基于IPv6的下一代网络技术的特征分析

2014-02-10 08:58:09来源: 互联网

1.引言

  随着IPv4地址的耗尽,以及网络接入用户的不断庞大,向IPv6过渡已经是势在必行,IPv6作为新一代的网络协议,不仅具有海量的IP地址资源,而且由于其数据包可以更大,从而实现更可靠、更快速地进行数据的传输,同时通过在数据报头中添加流标记和业务级别大大地改善QoS,且任何设备接入IPv6后即可获取相应的设置,大大地简化用户操作,满足移动性等要求,最重要的一点是,IPv6通过IPSec实现更高的安全性,实现了网络层的安全,但是这种安全并不绝对的,在新一代互联网中的安全威胁,还需要这个领域的专家找到完整的解决方案。

  2.IPv6关键技术研究

  由于现阶段几乎所有的主流应用都是基于IPv4网络协议开发的,而新的IPv6协议与IPv4协议并不兼容,因此为了保障业务的连续性,也为了保障最终用户的上网体验,两个网络的并存需要持续很长一段时间,因此两网如何实现过渡和互通,成为运营商、数据中心和内容提供商关注的焦点,以下将就目前现存且常用的IPv4向IPv6过渡的几项关键技术作简单介绍。

  2.1 双栈技术

  所谓双栈技术,顾名思义,就是同时支持IPv4和IPv6两种协议的网络,即从用户端到业务终端连接的所有设备都需要支持两种协议。当两个端点通讯时会采用相应的协议进行数据的传输。双栈的解决方案同时支持IPv4与IPv6两种协议,无需考虑两者互通的问题。然而对于大型网络来说,由于涉及到产品的升级,甚至是需要更新换代,会耗费大量的财力人人力,因此可行性相对比较小,部署与规划都比较复杂,由于有两套协议,因此大大增加了网络管理人员的工作难度,另外由于主机上都需要支持两份协议,因此会消耗更多的内在和更多的CPU。此外,由于用户并未真正地迁移到IPv6网络上,因此对于IPv6的推广与发展直到了一定的阻碍作用。

  2.2 翻译技术

  翻译技术通常所指的就是NAT-PT,一般是在IPv4与IPv6的网络边缘部署翻译网关设备,实现IPv4与IPv6数据包的报文的翻译和转换,从而使IPv4用户可访问IPv6资源,同时IPv6用户也可去访问IPv4的资源。翻译网关的部署相对简单,且由于实现了多个IPv6的Host可以同时共用一个IPv4地址,一定程度上解决了地址枯竭的问题。然而由于网关是基于应用层的,针对不同的应用需要开发不同的ALG,而且现有的网络应用层出不穷,如果大范围的采用此方案,就需要实时的去开发满足各类应用的网关,成本较大。

  2.3 隧道技术

  隧道技术即将IPv4的数据包封装在IPv6数据包中进行传输,反之亦然,实现数据包在不同的网络中的顺利传送,隧道技术中包含6PE、6over4、隧道代理、ISATAP等多种方式。只要部署了足够多的隧道服务器,并有足够的网络带宽支撑,隧道的实现即是一种软件配置的过程,技术实现方式简单,能协助网络管理人员快速实现新一代协议的部署,并实现网络的优化。然而由于数据包需要封装和解封装,因此隧道设备一般都是成对部署的,与双栈方式相同的一个弊端就是不适用于大型网络的过渡。

  2.4 Socks64技术

  这种技术的基本原理是通过客户端与网关的通信,来实现IPv4与IPv6主机之间的互联互通。其中网关必须同时支持IPv4与IPv6两种协议栈,即在网关处需要同时接入IPv4与IPv6网络,来自客户端的数据包,无论是IPv4还是IPv6的,网关都可以进行处理,并转发至相应的目的端。由于网关来进行协议的转换与处理,因此一旦在大型网络中部署,必须要求这个网关的吞吐量、处理性能达到一定的标准,且在网络过渡时期,网关一般部署在网络边缘,便于能够更高效地处理用户请求。这种解决方案的优点即部署网关成功后,无需考虑用户端发起请求的类型,都可进行数据转发。但是客户端的推广安装成为一大问题,且由于是客户端与网关通讯的模式,因此会出现一定的性能瓶颈。

  3.IPv6网络安全研究

  在传统的IPv6网络体系架构里,网络安全的策略,是在应用层上进行安全的防范,或对邮件进行加密,在访问网页时进行数据加密,并未对网络层进行处理。在1995年,IETF制定了在IP层的安全规范,即IPSec(IP Security)。由于IPv6集成了IPSec协议,因此在IPv6的安全体系架构中,IPSec便是核心。

  3.1 IPv6网络安全优势——IPSec

  IPv6一个最大的优势就是,集成了IPSec,也就意味着它能够提供完备的安全服务,包括数据来源的强认证,保障数据传输的机密性和完整性,同时也可以进行数据的访问控制,抵御数据重复发送等攻击。为IPSec的体系结构,包含三个基本的协议,其中AH协议(验证头)用于保障数据的完整性和验证数据的来源;加密功能和机制是由ESP协议(封装安全载荷)来提供;同时ISAKMP协议(即密钥管理协议)主要用于实现前两种协议在交流时信息安全。

  3.2 IPv6网络安全优势——地址可溯源

  目前采用的IPv4地址协议,存在的最大问题,就是使用了大量的私有地址,通过NAT技术,多个私有地址,可能通过同一个公网IP去访问互联网,这种情况,就存在一个安全隐患,如果某一个用户发布了一条反动信息,或者非法言论,无法快速定位到IP,给网络管理人员造成很大的工作难度。IPv6海量的IP地址,完全摒弃了私有地址的概念,可为每一个终端分配一个单独使用的IP地址,一旦出现问题,将快速查找到源地址,保障网络的健康。

  3.3 IPv6网络安全优势——反侦察能力

  大部分的黑客或者恶意程序,都会通过扫描某个子网来最终确定攻击的IP地址、应用和服务,而IP地址量相当大,可大大降低网络侦察的能力,有效地防范类似的网络攻击。

  4.IPv6网络可能存在的问题

  4.1 无法解决网络层以上的安全问题

  IPv6集成的IPSec功能,只是解决了网络层的安全问题,面对网络层以上的攻击,IPv6仍然无法解决的,如垃圾邮件、恶意代码、蠕虫、系统漏洞等攻击,还是需要相应的防病毒安全厂家来解决。

  4.2 无法处理数据解密过程的攻击

  IPv6采取对数据的加密,但是用户在正常接收数据后,需要解密,如何攻击者在解决过程中添加相关的干预手段,加长解密的时间,这将会消耗大量的系统资源,甚至可能造成系统瘫痪。

  4.3 加密方面的安全隐患

  IPSec中采用了加密算法和密钥的管理。对于加密算法,没有哪一个加密算法能够确保其绝对安全的,这是本身的局限性,另一方面,对于密钥的管理,由于依赖于PKI,而此项技术目前还未在国际上形成统一完善的标准,因此安全性是否可靠也有待考证。

  5.结束语

  向IPv6的迁移是大势所趋,各项过渡技术都已发展成熟,并形成了相应的标准,但是均存在优缺点,需要将各项技术进行去长补短,综合利用,设计出一种通用易行的解决方案。对于IPv6的网络安全问题,本身其已经在网络层建立了一层安全壁垒,但仍存在其它方面的安全威胁,且在过渡过程中,对IPv4的网络体系中的设备也构成了一定的挑战。因此,无论是在IPv6的关键技术方面,还是在网络安全方面,都还需要业界人士的不断研究与验证,以实现平滑、安全的网络迁移。

关键字:IPv6  网络技术  特征分析

编辑:神话 引用地址:http://www.eeworld.com.cn/mndz/2014/0210/article_24006.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
IPv6
网络技术
特征分析

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved