|
摘 要 文章论述了新一代网络协议IPV6及中国自研网络技术IPv9协议的知识,探讨了IPv6及IPv9在网络安全方面的独到之处及技术要点。
关键词 IPV6协议;网络安全
1 IPV6协议
1.1 IPv6的由来
Internet依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet上,每一个节点都依靠惟一的IP地址互相区分和相互联系。
目前因特网使用的地址都是IPv4地址IPv6基本协议是经过多次改进后确定的。现在的IPv6协议是1995年由Cisco公司的Steve Deering和Nokia公司的Robert Hinden完成起草并定稿的(即RFC2460)。1998年,IETF对RFC2460进行了较大的改进,形成了现有的RFC2460(1998版)。
1.2 IPv6协议的主要特点
为适应实际应用的要求,IPv6在IPv4的设计思想上加以改进,增加了一些必要的新功能。IPv6的主要特点如下:
1.2.1经过扩展的地址和路由选择功能。IP地址长度由32位增加到128位,可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。
1.2.2定义了任一成员(anycast) 地址,用来标识一组接口,在不会引起混淆的情况下将简称“任一地址”,发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。
1.2.3简化的首部格式。IPv4首部的某些字段被取消或改为选项,以减少报文分组处理过程中常用情况的处理费用,并使得IPv6首部的带宽开销尽可能低,尽管地址长度增加了。虽然IPv6地址长度是IPv4地址的四倍,IPv6首部的长度只有IPv4首部的两倍。
1.2.4支持扩展首部和选项。IPv6的选项放在单独的首部中,位于报文分组中IPv6首部和传送层首部之间。因为大多数IPv6选项首部不会被报文分组投递路径上的任何路由器检查和处理,直至其到达最终目的地,这种组织方式有利于改进路由器在处理包含选项的报文分组时的性能。IPv6的另一改进,是其选项与IPv4不同,可具有任意长度,不限于40字节。
1.2.5支持验证和隐私权。IPv6定义了一种扩展,可支持权限验证和数据完整性。这一扩展是IPv6的基本内容,要求所有的实现必须支持这一扩展。IPv6还定义了一种扩展,借助于加密支持保密性要求。
1.2.6支持自动配置。IPv6支持多种形式的自动配置,从孤立网络节点地址的“即插即用”自动配置,到DHCP提供的全功能的设施。
1.2.7服务质量能力。IPv6增加了一种新的能力,如果某些报文分组属于特定的工作流,发送者要求对其给予特殊处理,则可对这些报文分组加标号,例如非缺省服务质量通信业务或“实时”服务。
1.3 IPv6中的地址类型和表示方法
IPv6地址类型主要有:
1.3.1单播地址(unicast)
该地址标识某一单个接口。发往单播地址的包将被传送到该地址指向的接口。
1.3.2任播地址(anycast)
该地址标识属于不同节点的一组接口。发往任播地址的包将被传送到该地址标识的某一个接口,通常是路由协议计算出的最近的那个接口。
1.3.3组播地址(multicast)
同样该地址标识属于不同节点的一组接口。但发往组播地址的包将被传送到该地址标识的所有接口。
IPv6地址表示方法:一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节之间用冒号分隔,除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构称为可聚合全局单点广播地址的地址。
2 Ipv9协议
2.1 Ipv9的由来
在IPv6还没有真正普及的今天,中国新一代自研网络技术IPv9(十进制网络)即将走出实验室。 IPv9协议是上海通用化工技术研究所所长、信产部科学技术司十进制网络标准工作组组长谢建平经过十年的研发,根据《采用全数字码给上网的计算机分配地址的方法》发明专利实施并发展而成,拥有自主知识产权、以十进制算法(0-9)为基础的协议,整个网络系统主要有IPv9地址协议、IPv9报头协议、IPv9过渡期协议、数字域名规范等协议和标准构成,能兼容现有互联网络协议(IPv4、IPv6),又可实现逻辑隔离,达到安全可控。
在IPv9中,从维护主权的立场出发,创造性的提出了互联网上“主权平等”的概念;并在域名系统中采用十进制、多协议的数字域名系统,兼容英文、中文及其他域名,并将他们映射成全球唯一IP地址;建立分布式跟域名系统,引入国家地域概念,使每个国家都有自己的根域名系统,以确立和维护其在互联网上主权国家的地位和形象。
2.2 IPv9主要创新内容
2.2.1在十进制互联网络上,除了计算机和网络之间的数据传诵必须二进制外,其他都采用十进制。
2.2.2同一的(用0~9阿拉伯数字)数字组合它既做IPV9地址、MAC地址又和替代现有互联网上的英文字母或其他符号如中文等作域名。
2.2.3数字域名解析器兼容现有互联网络(IPV4网络、IPV6网络)的英文域名解析。
2.2.4基于个人IP地址可作:个人主页、FTP服务、IP电话和可视电话(计算机到计算机)及身份证、税务发票、物流码等广泛应用。
2.3 IPv9编码
IPv9是借鉴了电话号码的编码体系,以地理概念清晰、简明易记的数字分配域名。一个IPv9的IP地址由类似电话号码的国家代码、地区代码和智能终端代码(或服务商代码)组成。
3 IPV6/9协议在网络安全机制方面体现
安全性既涉及网络安全也涉及信息安全,是发展下一代互联网应注意的最关键问题。随着互联网的大规模商用化和在国民经济中越来越重要的地位,安全威胁成为一个必须解决的问题。通过集成IPSec,IPv6实现了IP级的安全。IPSec提供如下安全性服务:访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。
3.1协议安全
在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头。
AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法。
ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。
3.2网络安全
3.2.1端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。
3.2.2对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可以通过配置的IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。
3.2.3通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。
3.2.4通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
作为IPv6的一个组成部分,IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。为解决IPv6网络安全问题,IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备,但由于IPv6的一些新特点,IPv4网中现有的这些安全设备在IPv6网中不能直接使用,还需要做适当的改进。
由于IPv6中引入了网络层的加密技术,未来网络上的数据通讯的保密性将会越来越强。
IPv9协议的研究最初是出于国内有关部门的需要而研制的一种与当前IPv4协议(或者IPv6协议)不同的、可互通但相对独立的、有自主知识产权的网络协议,极大地提高了我国的国家网络安全和信息安全,一举打破美国垄断与控制的国际互联网,并进而控制和威胁我国信息安全与国家安全的不利局面。IPv9地址协议由我国自主控制分配,路由设备的密级由我国自主设立,在域名资源、安全控制等方面,将更有保障。
4 对基于IPV6/9协议的网络安全机制的思考
安全问题是一个复杂的问题。随着时间的推移,技术的变化,网络安全将面临更多威胁和新的挑战,没有绝对安全的网络系统,网络信息对抗是一个长期的研究课题。保持清醒正确的认识,掌握最新的安全问题情况,再加完善有效的安全策略,是可以阻止大部分的网络破坏,使经济损失降到最低。
IPv6是一个建立可靠的、可管理的、安全和高效的IP网络的长期解决方案。尽管IPv6的普及应用之日还需耐心等待,不过,了解和研究IPv6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案,对于制定企业网络的长期发展计划,规划网络应用的未来发展方向,都是十分有益的。
目前虽然对IPv9网络技术有各种不同的看法,但它得到国家权威机构的认证,且在实验实践中,重要的是IPv9网络技术的出台,表明我国已成为目前世界上唯一能实现域名、IP地址和MAC地址统一成十进制文本表示方法的国家。同时,也成为继美国之后,第二个在世界上拥有根域名解析服务器和IP地址硬连接服务器的国家,和世界上第二个拥有自主的域名、IP地址和MAC地址资源的国家及可独立进行域名解析和IP地址硬连接,并可独立自主的分配域名、IP地址和MAC地址的国家,从而维护国家主权、信息安全以及巨大的国家经济利益。
5结 语
IPv6为互联网换上一个简捷、高效的引擎,不仅可以解决IPv4目前的地址短缺难题,而且可以使国际互联网摆脱日益复杂、难以管理和控制的局面,变得更加稳定、可靠、高效和安全。相信IPv9协议能够为网络安全做出贡献。
|
