论文部分内容阅读
摘要:本文首先对IPv4和IPv6进行了概要介绍,描述了IPv4的缺点和IPv6的优点。然后对IPv4的安全缺陷进行了分析,探讨了IPv6对这些缺陷的改进方法,最后对IPv6的安全问题也进行了分析。
关键词:IPv4;IPv6;网络安全;分析
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)16-21207-01
The Analysis of IPv6 and IPv4 Network Security
ZHANG Lian-huan, ZHU Xiao-fei
( 91065 Army, Huludao125001,China )
Abstract: This article first make a summary of IPv4 and IPv6 ,discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed, discussed IPv6 improve on these deficiencies, at the last the IPv6 security issues are also analyzed.
Key words: IPv4 and IPv6; network security; analysis
随着网络的繁荣发展,加上最初设计的地址分类方法不合理,造成了今天IP地址极度缺乏的状况。其次,由于它起初主要面向研究和开发机构,对安全性的考虑不是很充分,而在实现网络商业化的今天,不安全的通信信道带来的网络攻击越来越多,其影响力也越来越大。IPv4获得的巨大成功反而使得它本身陷入了一个尴尬的境地,此时IPv6的推出成为大势所趋。
1 IPv4与IPv6概述
第一代互联网美国军方从60年代开始,70年代正式进行开发建设,1994年正式投入商业运营,并统一采用TCP/IP协议[1]。IPV4之所以向IPV6演进,主要是因为IPV4的地址协议出现明显的局限,IP地址已经不能满足需要。IPV4的IP地址大约为40多亿,但是却存在着严重的分配不均匀问题,其中美国掌握了绝对的控制权,IP地址分配上美国占着绝对的优势。造成了我国的公众网因IP地址匮乏,被迫大量使用转换地址,严重影响了互联网的正常发展,这就形成了对IPV6的迫切需要。下面对IPV4和IPV6进行简单介绍:
1.1 IPv4
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。有预测表明,所有IPv4地址将在2005~2010年间分配完毕。另外,由于IPv4采用与网络拓扑结构无关的形式来分配地址,所以随着连入网络数目的增涨,路由器数目飞速增加,相应的,决定数据传输路由的路由表也就不断增大,路由器在路由表中查询正确路由的时间就越长。IPv4也缺乏网络服务质量的支持,也没有对移动服务的支持。
1.2 IPv6
IPV6设计的初衷就是为了扩大地址空间,拟通过IPv6重新定义地址空间可以满足互联网发展的需要。IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。具体地说,IPv6具有以下优势:①扩展了地址容量,IPv6支持的IP地址长度由原来的32位扩充到128位;②自动地址分配,使IPv6终端能够快速连接到网络上,无需人工配置,实现了真正的即插即用。③简化了报头格式,有效减少了路由器及交换机对报头的处理开销;④提高了服务质量,IPv6数据包的格式包含一个8位的业务流类别(Class)和一个新的20位的流标签(Flow Label),可以知道数据包的QoS需求,并进行快速的转发;⑤提供了认证和私密性,IPv6将IP安全性(IPSec)作为自身标准的有机组成部分;⑥支持移动服务,IPv6对于移动性的支持是作为一个必需的协议内嵌在IP协议中的,IPv6的移动性支持取消了异地代理,完全支持路由优化,彻底消除了三角路由问题,并且为移动终端提供了足够的地址资源,使得移动IP的实际应用成为可能。
2 IPv4的安全分析
在IPv4体系下,网络层几乎是毫无安全性可言的。
(1) IPv4地址分配的不合理性,导致IP地址分布十分零散。这就使得伪造源IP地址进行网络攻击成为可能,攻击者可以任意伪造源IP地址对目标地址进行攻击。
(下转第1213页)
(上接第1207页)
(2) 由于网络中存在的MTU的限制,因此传送大于该网络MTU的数据包要进行分片,但由此也会带来安全上的漏洞。攻击者只需要2个UDP分片,即可造成一些操作系统崩溃。
(3) 假冒IP地址,即攻击者利用被攻击者的IP地址或者一个根本不存在的地址作为特殊数据包的源地址,通过发送大量数据包占用被攻击者的资源,造成被攻击者的不正常工作。
3 IPv6安全分析
3.1 IPv6的改进
IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制,实现了网络层的身份认证和数据包的完整性、机密性,增强了网络层的安全,对于应对网络威胁与攻击,保障网络通信安全成效显著。IPv6的优势具体有以下几点:
3.1.1 IPv6地址资源丰富。
IPv6采用128位地址,且地址采用前缀表示法,格式前缀(也称全局路由前缀)是一个IP地址的高位,它用来识别子网或某种特殊类型的地址。其中,在全球范围内可唯一标识的地址是“可聚类全局单播地址”,它基于一个分层的原则,把128位地址分成6个部分,第一部分是标识该地址使用的是“可聚类全局单播地址”,第二部分用作保留,再往下依次是“次级聚类标识符”,“站点级聚类标识符”,最后64位表示接口ID,所以IPv6可以提供的IP地址资源更加丰富。
3.1.2 与IPSec有机结合
由于IPv4协议本身没有对数据进行有效保护,无法保证数据的完整性、机密性以及对身份的验证,在网络安全方面存在较大隐患。因此,在设计IPv6时,协议安全作为一个重要的方面进行考虑,将IP安全体系结构(IPSec)纳入了协议整体之中,成为协议的一个有机组成部分。数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分,IPSec通过身份验证头(AH)与封装安全性净荷头(ESP)相结合,配合相关的密钥管理机制, IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证。但在实际部署IPv6网络时,由于技术能力不够和现有安全基础设施不足等原因,使得IPv6网络往往没有采用任何安全措施。而且,其网络传输数据包的基本机制也与IPv4相同,所以现有的IPv6网络并不比IPv4网络安全,这也有待完善。
3.1.3 数据认证
IPv6使数据包的接收者可以验证数据的真实性、完整性,还可以与数字签名结合,保证数据的不可抵赖性,使数据在接收端可得到认证,确保数据的真实可靠。而且,IPv6允许数据传输采用隧道模式和传输模式两种方式,它既可为两个节点间的简单直接的数据包传送提供身份验证和保护,也可用于对发给安全性网关或由安全性网关发出的整个数据包进行包装,并加入认证信息。
3.1.4 数据加密
在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。
3.2 IPv6的安全缺陷
网络安全永远是一个相对概念,也不要指望IPv6能够彻底所有的网络安全问题。
IPv6中仍保留着IPv4的诸多结构特点,如选项分片和TTL等。这些选项都曾经被黑客用来攻击IPv4节点。而且,目前为止,IPv6中并没有提出新的安全策略——所有使用的安全策略都是在IPv4下已经存在的,因此它无法从根本上解决安全性能的问题。
IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此,一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCP SYN FLOOD攻击等在IPv6下仍然存在。
IPv6协议本身还有一些问题有待解决,IP网中许多不安全问题主要是管理造成的。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,无法保障网络高效、安全运行。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发尚需时日。
参考文献:
[1] 刘斌.浅析IPv4和IPv6.高校实验室工作研究,2006(3).
[2] 高嵩,贾卓生.关于IPv4及IPv6的安全讨论.计算机与现代化,2006(6).
[3] 杨碧天,常立夏,詹德新.IPv6安全性能研究.网络安全技术与应用,2008(1).
[4] 刘世杰,李祥和.IPv6对网络安全的改进.电视技术,2007(2).
[5] 李超林,赵广.IPv6协议的网络安全分析.计算机与信息技术,2007(16).
[6] 郝践.IPv6技术的特点及其应用安全等问题分析.计算机与信息技术,2007(19).
关键词:IPv4;IPv6;网络安全;分析
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)16-21207-01
The Analysis of IPv6 and IPv4 Network Security
ZHANG Lian-huan, ZHU Xiao-fei
( 91065 Army, Huludao125001,China )
Abstract: This article first make a summary of IPv4 and IPv6 ,discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed, discussed IPv6 improve on these deficiencies, at the last the IPv6 security issues are also analyzed.
Key words: IPv4 and IPv6; network security; analysis
随着网络的繁荣发展,加上最初设计的地址分类方法不合理,造成了今天IP地址极度缺乏的状况。其次,由于它起初主要面向研究和开发机构,对安全性的考虑不是很充分,而在实现网络商业化的今天,不安全的通信信道带来的网络攻击越来越多,其影响力也越来越大。IPv4获得的巨大成功反而使得它本身陷入了一个尴尬的境地,此时IPv6的推出成为大势所趋。
1 IPv4与IPv6概述
第一代互联网美国军方从60年代开始,70年代正式进行开发建设,1994年正式投入商业运营,并统一采用TCP/IP协议[1]。IPV4之所以向IPV6演进,主要是因为IPV4的地址协议出现明显的局限,IP地址已经不能满足需要。IPV4的IP地址大约为40多亿,但是却存在着严重的分配不均匀问题,其中美国掌握了绝对的控制权,IP地址分配上美国占着绝对的优势。造成了我国的公众网因IP地址匮乏,被迫大量使用转换地址,严重影响了互联网的正常发展,这就形成了对IPV6的迫切需要。下面对IPV4和IPV6进行简单介绍:
1.1 IPv4
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。有预测表明,所有IPv4地址将在2005~2010年间分配完毕。另外,由于IPv4采用与网络拓扑结构无关的形式来分配地址,所以随着连入网络数目的增涨,路由器数目飞速增加,相应的,决定数据传输路由的路由表也就不断增大,路由器在路由表中查询正确路由的时间就越长。IPv4也缺乏网络服务质量的支持,也没有对移动服务的支持。
1.2 IPv6
IPV6设计的初衷就是为了扩大地址空间,拟通过IPv6重新定义地址空间可以满足互联网发展的需要。IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。具体地说,IPv6具有以下优势:①扩展了地址容量,IPv6支持的IP地址长度由原来的32位扩充到128位;②自动地址分配,使IPv6终端能够快速连接到网络上,无需人工配置,实现了真正的即插即用。③简化了报头格式,有效减少了路由器及交换机对报头的处理开销;④提高了服务质量,IPv6数据包的格式包含一个8位的业务流类别(Class)和一个新的20位的流标签(Flow Label),可以知道数据包的QoS需求,并进行快速的转发;⑤提供了认证和私密性,IPv6将IP安全性(IPSec)作为自身标准的有机组成部分;⑥支持移动服务,IPv6对于移动性的支持是作为一个必需的协议内嵌在IP协议中的,IPv6的移动性支持取消了异地代理,完全支持路由优化,彻底消除了三角路由问题,并且为移动终端提供了足够的地址资源,使得移动IP的实际应用成为可能。
2 IPv4的安全分析
在IPv4体系下,网络层几乎是毫无安全性可言的。
(1) IPv4地址分配的不合理性,导致IP地址分布十分零散。这就使得伪造源IP地址进行网络攻击成为可能,攻击者可以任意伪造源IP地址对目标地址进行攻击。
(下转第1213页)
(上接第1207页)
(2) 由于网络中存在的MTU的限制,因此传送大于该网络MTU的数据包要进行分片,但由此也会带来安全上的漏洞。攻击者只需要2个UDP分片,即可造成一些操作系统崩溃。
(3) 假冒IP地址,即攻击者利用被攻击者的IP地址或者一个根本不存在的地址作为特殊数据包的源地址,通过发送大量数据包占用被攻击者的资源,造成被攻击者的不正常工作。
3 IPv6安全分析
3.1 IPv6的改进
IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制,实现了网络层的身份认证和数据包的完整性、机密性,增强了网络层的安全,对于应对网络威胁与攻击,保障网络通信安全成效显著。IPv6的优势具体有以下几点:
3.1.1 IPv6地址资源丰富。
IPv6采用128位地址,且地址采用前缀表示法,格式前缀(也称全局路由前缀)是一个IP地址的高位,它用来识别子网或某种特殊类型的地址。其中,在全球范围内可唯一标识的地址是“可聚类全局单播地址”,它基于一个分层的原则,把128位地址分成6个部分,第一部分是标识该地址使用的是“可聚类全局单播地址”,第二部分用作保留,再往下依次是“次级聚类标识符”,“站点级聚类标识符”,最后64位表示接口ID,所以IPv6可以提供的IP地址资源更加丰富。
3.1.2 与IPSec有机结合
由于IPv4协议本身没有对数据进行有效保护,无法保证数据的完整性、机密性以及对身份的验证,在网络安全方面存在较大隐患。因此,在设计IPv6时,协议安全作为一个重要的方面进行考虑,将IP安全体系结构(IPSec)纳入了协议整体之中,成为协议的一个有机组成部分。数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分,IPSec通过身份验证头(AH)与封装安全性净荷头(ESP)相结合,配合相关的密钥管理机制, IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证。但在实际部署IPv6网络时,由于技术能力不够和现有安全基础设施不足等原因,使得IPv6网络往往没有采用任何安全措施。而且,其网络传输数据包的基本机制也与IPv4相同,所以现有的IPv6网络并不比IPv4网络安全,这也有待完善。
3.1.3 数据认证
IPv6使数据包的接收者可以验证数据的真实性、完整性,还可以与数字签名结合,保证数据的不可抵赖性,使数据在接收端可得到认证,确保数据的真实可靠。而且,IPv6允许数据传输采用隧道模式和传输模式两种方式,它既可为两个节点间的简单直接的数据包传送提供身份验证和保护,也可用于对发给安全性网关或由安全性网关发出的整个数据包进行包装,并加入认证信息。
3.1.4 数据加密
在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。
3.2 IPv6的安全缺陷
网络安全永远是一个相对概念,也不要指望IPv6能够彻底所有的网络安全问题。
IPv6中仍保留着IPv4的诸多结构特点,如选项分片和TTL等。这些选项都曾经被黑客用来攻击IPv4节点。而且,目前为止,IPv6中并没有提出新的安全策略——所有使用的安全策略都是在IPv4下已经存在的,因此它无法从根本上解决安全性能的问题。
IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此,一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCP SYN FLOOD攻击等在IPv6下仍然存在。
IPv6协议本身还有一些问题有待解决,IP网中许多不安全问题主要是管理造成的。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,无法保障网络高效、安全运行。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发尚需时日。
参考文献:
[1] 刘斌.浅析IPv4和IPv6.高校实验室工作研究,2006(3).
[2] 高嵩,贾卓生.关于IPv4及IPv6的安全讨论.计算机与现代化,2006(6).
[3] 杨碧天,常立夏,詹德新.IPv6安全性能研究.网络安全技术与应用,2008(1).
[4] 刘世杰,李祥和.IPv6对网络安全的改进.电视技术,2007(2).
[5] 李超林,赵广.IPv6协议的网络安全分析.计算机与信息技术,2007(16).
[6] 郝践.IPv6技术的特点及其应用安全等问题分析.计算机与信息技术,2007(19).