IPv6 作为新版IP 协议,不仅很好地解决了目前IP 地址匮乏的问题,而且由于加密和 认证机制 的引入,使其在网络层的机密性、完整性方面有了更好的改进。因此,可以说IPv6 实现了网络层安全。但这种安全不是绝对的,文中对IPv6 的安全特性进行初步探讨,指出IPv6 的广泛应用还有待进一步的深入研究。
1 IPv6 安全机制
1 .1 IPv6 定义
IPv6(Internet Protocol Version 6 )是IETF 设计的用于替代现行版本IPv4 协议的下一代IP 协议。目前的全球因特网所采用的协议族是TCP/IP 协议族,其网络层的协议就是IP,同时也是TCP/IP 协议族的核心协议。随着电子网络技术的发展,计算机将逐渐进入人们的日常生活,我们的生活点滴都将进入Internet,正是在这样的环境下,IPv6 应运而生。
1 .2 IPv6 特点
IPv6 是可以无限制地增加IP网址数量,并且拥有卓越网络安全性能和巨大网址空间等特点的新一代互联网协议。特点表现为:
(1)地址空间巨大:IPv6 地址空间由IPv4 的32位扩大到128 位,地址空间增大了2 的96 次方倍。
(2)地址层次丰富且分配合理:IPv6 的终端管理机构将某一确定的TLA分配给某些骨干网的ISP,然后骨干网ISP 再有选择性地为各个中小ISP 分配NLA,而Internet 用户则从中小ISP 获得单一的IP 地址。
(3)灵活的IP 报文头部格式:IPv6 用固定格式的扩展头部取代了IPv4 中可变长度的选项字段,并且选项部分的出现方式也有所变化。
(4)提高IP 层网络安全性能:IPv6 要求强制实施Internet 网络安全协议IPSec ,并将其标准化。该协议支持验证头协议、封装安全性载荷协议和密钥交换IKE 协议,这3 种协议将是未来因特网的安全标准。
IPv6 除拥有上述特性以外,还具有无状态自动配置、简化报文头部格式、支持多类型服务以及允许协议继续演变等特性。
2 IPv4 协议与IPv6 协议比较
2 .1 IPv6 协议优势
IPv6 协议相对于IPv4 协议优势体现在:一是具有更大的地址空间;二是使用更小的路由表;三是增加了增强的组播(MultICast )支持和对流的支持(FlowControl );四是加入了对自动配置(Auto Configuration)的支持;五是具有更高的安全性。
2 .2 IPv4 与IPv6 表示方法及功能的比较
IPv6 协议是对IPv4 协议的修改和扩充,从根本上解决了IPv4 网络地址枯竭和路由表急剧膨胀等问题。
2 .3 IPv4 与IPv6 的地址类型与分配方式的比较
IP 地址是一种等级地址,IPv4 的32 位地址被分成网络地址和主机地址,其地址分配采用基于类别的方式,主要有三种方式:A、B 和C,以及2 种特殊的网络地址D 和E。IPv6 的地址长度为128 位,IPv6 地址也有3 类,即单播地址、组播地址和泛播地址。与IPv4 采用块状地址分配方式相比,IPv6 协议可根据用户的需要进行层状地址分配。
2 .4 IPv4 与IPv6 的安全策略比较
IPv4 作为一种简单的网络互通协议,存在一系列的安全漏洞,应用程序只能通过自身携带的私有性和认证性操作机制才能完成安全性操作。IPv6 则全面支持IPsec ,这要求提供基于标准的网络安全解决方案,以便满足和提高不同的IPv6 协议实现协同工作能力。IPsec 通过正确使用封装安全性净荷头(ESP)和身份验证头(AH)来实现如下安全*:①访问机制;②无连接的完整性;③数据源身份验证;④对包重放攻击的防御;⑤加密;⑥有限的业务机密性。
3 IPv6 的安全机制与现有网络安全体系
IPv6 的安全机制及其对现有网络安全体系的影响表现在:一方面,网络急剧发展引起IPv4 在资源设计上的有限性凸显,直接引发网络地址不足的危机,并且这个危机正日益呈现加剧趋势;另一方面,出于对安全和信息私密性的考虑,越来越多的商业机构和政府部门不再愿意在不安全的网络上发送他们敏感的信息和进行明文的信息交流,从而导致对加密和认证需求的飞速增长。
3 .1 现行IP 网络的安全性
IPv6 的安全机制对网络层的安全性,有如下三个公认的指标:(1)身份验证;(2)完整性;(3)机密性。完整性和身份验证经常紧密联系,而机密性则经常通过使用公共密钥加密来实现,这样也有助于对源端进行身份验证。除了上述三点以外,为了确保网络安全,还应解决下列威胁网络安全的问题:(1 )拒绝服务攻击;(2)愚弄攻击:即实体传送虚假来源的包。