黨進(jìn)才

【摘 要】隨著Internet的發(fā)展，IPv4協(xié)議的各種問(wèn)題逐漸暴露出來(lái)。本文論述了IPv4的局限性以和IPv6的優(yōu)越性，探討了IPv6的安全機(jī)制的實(shí)現(xiàn)以及IPv6安全技術(shù)的應(yīng)用。

【關(guān)鍵詞】IPv4；IPv6；AH； ESP；IPv6的安全應(yīng)用

1. IP現(xiàn)狀

網(wǎng)際協(xié)議IP是Internet中的關(guān)鍵協(xié)議。1969年美國(guó)國(guó)防部為適應(yīng)核戰(zhàn)爭(zhēng)的通信需要建立了ARPANET實(shí)驗(yàn)網(wǎng)，1973年開(kāi)發(fā)出基于TCP/IP協(xié)議的IPv4原型，其后經(jīng)三次修訂，于1981年9月IETF（Internet Engineering Task Force）公布了IPv4標(biāo)準(zhǔn)規(guī)范RFC791文件。IPv4取得了巨大的成功。但早在1990年TCP/IP專家們就已察覺(jué)出它潛伏著三大危機(jī)。

1.1 地址枯竭

在IP頭標(biāo)中能夠處理的地址數(shù)由IP地址域的長(zhǎng)度決定。IP地址由Internet網(wǎng)絡(luò)信息中心INTERNIC進(jìn)行分配。IPv4的地址域?yàn)?2比特，可提供232（約40億）個(gè)IP地址。但為了便于對(duì)IP地址進(jìn)行管理，同時(shí)還考慮到網(wǎng)絡(luò)的差異很大，有的網(wǎng)絡(luò)擁有很多主機(jī)，而有的網(wǎng)絡(luò)上的主機(jī)則很少。因此Internet的IP地址分為五類，即A類到E類。

1.2 網(wǎng)絡(luò)號(hào)碼匱乏

在IPv4中，A類網(wǎng)絡(luò)只有126個(gè)，每個(gè)能容納1億多個(gè)主機(jī)；B類網(wǎng)絡(luò)也僅16384個(gè)，每個(gè)能容納6萬(wàn)多個(gè)主機(jī)；C類網(wǎng)絡(luò)雖多達(dá)2097152個(gè)，但每個(gè)只能容納254個(gè)主機(jī)。D類地址是多播地址，主要是留給Internet體系結(jié)構(gòu)委員會(huì)IAB（Internet ArchitectureBoard）使用。目前大量使用的IP地址僅A至C類三種。A類IP地址的網(wǎng)絡(luò)號(hào)數(shù)不多?，F(xiàn)在能夠申請(qǐng)到的IP地址只有B類和C類兩種。當(dāng)某個(gè)單位向IAB申請(qǐng)到IP地址時(shí)，實(shí)際上只是獲得了一個(gè)網(wǎng)絡(luò)號(hào)net-id。具體的各個(gè)主機(jī)號(hào)host-id則由該單位自行分配，只要做到在該單位管轄的范圍內(nèi)無(wú)重復(fù)的主機(jī)號(hào)即可。

1.3路由表急劇膨脹

隨著ISP數(shù)目的增長(zhǎng)，已經(jīng)出現(xiàn)路由表占滿路由器內(nèi)存，導(dǎo)致網(wǎng)絡(luò)異常的惡性故障。這是由于IPv4的地址體系結(jié)構(gòu)是非層次化的，每增加一個(gè)子網(wǎng)，路由器就增加一個(gè)表項(xiàng)，使路由器不堪重負(fù)。

2.消除三大危機(jī)的措施—引入IPv6

為了克服IPv4的三大缺陷，IETF于1992年開(kāi)始開(kāi)發(fā)IPv6協(xié)議， 1995年12月以RFC1883文件公布了建議標(biāo)準(zhǔn)（proposal standard）。IPv6繼承了IPv4的優(yōu)點(diǎn)，并根據(jù)IPv4 30多年來(lái)運(yùn)用的經(jīng)驗(yàn)進(jìn)行了大幅度的修改和功能擴(kuò)充。IP協(xié)議的變化對(duì)TCP/IP協(xié)議棧的許多協(xié)議發(fā)生影響。IPv6比IPv4的處理性能更加強(qiáng)大，高效。

2.1 IPv6提供巨大的地址空間

IPv6的IP地址域?yàn)?28比特，擁有2128巨大的地址空間。和IPv4相同，因地址分層運(yùn)用，實(shí)際可用的總數(shù)要小得多。但保守的估計(jì)每平方米也有1600個(gè)IP地址。IPv6的目標(biāo)是：通過(guò)1012個(gè)網(wǎng)絡(luò)連接1015臺(tái)計(jì)算機(jī)。

2.2 IPv6具有與網(wǎng)絡(luò)適配的層次地址

和IPv4一樣，IPv6的IP地址分成表示特定網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴和表示主機(jī)或服務(wù)器的主機(jī)地址兩部分。在128比特中高64比特表示網(wǎng)絡(luò)前綴，低64比特表示主機(jī)。

為將網(wǎng)絡(luò)前綴分成多個(gè)層次的網(wǎng)絡(luò)，又將其分成13比特的頂級(jí)聚類標(biāo)識(shí)符TLA（top-level aggregation）-ID，24比特的次級(jí)聚類標(biāo)識(shí)符NLA（next-level aggregation）-ID和16比特的網(wǎng)點(diǎn)級(jí)聚類標(biāo)識(shí)符SLA（sit-level aggregation）-ID。首先，由管理IPv6的組織將某一確定的TLA值分配給某個(gè)骨干網(wǎng)的ISP。它擁有104比特這樣巨大的地址塊。骨干網(wǎng)的ISP再將地址塊細(xì)分，分配給各個(gè)地區(qū)中小ISP。用戶從地區(qū)中小ISP處分到地址塊。

3. IPv6的優(yōu)越性

3.1減少了軟件處理內(nèi)容

我們通過(guò)比較IPv4和IPv6頭標(biāo)的結(jié)構(gòu)可以看出IPv6的優(yōu)越性能。雖然IPv6頭標(biāo)占40字節(jié)，是24字節(jié)（計(jì)入選項(xiàng)及填充）的IPv4頭標(biāo)的1.6倍，但因其長(zhǎng)度固定（IPv4頭標(biāo)是變長(zhǎng)的）故不需要消耗過(guò)多的內(nèi)存容量。又因其要處理的域由IPv4的12個(gè)減少到8個(gè)，從而大大減少了路由器上的軟件處理容量。

3.2 路由器軟件內(nèi)核小

據(jù)Cisco systems資料表明，IPv6版的路由器軟件內(nèi)核（kernel）實(shí)際上比IPv4還小。在Cisco2500系列中配置的IPv4內(nèi)核為2.17MB。如計(jì)入存放路由表的工作區(qū)（work area）則升至3.2MB，而配置IPv6的內(nèi)核時(shí)，其內(nèi)核僅為1.69MB，計(jì)入工作區(qū)也不過(guò)2.7MB。

4. IPv4與IPv6的安全性

IPv4的目的只是作為簡(jiǎn)單的網(wǎng)絡(luò)互通協(xié)議，因而其中沒(méi)有包含安全特性。

IPv6中引入的安全機(jī)制是通過(guò)兩個(gè)擴(kuò)展報(bào)頭來(lái)實(shí)現(xiàn)的，即身份驗(yàn)證報(bào)頭AH（Authentication Header）和加密安全有效數(shù)據(jù)ESP（Encapsulation Security payload）來(lái)實(shí)現(xiàn)的，并且AH和ESP具有功能互補(bǔ)的作用。AH報(bào)頭是用來(lái)確認(rèn)IP信息包的可能性和完整性的，用于阻止固定字段的非法修改和IP地址的電子欺騙，ESP報(bào)頭則是用來(lái)提供數(shù)據(jù)的加密封裝，阻止非法節(jié)點(diǎn)閱讀IP信息包的有效數(shù)據(jù)這兩個(gè)報(bào)頭可單獨(dú)使用，也可同時(shí)使用，確保信息包的安全。

4.1 頭標(biāo)

認(rèn)證頭標(biāo)（AH）的頭標(biāo)類型代碼是51，它通常嵌入在IPv6頭標(biāo)和凈荷之間。例如被認(rèn)證的TCP分組由IPv6頭標(biāo)、認(rèn)證頭標(biāo)和TCP分組本身組成。除此之外，還可能在AH之前插入尋路頭標(biāo)或在AH與凈荷之間插入信宿選項(xiàng)頭標(biāo)。

IPv6的所有主機(jī)必須支持AH，加上AH后并未改變TCP、UDP、ICMP等協(xié)議的性能。AH的作用只是保證數(shù)據(jù)的合法性。網(wǎng)絡(luò)層拋棄認(rèn)證失敗的分組，并通知這些協(xié)議。

該域的長(zhǎng)度必須是32比特的整數(shù)倍，可以包含填充域。AH頭標(biāo)的總長(zhǎng)度必須是64比特整數(shù)倍，任何實(shí)現(xiàn)都必須支持這種填充。

認(rèn)證頭標(biāo)應(yīng)提供充分的功能，防止當(dāng)前Internet 上不時(shí)發(fā)生的偽造地址的攻擊，此外還應(yīng)保護(hù)用戶免受黑客（hijack）攻擊。實(shí)現(xiàn)認(rèn)證可以采取傳輸模式或者是隧道模式。

4.2封裝化安全凈荷

只有認(rèn)證頭標(biāo)是不夠的，因數(shù)據(jù)仍以未加密的明碼發(fā)送，在傳輸過(guò)程中要通過(guò)許多系統(tǒng)和網(wǎng)絡(luò)，在中間鏈路上可能被信宿以外的非法分子“竊聽(tīng)”。為了保密，應(yīng)使用封裝化安全凈荷（ESP）。ESP頭標(biāo)必定位于IPv6菊花鏈擴(kuò)展頭標(biāo)的最后，在未加密的IPv6頭標(biāo)和擴(kuò)展頭標(biāo)之后是加密的ESP頭標(biāo)和加密數(shù)據(jù)。

5. IPv6安全的應(yīng)用

計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用對(duì)人們的現(xiàn)代生活產(chǎn)生了重大的影響。在我們看到計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用對(duì)現(xiàn)代社會(huì)發(fā)展正面作用的同時(shí)，我們也必須注意到它的負(fù)面影響。例如，有些人利用互聯(lián)網(wǎng)犯罪，對(duì)人民、對(duì)社會(huì)的合法權(quán)益構(gòu)成嚴(yán)重威脅。所以網(wǎng)絡(luò)安全就顯的尤為重要。IPv6安全的應(yīng)用有以下幾個(gè)方面：

5.1 安全管道和防火墻

現(xiàn)在互聯(lián)網(wǎng)的安全大都依賴于防火墻或安全機(jī)器，它們?cè)谕獠渴澜缗c安全網(wǎng)絡(luò)之間發(fā)揮類似網(wǎng)關(guān)的作用，而IPv6的AH和ESP報(bào)頭可以用來(lái)在兩個(gè)遠(yuǎn)程防火墻之間建立安全通道。兩個(gè)防火墻之間交換的數(shù)據(jù)包封裝成IPv6數(shù)據(jù)包，從一個(gè)防火墻通過(guò)互聯(lián)網(wǎng)傳到另一個(gè)防火墻：如果要求認(rèn)證，使用AH；如果要求加密，則使用ESP。

5.2 移動(dòng)主機(jī)

移動(dòng)主機(jī)是在受保護(hù)之外的網(wǎng)絡(luò)上使用，避免移動(dòng)主機(jī)被攻擊的一個(gè)簡(jiǎn)單辦法就是在移動(dòng)主機(jī)與本地網(wǎng)絡(luò)防火墻之間建立安全通道，這種解決辦法可以與實(shí)現(xiàn)IP層移動(dòng)性相結(jié)合，移動(dòng)主機(jī)會(huì)有兩個(gè)地址，一個(gè)是在遠(yuǎn)程網(wǎng)絡(luò)，一個(gè)是在本地網(wǎng)絡(luò)，捆綁在移動(dòng)主機(jī)本地地址的數(shù)據(jù)包會(huì)由防火墻加密轉(zhuǎn)發(fā)。

5.3 鄰居發(fā)現(xiàn)

鄰居發(fā)現(xiàn)是特殊的安全要求。我們希望控制對(duì)網(wǎng)絡(luò)的訪問(wèn)，這樣訪問(wèn)者需要有權(quán)限才能把主機(jī)接入網(wǎng)絡(luò)。還要控制一些消息的認(rèn)證，避免把數(shù)據(jù)發(fā)送到錯(cuò)誤的地址，因此要檢驗(yàn)下面的消息；從一個(gè)經(jīng)審定的路由發(fā)出的宣告消息、從一個(gè)授權(quán)主機(jī)發(fā)出的鄰居宣告消息和從原始包發(fā)送的路由發(fā)出的重定向消息。

路由宣告消息發(fā)送到廣播組的所有節(jié)點(diǎn)。配置這個(gè)組的SA很容易，然而一些算法只能保護(hù)組不受外界攻擊，而密鑰在組內(nèi)是公開(kāi)的，每個(gè)節(jié)點(diǎn)都可發(fā)出路由宣告消息，偽造任何信息以及偽裝成組內(nèi)的任何一臺(tái)其他路由器。但這比當(dāng)前任何黑客都能把主機(jī)接入網(wǎng)絡(luò)好多了。

5.4 路由協(xié)議

路由協(xié)議如果不安全，那就不能維持網(wǎng)絡(luò)的一致性。路由更新會(huì)改變或中斷一些連接。一些協(xié)議在路由之間的SA上層運(yùn)行，因此IP層安全可能是最好的協(xié)議認(rèn)證或加密功能的替換方案。

作為IPv6的一個(gè)組成部分，IP層安全是一個(gè)網(wǎng)絡(luò)層協(xié)議。它只負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，并不負(fù)責(zé)其上層應(yīng)用的安全，如Web、電子郵件和文件傳輸?shù)?。因此，隨著人們對(duì)安全性要求的提高，IPv6的需要提供更好的安全性。

6.結(jié)語(yǔ)

本文闡述了IP的現(xiàn)狀，IPv4的一些特點(diǎn)，IPv6的地址表示法以及IPv6的優(yōu)越性，主要討論了IPv6的安全機(jī)制實(shí)現(xiàn)以及安全技術(shù)的應(yīng)用。隨著Internet的廣泛應(yīng)用，IPv6技術(shù)是下一代互連網(wǎng)絡(luò)必須采用的技術(shù)。

參考文獻(xiàn)：

[1]張震，唐曉晟，徐惠民.IPv6安全機(jī)制研究[J].網(wǎng)絡(luò)縱橫，2011（4）63-64.

[2]劉東.如何在中國(guó)部署IPv6網(wǎng)絡(luò).中國(guó)電信業(yè)發(fā)展指導(dǎo). 2003。

[3]高靜.IPv6及其安全問(wèn)題分析[J].數(shù)字技術(shù)與應(yīng)用.2013（7）.

[4]馮博琴.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程[M].北京：高等教育出版社，2011.