基于IPV6的新一代安全网络的改进
来源:99网
第24卷第3期 2012年7月 黄河水利职业技术学院学报 ourIlal of Yellow River Conservancy Technical Institute Vo1.24 No.3 Ju1.20l2 基于I PV6的新一代安全网络的改进 关天柱.吕振雷 (黄河水利职业技术学院,河南开封475004) 摘 要:IPV6作为新一代的网络协议,已经得到了众多用户的认可。分析了IPV6报头形式的优化 和地址长度的变化,剖析了IPV6网络的安全技术特性,探讨了IPV6网络在过滤技术的ESP封装 协议的架构技术方面的安全改进技术。 关键词:IPV6;网络协议;网络安全;改进技术 中图分类号 ̄TP393.08 文献标识码:B 文章编号:1008—486X(2012)03—0053—02 0 引言 随着互联网的发展,网络用户急剧增加.IPV4已 经不能够提供足够多的地址来满足需求。在此背景 下,IETF任务组设计出了IPV6。IPV6的出现能够 有效解决网络方面的许多问题,而且在体系结构方 面也有所改进。IPV6的优势主要体现在两个方面: 第一个是IPV6的地址空间有了很大程度的扩充. 并加入了分层地址聚类的功能化配置管理工作.这 一对于扩展报头,IPV6在IPV4的基础上进行了 优化。它将原来位于报头内的可选字段均提取至报 头外的扩展报头内,其扩展报头不参与路由器的遍 历操作。IPV6中的几种常见扩展报头为: (1)目的地选项。该报头主要是为了让路由器 明确数据包的接收方。(2)Hop—by—Hop选项报头。 IPV6网络中的每个分组都包含该选项报头,其中, 选项类型为0的字段是负责字节的填充。若字节达 到了2个以上,则可以使用PadN进行填充。(3)ESP 协议报头。该报头主要完成数据的加密处理,从而 保证数据的安全性。 优势对于网络连接的终端用户服务而言是十分 研究方向,可以为网络安全技术的扩展应用提供良 好的支撑平台。 目前,IPV6作为新一代的网络协议.已经得到 了众多应用领域的认可,相信在不久的将来.互联 网的发展将离不开IPV6的支持。本文试针对IPV6 有用的;第二个是IPV6给出了新一代安全网络的 1.2 IPV6地址长度的变化 与IPV4 32位的地址长度不同,IPV6规定的地 址长度为128位。将地址长度进行扩展,可以取得 两个方面的好处。一方面,可以将地址进行细分,从 而能更好地与拓扑路由域的层次结构相对应。另一 协议,详细探讨新一代网络安全方面的改进技术, 希望能为IPV6的应用提供技术上的参考。 方面,能够映射出网络适配器的地址。IPV6的寻址 可以在网络接口层完成,并具备自动配置的功能。 以单播地址为例,IPV6将地址分成两部分,即: 地址前缀和接口标识符。由于单播地址主要用于单 个接口的标记,所以根据地址接收到的数据包还需 传发到与标记对应的接口。单播地址涉及链路/本 地、站点/本地以及全局IPV6地址3个类型。 1 IPV6报头形式的优化和地址长度的变化 1.1 IPV6报头形式的优化 IPV4的核心问题在于提供的地址资源有限。严 重影响了互联网的进一步拓展。IPV6的地址容量 能够达到2 128个。可以很好地缓解网络IP地址的 紧张状况。IPV6报头的总长度达到了40个字节,是 IPV4长度的两倍之多。其大部分字段主要用以描述 地址,一小部分字段用以描述报头信息。描述的报 2 IPV6网络的安全改进分析 2.1 IPV6网络的安全技术挑战 在信息化高速发展的今天,各行各业都离不开 网络。但是,网络给人们带来方便的同时,也引发了 诸多问题,安全性是其中一个较为突出的问题。大 头信息涉及:version(版本)、Traffic Class(流量类别)、 Flow Label(流标签1、Payload Length(有效载荷长度) 以及Next Header(下一报头)等。 收稿日期:2012—02—12 作者简介:关天柱(1982一),男,河南开封人,讲师,主要从事网络安全方面的教学与研究工作;吕振雷(1982一),男,河南新乡 人,讲师,主要从事计算机应用方面的教学与研究工作。 53 黄河水利职业技术学院学报 多数网络攻击都与网络协议(特别是TCP/IP等协 议)有着密切关联。目前,国内外不少专家都在对 IPV6协议进行深入分析,但对于面向IPV6的互联网 而言,有效解决网络攻击问题的任务还很艰巨。大 家对于基于IPV6安全网络所面临的技术挑战还是 有共识的,主要集中在网络扩展性和安全性等方 面【IJ。由于IPV6与IPV4网络将会长期共存,网络会 同时存在两者的安全问题或产生新的漏洞。例如: 使用IPV6非法访问了同时采用IPV4和IPV6两种 协议的局域网资源.通过使用安装了双栈的IPV6 主机,可以建立由IPV6到IPV4的隧道,从而绕过 防火墙,对IPV4进行攻击。与IPV4网络相同,IPV6 网络也需要防火墙、漏洞扫描、网络过滤、防病毒网 关等网络安全设备.基于IPV6环境的病毒已经出现。 这方面的安全技术也将面临挑战。 2.2 IPV6的主要的过滤技术 IPV6主要是针对IPV4地址不足问题提出的. 同时也对路由以及自动配置方面进行了优化。IPV4 与IPV6共存一段时期后.IPV6最终将会代替 IPV4。IPV6涉及的主要过滤技术有隧道技术和双 栈技术I2l。 (1)隧道技术。IPV4网络中就存在隧道技术,而 且应用广泛。基于IPV6网络的隧道技术的实现原 理是:根据IPV6协议的规定,对需要进行传递的网 络数据包进行封装,并转换成IPV4格式数据包(因 为现有大部分网络设备为IPV4设备),当目的端接 收到IPV4数据包后,再进行格式转换,并进行解封 装操作。隧道技术对于网络设置的要求不高,传输 状态也比较平稳。隧道接口内的初始化操作主要是 由驱动程序完成的,若链路是点对点的模式,且目 的端地址已经明确。那就可以直接建立路由,使参 数直接通过用户进行传送。需要明确的是,传送后 的参数应保存在变量pri中。具体初始化数据如表1 所示。 表1 IPV6隧道技术初始化数据表 Table 1 IPV6 tunnel technique initjalization data 参数的变量名 具体的数值 Ilype APRHRD—SILKROAD Hardheader_len LLMAX_HEADER+sizeof(strut iphder) -sizeof(struct udphdd Mtu 1 500—-sizeof(struct iphdd——sizeof (struct udphdd Flags IE NOARP (2)双栈技术。双栈技术指在一个系统(一台主 机或一台路由器1中同时使用IPV6、IPV4两个可以 并行工作的协议栈。IPV6网络中的设备只要能够支 2012年第3期 持双栈技术,就能解决很多数据传输问题,尤其是 针对IPV4与IPV6共存的特殊网络环境,效果更明 显。该技术起到很好的临时过滤作用,直到整个网 络都是IPV6隧道,但该技术在硬件实现方面存在 一些难度。 2.3 ESP【封装安全负载)封装协议的架构技术 由于IPV4协议中的部分约束条件本身就可能 会引发一些安全问题,IPV6在IPV4的基础上进行 了协议改进。如:IPV4链路上多个端口进行消息发 送请求时,可能引发拥塞现象。针对该现象,IPV6 采取随机延时的方式进行缓解。另外,IPV6网络中 路由器系统的缺省状态对传输单元以及自动配置 消息中的头部进行了明确认证,并通过ESP(封装安 全负载)进行了封装。用户可以通过网络管理终端 对目的端口、源端口以及协议报文等进行加密和认 l ASBR 图1 IPV6网络的封装协议架构示意图 Fig.1 IPV6 network packaging protocol framework ESP(封装安全负载1是IPsec体系结构中的一种 主要协议.其主要作用是在IPV4和IPV6中提供安 全服务的混合应用。ESP通过加密需要保护的数据 以及在IPsec ESP数据部分放置这些加密的数据来 提供机密性和完整性。根据用户的安全要求,这个 机制既可以用于加密一个传输层的段(如:TCP、UDP、 ICMP、IGMP),也可以用于加密整个的IP数据报。 对于ESP封装协议的网络架构,通常采用的安 全网络组建方法是:在路由器间建立IPSec安全隧道。 为满足转发性能的要求,可以考虑加入专用的加密 板卡,在路由器问建立了IPSec安全隧道_3_。 3结语 总之.随着互联网的发展,IPV6取代IPV4势在 必行。但是,由IPV4过渡到IPV6还需要一段较长 的时间。因此,怎样保证过滤的平稳以及安全性是 我们急需考虑并解决的问题。本文采用隧道技术、 双栈技术进行设备的初始化以及数据包的转发,并 基于ESP进行协议封装构架.(下转第59页) 李伟娟:加强河南省高等职业教育建设研究 【16】张书义.关于加快河南省高等职业教育发展的思考[J].天 中学-D】,2011,26(3):116—118. [19】袁海英.关于完善职教集团深度融合运行机制的探究[J]. 职业,2011(33):74. [17]高卫东.职业教育集团的内涵、类型与功能[J].职业技 术教育:教科版,2004f34):8—11. 【20】林如枫.我省高职教育存在的问题及对策思考[J].福建商 业高等专科学校学报,2010(1):16—20. 【18】杨柳,易玉屏.我国学者关于职教集团的研究综 ̄-[J1. 溃任编辑张振元】 长沙航空职业技术学院学报.2007(2):8一l1. Research on Reinforcement of Higher Vocational Education Construction of Henan Province LI Wei-j/.san (Yellow River Conservancy Technical Institute,Kaifeng 475004,Henan,China) Abstract:In Henan province,the higher vocational education has been experiencing a rapid development. The education scale has expanded unceasingly and has made remarkable achievements,but there are some problems,such as insufficiency of policy guidance and publicity,bias of public awareness,funding shortage, unsuitable talents training model and SO on.So,we should enhance the propaganda,complete higher vocational education qualifications system,play the leading role of demonstration vocational colleges,and strengthen teaching staff construction and international cooperation to develop the higher vocational education in Henan. Key Words:Henan province;higher vocational education;development present situation;existing problem; reforiB strategy (上接第54页)可以促进IPV6网络的发展.并提供 较好的安全性 。 国防科技大学学报.2009(25):60—63. [3】苏晓.浅析IPv6的安全机制对现有网络安全体系的影响 『J1.通信电源技术,2010(4):40—41. 参考文献: 【1】卡斌.IPV6的安全协议及安全问题[J].信息安全与通信保 [4]王艳华,左明.基于IPv6的互联网安全问题探讨『J1.网络 安全技术与应用,2011(2):39—43. 密.2010(1):50—52. 【2】陈海涛,胡华平,徐传福,等.动态网络安全的框架模型[J】. [责任编辑杨明庆】 ~ ~ 59