IPv6安全性（精选12篇）

IPv6安全性 第1篇

为了适应互联网的快速发展由IETF (互联网工程任务组, The Internet Engineering Task Force) 建议制定了下一代网络协议IPng, 即IPv6协议。与IPv4相比, IPv6具有下面一些优点: (1) IPv6采用128位编址, 巨大的地址空间使所有的终端都可以使用真实的地址进行通信; (2) 通过其聚合地址的能力, IPv6支持灵活的寻址方式, 减小了路由表的规模, 提高了路由器转发数据包的速度; (3) IPv6增强了对流的支持, 为服务质量控制提供了良好的网络平台; (4) IPv6加入了对自动配置的支持, 能够将节点插入IPv6网络而不需要任何人为干预即可自动配置它; (5) 在使用IPv6网络中利用IPSec对网络层的数据进行加密并对IP报文进行校验, 极大地增强了网络的安全性; (6) IPv6增强了对移动终端的支持, 降低了网络部署的难度, 为用户提供永久在线的服务。

1 IPv6网络的安全策略

IPv6采用全新的网络安全体系结构IPSec协议, 这是IPv6的一个强制组成部分。

1.1 IPSec安全协议

IPSec的目标是保护IP数据包安全、抵御网络攻击, 它主要包含认证报头 (AH, Authentication Header) 、封装安全净荷 (ESP, Encapsulating Security Payload) 和Internet密钥交换协议 (IKE, Internet Key Exchange Secure Protocol) 3个协议。

1.2 认证报头AH

AH是IPv6中的一个扩展头, 它的格式如表1所示。

AH主要用于保证数据的一致性, 它可以提供数据完整性的服务、对数据包来源进行认证和抗重放攻击等安全保护。目前, AH计算认证数据的算法有MD5、SHA-1等。

1.3 封装安全净荷ESP

ESP也是IPv6提供的一个扩展头部, 它能够在网络层实现对数据包的全加密以保证信息的安全, 防止来自于网络上的侦听。ESP通过对数据报的加密, 可以提供多种安全服务:保证数据包的机密性、对数据源进行身份认证、对抗重放攻击、提供有限的业务流机密性等。ESP的主要标准是数据加密标准

1.4 互联网密钥交换协议IKE

IKE是综合了ISAKMP、Okaley和SKEME 3个协议形成的安全协议框架, 它的功能主要是定义加密算法、密钥协商、密钥生成、密钥交换及密钥管理。

1.5 IPSec工作模式

IPSec的工作模式有两种:传输模式是在IP层对上层的TCP或UDP的协议数据进行封装并根据具体配置提供安全保护, 主要用于保护上层协议;隧道模式是在ESP关联到多台主机的网络访问实现时提供安全保护, 主要用于保护整个IP数据包。

通过以上分析我们知道, IPSec安全协议可以通过提供数据源的身份认证、数据完整性检查、机密性的保证及对IP数据包净荷的加密等安全保护, 保障IP层上的数据通信的安全。

2 IPv6特有的安全威胁

IPv6把IPSec作为必备协议, 可以解决端到端的数据传输的安全问题, 但安全是相对的, IPv6协议在引入IPSec和IPv6地址机制的同时也带来了一些新的安全性问题。

2.1 地址扫描和探测

安全事件发生之前通常先进行地址扫描, 在IPv4网络中, 扫描很快就可以完成, 但在IPv6中有所不同:由于IPv6网络子网大小是64bits或者更大, 这使得IPv4网络中传统的扫描和探测技术在IPv6网络中不再适用, 但是这并不能完全防止扫描式网络攻击。

由于IPv6网络中地址太长不便记忆, 管理人员往往会给一些关键设备配置特殊的IPv6地址, 这就给扫描和探测带来了方便;而且IPv6中还引入了许多熟知的组播和任播地址 (比如所有节点地址是ff01∷1和ff02∷1、所有路由器地址是ff01∷2、ff02∷2和ff05∷2) , 这些地址往往会配置给网络中的一些关键设备, 这就给攻击者提供了明确的攻击目标。

要防止扫描和探测, 可以采用的措施主要有:在边界路由器上过滤IPv6地址;关键应用采用静态地址;在防火墙上过滤不必要的服务;选择性过滤ICMP报文;尽量杜绝分配有特征的地址;使IPSec与防火墙、入侵检测等安全机制相互配合等。

2.2 自动配置和邻居发现协议

在IPv6中, 网络的配置是自治完成的, 所需的信息是从路由器通告中得到的, 这就使得非授权的用户可以更容易地接入和使用网络, 特别是在无线环境中, 如果没有数据链路层的认证和访问控制, 一个配有无线网卡的非法用户可以轻松地接入和访问IPv6网络。

邻居发现负责路由器和前缀发现、重复地址检测、邻居到达能力和链路层地址决定。如果网络中存在恶意节点, 该节点就可以通过发送错误的路由器宣告、错误的重定向消息, 让IP数据包流向不确定的地方, 进而达到拒绝服务、拦截和修改数据包的目的。

上述攻击只能在同一网段的节点中完成, 可以通过对邻居发现报文进行认证、甄别合法报文, 以防止恶意攻击。目前, I-ETF已经通过一种安全邻居发现协议SEND。

2.3 ICMPv6和PMTU (Path MTU)

ICMPv6是IPv6的重要组成部分, 它包括了IPv4中ICMP和ARP的功能, 所以要使IPv6正常工作就不能像在IPv4中那样为了安全考虑而完全禁止ICMP, 这就为攻击者提供了方便。ICMPv6可被利用来产生拒绝服务攻击和反射攻击, 攻击者只需冒充其它节点不停产生错误的IP包即可。

IPv6中通过PMTU发现机制使得IP包的分段和重组只在源节点和目的节点进行, 这提高了中间节点的转发效率。但在进行PMTU发现时, 若不对收到的包太大消息进行合法性检查, 将可能引入拒绝服务攻击:如果伪造的包太大消息中指示的PMTU太小, 将导致网络性能严重下降;相反, 如果伪造的包太大消息中指示的PMTU太大, 将导致某些路由器丢弃数据包, 若这样的错误消息不断重复, 网络中将会大量丢包, 甚至拒绝服务。

我们可以采用IPv6分片过滤机制来防止上述攻击:只允许端到端的分片, 重叠分片被看作攻击;除最后一片外, 所有小于最小MTU (1280B) 的分片都是不合法的。

2.4 IPSec的不足

IPv6使用IPSec来保证网络安全, 但IPSec也存在一些不足: (1) IPSec是一个网络层协议, 不负责高层应用的安全; (2) IPSec部署和实施需要网络边界、路由系统等外部环境的参与, 这使得其通用性受到限制; (3) IPSec的API应用开发接口还没有标准化; (4) IPSec在IKE、防止流量分析和拒绝服务攻击等方面还存在很大不足。

所以, IPSec需要和防火墙、VPN、漏洞扫描、网络过滤等网络安全设备及高层安全协议一起使用。

2.5 移动IPv6

移动IPv6 (Mobile IPv6) 就是利用IPv6的一些新特点来支持移动IP的, 它可以为用户提供透明、无缝的网络连接, 使用户可以永久在线。在移动IPv6中, 移动主机大都通过无线链路接入网络, 而无线的链路更容易遭受窃听及受到攻击。

3 过渡时期的安全脆弱性

现在网络中主机数量庞大, IPv4向IPv6过渡将经历一个长期的“过渡时期”。在“过渡时期”, 将同时存在IPv4和IPv6两种网络, 这将使网络结构更复杂, 存在新的安全隐患。目前广泛使用的过渡机制主要有3大类: (1) 双协议栈, 必须同时考虑IPv4和IPv6的安全性, 一种协议的漏洞往往会殃及另一种; (2) 隧道模式, 其加密技术将导致边界防火墙和入侵检测系统失效, 攻击者可以伪造隧道报文进入内网; (3) IPv4/IPv6协议转换, 提供了一种纯IPv6节点和纯IPv4节点互通的机制, 它会破坏网络层端到端的安全性。如何保证“过渡时期”网络的安全, 是目前研究的热点之一。

摘要：IPv6作为下一代网络核心协议已经开始应用。对IPv6网络作了介绍, 研究了IPv6网络的安全策略, 分析了IPv6网络面临的新的安全问题及过渡时期的安全脆弱性, 并给出了一些安全建议。

关键词：IPv6,安全,IPSec

参考文献

[1][美]Pete Ldshin.下一代Internet的网络技术[M].北京:人民邮电出版社, 2001.

IPv6的网络安全改进与新问题 第2篇

IPv6的网络安全改进与新问题

由于我国IPv4地址资源严重不足，除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题，更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN、ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址，通过NAT技术接入互联网，这不仅大大降低了网络传输的速度，且安全性等方面也难以得到保障。从根本上看，互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题，使IPv4网络面临各种威胁。

IPv6协议在网络安全上有改进

IP安全协议(IPSec)IPSec是IPv4的一个可选扩展协议，而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证，提高抗路由攻击的性能。

需要指出的是，虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。

端到端的安全保证 IPv6最大的优势在于保证端到端的安全，可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT，允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接，都会在两端主机上对数据包进行 IPSec封装，中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输，通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传递，因此，无需针对特别的网络应用部署ALG(应用层网关)，就可保证端到端的网络透明性，有利于提高网络服务速度。

地址分配与源地址检查在IPv6的地址概念中，有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说，这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。

由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构，因此，在IPv6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。

源路由检查出于安全性和多业务的考虑，许多核心路由器可根据需要，开启反向路由检测功能，防止源路由篡改和攻击。

防止未授权访问 IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。

域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃，而采用可以提供认证和完整性安全特性的DNS安全扩展(DNS Security Extensions)协议，能进一步增强目前针对DNS新的攻击方式的防护，例如“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击等，这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外，专家认为，如果能争取在我国建立IPv6域名系统根服务器，则对于我国的信息安全很有必要和十分重要。

灵活的扩展报头 一个完整的IPv6的数据包可包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。

防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后，就开始对其他主机进行随机扫描，在扫描到其他有漏洞的主机后，会把病毒传染给该主机。这种传播方式的传播速度在 IPv4环境下非常迅速(如Nimdar病毒在4～5分钟内可以感染上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了，病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。

防止网络放大攻击(Broadcast Amplication Attacks)ICMPv6在设计上不会响应组播地址和广播地址的消息，不存在广播，所以，只需要在网络边缘过滤组播数据包，即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

防止碎片(Fragment)攻击 IPv6认为MTU小于1280字节的数据包是非法的，处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包)，这有助于防止碎片攻击。

由此看来，IPv6协议确实比IPv4的安全性有所改进，IPv4中常见的一些攻击方式，将在IPv6网络中失效，例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题，IPv6仍应对乏力，只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。

引入IPv6出现的安全新问题

IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题，主要包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。

此外，在IPv6中还有一些问题有待解决，主要包括:

1.IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术，如SNMP等，不管是移植还是重新另搞，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现，因此缺乏对IPv6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。没有网管，何谈保障网络高效、安全运行?

2.PKI管理在IPv6中是悬而未决的新问题。

3.IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还尚需时日。

4.IPv6协议仍需在实践中完善，例如IPv6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能，而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制订之中。

向IPv6迁移的可能漏洞

由于IPv6与IPv4网络将会长期共存，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。

已经发现从IPv4向 IPv6转移时出现的一些安全漏洞，例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。

向IPv6协议的转移与采用其他任何一种新的网络协议一样，需要重新配置防火墙，其安全措施必须经过慎重的考虑和测试，例如IPv4环境下的IDS并不能直接支持IPv6，需要重新设计，原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。

目前，IPv4向IPv6过渡有多种技术，其中基本过渡技术有双栈、隧道和协议转换，但目前这几种技术运行都不理想。专家建议，向IPv6转移应尽量采用双栈技术，避免采用协议转换;尽量采用静态隧道，避免采用动态隧道;这些都需要在广泛实验中加以检验。

IPV6的安全体系结构 第3篇

摘要：

文章对IPv4协议安全方面的一些缺点进行了分析，讨论了OSI的网络安全体系结构，给出IPv6新的网络安全机制，详细描述了IPSec所提供的网络安全服务与实现原理，并对IPSec的两个安全协议——AH和ESP作了较深入的阐述。

关键词：

安全体系结构；IP版本6；IP安全标准；AH协议；ESP协议

ABSTRACT:

Based on the analysis of security deficiency in IPv4 protocol, and the discussion on the traditional network security architecture, the paper introduces a new kind of security architecture adopted by the IPv6 network, and then details the network security services provided by IPSec,and their implementation mechanism. Emphasis is put on two security protocols: AH (Authentication Header) and ESP (Encapsulating Security Payload).

KEY WORDS:

Security architecture; IPv6; IPSec standard; Authentication header protocol; Encapsulating security payload protocol

1 引言

目前风靡全球的Internet是建立在TCP/IP协议基础之上的。TCP/IP协议是DARPA(美国国防部高级研究规划局)为了实现异种网之间的互联，于1977年—1979年间推出的一组体系结构和协议规范。其最大的特点是开放性，而这一特点也是基于TCP/IP协议的Internet能够飞速发展的主要原因之一。遵循开放性原则的因特网，其最终理念是要在全世界范围内建立起一个技术共享、信息共享、人人平等、人人互助的虚拟网上社会。但现实社会的实际情况是：不同国家之间、不同企业之间以及不同个人之间存在利益的差别甚至对立，意识形态的多元化，以及在政治、军事、经济上存在激烈的竞争，这些因素都不可避免地要在互联网上体现出来，从而成为互联网上安全问题的根源。随着因特网在全球的迅速发展，电子商务在因特网上也随之展开，对因特网的安全问题也就提出了更高的要求。由于TCP/IP协议发展的初衷是遵循开放性的原则，在网络安全方面并没有作过多的考虑，使得现行TCP/IP协议体系结构本身就存在许多安全隐患[1,2]：

(1)IP地址假冒(IP Spoofing)[3,4]

一个IP数据包是否来自其真正的源地址，IP协议本身并不提供任何保障。从理论上讲，任意一台主机可以发出含有任意源地址的IP数据包。这样一来，基于IP地址标识的数据包事实上是不可信的，这就使得一些基于IP地址实现的访问控制技术失效；同时这个缺点也使得对网络攻击者的追查与取证变得较为困难，使得攻击者更加肆无忌惮。目前网络上的很多攻击如Syn Flooding，DOS/DDOS，SMURF等攻击都利用了这个缺陷，发起攻击。

(2)源路由攻击

源路由是IP数据包的一个选项，它可使IP数据包沿指定的路径从源地址到达目的地址。这一选项原本是用来测试某一特定网络的吞吐率，也可使数据包绕开出错网络。但与此同时，它一方面方便了假冒源IP地址的数据包到达目的地址，另一方面也使得入侵者能够绕开某些网络的安全措施，从对方没有预料到的路径到达目的地址。

(3)网络窃听

目前网络上传输的信息大部分为明文信息，特别是一些系统的登录密码，如大多数Unix系统目前仍缺省采用明文密码方式。这些敏感信息利用窃听工具很容易获得，而网络上的窃听工具又非常丰富，如Sniffer，Tcpdump，Snoop等。

为了解决这些问题，必须为网络系统增加安全服务，这些安全服务可概括为：数据完整性(Integrity)、数据私有性(Confidentiality)、认证(Authentication)、访问控制(Access Control)和不可否认性(Non-repudiation)。

国际标准化组织(ISO)制订的ISO 7498-2[5]提出了一个典型的传统网络安全体系结构(NSA)。该安全体系结构描述了一系列的安全服务及实现这些安全服务的机制，如表1所示。

由表1中可以看出，该体系结构将网络安全服务分布在从第1层到第7层的各个协议层中，实现起来既增大了系统资源开销，又会降低系统工作效率。实际上，大多数安全服务可以放在OSI(开放系统互连)模型的任何一层。由于计算机网络可划分为通信子网(1—3层)和资源子网(4—7层)，目前的技术发展趋势是IP over Everything和Everything over IP，IP层是连接通信子网与资源子网的核心环节，因此将安全服务集中在IP层实现最合适。同时在IP层实现安全服务要比在应用层上更加透明和彻底，可为IP层以上的所有应用提供安全服务，同时管理也比较统一和简单。

为了改善现有IPv4协议在安全等方面的不足，IETF的下一代网络协议(IPng)工作组于1994年9月提出了一个正式的草案“The Recommendation for the IP Next Generation Protocol”，1995年底确定了IPng协议规范，称为IP版本6(IPv6)。IPv6在IP层上实现了上述各种安全服务。

2 IPv6的安全机制

IETF在IPv6中提出了全新的网络安全体系结构，即IPSec标准。尽管IPSec是为IPv6设计的，但也可应用于IPv4中。

IPSec描述了新体系结构提供的安全服务及这些服务的实现机制。IPSec提供的安全服务包括：数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击(Protection of Replay)以及一定程度上的数据流量私有性(Traffic Flow Confidentiality)等。这些安全服务是通过ESP(Encapsulating Security Payload)和AH(Authentication Header)这两个安全协议来实现的。同时，除安全协议外，还有一系列与IPSec相关的技术标准，如加密算法及实现数据完整性的Hash算法的规范、密钥的交换标准IKE(Internet Key Exchange)、安全关联(SA)等。

2.1 安全关联与安全关联数据库

安全关联是IPSec的基础，ESP和AH协议都要通过它来实现安全服务。安全关联是用来描述和实现连接安全的，可用三元组来标识：<安全参数索引(SPI)，安全协议，目的IP地址>，其中安全协议只能是ESP或AH中的一种。SA的工作方式分为两种：传输模式和隧道模式。传输模式用于两个主机间的连接，而隧道模式用于两个网关之间的连接。SA的安全功能体现在它所采用的安全协议：ESP或AH。由于每个SA只能提供ESP或AH中的一种服务，因此有时为了同时实现数据的私有性和完整性，对一个连接可能采用多个SA的组合来实现相应的安全。

安全关联数据库(SAD)用来存放安全关联，每一安全关联都在安全关联数据库中有唯一的记录，而每个安全关联可通过SPI、目的IP地址和安全协议来定位。除了这3个域外，安全关联数据库中的记录主要还包括以下与安全处理相关的内容：包序列号、AH采用的算法及密钥、ESP采用的算法及密钥、安全关联的生命周期等，其中，包序列号用来防止数据包的重发攻击。

2.2 安全策略数据库

安全策略数据库(SPD)用来存放和管理用户的安全策略，对所有进出IP包的处理都需要查询安全策略数据库，以确定下一步的具体处理方法。安全策略库由安全策略的有序列表组成，类似于包过滤防火墙的过滤规则。每条策略由IP包的一些属性如源IP地址、目的IP地址、源端口号、目的端口号，以及一些命名字符串(如用户名、域名)和安全关联等组成，通常这些属性也用来在安全策略数据库中定位对相应IP包进行处理的安全策略。

2.3 IPSec的工作原理

IPSec既可以在网关上实现，也可以在主机上实现。无论是哪种情况，当IP数据包进入或离开支持IPSec的接口时，IPSec模块将根据安全策略库决定对该IP包进行何种处理(见图1)。对IP包的处理方式分为3种：抛弃、旁路、根据安全关联进行IPSec处理。因此利用安全策略数据库和这种处理方式，可以很容易地实现类似于IPv4中防火墙的访问控制安全。

当某接口收到一IP包后，根据该IP包的属性及制订的一些安全设置，在安全关联数据库中寻找相应的安全关联，对该IP包进行解密等处理，然后在安全策略库中寻找相应的安全策略。如果不存在与该IP包相对应的安全策略，则将该IP包抛弃并作日志。在找到相应的安全策略后，如果策略规定要抛弃该包，则将该IP包抛弃并作好日志；如果策略规定要旁路该IP包，则不对该IP包作更多处理，让它通过；如果策略说明要对该IP包进行IPSec处理，则该策略里应包含对该IP包进行处理的一个或多个安全关联指针，通过安全关联指针可以在安全关联数据库中找到相应的安全关联，如果该安全关联与刚才找到的安全关联不一致的话，也要将该IP包抛弃。

在IPv6中，对进入的IP包与出去的IP包的处理是有所区别的，比如对安全关联的定位、寻找的方法是不相同的。当接口收到某IP包后，从该IP包中可以提取出安全关联索引、目的IP地址和安全协议，根据该3项内容即可在本地的安全关联数据库中唯一地确定出一个安全关联，从而作进一步的处理；在发送时，如根据安全策略需对该IP包进行IPSec处理，IPSec模块将根据该IP包的属性，在安全策略库中找到相应的对该IP包进行处理的一个安全关联(也可能是多个)，并将该安全关联的索引号填入待发送的IP包中，以提供给接收方用来确定相应的安全关联。

2.4 IP认证协议——AH

AH主要提供IP包的数据完整性服务，防止数据在传输过程中被第3方篡改，同时AH也提供对IP包来源的认证，以防止数据重发攻击。AH不仅对IP包的包头进行认证，而且还要对IP包的内容进行认证，但由于IP包中的部分域如包存活周期(IPv6中称为“跳数”，即IPv4中的TTL)、校验等是要变化的，因此AH只对在传输过程中不变的内容或可以预测变化的内容进行认证。

IPv6对IPv4的包格式进行了简化，并取消了原IP包头中的选择项域，代之以单独的扩展头，在IPv6中目前已定义了6种扩展头，而AH和ESP是其中的两种。这些扩展头紧随在IPv6的头部后面，并在上层协议数据(TCP数据)之前，当有多个扩展头同时存在时，以一定的顺序排列，构成一个扩展头列表，每一个扩展头的类型由头标记(Next Header)来标识，如图2所示。

AH作为IPv6中的一个扩展头，其格式如图3所示：头标记用来标记下一个扩展头的类型；长度域表示认证数据的长度；保留域在计算认证数据时，必须设为0；安全参数索引用来标识安全关联；序列号域用来防止IP包的重发攻击，收发双方同时保留一个序列号计数器，每收发一个IP包，序列号将递增1，在递增到232后复位，接收方可以根据接收到的IP包序列号来判断该IP包是否为重发包，若是则将其抛弃；认证数据域的长度可变，并由长度域来指明，认证数据是通过将传输过程中变化的域和认证数据域置0后，对其余所有数据进行完整性计算后得到的，目前计算认证数据的算法有MD5算法和SHA-1算法等。

2.5 IP加密安全协议

ESP作为IPv6中的一种扩展头，提供IP包的数据加密功能，此外也提供数据来源认证、基于无连接的数据包完整性、防止重发攻击以及数据流量的私有性等功能。其中，ESP提供的数据包完整性与AH提供的数据包完整性有所区别，AH提供对整个IP包，包括包头和包内容的完整性认证，而ESP提供的完整性则只关心IP包的内容部分。为了防止网络上的黑客利用侦听器来记录和分析发生在特定IP地址之间的流量情况，从中找出一些与安全有关的蛛丝马迹并进行攻击，ESP可以提供数据流量私有性功能，但只是在隧道模式下才能实现。因为在隧道模式下，黑客只能侦听到发生在隧道两端的IPv6网关之间的流量，而内部的整个IP包都已被加密，黑客无法知道该IP包是属于那个连接的。图4为采用ESP加密前后的IPv6包结构。在IPv6中，有的扩展头位于ESP前面，而有的扩展头则位于ESP后面，图4只考虑了位于ESP前面时的情况。

图5是ESP包的格式。其中，安全参数索引用来标识安全关联，说明ESP采用的安全参数，如密钥、加密算法等，接收方在收到ESP包后，将根据安全参数索引、目的地址及安全协议来定位处理该IP包的安全关联，取得安全参数，然后将ESP包解密；序列号用来防止包的重发攻击。在ESP中，目前要求至少支持DES-CBC加密算法。

2.6 密钥交换协议(IKE)

在IPSec中进行密钥交换有两种方法：一种是使用IKE协议进行自动地密钥交换，一种是手工模式。手工模式只适用于小规模的或者用硬件实现的IPSec，大多数情况下都需要使用IKE协议通过公用网络进行密钥交换。

IKE的功能包括加密算法和密钥协商、密钥生成、交换及管理。IKE是ISAKMP[6]，Okaley[7]和SKEME 3个协议揉和而成的一个协议。ISAKMP协议只规定了一个认证和密钥交换的框架，与具体的密钥交换方法相独立。Okaley和SKEME协议则描述了具体的密钥交换方法，其中Okaley协议给出了一系列的密钥交换过程，而SKEME协议则提供了一种通用的密钥交换技术。

3 结束语

IPv6利用新的网络安全体系结构IPSec，通过AH和ESP两个安全协议分别为IP协议提供了基于无连接的数据完整性和数据私有性，加强了IP协议的安全性，克服了原有IPv4协议在安全方面的不足。

本文研究课题是国家“863”课题“IPv6示范系统”的一部分，由清华大学、东北大学等几所大学共同承担，已于2000年底完成。通过该项目的建设，已在CERNET的几个地区中心建立了纯IPv6的试验网络，并通过IPv4隧道实现了互连互通。东北大学在该项目中负责IPv6的安全部分，我们根据IPSec标准，设计与实现了文中描述的AH,ESP协议与简化的密钥交换协议，并在CERNET IPv6示范网上进行了测试。

目前，国际上一些主要网络和通信公司、研究机构也展开了对IPv6的研究，如法国INRIA、日本KAME、美国NRL等研究机构，IBM,Sun,微软,Trumpet等公司分别研制开发出了基于不同平台上的IPv6系统软件与应用软件，思科、北电、诺基亚等硬件厂商目前也已经开发出了IPv6路由器产品。

从Internet发展角度看，IPv6技术的关键在于实用化，在于研究与开发体现IPv6优越性的特色应用。基于IPv6的安全特色实现的网络安全应用包括防火墙和VPN（虚拟专用网络）等。由于IPSec是基于安全策略库来实现安全需求的，因此可以容易地基于安全策略将这些不同的安全应用集成在一起，实现具有整体安全性的网络安全系统。□

参考文献

1 Soh B C, Young S. Network system and World Wide Web security. Computer Communication, 1997,20(2):1431—1436

2 Jason P, Rudin H. Computer Network Security. Computer Network, 1999,31(1):785—786

3 Tanembuam A S. Computer networks. 3rd ed. New York: Prentice-Hall, 1996

4 Harris B, Hunt R.TCP/IP security threats and attack methods. Computer Communications, 1999,(20):885—897

5 ISO DIS 7498-2.ISO Information Processing Systems: Open System Interconnection Reference Model, Part 2: Security Architecture, Geneva, 1988

6 Maughan D, Schertler M, Schneider M, et al. Internet Security Association and Key Management Protocol (ISAKMP). RFC 2408, 1998

7 Orman H. The OKALEY Key Determination Protocol. RFC 2412, 1998

(收稿日期：2002-01-17)

作者简介

李信满，CERNET东北地区中心副主任，东北大学软件中心计算机应用专业博士生。主要研究领域为网络安全。曾承担与完成多项国家“863”课题，内容涉及防火墙、VPN、网络入侵检测系统、IPv6等网络安全技术。

浅析IPV6的安全性 第4篇

安全新问题如影随形。

1 什么是IPV6

IPv6是Internet Protocol Version 6的缩写, 其中Internet Protocol译为“互联网协议”。I P v 6是下一版本的互联网协议, 它的提出最初是因为随着互联网的迅速发展, I P v 4定义的有限地址空间将被耗尽, 地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间, 拟通过I P v 6重新定义地址空间。IPv6采用128位地址长度几乎可以不受限制地提供地址。

2 IPv6相对于IPv4在安全方面改进

IP安全协议 (IPSec) IPSec是IPv4的一个可选扩展协议, 而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性, 如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证, 以及抗重播 (R e p l a y) 攻击等。新版路由协议OSPFv3和RIPng采用IPSec来对路由信息进行加密和认证, 提高抗路由攻击的性能。

需要指出的是, 虽然I P S e c能够防止多种攻击, 但无法抵御Sniffer、Do S攻击、洪水 (Flood) 攻击和应用层攻击。IPSec作为一个网络层协议, 只能负责其下层的网络安全, 不能对其上层如Web、E-mail及FTP等应用的安全负责。

端到端的安全保证IPv6最大的优势在于保证端到端的安全, 可以满足用户对端到端安全和移动性的要求。I P v 6限制使用N A T, 允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个I P v 6的连接, 都会在两端主机上对数据包进行IPSec封装, 中间路由器实现对有IPSec扩展头的I P v6数据包进行透明传输, 通过对通信端的验证和对数据的加密保护, 使得敏感数据可以在I P v 6网络上安全地传递, 因此, 无需针对特别的网络应用部署A L G (应用层网关) , 就可保证端到端的网络透明性, 有利于提高网络服务速度。

地址分配与源地址检查在I P v 6的地址概念中, 有了本地子网 (Link-local) 地址和本地网络 (Site-local) 地址的概念。从安全角度来说, 这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系, 网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务, 那么就可以只给这台服务器分配一个本地网络地址, 而企业网外部的任何人都无法访问这些主机。

由于I P v 6地址构造是可会聚的 (a g gregate-able) 、层次化的地址结构, 因此, 在IPv6接入路由器对用户进入时进行源地址检查, 使得I S P可以验证其客户地址的合法性。

源路由检查出于安全性和多业务的考虑, 许多核心路由器可根据需要, 开启反向路由检测功能, 防止源路由篡改和攻击。

防止未授权访问IPv6固有的对身份验证的支持, 以及对数据完整性和数据机密性的支持和改进, 使得I P v 6增强了防止未授权访问的能力, 更加适合于那些对敏感信息和资源有特别处理要求的应用。

域名系统DNS基于IPv6的DNS系统作为公共密钥基础设施 (P K I) 系统的基础, 有助于抵御网上的身份伪装与偷窃, 而采用可以提供认证和完整性安全特性的D N S安全扩展 (DNS Security Extensions) 协议, 能进一步增强目前针对D N S新的攻击方式的防护, 例如“网络钓鱼 (Phishing) ”攻击、“DNS中毒 (DNS poisoning) ”攻击等, 这些攻击会控制D N S服务器, 将合法网站的I P地址篡改为假冒、恶意网站的I P地址等。

灵活的扩展报头一个完整的I P v 6的数据包可包括多种扩展报头, 例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为I P v 6扩展应用领域奠定了基础, 同时也为安全性提供了保障。

防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后, 就开始对其他主机进行随机扫描, 在扫描到其他有漏洞的主机后, 会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速 (如Nimdar病毒在4~5分钟内可以感染上百万台计算机) 。但这种传播方式因为I P v 6的地址空间的巨大变得不适用了, 病毒及网络蠕虫在I P v 6的网络中传播将会变得很困难。

防止网络放大攻击 (Broadcast Amplicati on Attacks) ICMPv6在设计上不会响应组播地址和广播地址的消息, 不存在广播, 所以, 只需要在网络边缘过滤组播数据包, 即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

防止碎片 (Fragment) 攻击IPv6认为MTU小于1 2 8 0字节的数据包是非法的, 处理时会丢弃MTU小于1280字节的数据包 (除非它是最后一个包) , 这有助于防止碎片攻击。

3 IPv6与IPv4的安全性比较

现实Internet上的各种攻击.黑客和网络蠕虫病毒等, 弄的网民们是人人自危, 每天上网除了开启实时防病毒程序, 还要继续使用个人防火墙, 打开实时防木马程序才敢上网冲浪, 很多人都把这些归咎与IPv4网络, 现在IPv6来了, 它的设计充分研究了以前IPv4的各种问题, 再安全性上得到了大大的提升, 但不是IPv6就没有安全问题。

目前, 病毒和互联网蠕虫是最让人头痛的网络攻击, 但这种传播方式再I P v 6中就不再实用了, 因为I P v 6的地址空间实在是太大了, 如果这些病毒和蠕虫还想通过扫描地址段的方式来找到有机可乘的其他主机, 就如同大海捞针。再I P v 6的世界中, 对IPv6网络进行类似IPv4的按照IP地址段进行网络侦查是不可能了。

4 面临的新的问题

I P v 6是新的协议, 在其发展过程中必定会产生一些新的安全问题, 主要包括以下几点。

4.1 针对I P v 6的网管设备和网管软件都不太成熟

IPv6的管理可借鉴IPv4。但对于一些网管技术, 如S N M P (简单网络管理) 等, 不管是移植还是重建, 其安全性都必须从本质上有所提高。由于目前针对I P v 6的网管都不太成熟, 因此缺乏对I P v 6网络进行监测和管理的手段, 对大范围的网络故障定位和性能分析的能力还有待提高。

4.2 IPv6中同样需要防火墙、VPN、IDS (入

侵检测系统) 、漏洞扫描、网络过滤、防病毒网关等网络安全设备

事实上, I P v 6环境下的病毒已经出现。例如, 有研究人员在I P v 6中发现了一处安全漏洞, 可能导致用户遭受拒绝服务攻击。据悉, 该漏洞存在于IPv6的type 0路由头 (RH0) 特征中。某些系统在处理IPv6 type0路由头时存在拒绝服务漏洞。

4.3 IPv6协议仍需在实践中完善

I P v 6组播功能仅仅规定了简单的认证功能, 所以还难以实现严格的用户限制功能。移动IPv6 (Mobile IPv6) 也存在很多新的安全挑战, 目前移动I P v 6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外, DHCP (Dynamic Host Configuration Protocol, 动态主机配置协议) 必须经过升级才可以支持I P v 6地址, D H C P v 6仍然处于研究、制订之中。

4.4 向I P v 6迁移过程中可能出现漏洞

目前安全人员已经发现从IPv4向IPv6转移时出现的一些安全漏洞, 例如黑客可以非法访问采用了IPv4和IPv6两种协议的L A N网络资源, 攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道, 从而绕过防火墙对I P v 4进行攻击。

总而言之, I P v 6中的网络世界还需要很长的一段时间来填补威胁所带来的隐患, 从而进一步加固网络安全。

摘要：IPv6相对于IPV4是革命性的。IPv6允许我们为未来十年的无处不在的接入做好准备。但是, 同其它的技术创新一样, 我们需要从安全的角度认真关注IPv6。IPv6成IP地址短缺救星, 但是安全问题不容小觑。IPV6解决了一些安全问题, 同时也面临着新的安全问题。

关键词：IPV6,安全,改进,问题

参考文献

[1]李绍松.IPSec安全机制在电子政务安全中的应用研究[J].福建电脑, 2004 (1) .

腾达路由IPv6办公环境 第5篇

一、目前不少操作系统都支持IPv6，例如Windows 7，但是还没有哪个系统是完美的，Windows 7和Vista都是内置有IPv6支持的。实际上，Windows 7的一些网络功能，如DirectAccess和HomeGroup等都是在IPv6协议上实现的。而XP用户如果要尝试IPv6的诸多功能，必须专门安装IPv6协议，对于 Windows服务器来说，你可以为Windows server 安装IPv6驱动，但是我不建议这种方法。因为微软在Windows server R2中实现了更好的IPv6支持性能，所以还是升级操作系统更安全一些。

二、Linux很久之前就已经能够支持IPv6了。但是你需要采用命令行模式才能很好的对其进行配置。Linux专家Carla Schroder不久前专门写了Linux快速配置IPv6的指南： IPv6 Crash Course For Linux以及Another IPv6 Crash Course For Linux: Real IPv6 Addresses, Routing, Name Service。 好好看看这些指南，大部分人都能毫无困难的为linux客户端或服务器配置IPv6。我希望一些Linux版本能够提供基于GUI界面的IPv6配置工具，帮助用户更方便的配置网络，

三、在Mac OS X中，苹果已经加入了自动化的IPv6支持功能。实际上这个功能是基于开源的 KAME IPv6 堆栈，KAME也用来支持BSD Unix系统上的IPv6。要了解更多有关 Mac OS X IPv6支持情况，可以参考：Ipv6INT page, Apple Mac OS X IPv6。 正如文档中所写的“有关Mac OS X的IPv6文档相当少”。而在Mac服务器方面，对IPv6的支持性能并不理想，至少我发现没有对于DHCPv6的支持。

四、通过查看IPv6 Ready Logo Program Approved List是检查普通网络设备是否能够支持IPv6协议的最快途径，用户可以直接通过网页搜索自己的设备。当然，并不是所有的网络设备厂商都会与IPv6论坛合作，或者会提交他们的硬件产品供IPv6论坛测试，另外用户必须记住，不少网络设备是可以通过升级固件的方法来实现对IPv6的支持的。由于某个互操作的问题在E4200 Wireless-N Router Firmware Update 1.0.01中屏蔽了6to4，即IPv6-to-IPv4转换通道功能。换句话说，那些不支持或部分支持IPv6功能的设备，在未来也可以通过固件升级来支持IPv6。

五、用户通过免费固件升级方式就可以实现这个功能。但是我还不清楚较老型号的产品能不能通过升级固件获得IPv6支持能力，腾达路由器支持IPv6，但是我从他们的网站上很难发现哪款产品是支持IPv6，哪款是不支持IPv6的。我唯一能建议用户的就是在购买时先仔细阅读设备规格表。

IPV6校园网的网络安全研究 第6篇

【关键词】IPV6；校园网；网络安全；IPSec

高校校园网有不同于其他宽带网的独有特点，其承担着学校内容部的教学资源共享、教学视频上传、数字图书馆、校园IP监控等多方面与教育教学开展相关的专业应用。同时，由于高校学生接触网络知识面比较广，对校园网的实际应用远远超出教学限制范围，活跃的用户群体加上网络安全应用知识的淡薄，对校园网络安全带来的极大的挑战。IPV4的安全服务协议已然不能满足现代信息吞吐量所必须的安全匹配体制，针对IPV6的网络安全体制研究正在国内高校网络建设中广泛的开展。结合校园网所体现的应用功能性，利用现代计算机网络通信IPV6协议，引进IPSecurity（IPSec）作为安全防护协议，能够满足校园网用户对端到端服务可靠性和安全性的要求。

1.校园网安全特点及常见攻击

互联网的最早应用起源与高等你校园，校园网也一般集合了行业内较为先进的网络体系结构。高校内用着最密集的活跃用户群体，同时也为校园网的内部安全带来了诸多威胁，校园网的安全管理系统具有庞大和复杂的特点，其安全特点和常见的安全攻击如下所示：

1.1校园网的速度快， 规模大

校园网由于其自身实现的功能性，对传输速率和信息吞吐量要求较大，普遍使用以太网网数据传输技术，铺设千兆、万兆的传输网络。用户群体的密集和信息传输量的巨大对网络安全防御体制带来巨大的挑战。

1.2校园内部的网络安全管理体制的不健全，复杂的网络维护和设备购置管理往往责任分配不清楚，出现问题不能得以及时解决，使安全问题进一步扩大

1.3活跃的用户群体

用户群体的密集且对网络资源利用的廣泛性，部分学生的不良上网习性导致病毒和木马有机可乘。之前“风靡一时”的熊猫烧香病毒正是利用地点导致校园网的短时间瘫痪。另一方面，部分学生甚至自己学习和研究网络黑客攻击技术，转而攻击校园内部网络，对网络安全造成不同程度的负面危害。

1.4开放的网络环境

由于教学应用和科研的实际需求，决定了校园我网络是相对开放的，管理方式方面比较宽松，这对病毒入侵提供了可能性。

1.5盗版资源泛滥

由于部分教师和学生缺乏版权意识，寻求免费和便利的资源下载或在线浏览方式，导致盗版软件、影视资源在校园内使用泛滥，这些盗版软件和多媒体资源的现在占用了大量网络宽带，同时为病毒的入侵和传播敞开了大门。

以上种种因素都是校园网容易遭到安全攻击的诱发因素，也是容易被攻击和破坏的目标。

2.IPv6 报头潜在的安全问题

IPV6报头协议与IPV4相比，提高了数据包的传输安全协议和处理效率。同时，由于，IPV6报头结构比较复杂而且标准约束性较小，导致其合法性和安全性难以受到全面且深入的安全监控和检测。IPV6的报文字段受到攻击性而被破坏的可能性最大，其面临的主要安全威胁包括：①网络黑客能够利用数据链路层的字段的非相匹配来迷惑防火墙或者其他病毒防护软件。②黑客通过对源IP的伪造，来隐藏自己的身份对IP实施欺性攻击。③任何类型的扩展报头能够以确定的次数和不同的数据传输顺序出现在IPV6数据包中，这些不受明确且严格限制的特性容易导致多方面的网络系统安全攻击，如ARP欺骗攻击、ND攻击、DoS攻击、网络资源或系统资源的抢占等。任何类型的扩展报头能够以不同的顺序或是不确定的次数出现在IPv6 数据包中。这些不受约束的特性还可能存在如ND 攻击、ARP 欺骗攻击、DoS 攻击、系统资源和网络资源的抢占等。

3.IPSec 安全机制极其在校园网中的应用

IPSec网络传输协议为提IP协议的保密性和完善性而专门定制的。其实现的功能为解决网络层的安全。IPSec协议的结构特点能够有效的防护系统免受多方面的网络安全攻击，如保护IPV6报头免受安全攻击威胁等，能够提校园网的整体安全防水平。IPSec的安全特性属于IPV6协议的外在安全特性，它具有为IP写作提供无缝安全保障的功能特性，是IPV6的协议套件。IPSec 为TCP 等上层协议提供很强的加密认证服务，校园网在IPSec 报头的保护下更加安全IPV6的校园网络中IPSec的具体应用包含以下两方面：

3.1端到端的安全应用

端到端的网络信息传输机制配合其他安全体制，为校园网提供了数据传输的机密性和完整性保障。其技术原理为：将位于不同路由器（网关）的网络主体通过受保护的校园网进行相连，主机之间无需配置IPSec传输协议，不同主机之间配置IPSec利用IPV6传输协议进行数据的透明性传输。同时不同主机之间可以结合使用AH和ESP，在实际应用中，可以将AH在ESP之后进行封装，以提高数据包传输的安全性和完整性，使用的结构模式可以选择隧道模式和传输模式。其中传输模式的构建方式为：将主机的数据包首先进行AH和ESP加密认证，在传输过程中利用利用IPSec协议对数据包进行封装和匹配性修改，即在原有IP头IP和TCP协议中插入AH头或者ESP头，通过这种模式来抵御IPV6网络中诸如DOS攻击、ARP攻击等安全威胁，有效的保护TCP、UDP、SPX等上层协议，确保了校园网的安全。

3.2路由安全应用

IPV6与IPV4的动态地址大多是通过DHCP来获取的，IPSec协议在路由安全上的实际应用能够防止网络威胁对网关的攻击，提高网络控制报文协议的安全性。在校园网的是实际应用模式为：将主校区路由器、分校区路由器和公网路由设备分别配置IPSec安全协议。在嵌套式的隧道模式下，主机通过校园网向不安全的公用或专用网络中的分机发送邮件，首先需要将邮件发送至对应的网络路由器，通过IPsec封套成新的数据包并且配置新的IP头，然后通过受保护的隧道传送至核心路由器，分机路由器对收到的数据包进行处理，去除掉对应的新IP头，实现数据传输信息的解封，最终还原成邮件文本格式，转发给目标分机。整个数据传输过程中IP数据报头和上层协议都受到IPSec的安全保护，从而减少了IP地址欺骗，ARP攻击、AD攻击等威胁。

4.结语

IPV6在校园网的具体应用有着极大的可发展空间，其具有的大空间地址、灵活IP报文、高安全心性能等特点能满足现阶段校园网的实际需求。但是，IPV6的协议非绝对安全，如它对用户的限制性较低，与其它安全设备的兼容性较低，安全和管理机制尚不健全等问题对校园网的安全带来的潜在的威胁。因此，对于IPv6 的研究任重而道远，但是我们能看到基于IPV6的校园网建设将是未来的发展趋势，其中对于传输协议的研究和安全系统的保障是推动IPV6普及化发展的关键。 [科]

【参考文献】

[1]张伟.IPv6过渡技术发展历程分析[J].电信网技术，2011（06）.

[2]李哲夫.基于IPv6的校园网用户管理系统设计[J].微计算机应用，2011（04）.

IPv6安全机制的探讨 第7篇

如今，随着网络的日益膨胀，不论是出于对安全或者是信息私密性的考虑，越来越多的商业机构和政府部门都不再愿意在不安全的网络化上发送敏感的信息或者进行明文的直接交流。针对这样的不安定因素，加密和认证需求成为了众多用户的无奈选择。随着IP网络在商用和消费中的重要性与日俱增，网络的安全性问题变得日益突出，亟待改善。

二、认证报头的现实意义

从IPv6的诞生以来，它逐渐完善了安全性方面的机制。

IPv6的安全主要由IP的AH (Authentication Header)和ESP (Encapsulating SecurityPayload)报头的标记来标识。RFC1826 (IP认证报头) 中对AH进行了描述，RFC1827 (IP封装化安全净荷(ESP))对ESP报头进行了描述。

1. IPv6中定义了认证报头（Authentication Header, AH) IPsec提供了两种安全机制：加密和认证

(1) 加密是通过对数据进行编码来保证数据的机密性，以防止数据在传输过程中被他人截获而失密

解决的实际问题：明码传输和存储转发的数据传输方式，使得“中间人”篡改正在传输的数据成为可能;在开放的网络中，数据包可能经过任意数量的未知网络，任一个网络中都可能有包嗅探器在工作，以明文的形式在网络上传播数据也毫无机密性可言。

(2) 认证使得IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到破坏或改动

解决的实际问题：在现行的IP网络中，IPsec使用得并不普遍。所以在现在的网络中，伪装源地址是相当容易的，数据包的接收者根本就没有办法弄清楚数据包的源地址栏里所注明的主机是不是数据包的真正发出者。这使得恶意的用户可以冒充其他人得到有用的信息。如果经过仔细的伪装，恶意用户甚至可以取得服务器的控制权;

正是由于网络中存在的上述问题，从而在IPv6的报头中启用了IPsec协议，也使得IPv6在网络层的安全性上得到了很大的增强。

2. 封装化安全净荷（Encapsulating Security Payload, ESP)

解决的实际问题：由于协议分析仪或“sniffer”的大量使用，恶意的用户可以截取网络上的数据包并且可以从中窃取数据。

针对这一问题，IPv6还提供了一个标准的扩展头--封装化安全净荷(ESP)，在网络层实现端到端的数据加密，以对付网络上的监听。

ESP报头提供了几种不同的服务，其中某些服务与AH有所重叠：

(1) 通过加密提供数据包的机密性

(2) 通过使用公共密钥加密对数据来源进行身份验证

(3) 通过由AH提供的序列号机制提供对抗重放服务

(4) 通过使用安全性网关来提供有限的业务流机密性

IPv6所有的命令和执行都有安全方面的考虑。并且，提供了加密和认证机制。这些机制都是在网络层上实现的，对于网络层以上的应用是不可见的，也就是说应用程序就不必了解这些安全机制的细节了。

通过对IPv6所提供的新的安全机制的介绍，可以看到，IPv6可以进行身份认证，并且可以保证数据包的完整性和机密性。所以在安全性方面，用户已经感受到了质的飞跃。

三、IPv6安全机制的引入对于网络整体安全的影响

1. 对于网络层的安全性，有如下三个公认的指标：

身份验证:能够可靠地确定接收到的数据与发送的数据一致，并且确保发送该数据的实体与其所宣称的身份一致

完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改

机密性:确保数据只能为预期的接收者使用或读出，而不能为其他任何实体使用或读出。使用公共密钥加密来实现，这样也有助于对源端进行身份验证

2. 在现今的网络中，确保数据的安全性，还应该解决如下威胁：

拒绝服务攻击：攻击者可能使某主机淹没于大量请求中，从而致使系统崩溃;或者重复传送很长的Email报文，企图以恶意业务流塞满用户或站点带宽。

愚弄攻击:即实体传送虚假来源的包。而现在的IP网络对这两个问题也无能为力，如果我们充分认识到上述安全问题的严重性，当今的网络安全机制明显不足。

四、防火墙的工作机制及IPv6的相关应对

当前的防火墙有三种类型：包过滤型、地址转换型和应用代理型(应用层)。

1. 地址转换型防火墙：

它可以使局域网外面的机器看不到被保护的主机的IP地址，从而使防火墙内部的机器免受攻击。但由于地址转换技术(NAT)和IPsec在功能上不匹配，很难穿越地址转换型防火墙利用IPsec进行通信。当采用AH进行地址认证时，IP报头也是认证的对象，因此不能做地址转换。当只用ESP对分组认证/加密时，因为IP报头不在认证范围内，乍一看地址转换不会出现问题，但即使在这种情况下也只能作一对一的地址转换。

而不能由多个对话共用一个IP地址。这是因为ESP既不是TCP也不是UDP，不能以端口号的不同进行区分的缘故。此外，在用UDP实现ESP的情况下，因双方都要求源端口号和目的端口号为500，如进行地址转换就要变换端口号，则不能正常工作。

(2) 包过滤型防火墙：基于IPv4的包过滤型防火墙是依据数据包中源端和目的端的IP地址和TCP/UDP端口号进行过滤的。在IPv4中，IP报头和TCP报头是紧接在一起的，而且其长度基本是固定的，所以防火墙很容易找到报头，并使用相应的过滤规则。然而在IPv6下TCP/UDP报头的位置有了变化，IP报头与TCP/UDP报头之间常常还存在其他的扩展报头，如路由选项报头，AH/ESP报头等。防火墙必须逐个找到下一个报头，直到TCP/UDP报头为止，才能进行过滤，这对防火墙的处理性能会有很大的影响。在带宽很高的情况下，防火墙的处理能力就将成为整个网络的瓶颈使用了IPv6加密选项后，数据是加密传输的，由于IPsec的加密功能提供的是端到端的保护，并且可以任选加密算法，密钥是不公开的。防火墙根本就不能解密。因此防火墙就无从知道TCP/UDP端口号。如果防火墙把所有的加密包都放行的话，其实也就为黑客穿刺防火墙提供了一条思路：防火墙不再能够限制外部的用户所能访问的端口号了，也就是不能禁止外部用户访问某些本不应该对外提供的服务了。

3. 应用代理型的防火墙工作于应用层，受到IPv6安全机制的影响较小。

五、IPv6依然有待解决的问题

我们了解了许多IPv6对于网络应用的优势，但这并不能说IPv6已经可以确保系统的安全了。这其中有很多原因，最重要的是安全包含着各个层次，各个方面的问题，不是仅仅由一个安全的网络层就可以解决的。如果黑客从网络层以上的应用层发动进攻，比如利用系统缓冲区溢出或木马的方法，纵使再安全的网络层也与事无补。

即使仅仅从网络层来看，IPv6也不是十全十美的。它毕竟同IPv4有着极深的渊源。并且，在IPv6中还保留着很多原来IPv4中的选项，如数据的分片，TTL。而这些选项曾经被黑客用来攻击IPv4协议或者逃避检测，很难说IPv6能够逃避得了类似的攻击。同时，由于IPv6引进了加密和认证，还可能产生新的攻击方式。比如大家都知道，加密是需要很大的计算量的。而当今网络发展的趋势是带宽的增长速度远远大于CPU主频的增长。如果黑客向目标发送大量貌似正确实际上却是随意填充的加密数据包，被害者就有可能由于消耗了大量的CPU时间用于检验错误的数据包而不能响应其他用户的请求，造成拒绝服务。

另外，当前的网络安全体系是基于现行的IPv4协议的。当前防范黑客的主要工具，有防火墙、网络扫描、系统扫描、Web安全保护、入侵检测系统等。IPv6的安全机制对他们的冲击可能是巨大的，甚至是致命的。

六、总结

综上论述，IPv6引入了两个新的扩展报头AH和ESP。它们帮助IPv6解决了身份认证，数据完整性和机密性的问题，使IPv6真正实现了网络层安全。但是，这些安全机制对于当前的计算机网络安全体系造成了很大的冲击。使对于IPv6加密数据包的过滤，入侵检测和取证都处于一种真空状态。为了适应新的网络协议和新的发展方向，寻找新的解决安全问题的途径变得非常急迫。而安全专家也应该面对新情况，进一步研究和积累经验，尽快找出合适的解决方法。

参考文献

[1]Silvia.IPv6精髓.清华大学出版社.2004

[2]周逊:IPv6——下一代互联网的核心[M]﹒北京:电子工业出版社

下一代互联网IPv6安全性探讨 第8篇

1 IPv6 概述

IPv6 (Internet Protocol Version 6) 是互联网工程任务组 (IETF) 设计的用于替代现行版本IP协议 (IPv4) 的下一代IP协议。我们现在所使用的IPv4 其技术核心属于美国, 它的最大问题是网络地址资源有限, 从理论上讲, 编址1600 万个网络、40 亿台主机。但采用A、B、C三类编址方式后, 可用的网络地址和主机地址的数目大打折扣, 而其中北美就占有所有IPv4 地址的四分之三, 约30 亿个, 而人口最多的亚洲只有不到4 亿个, 中国截止2010 年6 月IPv4 地址数量达到2.5 亿, 落后于4.2亿网民的需求。正因为如此, IPv6 应运而生。单从数字上来说, IPv6 所拥有的地址容量是IPv4 的约8×10^28 倍, 达到近2^128 个, 这机会可以是地球上的每一颗石头分配一个IP地址, 当然的, 网络地址资源数量不够的问题迎刃而解, 同时还使得除了电脑以外的其他设备连入互联网成为了可能。

IPv6 具有如下特点:a.IPV6 地址长度为128 比特, 地址空间增大了2^96 倍;b.使用灵活的IP报文头部格式。通过一系列固定格式的扩展头部取代IPV4 中可变长度的选项字段。IPV6 中选项部分的出现方式也有所变化, 使路由器可以简单路过选项而不做任何处理, 加快了报文处理速度;c.简化了报文头部格式, 字段只有8 个, 加快报文转发, 提高了吞吐量;d.提高安全性。身份认证和隐私权是IPV6 的关键特性;e.支持更多的服务类型;f.允许协议继续演变, 增加新的功能, 使之适应未来技术的发展。

2 IPv6 在安全性方面的改进

端到端的安全保证。IPv6 最大的优势在于保证端到端的安全, 可以满足用户对端到端安全和移动性的要求。IPv6 限制使用NAT, 允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6 的连接, 都会在两端主机上对数据包进行IPSec封装, 中间路由器实现对有IPSec扩展头的IPv6 数据包进行透明传输, 通过对通信端的验证和对数据的加密保护, 使得敏感数据可以在IPv6 网络上安全地传递, 因此, 无需针对特别的网络应用部署ALG (应用层网关) , 就可保证端到端的网络透明性, 有利于提高网络服务速度。

地址分配与源地址检查。在IPv6 的地址概念中, 有了本地子网地址和本地网络地址的概念。从安全角度来说, 这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系, 网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务, 那么就可以只给这台服务器分配一个本地网络地址, 而企业网外部的任何人都无法访问这些主机。

源路由检查出于安全性和多业务的考虑, 许多核心路由器可根据需要, 开启反向路由检测功能, 防止源路由篡改和攻击。

防止未授权访问。IPv6 固有的对身份验证的支持, 以及对数据完整性和数据机密性的支持和改进, 使得IPv6 增强了防止未授权访问的能力, 更加适合于那些对敏感信息和资源有特别处理要求的应用。

域名系统。DNS基于IPv6 的DNS系统作为公共密钥基础设施系统的基础, 有助于抵御网上的身份伪装与偷窃, 而采用可以提供认证和完整性安全特性的DNS安全扩展协议, 能进一步增强目前针对DNS新的攻击方式的防护, 例如“网络钓鱼”攻击“、DNS中毒”攻击等, 这些攻击会控制DNS服务器, 将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。

灵活的扩展报头。一个完整的IPv6 的数据包可包括多种扩展报头, 例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6 扩展应用领域奠定了基础, 同时也为安全性提供了保障。

防止网络扫描与病毒蠕虫传播。当病毒和蠕虫在感染了一台主机之后, 就开始对其他主机进行随机扫描, 在扫描到其他有漏洞的主机后, 会把病毒传染给该主机。这种传播方式的传播速度在IPv4 环境下非常迅速 (如Nimdar病毒在4~5 分钟内可以感染上百万台计算机) 。但这种传播方式因为IPv6 的地址空间的巨大变得不适用了, 病毒及网络蠕虫在IPv6 的网络中传播将会变得很困难。

防止网络放大攻击。ICMPv6 在设计上不会响应组播地址和广播地址的消息, 不存在广播, 所以, 只需要在网络边缘过滤组播数据包, 即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

防止碎片攻击。IPv6 认为MTU小于1280 字节的数据包是非法的, 处理时会丢弃MTU小于1280 字节的数据包 (除非它是最后一个包) , 这有助于防止碎片攻击。

3 IPv6 仍存在的安全问题

由于传统的IPv4 向IPv6 过渡仍需要一段时间, 在IPv6 网络完全建成之前, 甚至是IPv6 正式大规模投入实际应用之后, 仍有许多安全方面的问题需要解决。

Ipv6 和IPv4 网络一样, 同样需要防火墙、入侵检测系统、病毒防护等软件及硬件设备。由于IPv6 对IPv4 向下兼容, 原有针对IPv4 的网络安全产品不能在下一代互联网中直接使用, 整个网络中用于通讯路由和安全检测的软硬件产品都将被迫升级, 以实现对IPv6 的支持。以防火墙为例, IPv6 防火墙用来保护网络不受来自网络层和传输层的攻击。在IPv4 当中, 防火墙的过滤机制是IP地址和端口号为基础, 根据既定规则禁止或允许针对某些特定端口或者IP地址的链接访问。因为在IPv4 当中, TCP包是封装在IP数据报内部的, 防火墙工作的时候只需要将IP、端口从相应的数据字段内剥离出来即可, 相对较为简单。而在IPv6 当中, 扩展报头存在于IP基本报头和TCP报头之间, 而这对防火墙过滤模块寻找IP地址和端口信息在一定程度上带来了不便。另外, 由于IPv6 集成了IPSec, 网络数据进行了完全的加密, 如何解析和过滤经过加密的网络数据将会给IPv6 防火墙带来更加巨大的挑战。

此外, 在IPv4 向IPv6 过渡的过程中, 还存在一个重要的安全问题, 即无论是采用双栈模式还是隧道模式, IPv4 和IPv6 并存时期的兼容问题可能会带来一些安全隐患。以隧道模式为例, 在隧道端点一般在接收到封装的数据包后, 先进行解包, 然后再交给系统中其他的数据转发机制进行处理。IPv4 网络中的攻击者可向隧道端点发送伪造的地址信息, 进而躲避追踪、利用源地址伪造进行反射拒绝服务攻击等。

总之, IPv6作为下一代互联网协议, 由于其本身是从IPv4发展而来的, TTL和数据分片等的保留使我们仍能看到一些上一版本的一些结构特点;IPv6协议虽然集成了IPSec安全协议, 但IPSec所依赖的PKI目前还没有形成完善的规范和标准, 且在大量的通讯过程中因为频繁的加密解密操作而需要消耗一定的CPU资源, 而黑客如果在通讯过程中将数量巨大且貌似正常数据送往服务器进行解密, 使得服务器的CPU资源被大量消耗, 最终导致服务器无法相应, 造成拒绝服务。因此, IPv6虽然蓬勃发展, 但仍有一些问题有待进一步解决和深入研究。但是, 更加高速、安全、稳定的下一代互联网已经与我们近在咫尺, 互联网的发展前景仍将势不可挡。

参考文献

基于IPv6网络安全研究 第9篇

随着现在网络的飞速发展,网络技术的不断进步,网络人数的成指数的增加,IPv4地址的数量将会不足。这时就出现了IPv6协议。它以其地址寻址空间庞大、安全机制增强等等优点,成为国内外下一代网络发展的趋势及其研究热点。IPv6网络环境下,对协议本身进行了安全性改进,采用层次化地址结构,基本报文头长度固定等等,提升了网络的安全性,也为新的应用提供了便利,促进了更好的开展新的安全业务和应用。但是IPv6也存在一些未解决的问题,IPv6安全协议造成削弱,给互联网安全带来隐患,海量的IPv6地址自动设置造成网络寻址的复杂性等问题。

2. IPv6的特点

IPv6不同于IPv4,它能为许多其它的设备服务。因此,从长远来看,IPv6有利于互联网的持续和长久发展。

与IPv4相比,IPv6有多种特点,请见表1。

3. IPv6环境下的网络安全优势

IPv6强制实施了标准化的因特网安全协议IPSec。因为采用了IPSec保证,使得IPv6在网络安全方面有很多优势。提升了业务和应用的安全性,保证了端到端的安全。采用因特网安全协议IPSec对报文进行封装,中间路由器对其封装的报文进行透明传递,保证了网络端到端的安全性。

1)避免了IPv4存在的一些攻击。通过在中间设备上禁止分片、不允许重叠分片等机制,有效防范了如IP碎片包的攻击;具有IPv6组播目的地址和链路层组播地址的数据包产生ICMPv6消息,避免了如广播风暴的产生;因为庞大的IPv6地址数量,实施扫描攻击非常困难。

2)可以构建安全的虚拟专用网络。通过IPv6的IPSec隧道实现的虚拟专用网络更加安全。基于IPSec网关路由器实际上是IPSec隧道的终点和起点,为了满足转发性能要求,路由器需要设置专用加密板卡。

3)提高了内部网络的保密性。当网络内部端口需要和网络上的主机进行交互时,我们可以配置IPSec网关实现网络内部的安全。这是因为被IPSec封装的IPV6报文不能被中间路由器解析处理,只能被目的主机进行处理。

4. IPv6网络安全风险

IPv6解决和缓解了IPv4网络环境下存在的一部分安全隐患,但IPv6本身也将带来一些新的安全隐患,原有的IPv4下的一些安全问题在IPv6环境中依然存在,而随着IPv6协议新技术的引查询攻击工具服务器端数据库,调用相应的攻击脚本工具,对目标系统发起对应的网络攻击,并将攻击检测结果传回客户端。

5.1 服务器端实现

Socket通信的服务器端一般要经过Socket的创建、绑定端口、监听等待、建立连接、发送和接收数据几个步骤:

1)创建Socket,函数socket()为网络通信做基本的准备,建立套接字;

2)端口绑定,建立完套接字后,需要将返回的套接字与本机上的端口相关联,以便在该端口监听服务请求;

3)监听等待,当套接字与端口捆绑后就需要对其端口进行监听,函数listen()监听服务请求,将bind的文件描述符变为监听套接;

4)接受,监听模式启动后,如果有服务请求,就需要函数accept()进行接收设置;

5)发送连接请求,connect()函数是客户端用来同服务端连接的;

6)数据发送与接收,采用TCP/IP方式是用send()和recv(),这两个函数返回实际发送或者接收的字节数目;采用UDP方式进行传输使用sentto()和recvfrom();

7)结束,当所有的数据传输接收以后,可以调用close()函数来释放该socket套接字,从而停止在该socket上的任何操作。

IPv6 socket通信服务器端的主要代码如下:

5.2 客户端的设计与实现

客户端的实现和服务器端有些不同。首先也是建立连接,将用户的攻击任务组织成NEWATTACK消息发给服务器端,攻击随即展开;接收服务器端传回来的攻击结果信息(Info消息),生成攻击结果报表,用户可以随时通过任务树调看;用户完成所有攻击任务,断开与服务器端的连接,同时关闭服务器端。

6. 总结

综上所述,我们看到了IPv6取代IPv4的必然性,IPv在网络安全中的优势,但是在IPv6下并不是网络就绝对安全,依旧存在某些新旧网络安全隐患。我们在从IPv4过渡到IPv6的过程中,要先做好更充足的准备来应对可能发生的网络安全问题。

摘要：随着网络人数的不断增加,IPv6取代IPv4只是时间的问题,我们首先介绍了IPv6优于IPv4的特点,它之所以成为下一代网络发展的必然趋势的原因。其次介绍了在IPv6下,网络安全比现在存在哪些优势和技术,从而也带来了哪些新的安全隐患。最后我们举例说明在IPv6下如何实现网络入侵的流程。

关键词：IPv6,网络安全,网络攻击

参考文献

[1]吴明宇.基于IPV6协议的网络安全研究[J].2010(3).

[2]张秀爱.IPv6安全机制的研究[J].通信技术,2009(7).

[3]黄晓博.IPv6下网络攻击平台的研究与实现[J].2009.01.

[4]张俊.浅析IPv6的安全性.网络安全技术与应用,2005.10:44-46.

[5]蒋建春,冯登国.网络入侵检测原理与技术.北京:国防工业出版社,2001.

基于IPV6的信息安全问题 第10篇

现有的互联网是在IPv4协议的基础上运行, 而随着IPv4地址的耗尽, 下一代网络协议IPv6开始逐步进入市场IPv6是下一版本的互联网协议, 为了扩大地址空间, IPv6重新定义地址空间, 采用128位地址长度, 几乎可以不受限制地提供地址。在IPv6的设计过程中除了一劳永逸地解决地址短缺问题以外, 还考虑了在IPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面:扩大地址空间、提高网络的整体吞吐量、改善服务质量 (Qo S) 、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。IPv6为大多数互联网参与者展示了新的疆界, 它的出现也将带来一些独特的安全挑战。

2 网络安全性的定义

对于安全性, 可以定义如下三个公认的目标: (1) 身份验证:能够可靠地确定接收到的数据与发送的数据一致, 并且确保发送该数据的实体与其所宣称的身份一致。 (2) 完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改。 (3) 机密性:确保数据只能为预期的接收者使用或读出, 而不能为其他任何实体使用或读出。完整性和身份验证经常密切相关, 而机密性有时使用公共密钥加密来实现, 这样也有助于对源端进行身份验证。

3 IPV6的安全问题

目前, 病毒和互联网蠕虫是最让人头痛的网络攻击, 当病毒和蠕虫在感染了一台主机之后, 就开始对其他主机进行随机扫描, 在扫描到其他有漏洞的主机后, 会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速, 但这种传播方式再IPv6中就不再实用了, 因为IPv6的地址空间太大, 对IPv6网络进行类似IPv4的按照IP地址段进行网络侦查已变成不可能, 所以在IPv6的世界里, 病毒和互联网蠕虫的传播将变得非常困难。

此外IPv6最大的优势在于保证端到端的安全, 可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT, 允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接, 都会在两端主机上对数据包进行IPSec封装, 中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输, 通过对通信端的验证和对数据的加密保护, 使得敏感数据可以在IPv6网络上安全地传递, 因此, 无需针对特别的网络应用部署应用层网关, 就可保证端到端的网络透明性, 有利于提高网络服务速度。

和IPv4相比, IPv6在设计之初, 就对安全问题做出了更多的考虑, 借助IPSec, IPv6的安全性能确实得以改善。但是IPv4和IPv6协议在结构上具有相似性。IPv6其实就是在IPv4的基础上增加了地址长度, 修复并增加了更为复杂的标头和一些额外的协议。IPv6不会让网络层发生任何改变, TCP和UDP没有被改变, 运行在IPv6上的协议也和IPv4上的无异。唯一的区别是网络层和传输层之间衔接。而且IPv6使用的IPSec技术, 只是网络层协议, 只负责网络层及其下层的网络安全, 而对于传输层和应用层等上层来说, IPSec不负责其安全性。但是下一代网络的主要特性就是开放式接口大量使用.网络应用、速度和规模都在原来的基础上爆破式增长。显而易见, 任何针对应用层, 如WEB服务器, 数据库服务器等的攻击都将仍然有效。而且虽然IPv6提供了IPSEC最为保护报文的工具, 但由于公匙和密匙的问题, 在没有配置IPSEC的情况下, 偷看IPv6报文仍然是可能的。不论在IPv4还是在IPv6的网络中, 向被攻击的主机发布大量的网络流量的攻击将是会一直存在的, 虽然在IPv6网络中, 追溯攻击源头要比再IPv4中容易一些。

4 改进建议

对于物理层的安全隐患, 可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。对于物理层以上层面的安全隐患, 可以采用以下防护手段:通过诸如AAA、TACACS+、RADIUS等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击;通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层网络的攻击;通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。路由器和交换机对IPSec的完善支持保证了网络数据和信息内容的有效性、一致性以及完整性, 并且为网络安全提供了诸多解决办法。

5 总结

IPV6是一个建立可靠的、可管理的、安全和高效的IP网络的长期解决方案。尽管IPV6的普及应用之日还需耐心等待, 不过, 了解和研究IPV6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案, 对于制定企业网络的长期发展计划, 规划网络应用的未来发展方向, 都是十分有益的。只有通过不断地学习、改进和提高, 掌握最新的安全问题知识, 再加上完善有效的安全策略, 才可以阻止大部分的网络破坏。这样才能确保未来的网络能够安全与稳定地发展下去。

参考文献

[1]蔡皖东.网络与信息安全[M], 西北工业大学出版社, 2004.[1]蔡皖东.网络与信息安全[M], 西北工业大学出版社, 2004.

[2]王相林.IPv6技术—新一代网络技术[M], 机械工业出版社, 2008.[2]王相林.IPv6技术—新一代网络技术[M], 机械工业出版社, 2008.

[3]高福令, 陈福.IP安全技术—世界电信[J], 2001 (8) .[3]高福令, 陈福.IP安全技术—世界电信[J], 2001 (8) .

[4] (美) Pete Ldshin著.《IPv6详解》, 北京:机械工业出版社, 2000年4月1日.[4] (美) Pete Ldshin著.《IPv6详解》, 北京:机械工业出版社, 2000年4月1日.

应用感知平稳过渡IPv6 第11篇

“IPv6要想真正产业化，目前还存在两点不足。首先，部署经验较为欠缺；其次，投入产出比不好评估。”李庆说，首先将IPv6成规模应用起来的是一些跨国企业。跨国企业分布在世界各地的分支机构众多，各个区域和国家的IT环境不尽相同，因此，企业的部分分支机构会在一个片区内根据自身条件，首先进行IPv6的部署。这种对IPv6的“尝鲜”一旦成功，跨国企业就会在其全球范围内的分支机构进行推广。

实践证明，在企业内网中部署IPv6，为这些跨国企业带来了更好的端到端安全、更便捷的移动办公体验以及更加丰富的应用。不过，由于IPv6在广域网应用上的“乏力”，即使企业的内网已经“IPv6就绪”，但是在连入广域网时依然需要进行协议过渡。

李庆认为，现有以隧道、翻译为代表的IPv4/IPv6过渡技术并不完善。首先，这些技术从设计初期即是以基础设施为立足点，而不是以应用为前提；其次，这些传统过渡技术的部署不仅复杂而且容易产生安全问题；最后，目前还比较欠缺针对这些过渡技术的IPv6安全网关和广域网优化解决方案。

正是在此背景下，李庆介绍了Blue Coat在协议过渡方面的解决方案。他表示，Blue Coat的解决方案并不属于隧道、翻译或者双栈等传统技术范畴，而是采用了反向代理的方式。其IPv6解决方案主要关注应用与服务，包括对各种网络传输协议以及内容检索的支持。这样一来，使得用户可以在协议转换过程中享受到同IPv4时代一样便利的应用。

基于IPv6的网络安全研究 第12篇

当代, 全球互联网高度发展, 由于通信和网络的日趋融合, 基于IPv4网络地址编码方式已于2011年1月正式宣告枯竭。那么, IPv6成为能顺利解决地址耗尽问题的最好方法。将IPv4向IPv6转换成功的情况下, 全世界所有的终端都能够拥有一个IP地址。

IPv6是下一版本的互联网地址编码方法, 最初它的提出是由于随着互联网的高速发展, IPv4定义的有限地址将不能够满足需要, 而地址空间的短缺一定妨碍互联网的进一步发展。所以, IPv6采用128位地址长度, 可以不受限制地极大量提供IP地址, 从而确保未来端到端连接发展的需要。

除了地址分配具有优势, IPv6还在高服务质量、整体吞吐量等享有优势, 但在安全接入方面并非得到显著提高。IPv6对于网络安全性没有质的飞跃, IPv6与IPv4也有同样的安全问题。

2 IPSec安全协议体系

2.1 IPSec的体系结构

在IPv6中, IPSec安全协议是一个协议族, 主要包括:认证头 (AH) 、封装安全载荷 (ESP) 、密钥交换 (IKE) 等四部分。它提供的安全服务包括有:无连接数据完整检查, 身份验证, 数据内容的安全性保证, 有限数据流安全性保证以及抗重播保护。IPSec协议的体系结构可以参考图1所示。

2.2 认证头协议

认证头 (AH) 使用在为数据原始验证、提供数据完成性和部分有限的可选的抗重播服务。认证头定义了对数据所实施的安全保护的方法、头位置、输入和输出处理规则和身份验证的覆盖范围, 但是不提供所用的身份验证算法进行具体定义。认证头 (AH) 有两种工作模式, 即隧道模式和传输模式。隧道模式是对整个IP数据提供认证保护, 而传输模式只对传输层数据和IP头中的固定字段提供认证保护, 主要适合于主机实现。

2.3 封装安全载荷协议

封装安全载荷 (ESP) 提供数据源验证、机密性、数据完整性以及抗重播等多重安全服务。封装安全载荷的格式是灵活的, 根据不同的加密算法而各自不同, 但起始处必须是安全参数索引, 以便定义密钥的生存周期, 加密算法等。封装安全载荷有两种加密模式, 即隧道模式、传输模式。隧道模式对整个IP分组进行加密, 该模式包含有足够路由信息的IP头封装, 从而方便中间结点的识别, 该方式适用于设置有防火墙或有其他类型安全网关的结构体系。传输模式只对传输层数据加密, 各种扩展头以是用明文传输, 该方式适用于端到端的加密。

2.4 密钥交换协议

密钥交换协议主要是作用在密钥交换, 它包括加密算法、协议和密钥协商算法。采用密钥交换协议 (IKE) 一般包括两个阶段:协商创建通信信道和建立“主模式”。密钥交换协议所交互的消息都是以请求和响应的方式成对出现。在协商创建通信信道消息中协商了加密算法, 进行D-H交换和Nonce交换。建立“主模式”阶段通过多交互消息, 实现了EAP-SIM认证过程。

3 安全性问题

跟比较IPv4, 新一版本的网络协议在网络的安全性方面提升显著, 但是IPv6的安全技术仍然存在部分问题, 亟待解决。

IPv6使用的IPSec技术, 但这只是网络层协议, 只负责网络层及其以下的层网络安全, 而对于传输层和应用层等上层来IPSec不负责其安全性。但是下一代网络的主要特性就是开放式接口大量使用, 网络应用、速度和规模都在原来的基础上爆破式增长。一方面既存的IPv4中的各种安全性问题, 例如基于应用层的攻击方式、中间人攻击以及蠕虫病毒、木马病毒, 在新一版本的网络协议中没有解决。他们的原理没有变化, 因此即使采用了IPSec技术也很难解决攻击者对网络进行的破坏性攻击问题。同时, 新一版本的网络协议应用也会产生许多新的安全性问题, 如扫描、恶意移动主机的非授权访问本地网络、扩展头和分段信息的修改等。另一方面新一版本的网络协议技术不可能马上完全取代IPv4, 两种版本网络协议将会共存很长的一段时间, 这将增加网络的复杂性, 并且可能出现不为人知的新型攻击方式。

4 结束语

对于网络发展的速度而言, 安全性研究是与其存在并存的。虽然新的技术暂时解决了目前的安全隐患, 但新一轮的安全问题又会产生。只有不断地改进、提高, 才能确保网络的安全稳定。

摘要：随着网络技术的发展, 现有的IPV4地址已枯竭。面对应运而生的IPv6, 在网络安全方面, IPv6在IPv4的基础上作了很多改进, 但是并不能说IPv6是完全安全性。该文着重研究IPv6在网络安全方面的特性。

关键词：网络安全,IPSec,IPv6

参考文献

[1]吉顺如.IPv6-IPSec在企业VPN网络中的应用研究[J].武汉理工大学学报, 2008 (2) .

[2]曹文波, 蒋天发.IPv6安全协议IPsec分析[J].电脑与信息技术, 2006 (8) :27-30.