(yīng)運(yùn)而生的 日本是發(fā)展 IPv6 最早的國(guó)家之一 也是發(fā)展 IPv6 速度 最快的國(guó)家 由于錯(cuò)過(guò)了上世紀(jì)互聯(lián)網(wǎng)與移動(dòng)通信的發(fā)展機(jī)會(huì) 因此日本政府決心利用 3G 和 IPv6 的發(fā)展契機(jī)急起直追 使日本重新回到在通信 電子領(lǐng)域全球最先進(jìn)國(guó)家行 列 日本政府對(duì) IPv6 的發(fā)展極為重視 甚至把 IPv6 技術(shù)的發(fā)展作為政府 超高速網(wǎng)絡(luò) 建設(shè)和競(jìng)爭(zhēng) 的一項(xiàng)基本政策 并在 2001 年 3 月的 e Japan 重點(diǎn)計(jì)劃 中確定了于 2005 年完成互聯(lián)網(wǎng)向 IPv6 過(guò)渡的目標(biāo) 日本政府自 1992 年起就開(kāi)始進(jìn)行 IPv6 的研發(fā)和 標(biāo)準(zhǔn)化工作 并且取得了相當(dāng)大的成果 在研發(fā)和應(yīng)用方面都屬于世界前列 我國(guó)是 IPv6 研究工作啟動(dòng)較早的國(guó)家之一 我國(guó)政府對(duì) IPv6 在我國(guó)的發(fā)展也高度 重視 中國(guó)教育科研網(wǎng) CERNET 于 1998 年建立了國(guó)內(nèi)第一個(gè) IPv6 試驗(yàn)床 CERNETv6 標(biāo)志著我國(guó) IPv6 研究工作進(jìn)入了實(shí)質(zhì)階段 隨后 我國(guó)政府又開(kāi)展了一系列 IPv6 研究 項(xiàng)目和相關(guān)工作 1999 年 國(guó)家自然科學(xué)基金聯(lián)合項(xiàng)目 中國(guó)高速互聯(lián)研究試驗(yàn)網(wǎng) NSFCNET 啟動(dòng) 2002 年 信息產(chǎn)業(yè)部 下一代 IP 電信實(shí)驗(yàn)網(wǎng) 6TNet 項(xiàng)目啟動(dòng) 科技部 863 信息領(lǐng)域?qū)ｍ?xiàng) 高性能寬帶信息網(wǎng) 3Tnet 啟動(dòng) 2003 年 信息產(chǎn)業(yè)部 頒發(fā)首張 IPv6 核心路由器入網(wǎng)試用批文 由鄔賀銓院士出任專家組組長(zhǎng)的中國(guó)下一代 互聯(lián)網(wǎng)示范項(xiàng)目 CNGI 全面啟動(dòng) 協(xié)和醫(yī)院等 SARS 定點(diǎn)醫(yī)院采用 IPv6 新一代網(wǎng)絡(luò) 遠(yuǎn)程醫(yī)療 探視系統(tǒng) 標(biāo)志著我國(guó) IPv6 已經(jīng)開(kāi)始進(jìn)入商業(yè)試用階段 二 課題研究的內(nèi)容 首先介紹新一代網(wǎng)絡(luò)協(xié)議 IPv6 從其地址構(gòu)成 優(yōu)點(diǎn)等方面 進(jìn)行論述 對(duì)其頭部進(jìn)行分析 說(shuō)明 ICMPv6 的一些知識(shí) 對(duì) IPv6 的網(wǎng)絡(luò)安全進(jìn)行了概 述 然后分析研究網(wǎng)絡(luò)安全技術(shù) 主要介紹防火墻技術(shù) 虛擬專用網(wǎng)和入侵檢測(cè)技術(shù) 對(duì) IPv6 網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行論述 其次對(duì) Linux 中 IPv6 協(xié)議棧進(jìn)行分析研究 分析說(shuō)明 Linux 內(nèi)核中幾個(gè)重要的結(jié)構(gòu) 對(duì) Linux 網(wǎng)絡(luò)設(shè)備初始化和路由系統(tǒng)進(jìn)行論述說(shuō)明 最 后基于對(duì) Linux 中 IPv6 協(xié)議棧的分析設(shè)計(jì)實(shí)現(xiàn)一個(gè) IPv6 環(huán)境下的基于狀態(tài)檢測(cè)的包過(guò) 濾防火墻 設(shè)計(jì)其整體架構(gòu) 對(duì)其中重要模塊實(shí)現(xiàn)流程進(jìn)行了分析 進(jìn)行仿真測(cè)試 三 課題研究的意義 隨著移動(dòng)互聯(lián)網(wǎng) 物聯(lián)網(wǎng) 三網(wǎng)融合等研究的開(kāi)展 下一代 互聯(lián)網(wǎng)研究正在如火如荼地展開(kāi) IPv6 作為下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議 自然也是研究的 熱點(diǎn) 未來(lái)的競(jìng)爭(zhēng)是價(jià)值鏈之間的競(jìng)爭(zhēng) 因此 我國(guó)應(yīng)該繼續(xù)極大 IPv6 發(fā)展的力度 通 過(guò)政府的統(tǒng)籌規(guī)劃和宏觀指導(dǎo) 設(shè)備制造商 應(yīng)用提供商 運(yùn)營(yíng)商 業(yè)務(wù)提供商等的精 誠(chéng)協(xié)作 有步驟 有計(jì)劃 分階段 分層次地推動(dòng) IPv6 的發(fā)展 首先把國(guó)內(nèi)的價(jià)值鏈 做大做強(qiáng) 使得整個(gè)行業(yè)能夠協(xié)調(diào)發(fā)展起來(lái) 這樣才能使我國(guó)獲得戰(zhàn)略性的整體競(jìng)爭(zhēng)優(yōu) 勢(shì) 實(shí)現(xiàn)我們強(qiáng)國(guó)的夢(mèng)想 四 研究方案及其可行性 具體的研究采用文獻(xiàn)資料 綜合運(yùn)用大學(xué)階段學(xué)習(xí)的數(shù) 學(xué)分析課程的有關(guān)知識(shí) 通過(guò)專家調(diào)研和文獻(xiàn)調(diào)研 結(jié)合互聯(lián)網(wǎng)上查到的相關(guān)資料和個(gè) 人 組織在各種刊物上發(fā)表的研究函數(shù)列一致可積中存在的問(wèn)題與解決方法的文章 并 向相關(guān)專業(yè)教師特別是指導(dǎo)老師當(dāng)面請(qǐng)教 河北師范大學(xué)匯華學(xué)院本科生畢業(yè)論文 設(shè)計(jì) 文獻(xiàn)綜述 隨著電子技術(shù)及網(wǎng)絡(luò)技術(shù)的發(fā)展 計(jì)算機(jī)網(wǎng)絡(luò)將進(jìn)入人們的日常生活 可能身邊的 每一樣?xùn)|西都需要連入全球因特網(wǎng) 目前我們使用的第二代互聯(lián)網(wǎng) IPv4 技術(shù) 核心技術(shù) 屬于美國(guó) 它的最大問(wèn)題是網(wǎng)絡(luò)地址資源有限 從理論上講 IPv4 技術(shù)可使用的 IP 地址 有 43 億個(gè) 其中北美占有 3 4 約 30 億個(gè) 而人口最多的亞洲只有不到 4 億個(gè) 中國(guó) 只有 3 千多萬(wàn)個(gè) 只相當(dāng)于美國(guó)麻省理工學(xué)院的數(shù)量 地址不足 嚴(yán)重地制約了我國(guó)及其 他國(guó)家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展 但是與 IPv4 一樣 IPv6 一樣會(huì)造成大量的 IP 地址浪費(fèi) 準(zhǔn) 確的說(shuō) 使用 IPv6 的網(wǎng)絡(luò)并沒(méi)有 2 128 1 個(gè)能充分利用的地址 首先 要實(shí)現(xiàn) IP 地址的 自動(dòng)配置 局域網(wǎng)所使用的子網(wǎng)的前綴必須等于 64 但是很少有一個(gè)局域網(wǎng)能容納 2 64 個(gè)網(wǎng)絡(luò)終端 其次 由于 IPv6 的地址分配必須遵循聚類的原則 地址的浪費(fèi)在所難免 但是 如果說(shuō) IPv4 實(shí)現(xiàn)的只是人機(jī)對(duì)話 而 IPv6 則擴(kuò)展到任意事物之間的對(duì)話 它不 僅可以為人類服務(wù) 還將服務(wù)于眾多硬件設(shè)備 如家用電器 傳感器 遠(yuǎn)程照相機(jī) 汽 車等 它將是無(wú)時(shí)不在 無(wú)處不在的深入社會(huì)每個(gè)角落的真正的寬帶網(wǎng) 而且它所帶來(lái)的 經(jīng)濟(jì)效益將非常巨大 由lP地址危機(jī)產(chǎn)生和發(fā)展起來(lái)的IPv6作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)得到了各方的公認(rèn) 未來(lái)互聯(lián)網(wǎng)的發(fā)展離不開(kāi)IPv6的支持和應(yīng)用 正因?yàn)槿绱?目前各方面都在加緊對(duì)IPv6的 研究和應(yīng)用開(kāi)發(fā) 但是 IPv6的發(fā)展主要依靠政府和廠商兩方面的支持 1 政府支持 許多國(guó)家對(duì)IPv6技術(shù)都已經(jīng)引起足夠的重視 并且都采取了一些切實(shí) 可行的措施 尤其是一些歐洲國(guó)家 作為互聯(lián)網(wǎng)絡(luò)的發(fā)源地 美國(guó)也在積極地進(jìn)行IPv6的 研究和建設(shè) 中國(guó)對(duì)于IPv6技術(shù)的態(tài)度也是很積極的 并且在部分地區(qū)實(shí)行了網(wǎng)上實(shí)驗(yàn) 進(jìn)一步推動(dòng)中國(guó)IPv6的開(kāi)展 中國(guó)政府也密切關(guān)注著IPv6的發(fā)展 目前中國(guó)高校和科研機(jī) 構(gòu)已經(jīng)與國(guó)外一些運(yùn)營(yíng)商合作 對(duì)IPv6進(jìn)行研究實(shí)驗(yàn) 為進(jìn)一步發(fā)展IPv6技術(shù) 中國(guó)政府 也投入了相當(dāng)數(shù)量的資金 然而 該協(xié)議在巾國(guó)的大規(guī)模應(yīng)用還要有一段時(shí)間 2 廠商支持 IIJv6作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)引起了各地區(qū) 各運(yùn)營(yíng)商的足夠重視 因?yàn)樗腥硕家呀?jīng)認(rèn)識(shí)到這樣一種前景 誰(shuí)能夠率先在IPv6方面有所作為 誰(shuí)就能夠在 未來(lái)的競(jìng)爭(zhēng)中占據(jù)有利位置 在眾多的設(shè)備提供商和運(yùn)營(yíng)商的努力下 IPv6協(xié)議已經(jīng)從實(shí) 驗(yàn)室走向了應(yīng)用階段 已經(jīng)有50多個(gè)國(guó)家和地區(qū)加入有關(guān)IPv6的研究 法 日 美等國(guó)的 研究機(jī)構(gòu) IBM Sun 日立等公司 分別研制開(kāi)發(fā)了不同平臺(tái)上的IPv6系統(tǒng)軟件和應(yīng)用 軟件 美國(guó)思科 加拿大北電網(wǎng)絡(luò) Nokia等路由器廠商已經(jīng)開(kāi)發(fā)出了面向IPv6網(wǎng)絡(luò)的路 由器產(chǎn)品 操作系統(tǒng)方面 基于開(kāi)放源碼的Linux對(duì)IPv6提供了比較強(qiáng)的支持 Sun IBM 康柏 惠普和微軟的最新操作系統(tǒng)都提供了IPv6支持 IP網(wǎng)處于一個(gè)重要發(fā)展 階段 IP網(wǎng)從計(jì)算機(jī)互聯(lián)網(wǎng)領(lǐng)域進(jìn)入電信領(lǐng)域 期望將全部電信業(yè)務(wù)綜合到IP網(wǎng)上 當(dāng)然 能完全綜合電信業(yè)務(wù)的IP網(wǎng)不是簡(jiǎn)單地將現(xiàn)有Internet網(wǎng)用的IP技術(shù)搬過(guò)來(lái) 在網(wǎng)絡(luò)節(jié) 點(diǎn)設(shè)備做一些冗余備份以增加網(wǎng)元設(shè)備的穩(wěn)定性就可以完成 IP網(wǎng)必須要有革命性的變 化 這是因?yàn)?電信網(wǎng)和Internet網(wǎng)的理念不一樣 電信網(wǎng)是提供商業(yè)服務(wù)的 它提供的 電信服務(wù)是一種商品 因而它要保證服務(wù)質(zhì)量 要有足夠的安全性 可靠性和能夠確保 售后服務(wù)能力 它必須有很強(qiáng)的可管理性和可維護(hù)性 用電信網(wǎng)的設(shè)計(jì)理念設(shè)計(jì)的IP網(wǎng)是 1P電信網(wǎng) IP技術(shù)一旦進(jìn)入電信領(lǐng)域 首當(dāng)其沖的問(wèn)題是地址問(wèn)題 IP電信網(wǎng)是要能持續(xù) 發(fā)展的 IPv4無(wú)法支持持續(xù)發(fā)展 因而使用IPv6勢(shì)在必行 寬帶接入網(wǎng)在國(guó)內(nèi)發(fā)展勢(shì)頭很 猛 寬帶接入網(wǎng)遇到的最大困難是IP地址問(wèn)題 由于業(yè)務(wù)特征的不同 窄帶業(yè)務(wù)與寬帶業(yè) 務(wù)有很大的差別 窄帶業(yè)務(wù)一般以不對(duì)稱和非實(shí)時(shí)方式工作 典型的業(yè)務(wù)是信息檢索和 電子信箱 用戶無(wú)需永遠(yuǎn)在線 用戶使用時(shí)在線 用戶不用時(shí)離線 寬帶業(yè)務(wù)一般以對(duì) 稱和實(shí)時(shí)方式工作 典型的業(yè)務(wù)是電話 會(huì)議電視 信息點(diǎn)播等 業(yè)務(wù)的對(duì)稱性就決定 寬帶用戶必須是永遠(yuǎn)在線的 如果不是永遠(yuǎn)在線 其他用戶就找不到它 對(duì)稱業(yè)務(wù)就無(wú) 法開(kāi)展 永遠(yuǎn)在線 就意味著用戶必須至少擁有一個(gè)lP地址 目前采用的辦法是網(wǎng)絡(luò)地址 轉(zhuǎn)換 NAT 技術(shù) 或利用端lZt復(fù)用技術(shù) 或使用私有l(wèi)P地址 來(lái)擴(kuò)大公開(kāi)IP地址的使用 率 這是一個(gè)不得已而為之的技術(shù) 存在的弊病很多 問(wèn)題很大 無(wú)線數(shù)據(jù)業(yè)務(wù)的迅速增 長(zhǎng)和快速發(fā)展 同樣提出對(duì)lP地址的要求 地址問(wèn)題的解決迫在眉睫 它將要嚴(yán)重的影 響通信產(chǎn)業(yè)的發(fā)展 這也要求將IPv6的使用提到日程上來(lái) CNGI項(xiàng)日的啟動(dòng) 對(duì)于我國(guó)發(fā) 展IPv6來(lái)說(shuō) 是一個(gè)很好的契機(jī) CNGI項(xiàng)目的目標(biāo)之一是期望通過(guò)示范網(wǎng)引導(dǎo)國(guó)內(nèi)信息 產(chǎn)業(yè)的發(fā)展 CNGI不直接與短期經(jīng)濟(jì)利益掛鉤 而是從國(guó)家的長(zhǎng)遠(yuǎn)利益來(lái)考慮問(wèn)題 從 發(fā)展的眼光來(lái)指導(dǎo)產(chǎn)業(yè)的進(jìn)步 當(dāng)然 目前IPv6技術(shù)上還不成熟 IPv6的設(shè)備的性能還不 及IPv4的性能 IPv6網(wǎng)的性能還達(dá)不到目前IPv4網(wǎng)的性能 僅靠IPv6還解決不了IP網(wǎng)的 三大頑疾 商業(yè)模型問(wèn)題 安全問(wèn)題和服務(wù)質(zhì)量問(wèn)題 存在的問(wèn)題很多 用什么技術(shù)路線 去實(shí)現(xiàn)CNGI的目標(biāo) 目前還不明確 CNGI項(xiàng)目將會(huì)面臨巨大的挑戰(zhàn) 另一方面 CNGI項(xiàng) 目擁有巨大的創(chuàng)新機(jī)遇 對(duì)CNGI項(xiàng)目來(lái)說(shuō) 機(jī)遇與挑戰(zhàn)并存 作為一個(gè)互聯(lián)網(wǎng)和移動(dòng)通信 大國(guó) 在下一代互聯(lián)網(wǎng)標(biāo)準(zhǔn)和資源分配中占領(lǐng)主動(dòng)地位是目前我國(guó)信息產(chǎn)業(yè)發(fā)展的重中 之重 IPv6作為互聯(lián)網(wǎng)的核心基本技術(shù) 將帶動(dòng)大量相關(guān)技術(shù)和服務(wù)的發(fā)展 提升信息產(chǎn) 業(yè)的整體實(shí)力 為巾國(guó)的毹息產(chǎn)業(yè)帶來(lái)新的發(fā)展機(jī)遇 河北師范大學(xué)匯華學(xué)院本科生畢業(yè)論文 設(shè)計(jì) 翻譯文章 網(wǎng)絡(luò)安全 在計(jì)算機(jī)網(wǎng)絡(luò)最初出現(xiàn)的幾十年里 它主要用于在各大學(xué)的研究人員之間傳送電子郵件 以及共同合作的職員間共享打印機(jī) 在這種條件下 安全性未能引起足夠的注意 但是 現(xiàn)在 眾多的普通市民使用網(wǎng)絡(luò)來(lái)處理銀行事物 購(gòu)物和納稅 網(wǎng)絡(luò)安全逐漸成為一個(gè) 潛在的巨大問(wèn)題 以下將從不同的角度來(lái)介紹網(wǎng)絡(luò)安全性 1 簡(jiǎn)介 安全性是一個(gè)涉及面很廣的問(wèn)題 其中也涉及到是否構(gòu)成犯罪行為的問(wèn)題 大多數(shù) 安全性問(wèn)題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人兒故意引起的 網(wǎng)絡(luò)安全性可以被粗略地分為 4 個(gè)相互交織的部分 保密 鑒別 反拒認(rèn)以及完整 性控制 保密是指保護(hù)信息不被未授權(quán)者訪問(wèn) 這是人們?cè)谡務(wù)摼W(wǎng)絡(luò)安全性時(shí)最常想到 的問(wèn)題 鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之間先確認(rèn)對(duì)方的身份 反拒認(rèn)主 要與簽名有關(guān) 當(dāng)你的客戶下了一份要采購(gòu) 1000 萬(wàn)雙手套的訂單 后來(lái)她宣稱每雙的價(jià) 格是 69 美分 如何證明她原先答應(yīng)的價(jià)格是 89 美分呢 最后如何確定自己收到的消息 是最初發(fā)送的那條消息 而不是被有惡意的敵人篡改或偽造過(guò)的呢 所有這些問(wèn)題 保 密 鑒別 反拒認(rèn)和完整性控制 也發(fā)生在傳統(tǒng)的系統(tǒng)中 但卻有很大的差別 在討論解決方法之前 值得花些時(shí)間考慮網(wǎng)絡(luò)安全性屬于協(xié)議組的哪一部分內(nèi)容 可能無(wú)法確定一個(gè)單獨(dú)的位置 因?yàn)榘踩耘c每一層都有關(guān) 2 傳統(tǒng)加密技術(shù) 在計(jì)算機(jī)出現(xiàn)之前 加密的主要困難之一是譯碼員的譯碼能力 尤其是在裝備簡(jiǎn)陋 的戰(zhàn)場(chǎng) 另一個(gè)困難是從一種加密方法到另一種加密方法的轉(zhuǎn)換 因?yàn)檫@需要重新訓(xùn)練 一大批人 然而 由于敵人可能俘獲譯碼員 故而快速更換加密方法是基本要求 要加密的信息成為明文 經(jīng)過(guò)以密鑰為函數(shù)的參數(shù)加以轉(zhuǎn)換 加密過(guò)程的輸出 即 密文 再由傳令兵或無(wú)線電進(jìn)行發(fā)送 假定敵人或稱侵犯者 聽(tīng)到或準(zhǔn)確復(fù)制了全部的 電文 但是她不像合法接受者那樣能知道密鑰 因而不能輕易地破譯密文 有時(shí)候侵犯 者不僅監(jiān)聽(tīng)通信信道 被動(dòng)侵犯者 而且還要記錄信息供以后重放 并要在信息到達(dá)接 收者之前插入自己的信息或修改合法信息 主動(dòng)侵犯者 破譯密碼被稱作密碼分析 設(shè) 計(jì)密碼 加密 和破譯密碼 解碼 的技術(shù)統(tǒng)稱為密碼學(xué) 要想實(shí)現(xiàn)真正的保密就必須設(shè)計(jì)出性能良好的密鑰 其長(zhǎng)度是要考慮的主要問(wèn)題 例如一個(gè)簡(jiǎn)單的組合鎖 基本原理是用戶輸入數(shù)字序列 每個(gè)人都知道這點(diǎn) 但密鑰是 保密的 一個(gè) 2 位數(shù)字的密鑰意味著有 100 種可能性 一個(gè) 3 位數(shù)字的密鑰意味著有 1000 種可能性 一個(gè) 6 位數(shù)字的密鑰則意味著有 100 萬(wàn)種可能性 密鑰越長(zhǎng) 破譯者需 要處理的工作因子越高 通過(guò)密鑰空間的窮舉搜索來(lái)破譯系統(tǒng)的工作因子與密鑰長(zhǎng)度成 指數(shù)關(guān)系 保密性由強(qiáng)有力 但公開(kāi) 的算法和長(zhǎng)密鑰來(lái)保證 為了防止其她人讀取你 的電子郵件 需要 64 位的密鑰 為了防止主要政府部門陷入絕境 至少需要 256 位的密 鑰 3 兩條基本加密原則 盡管下面將要討論多種不同的加密系統(tǒng) 但所有這些系統(tǒng)卻都基于兩條重要的原則 第 1 條是所有的加密消息都包含有冗余的信息 即對(duì)于這條消息的理解無(wú)幫助的信 息 下面通過(guò)一個(gè)例子說(shuō)明為什么這是必需的 一家名叫 Couch Potato TCP 的郵件訂單 公司 擁有 60000 件產(chǎn)品 假設(shè)她們的效率很高 TCP 的程序員決定訂單信息由 16 字 節(jié)的用戶名和 3 字節(jié)數(shù)據(jù)組成 1 字節(jié)數(shù)量 2 字節(jié)產(chǎn)品號(hào) 最后 3 字節(jié)使用很長(zhǎng)的密 鑰加密 此密鑰只有客戶和 TCP 知道 最初看來(lái)這似乎很安全 因?yàn)楸粍?dòng)的入侵者無(wú)法解密信息 不幸的是 存在著一個(gè) 致命的缺點(diǎn)是它毫無(wú)用處 假設(shè)一個(gè)最近被解雇的雇員想要報(bào)復(fù) TCP 在離開(kāi)時(shí) 她帶 走了部分的客戶名單 她通宵達(dá)旦地工作 編寫一個(gè)程序來(lái)生成使用真實(shí)客戶名的假訂 單 由于她不知道密鑰 她在最后 3 字節(jié)填上隨機(jī)數(shù) 并發(fā)了上百份訂單給 TCP 當(dāng) TCP 收到這些信息時(shí) 計(jì)算機(jī)通過(guò)客戶名來(lái)確定密鑰并對(duì)信息解碼 糟糕的是 由于幾乎每條 3 字節(jié)信息都是有效的 所以計(jì)算機(jī)開(kāi)始打印出發(fā)貨的命令 盡管一個(gè)客 戶訂購(gòu) 137 套小孩的秋千或 240 個(gè)沙盒看上去很奇怪 但計(jì)算機(jī)可能認(rèn)為客戶打算開(kāi)一 批獲得特許的游樂(lè)園 通過(guò)這種方法 一個(gè)主動(dòng)地入侵者 被解雇者 會(huì)引起巨大的麻 煩 盡管她不了解自己的計(jì)算機(jī)產(chǎn)生的信息 這個(gè)問(wèn)題可以通過(guò)對(duì)消息增加冗余來(lái)解決 但是 增加冗余也使破譯者更容易破譯信息 由此可知 加密原則本身就是所有信息必須包含冗余信息以防止積極的入侵者欺騙 接受者 使接受者獲得錯(cuò)誤的信息 但是 同樣的冗余信息使消極入侵者破壞系統(tǒng)更容 易 因此 這里還是存在一些問(wèn)題 另外 冗余信息絕對(duì)不能采取在信息的開(kāi)頭或末尾 設(shè)置 n 個(gè)零的形式 因?yàn)橛媚承┘用芩惴用苓@樣的信息會(huì)使得結(jié)果更加容易推測(cè) 從 而使破譯者的工作更為容易 對(duì)冗余來(lái)說(shuō) 隨機(jī)的英文單詞串更好一些 第 2 條加密原則是必須采取措施來(lái)防止主動(dòng)入侵者發(fā)回舊的信息 如果不采取這樣 的措施 那么被解雇者就可能竊聽(tīng) TCP 的電話 并且不斷地發(fā)送已經(jīng)發(fā)送過(guò)的有效信息 4 鑒別協(xié)議 鑒別是驗(yàn)證通信對(duì)象是原定的那位而不是冒名頂替者的技術(shù) 驗(yàn)證遠(yuǎn)程過(guò)程實(shí)體是 否是一個(gè)惡意的積極入侵者十分困難 并需要基于密碼學(xué)的復(fù)雜協(xié)議 本部分我們將研 究幾個(gè)用于不安全的計(jì)算機(jī)網(wǎng)絡(luò)中的鑒別協(xié)議 另外 有些人弄混了授權(quán)與鑒別 鑒別關(guān)心的是是否在和一個(gè)特定的進(jìn)程進(jìn)行通信 授權(quán)關(guān)心的是允許此進(jìn)程做什么 例如 一個(gè)客戶進(jìn)程向一個(gè)文件服務(wù)器發(fā)出請(qǐng)求 我 是 Scott 的進(jìn)程 我想要?jiǎng)h除文件 Cookbook old 從文件服務(wù)器的觀點(diǎn)看來(lái) 有兩個(gè)問(wèn) 題必須回答 這是否確實(shí)是 Scott 的進(jìn)程 鑒別 允許 Scott 刪除 Cookbook old 嗎 授權(quán) 只有在對(duì)這兩個(gè)問(wèn)題都做出了肯定答復(fù)后 請(qǐng)求的動(dòng)作才會(huì)執(zhí)行 前一個(gè)問(wèn)題是關(guān) 鍵問(wèn)題 一旦文件服務(wù)器知道自己與誰(shuí)通話 查看授權(quán)就成為了一個(gè)僅僅是查看本地表 的問(wèn)題 For the first few decades of their existence computer networks were primarily used by university research for sending email and by corporate employees for sharing printers Under these condition security did not get a lot of attention But now as million of ordinary citizens are using networks for banking shopping and filing their tax returns network security is looming on the horizon as a potentially massive problem In the following sections we will study network security from several angles Network Security Technology 1 Introduction Security is a broad topic and covers a multitude of sins Most security problem are intentionally caused by malicious people trying to gain some benefit or harm someone Network security can be roughly divided into four interwoven parts confidentiality identification refused to recognize and integrity control Privacy is refers to protect information from the grantee not access this is most often think of when people talk about network security problem Identification mainly refers to between reveal sensitive information or for the transaction to confirm the identity of the other first Anti refused to recognize the main associated with signature when your clients under the order for a want to buy 10 million pairs of gloves and she later claimed that each pair is the price of 69 cents 89 cents is the price of how to prove that she had promised to Finally how to determine whether your received message is first sent that message rather than being malicious tampering or forgery of enemy All of these problems confidentiality identification refused to recognize and integrity control also occurred in the traditional system but there s a big difference Prior to discuss solutions it is worth taking a moment to consider network security is which part of the contents of the protocol group May not be able to identify a single location security and a layer 2 Traditional Cryptography Before the advent of the computer one of the major difficulties of encryption The decoder decoding capability especially in poorly equipped battlefield Another difficulty is the conversion of an encryption method an encryption method to retrain because it requires a large number of people However since the enemy may capture decoding members hence the quick change encryption method is a basic requirement Become clear the information to be encrypted key as a function of parameters to convert The output of the encryption process i e the ciphertext and then by a messenger or radio transmission Assume that the enemy or alleged violations to hear or accurate copy of the message but she was not a legitimate recipient as know the key and thus can not easily decipher the ciphertext sometimes violating not only listening to the communication channel passive offenders but also to record the information for later playback and insert your own information or to modify the legal information active offenders before the information reaches the recipient Decipher the password is called cryptanalysis Design password encryption and decipher the password decoding technology collectively referred to as cryptography In order to achieve real confidentiality must design a good key its length is a major consideration For example a simple combination lock the basic principle is the user to enter a sequence of numbers everyone knows this but the key is kept secret A 2 bit digital key means that there are 100 possibilities A 3 digit key means 1000 possibilities A 6 digit key means that there are 100 million possible combinations The longer the key the higher the factor decipher need to be addressed System to decipher the work factor and key length exponential relationship through an exhaustive search of the key space Confidentiality is guaranteed by the strong public algorithms and long keys In order to prevent her to read your e mail you need a 64 bit key desperate to prevent major government departments need at least a 256 bit key 3 Two Fundamental Cryptographic Principles Although the following will be discussed a variety of different encryption system but all of these systems are nothing but based on two important principles The first is all encrypted messages contain redundant information that is no help in the understanding of this message The following is an example of why this is necessary Company called Couch Potato TCP mail order company with 60 000 Assuming their high efficiency TCP programmer determines the quantity of the order information from the 16 bytes of the user name and 3 bytes of data 1 byte 2 bytes Number The last 3 bytes long encryption key This key customers and TCP know Appears at first sight this seems to be very safe because passive intruder can not decrypt the message Unfortunately there is a fatal flaw is that it is useless Assume a dismissed employee wants revenge TCP When they left she took the part of the customer list Her work through the night to write a program that creates a false orders using real customer name Because she does not know the key she fill in the last 3 bytes of random numbers concurrent hundreds of orders to TCP When TCP receives this information the computer to determine the key and decode the information by customer name Bad because almost every 3 bytes are valid so the computer to start printing Example command Although a customer orders 137 sets of children s swing or 240 sandbox seem odd but the computer that the customer intends to open a number of license amusement park In this way an active intruder dismissal can cause a great deal of trouble even though she did not understand their own computer generated information This problem can be solved by adding redundancy to the message to However increasing the redundancy to decipher it easier to decipher the information Therefore encryption principle is that all information must contain redundant information in order to prevent an active intruder to deceive the recipient the recipient of wrong information However the same redundant information so that the system of negative intruders easier so here there are some problems In addition redundant information must not be taken at the beginning or the end of the set in the form of the n zeros because some of the encryption algorithm such information will make the results easier to speculate to decipher the work easier Redundant random English word train better The second encrypted principles must take measures to prevent active intruders back to the old information If you do not take such measures was fired eavesdropping the TCP telephone and send the information has been sent 4 Secret Key Algorithms Identification is to verify that the communication object is the original who is not an impostor technology Verify that the remote procedure whether an entity is a malicious intruder positive is very difficult and requires complex protocols based on cryptography In this section we will study several authentication protocol for insecure computer network In addition some people confused authorization and authentication The concern is to identify whether a particular process communication The authorized concern is to allow this process to do what For example a client process makes a request to a file server I am the process of Scott I want to delete a file Cookbook old From the file server point of view two questions must be answered Are you sure you Scott process identification Allow Scott to delete Cookbook old authorization Only in these two issues have made a positive reply the requested action will be executed before a problem is the key issue Once the file server know who to call view authorized to become a just view the local table 本科生畢業(yè)論文設(shè)計(jì) IPv6IPv6 對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響 作者姓名 張萬(wàn)翔 指導(dǎo)教師 侯衛(wèi)紅 所在學(xué)部 信息工程學(xué)部 專 業(yè) 網(wǎng)絡(luò)工程 班級(jí) 屆 2009 級(jí) 1 班 二 一三年五月一日 目 錄 中文摘要 關(guān)鍵字 I 1 緒論 1 1 1 IPV6 概述 1 1 2 IPV6 的發(fā)展現(xiàn)狀與趨勢(shì) 2 2 IPV6 的安全機(jī)制 6 2 1 現(xiàn)行 IP 的安全性 6 2 2 IPv6 對(duì)于網(wǎng)絡(luò)層安全的增強(qiáng) 7 2 2 1 認(rèn)證報(bào)頭 7 2 2 2 封裝化安全凈荷 8 2 3 協(xié)議安全與網(wǎng)絡(luò)安全 8 2 4 其他安全保障 9 3 IPV6 的安全機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響 9 3 1 防火墻 10 3 2 入侵檢測(cè) 11 3 3 取證 11 3 4 其他 12 5 IPv6 提高網(wǎng)絡(luò)安全性同時(shí)面臨新問(wèn)題 12 參考文獻(xiàn) 13 英文摘要 關(guān)鍵字 II IPv6 對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響 摘要 本文介紹了 IPv6 的現(xiàn)狀和發(fā)展趨勢(shì) 安全網(wǎng)絡(luò)架構(gòu) 并通過(guò)對(duì)比 IPv4 協(xié)議與 IPv6 協(xié)議體現(xiàn) IPv6 的安全機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)安全體系的影響 IPv6 不但解決了當(dāng)今 IP 地 址匱乏的問(wèn)題 并且由于它引入了認(rèn)證和加密機(jī)制 實(shí)現(xiàn)了基于網(wǎng)絡(luò)層的身份認(rèn)證 確 保了數(shù)據(jù)包的完整性和機(jī)密性 因此 可以說(shuō) IPv6 實(shí)現(xiàn)了網(wǎng)絡(luò)層安全 但是 這種安全并 不是絕對(duì)的 并且由于 IPv6 的安全機(jī)制給當(dāng)前的網(wǎng)絡(luò)安全體系帶來(lái)了新的挑戰(zhàn) 致使許 多在現(xiàn)有的網(wǎng)絡(luò)中對(duì)保護(hù)網(wǎng)絡(luò)安全中起著重要作用的工具受到了巨大的沖擊 急需安全 專家進(jìn)一步研究和積累經(jīng)驗(yàn) 盡快找出合適的方法解決 關(guān)鍵詞 IPv6 網(wǎng)絡(luò)安全 影響 IPv6 對(duì)現(xiàn)在網(wǎng)絡(luò)安全帶來(lái)的影響 1 緒論 由于 IPv4 在設(shè)計(jì)之初在資源限制上較為保守 所以現(xiàn)在 Internet 的爆炸性增長(zhǎng)引發(fā) 了網(wǎng)絡(luò)地址不足的危機(jī) 并且這個(gè)危機(jī)正日益嚴(yán)重 按目前入網(wǎng)主機(jī)的增長(zhǎng)速度 預(yù)計(jì) 到 5 年左右 IP 地址將將被耗盡 另一方面 出于安全和私密性的考慮 越來(lái)越多的商業(yè) 機(jī)構(gòu)和政府部門不再愿意在不安全的網(wǎng)絡(luò)上發(fā)送他們敏感的信息和進(jìn)行明文的交流 從 而導(dǎo)致對(duì)于加密認(rèn)證的需求飛速增長(zhǎng) 為了解決這些問(wèn)題 IETF 從 1992 年起就開(kāi)始了 相關(guān)的研究 并于 1994 年提出了 IPng 建議草案 1995 年底 IETF 提出了正式的協(xié)議規(guī)范 這個(gè)規(guī)范又經(jīng)過(guò)進(jìn)一步的修改 成為今天的 IPv6 IPv6 采用了 128 位的地址空間 徹底 解決 IPv4 地址不足的問(wèn)題 為了加強(qiáng)安全性 IPv6 中定義了認(rèn)證報(bào)頭 Authentication Header AH 和封裝化安全凈荷 Encapsulating Security Payload ESP 從而使在 IPv4 中僅僅作為選項(xiàng)使用的 IPsec 協(xié)議成為 IPv6 的有機(jī)組成部分 IPsec 提供了兩種安全機(jī)制 加密和認(rèn)證 加密是通過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼來(lái)保證數(shù)據(jù)的機(jī)密性 以防數(shù)據(jù)在傳輸過(guò)程中被 他人截獲而失密 認(rèn)證使得 IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù) 據(jù)在傳輸過(guò)程中是否遭到改動(dòng) 可以說(shuō) 正是由于 IPsec 的引入 使得 IPv6 在網(wǎng)絡(luò)層的安 全性上得到了很大的增強(qiáng) 但是它的應(yīng)用也帶來(lái)的一些新的問(wèn)題 并且對(duì)于現(xiàn)行的網(wǎng)絡(luò)安 全體系提出了新的要求和挑戰(zhàn) 1 1 IPv6 概述 IPv6 Internet Protocol Version 6 是 IETF 設(shè)計(jì)的用于替代現(xiàn)行版本 IPv4協(xié)議的下一代 IP 協(xié)議 目前的全球因特網(wǎng)所采用的協(xié)議族是 TCP IP 協(xié)議族 其網(wǎng)絡(luò)層的協(xié)議就是 IP 同時(shí)也是 TCP IP 協(xié)議族的核心協(xié)議 隨著電子網(wǎng)絡(luò)技術(shù)的發(fā)展 計(jì)算機(jī)將逐漸進(jìn)入 人們的日常生活 我們的生活點(diǎn)滴都將進(jìn)入 Internet 正是在這樣的環(huán)境下 IPv6應(yīng)運(yùn)而 生 IPv6是可以無(wú)限制地增加 IP 網(wǎng)址數(shù)量 并且擁有卓越網(wǎng)絡(luò)安全性能和巨大網(wǎng)址空間 等特點(diǎn)的新一代互聯(lián)網(wǎng)協(xié)議 特點(diǎn)表現(xiàn)為 1 地址空間巨大 IPv6地址空間由 IPv4的32位擴(kuò)大到128位 地址空間增大了2的96 次方倍 2 地址層次豐富且分配合理 IPv6的終端管理機(jī)構(gòu)將某一確定的 TLA 分配給某些骨 干網(wǎng)的 ISP 然后骨干網(wǎng) ISP 再有選擇性地為各個(gè)中小 ISP 分配 NLA 而 Internet 用戶則 從中小 ISP 獲得單一的 IP 地址 3 靈活的 IP 報(bào)文頭部格式 IPv6用固定格式的擴(kuò)展頭部取代了 IPv4中可變長(zhǎng)度的 選項(xiàng)字段 并且選項(xiàng)部分的出現(xiàn)方式也有所變化 4 提高 lP 層網(wǎng)絡(luò)安全性能 IPv6 要求強(qiáng)制實(shí)施 Internet 網(wǎng)絡(luò)安全協(xié)議 IPSec 并將 其標(biāo)準(zhǔn)化 該協(xié)議支持驗(yàn)證頭協(xié)議 封裝安全性載荷協(xié)議和密鑰交換 IKE 協(xié)議 這 3 種 協(xié)議將是未來(lái)因特網(wǎng)的安全標(biāo)準(zhǔn) IPv6 除擁有上述特性以外 還具有無(wú)狀態(tài)自動(dòng)配置 簡(jiǎn)化報(bào)文頭部格式 支持多類型服務(wù)以及允許協(xié)議繼續(xù)演變等特性 1 2 IPv6 的發(fā)展現(xiàn)狀與趨勢(shì) 目前我們正在使用的互聯(lián)網(wǎng)是建立在 IPv4 協(xié)議 互聯(lián)網(wǎng)協(xié)議版本 4 基礎(chǔ)之上的 IPv4 采用 32 位地址長(zhǎng)度 只有大約 43 億個(gè)地址 隨著互聯(lián)網(wǎng)的迅速發(fā)展 IPv4 定義的 有限地址空間消耗速度正在逐年加快 雖然采取了許多節(jié)約地址的方法 這些方法同時(shí) 也帶來(lái)了安全等其他方面的問(wèn)題 但據(jù) IETF In