基于IPv6的下一代網絡技術的特征分析

1.引言

　　隨著IPv4地址的耗盡，以及網絡接入用戶的不斷龐大，向IPv6過渡已經是勢在必行，IPv6作為新一代的網絡協議，不僅具有海量的IP地址資源，而且由于其數據包可以更大，從而實現更可靠、更快速地進行數據的傳輸，同時通過在數據報頭中添加流標記和業(yè)務級別大大地改善QoS，且任何設備接入IPv6后即可獲取相應的設置，大大地簡化用戶操作，滿足移動性等要求，最重要的一點是，IPv6通過IPSec實現更高的安全性，實現了網絡層的安全，但是這種安全并不絕對的，在新一代互聯網中的安全威脅，還需要這個領域的專家找到完整的解決方案。

　　2.IPv6關鍵技術研究

　　由于現階段幾乎所有的主流應用都是基于IPv4網絡協議開發(fā)的，而新的IPv6協議與IPv4協議并不兼容，因此為了保障業(yè)務的連續(xù)性，也為了保障最終用戶的上網體驗，兩個網絡的并存需要持續(xù)很長一段時間，因此兩網如何實現過渡和互通，成為運營商、數據中心和內容提供商關注的焦點，以下將就目前現存且常用的IPv4向IPv6過渡的幾項關鍵技術作簡單介紹。

　　2.1 雙棧技術

　　所謂雙棧技術，顧名思義，就是同時支持IPv4和IPv6兩種協議的網絡，即從用戶端到業(yè)務終端連接的所有設備都需要支持兩種協議。當兩個端點通訊時會采用相應的協議進行數據的傳輸。雙棧的解決方案同時支持IPv4與IPv6兩種協議，無需考慮兩者互通的問題。然而對于大型網絡來說，由于涉及到產品的升級，甚至是需要更新換代，會耗費大量的財力人人力，因此可行性相對比較小，部署與規(guī)劃都比較復雜，由于有兩套協議，因此大大增加了網絡管理人員的工作難度，另外由于主機上都需要支持兩份協議，因此會消耗更多的內在和更多的CPU。此外，由于用戶并未真正地遷移到IPv6網絡上，因此對于IPv6的推廣與發(fā)展直到了一定的阻礙作用。

　　2.2 翻譯技術

　　翻譯技術通常所指的就是NAT-PT，一般是在IPv4與IPv6的網絡邊緣部署翻譯網關設備，實現IPv4與IPv6數據包的報文的翻譯和轉換，從而使IPv4用戶可訪問IPv6資源，同時IPv6用戶也可去訪問IPv4的資源。翻譯網關的部署相對簡單，且由于實現了多個IPv6的Host可以同時共用一個IPv4地址，一定程度上解決了地址枯竭的問題。然而由于網關是基于應用層的，針對不同的應用需要開發(fā)不同的ALG，而且現有的網絡應用層出不窮，如果大范圍的采用此方案，就需要實時的去開發(fā)滿足各類應用的網關，成本較大。

　　2.3 隧道技術

　　隧道技術即將IPv4的數據包封裝在IPv6數據包中進行傳輸，反之亦然，實現數據包在不同的網絡中的順利傳送，隧道技術中包含6PE、6over4、隧道代理、ISATAP等多種方式。只要部署了足夠多的隧道服務器，并有足夠的網絡帶寬支撐，隧道的實現即是一種軟件配置的過程，技術實現方式簡單，能協助網絡管理人員快速實現新一代協議的部署，并實現網絡的優(yōu)化。然而由于數據包需要封裝和解封裝，因此隧道設備一般都是成對部署的，與雙棧方式相同的一個弊端就是不適用于大型網絡的過渡。

　　2.4 Socks64技術

　　這種技術的基本原理是通過客戶端與網關的通信，來實現IPv4與IPv6主機之間的互聯互通。其中網關必須同時支持IPv4與IPv6兩種協議棧，即在網關處需要同時接入IPv4與IPv6網絡，來自客戶端的數據包，無論是IPv4還是IPv6的，網關都可以進行處理，并轉發(fā)至相應的目的端。由于網關來進行協議的轉換與處理，因此一旦在大型網絡中部署，必須要求這個網關的吞吐量、處理性能達到一定的標準，且在網絡過渡時期，網關一般部署在網絡邊緣，便于能夠更高效地處理用戶請求。這種解決方案的優(yōu)點即部署網關成功后，無需考慮用戶端發(fā)起請求的類型，都可進行數據轉發(fā)。但是客戶端的推廣安裝成為一大問題，且由于是客戶端與網關通訊的模式，因此會出現一定的性能瓶頸。

　　3.IPv6網絡安全研究

　　在傳統的IPv6網絡體系架構里，網絡安全的策略，是在應用層上進行安全的防范，或對郵件進行加密，在訪問網頁時進行數據加密，并未對網絡層進行處理。在1995年，IETF制定了在IP層的安全規(guī)范，即IPSec（IP Security）。由于IPv6集成了IPSec協議，因此在IPv6的安全體系架構中，IPSec便是核心。

　　3.1 IPv6網絡安全優(yōu)勢——IPSec

　　IPv6一個最大的優(yōu)勢就是，集成了IPSec，也就意味著它能夠提供完備的安全服務，包括數據來源的強認證，保障數據傳輸的機密性和完整性，同時也可以進行數據的訪問控制，抵御數據重復發(fā)送等攻擊。為IPSec的體系結構，包含三個基本的協議，其中AH協議（驗證頭）用于保障數據的完整性和驗證數據的來源;加密功能和機制是由ESP協議（封裝安全載荷）來提供;同時ISAKMP協議（即密鑰管理協議）主要用于實現前兩種協議在交流時信息安全。

　　3.2 IPv6網絡安全優(yōu)勢——地址可溯源

　　目前采用的IPv4地址協議，存在的最大問題，就是使用了大量的私有地址，通過NAT技術，多個私有地址，可能通過同一個公網IP去訪問互聯網，這種情況，就存在一個安全隱患，如果某一個用戶發(fā)布了一條反動信息，或者非法言論，無法快速定位到IP，給網絡管理人員造成很大的工作難度。IPv6海量的IP地址，完全摒棄了私有地址的概念，可為每一個終端分配一個單獨使用的IP地址，一旦出現問題，將快速查找到源地址，保障網絡的健康。

　　3.3 IPv6網絡安全優(yōu)勢——反偵察能力

　　大部分的黑客或者惡意程序，都會通過掃描某個子網來最終確定攻擊的IP地址、應用和服務，而IP地址量相當大，可大大降低網絡偵察的能力，有效地防范類似的網絡攻擊。

　　4.IPv6網絡可能存在的問題

　　4.1 無法解決網絡層以上的安全問題

　　IPv6集成的IPSec功能，只是解決了網絡層的安全問題，面對網絡層以上的攻擊，IPv6仍然無法解決的，如垃圾郵件、惡意代碼、蠕蟲、系統漏洞等攻擊，還是需要相應的防病毒安全廠家來解決。

　　4.2 無法處理數據解密過程的攻擊

　　IPv6采取對數據的加密，但是用戶在正常接收數據后，需要解密，如何攻擊者在解決過程中添加相關的干預手段，加長解密的時間，這將會消耗大量的系統資源，甚至可能造成系統癱瘓。

　　4.3 加密方面的安全隱患

　　IPSec中采用了加密算法和密鑰的管理。對于加密算法，沒有哪一個加密算法能夠確保其絕對安全的，這是本身的局限性，另一方面，對于密鑰的管理，由于依賴于PKI，而此項技術目前還未在國際上形成統一完善的標準，因此安全性是否可靠也有待考證。

　　5.結束語

　　向IPv6的遷移是大勢所趨，各項過渡技術都已發(fā)展成熟，并形成了相應的標準，但是均存在優(yōu)缺點，需要將各項技術進行去長補短，綜合利用，設計出一種通用易行的解決方案。對于IPv6的網絡安全問題，本身其已經在網絡層建立了一層安全壁壘，但仍存在其它方面的安全威脅，且在過渡過程中，對IPv4的網絡體系中的設備也構成了一定的挑戰(zhàn)。因此，無論是在IPv6的關鍵技術方面，還是在網絡安全方面，都還需要業(yè)界人士的不斷研究與驗證，以實現平滑、安全的網絡遷移。