基于IPv6环境下网络安全关键技术探究.docVIP

基于IPv6环境下网络安全关键技术探究 　　摘要：随着产业互联网、物联网、互联网+、云计算、大数据等以互联网为基础的信息技术的发展，所需IP地址的数量也随之增加。IP地址的资源缺乏，将严重制约互联和网的应用和发展，而IPv6（Internet Protocol Version 6）作为下一个版本的互联网协议能解决IPv4网络地址资源不足的问题。然而，IPv6在一段时期内要和IPv4共存，必定会产生一些新的网络安全问题，再加上IPv6中新性能的添加，网络管理的复杂度也会随之加大。因此，研究基于IPv6的网络安全关键技术具有重要的现实意义 关键词：IPv6；网络安全；关键技术 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）34-0047-02 1 IPv6相比IPv4的优势 首先，IPv6将IP地址从32位增加到128位，地址数约是IPV4的1028倍。第二，IPv4得包头有13个域，IPv6得包头缩减为8个域。数据包包头选项更少了，从而加快了路由器的择址速度。第三，IPv6支持更丰富的选项。各选项现在以独立头的形式存在，而不是作为IP头的选项，这显得更灵活，允许路由器忽略那些与他们无关的头，使包的处理速度更快[3]。第四，内置的安全性。IPv6协议强制使用IP安全（IP Security ，IPSec）这就为网络安全性提供了一种基于标准的解决方案，并且提高了不同IPv6实现方案之间的互操作性。第五，IPv6提供了一些新的功能，当发送方需要对一些数据流进行特殊处理，比如一些非默认服务质量（QoS）的处理，可以标记这些数据流的包，更好的支持服务质量。第六，IPv6的可扩展性，以支持认证、数据完整性以及数据机密性等[1] 2 IPv6安全机制 由于IPv4本身没有提供有效的安全机制，黑客往往通过软件漏洞、内部植入威胁、逻辑炸弹、特洛伊木马等手段改变整个报文，使得用户数据遭到各种各样的攻击。要解决网络的安全问题，必须首先解决IP的安全问题。1995年互联网工程任务组决定开始研究用于保护网络安全通信的体系结构，即IPsec（网络安全体系结构）。IPSec是IPv6的一个组成部分，它是一个开发功能是协议的基本框架，用以保证IP网络上数据通信的安全性 2.1 IPSec基本结构 IPSec中最主要的两个部分：鉴别首部AH，用来鉴别源点和检查数据完整性，但不能必威体育官网网址。封装安全载荷（ESP），它比AH复杂得多，不仅具备AH的功能，还能够提供必威体育官网网址功能。同时对数据的传输规定了2种模式：传输模式和隧道模式[2]，如图1所示： 2.2安全关联 安全关联（SA，Security Association）的概念是IPSec的基础。是通信双方对某些要素的一种协定，用户保护它们之间的数据流密钥的生存期。实现IPSec数据完整性的认证头（AH，Authentication Header）和用来实现数据的机密性的封装安全载荷（ESP，Encapsulating Secutity Payload）均使用SA 2.3 安全策略数据库（SPD） 数据包怎样或按照什么要的规则安全的流入和流出，这就是我们所说的安全策略。而IPSec中?⑺?有的安全策略都存放在一起，就形成了安全策略数据库。在对数据包进行处理的过程中，需要根据“选择符”在此数据库中一一检索，最终找到这个数据包所需要的安全服务。对于一个数据库，必定少不了谈到它的管理功能，包括策略的新建、删除和修改。当然怎么样管理安全策略，还要根据IPSec真实的处理过程 2.4安全关联数据库（SADB） 简单地说，安全关联数据库就是用来存放安全关联（SA）。在数据包流入或流出过程中，都会创建一个适当的SA，存放在数据库中，且不能与其他SA重复。SA是单向的，也就是说，数据包的流入和流出都需要建立单独的SA。正因为它单向来的，所以它的结构也非常简单。比如：Host A通过Internet给Host B发送数据，采用封装安全载荷（ESP）进行安全传输。这时Host A建立一个SA，用于处理数据包的流出；由于SA是单向的，Host B还需要建立一个用于处理数据包的流入的SA。在此过程中所产生的密码算法、密钥等参数由两个单向的SA共同享有 2.5认证头（AH） 认证头（AH），作为一种网络协议，只能确保数据包在传输过程中没有被篡改，且数据包一个新的而非重放的包，不定义任何加密算法。AH在数据包中的位置，取决于采用哪种传输模式：传输模式（如图2）和隧道模式（如图3）。在传输模式中，AH用于保护上一层传输层TCP或UDP协议，确保两个独立主机通信的安全性，也有一定的局限，比如Host A和Host B之间要进行通信，可是在In