新聞中心

EEPW首頁(yè) > 模擬技術(shù) > 設(shè)計(jì)應(yīng)用 > 基于IPv6的下一代網(wǎng)絡(luò)技術(shù)的特征分析

基于IPv6的下一代網(wǎng)絡(luò)技術(shù)的特征分析

作者: 時(shí)間:2016-11-14 來(lái)源:網(wǎng)絡(luò) 收藏

1.引言

  隨著IPv4地址的耗盡,以及網(wǎng)絡(luò)接入用戶的不斷龐大,向過(guò)渡已經(jīng)是勢(shì)在必行,作為新一代的網(wǎng)絡(luò)協(xié)議,不僅具有海量的IP地址資源,而且由于其數(shù)據(jù)包可以更大,從而實(shí)現(xiàn)更可靠、更快速地進(jìn)行數(shù)據(jù)的傳輸,同時(shí)通過(guò)在數(shù)據(jù)報(bào)頭中添加流標(biāo)記和業(yè)務(wù)級(jí)別大大地改善QoS,且任何設(shè)備接入后即可獲取相應(yīng)的設(shè)置,大大地簡(jiǎn)化用戶操作,滿足移動(dòng)性等要求,最重要的一點(diǎn)是,IPv6通過(guò)IPSec實(shí)現(xiàn)更高的安全性,實(shí)現(xiàn)了網(wǎng)絡(luò)層的安全,但是這種安全并不絕對(duì)的,在新一代互聯(lián)網(wǎng)中的安全威脅,還需要這個(gè)領(lǐng)域的專家找到完整的解決方案。

  2.IPv6關(guān)鍵技術(shù)研究

  由于現(xiàn)階段幾乎所有的主流應(yīng)用都是基于IPv4網(wǎng)絡(luò)協(xié)議開(kāi)發(fā)的,而新的IPv6協(xié)議與IPv4協(xié)議并不兼容,因此為了保障業(yè)務(wù)的連續(xù)性,也為了保障最終用戶的上網(wǎng)體驗(yàn),兩個(gè)網(wǎng)絡(luò)的并存需要持續(xù)很長(zhǎng)一段時(shí)間,因此兩網(wǎng)如何實(shí)現(xiàn)過(guò)渡和互通,成為運(yùn)營(yíng)商、數(shù)據(jù)中心和內(nèi)容提供商關(guān)注的焦點(diǎn),以下將就目前現(xiàn)存且常用的IPv4向IPv6過(guò)渡的幾項(xiàng)關(guān)鍵技術(shù)作簡(jiǎn)單介紹。

  2.1 雙棧技術(shù)

  所謂雙棧技術(shù),顧名思義,就是同時(shí)支持IPv4和IPv6兩種協(xié)議的網(wǎng)絡(luò),即從用戶端到業(yè)務(wù)終端連接的所有設(shè)備都需要支持兩種協(xié)議。當(dāng)兩個(gè)端點(diǎn)通訊時(shí)會(huì)采用相應(yīng)的協(xié)議進(jìn)行數(shù)據(jù)的傳輸。雙棧的解決方案同時(shí)支持IPv4與IPv6兩種協(xié)議,無(wú)需考慮兩者互通的問(wèn)題。然而對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō),由于涉及到產(chǎn)品的升級(jí),甚至是需要更新?lián)Q代,會(huì)耗費(fèi)大量的財(cái)力人人力,因此可行性相對(duì)比較小,部署與規(guī)劃都比較復(fù)雜,由于有兩套協(xié)議,因此大大增加了網(wǎng)絡(luò)管理人員的工作難度,另外由于主機(jī)上都需要支持兩份協(xié)議,因此會(huì)消耗更多的內(nèi)在和更多的CPU。此外,由于用戶并未真正地遷移到IPv6網(wǎng)絡(luò)上,因此對(duì)于IPv6的推廣與發(fā)展直到了一定的阻礙作用。

  2.2 翻譯技術(shù)

  翻譯技術(shù)通常所指的就是NAT-PT,一般是在IPv4與IPv6的網(wǎng)絡(luò)邊緣部署翻譯網(wǎng)關(guān)設(shè)備,實(shí)現(xiàn)IPv4與IPv6數(shù)據(jù)包的報(bào)文的翻譯和轉(zhuǎn)換,從而使IPv4用戶可訪問(wèn)IPv6資源,同時(shí)IPv6用戶也可去訪問(wèn)IPv4的資源。翻譯網(wǎng)關(guān)的部署相對(duì)簡(jiǎn)單,且由于實(shí)現(xiàn)了多個(gè)IPv6的Host可以同時(shí)共用一個(gè)IPv4地址,一定程度上解決了地址枯竭的問(wèn)題。然而由于網(wǎng)關(guān)是基于應(yīng)用層的,針對(duì)不同的應(yīng)用需要開(kāi)發(fā)不同的ALG,而且現(xiàn)有的網(wǎng)絡(luò)應(yīng)用層出不窮,如果大范圍的采用此方案,就需要實(shí)時(shí)的去開(kāi)發(fā)滿足各類應(yīng)用的網(wǎng)關(guān),成本較大。

  2.3 隧道技術(shù)

  隧道技術(shù)即將IPv4的數(shù)據(jù)包封裝在IPv6數(shù)據(jù)包中進(jìn)行傳輸,反之亦然,實(shí)現(xiàn)數(shù)據(jù)包在不同的網(wǎng)絡(luò)中的順利傳送,隧道技術(shù)中包含6PE、6over4、隧道代理、ISATAP等多種方式。只要部署了足夠多的隧道服務(wù)器,并有足夠的網(wǎng)絡(luò)帶寬支撐,隧道的實(shí)現(xiàn)即是一種軟件配置的過(guò)程,技術(shù)實(shí)現(xiàn)方式簡(jiǎn)單,能協(xié)助網(wǎng)絡(luò)管理人員快速實(shí)現(xiàn)新一代協(xié)議的部署,并實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化。然而由于數(shù)據(jù)包需要封裝和解封裝,因此隧道設(shè)備一般都是成對(duì)部署的,與雙棧方式相同的一個(gè)弊端就是不適用于大型網(wǎng)絡(luò)的過(guò)渡。

  2.4 Socks64技術(shù)

  這種技術(shù)的基本原理是通過(guò)客戶端與網(wǎng)關(guān)的通信,來(lái)實(shí)現(xiàn)IPv4與IPv6主機(jī)之間的互聯(lián)互通。其中網(wǎng)關(guān)必須同時(shí)支持IPv4與IPv6兩種協(xié)議棧,即在網(wǎng)關(guān)處需要同時(shí)接入IPv4與IPv6網(wǎng)絡(luò),來(lái)自客戶端的數(shù)據(jù)包,無(wú)論是IPv4還是IPv6的,網(wǎng)關(guān)都可以進(jìn)行處理,并轉(zhuǎn)發(fā)至相應(yīng)的目的端。由于網(wǎng)關(guān)來(lái)進(jìn)行協(xié)議的轉(zhuǎn)換與處理,因此一旦在大型網(wǎng)絡(luò)中部署,必須要求這個(gè)網(wǎng)關(guān)的吞吐量、處理性能達(dá)到一定的標(biāo)準(zhǔn),且在網(wǎng)絡(luò)過(guò)渡時(shí)期,網(wǎng)關(guān)一般部署在網(wǎng)絡(luò)邊緣,便于能夠更高效地處理用戶請(qǐng)求。這種解決方案的優(yōu)點(diǎn)即部署網(wǎng)關(guān)成功后,無(wú)需考慮用戶端發(fā)起請(qǐng)求的類型,都可進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。但是客戶端的推廣安裝成為一大問(wèn)題,且由于是客戶端與網(wǎng)關(guān)通訊的模式,因此會(huì)出現(xiàn)一定的性能瓶頸。

  3.IPv6網(wǎng)絡(luò)安全研究

  在傳統(tǒng)的IPv6網(wǎng)絡(luò)體系架構(gòu)里,網(wǎng)絡(luò)安全的策略,是在應(yīng)用層上進(jìn)行安全的防范,或?qū)︵]件進(jìn)行加密,在訪問(wèn)網(wǎng)頁(yè)時(shí)進(jìn)行數(shù)據(jù)加密,并未對(duì)網(wǎng)絡(luò)層進(jìn)行處理。在1995年,IETF制定了在IP層的安全規(guī)范,即IPSec(IP Security)。由于IPv6集成了IPSec協(xié)議,因此在IPv6的安全體系架構(gòu)中,IPSec便是核心。

  3.1 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——IPSec

  IPv6一個(gè)最大的優(yōu)勢(shì)就是,集成了IPSec,也就意味著它能夠提供完備的安全服務(wù),包括數(shù)據(jù)來(lái)源的強(qiáng)認(rèn)證,保障數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性,同時(shí)也可以進(jìn)行數(shù)據(jù)的訪問(wèn)控制,抵御數(shù)據(jù)重復(fù)發(fā)送等攻擊。為IPSec的體系結(jié)構(gòu),包含三個(gè)基本的協(xié)議,其中AH協(xié)議(驗(yàn)證頭)用于保障數(shù)據(jù)的完整性和驗(yàn)證數(shù)據(jù)的來(lái)源;加密功能和機(jī)制是由ESP協(xié)議(封裝安全載荷)來(lái)提供;同時(shí)ISAKMP協(xié)議(即密鑰管理協(xié)議)主要用于實(shí)現(xiàn)前兩種協(xié)議在交流時(shí)信息安全。

  3.2 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——地址可溯源

  目前采用的IPv4地址協(xié)議,存在的最大問(wèn)題,就是使用了大量的私有地址,通過(guò)NAT技術(shù),多個(gè)私有地址,可能通過(guò)同一個(gè)公網(wǎng)IP去訪問(wèn)互聯(lián)網(wǎng),這種情況,就存在一個(gè)安全隱患,如果某一個(gè)用戶發(fā)布了一條反動(dòng)信息,或者非法言論,無(wú)法快速定位到IP,給網(wǎng)絡(luò)管理人員造成很大的工作難度。IPv6海量的IP地址,完全摒棄了私有地址的概念,可為每一個(gè)終端分配一個(gè)單獨(dú)使用的IP地址,一旦出現(xiàn)問(wèn)題,將快速查找到源地址,保障網(wǎng)絡(luò)的健康。

  3.3 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——反偵察能力

  大部分的黑客或者惡意程序,都會(huì)通過(guò)掃描某個(gè)子網(wǎng)來(lái)最終確定攻擊的IP地址、應(yīng)用和服務(wù),而IP地址量相當(dāng)大,可大大降低網(wǎng)絡(luò)偵察的能力,有效地防范類似的網(wǎng)絡(luò)攻擊。

  4.IPv6網(wǎng)絡(luò)可能存在的問(wèn)題

  4.1 無(wú)法解決網(wǎng)絡(luò)層以上的安全問(wèn)題

  IPv6集成的IPSec功能,只是解決了網(wǎng)絡(luò)層的安全問(wèn)題,面對(duì)網(wǎng)絡(luò)層以上的攻擊,IPv6仍然無(wú)法解決的,如垃圾郵件、惡意代碼、蠕蟲(chóng)、系統(tǒng)漏洞等攻擊,還是需要相應(yīng)的防病毒安全廠家來(lái)解決。

  4.2 無(wú)法處理數(shù)據(jù)解密過(guò)程的攻擊

  IPv6采取對(duì)數(shù)據(jù)的加密,但是用戶在正常接收數(shù)據(jù)后,需要解密,如何攻擊者在解決過(guò)程中添加相關(guān)的干預(yù)手段,加長(zhǎng)解密的時(shí)間,這將會(huì)消耗大量的系統(tǒng)資源,甚至可能造成系統(tǒng)癱瘓。

  4.3 加密方面的安全隱患

  IPSec中采用了加密算法和密鑰的管理。對(duì)于加密算法,沒(méi)有哪一個(gè)加密算法能夠確保其絕對(duì)安全的,這是本身的局限性,另一方面,對(duì)于密鑰的管理,由于依賴于PKI,而此項(xiàng)技術(shù)目前還未在國(guó)際上形成統(tǒng)一完善的標(biāo)準(zhǔn),因此安全性是否可靠也有待考證。

  5.結(jié)束語(yǔ)

  向IPv6的遷移是大勢(shì)所趨,各項(xiàng)過(guò)渡技術(shù)都已發(fā)展成熟,并形成了相應(yīng)的標(biāo)準(zhǔn),但是均存在優(yōu)缺點(diǎn),需要將各項(xiàng)技術(shù)進(jìn)行去長(zhǎng)補(bǔ)短,綜合利用,設(shè)計(jì)出一種通用易行的解決方案。對(duì)于IPv6的網(wǎng)絡(luò)安全問(wèn)題,本身其已經(jīng)在網(wǎng)絡(luò)層建立了一層安全壁壘,但仍存在其它方面的安全威脅,且在過(guò)渡過(guò)程中,對(duì)IPv4的網(wǎng)絡(luò)體系中的設(shè)備也構(gòu)成了一定的挑戰(zhàn)。因此,無(wú)論是在IPv6的關(guān)鍵技術(shù)方面,還是在網(wǎng)絡(luò)安全方面,都還需要業(yè)界人士的不斷研究與驗(yàn)證,以實(shí)現(xiàn)平滑、安全的網(wǎng)絡(luò)遷移。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉