IPv6的安全性策略設(shè)計論文

1、六安職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(論文IPv6的安全性策略姓名:丁新穎學(xué)號:20102959班級:系統(tǒng)維護1001指導(dǎo)教師:張志剛所在系部:信息工程系二一三年六月學(xué)生姓名丁新穎班級系統(tǒng)維護1001指導(dǎo)教師張志剛學(xué)號20102959畢業(yè)論文(設(shè)計題目IPV6的安全性策略隨著科學(xué)技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)改變著人們的工作和生活方式。上網(wǎng)的方式很多,例如撥號上網(wǎng),無線上網(wǎng),寬帶上網(wǎng),談到上網(wǎng)我們就想到了上網(wǎng)計算機所采用的協(xié)議,IP地址是由管理員分配指定的邏輯地址。當(dāng)下最常用的協(xié)議就是IPv4協(xié)議,但是隨著因特網(wǎng)規(guī)模的快速擴張,逐漸地暴露出一些問題。最為嚴(yán)重的問題就是IPv4可用地址日益缺乏。由于人口的增多,IP

2、v4地址需求更加緊張。所以因特網(wǎng)工程任務(wù)組IETF在20世紀(jì)90年代開始著手IPng的制定工作,IPv6因此應(yīng)運而生。Ipv6繼承了IPv4的優(yōu)點摒棄了IPv4的缺點。雖然IPv4與IPv6是不能兼容的,但IPv6同其他所有的TCP/IP協(xié)議族中的協(xié)議兼容,即IPv6完全可以取代IPv4.通過本論文課題的研究,預(yù)計達到:本論文從計算機網(wǎng)絡(luò)說起,使讀者對計算機網(wǎng)絡(luò)有初步的認(rèn)識。我希望通過本論文可以讓讀者對計算機網(wǎng)絡(luò)有更深一層的認(rèn)識。具體安排進度:2013年3月1日30日,選好課題,查找資料,編寫提綱;2013年4月1日20日,了解論文的格式,咨詢指導(dǎo)老師從哪方面入手,進行寫的狀態(tài)形成初稿,形成初

3、稿;2013年4月21日5月10日,提交初稿,在指導(dǎo)老師的指導(dǎo)下,形成二稿; 2013年5月11日5月31日,提交二稿,在老師的指導(dǎo)下修改定稿并準(zhǔn)備答辯。指導(dǎo)教師意見丁新穎同學(xué)的選題具有一定的理論研究價值,文章結(jié)構(gòu)合理,資料收集齊全,技術(shù)概述全面,表述較清晰,基本達到專業(yè)培養(yǎng)目標(biāo)的要求。同意答辯。張志剛2013年6月答辯專家組意見系專業(yè)教學(xué)委員會意見摘要隨著IPv4網(wǎng)絡(luò)地址在全球范圍內(nèi)的逐漸枯竭,下一代網(wǎng)絡(luò)協(xié)議IPv6的研究和應(yīng)用逐漸推開。IPv6作為新一代互聯(lián)網(wǎng)絡(luò)協(xié)議,不但有效地解決了IP地址缺乏的問題,同時在協(xié)議安全性能方面也有了較大的提升。本文對IPv6協(xié)議與IPv4協(xié)議的區(qū)別及其特殊的

4、地址格式和報頭格式進行了較為詳細(xì)的描述,并對在IPv4向IPv6過渡中使用的技術(shù)進行了介紹,最后針對這些問題提出了相應(yīng)的對策和對IPv6協(xié)議未來應(yīng)用的展望。關(guān)鍵字:IPv6;地址分配;網(wǎng)絡(luò)安全性、網(wǎng)絡(luò)協(xié)議、身份驗證、安全性能、互聯(lián)網(wǎng)、數(shù)據(jù)安全。AbstractAddress gradual and exhausted with IPv4network,of future generation protocol IPv6study and use pushing open gradually.IPv6as a new generation of Internet protocol,not onl

5、y effectively resolve the problem of the lack of IP address,and safety performance in the agreement also have a bigger promotion.The difference,special address form and form of head of paper of this text to IPv6agreement and IPv4agreement have carried on comparatively detailed description.To technol

6、ogy that use make an introduction in carrying out the transition to IPv6in IPv4,it proves to be comparatively prevailing pairs of inn technology and tunnel technology at present especially.This text has also introduced the application current situation in China's Mainland,Taiwan and Japan and Ko

7、rea S.etc of IPv6agreement especially.Research and develop to IPv6 agreement application that have and agreement this question that run into make the introduction in not popularizing in information household appliances.The countermeasure against that these questions have been put forward correspondi

8、ngly and prospect to that IPv6agreement use in the future finally.Keywords:IPv6;Address assignment、Network security and network protocol, identity authentication,safety performance,the Internet,data security.目錄引言 (1第一章Ipv6技術(shù)的基本概述: (21.1.IPv6的定義 (21.2.Ipv6的原理: (21.3Ipv6的地址格式 (31.3.1單播地址 (41.3.2組播地址 (

9、41.3.3任播地址 (41.3.4IEEE EUI-64格式 (51.3.5鄰居發(fā)現(xiàn)協(xié)議 (61.4IPV6與IPV4的比較: (71.4.1IPV6協(xié)議優(yōu)勢 (71.4.2IPV4與IPV6功能比較 (71.4.3IPV4與IPV6的地址類型與分配方式的比較 (71.4.4IPV4與IPV6的安全策略比較 (8第二章IPV6的發(fā)展現(xiàn)狀 (92.1國內(nèi)發(fā)展情況 (92.2國外發(fā)展情況 (9第三章IPV6的安全機制 (123.1可溯源性 (123.2反偵察能力 (123.4強制實現(xiàn)的IPSec能力 (13第四章IPV6技術(shù)存在的隱患 (144.1任播服務(wù) (144.2分片攻擊 (144.3路由

10、頭協(xié)定 (144.4ICMPV6 (154.5碎片包 (154.6SLAAC (154.7默認(rèn)協(xié)議開啟 (16第五章結(jié)束語 (17第六章致謝 (17參考文獻 (17引言隨著網(wǎng)絡(luò)的發(fā)展,互聯(lián)網(wǎng)上巨大的利益誘惑,使得互聯(lián)網(wǎng)上的攻擊并不像以往那么單純了?，F(xiàn)代網(wǎng)絡(luò)周邊環(huán)境的封閉性已經(jīng)被打破,市場對于支持居家辦公網(wǎng)絡(luò)、分支機構(gòu)連通性網(wǎng)絡(luò)、無線移動性網(wǎng)絡(luò)和新的企業(yè)到企業(yè)網(wǎng)絡(luò)的需求不斷增加,確保網(wǎng)絡(luò)安全性和可用性已經(jīng)成為更加復(fù)雜的任務(wù)?；贗Pv4協(xié)議的互聯(lián)網(wǎng)向IPv6協(xié)議的下一代互聯(lián)網(wǎng)發(fā)展已經(jīng)是不爭的發(fā)展之路,下一代互聯(lián)網(wǎng)的研究和建設(shè)正逐步成為信息技術(shù)領(lǐng)域的熱點和不可或缺的重要領(lǐng)域。相對于傳統(tǒng)的IPv4網(wǎng)

11、絡(luò),IPv6為網(wǎng)絡(luò)安全帶來了很多好處。也為Ip 地址的緊缺帶來新的地址空間。隨著對IPv4向IPv6過渡技術(shù)研究的不斷深入,業(yè)界對于過渡問題的認(rèn)識也不斷深入,IETF對于這個問題的認(rèn)識經(jīng)歷了遷移(Migration、過渡(Transition、集成(Integration、互操作(Interoperation長期共存(Co-existence階段。從長遠(yuǎn)來看,IPv4和IPv6技術(shù)在網(wǎng)絡(luò)中將長期共存(Co-existence。未來的IP網(wǎng)絡(luò)將是IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的集成(Integration網(wǎng)絡(luò)。IPv6作為新版IP協(xié)議,不僅很好地解決了目前IP地址匱乏的問題,而且由于加密和認(rèn)證機制的

12、引入,使其在網(wǎng)絡(luò)層的機密性、完整性方面有了更好的改進。本課題就由此展開論述。第一章Ipv6技術(shù)的基本概述:1.1.IPv6的定義IPv6是Internet Protocol Version6的縮寫,其中Internet Protocol 譯為“互聯(lián)網(wǎng)協(xié)議”。IPv6是IETF(互聯(lián)網(wǎng)工程任務(wù)組,Internet Engineering Task Force設(shè)計的用于替代現(xiàn)行版本IP協(xié)議(IPv4的下一代IP協(xié)議.它的特點有:更大的地址空間、更小的路由表、增強的組播(Multicast、加入了對自動配置(Auto-configuration的支持、更高的安全性。1.2.Ipv6的原理:在IPv4

13、中,地址是用192.168.1.1這種點分十進制方式來表示的。但在IPv6中,地址共有128位,如果再用十進制表示就太長了。所以,IPv6采用冒號十六進制表示方法來表示地址。IPv6的128位地址被分成8段,每16位為一段,每段被轉(zhuǎn)換為一個4位十六進制數(shù),并用冒號隔開。下面是一個二進制的128位IPv6地址00100000000000010000010000010000000000000000000000000000000000010 000000000000000000000000000000000000000000000000100010111111111將其劃分為8段,每16位一段。00

14、1000000000000100000100000100000000000000000000 0000000000000001000000000000000000000000000000000000000000000000 0100010111111111將每段轉(zhuǎn)換為十六進制數(shù),并用冒號隔開,就形成如下的IPv6地址。2001:0410:0000:0001:0000:0000:0000:45EF為了盡量縮短地址的書寫長度,IPv6地址可以采用壓縮方式來表示。在壓縮時有以下幾個規(guī)則。每段中的前導(dǎo)零可以去掉,但保證每段至少有一個數(shù)字。如:2001:0410: 0000:0001:0000:0000

15、:0000:45EF就可以壓縮為2001:41:0:1:0:0:0:45EF 或21:410:0:1:0:0:0:45EF一個或多個連續(xù)的段內(nèi)各位全為0時,可用:(雙冒號壓縮表示,但一個IPv6地址中只允許有一個雙冒號(:。如: 2001:0410:0000:0001:0000:0000:0000:45EF就可以壓縮為2001:410:0:1: 45EF或2001:410:1:0:0:0:45EF。但不允許多個:存在于一個地址中,所以上述地址不能壓縮為2001:410:1:45EF。如下表格為更多的IPv6地址壓縮表達方式示例。IPv6地址壓縮表達方式示例IPv6地址壓縮后的表示2001:DB

16、8:0:0:8:800:200C:417A2001:DB8:8:800:200C:417A FF01:0:0:0:0:0:0:101FF01:1010:0:0:0:0:0:0:1:10:0:0:0:0:0:0:0:IPv6取笑了IPv4的網(wǎng)絡(luò)號、主機號和子網(wǎng)掩碼的概念,代之以前綴、接口標(biāo)示符、前綴長度;IPv6也不再有IPv4地址中A類、B類、C類等地址分類的概念。前綴:前綴的作用與IPv4地址中的網(wǎng)絡(luò)部分類似,用于標(biāo)識這個地址中屬于哪個網(wǎng)絡(luò)。接口標(biāo)示符:與IPv4地址中的主機部分類似,用于標(biāo)識這個地址在網(wǎng)絡(luò)中的具體位置。前綴長度:作用類似于IPv4地址中的子網(wǎng)掩碼,用于確定地址中哪一部分是前

17、綴,哪一部分是接口標(biāo)示符。例如,地址1234:5678:90AB:CDEF:ABCD:EF01:2345:6789/64,/64表示此地址的前綴長度是64位,所以此地址的前綴就是1234:5678:90AB:CDEF,接口標(biāo)示符就是ABCD:EF01:2345:6789。1.3Ipv6的地址格式IPv6地址包括單播、組播、廣播等幾種類型。與其類似,IPv6地址也有不同類型,包括單播地址、組播地址和任播地址。IPv6地址中沒有廣播地址,在IPv4協(xié)議中某些需要用到廣播地址的服務(wù)或功能,IPv6協(xié)議中都用組播地址來完成。1.3.1單播地址單播地址:用來唯一標(biāo)示一個接口,類似于IPv4的單播地址。單

18、播地址只能分配給一個節(jié)點上的一個接口,發(fā)送到單播地址的數(shù)據(jù)報文將被傳送到此地址所標(biāo)示的接口。IPv6單播地址根據(jù)其作用范圍的不同,又可分為鏈路本地地址、站點本地地址、全球單播地址等;還包括一些特殊地址,如未指定地址和回環(huán)地址。1.3.2組播地址組播地址:用來標(biāo)示一組接口,類似于IPv4的組播地址。多個接口可配置相同的組播地址,發(fā)送到組播地址的數(shù)據(jù)報文被傳送到此地址所標(biāo)識的所有接口。IPv6組播地址的范圍是FF00:/81.3.3任播地址任播地址是IPv6中特有的地址類型,也用來標(biāo)識一組接口。但與組播地址不同的是,發(fā)送到任播地址的數(shù)據(jù)報文被傳送到此地址所標(biāo)識的一組接口中距離源節(jié)點最近的一個接口。

19、比如,移動用戶在使用IPv6協(xié)議接入因特網(wǎng)時,根據(jù)地理位置不同,接入距離用戶最近的一個接收站。任播地址是從單播地址空間中分配的,并使用單播地址的格式。僅看地址本身,節(jié)點是無法區(qū)分任播地址的。所以,必須在配置時明確指明它是一個任播地址。IPv6地址類型是由地址前面幾位(稱為格式前綴來指定的,主要地址類型與格式前綴的對應(yīng)關(guān)系如下圖。地址類型格式前綴(二進制IPv6前綴標(biāo)識單播地址未指定地址00 0(128bit:/128環(huán)回地址00 (1(128bit:1/128鏈路本地地址1111111010FE80:/10站點本地地址1111111011FEC0:/10全球單播地其他形式址組播地址111111

20、11FE00:/8任播地址從單播地址空間中進行分配,使用單播地址的格式1.3.4IEEE EUI-64格式構(gòu)成IPv6單播地址的接口標(biāo)示符用來在網(wǎng)絡(luò)中唯一標(biāo)識一個接口。目前IPv6單播地址基本上都要求接口標(biāo)識符我64位。在IPv6協(xié)議中,接口標(biāo)識符可以由管理員配置,也可以由設(shè)備自動生成。自動生成的好處是用戶無須配置地址,降低了網(wǎng)絡(luò)部署難度。如果由設(shè)備自動生成接口標(biāo)識符,則需要符合IEEE EUI-64格式規(guī)范。IEEE EUI-64格式的接口標(biāo)識符是從接口的鏈路層地址(MAC地址變化而來的。如下圖所示,IPv6地址中的接口標(biāo)識符是64位,而MAC地址是48位,因此需要在MAC地址的中間位置(從

21、高位開始的第24位后插入十六進制數(shù)FFFE (1111111111111110為了確保這個從MAC地址得到的接口標(biāo)識符是唯一的,還要將第七位(U/L位設(shè)置為“1”。最后得到的這組數(shù)就作為EUI-64格式的接口標(biāo)識符。MAC地址:0012-3400-ABCD二進制表示:0000000000010010001101000000000010101011 11001101插入FFFE000000000001001000110100111111111111111000000000 1010101111001101設(shè)置U/L位0000001000010010001101001111111111111110

22、00000000 1010101111001101EUI-64地址:0212:34FF:FE00:ABCD1.3.5鄰居發(fā)現(xiàn)協(xié)議IPv6鄰居發(fā)現(xiàn)協(xié)議是IPv6中一個非常重要的協(xié)議。它實現(xiàn)了一系列功能,包括地址解析、路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)、地址自動配置、地址重復(fù)檢測等。在IPv4網(wǎng)絡(luò)中,當(dāng)一個節(jié)點想和另外一個節(jié)點通信時,主機需要通過ARP 協(xié)議解析出另一臺主機的MAC地址,從而知道如何封裝報文。在IPv6網(wǎng)絡(luò)中也有解析鏈路層地址的需要,就是由鄰居發(fā)現(xiàn)協(xié)議來完成的。而路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)、地址自動配置功能則是IPv4協(xié)議中所不具備的,是IPv6協(xié)議為了簡化主機配置而對IPv4協(xié)議的改進。路由器發(fā)現(xiàn)/

23、前綴發(fā)現(xiàn)是指主機能夠獲得路由器及所在網(wǎng)絡(luò)的前綴,以及其他配置參數(shù)。如果在共享網(wǎng)段上有若干臺IPv6主機和一臺IPv6路由器,通過路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)功能,IPv6主機會自動發(fā)現(xiàn)IPv6路由器上所配置的前綴及鏈路MTU等信息。地址自動配置功能是指主機根據(jù)路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)所獲取的信息,自動配置IPv6地址,在主機發(fā)現(xiàn)了路由器上所配置的前綴及鏈路MTU等信息后,主機會用這些信息來自動生成IPv6地址,然后用此地址來與其他主機進行通信。IPv6中的地址自動配置具有與IPv4中的DHCP類似的功能。所以在IPv6中, DHCP已不再是實現(xiàn)地址自動配置所必不可少的了。鄰居發(fā)現(xiàn)協(xié)議能夠通過地址解析功能來

24、獲取同一鏈路上鄰居節(jié)點的鏈路層地址。所謂“同一鏈路”是指節(jié)點之間處于同一鏈路層上,中間沒有網(wǎng)絡(luò)層設(shè)備隔離。通過以太網(wǎng)介質(zhì)相連的兩臺主機、通過運行PPP協(xié)議的串口鏈路連接的兩臺路由器,都是屬于同一鏈路上的鄰居節(jié)點。地址解析通過節(jié)點交互鄰居請求消息和鄰居通告消息來實現(xiàn)。主機A想要與主機B通信,但不知道主機B的鏈路層地址,則會以組播方式發(fā)送鄰居請求消息。鄰居請求消息的目的地址是主機B的被請求節(jié)點組播地址。這樣這個鄰居請求消息就能夠只被主機B所接收,其他主機會忽略這個消息。消息內(nèi)容中包含了主機A的鏈路層地址。主機B收到鄰居請求消息后,則會以單播方式返回鄰居通告消息。以單播方式返回的目的是減少網(wǎng)絡(luò)中的組

25、播流量,節(jié)省帶寬。鄰居通告消息中包含了自己的鏈路層地址。主機A從收到的鄰居通告消息中就可獲取到主機B的鏈路層地址。之后主機A用主機B的鏈路層地址來進行數(shù)據(jù)報文封裝,雙方即可通信了。IPv6地址自動配置包括了路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)和地址自動配置。路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)是指主機從收到的路由器請求消息中獲取鄰居路由器及所在網(wǎng)絡(luò)的前綴,以及其他配置參數(shù)。地址自動配置是指主機根據(jù)路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)所獲取的信息,自動配置IPv6地址。IPv6地址自動配置通過路由器請求消息和路由器通告消息來實現(xiàn),主機啟動時,通過路由器請求消息向路由器發(fā)出請求,請求前綴和其他配置信息,以便用于主機的配置。路由器請求消息的目的地

26、址是FF02:2(鏈路本地范圍所有路由器組播地址,這樣所有路由器就會收到這個消息。路由器收到路由器請求消息后,會返回路由器通過消息,其中包括前置和其他配置參數(shù)信息(路由器也會周期性地發(fā)布路由器通告消息。路由器通告消息的目的地址是FF02:1(鏈路本地范圍所有節(jié)點組播地址以便所有節(jié)點都能收到這個消息。主機利用路由器返回的路由器通告消息中的地址前綴及其他配置參數(shù),自動配置接口的IPv6地址及其他信息,從而生成全球單播地址。如圖所示,主機在啟動時發(fā)送路由器請求消息,路由器收到后,會把接口前綴2001:/64信息通過路由器通告消息通告給主機,然后主機以此前綴再加上EUI-64格式的接口標(biāo)識符,生成一個

27、全球單播地址。1.4IPV6與IPV4的比較:1.4.1IPV6協(xié)議優(yōu)勢IPv6協(xié)議相對于IPv4協(xié)議優(yōu)勢體現(xiàn)在:一是具有更大的地址空間;二是使用更小的路由表;三是增加了增強的組播(MulticaST支持和對流的支持(FlowCONtrol;四是加入了對自動配置(Auto Configuration的支持;五是具有更高的安全性。1.4.2IPV4與IPV6功能比較IPv6協(xié)議是對IPv4協(xié)議的擴充和修改,從根本上解決了IPv4網(wǎng)絡(luò)地址枯竭和路由表急劇膨脹等問題.1.4.3IPV4與IPV6的地址類型與分配方式的比較IP地址是一種等級地址,IPv4的32位地址被分成網(wǎng)絡(luò)地址和主機地址,其地址分配

28、采用基于類別的方式,主要有三種方式:A,B和C,以及2種特殊的網(wǎng)絡(luò)地址D和E。IPv6的地址長度為128位,IPv6地址也有3類,即單播地址、組播地址和泛播地址。與IPv4采用塊狀地址分配方式相比,IPv6協(xié)議可根據(jù)用戶的需要進行層狀地址分配。1.4.4IPV4與IPV6的安全策略比較IPv4作為一種簡單的網(wǎng)絡(luò)互通協(xié)議,存在一系列的安全漏洞,應(yīng)用程序只能通過自身攜帶的私有性和認(rèn)證性操作機制才能完成安全性操作。IPv6則全面支持IPsec,這要求提供基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全解決方案,以便滿足和提高不同的IPv6協(xié)議實現(xiàn)協(xié)同工作能力。IPsec通過正確使用封裝安全性凈荷頭(ESP和身份驗證頭(AH來實現(xiàn)

29、如下安全*:訪問機制;無連接的完整性;數(shù)據(jù)源身份驗證對包重放攻擊的防御;加密;有限的業(yè)務(wù)機密性。第二章IPV6的發(fā)展現(xiàn)狀2.1國內(nèi)發(fā)展情況IPv6協(xié)議的一系列標(biāo)準(zhǔn)都是新頒布不久,并且還存在大量需要完善的內(nèi)容,這為我國開展此領(lǐng)域的研究和產(chǎn)業(yè)化工作提供了很好的發(fā)展環(huán)境。初期國內(nèi)主要由教育研究機構(gòu)推動IPv6的研究,并逐步形成了規(guī)模的政府推動。1998年6月我國國家教育科研網(wǎng)CERNET加入了6Bone,并于同年12月成為其骨干成員。CERNET建立了IPv6試驗床并在IPv6領(lǐng)域開展了許多開拓性的研究;1999年亞太地區(qū)先進網(wǎng)絡(luò)APAN與中國建立了連接;從1999年底,中國教育和科研網(wǎng)與諾基亞合作

30、,啟動了Internet6計劃,在中國的若干高校搭建IPv6網(wǎng)絡(luò),形成一個大規(guī)模的IPv6研究和試驗網(wǎng)絡(luò);2000年11月,貝爾實驗室與中國科學(xué)院軟件研究所簽署了合作協(xié)議,聯(lián)合成立實驗室,初期啟動合作項目為IPv6協(xié)議的研究。2001年以來,國家計委、科技部、自然基金委、信息產(chǎn)業(yè)部相繼啟動關(guān)于IPv6的研究項目。如2002年863高性能IPv6路由器重大研究項目分為硬件、協(xié)議棧軟件以及測試三個子課題完成了招標(biāo)工作,其它有關(guān)IPv6網(wǎng)絡(luò)安全和服務(wù)質(zhì)量的重大課題也相繼公布。IPv6的地址數(shù)是如此巨大,約為IPv4地址量的8萬兆兆平方倍。有人甚至聲稱它可賦予地球上每一顆沙子及每一滴水以相應(yīng)的地址。即

31、便如此,包括GNI 及NGXiYiJi在內(nèi)的NGN與GII是瞄準(zhǔn)全球個人化、個性化及個體化目標(biāo)的,而后兩者的需求與數(shù)量將遠(yuǎn)遠(yuǎn)超越直接意義上的全球“個人”數(shù)量,哪怕是只要覆蓋最重要的那些“沙子”與那些“水滴”,IPv6地址能力的真正充裕性便值得懷疑,更何況遍及每一顆沙子及每一滴水!說穿了,在IPv4地址分配上吃了大虧的中國人,最關(guān)心的是中國應(yīng)該且必須及時拿到中國應(yīng)該得到的IPv6或?qū)砀L遠(yuǎn)IPvX地址資源?！氨R未發(fā),糧草先行”,這是千古常理。發(fā)展3G/3.5G/4G 之類3G演進與寬帶無線,首先要解決的是全球與中國自身需求的頻率/軌道/碼號資源,同樣發(fā)展好中國的GNI及NGXiYiJi在內(nèi)的

32、NGN必須首先解決好中國的IPvX地址資源。目前,絕不應(yīng)對IPv6地址總量感到盲目樂觀,而應(yīng)切實思考如何解決好我國IPv4/IPv6地址資源匱乏的嚴(yán)重問題2.2國外發(fā)展情況1996年,IETF建立了全球范圍的IPv6實驗床6Bone,一個重要的設(shè)計目標(biāo)是實現(xiàn)IPv6與網(wǎng)絡(luò)中現(xiàn)行的IPv4協(xié)議兼容,現(xiàn)在6Bone已經(jīng)擴展到全球54個國家和地區(qū),共917個節(jié)點,成為IPv6研究者、開發(fā)者和實踐者的主要平臺。到1998年年初,IPv6協(xié)議的基本框架已經(jīng)逐步成熟,在越來越廣泛的范圍內(nèi)得到實踐。1998年,面向?qū)嵱玫娜蛐訧Pv6研究和教育網(wǎng)(6REN啟動,建立了物理的以ATM為中心的IPv6洲際網(wǎng)。1

33、999年以后,IPv6協(xié)議基本確定。2000年5月,3G標(biāo)準(zhǔn)化組織3GPP采納IPv6為多媒體服務(wù)的必選協(xié)議,這意味著3GPP移動網(wǎng)絡(luò)中IP多媒體領(lǐng)域?qū)⑷炕贗Pv6,IPv6將在未來全蜂窩網(wǎng)絡(luò)中發(fā)揮核心的作用。美國由于是IPv4的發(fā)源地,因此無論在地址資源和商業(yè)應(yīng)用方面都占據(jù)了先天的優(yōu)勢。1992年美國政府主導(dǎo)的“下一代互聯(lián)網(wǎng)計劃”研究和1996年美國國家科學(xué)基金會設(shè)立的“下一代因特網(wǎng)”研究計劃(NGI中均包括IPv6研究計劃。研究和開發(fā)IPv6的主要組織如IETF、6Bone等都在美國。但是,由于全世界74%的IP地址為美國所占有,在地址資源的分配與管理上美國也擁有一套更為完善的制度,因

34、此目前既沒有地址短缺的憂慮,又很不愿意改動花費億萬美金構(gòu)建的IPv4商業(yè)網(wǎng)絡(luò)體系,所以目前主要是以世界IPv6研究、協(xié)調(diào)中心的面目出現(xiàn)的,在IPv6的商業(yè)化推廣方面的力度卻沒有歐洲和日本大。歐洲國家政府在推廣IPv6方面發(fā)揮著重要的作用,歐盟國家制定統(tǒng)一政策,對支持IPv6的產(chǎn)品實行減稅和市場資訊方面的扶持。歐洲移動通信事業(yè)相當(dāng)?shù)陌l(fā)達,因此他們在IPv6的研究和商業(yè)化應(yīng)用方面更注重在通訊領(lǐng)域的拓展。制訂下一代移動通信系統(tǒng)"IMT-2000"標(biāo)準(zhǔn)的3GPP(third generation partnership project,已經(jīng)在2000年5月份決定在下一代移動技術(shù)的基

35、本協(xié)議中采用IPv6,使IPv6成為必須遵循的標(biāo)準(zhǔn)。諾基亞、愛立信、法國電信、英國BT Wireless 等歐洲公司一直是IPv6研究方向的主要引導(dǎo)者。2001年4月,諾基亞在第二屆中國IPv6高級研討會上展示了其移動IPv6演示系統(tǒng)。2001年5月,諾基亞宣布該公司所有產(chǎn)品都將支持IPv6,它的3G Mobile Packet Core也將從提供商用服務(wù)的第一天起對應(yīng)IPv6。2002年4月,在中國舉行的IPv6全球峰會上,諾基亞展示了其最新的移動IPv6成果。法國電信的研究部門與芬蘭諾基亞公司于2001年11月28日宣布,將共同制訂法國電信集團向下一代IP協(xié)議IPv6過渡的戰(zhàn)略與日程表。合

36、作分為IPv6路由、轉(zhuǎn)發(fā)、供應(yīng)之間的相互運用、向IPv4/ IPv6過渡機制、諾基亞IP網(wǎng)絡(luò)安全產(chǎn)品測試等階段。日本是Internet的后起國家,由于電子設(shè)備、信息家電產(chǎn)業(yè)的高度發(fā)達,因此產(chǎn)生了對IP地址的迫切需求,所以它在IPv6研究和應(yīng)用方面,步伐大,速度快,而且在IPv6商業(yè)化推廣方面幾乎走在世界前列。日本政府制定的IT基本戰(zhàn)略提出在5年內(nèi)使日本成為全球最先進的IT國家的目標(biāo)。為此日本政府專門成立了“官產(chǎn)學(xué)研組織”,致力于IPv6產(chǎn)業(yè)化的各項工作,其中以日立公司的IPv6路由器產(chǎn)品為代表。2000年4月,日立推出了支持IPv4/IPv6的千兆比特路由器GR2000,同年12月由GR200

37、0路由器接入GbE/OC48POS的高速大型日本本國IPv6網(wǎng)絡(luò)正式啟動。2000年10月,日本IIJ(Internet Initiative公司和NTT通訊(NTT COM、NEC、KDDI和JENS等公司都宣布開始提供IPv6服務(wù)。在2002年北京國際通信展上,NEC和日立公司分別展示了IPv6的多播和GR2000路由器。目前FreeBSD、Solaris、Linux、Unix上都已經(jīng)有了IPv6協(xié)議棧的實現(xiàn),在去年的IPv6全球論壇上,思科和微軟幾乎同時宣布把對IPv6的支持作為今后的戰(zhàn)略重點。Cisco于2001年4月宣布提供支持“IPv6”的路由器產(chǎn)品用固件“IOS12.2T”。微軟

38、在去年下半年完成了IE瀏覽器對IPv6的支持后,也提供了Windows NT和Windows2000平臺的IPv6協(xié)議棧,并且在今年進一步推出了支持IPv6和IPsec的Windows XP操作系統(tǒng)。業(yè)界人士認(rèn)為:思科和微軟的支持真正將IPv6技術(shù)帶到了商用化的邊緣,圍繞IPv6的產(chǎn)品和技術(shù)競爭將會比去年激烈數(shù)十倍,這對IPv6的全面推廣極為有利。為了推動IPv6在全世界的發(fā)展,由Cisco、Nortel、Microsoft、Lucent、Nokia、3Com等公司聯(lián)合發(fā)起成立了IPv6論壇,并從1999年開始,每年舉行2 3屆IPv6全球峰會。到目前為止,IPv6論壇分別在法國、美國、西班牙

39、、日本、加拿大、中國召開了IPv6全球峰會,并與3GPP以及歐洲通信標(biāo)準(zhǔn)委員會建立了合作關(guān)系,這對普及IPv6產(chǎn)生了巨大推動作用。第三章IPV6的安全機制3.1可溯源性IPv6巨大的地址空間帶來了網(wǎng)絡(luò)的可溯源性。在IP v4網(wǎng)絡(luò)中,由于網(wǎng)絡(luò)地址少而必須布置的NA T存在,使得攻擊發(fā)生后的追蹤變得尤其困難。這導(dǎo)致目前采用的基于事前預(yù)防的過濾類方法或是基于事后追查的回溯類方法都存在部署困難的缺陷,使得安全的保障性大大降低。隨著IPv6的逐步部署,巨大的地址空間使得每個用戶都可以獲得惟一的網(wǎng)絡(luò)IPv6地址,該地址可以和用戶的個人信息綁定,更加有利于互聯(lián)網(wǎng)的溯源行為。由于溯源行為的簡單化,網(wǎng)絡(luò)罪犯可能

40、被發(fā)現(xiàn)并獲得懲罰的可能性提高,互聯(lián)網(wǎng)上的行為就能夠受到更多的約束,從而降低了網(wǎng)絡(luò)的犯罪率,帶來一個較為安全的網(wǎng)絡(luò)。不僅如此,IPv6的地址匯聚、過濾類的方法實現(xiàn)會更簡單,負(fù)載更小;另一方面由于節(jié)點不需要使用NAT就可以和對方溝通,不需要網(wǎng)絡(luò)地址的轉(zhuǎn)換,追蹤更容易,不論客戶以何種方式連接,都能夠通過簡單的過濾完成對節(jié)點地址的控制,提高了網(wǎng)絡(luò)的安全性。3.2反偵察能力除個人信息和地址綁定帶來可溯源的安全性之外,另一方面由于龐大的IPv6地址,使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的偵察在IPv6網(wǎng)絡(luò)中變得更加困難。偵察是很多其他網(wǎng)絡(luò)攻擊方式的初始步驟,網(wǎng)絡(luò)攻擊者能夠通過偵察獲得信息,進一步獲得關(guān)于被攻

41、擊網(wǎng)絡(luò)地址、服務(wù)、應(yīng)用等內(nèi)容,為下一步的攻擊做準(zhǔn)備。據(jù)計算,在一個擁有1萬個主機的IPv6子網(wǎng)中,假設(shè)地址隨機均勻分布,以一百萬次每秒的速度掃描,發(fā)現(xiàn)第一個主機所需要的時間均值超過28年。這使得網(wǎng)絡(luò)偵察變得極為困難,從而防范進一步攻擊的發(fā)生,也降低了攻擊可能帶來的危害程度。3.3NDP和SEND巨大的IPv6地址帶來了網(wǎng)絡(luò)安全的第一層保護可溯源和反偵察,而第二層保護來自于IPv6協(xié)議本身針對網(wǎng)絡(luò)安全作出的更多改善,比如IPv6取消了ARP。在IPv6中,ARP的功能被鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol, NDP所代替。鄰居發(fā)現(xiàn)協(xié)議通過發(fā)現(xiàn)鏈路上的其他節(jié)點,判斷

42、其他節(jié)點的地址,尋找可用路由,并保存可到達的其他節(jié)點的信息來保證通信。對比ARP,NDP僅在鏈路層實現(xiàn),更加獨立于傳輸介質(zhì)。同時IP v6協(xié)議中的NDP,相對于IPv4下的NDP補充了鄰居不可達發(fā)現(xiàn)(Neighbor Unreachability Detection,NUD,加強了I P包在節(jié)點路由間傳遞的健壯性。此外,下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)(SEcure NeighborDiscovery,SEND(RFC3971協(xié)議通過獨立于IPSec的另一種加密方式(Cryptographically Generated Address,保證了傳輸?shù)陌踩浴?.4強制實現(xiàn)的IPSec能力IPv6的另

43、一個安全性體現(xiàn)是來自其要求強制實現(xiàn)IPSec的能力。IPSec為I P v6網(wǎng)絡(luò)中的每個節(jié)點提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力,同時還可以使節(jié)點有能力抵抗重放攻擊。通過兩個擴展報頭認(rèn)證頭(Authentication Header,AH和封裝安全載荷(Encapsulation SecurityPayload,ESP將安全機制內(nèi)嵌在協(xié)議之中。其中A H實現(xiàn)保護數(shù)據(jù)完整性(即不被非法篡改、數(shù)據(jù)源發(fā)認(rèn)證(即防止源地址假冒和抗重放(Replay攻擊3個功能,而ESP則在AH所實現(xiàn)的安全功能基礎(chǔ)上,增加了對數(shù)據(jù)保密性的支持。除了以上4點之外, IPv6還著重考慮了移動互聯(lián)網(wǎng)的安全。RFC3775專

44、為移動IPv6下的安全性做了充分的考慮和討論。IPv6使用優(yōu)化的路由和家鄉(xiāng)地址來保證移動IPv6下的信息安全傳輸,回復(fù)IPv6路由檢查可以用來確定不論節(jié)點移動到任何地方,都能被指回原節(jié)點地址。第四章IPV6技術(shù)存在的隱患4.1任播服務(wù)偵測是大部分攻擊采取的第一步。IPv6協(xié)議提高了效率,簡化了處理過程,然而也帶來了探測的便利性。比如IPv6協(xié)議中提供的任播服務(wù)(Any-cast,壞節(jié)點可以通過收集Any-cast回復(fù)訊息來探索想要攻擊的網(wǎng)絡(luò)內(nèi)部的具體情況,為進一步攻擊做好準(zhǔn)備。應(yīng)對方法可以通過防火墻或其他安全設(shè)備嚴(yán)格篩選,尤其是嚴(yán)格控制或者隔絕任何來自可信任域外部的Any-cast請求來完成。

45、另一個需要考慮的問題是,隨著IP v6對IPS ec的普遍支持,對于包過濾型防火墻,如果使用IPSec的ESP,3層以上的信息不可見,控制難度增加。在IPSec條件下阻止對方的Any-cast,要求對IPSec進行有效地控制和檢測,這將會是下一代互聯(lián)網(wǎng)中一個巨大的挑戰(zhàn)。4.2分片攻擊IPv6下的訪問控制同樣依賴防火墻或者路由器訪問控制表(ACL等控制策略,根據(jù)地址、端口等信息實施控制,而分片攻擊可以利用分片逃避網(wǎng)絡(luò)監(jiān)控設(shè)備,如防火墻和IDS。由于多個IPv6擴展頭的存在,防火墻很難計算有效數(shù)據(jù)報的最小尺寸,甚至傳輸層協(xié)議報頭不在第一個分片分組內(nèi)的可能,這使得網(wǎng)絡(luò)監(jiān)控設(shè)備僅僅檢查IPv6包的頭部

46、無法進行訪問控制。要保證防火墻能夠真正阻隔這些探測和攻擊,需要監(jiān)控設(shè)備對分片進行重組來實施基于端口信息的訪問控制策略。4.3路由頭協(xié)定另一種繞過防火墻的方式是利用IPv6的路由頭協(xié)定。IPv6協(xié)議決定了任何節(jié)點必須要能夠處理IPv6的路由頭判定下一跳的信息,這允許某一個節(jié)點處理通過路由頭中對下一跳的內(nèi)容指定,誘導(dǎo)其他節(jié)點將收到的流量轉(zhuǎn)發(fā)出去。這樣路由頭可能被用來繞過某些節(jié)點的輸入地址控制,而利用一些公共的受信任的節(jié)點來轉(zhuǎn)發(fā)“壞節(jié)點”的內(nèi)容,以達到躲過訪問控制,竊取目的節(jié)點信息或發(fā)動攻擊的目的。要避免這樣的情況,需要防火墻或者公共受信任的節(jié)點的監(jiān)控系統(tǒng)必須對轉(zhuǎn)發(fā)包內(nèi)的每一跳的地址仔細(xì)查詢,這需要具有極高的性能判斷每條地址,并有效地將有危險性的地址攔截住,但這樣也可能導(dǎo)致防火墻和內(nèi)部網(wǎng)絡(luò)溝通不良,從而造成對新地址的內(nèi)容無法轉(zhuǎn)發(fā)等,因此需要根據(jù)網(wǎng)絡(luò)內(nèi)部情況對防火墻的設(shè)置進行最佳處理,以達到安全和通信的雙重保障。4.4ICMPV6IPv6協(xié)議中的ICMPv6允許組播的時候地址方回復(fù)一個錯誤的原因。這從某一方面說是對通信本身有利,然而這可能被某些節(jié)點利用,比如偽裝想要攻擊的地址,發(fā)出某