基于IPV6 的新一代安全网络的改进

2012-12-07 07:04关天柱吕振雷
黄河水利职业技术学院学报 2012年3期
关键词:双栈报头路由器

关天柱,吕振雷

(黄河水利职业技术学院,河南 开封 475004)

0 引言

随着互联网的发展,网络用户急剧增加,IPV4 已经不能够提供足够多的地址来满足需求。 在此背景下,IETF 任务组设计出了IPV6。 IPV6 的出现能够有效解决网络方面的许多问题,而且在体系结构方面也有所改进。 IPV6 的优势主要体现在两个方面:第一个是IPV6 的地址空间有了很大程度的扩充,并加入了分层地址聚类的功能化配置管理工作,这一优势对于网络连接的终端用户服务而言是十分有用的; 第二个是IPV6 给出了新一代安全网络的研究方向,可以为网络安全技术的扩展应用提供良好的支撑平台。

目前,IPV6 作为新一代的网络协议,已经得到了众多应用领域的认可,相信在不久的将来,互联网的发展将离不开IPV6 的支持。 本文试针对IPV6协议,详细探讨新一代网络安全方面的改进技术,希望能为IPV6 的应用提供技术上的参考。

1 IPV6 报头形式的优化和地址长度的变化

1.1 IPV6 报头形式的优化

IPV4 的核心问题在于提供的地址资源有限,严重影响了互联网的进一步拓展。 IPV6 的地址容量能够达到2 128 个,可以很好地缓解网络IP 地址的紧张状况。IPV6 报头的总长度达到了40 个字节,是IPV4 长度的两倍之多。其大部分字段主要用以描述地址,一小部分字段用以描述报头信息。 描述的报头信息涉及:version(版本)、Traffic Class(流量类别)、Flow Label(流标签)、Payload Length(有效载荷长度)以及Next Header(下一报头)等。

对于扩展报头,IPV6 在IPV4 的基础上进行了优化,它将原来位于报头内的可选字段均提取至报头外的扩展报头内,其扩展报头不参与路由器的遍历操作。 IPV6 中的几种常见扩展报头为:

(1)目的地选项。 该报头主要是为了让路由器明确数据包的接收方。 (2)Hop-by-Hop 选项报头。IPV6 网络中的每个分组都包含该选项报头,其中,选项类型为0 的字段是负责字节的填充。 若字节达到了2 个以上,则可以使用PadN 进行填充。(3)ESP协议报头。 该报头主要完成数据的加密处理,从而保证数据的安全性。

1.2 IPV6 地址长度的变化

与IPV4 32 位的地址长度不同,IPV6 规定的地址长度为128 位。 将地址长度进行扩展,可以取得两个方面的好处。 一方面,可以将地址进行细分,从而能更好地与拓扑路由域的层次结构相对应。 另一方面,能够映射出网络适配器的地址。 IPV6 的寻址可以在网络接口层完成,并具备自动配置的功能。

以单播地址为例,IPV6 将地址分成两部分,即:地址前缀和接口标识符。 由于单播地址主要用于单个接口的标记,所以根据地址接收到的数据包还需传发到与标记对应的接口。 单播地址涉及链路/本地、站点/本地以及全局IPV6 地址3 个类型。

2 IPV6 网络的安全改进分析

2.1 IPV6 网络的安全技术挑战

在信息化高速发展的今天,各行各业都离不开网络。 但是,网络给人们带来方便的同时,也引发了诸多问题,安全性是其中一个较为突出的问题。 大多数网络攻击都与网络协议 (特别是TCP/IP 等协议)有着密切关联。 目前,国内外不少专家都在对IPV6 协议进行深入分析,但对于面向IPV6 的互联网而言,有效解决网络攻击问题的任务还很艰巨。 大家对于基于IPV6 安全网络所面临的技术挑战还是有共识的,主要集中在网络扩展性和安全性等方面[1]。 由于IPV6 与IPV4 网络将会长期共存,网络会同时存在两者的安全问题或产生新的漏洞。 例如:使用IPV6 非法访问了同时采用IPV4 和IPV6 两种协议的局域网资源,通过使用安装了双栈的IPV6主机,可以建立由IPV6 到IPV4 的隧道,从而绕过防火墙,对IPV4 进行攻击。 与IPV4 网络相同,IPV6网络也需要防火墙、漏洞扫描、网络过滤、防病毒网关等网络安全设备,基于IPV6 环境的病毒已经出现,这方面的安全技术也将面临挑战。

2.2 IPV6 的主要的过滤技术

IPV6 主要是针对IPV4 地址不足问题提出的,同时也对路由以及自动配置方面进行了优化。 IPV4与IPV6 共存一段时期后,IPV6 最终将会代替IPV4。 IPV6 涉及的主要过滤技术有隧道技术和双栈技术[2]。

(1)隧道技术。IPV4 网络中就存在隧道技术,而且应用广泛。 基于IPV6 网络的隧道技术的实现原理是:根据IPV6 协议的规定,对需要进行传递的网络数据包进行封装,并转换成IPV4 格式数据包(因为现有大部分网络设备为IPV4 设备),当目的端接收到IPV4 数据包后,再进行格式转换,并进行解封装操作。 隧道技术对于网络设置的要求不高,传输状态也比较平稳。 隧道接口内的初始化操作主要是由驱动程序完成的,若链路是点对点的模式,且目的端地址已经明确,那就可以直接建立路由,使参数直接通过用户进行传送。 需要明确的是,传送后的参数应保存在变量pri 中。具体初始化数据如表1所示。

表1 IPV6 隧道技术初始化数据表Table 1 IPV6 tunnel technique initialization data

(2)双栈技术。 双栈技术指在一个系统(一台主机或一台路由器) 中同时使用IPV6、IPV4 两个可以并行工作的协议栈。IPV6 网络中的设备只要能够支持双栈技术,就能解决很多数据传输问题,尤其是针对IPV4 与IPV6 共存的特殊网络环境,效果更明显。 该技术起到很好的临时过滤作用,直到整个网络都是IPV6 隧道,但该技术在硬件实现方面存在一些难度。

2.3 ESP(封装安全负载)封装协议的架构技术

由于IPV4 协议中的部分约束条件本身就可能会引发一些安全问题,IPV6 在IPV4 的基础上进行了协议改进。 如:IPV4 链路上多个端口进行消息发送请求时,可能引发拥塞现象。 针对该现象,IPV6采取随机延时的方式进行缓解。 另外,IPV6 网络中路由器系统的缺省状态对传输单元以及自动配置消息中的头部进行了明确认证,并通过ESP(封装安全负载)进行了封装。 用户可以通过网络管理终端对目的端口、源端口以及协议报文等进行加密和认证。 其封装协议架构如图1 所示。

图1 IPV6 网络的封装协议架构示意图Fig. 1 IPV6 network packaging protocol framework

ESP(封装安全负载)是IPsec 体系结构中的一种主要协议,其主要作用是在IPV4 和IPV6 中提供安全服务的混合应用。 ESP 通过加密需要保护的数据以及在IPsec ESP 数据部分放置这些加密的数据来提供机密性和完整性。 根据用户的安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密整个的IP 数据报。

对于ESP 封装协议的网络架构,通常采用的安全网络组建方法是:在路由器间建立IPSec 安全隧道。为满足转发性能的要求,可以考虑加入专用的加密板卡,在路由器间建立了IPSec 安全隧道[3]。

3 结语

总之,随着互联网的发展,IPV6 取代IPV4 势在必行。 但是,由IPV4 过渡到IPV6 还需要一段较长的时间。 因此,怎样保证过滤的平稳以及安全性是我们急需考虑并解决的问题。 本文采用隧道技术、双栈技术进行设备的初始化以及数据包的转发,并基于ESP 进行协议封装构架,可以促进IPV6 网络的发展,并提供较好的安全性[4]。

[1] 卡斌.IPV6 的安全协议及安全问题[J].信息安全与通信保密,2010(1):50-52.

[2] 陈海涛,胡华平,徐传福,等.动态网络安全的框架模型[J].国防科技大学学报,2009(25):60-63.

[3] 苏晓. 浅析IPv6 的安全机制对现有网络安全体系的影响[J]. 通信电源技术,2010(4):40-41.

[4] 王艳华,左明. 基于IPv6 的互联网安全问题探讨[J]. 网络安全技术与应用, 2011(2):39-43.

猜你喜欢
双栈报头路由器
买千兆路由器看接口参数
维持生命
路由器每天都要关
城市党报报头:政治与艺术的平衡
无线路由器的保养方法
浅析IPv6网络演进及其部署方案
淡妆浓抹总相宜
——对中国晚报报头变化的研究与欣赏
IP语音报头压缩设计与实现
IPv4到IPv6演进技术及策略探讨
IPv4和IPv6双栈计费流程分析