IPV6的安全性(精选12篇)
IPV6的安全性 篇1
1 IPv6概述
1.1 IP协议
IP协议诞生于70年代中期[1]。IP解决的最根本的问题是如何把网络连接在一起,也就是把计算机连接在一起,而且除了其他计算机的网络地址之外,这些连接起来的计算机无需了解任何的网络细节。这就有以下三个要求:首先,每个连接在“网络的网络”上的计算机必须具有唯一的标识;其次,所有计算机都能够与所有其他计算机以每个计算机都能识别的格式进行数据的收发;最后,一台计算机必须能够在了解另一计算机的网络地址后把数据可靠地传至对方,而无需了解对方计算机和网络的任何细节[2]。IP协议实现了上述目标。
1.2 IPv6概述
IPv6自1996年由IETF的RFC2460加以规范以来,已经得到了广泛的研究和一定的部署。[10]
IPv6保留了IPv4的很多非常成功的特征。如IPv4、IPv6都是无连接的—每一个数据报都含有目的地址,每一数据报独立地被路由。就象IPv4一样,IPv6的数据报头部也含有用于标识一个数据报被丢弃前已经过的最大站数的域。另外,IPv6保留了IPv4可选项中的大部分通用机制。
尽管保留了当前版本的基本概念,IPv6仍然修改了所有的细节。例如,IPv6使用更大的地址和一个全新的数据报头部格式。另外,IPv6使用一系列的定长的头部去处理可选信息,而不象当前版本那样只使用一种含有变长的可选项的头部。
IPv6中的新加特征主要可分为以下五类:[4,5]
1)地址尺寸(Address Size)。每个IPv6地址含128位,代替了原来的32位,这一下地址空间大得足以适应好几十年的全球Internet的发展。
2)头部格式(Header Format)。IPv6的数据报头部与IPv4的完全不一样,IPv4头部的每一个域几乎都变了,或被替代掉了。
3)扩展头部(Extension Header)。不象IPv4只使用一种头部格式,IPv6将信息放于分离的头部之中。一个IPv6的数据报组成:IPv6的基本头部,后跟零个或多个扩展头部,再后跟数据。当前,IPv6定义了6种扩展头,分别是:步跳扩展头、路由扩展头、分段扩展头、验证扩展头、封装安全性净荷扩展头、目标选项扩展头。[6]
4)对音频和视频的支持(Support for audio and video)。IPv6的一种机制让发送方与接收方能够通过底层网络建立一条高质量的路径,并将数据报与这一路径联系起来。虽然这种机制用于需要较高性能保证的音频和视频应用,它也可用于将数据报与低成本路径联结。
5)可扩展的协议(Extensible Protocol)。IPv6并不象IPv4那样规定了所有可能的协议特征。相反,设计者们提供了一种方案,使得发送方能为一个数据报增加另外的信息。扩展方案使得IPv6比IPv4更灵活,意味着随时能在设计中增加所需的新特征。
2 IPV6的安全机制与体系结构
2.1 计算机安全与网络安全技术概述
安全机制是决策的集合,它们集中体现了一个组织对安全的态度。更准确的说,安全机制对于可接受的行为以及应对违规做出何种响应确定了界限。[3]
要保护数据就必须小心防范可能的攻击。人们通常只会注意来自外部网络的攻击,而真正的安全机制需要考虑很多其它的问题。要特别注意的方面包括:篡夺权限(盗取密码)、IT系统管理权限的不当或错误使用、滥用权限、软件的薄弱点(在运行超级用户以上级别的应用程序时缓存、堆栈溢出)、网络监听或消息重发、特洛伊木马、病毒和蠕虫等、安全攻击,比如伪装、IP欺骗、Do S攻击或中间人攻击、路由的误用等。
实际上,数据表明来自外部的恶意攻击只占对计算机和网络威胁的一小部分。很多攻击来自内部,并且与人们不正确的使用权限有关。[7]
IPv4的目的只是作为简单的网络互通协议,因而其中没有包含安全特性。
对于安全性,可以定义如下三个公认的目标[2]:
1)身份验证:能够可靠地确定接收到的数据与发送的数据一致,并且确保发送该数据的实体与其所宣称的身份一致;
2)完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改;
3)机密性:确保数据只能为预期的接收者使用或读出,而不能为其他任何实体使用或读出。
完整性和身份验证经常密切相关,而机密性有时使用公共密钥加密来实现,这样也有助于对源端进行身份验证。
IPv6的安全机制主要表现在以下几个方面[9]:
1)将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中,为IPv6网络实现全网安全认证和加密封装提供了协议上的保证。IPv6中通过身份验证头(AH)和封装安全性净荷(ESP)头来实现身份验证和安全性,包括安全密码传输、加密和数据包的数字签名。
2)地址解析放在ICMP(Internet Control Message Protocol)层中,这使得其与ARP(Address Resolution Protocol)相比,与介质的偶合性更小,而且可以使用标准的IP认证等安全机制。
3)对于协议中的一些可能会给网络带来安全隐患的操作,IPv6协议本身都做了较好的防护。例如:因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患,IPv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能,这同时也减少了多个节点在同一时间竞争同一个地址的可能。
4)除了IPSec和IPv6本身对安全所做的措施之外,其他的安全防护机制在IPv6上仍然有效。诸如:NAT-PT(Net Address Translate-Protocol Translate)可以提供和IPv4中的NAT相同的防护功能;通过扩展的ACL(Access Control List)在IPv6上可以实现IPv4 A-CL所提供的所有安全防护。另外,基于VPLS(Virtual Private LAN Segment)、VPWS(Virtual Private Wire Service)的安全隧道和VPN(Virtual Private Network)等技术,在IPv6上也可以完全实现。
2.2 IPv6安全机制
如前所述,IPSec安全性服务完全通过AH(Authentication Header)和封装安全性净荷(Encapsulating Security Payload Header,ESP)头相结合的机制来提供,当然还要有正确的相关密钥管理协议。RFC 4302(IP身份验证头)中对AH进行了描述,而ESP头在RFC4303和RFC 4305(IP封装安全性净荷(ESP))中描述。上述RFC及IP安全性体系结构RFC仅仅是解决安全性问题的第一步。
各安全性头可以单独使用,也可以一起使用。如果一起使用多个扩展头,AH应置于ESP头之前,这样,首先进行身份验证,然后再对ESP头净荷解密。使用IPSec隧道时,这些扩展头也可以嵌套。即,源节点对IP包进行加密和数字签名,然后发送给本地安全性网关,该网关则再次进行加密和数字签名,然后发送给另一个安全性网关。
实际上,AH和ESP头既可以用于IPv4,也可以用于IPv6,这一点很重要。
AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。[13]
3 IPv6安全性应用的现实性分析
IPv6网络在安全性上对IPv4的优势并不如我们预计的那么大。很多已知的在IPv4上实现的攻击,在IPv6上一样能够实现,因此,我们用来保护数据的方式实际上也差不多。如同IPv4一样,迟早会有恶意的攻击者找到新方法来攻入网络。网络攻防就像常说的矛和盾,此消彼长。另外有一点必须指出的是,大多数操作系统内的IPv6是很容易配置的,某些时候隧道模式会作为缺省模式被激活。
如果我们使用检测系统对MAC头0x86DD或者对IPv4协议字段41协议进行监控,我们会发现网络上原来已经有数量庞大的计算机开始使用IPv6系统了。
3.1 公钥传递
RFC 4301规定了IPv6协议的IPSec需求,但并没有提及密钥是如何交换的。我们可以手动设定主密钥,但是在大规模应用时,这项工作会非常耗时。因此,在这种条件下,应该使用一台中心授权服务器。根据目前能了解到的应用情况,这种中心授权服务器还有很多细节问题需要解决,比如和RFC 4306规定的IKEv2协议的冲突问题。
3.2 防火墙和入侵检测系统
端到端的IPSec是IPv6的主要优点之一,然而,如果使用ESP加密,那么已有的防火墙就可能发生问题:假如包是端到端加密,那么防火墙或者路由器如何在不解密的条件下来进行包的检测呢?把所有的加密密钥放在一个中心位置也会使网络出现中心薄弱环节。一个比较好的解决方案是,使用一个服务器来存储攻击者或进行了网络异常分析工作计算机的数据库,客户机下载这些数据库,数据计算机自己对包进行扫描,如果发现了和数据库相符的内容,就向中心服务器报警。
3.3 兼容性
互联网的普及使IPv4向IPv6的过渡需要很长一段时间才能完成。IPv6也不仅仅是对IPv4的简单升级,因为头部特征和配址机制的不同,这两种协议是互不兼容的。因此,IPv4如何平滑地过渡到IPv6是必须解决的一个问题。[10]
近年来的实践过程中,屡屡出现本来在IPv4系统中工作正常的设备、软件在采用IPv6协议后出现问题的事件。根据报道,如果IGMP snooping置为有效,那么有些交换机会无法传送IPv6的多播包。使用VLAN站点并使用ISL加密,那么IPv6会不能正常工作。[8]同时,传统上被认为固若金汤的BSD系统,也在处理IPv6封包的程式码中,存在某种存储器损毁的弱点,可能造成系统被攻击者控制的高危险,“该项弱点可让黑客避开操作系统内建的所有安全机制”。[12]Juniper networks使用ipv6的m系列及t系列路由器,由于“内存溢漏”(memory leak),可以让攻击者发动Do S攻击。[11]
因此,业界还要花费大量的精力和财力来进行已有系统的兼容性试验,避免出现不可预知的严重损失。
4 IPv6的企业安全性模型
近年来,由于业务需要,NAT越来越多地被使用,与此而来的还有IPv4网络端对端透明的缺失和安全性的降低。IPv6可以部分地解决这一问题。如果要对外部隐藏网络拓扑结构是必须的话,那么应该使用如RFC 3041规定的诸如private addressing技术等,而不能再继续使用NAT技术。
在传统的IPv4网络中,标准的安全性模型是集成化的NAT和边界防火墙的使用。在IPv6网络里,应该设计一个更先进的安全模型来改善整个网络的安全,与此同时还要促进端对端的联络能力。IPv6的每个节点都具有IPSec能力。仅仅依赖一个防火墙是不可靠的。假如入侵者进入了防火墙背后的网络,那么一切都将是一览无余的非加密内容。要建立完善的模型,必须将中心安全策略仓库、可信主机和节点结合起来,使三方共同作用,建立一个以网络ID为基础的身份验证网络系统。防火墙仍然可以使用,但以现在的观点而言,仅仅以边界防火墙来进行企业级防护是不够的,边界防火墙还要和节点级防火墙相互作用,形成综合性分布式防火墙网络。
摘要:该文从IP发展历史入手,简要回顾了IPv6的主要特性,阐述了IPv6的安全机制,对IPv6的现实性应用给出了见解,认为IPv6已经进入实用化阶段,应该从现实角度完成IPv6安全性的实际应用,完善公钥、防火墙和兼容性等工作。最后,该文对企业网络从IPv4转为IPv6后的网络安全性模型提出了一些看法。
关键词:IPv6,安全性,企业模型
IPV6的安全性 篇2
1IPv4向IPv6过渡中存在的问题
IPv6安全机制是IPv4安全机制的强化,与IPv4相比,IPv6安全机制的网络结构更为复杂,应用范围更为广阔,但是IPv4向IPv6的过渡不是一蹴而就的,在这个过渡过程中会出现一些严重的问题,这就要求我们必须充分认识IPv4向IPv6过渡中的问题,尽量减小对网络安全的不良影响。
1.1翻译过渡技术
采用翻译过渡技术,必须关注翻译对数据包传输终端的破坏情况与网络层安全技术不匹配这两个问题。保护网络正常数据传送是网络层安全协议的主要职能,网络层协议中的地址翻译技术主要用于变更传送数据的协议与地址,这就容易使网络层协仪的地址翻译与网络安全协议出现冲突,使网络环境的安全面临威胁。
1.2隧道过渡技术
隧道过渡技术并不重视网络安全,其自身特点也使网络易遭受攻击,安装安全设备的网络应用隧道技术后,会影响原有的安全设备运作,并且在数据经过隧道时,隧道也不会检查数据,这就给恶意的数据提供了进入正常网络的机会,严重威胁网络安全。
1.3双栈过渡技术
双栈过渡技术是网络层协议的一种,两个网络层协议在一台主机上同时运行是其特点。但是同时运行的两个网络层协议在技术上并无联系,而且容易出现运作不协调的问题,导致网络安全存在漏洞,易被攻击者利用。但是与翻译过渡技术和隧道过渡技术比较,双栈过渡技术的安全性能要优于上边的两种技术,网络安全性相对较高,有其自身优势。
2IPv6的特点
IPv6是一种新型互联网协议,是IPv4互联网协议的革新。IPv6可以有效解决IPv4中存在的漏洞与缺陷,其改进方面主要体现在地址空间、IPSec协议、数据报头结构、服务质量(QoS)方面。其中数据报头结构和IPSec协议是影响入侵检测系统的主要方面。
2.1数据报头结构的更新
与IPv4数据报头结构相比,IPv6简化了IPv4的数据报头结构,IPv6的40节数据报头结构极大的提高了数据处理效率。此外,IPv6还增加了选项报头、分段报头、认证报头等多个扩展报头,入侵检测系统必须首先解析IPv6报头才能进行协议分析。
2.2IPSec协议
与IPv4相比,IPv6中还应用了IPSec协议,其可以有效实现网络层端到端的安全服务,并且IPSec协议中的两个安全封装载荷和认证头协议可以自由组合。IPSec协议实质上是对IPv6传输数据包的加密,这有利于提高数据传输过程的安全性,但是由于其对IPv6的报头也进行封装,入侵检测系统在进行检测时必须了解IPv6报头的源地址和目的地址,否则难以进行检测行为,这严重影响了入侵检测系统的正常运行。
3IPv4、IPv6入侵检测技术特点
以往技术多采用模式匹配技术,针对数据包和攻击数据库进行匹配对应是该模式的典型特点,这种模式特点是以数据库对应的情况来依次判断是否存在网络攻击。而现在,检测系统入侵的技术手段为BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定义为识别并处理那些以IPv6网络协议恶意使用网络资源的攻击者的技术,为IPv6入侵检测技术。IPv6与IPv4有很大的区别,两者在程序上不兼容,因此在这种情况下入侵技术的检测变得问题繁多。首先,两种协议在数据报头上变动明显,以往在IPv4上能用的检测产品在IPv6上无法直接使用。在使用IPv4协议的情况下,TCP头部紧紧连接着IP头部,不仅如此,他们的长度还是确定不变的。这样的连接模式和设置使得检测工作的开展变得更加简便。然而,另一种协议方式即IPv6却与此有很大的不同,它的这两个头部并不紧接,长度也不固定,在其中间还往往会有别的扩展头部等。经常见到的有路由选项头部等。尽管该协议下,数据包对应显得很复杂,若是防火墙没有完全读懂数据包则会发生不能过滤的情况,这在某些时候使得入侵的检测工作变得更加复杂。科研攻关人员目前已经针对IPv6协议下的接口函数做出了相应的科学的新改动。其次,在进行端到端的传输工作时,若为IPv6则IDS会由于无法解密而直接导致解读不了数据,此时的IDS不能有效的继续工作。虽然采取IDS数据包解密能够较为有效的解决这一问题,但这种解密情况下的安全又成了新的问题,对其是否可靠,时间会给予准确的答案。
3.1双栈入侵检测系统的实现
IPv6协议解码功能是实现双栈入侵检测的关键性因素。协议解码分析通常分为第二层、第三层。第二层主要是以太网,然而第三层的则大为不同,它不仅包含IPv4包类型,还同时兼有IPv6包类型,甚至还具有隧道方式。协议解码在数据结构、属性的基础上,注重数据包对号入座,一一对应。IPv6协议解码功能如图1所示。进行协议解码的首要步骤是抓包并解包,并且在解包时完善对应信息包。分析各个模块,以此判断是何种包,区分数据包是属于IPv4还是属于IPv6是至关重要的。在此之后,存档以太网的源地址和目的地址,并在接下来的工作中进行下一层解析,在第三层数据解析时包头结构是着重分析的对象。
3.2在IPv6环境中的NIDS模块设计
数据采集、分析,然后是结果输出,这三个方面组成了整个NIDS系统。对科学要求的CIDF规范完全符合。这个系统由数据包捕获的各种模块结合而成。
3.3NIDS模块功能
(1)数据包捕获模块数据包捕获模块在整个系统中居于关键地位,它是系统的基础,也是其重要组成部分。该模块的具体作用在于从以太网上获取数据包,根据实际情况和不同的系统,有相对性的捕获,相比之下,捕获方式会根据具体情况而有所不同。(2)协议解析模块协议解析是该模块的核心作用,该模块对数据层层分析最终得到解析目的,在此基础上分析是否有入侵情况以便进行制止防御。(3)规则处理模块提前制定的入侵规则存入库中,它的多少直接影响着整个入侵系统的性能。规则设置的越多越完善,对于入侵行为的检测就越精准。(4)分析检测模块查证是否有入侵行为发生是该模块儿的重要作用,该模块和规则库若匹配成功则证明系统正在遭受入侵。(5)存储模块存储信息和数据包是该模块的具体功能。有效储存信息对于系统对入侵行为的分析具有极强的帮助作用,储存的数据可供事后分析等。(6)响应模块响应模块是入侵行为的响应处理,它的响应能使防火墙及时对入侵行为进行制止和防御,是系统防御不可或缺的盾牌。
引用:
基于IPv6网络的安全问题分析 篇3
关键词:IPv6;下一代网络;安全
中图分类号:TP393 文献标识码:A 文章编号:1000-8136(2009)27-0177-03
1引言
IPv4是一个非常成功的协议,互联网辉煌的发展史已经反复证明了这一点。但随着Internet规模爆炸式地扩张和新应用的不断推出,IPv4由于自身的局限性,已经无法再支撑计算机互联网的进一步发展。其具体表现为:IP地址空间有限,且分配严重不均衡;对安全考虑不足;QoS(服务质量)效率不高;配置不够简单;不能有效支持移动性等。
1994年,在IETF批准的RFC1752中公布了IPv6规范,并明确了以IPv6作为下一代网络协议IPng(IP-the next generation)的基础。IPv6采用128位地址,其提供的地址数量达2128个,有一个很恰当的比喻可以帮助我们理解这个枯燥的数字:IPv6巨大的地址空间可以为地球上的每一粒沙子分配一个IP地址。但IPv6并不是仅仅以扩大地址空间为最终目标,它对IPv4编址方案也做了一些修正,以支撑下一代网络。其改进的措施包括:全新的报文结构;巨大的地址空间;全新的配置方式;更好的QoS支持;内置的安全性;全新的邻居发现协议;良好的拓展性;内置的移动性等。
IPv6取代IPv4是历史的必然。从1996年IETF发起成立6BONE(IPv6试验床)至今,IPv6作为可控、可信、可扩展的下一代协议,已经逐步加快了商业化的步伐。1998年6月,我国CERNET加入6BONE,并且在2003年启动了下一代互联网示范工程(CNGI)的建设。目前已建成世界上最大的IPv6骨干网络,并实施了一系列的IPv6应用。在全球金融危机的背景下,中国政府进一步加大了对IPv6应用以及推进下一代互联网的力度,已经把下一代互联网纳入了国家电子信息产业振兴规划,并且正在进一步制定行动计划。2009年6月1日,在全球范围内开始为网站和ISP提供IPv6服务认证,拉开了IPv6商业化的序幕。
安全性作为重大的技术挑战之一,在IPv4已寸步难行,IPv6是为解决现在互联网技术挑战而搭建的一个新平台,互联网要获得继续发展的支撑,必须在新平台上进行关键技术的突破。
2IPv6的安全机制
IPv6协议自身支持IPSec,为网络安全性提供了基于标准的解决方案。
IPSec为IP及上层协议提供了数据完整性、数据源身份认证、抗重放攻击、数据内容的机密性等安全服务,其作为网络安全标准在IPv6下强制实现。它定义了一个系统来提供安全协议选择、安全算法、确定服务所使用的密钥等服务,从而在IP层提供安全保障。IPSec主要由认证头AH(Authentication Header)协议、封装安全负载ESP(Encapsulating Security Payload)协议、密钥管理协议IKE(Internet Key Exchange)三部分组成。AH能提供数据源的认证、完整性、及抗重放服务。ESP除能提供AH的功能外还提供数据保密性。
2.1IPSec的体系结构
图1描述了IPSec的体系结构,该结构体现了各组件之间的交互。
图1IPSec结构
(1)封装安全负载(ESP)——通过加密IP数据包提供机密性和身份验证。IP数据包加密隐藏数据及源主机和目的主机的身份。ESP可验证内部IP数据包和ESP报头的身份,从而提供数据来源验证和数据完整性检查。尽管加密和身份验证在 ESP中都是可选功能,但必须至少选择其中一个。
(2)验证报头(AH)——不要求或不允许有机密性时使用。AH为两个系统间传递的IP数据包提供数据验证和数据完整性检查。它验证从端到端传递的消息在传送过程中是否未被篡改,还验证数据来源是否被确定。AH不提供数据包的数据机密性(加密)检查。AH 协议单独使用时提供的保护较脆弱,因此需要将其与ESP协议配合使用,来提供数据加密和篡改检测等安全功能。
2.2IPsec的配置
IPsec依赖现有算法来实现加密、身份验证和密钥交换。IPsec提供框架,管理员选择在该框架内实现安全服务所要使用的算法。图2显示了IPsec的配置方式。
配置IPsec网关以提供安全服务时,有四个IPsec框架元素需要确定:
(1)IPsec协议。选项为ESP、AH和带AH的ESP。
(2)加密算法(如果IPsec是使用ESP实现的)。选择适合所需安全级别的加密算法:DES、3DES或AES。
(3)身份验证。选择一种身份验证算法来提供数据完整性检查:MD5或SHA。
(4)Diffie-Hellman(DH)算法组,它建立对等点之间的密钥信息共享。选择要使用的组:DH1、DH2或DH5。
图2IPSec框架
3IPv6网络的安全威胁
习惯性的思维是,IPv6应该比IPv4安全,因为其有着更高的版本并强制实现IPSec。事实上,虽然IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认方面有了更好的保证,但安全毕竟是相对的,IPv6不仅不能解决所有的安全问题,同时还可能伴随其而产生新的安全问题。
安全性对于IPv6网络,依然是一个挑战。
3.1IPSec自身的安全问题
对保护IP数据报的安全而言,IPSec是一个强健的、可扩展的机制,但IPSec在十几年的应用过程中也逐渐暴露出自身在安全方面的不足。
(1)默认加密和认证算法强度不够。MD5和SHA是IPsec采用的典型认证和加密机制,而这些算法已有破译的报告。
(2)它只能用于单点传输,不能进行多点传输(组播),在组播中一个AS可能需要与上千个AS建立邻接关系。
(3)IPSec对每个数据报都必须进行加密或认证处理,尤其是在通过Diffie-Hellman交换进行密钥协商进程中,其中的模幂运算会占用大量的计算资源,给DoS攻击者留下可以利用的机会。
(4)数据链路层协议虽然在压缩后传输数据,但加密后的数据再进行压缩,其可能导致压缩数据量的增大,引起Internet传输效率问题。
IPv6的设计者将重点放在保护数据安全上,而将网络安全问题交给终端用户。因此,IPv6并没有解决所有网络安全问题,各种网络威胁仍然存在。
3.2过渡时期网络的安全问题
考虑到成本因素,IPv6并不会在短时间内替代IPv4。在过渡时期,这两种协议同时存在,而且过程将很长。过渡技术主要可以分为3类:双栈技术、隧道技术和NAT-PT(Network Address Traslation-Protocol Translation)。过渡问题的存在,将使网络结构更复杂,这可能会引入新的安全隐患,给网络安全防护提出更严峻的挑战。
双栈技术因为容易实现而最常见,其允许设备同时使用IPv4和IPv6进行通信。在这样的网络环境下,一种协议的漏洞必然会影响到另外一种,而这产生的风险甚至不能用简单地迭加来评估。
6to4隧道在启用后的默认状态下很不安全,容易引入拒绝服务攻击、IP地址欺骗和服务盗用等。而由于自动隧道的方便性,设计师在规划网络时有意无意地选择了对安全因素的忽略。为了对整个隧道进行安全策略的部署,应该对隧道进行一些必要的配置,在隧道的入口和出口实现认证,从而建立信任关系。
NAT-PT利用SIIT(Stateless IP/ICMP Translation)技术的工作机制,同时又利用传统的NAT技术,给访问IPv4节点的IPv6节点分配IPv4地址,实现两类网络之间的互通。但其破坏了网络层端到端的安全特性;对于应用层加密过的包含IP地址的数据包,则流量将不能通过NAT-PT,也不能通过IPsec;由于IPv6域中的权威域名服务器不能对来自IPv4域中DNS请求进行签名应答,安全DNS也不能在NAT-PT得到应用。
3.3纯IPv6网络的安全问题
3.3.1地址扫描
由于拥有巨大的地址空间,传统暴力式的扫描探测技术在IPv6网络不再有效,然而攻击者也可以根据IPv6网络的一些特性找到攻击目标。网络管理员往往使用特殊的IP地址分配给服务器或节点,这些特殊的IP地址可能包括带有IPv4地址特征的IPv6地址、组播和任播地址,这就大大缩小了攻击者扫描的范围,提高了地址扫描的成功率。IPv6网络节点中关键的数据结构(邻居缓存、目的缓存、邻居列表、默认路由器列表、NAT-PT静态映射列表等)描述了网络中的其他设备,攻击者一旦挟持了网络中的某台设备并获取这些信息,就可以利用这些信息对网络实施攻击。
3.3.2无状态地址自动配置(Stateless Address Auto-configuration)
无状态地址自动配置协议为IPv6地址的自动配置(不依靠DHCP服务)提供了可行的思路,但有两个安全问题需要注意。一是地址配置过程和DAD(Duplicate Address Detection)的安全性;二是配置后地址的安全性。前者主要是指信息交互双方的身份验证以及信息保密,这可以用IPSec解决。配置后地址的安全性主要是指地址的隐私性问题,任何人都可以依据MAC地址计算出全局IPv6地址,尤其是IPv6网络不断壮大后,但我们可以考虑用一个随机数(而且随着时间变化)作为Interface ID加上前缀(prefix)来构造一个IPv6地址,从而增加了猜测这个地址的难度。
3.3.3ICMPv6和 PMTU
与传统的ICMPv4一样,ICMPv6很容易被利用,不停地产生错误的IP包或产生反射攻击,会占用网络带宽和系统资源,甚至导致拒绝服务。或者是伪造目标不可达的ICMPv6消息给源节点,源节点会“知趣地”停止发送剩余的IP包,导致数据流中断。这些伪数据包的产生原因是ICMPv6消息的消息头和内容很容易被篡改,解决的办法是依靠IPsec保护。
在IPV6中,ICMPv6除了提供ICMPv4常用的功能之外,还定义了其他机制,如PMTU发现等。在进行PMTU发现时,攻击者可以伪造数据包超长报文,将MTU的值设置得很小会严重影响网络的传输效率;将MTU的值设置得很大,则中间路由器会将数据包丢弃,但这些非法的数据包不断地重复,就会大量消耗路由器资源甚至产生拒绝服务。因此在PMUT发现过程中对数据包超长报文消息的合法性检查非常重要。
3.3.4邻居发现协议(Neighbor Discovery Protocol)
IPv6中的邻居发现协议同样存在很多安全隐患。攻击者可以利用该协议发出错误的路由器通告、错误的重定向信息来挟持IP数据流向,实现拒绝服务、拦截和篡改数据的目的。由于IPv6没有ARP,所以不能单纯为了考虑安全因素而简单地禁用ND。IETF于2005年3月通过了RFC3971安全邻居发现协议(SEND),为解决该协议的安全问题提供了思路。
3.4其他
IPv6工作在网络层,其对安全性的改进也只能仅限于IP层。IPv6网络中传输数据包的基本机制并未改变,IPv6仍然在控制平面学习路由以适应拓扑的变化,在数据平面根据已知的路由信息对数据包进行转发。因此,在IPv4网络中除IP层之外,其他六层中出现的攻击在 IPv6网络中仍然会存在。如DNS的安全性、SNMP的安全性、路由协议的安全性、IP层外的安全漏洞、病毒、木马、蠕虫等,均属于这一类非IP层攻击。这类攻击并非IPv6特有,它们在IPv4网络中就一直存在,因此可以借鉴IPv4网络中的防护办法和思路,将其应用于IPv6网络。
4结束语
IPv6将支撑着互联网以更快的速度继续发展。对互联网而言,安全问题是一个综合性的课题,而网络安全技术只是一种工具和手段,无法从根本上解决安全问题。因此,除了采取认证体系、加密体系、密钥分发体系等多种技术手段外,加强网络管理,健全法律,提高社会公民的道德水平也显得十分重要。
参考文献
1 李振强、赵晓宇、马 严. IPv6安全脆弱性研究.计算机应用研究,2006
2 陈选育、李灿平. IPv6下基于IPsec的VPN的研究与性能分析.信息技术,2007
3 梁京张、潘 盈、冼月萍. 互联网安全问题的哲学思考. 计算机安全,2004
4 RFC3971. SEcure Neighbor Discovery(SEND)
Analysis of Based on IPv6 Network Security Problem
Deng Qirun
Abstract: IPv6 has solved IPv4 network existence many problems from the certain extent, in the secure aspect, IPv6 has made some improvements, but has not been able to solve all security problems. The article has analyzed IPv6 the first agreement safety mechanism, analysis and research the IPv6 network faces the security threat, and gives in the network deployment process some suggestions.
IPV6的安全性 篇4
现有的互联网主要是基于IPv4协议的。这一协议的成功促成了互联网的迅速发展。但是, 随着互联网用户数量不断增长以及对互联网应用的要求不断提高, IPv4的不足逐渐凸显出来。其中最尖锐的问题就是不断增长的对互联网资源的巨大需求与IPv4地址空间不足的先兆, 目前可用的IPv4地址已经分配了70%左右, 其中B类地址已经耗尽。为了彻底解决互联网的地址危机, IETF早在20世纪90年代中期就提出了拥有128位地址的IPv6互联网协议, 并在1998年进行了进一步的标准化工作。目前, IPv6的实验网已经遍布全球, IP协议从IPv4过渡到IPv6已经是历史必然。
二、IPv6带来全新的服务体验
IPv6通过自动识别机能、无限大的住址、网络安全设置, 能对每个终端 (包括无线终端) 、每个家电、每个生产流程、每个感应器, 都进行IP全球化管理, 宣告了信息化新时代的到来。IPv6所提供的巨大的地址空间以及所具有的诸多优势和功能, 将对业务模式有重大的影响。因为有了IPv6, 终端的IP地址就可以静态化、号码化, 方便运营商对用户进行识别、定位、管理, 这样就可以为业务创新产生有利的调动。
IPv6协议由128位地址长度扩展空间, 并使用强制部署IPSec来增强网络的安全性。I P v 6在地址分类、报头格式、Q o S、Plug&Play功能、移动性、ICMP等采用了新的协议机制。由于IPv6的地址空间急剧扩大及新协议机制的使用, 使IPv4网络攻击在IPv6网络中呈现出不同形式和特点。经分析, 针对这些攻击采取可能的防护手段。
三、IPv6带来的新问题及挑战
A、网络侦察
网络侦察通常采用两种方法:一种是主动式获取, 例如端口扫描;另一种是被动式获取, 例如通过搜索引擎或公开的技术文档。
B、非法访问
由于IP协议栈中不对主机之间的连接做任何限制, 攻击者利用IP协议与网络中的主机或设备建立上层协议的连接进行非法访问。IPv4网络采用在端系统和网关设备中部署访问控制来限制非法访问。而IPv6扩展可有效防止网络侦察, 且IPSec的全面部署会使主机的访问控制更加容易。但仍然需要防止非法访问。目前市场已有许多IPv6防火墙产品, 这些产品只是解决了部分IPv6中的安全问题。
C、第三层和第四层欺骗
攻击者修改他们的源IP地址和目的地址端口, 使他们发出的报文看似发自于另一台主机或另一个应用程序, 这种欺骗攻击依然十分流行。IPv6地址具有全球聚集属性, IPv6对于第三层欺骗具有很好的防护作用。
D、Smurf攻击
Smurf攻击方法使用了IP欺骗和ICMP回复方法, 使大量网络传输充斥目标系统, 引起目标系统拒绝为正常系统进行服务。在IPv4网络中采用关闭路由器的直接广播防止攻击。I P v 6采用了新的组播模式, RFC2463中规定对于目的地址为组播地址的报文, 不产生ICMPV6回复报文, 因此避免了这种攻击。
E、路由攻击
路由攻击可破坏或重定向网络中的流量。它采用多种手段, 例如利用范洪攻击、快速宣告和撤销路由、发布虚假路由信息等。IPv4网络防范攻击手段是在路由器之间采用加密认证机制保护路由协议的安全。IPv6中, 有几种协议并没有改变它们的安全机制。BGP仍然依赖于TCP MD5认证机制。
F、蠕虫病毒
蠕虫病毒是当今IP网络中最显著的安全问题。IPv4中的蠕虫病毒不仅危害主机安全, 而且还通过加重路由器和服务器的负担, 从而危害到整个网络。可安装补丁防止这种病毒。在IPv6网络中可能不会轻易爆发蠕虫病毒。有关蠕虫在IPv6网络中具有什么样的特性, 采用何种攻击手段, 还有待于进一步的研究。
四、IPv6当前无法克服的问题
A、窃听
窃听是攻击者获取网络的传输报文。攻击者通过窃听可获得系统的登录凭证, 或某些明文协议中的敏感信息。尽管IPv6通过IPSec提供了防止窃听的基本技术手段, 但并没有解决最具挑战性的密钥管理问题, 窃听攻击仍有可能。
B、应用层攻击
应用层攻击是指发生在第七层上的所有攻击。这是当前互联网上最主要的攻击。常用攻击手段有缓冲区溢出、CGI攻击、及病毒和蠕虫等等。IPv6网络即使全面部署IPSec, 也不会缓解这种攻击。
唯一的改善可能就是追踪攻击会变得更加容易。
C、非法设备
非法设备是网络中未认证的一些设备。攻击者将一台便携式电脑变成一个无线接入点, 一个DHCP或DNS服务器, 一个路由器或交换机。这种攻击在IPv4网络中很常见, 并且暂时在IPv6网络中得不到任何改善。解决这个问题是对IPSec的全面部署。
D、洪范式攻击
IPv6中洪范式攻击依然存在, 并且因为IPv6中可被用来欺骗地址空间非常巨大, 因此使得攻击
更难被跟踪。IPv6网络中如何追踪这种攻击, 还需进一步的研究。
随着IPv6的不断发展和越来越广泛的应用, 安全问题将越来越受到人们的关注, 新的安全事件也将不断的涌现, IPv6环境下的安全机制和安全产品都在不断的发展和变化。关于IPv6网络的安全性方面也得到了越来越多的重视。IPv6的新的特性与协议机制, 使传统网络上的攻击与防护在IPv6网络中遇到了新的问题与挑战。
摘要:IPv6比IPv4具有巨大优势, IPv6是互联网发展的必然结果。IPv6的应用将会为我们带来全新的服务体验, 但是IPv6也带来了在互联网安全方面的一些新问题和新挑战, IPv6带来的新问题和挑战包括网络侦察、非法访问、第三层和第四层欺骗、ARP和DHCP攻击、Smurf攻击、路由攻击, 蠕虫病毒以及IPv6和IPv4的互通。IPv6当前无法克服主要是窃听、应用层攻击、非法设备Man-In-Middle等。
关键词:IPv4,IPv6,NGN,网络安全
参考文献
[1]、雷震甲.网络工程师教程[M]. 北京:清华大学出版社, 2004.
[2]、周逊. IPv6-下一代互联网的核心[M]. 北京: 电子工业出版社, 200
IPV6的安全性 篇5
基于多线程的IPv6入侵防御系统设计
分析了IPv6网络的协议特点,提出了一种基于多线程的IPv6网络入侵防御系统(IPS).为优化性能,采用多线程体系结构设计.IPS原型阐述了面向IPv6网络的.IPS硬件的设计思想.
作 者:刘期建 作者单位:中国民航飞行学院现代教育技术中心,四川广汉,618307 刊 名:中国民航飞行学院学报 英文刊名:JOURNAL OF CIVIL AVIATION FLIGHT UNIVERSITY OF CHINA 年,卷(期): “”(3) 分类号:V2 关键词:IPv6 多线程 入侵防御 网络安全IPv6特有的安全脆弱性研究 篇6
关键词:Internet、IPv4、IPv6
1.引言
现在的互联网是在Ipv4协议的基础上运行。随着Internet在过去几年的快速增长,IPv4主要存在两个方面的问题:Ipv4的地址严重匾乏和路由表急剧膨胀。为了解决IPv4存在的这两个问题,提出了IPv6协议[6]。与IPv4比较,IPv6彻底解决了地址空间缺乏和路由表急剧膨胀等问题,而且还为IP协议注入新的内容,使之提供安全保障,支持主机移动等功能。普遍认为IPv6因有IPSec而比IPv4更安全。但在实际部署IPv6网络时,由于技术能力不够和现有安全基础设施不足等原因,使得IPv6网络往往没有采用任何安全措施。而且,其网络传输数据包的基本机制也与IPv4相同,所以现有的IPv6网络并不比IPv4网络安全。其安全问题值得深入研究。本文以下就IPv6特有的安全脆弱性进行了研究。
2.IPv6特有的安全脆弱性
2.1掃描和探测 由于IPv6网络子网大小是64bits或者更大,这使得IPv4网络中传统的扫描和探测技术在IPv6网络中不再适用。但是IPv6网络中由于地址太长不便记忆,管理人员往往会给一些服务器配置比较特殊的IPv6地址,或者使用动态DNS,或者将双栈机器IPv4地址的最后一个字节简单映射成IPv6地址的最后一个字节等。这些都给扫描和探测带来了方便。
一个IPv6节点中有很多关键的数据结构(如邻居缓存、目的缓存、前缀列表、默认路由器列表等[1],攻击者利用这些信息可以了解到网络中存在其他网络设备,也可以利用这些信息实施攻击。比如攻击者可以宣告错误的网络前缀、路由器信息等,从而使得网络不能正常工作,或将网络流量导向错误的地方。
IPv6中还引入了许多熟知的组播和任播(Anycast)[3]地址,这些地址往往会配置给IPv6网络中的一些关键设备,它们给攻击者提供了明确的攻击目标。比如子网路由器任播地址代表某链路上一组路由器中的某一台;移动IPv6[5]中的家乡代理任播地址代表家乡网络中能够充当家乡代理的某一台路由器。熟知的组播地址有:所有节点地址ff01::1和ff02::1,所有路由器地址ff01::2,ff02::2和ff05::2,请求节点地址FF02::1:FFXX:XXXX等。
2.2无状态地址自动配置 IPv6相比IPv4的一个重要优点是IPv6支持无状态地址自动配置(Stateless Address Autoconfiguration)[2]。这虽然给合法网络用户使用lPv6网络带来了方便,但也引入了安全隐患。非授权的用户可以更容易地接入和使用网络,特别是在无线环境中,如果没有数据链路层的认证和访问控制,一个配有无线网卡的非法用户甚至不受物理网线连接的限制就可以轻松地接入和访问IPv6网络。无状态地址自动配置中的冲突地址检测机制也给拒绝服务攻击带来可能:恶意攻击者只要回复对临时地址进行的邻居请求,请求者就会认为地址冲突而放弃使用该临时地址。
2.3ICMPv6 和PMTU ICMPv6[3]是IPv6的重要组成部分,它包括了IPv4中ICMP和ARP的功能。所以要使IPv6正常工作就不能像在IPv4中那样为了安全考虑而完全禁止ICMP。不幸的是,ICMPv6会引入和遭受多种攻击。例如ICMPv6可被利用来产生拒绝服务攻击,只需不停产生错误的IP包即可。其消息的消息头和内容若没有IPSec的保护很容易被窜改。利用它可以冒充其他节点产生恶意消息(目的不可达、超时、参数错误等)来影响正常通信。比如:攻击者冒充源节点到目的节点路径中的某路由器发送伪造的目的不可达ICMPv6消息给源节点,源节点收到这样的消息后将停止向目的节点发送IP包。
利用ICMPv6还可以产生反射攻击。比如:攻击者伪造大量的Echo请求包发给目标靶机,这些包的源IPv6地址不是攻击者本身的地址而是受害者的某个全球单播地址;目标靶机收到Echo请求后都会将Echo响应发往受害者,这样的反射流将会消耗受害者或受害者所在网络的带宽和处理资源,如果反射流足够大将会造成拒绝服务攻击。
IPv6中通过路径MTU发现163机制使得IP包的分段和重组只在源节点和目的节点进行,IPv6中的中间节点不再像IPv4中那样进行分段,这提高了中间节点的转发效率。但在进行PMTU发现时,若不对收到的包太大消息进行合法性检查,将可能引入拒绝服务攻击或使得网络性能下降。如果伪造的包太大消息中指示的PMTU太小,将导致网络性能严重下降;相反,如果伪造的包太大消息中指示的PMTU太大,将导致某些路由器丢弃数据包,如果这样的错误包太大消息不断重复使得路由器不能从它自己发出的正确包太大消息中恢复过来,网络中将会大量丢包,甚至拒绝服务。
2.4邻居发现协议 IPv6使用邻居发现协议(Neighbor Discovery Protoco1)[1]来发现同一链路上的其他节点,进行地址解析,发现链路上的路由器,维持到活跃邻居的可达信息等。邻居发现协议是IPv6中的一个重要协议,但同样存在很多安全隐患。利用邻居发现协议,通过发送错误的路由器宣告、错误的重定向消息等,可以让IP数据包流向不确定的地方,进而达到拒绝服务、拦截和修改数据包的目的。
邻居发现协议在没有认证保护时,规定跳限制域必须是最大值255,这可以防止来自链路外的攻击。但这种措施对链路内发起的攻击却无能为力,而IPv6的无状态地址自动配置恰恰为链路内攻击提供了便利。因为攻击者可以利用无状态地址自动配置很方便地接入到同一链路上,在无线环境中尤其如此。IETF在2002年成立了安全邻居发现协议工作组SEND来研究和解决邻居发现协议中的安全问题,并于2005年3月通过了RFC3971安全邻居发现协议SEND[4]。
2.5移动IP 移动IPv6[5]中也有很多安全问题:由错误绑定消息引起的拒绝服务攻击、中间人攻击、劫持攻击和假冒攻击等。攻击者通过伪造移动节点的绑定更新,并将它发给家乡代理和它所知道的移动节点的通信对端,可将伪造的转交地址宣告出去,从而使移动节点得不到任何数据包;攻击者还可将自己的一个IPv6地址作为转交地址宣告出去,从而假冒移动节点得到原本应该发给移动节点的数据包;攻击者也可以将网络中某攻击目标的IPv6地址作为转交地址宣告出去,从而将流量引向攻击目标,这一方面造成移动节点得不到任何数据包,另一方面如果流向攻击目标的流量足够多还能造成对攻击目标的拒绝服务。
3.结束语
预计在未来的5-10年间,所有的IPv4地址将分配完毕。IPv6将可以彻底解决IPv4地址存在的问题,同时它还采用了分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。相信只要解决了IPv6中存在的相关问题,它就可以更好的为下一代Internet 服务。
参考文献:
[1]RFC2461.Neighbor Discovery for IP version 6(IPv6)[S].
[2]RFC2462.IPv6 Stateless Address Autoconfiguration[S].
[3]RFC2463.Internet Control Message Protocol(ICMPv6)for the Internet Protocol version 6(IPv6)Specification[S].
[4]RFC3971.SEcure Neighbor Discovery(SEND)[S].
http://jp.sunsolve.sun.com/search/document.do asetkey=1.26-55301-1.2003 08-26.
[5]RFC3775.Mobility Support in IPv6[S]
IPv6的安全机制的分析与研究 篇7
1 IPv4网络安全的现状
对于网络层的安全性的鉴定,有三个公认的指标,分别是完整性、身份验证与机密性。
完整性:能够可靠地确定接收到的数据与发送的数据一致,数据在传送的过程中没有被修改。
身份验证:能够可靠地确保发送该数据的实体与其所宣称的身份一致。
机密性:确保数据只能被指定的接收者使用或读出。
除了以上的三个指标,还应该解决以下威胁:
拒绝服务攻击:避免主机淹没于攻击者恶意的大量请求中,从而致使系统崩溃;
愚弄攻击:即实体传送虚假来源的包。
而现在的IPv4中存在一系列的安全性漏洞,应用程序只能通过本身的私有性和认证性操作机制完成安全性操作,也不能很好的达到上述的三个指标。另外,IPv4网络对以上这两个威胁也无能为力。因此IPv6应运而生。
2 引入IPv6的原因
IPv6是下一代Internet的网络层协议,IPv6实行的最根本原因在于目前IPv4协议的安全性和局限性。安全上的不足和太多的局限性致使IPv4不能满足社会的长期需要,而IPv6能有力克服这些局限性。
3 IPv6的安全机制
IPv6的安全机制主要表现在以下几个方面:
第一,将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中,为IPv6网络实现全网安全认证和加密封装提供了协议上的保证。第二,地址解析放在ICMP层中,这使得其与ARP相比,与介质的偶合性更小,而且可以使用标准的IP认证等安全机制。第三,对于协议中的一些可能会给网络带来安全隐患的操作,IPv6协议本身做了较好的防护。第四,除了IPSec和IPv6本身对安全所做的措施之外,其他的安全防护机制在IPv6上仍然有效。
由此看来,IPv6协议确实比IPv4的安全性有所改进,IPv4中常见的一些攻击方式,将在IPv6网络中失效,例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。
4 引入IPv6后出现的安全新问题
很明显,IPv6较IPv4有较好的安全性。但是,这并不能说IPv6已经可以充分的确保系统的安全了。在IPv6中还保留着很多原来被黑客用来攻击IPv4协议或者逃避检测的选项。如果黑客攻击同样的选项,IPv6能否逃避得了类似的攻击,我们还不得而说。另外,由于加密和认证的引入,还可能产生另外的攻击方式,对于IPv6将是一个严峻的考验。
目前对付黑客的主要办法有防火墙,网络扫描,系统扫描,Web安全保护,入侵检测系统等。
4.1 防火墙
目前防火墙大致有三种类型:应用代理型,包过滤型和地址转换型。应用代理型防火墙, 由于工作在应用层,因此受到IPv6的影响会比较小。除此之外,其他的两种类型的防火墙都受到了强烈冲击。
包过滤型防火墙:IPv4的包过滤型防火墙是根据数据包中TCP/UDP端口号和目的端和源端的IP地址进行过滤的。我们首先来比较下,在IPv4中,TCP报头和IP报头是紧接在一起的,长度也基本是固定的,因此防火墙很容易就能找到报头。但在IPv6下,和IPv4中不同,TCP/UDP报头的位置有了明显的变化,这对防火墙的处理性能提出了更高的要求。不可否定,防火墙处理能力的好坏就将成为整个网络的瓶颈。IPv6在使用了加密选项后,IPsec的加密功能中密钥是不公开的, 所以防火墙根本就不能解密。进而防火墙更无法了解TCP/UDP端口号。假设防火墙把所有的加密包都放行的话,我们能想象,今后的防火墙就不再能够控制外部用户所访问端口号的权限了,这显然是不可取的。
地址转换型防火墙:它能让被保护的主机的IP地址在局域网外部看不到,从而使得防火墙内部的机器可以免受攻击。但由于在功能上地址转换技术 (NAT) 和IPsec不匹配,因此很难穿越地址转换型防火墙利用IPsec来通信。当采用AH进行地址认证时,IP报头也是认证的对象,因此不能做地址转换。当只用ESP对分组认证/加密时,在这种情况下也只能作一对一的地址转换,而不能由多个对话共用一个IP地址。此外,在用UDP实现ESP的情况下,如进行地址转换就要变换端口号,则不能正常工作。
4.2 入侵检测
一般来说,防火墙是第一道安全屏障,入侵检测(IDS)就之后的第二道安全屏障。IDS按照审计数据来源的不同,可分为基于主机的IDS (HIDS)和基于网络的IDS (NIDS)。
HIDS在被保护的主机系统中运行,对各种服务所生成的日志文件及操作系统(OS)、文件系统进行监视,以便发现入侵的蛛丝马迹。HIDS一般作为用户进程来运行,操作系统底层给予它的支持,决定了其能否正常运行。此外,HIDS所在的主机的安全又决定了HIDS自身的安全,如果主机被攻破了,HIDS的报警就已经没有意义了。
NIDS是直接从网络数据流中主动截获审计数据,并从中搜索所需的可疑行为。NIDS也有着和包过滤防火墙同样的尴尬,尤其针对在对待被加密的IPv6数据方面。所以,黑客如果使用加密以后的数据包来进行攻击,NIDS就只能束手无策了。
4.3 取证
取证往往是在网络遭到入侵后,相当重要的关键。但是诚如以上的分析,我们担心的是,在通信中使用了带有加密选项IPv6协议的主机,几乎找不到蛛丝马迹。再者,即使被攻破的主机上留下些什么证据,可信度应该低到没人敢去相信。保护主机的安全和保护用户的秘密之间顿时变成了一对矛盾。
5 IPv4向IPv6迁移所产生的可能漏洞
诚如以上分析,IPv4与IPv6在网络中将会长期共存,网络中势必会同时存在两者的安全问题。在它们迁移的过程中,也会产生新的安全漏洞。在逐步的迁移中,我们已经发现一些漏洞,例如,采用了IPv4和IPv6两种协议的LAN的网络资源,黑客可以使用IPv6来非法访问这些资源,攻击者通过使用采用了IPv6并安装了双栈的的主机,能建立由IPv6到IPv4的隧道,从而绕过防火墙,进而对IPv4进行攻击。采用任何一种新的网络协议都需要重新配置防火墙,IPv6协议的转移也不例外,其安全措施必须经过严谨的测试。
目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有双栈、隧道和协议转换。专家建议,向IPv6转移应尽量采用双栈技术,避免采用协议转换,尽量采用静态隧道,避免采用动态隧道,这些都需要在广泛实验中加以检验。
6 结论
IPv4地址耗尽并不是部署和升级到IPv6的唯一理由,IPv6协议可满足下一个世纪的高性能、可扩展性的网络互联,并可解决IPv4协议中存在的许多问题。它简化了协议报头,解决了身份认证,数据完整性和机密性三个安全性问题,使得IPv6真正实现了网络层安全。但是,一系列的安全机制对于当前的计算机网络的安全体系又造成了很大的冲击。使得IPv6加密数据包的过滤,入侵检测和取证都处在一种真空状态。为了适应新的网络协议和新的发展方向,我们应进一步研究和积累经验,尽快找出合适的解决方法。
参考文献
[1]王玲, 钱华林.IPv6的安全机制及其对现有网络安全体系的影响.微电子学与计算机, 2003.
移动IPv6协议安全性研究 篇8
在2010年以后,我国将由IPv4的协议平滑过渡到IPv6,此前各大企事业单位购买的IPv4设备并不需要彻底更换,根据使用情况不同,可以做出调整,并且可以使用软件升级来实现过渡。目前IPv6与3G移动应用结合,安全性方面仍然存在一定瓶颈。十年前设计IPv6协议的时候,网络的安全性问题和现在的很多问题都没有出现,因此在实际部署IPv6网络的时候也发现了一些问题,我们也做了一些解决方案。
1 移动IPv6所面临的安全问题
移动IP必须面对所有无线网络所固有的安全威胁,移动性的引入必然使得移动IP比有线的Internet更加脆弱。此外,移动IPv6协议通过定义移动节点、家乡代理和通信节点之间的信令机制,在实现了三角路由的优化的同时,也引入了新的安全威胁。如果攻击者在移动节点、家乡代理和通讯节点之间的通信链路上截获并篡改相关的信令报文,那么它就能够轻易的发起攻击。目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。
(1)拒绝服务攻击
拒绝服务攻击是指攻击者为阻止合法用户获得正常服务而采用的攻击手段。这种攻击主要包括两种手段:一种是通过网络向服务器或主机发送大量数据包,使得服务器忙于处理这些无用的数据包而无法响应有用的信息。另一种是直接干扰服务器与主机之间的正常通信。在移动IPv6中,攻击者可以通过如下手段达到上述目的:
(1)攻击者发送大量地址绑定更新消息来消耗家乡代理和通信节点的资源,从而导致绑定缓存表溢出或者是无法及时处理合法用户的绑定更新报文;
(2)恶意主机把Internet上服务器的IPv6地址作为大量移动节点的转交地址,发送伪装的绑定更新消息给对端通信节点,会引发大量的流量发往受害服务器,导致分布式拒绝服务攻击;
(3)和上述情况类似,攻击者可以冒充移动节点,使用移动节点的家乡地址发送绑定更新消息(例如把自己的地址作为移动节点的新的转交地址),伪装节点的移动状况。从而截获移动节点的数据包,阻断合法用户的正常通信;
(4)在移动节点和家乡代理通信路径上的攻击者可以通过篡改家乡地址选项域值,将通信节点的流量重定向到第三方节点,阻断合法用户的正常通信;
(5)在移动节点和通信节点通信路径上的攻击者可以通过篡改路由扩展头域值,将通信节点的流量重定向到第三方节点,阻断合法用户的正常通信。
(2)重放攻击
重放攻击是指攻击者将一个有效的注册请求消息录取并保存起来,等待一段时间之后再重新发送这个消息来注册一个伪造的转交地址,从而达到攻击的目的。在移动节点和通信节点通信路径上的攻击者可以通过这种方式将数据流重定向到第三方实体。
(3)信息窃取
信息窃取可以分为被动监听和主动会话窃取。
(1)被动监听:移动IPv6可以使用于多种传输介质,尤其是无线链路,由于无线链路的信道特性,攻击者可以轻易的实施被动监听。即便是有线链路,未经授权的用户也可能通过某些手段设法接入网络进行监听;
(2)会话窃取:会话窃取攻击是指攻击者等待合法的用户认证完成并且正常会话后,通过假扮合法节点来窃取会话的攻击。在移动IPv6中,当移动节点向它的家乡代理注册后,攻击者可以截获发往移动节点或通信节点的数据包,也可以假冒身份向移动节点或通信节点发送无用或欺骗数据包。
除了上述主要的安全威胁之外,移动IPv6还可能遭受到其它威胁,如攻击者可以冒充通信节点给移动节点发送绑定错误消息,从而导致移动节点通过隧道经由家乡代理向通信节点三角路由发送报文,造成路由迂回,导致网络带宽浪费及时延增加。当家乡网络重编号时,家乡代理可以通过设置家乡网络前缀的生存时间来实现位于外部网络的移动节点更新自己的家乡地址。通常状况下,移动节点应该选择生存时间最长的IPv6前缀来形成自己的家乡地址。如果恶意主机修改家乡网络IPv6前缀的生存时间、或者干脆修改前缀的内容,可能引起家乡代理服务的所有的移动节点无法到达,或者窃取移动节点到家乡代理的流量,或者引起拒绝服务攻击。
2 移动IPv6协议解决上述安全问题的机制
互联网协议设计的一条原则是新协议的引入不为网络带来新的安全威胁,如果存在安全隐患,那么协议本身必须要设计相应的安全机制来克服。移动IPv6协议也不例外,对于前文所描述的各种安全威胁,协议制定了相应的安全机制。
对于重放攻击,移动IPv6协议在注册消息中添加了序列号,并且在协议报文中引入了时间随机数(Nonce)。家乡代理和通信节点通过比较前后两个注册消息序列号,并结合Nonce的散列值,判定出攻击者保存下来的过期注册消息而不予理睬。
有效的保护(移动节点,通信节点)、(移动节点,家乡代理)之间的信令消息传递,可以防御其它形式的攻击。移动节点和家乡代理之间可以建立IPsec安全联盟来保护信令消息和业务流量。由于移动节点家乡地址和家乡代理都是已知的,所以可以预先为移动节点和家乡代理配置安全联盟,然后使用IPsec AH和ESP机制建立安全隧道,提供数据源认证、完整性检查、数据加密和防重放攻击保护。
由于移动节点的转交地址是随着移动节点网络接入点不断变化,且与之通信的对端通信节点也是变化的,因此无法预先配置建立二者之间的安全联盟,而且在全球互联网范围内很难实现公有密钥架构(Public Key Infrastructure,PKI),不同的认证管理域也很难建立信任关系,所以无法通过公共密钥加密机制保护移动节点与通信节点之间的信令消息。鉴于此,移动IPv6协议定义了往返可路由过程(Return Routability Procedure,RRP),通过产生绑定管理密钥来实现对移动节点和通信节点之间控制信令的保护。
(1)移动节点和家乡代理间的安全
家乡代理通常由运营商部署及运维管理,而移动节点通常也是运营商的可控用户(可通过EMSI或CA证书等手段对身份进行验证控制),可以假设二者处于同一可信任域。移动IPv6使用IPsec技术来实现移动节点和家乡代理之间的信令信息保护。这些信息包括:
(1)注册过程中,移动节点和家乡代理之间的Binding Update与Binding Acknowledgment消息;
(2)RRP过程中,移动节点和家乡代理之间的Home Test Init与Home Test消息;
(3)前缀发现过程中,移动节点和家乡代理之间的ICMPv6消息;
(4)可选的,使用IPsec协议来保护移动节点和家乡代理之间交换的净荷信息。
使用IPsec协议可以提供对数据源验证、数据完整性、数据内容的机密性、抗重播保护以及有限的数据流机密性保证。移动IPv6协议利用IPsec的传输模式的ESP协议来保护从移动节点到家乡代理之间的信令消息。
(2)移动节点和通信节点间的安全
往返可路由过程的目的在于通信节点必须确认移动节点对于它宣称的家乡地址和转交地址是可达的。只有得到这个确认之后,对端通信节点才会接受来自移动节点的绑定更新消息,而把以后的流量转发到移动节点新的转交地址。
RRP过程的开始是由移动节点同时发送Ho TI和Co TI消息,Ho TI消息是经过移动节点的家乡代理发送到对端通信节点的,包含了一个Home Init Cookie,对端通信节点收到这个消息后,回应一个Home Test消息,这个消息包含了下列的参数:
(1)Home Init Cookie,这个参数的值必须和HoTI消息的值相同;
(2)Home Keygen Token的值为First(64,HMAC_SHA1(K对端通信节点,(home address|nonce|0))),其中K对端通信节点和nonce都是由对端通信节点产生的随机数,用于产生Home Keygen Token;
(3)Home nonce Index,是对端通信节点在上述公式中产生nonce值的索引,避免了在消息中直接传送nonce的值。
Co TI消息是由移动节点直接发送给对端通信节点的,包含了一个Care-of Test Cookie。对端通信节点收到这个消息后,回应一个Care-of Test消息,这个消息包含了下列的参数:
(1)Care-of Cookie,这个参数必须和Co TI消息相同;
(2)Care-of Keygen Token,care-of keygen token的值为First(64,HMAC_SHA1(K对端通信节点,(care-of address|nonce|1)));
(3)Care-of nonce index,nonce值的索引,避免在消息中直接传送nonce值。
移动节点收到了Home Test消息和Care-of Test消息后,往返可路由过程就已经完成了。移动节点将收到的Home Cookie和Care-of Cookie作为哈希函数的输入产生会话密钥,并用此密钥来认证绑定消息:
Kbm=SHA1(home kengen token|care-of kengen token)。
接下来移动节点就拥有了足够的信息来认证自己可以向对端通信节点发送绑定更新请求消息。绑定更新消息包含的参数为:
(1)移动节点的家乡地址;
(2)序列号;
(3)Care-of nonce index;
(4)First(96,HMAC_SHA1(Kbm,(care-of address|对端通信节点|BU)))。
如果对端通信节点验证了绑定更新消息确实为合法移动节点发送,对端通信节点就会创建新的绑定列表选项,确认这个绑定更新。
3 结束语
移动IPv6的发展还处在初级阶段,专门针对移动IPv6协议的攻击工具还不是很多,目前提出来的还只是移动IPv6解决方案的基础理论。要根本解决安全移动IPv6系统,需要从3个方面入手,对绑定更新的保护;对链路资源利用的管理,包括家乡链路和外地链路;保护通信过程中的数据安全。移动IPv6在不断完善之中,所以还要对移动IPv6的安全问题进行更深入的研究和探索。
参考文献
[1]RFC3775,Mobility Support in IPv6[S].
[2]RFC3776,Using IPsec Protect Mobile IPv6Signaling Between Mobile Nodes and Home Agents[S].
[3]RRC2460,Internet Protocol,Version6(IPv6)Specifications[S].
IPV6的安全性 篇9
关键词:IPv6,IPSec,AH协议,ESP协议,IKE协议,安全应用
0 引言
随着因特网对人们的生活、工作等各方面的深刻影响, 由此带来的信息安全问题也势必影响到社会的所有领域, 网络安全隐患的解决成为刻不容缓的话题。
IPv6 (互联网协议第六版) 是互联网工程任务组IETF设计的用于替代现行版本IP协议IPv4的下一代IP协议。目前我们使用的互联网协议IPv4成就了今天因特网的辉煌发展。但是, IPv4本身所固有的缺陷也日趋明显, 阻碍了因特网的进一步发展。IPv4的第一个缺陷表现为现有IP地址资源的匮乏, 32位的IP地址以及分配的不均匀, 使得现有的地址数量很难满足用户需求; 另外一个重要的缺陷就是IPv4存在着太多的安全隐患, 这是因为IPv4在设计阶段只是为了实现网络连接功能, 而没有考虑到安全性方面的问题。IPv6技术提出并解决了IPv4所存在的上述问题, 成为网络技术的一次重要改进, 将会逐渐替代IPv4成为下一代互联网的网际层协议。
1 IPv6的优势
IPv6自1994年由IETF制定以来, 经过了16年的发展时间, IPv6的标准体系已经基本完善, 在这个过程中, IPv6逐步优化了原协议体系结构, 为新业务发展创造机会。总的来说, IPv6的优势可以归纳为以下几点:
(1) 地址容量巨大。IPv6地址长度为128比特, 地址空间相比较IPv4增大了296倍, 如此巨大的地址空间, 足以满足急剧增长的互联网新用户对IP地址的需求;同时, 其聚合地址能力, 使得IPv6 支持灵活的寻址方式, 大大减小了路由表的规模。
(2) 灵活的IP报文头部格式。IPv6协议简化了报文头部格式, 字段只有8个, 加快报文转发, 提高了吞吐量;IPv6还使用一系列固定格式的扩展头部取代了IPv4中可变长度的选项字段, 使路由器可以简单路过选项而不做任何处理, 加快了报文处理速度。
(3) 提高了安全保障。IPv6协议本身支持IPSec, 在网络层进行IPSec认证与加密, 能提供端到端的安全保障。
(4) 支持更多的服务类型。
(5) 允许协议继续演变, 增加新的功能, 使之适应未来技术的发展。
2 IPv6的安全机制
IPv6在网际层实现了较为严格的安全标准, 也提供了诸如安全协定、密钥管理、认证和加密算法等安全服务。这些标准由 RFC1825、RFC1826、RFC1827及用于鉴别和封装载荷的若干算法标准构成一个Internet 协议安全体系结构——IPSec (Security Architecture for IP network) 。IPSec是IETF提供因特网安全通信的一系列规范之一, 它提供私有信息通过公用网的安全保障。IPSec能提供的安全服务包括访问控制、无连接的完整性、数据源认证、拒绝重发包、保密性和有限传输流保密性。IPSec主要由AH协议、ESP协议和IKE协议组成, 这3个协议实现了IPv6中提供认证、数据完整和机密性3种保护形势, 构成了下一代因特网的安全新标准。
必须指出的是, 安全关联SA也是IPSec中的一个重要组成部分, 用来描述和实现连接安全, AH协议和ESP协议都必须使用SA才能实现安全服务, 因此SA被称为是IPSec的基础。IPSec通过SA来区分对不同的数据流提供的安全服务。一个安全关联用来唯一标识一个单工的安全性连接, 存放在安全关联数据库里。
(1) AH协议。
AH (Authentication Header) 即身份验证报头, 作为 IPv6 中的一个扩展头, IPv6的验证主要由验证报头AH来完成。验证报头是IPv6的一个安全扩展报头, 它为IP数据包提供完整性和数据来源验证, 防止反重放攻击, 避免IP欺骗攻击, 但不提供数据加密服务。
AH为所有数据包头加入一个密码, 较为普遍的加密算法是MD5和SHA-1, 前者可使用最高到128位的密钥, 而后者可以使用最高160位密钥。AH通过“数字签名”来对用户进行验证, 这个签名是数据包通过特别的算法得出的独特结果, 具有“身份验证性”;AH还能维持数据的完整性, 因为在传输过程中无论多小的变化被加载, 数据包头的数字签名都能把它检测出来, 以此保证数据的完整性校验。此外, AH还通过使用顺序号字段来防止重放攻击。
因为IPSec具有两种传输模式——隧道模式和传输模式, 而AH可以在任何一种模式下使用。相比较而言, 传输模式中, 安全关联的一方负责加密, 一方负责验证, 由上层协议进行最后处理, 因此IP头必须要暴露出来以便路由选择, AH保护部分IP头适合于主机实现;隧道模式中, 安全关联的源节点和目的节点均为安全性网关, AH对整个IP数据包提供认证保护, 既适用于主机, 也适用于安全网关。当AH在安全网关上实现时, 必须采用隧道模式。
(2) ESP协议。
ESP (Encapsulating Security Payload) 即封装安全有效负载, ESP用来为封装的有效载荷提供机密性、数据完整性验证。作为 IPv6 中的一种扩展头, 通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性, 这样可以避免其他用户例如黑客通过监听来打开信息交换的内容, 因为只有受信任的用户拥有密匙才能打开内容。
ESP头可以放置在IP头之后、上层协议头之前, 或者在被封装的IP头之前 (隧道模式) 。ESP包含一个非加密协议头, 后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据, 这个用户数据可以是整个IP数据包, 也可以是 IP 的上层协议帧, 如TCP或UDP。
ESP也能提供认证和维持数据的完整性, 不过AH提供的是对IP数据包中包括包头和所传数据的完整性认证, 而ESP提供的完整性则只针对IP数据包的数据部分。如果需要确保一个数据包的完整性、真实性和机密性时, 需同时使用AH和ESP。先使用ESP, 然后把AH报头封装在ESP报头的外面, 从而接收方可以先验证数据包的完整性和真实性, 再进行解密操作, AH能够保护ESP报头不被修改。
ESP提供机密性、数据源认证、无连接的完整性、抗重播服务和有限信息流机密性服务。所提供服务集由安全关联SA建立时选择的选项和实施的布置来决定, 机密性的选择与所有其他服务相独立。但是, 使用机密性服务而不带有完整性认证服务可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务, 它们作为一个选项与可选择的机密性结合提供给用户。只有选择数据源认证时才可以选择抗重播服务, 由接收方单独决定抗重播服务的选择。
(3) IKE协议。
IKE (Internet Key Exchange) 即因特网密钥交换协议, 解决了在不安全的网络环境 (如Internet) 中安全地建立或更新共享密钥的问题。IKE是非常通用的协议, 不仅可为IPSec协商安全关联, 而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。在实施IPSec 的过程中, 可以使用IKE协议来建立安全关联, 该协议建立在由ISAKMP (Internet Security Association and Key Management Protocol, Internet 安全联盟和密钥管理协议) 定义的框架上, 沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术, 还定义了它自己的两种密钥交换方式:主要模式和积极模式。IKE为IPSec 提供了自动协商交换密钥、建立安全联盟的服务, 能够简化IPSec 的使用和管理。
3 IPv6的安全性应用
IPv6本身所固有的庞大地址资源让网络实名制成为可能, 从网络用户的角度增加了安全性;128位的地址空间也让通过扫描地址段的方式传播的病毒或者蠕虫一筹莫展, 减少了网络攻击行为, 增强了网络安全性。
将IPSec安全体系结构应用于网络通信中, 可以“无缝”地为IPv6网络环境下的网络数据传输提供安全保障, 这些应用可以表现在计算机网络的各种不同环境。
(1) 端到端的安全应用。
进行通信的两台主机分别位于不同的网关内, 主机本身可配置IPSec, 不同的网关通过Internet或者Extranet连接, 但网关没有配置IPSec。通信的端主机可以单独使用AH或者ESP, 也可以同时使用两种技术。主机使用传输模式或者隧道模式通信, 进行端到端的安全保护。
(2) 支持VPN的安全应用。
进行通信的主机不必配置IPSec, 而在网关上运行隧道模式的ESP, 以保护两个网内主机的安全通信。此时, 信息的安全封装和解封通过网关上的IPSec进行, 并且通过隧道穿越Internet或者Extranet, 实现功能完善VPN的安全保护。
4 结束语
基于IPv6的网络, 彻底解决了IP地址匮乏的问题。同时, 由于在其协议中贯穿IPSec提供的各种安全服务, 如IP欺骗、数据篡改和网络探测活动等, 通过 AH 、ESP以及IKE 3个安全协议能有效防止许多网络攻击, 增强了网络数据交换的完整性和机密性。就目前而言, IP Sec是可提供的最好的网络安全解决方案, 这将加快IPV6替代IPV4的步伐。
参考文献
[1]DEERING S, HINDER R.Internet Protocol version 6 (IPv6) Spec-ification[S/CD].RFC 1883, 1990.
[2]KEN T S, ATKINSON R.Security Architecture for the InternetProtocol[S/CD].RFC 2401, 1998.
[3]HARKINS D, CARREL D.The Internet Key Exchange (IKE) [S/CD].RFC 2409, 1998.
[4]KENT S, ATKINSON R.IP Encapsulating Security Payload (ESP) [S/CD].RFC 2406, 1998.
[5]张云勇.基于IPv6的下一代互联网的核心[M].北京:电子工业出版社, 2004.
IPV6的安全性 篇10
因特网在最初的设计上假定使用者不会去攻击网络,会自觉使用能够适应网络条件、防止网络拥堵的传输层协议,尽力避免让自己赖以开展研究工作的互联网络瘫痪。但是在投入商业运营之后,这一假设的问题就表现了出来。为了加强安全性,I E T E(Internet Engineering Task Force)于1 9 9 4年提出的I P v 6(I n t e r n e t Protocol Version 6)中定义了认证报头AH(Authentication Header)和封装化安全净荷ESP(Encapsulating Security Payload),从而使在IPv4中仅仅作为选项使用的I P S e c(I P Security)协议成为IPv6的有机组成部分。
2、下一代I P介绍(I P v 6)
i P v 6保留许多I P v 4的成功点,IPv4到IPv6的改变如下:
2.1 地址扩展:
IP地址由原来的32位扩展到了128位,并且IPv6取消了IPv4地址的分类概念,可提供3.4Ⅹ1038个主机地址。IPv6地址的文本格式为x x x x:x x x x:x x x x:x x x x:x x x x:x x x x:x x x x:x x x x,其中每个x是一个十六进制数字,代表4位,可省略前导零。
2.2 报文头的简化:
IPv6的数据头与IPv4完全不同。简化了数据报文头部,减少了路由表长度,同时减少了路由器处理报头的时间,降低了报文通过网络的延迟。I P v 4报文头检查,如s u m,I H L,认证标识和碎片不在出现在IPv6中。
2.3 流量标识:
对服务质量作了定义,可以标记数据所属的流类型以便路由器成交换机进行相应的处理。IPv6中增了“flow label”标识,提供特定的QOS。
1.4安全性:认证和保密的功能,在IPV6中为支持认证,进行数据完整性及数据保密的扩展。
3、I P安全(I P se c urity)
IP v6提供一个安全机制和一系列安全服务支持,如数据认证、完整性验证、IP控制层加密。IP SEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问边界路由器或基于纯软件方式使用普通MODEM的PC机和工作站。通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。
传送模式:在远程计算机间直接执行IP安全服务。传送模式通常当ESP在一台主机(客户机或服务器)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和U D P头。
隧道模式:通过中间系统执行IP数据包压缩。隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包—包括全部TCP/IP或UDP/IP头和数据,它用自己的地址作为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
4、IPSEC的四种功能
IPv4相比,IPv6具有许多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,IPv6对IPv4协议中诸多不完善之处进行了较大的改进。其中最为显著的就是将IP Sec集成到协议内部,从此IP Sec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。IPSEC提供四种不同的形式来保护通过公有或私有IP网络来传送的私有数据:安全关联(Security Associations,简称SA);IP认证头(A u t h e n t i c a t i o n o n l y(A u t h e n t i c a t i o n H e a d e r,简称AH);IP封装安全载荷(Encryption a n d a u t h e n t i c a t i o n k n o w n a s Encapsulating Security Payload,简称E S P);密匙管理(K e y m a n a g e m e n t)。
4.1 安全关联Security Association(SA)
IP Sec中的一个基本概念是安全关联(SA),安全关联包含验证或者加密的密钥和算法。它是单向连接,为保护两个主机或者两个安全网关之间的双向通信需要建立两个安全关联。安全关联提供的安全服务是通过AH和ESP两个安全协议中的一个来实现的。如果要在同一个通信流中使用AH和ESP两个安全协议,那么需要创建两个(或者更多)的安全关联来保护该通信流。一个安全关联需要通三个参数进行识别,它由安全参数索引(A H/E S P报头的一个字段)、目的IP地址和安全协议(AH或者ESP)三者的组合唯一标识。表3-1列出AH和ESP报头在传送模式和隧道模式下的区别。
AH基本IP报头和扩展报头原始的IP数据包外面封装新IPv6报头和AH ESP压缩数据包和IP v6扩展ESP报头ESP报头。
4.2 报头验证A u t h e n t i c a t i o n Header(AH)
认证协议头(AH)是在所有数据包头加入一个密码。AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。IPv6的验证主要由验证报头(AH)来完成。验证报头是IPv6的一个安全扩展报头,它为IP数据包提供完整性和数据来源验证,防止反重放攻击,避免IP欺骗攻击。
4.3 封装安全有效载荷数据(Encapsulating Security Payload)
安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。ESP用来为封装的有效载荷提供机密性、数据完整性验证。AH和ESP两种报文头可以根据应用的需要单独使用,也可以结合使用,结合使用时,ESP应该在AH的保护下。
5、结论
IPv6网络由于IPSec提供的安全服务,能有效防止长期困扰人们的许多网络攻击,如IP欺骗、拒绝服务攻击、数据篡改和网络探测活动等。IP Sec是目前可提供的最好的网络安全解决方案,它努力使Internet上的安全机制标准化,向更安全的Internet迈进了一大步。IPsec中可能有许多安全问题需要解决,如FTP,Telnet,DNS,and SNMP,但其它安全可通过防火墙或NAT转换来加以解决,但对QOS和DHCP可能会导致IPSEC无效或受限。
摘要:IPv6是“Internet Protocol Version 6”的缩写,也被称作下一代互联网协议,它是由IETF(The Internet Engineering Task Force)设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6内置IPSec协议,为网络安全问题提供了一种标准的解决方案,本文介绍了基于IPv6的下一代计算机网络的安全性问题,对IPSec的工作原理进行了分析,并提出了改进意见。
关键词:密钥管理,IPv6,IPSec,安全关联
参考文献
[1]D.Johnson,C.Perkins,J.Arkko.Mobility Support in IPv6[S].RFC3775,2004
[2]Helsinki University of Technology.Mobile IPv6 for Linux[OL].http://www.mobile-ipv6.org,2006-2.
[3]Xavier Perez Costa,Hannes Hartenstein.A Simulation Study on the Performance of Mobile IPv6in a WLAN-based Cellular Network[J].Computer Networks,2002,40(1):191-204.
[4]何涛,杨寿保.IPv6的移动性支持及实现[J].小型微型计算机统.2003,24(3):24~27.
应加快IPv6的部署进程 篇11
摘要
文章认为虽然IPv6必将取代IPv4成为下一代互联网协议,但是IPv4资源的耗尽并没有原先预期的那么快,因此IPv6的大规模部署尚需时日。有鉴于此,文章在对IPv6现实情况具体分析的基础上对如何实现IPv4到IPv6的转变提出了建议。
关键词
IPv6;互联网;转变;部署
1、 中国互联网发展现状
随着中国国民经济发展水平的不断提高以及在信息和通信领域持续的投入,近年来,中国上网计算机的数量一直保持了高速增长的态势,这和世界通信和互联网的发展大趋势是一致的。中国互联网络信息中心的统计资料显示,从1997年到2002年短短5年的时间内,中国上网计算机的数量就从不足30万台迅速增加到1 613万台,增长幅度相当惊人;另一方面,除了常规的固定设备(主要是PC)上网以外,中国使用移动终端和信息家电上网的人数也呈现出了较大的增长速度,从2000年的约20万人增加到了2002年的约129万人,3年不到的时间增加了5倍还多。应该看到,这和世界互联网规模的高速增长也是同步的。
如果按照目前的速度继续发展,中国现有的IPv4地址空间很快就会面临压力。事实上,由于互联网技术发展的历史原因,中国的IP地址资源是相当有限的。目前中国所拥有的A类地址数还没有美国麻省理工大学1所高校的A类地址多。按照13亿人口计算,中国如果每人1个IP地址的话,将需要至少72个A类地址。如果进一步考虑到未来技术不断发展之后可能出现1个人同时具有多个IP地址的情况,那么现在使用的IPv4协议显然无法满足需要。
2、 IPv6的发展历史
大量增加的上网设备使得互联网的规模不断扩大,最终必然导致对IP地址需求的不断增加。早在90年代初期,IETF就开始发展用于取代IPv4的新一代IP协议,旨在克服IPv4不能满足互联网持续高速发展带来的对IP地址需求的矛盾,同时结合20多年的互联网运行经验对未来的互联网网际协议进行整合和优化。经过激烈的讨论,IETF最终从参与竞争的多个提案中选定了由Steve Deering提出的简单Internet协议(SIP)和由Paul Francis提出的保罗Internet协议(PIP)相结合所产生的SIPP(Simple IP Plus)作为未来互联网网际协议的扩展基础。1995年底,IETF确定了协议规范及新的版本号,1998年进一步标准化,最终形成了今天的IPv6协议。
相对于IPv4,新的IPv6协议的一个显著特点就是采用了128位的地址,从而极大地扩展了IP地址的空间,保证了未来相当长一段时间内互联网发展的需求。IPv6协议简化了IP报头的格式,使得新的IP报头具有固定的40字节的长度,从而有利于硬件对报文的处理。此外,IPv6协议还试图解决IPv4协议在服务质量、IP移动性和安全性等方面的问题和不足。
目前IPv6基本协议以及路由协议等已经形成标准,可以提供IPv4协议所具有的所有功能。随着第3代移动通信合作计划(3GPP)2000年5月明确要求将IPv6作为下一代移动通信系统中的标准协议,IPv6作为取代IPv4的唯一的新一代互联网网际协议已经得到了世界范围的共识。一些国际著名的通信设备制造商和软硬件生产商如Cisco、Juniper、Microsoft等公司都已经在它们的路由器产品和操作系统当中实现了对IPv6的支持,一些著名的开放系统平台如FreeBSD、Linux等也加入了支持IPv6的软件包。各国还建立了若干针对IPv6的实验网络如6Bone、6Init,中国也建立了实验网络6TNET。IPv6地址已经开始分配,一些网络运营商,如日本的IIJ和KDDI等,已开始提供商用的IPv6接入服务。
3、 IPv6的现实情况
IPv6发展最快的国家是日本,出于与美国争夺未来信息产业竞争优势的需要,日本把IPv6作为一个制胜的法宝,不论是日本政府还是日本网络设备生产商和运营商都对IPv6倾注了极大的兴趣。根据日本政府的规划,到2005年,日本将实现对IPv6百分之百的支持。而日本的设备制造商如日立公司,早在1997年就开始了IPv6设备的研发工作。目前,日本已经有多家生产商可以提供从高低端路由器到网络终端在内的一系列IPv6软硬件设备和产品,并在国际和国内的通信展和技术论坛中展出了相应的设备,为IPv6的推广应用做了大量的宣传和演示工作,同时也有运营商开始提供IPv6的商用接入服务。
欧洲出于保持移动通信技术发展优势的需要,对IPv6也表现出了极大的关注,在移动通信设备制造领域处于领先地位的诺基亚公司更是不遗余力地推动IPv6走向现实,几乎在所有有关IPv6的活动中都可以看到诺基亚的身影。
美国作为占有IPv4资源最多的国家,对IPv6的发展没有日本和欧洲热心,但是凭借强大的技术实力,Cisco和Juniper等著名的美国公司也提供了对IPv6的支持,只是在宣传方面没有日本和欧洲的公司那么积极。
中国对IPv6的早期研究工作主要由高校完成,清华大学、北方交通大学、中国科技大学和华南理工大学等都开展了一系列的研究工作,并通过中国的CERNET与国际上的IPv6试验网——6Bone实现了互连。中国政府对IPv6的发展和部署也比较重视,在国家“863”计划中提出了发展IPv6高端路由器及实验系统以及IPv6协议栈软件的课题,目前相关课题的中标单位正在从事有关开发工作。
作为研究、生产和使用三方中的一方,运营商对IPv6的态度就显得比较暧昧。国内所有的运营商都还没有把IPv6的应用提上议事日程,只是准备搭建实验室规模的小型网络来对IPv6设备进行互连互通方面的测试工作,并做一些过渡方案的实验。在互联网泡沫破灭的今天,国内运营商针对IPv6的投资表现出了更大程度的理性。从运营商的角度来看,IPv6与IPv4相比除了提供了巨大的地址空间以外并不具有任何实质性的优势,原来所期望IPv6能够解决的服务质量问题,一直以来都没有太大起色,Internet安全协议(IPsec)对网络安全的支持并不仅仅局限于IPv6,IPv6所引为特色的移动性也由于协议标准的滞后而受到影响。就目前来说,运营商普遍还没有感受到IPv4地址的任何压力。一方面,使用私有地址和网络地址转换技术已经能够很好地满足现有的互联网上网需要,广大网民对互联网推崇的端到端通信实际上也没有强烈的需求,因此,除了安全性方面以外,网络地址转换对端到端通信造成的不便并没有给通信带来太大的问题,并且,国内的运营商仍然可以通过合法的程序从APNIC(亚太网络信息中心)申请到新的IPv4地址;另一方面,根据中国互联网络信息中心的统计资料,虽然中国近几年来的上网计算机数量出现了持续的大幅度增长,但是网民每月的上网费用却相对较低,其中,每月上网费用少于100元人民币的网民数占所有网民数的70%以上,在2002年的1 613万网民中,有1 200万的网民是通过拨号方式上网的,使用移动设备上网的网民数只占网民总数的0.9%。所以,短期内很难出现每人一个IP地址的大规模需求。虽然3G提出将IPv6作为下一代移动通信系统中的标准协议为IPv6提供了一个契机,但是3G本身无论是在技术上还是在市场上都还不明朗,因此也很难对IPv6的商业部署提供推动力。
4、 IPv6走向实用的途径
前面分析了IPv6走向大规模商业应用所面临的问题。究其原因,在于IPv6作为一种网络层的通信协议,本身是独立于网络应用的,实际上不可能产生新的网络应用。而最初产生IPv6协议的地址空间问题也还没有表现出足够大的压力,这就使得IPv6技术既不能从内部也不能从外部找到真正有效的推动力。
应该看到,虽然IPv6不能产生新的网络应用,但是却为新的应用准备了条件。随着移动通信技术和个人通信市场的发展,以及家用电器、工业和科研测试设备甚至交通工具上网的逐渐出现与普及,新的上网设备要求能够具有至少1个IP地址,从而实现网络的互连和端到端通信以及信息收集。由于IPv6已经成为世界公认的能够提供足够地址空间的下一代网络层协议,因此离开了IPv6,以上的新技术和新应用根本不可能得以实现。虽然经济发展水平以及市场和部分技术上的原因使得IPv6在短期内的发展还不会太快,但是可以肯定,目前存在的制约IPv6发展的不利因素将会逐渐减少,未来的互联网必然是以IPv6协议作为基础的,而IPv4由于不能适应互联网长期发展的需要将随着IPv6的推广而走向消亡。
就目前来看,IPv6的真正优势在于它提供了未来网络发展所需的足够的地址资源,为网络的长期发展及新型应用准备了必要的条件。IPv6提供的并非短期的市场效益,不论是从运营商还是从设备制造商的角度来看,都是如此。由于以上原因,现阶段希望运营商在IPv6网络的建设中大量投资是不切实际的。而设备制造商,特别是在IPv4设备的竞争中没能占据优势的生产商,出于开发未来市场的需要,对IPv6的热情相对运营商来说就要高得多。政府作为国家经济和信息技术发展战略的规划者,对IPv6的发展起着其他方面所不能取代的作用,政府的引导和支持对IPv6的发展必然会产生巨大的推动,日本就是一个实例。
IPv6网络的建设实际上和下一代网络(NGN)的建设相关性很大,应该结合起来考虑。根据ITU-T的建议,NGN应通过1个公共的分组传送网络在任何时候任何地点支持多种业务(如话音和数据),应当提供相关的标准和接口以推动业务提供商、网络提供商和用户之间的开放和公平互通,应推动业务创新并降低操作、管理、维护和配置(OAM&P)的复杂性,而软交换、光网络和IPv6则是NGN的三大要素。由于NGN的传送平面采用了超长距离大容量传输系统,从而减少了核心网络的交换节点。随着10G以太网等新技术的出现,未来的城域网可以利用端到端的以太网构建,IP实现异质网络互联的功能从技术层面来看实际上已经不需要了。同时多协议标记交换(MPLS)和各种信令技术的运用也弱化了IP的部分功能,因此对NGN的骨干网和底层,IPv6的需求并不迫切。在NGN的接入侧,为了满足用户的个性化需求,要求提供多种丰富的接入手段,而多种类型的应用和终端以及移动、无线接入方式的增加将产生对IP地址的大量需求。NGN主要的业务应用将是IP应用,使用基于IP的应用协议,因此用户的个性化需求以及NGN丰富的应用,在NGN的边缘和上层将会增加对IPv6的需求。在未来的NGN网络中,IPv6将主要在业务承载层扮演角色,为大量的业务和应用提供巨大的地址资源。
在现实的条件下,为了加快IPv6网络的建设,需要政府、设备制造商、软硬件制造商、网络运营商和产业联盟等诸方面的共同努力。其中政府的作用尤其重要,由于受经济利益的制约,其他各方在IPv6的建设过程中都不太可能担负起主要的角色。政府应该将IPv6的建设作为一项有关国家信息技术和经济文化发展以及信息安全的长期战略目标考虑,积极引导和推动运营商、设备制造商、软硬件制造商及产业联盟对IPv6的采纳和支持,并制订相应的法律、法规和政策,同时还可以参与建设非盈利性的IPv6网络。互联网的建设不是单个运营商、设备制造商或者产业联盟能够完成的,实际上已经不是一个单纯的技术和市场问题。基于IPv4的互联网就是在政府资助之下发展起来的,值得IPv6借鉴。设备制造商和软硬件生产商出于开发潜在市场的需要,可以在IPv6产品的开发上有所作为,提供高性能的IPv6网络设备,如高端和低端路由器、终端设备、协议栈软件等。网络运营商为了了解和掌握新技术,开发新业务,也可以积极进行IPv6的运营实验,探索IPv6下的新盈利模式,寻找适合的过渡机制,逐渐实现从IPv4到IPv6的转变。有关的标准化组织和各方组成的产业联盟则需要加快新标准的制订和现有标准的完善,为IPv6的早日实施作好准备。
只要各方面共同努力为IPv6做好硬件、软件、标准和政策法规等方面的准备,那么在政府的引导下,IPv6大规模部署的进程必然可以加快。可以肯定,IPv6越早部署,综合社会经济效益也将越好。□
参考文献:
[1] 蒋林涛. IPv6的标准化[J]. 中兴通讯技术,2002,8(S0):10—12.
[2] 叶绍志, 刘辉, 李粤. 从搜索引擎看IPv6网络增长[J]. 中兴通讯技术,2002,8(3):1—3.
[3] 李信满, 赵宏. IPv6的安全体系结构[J]. 中兴通讯技术,2002,8(3):4—7.
[4] 范蓓蕾, 范忠礼. 适合IPv6/IPv4灵活转换的GT64的实现[J]. 中兴通讯技术,2002,8(3):16—19.
收稿日期:2002-12-04
作者简介:
张洪渊,上海交通大学毕业,工学博士。现在深圳市中兴通讯股份有限公司技术中心研究部从事下一代网络、IPv6、高性能核心路由器等技术和产品的预研与开发工作。
IPV6的安全性 篇12
双协议技术使校园网用户可以访问的网络资源更多,用户可以对IPv4和IPv6同时进行访问。IPv4和IPv6可以在过渡阶段实现。
(一)地址配置隐患。在对校园网IPV6进行规划时,如果以依次升序或依次降序的方式来指定地址前缀,那么就会大大缩小IPV6地址的实际使用范围。其原因是管理员在配置地址时,会由于IPv6地址过长而进行比较特殊的配置。这会使得网段中的重要服务器很容易发现,就给蠕虫或者木马的扫描漏洞程序提供了攻击的机会。
(二)传播隧道隐患。双协议栈路由器传送IPV6包的方式是隧道,传播的载体是IPV4网络。可是如果攻击者入侵IPv4设备并对隧道进行激活,那么网络过滤系统和防御系统就无法发现,其他节点就很容易成为攻击的对象。
(三)网络协议隐患。IPv4和IPv6这两种协议是双协议栈网络所同时拥有,所以如果有攻击者攻击了其中任何一个协议,那整个网络都会受到影响。
二、应对校园网IPV6安全隐患的策略
(一)对拒绝服务攻击进行防御。以网络攻击所造成的后果划分,校园网络攻击可以分为资源消耗型攻击和数据破坏型攻击两种。数据破坏型攻击是攻击者先对目标设备进行入侵,如入侵成功后对重要软硬件数据进行恶意删除或者篡改;资源消耗型攻击不会对目标所在的软硬件造成破坏,而将很多数据包给目标设备,使目标设备中的各种资源被急剧消耗,最后不能正常工作,导致目标瘫痪。拒绝服务攻击就是一种非常普遍的资源消耗型攻击。它使得与网络连接在一起的各种设备的资源得到消耗,比如通信链路、路由器、各类服务器等。除此之外,还有一种混合的攻击形式,即布式拒绝服务攻击。它首先直接入侵其他主机进行,然后对主机的数据进行破坏和修改,接着使主体得到控制,最后以此为手段完成对攻击目标的资源消耗。拒绝服务攻击一般不容易避免,但是人们可以采取一定的措施来减轻其危害。
1.可以利用报文过滤来开展防御。一般来说,防御直接性的数据破坏型攻击可以采用访问控制技术,但是它对于拒绝服务攻击却没有任何作用。其原因在于数据传输的终端才是数据报文过滤功能的主要作用点。但是,进行拒绝服务攻击时会发送大量的数据报文,是一种消耗战术,终端过滤不仅不能解决这个问题,反而会加速终端各种功能的崩溃。另外,攻击者也不会使用真实地址,而是使用伪造攻击源地址,这样目标主机就无法找到其真正的源地址。一个分布式拒绝服务攻击肯定不只一个攻击源,而是拥有百万个攻击源。但是一个路由器接口所能安装的过滤装置缺是非常有限的,最多只有几万个,所以终端过滤肯定无法实现对所有源地址的过滤。解决这个问题的措施有两个。一是互联网业务主动过滤机制,这种机制寻找攻击路径的方式是路由器记录,然后在可能的攻击路径上搜索最远的可信点,最后把过滤器安装到这个可信点上。二是对服务器子网边界的保护进行科学设定。也就是将控制点设置在服务器子网的边界上,然后封装进入的数据报文,之后再发往其他的解封点。当攻击者攻击某一台服务器后,它就能够以解封点为依据,找到对应的封闭点,最后在将过滤器安装到封装点上。
2.可以利用资源共享来开展防御。在互联网上进行资源共享,可以各个用户的资源分配方式进行优化,从而达到拒绝服务攻击的效果大大减弱。拒绝服务攻击是由上百万条的数据流组成的,而不是一条单一的数据流。因此,对攻击的聚合数据实施流量控制和数据检测能够使用拥塞控制。只有这样,才能应对校园网IPV6安全的安全隐患。
(二)建立可信网络。简单透明性和接入方便是互联网在设计起初考虑的主要因素,安全因素并没有得到充分的考虑。所以,在保证安全时就需要补丁,导致单一信息安全、单一防御的局面出现,使得互联的体系模型是边缘复杂和核心简单的类型。这种安全机制造成了网络结构的繁杂,对网络性能也产生了负面影响。这种网络安全实际上是一种被动防御,而且带有很大的附加性,因此是脆弱的不可靠的。对于基于校园网的IPV6安全而言,必须用积极防御代替被动防御,把安全分析工作前移至数据源端,要使网络的强壮性提高就应该对可信网络的体系结构进行研究。而网络可信结构体系是一个有机的整体,网络可信是其目标,重要的特点是可生存性、融合的安全性和可控性。评估、控制和监测网络系统的行为和结果是可以实现的。可信信息的维护过程是可信信息的核心。信任信息的维护有三个程序,即信息输入、信息处理和信息输出。信息输入的具体实现方式是信息采集,而采集的方式有第三方公告、分布节点自检和安全检测三种。其中,第三方通告适用于网络直接监测被测节点无法实施的情况下,间接获得有关信息。分布式节点自检让各网络节点来进行网络检测,网络只对检测结果进行接收,这种方式的优势在于有较高的工作效率,缺点在于使控制机制的结构变得更为复杂,使其实现的难度有所增加。集中安全式检测是检测特点范围内的各个节点,结构简单是其优点,扩展性差是其缺点。
对信息开展存储、分析、传播和决策就是信息处理。信息处理完成后一般要输出信息,信息输出一般伴随着信息控制,控制的表现是设置信任等级。免疫隔离、攻击预警、访问控制、生存性的自我调整是行为控制的主要方式。其中,免疫隔离是以保护对象的可行性分析结果为依据的,它在攻击发生之前对保护区域的服务级别进行调整。攻击预警是指受保护的网络和资料先开展系统自动检测,检测和告知自身易被攻击潜在薄弱环节,同时将可信性评估的结果发布到网络上。访问控制是将受保护网络资源的访问权限进行局部或全局的调整,调整的依据就是网络节点的需求,这是对具有传播功能的网络病毒的重要预防举措。生存行为是指系统对网络资源进行调度,调动的依据是工作状态,调整自身服务能力,自我修复产生的故障。
以安全体系为凭借,可信网络一方面能够减少整个信任信息维护风险,另一方面也能够支持各种各样的信息采集方式。这有利于信任信息进行更加可靠的传播,也有利于各种网络行为控制综合作用的发挥。加强保护对象的生存性,可以使系统在被破坏和攻击之后控制能力得到提高。增强保护对象的可控性,加强采集检测网络中的信息和节点,然后以此为依据采取有效的访问控制手段,可以使控制异常行为的能力得到增强。强健网络的目标可以通过这三种属性的相互配合来实现。只有这样,才能应对校园网IPV6安全的安全隐患。
(三)提高网络服务质量的可控性。所谓服务质量是指在网络中传输的数据需要的各种资源和请求。多媒体技术的快速发展要求网络综合服务的改善。在数据可靠性和数据吞吐量方面,传统的分组网络现代分布式多媒体应用的发展不能有效适应。服务应该实现从提供端一直到终端整个过程的控制和保证。在校园网的IPV6网络中,互联网的服务质量保障体系是能够进行扩展的,与Int Serv的强有力服务十分相似,而且基层有Diff Serv扩展性强和管理开销小的优点。只有这样,才能应对校园网IPV6的安全隐患。
摘要:在校园网IPV6中存在的安全隐患有三种,即地址配置隐患、传播隧道隐患、网络协议隐患。应对这些安全隐患,可以采取的策略有三个:第一,对拒绝服务攻击进行防御;第二,建立可信网络;第三,提高网络服务质量的可控性。
关键词:校园网,IPV6,网络安全
参考文献
[1]韦霞.浅谈IPv6网络安全问题及解决对策[J].信息安全与技术,2012,11
[2]谭琼玲.IPv4向IPv6的过渡技术研究[J].湖南科技学院学报,2009,4
[3]宋健,王玉瑛,孙为.IPv6网络应用IPSec策略的网络性能分析与研究[J].微计算机信息,2004,1
【IPV6的安全性】推荐阅读:
IPV6网络安全协议机制06-03
建筑的安全性06-13
设置的安全性06-23
成果的实施安全性08-04
安全性的评价论文08-15
移动支付的安全性08-31
安全科学中的安全工程10-22
安全的征文:构建优良和谐的安全氛围07-26
关于安全的名言警句 关于安全的格言10-11
云计算的安全性分析05-23