维普资讯 http://www.cqvip.com 本栏目责任编辑:冯蕾 ・・・・・・网络通讯及安全・ IPv6与IPv4网络安全分析 张连环.朱晓飞 (91065教研部,辽宁葫芦岛125001) 摘要:本文首先对IPv4和IPv6进行了概要介绍,描述了IPv4的缺点和IPv6的优点。然后对IPv4的安全缺陷进行了分析,探讨了 IPv6对这些缺陷的改进方法,最后对IPv6的安全问题也进行了分析。 关键词:IPv4;IPv6;网络安全;分析 中圈分类号:TP393 文献标识码:A 文章编号:1009—3044(2008)16—21207—01 The Analysis of I1%6 and I1%4 Network Security ZHANG Lian—huan,ZHU Xiao—fei (91065 Army,Huludao 125001,China) Abstract:This article first make a summary of IPv4 and IPv6,discussed the shortcomings of IPv4 and IPv6 advantages.Then IPv4 security lfaws were analyzed,discussed IPv6 improve on these deficiencies,at the last the IPv6 securiyt issues are also analyzed. Key words:IPv4 and IPv6;network security;analysis 随着网络的繁荣发展,加上最初设计的地址分类方法不合理,造成了今天IP地址极度缺乏的状况。其次,由于它起初主要面向 研究和开发机构,对安全性的考虑不是很充分,而在实现网络商业化的今天,不安全的通信信道带来的网络攻击越来越多,其影响 力也越来越大。IPv4获得的巨大成功反而使得它本身陷入了一个尴尬的境地,此时IPv6的推出成为大势所趋。 1 4与 6概述 第一代互联网美方从60年始,70年代正式进行开发建设,1994年正式投入商业运营,并统一采用TCP/IP协议[1】。 IPV4之所以向IPV6演进,主要是因为IPV4的地址协议出现明显的局限,IP地址已经不能满足需要。IPV4的IP地址大约为40多 亿,但是却存在着严重的分配不均匀问题,其中美国掌握了绝对的控制权,IP地址分配上美国占着绝对的优势。造成了我国的公众 网因IP地址匮乏,被迫大量使用转换地址,严重影响了互联网的正常发展,这就形成了对IPV6的迫切需要。下面对IPV4和IPV6 进行简单介绍: 1.1Ⅱ'、r4 目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前 IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以 联到Internet上。有预测表明,所有IPv4地址将在2005—2010年间分配完毕。另外,由于IPv4采用与网络拓扑结构无关的形式来分 配地址,所以随着连入网络数目的增涨,路由器数目飞速增加,相应的,决定数据传输路由的路由表也就不断增大,路由器在路由表 中查询正确路由的时间就越长。IPv4也缺乏网络服务质量的支持,也没有对移动服务的支持。 1.2Ⅱ'、r6 IPV6设计的初衷就是为了扩大地址空间,拟通过IPv6重新定义地址空间可以满足互联网发展的需要。IPv6采用128位地址长 度,几乎可以不受地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。 在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、 服务质量(Q0s)、安全性、多播、移动性、即插即用等。具体地说,IPv6具有以下优势:①扩展了地址容量,IPv6支持的IP地址长度由原 来的32位扩充到128位;②自动地址分配,使IPv6终端能够快速连接到网络上,无需人工配置,实现了真正的即插即用。③简化了 报头格式,有效减少了路由器及交换机对报头的处理开销;④提高了服务质量,IPv6数据包的格式包含一个8位的业务流类别 (class)和一个新的20位的流标 ̄(Flow Labe1),可以知道数据包的QoS需求,并进行快速的转发;⑤提供了认证和私密性,IPv6将IP 安全性(IPsec)作为自身标准的有机组成部分;⑥支持移动服务、IPv6对于移动性的支持是作为一个必需的协议内嵌在IP协议中的, IPv6的移动性支持取消了异地代理,完全支持路由优化,彻底消除了三角路由问题,并且为移动终端提供了足够的地址资源,使得 移动IP的实际应用成为可能。 2 4的安全分析 在IPv4体系下,网络层几乎是毫无安全性可言的。 f1)IPv4地址分配的不合理性,导致IP地址分布十分零散。这就使得伪造源IP地址进行网络攻击成为可能,攻击者可以任意伪 造源IP地址对目标地址进行攻击。 (下转第1213页) 收稿日期:2008—04—05 作者简介:张连环,(1974一),男,辽宁朝阳人,研究方向:电子通信与对抗;朱晓飞,(1979一),女,辽宁葫芦岛人,研究方向:导航技术 及应用。 维普资讯 http://www.cqvip.com 本栏目责任编辑:冯蕾 ・・・ ・・网络通讯及安全・ 样,实现的复杂度也不一样,如果能根据移动通信信道的具体特性选择恰当的编码与调制的方案,则可以节约通信资源,使得用户 获得更高的信息速率。由于不是调整发射功率,而是调整编码与调制方式来进行信道适应,所以系统中的干扰变化不再那么剧烈。 移动通信发展到今天,已经产生了许多调制与信道编码方案,如果把调制与信道编码联合起来考虑,能够提高通信系统的抗干 扰性能。研究不同移动信道环境下如何选择编码与调制方案,是极具研究价值的。 B3G是一组极有前途的技术,我国已经在3G的研究方面取得了不少理论成果,并且提出了自己的移动通信标准(TD-SCD— MA).与欧洲的WCDMA标准和北美的CDMA2000标准一起,被认为是最有希望成为第三代移动通信世界标准的候选标准。 B3G是一组理论性、系统性很强的技术。在研究的过程中,要全面考虑,既要注意B3G中单个技术的可行性,又要注意它与其它 技术的兼容性,既要考虑B3G中单个技术的最优性,又要考虑B3G的整体最优性。 (上接第1207页) . f2)由于网络中存在的MTU的,因此传送大于该网络MTU的数据包要进行分片,但由此也会带来安全上的漏洞。攻击者只 需要2个UDP分片,即可造成一些操作系统崩溃。 f3)假冒IP地址,即攻击者利用被攻击者的IP地址或者一个根本不存在的地址作为特殊数据包的源地址,通过发送大量数据 包占用被攻击者的资源,造成被攻击者的不正常工作。 3 IPv6安全分析 3.1 IPv6的改进 IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制,实现了网络层的身份认证和数据包的完整性、机密性,增强了网 络层的安全,对于应对网络威胁与攻击,保障网络通信安全成效显著。IPv6的优势具体有以下几点: 3.1.1 IPv6地址资源丰富 IPv6采用128位地址,且地址采用前缀表示法,格式前缀(也称全局路由前缀)是一个IP地址的高位,它用来识别子网或某种特 殊类型的地址。其中,在全球范围内可唯一标识的地址是“可聚类全局单播地址”,它基于一个分层的原则,把128位地址分成6个 部分,第一部分是标识该地址使用的是“可聚类全局单播地址”,第二部分用作保留,再往下依次是“次级聚类标识符”,“站点级聚类 标识符”,最后64位表示接口ID,所以IPv6可以提供的IP地址资源更加丰富。 3.1.2与IPSec有机结合 由于IPv4协议本身没有对数据进行有效保护,无法保证数据的完整性、机密性以及对身份的验证,在网络安全方面存在较大隐 患。因此。在设计IPv6时,协议安全作为一个重要的方面进行考虑,将IP安全体系结构(IPSec)纳入了协议整体之中,成为协议的一 个有机组成部分。数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。IPSee通 过身份验证头(AH)与封装安全性净荷头(ESP1相结合,配合相关的密钥管理机制,IPSec为网络数据和信息内容的有效性、一致性以 及完整性提供了保证。但在实际部署IPv6网络时,由于技术能力不够和现有安全基础设施不足等原因,使得IPv6网络往往没有采 用任何安全措施。而且,其网络传输数据包的基本机制也与IPv4相同,所以现有的IPv6网络并不比IPv4网络安全,这也有待完善。 3.1.3数据认证 IPv6使数据包的接收者可以验证数据的真实性、完整性,还可以与数字签名结合,保证数据的不可抵赖性,使数据在接收端可 得到认证.确保数据的真实可靠。而且,IPv6允许数据传输采用隧道模式和传输模式两种方式,它既可为两个节点间的简单直接的 数据包传送提供身份验证和保护,也可用于对发给安全性网关或由安全性网关发出的整个数据包进行包装,并加入认证信息。 3.1.4数据加密 在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。 3.2 IPv6的安全缺陷 网络安全永远是一个相对概念,也不要指望IPv6能够彻底所有的网络安全问题。 IPv6中仍保留着IPv4的诸多结构特点,如选项分片和1TrL等。这些选项都曾经被黑客用来攻击IPv4节点。而且,目前为止, IPv6中并没有提出新的安全策略——所有使用的安全策略都是在IPv4下已经存在的,因此它无法从根本上解决安全性能的问题 IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此,一些从上层发起的攻击如应用层的缓冲区溢出攻击和 传输层的TCP SYN FLOOD攻击等在IPv6下仍然存在。 IPv6协议本身还有一些问题有待解决,IP网中许多不安全问题主要是管理造成的。由于目前针对IPv6的网管设备和网管软件 几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网 管,无法保障网络高效、安全运行。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上 IPv6环境下的病毒已经出现。这方面的安全技术研发尚需时日。 参考文献: 『11刘斌.浅析IPv4和IPv6.高校实验室工作研究,2006(3). 『21高嵩,贾卓生.关于IPv4及IPv6的安全讨论.计算机与现代化,2006(6). [3】杨碧天,常立夏,詹德新.IPv6安全性能研究.网络安全技术与应用,2008(1). 【41刘世杰,李祥和.IPv6对网络安全的改进.电视技术,2007(2). 『51李超林,赵广.IPv6协议的网络安全分析.计算机与信息技术,2007(16). 『61郝践.IPv6技术的特点及其应用安全等问题分析.计算机与信息技术,2007(19). 1213
