基于IPv6的下一代網(wǎng)絡(luò)技術(shù)的特征分析
1.引言
隨著IPv4地址的耗盡,以及網(wǎng)絡(luò)接入用戶的不斷龐大,向IPv6過渡已經(jīng)是勢在必行,IPv6作為新一代的網(wǎng)絡(luò)協(xié)議,不僅具有海量的IP地址資源,而且由于其數(shù)據(jù)包可以更大,從而實現(xiàn)更可靠、更快速地進行數(shù)據(jù)的傳輸,同時通過在數(shù)據(jù)報頭中添加流標(biāo)記和業(yè)務(wù)級別大大地改善QoS,且任何設(shè)備接入IPv6后即可獲取相應(yīng)的設(shè)置,大大地簡化用戶操作,滿足移動性等要求,最重要的一點是,IPv6通過IPSec實現(xiàn)更高的安全性,實現(xiàn)了網(wǎng)絡(luò)層的安全,但是這種安全并不絕對的,在新一代互聯(lián)網(wǎng)中的安全威脅,還需要這個領(lǐng)域的專家找到完整的解決方案。
2.IPv6關(guān)鍵技術(shù)研究
由于現(xiàn)階段幾乎所有的主流應(yīng)用都是基于IPv4網(wǎng)絡(luò)協(xié)議開發(fā)的,而新的IPv6協(xié)議與IPv4協(xié)議并不兼容,因此為了保障業(yè)務(wù)的連續(xù)性,也為了保障最終用戶的上網(wǎng)體驗,兩個網(wǎng)絡(luò)的并存需要持續(xù)很長一段時間,因此兩網(wǎng)如何實現(xiàn)過渡和互通,成為運營商、數(shù)據(jù)中心和內(nèi)容提供商關(guān)注的焦點,以下將就目前現(xiàn)存且常用的IPv4向IPv6過渡的幾項關(guān)鍵技術(shù)作簡單介紹。
2.1 雙棧技術(shù)
所謂雙棧技術(shù),顧名思義,就是同時支持IPv4和IPv6兩種協(xié)議的網(wǎng)絡(luò),即從用戶端到業(yè)務(wù)終端連接的所有設(shè)備都需要支持兩種協(xié)議。當(dāng)兩個端點通訊時會采用相應(yīng)的協(xié)議進行數(shù)據(jù)的傳輸。雙棧的解決方案同時支持IPv4與IPv6兩種協(xié)議,無需考慮兩者互通的問題。然而對于大型網(wǎng)絡(luò)來說,由于涉及到產(chǎn)品的升級,甚至是需要更新?lián)Q代,會耗費大量的財力人人力,因此可行性相對比較小,部署與規(guī)劃都比較復(fù)雜,由于有兩套協(xié)議,因此大大增加了網(wǎng)絡(luò)管理人員的工作難度,另外由于主機上都需要支持兩份協(xié)議,因此會消耗更多的內(nèi)在和更多的CPU。此外,由于用戶并未真正地遷移到IPv6網(wǎng)絡(luò)上,因此對于IPv6的推廣與發(fā)展直到了一定的阻礙作用。
2.2 翻譯技術(shù)
翻譯技術(shù)通常所指的就是NAT-PT,一般是在IPv4與IPv6的網(wǎng)絡(luò)邊緣部署翻譯網(wǎng)關(guān)設(shè)備,實現(xiàn)IPv4與IPv6數(shù)據(jù)包的報文的翻譯和轉(zhuǎn)換,從而使IPv4用戶可訪問IPv6資源,同時IPv6用戶也可去訪問IPv4的資源。翻譯網(wǎng)關(guān)的部署相對簡單,且由于實現(xiàn)了多個IPv6的Host可以同時共用一個IPv4地址,一定程度上解決了地址枯竭的問題。然而由于網(wǎng)關(guān)是基于應(yīng)用層的,針對不同的應(yīng)用需要開發(fā)不同的ALG,而且現(xiàn)有的網(wǎng)絡(luò)應(yīng)用層出不窮,如果大范圍的采用此方案,就需要實時的去開發(fā)滿足各類應(yīng)用的網(wǎng)關(guān),成本較大。
2.3 隧道技術(shù)
隧道技術(shù)即將IPv4的數(shù)據(jù)包封裝在IPv6數(shù)據(jù)包中進行傳輸,反之亦然,實現(xiàn)數(shù)據(jù)包在不同的網(wǎng)絡(luò)中的順利傳送,隧道技術(shù)中包含6PE、6over4、隧道代理、ISATAP等多種方式。只要部署了足夠多的隧道服務(wù)器,并有足夠的網(wǎng)絡(luò)帶寬支撐,隧道的實現(xiàn)即是一種軟件配置的過程,技術(shù)實現(xiàn)方式簡單,能協(xié)助網(wǎng)絡(luò)管理人員快速實現(xiàn)新一代協(xié)議的部署,并實現(xiàn)網(wǎng)絡(luò)的優(yōu)化。然而由于數(shù)據(jù)包需要封裝和解封裝,因此隧道設(shè)備一般都是成對部署的,與雙棧方式相同的一個弊端就是不適用于大型網(wǎng)絡(luò)的過渡。
2.4 Socks64技術(shù)
這種技術(shù)的基本原理是通過客戶端與網(wǎng)關(guān)的通信,來實現(xiàn)IPv4與IPv6主機之間的互聯(lián)互通。其中網(wǎng)關(guān)必須同時支持IPv4與IPv6兩種協(xié)議棧,即在網(wǎng)關(guān)處需要同時接入IPv4與IPv6網(wǎng)絡(luò),來自客戶端的數(shù)據(jù)包,無論是IPv4還是IPv6的,網(wǎng)關(guān)都可以進行處理,并轉(zhuǎn)發(fā)至相應(yīng)的目的端。由于網(wǎng)關(guān)來進行協(xié)議的轉(zhuǎn)換與處理,因此一旦在大型網(wǎng)絡(luò)中部署,必須要求這個網(wǎng)關(guān)的吞吐量、處理性能達到一定的標(biāo)準(zhǔn),且在網(wǎng)絡(luò)過渡時期,網(wǎng)關(guān)一般部署在網(wǎng)絡(luò)邊緣,便于能夠更高效地處理用戶請求。這種解決方案的優(yōu)點即部署網(wǎng)關(guān)成功后,無需考慮用戶端發(fā)起請求的類型,都可進行數(shù)據(jù)轉(zhuǎn)發(fā)。但是客戶端的推廣安裝成為一大問題,且由于是客戶端與網(wǎng)關(guān)通訊的模式,因此會出現(xiàn)一定的性能瓶頸。
3.IPv6網(wǎng)絡(luò)安全研究
在傳統(tǒng)的IPv6網(wǎng)絡(luò)體系架構(gòu)里,網(wǎng)絡(luò)安全的策略,是在應(yīng)用層上進行安全的防范,或?qū)︵]件進行加密,在訪問網(wǎng)頁時進行數(shù)據(jù)加密,并未對網(wǎng)絡(luò)層進行處理。在1995年,IETF制定了在IP層的安全規(guī)范,即IPSec(IP Security)。由于IPv6集成了IPSec協(xié)議,因此在IPv6的安全體系架構(gòu)中,IPSec便是核心。
3.1 IPv6網(wǎng)絡(luò)安全優(yōu)勢——IPSec
IPv6一個最大的優(yōu)勢就是,集成了IPSec,也就意味著它能夠提供完備的安全服務(wù),包括數(shù)據(jù)來源的強認證,保障數(shù)據(jù)傳輸?shù)臋C密性和完整性,同時也可以進行數(shù)據(jù)的訪問控制,抵御數(shù)據(jù)重復(fù)發(fā)送等攻擊。為IPSec的體系結(jié)構(gòu),包含三個基本的協(xié)議,其中AH協(xié)議(驗證頭)用于保障數(shù)據(jù)的完整性和驗證數(shù)據(jù)的來源;加密功能和機制是由ESP協(xié)議(封裝安全載荷)來提供;同時ISAKMP協(xié)議(即密鑰管理協(xié)議)主要用于實現(xiàn)前兩種協(xié)議在交流時信息安全。
3.2 IPv6網(wǎng)絡(luò)安全優(yōu)勢——地址可溯源
目前采用的IPv4地址協(xié)議,存在的最大問題,就是使用了大量的私有地址,通過NAT技術(shù),多個私有地址,可能通過同一個公網(wǎng)IP去訪問互聯(lián)網(wǎng),這種情況,就存在一個安全隱患,如果某一個用戶發(fā)布了一條反動信息,或者非法言論,無法快速定位到IP,給網(wǎng)絡(luò)管理人員造成很大的工作難度。IPv6海量的IP地址,完全摒棄了私有地址的概念,可為每一個終端分配一個單獨使用的IP地址,一旦出現(xiàn)問題,將快速查找到源地址,保障網(wǎng)絡(luò)的健康。
3.3 IPv6網(wǎng)絡(luò)安全優(yōu)勢——反偵察能力
大部分的黑客或者惡意程序,都會通過掃描某個子網(wǎng)來最終確定攻擊的IP地址、應(yīng)用和服務(wù),而IP地址量相當(dāng)大,可大大降低網(wǎng)絡(luò)偵察的能力,有效地防范類似的網(wǎng)絡(luò)攻擊。
4.IPv6網(wǎng)絡(luò)可能存在的問題
4.1 無法解決網(wǎng)絡(luò)層以上的安全問題
IPv6集成的IPSec功能,只是解決了網(wǎng)絡(luò)層的安全問題,面對網(wǎng)絡(luò)層以上的攻擊,IPv6仍然無法解決的,如垃圾郵件、惡意代碼、蠕蟲、系統(tǒng)漏洞等攻擊,還是需要相應(yīng)的防病毒安全廠家來解決。
4.2 無法處理數(shù)據(jù)解密過程的攻擊
IPv6采取對數(shù)據(jù)的加密,但是用戶在正常接收數(shù)據(jù)后,需要解密,如何攻擊者在解決過程中添加相關(guān)的干預(yù)手段,加長解密的時間,這將會消耗大量的系統(tǒng)資源,甚至可能造成系統(tǒng)癱瘓。
4.3 加密方面的安全隱患
IPSec中采用了加密算法和密鑰的管理。對于加密算法,沒有哪一個加密算法能夠確保其絕對安全的,這是本身的局限性,另一方面,對于密鑰的管理,由于依賴于PKI,而此項技術(shù)目前還未在國際上形成統(tǒng)一完善的標(biāo)準(zhǔn),因此安全性是否可靠也有待考證。
5.結(jié)束語
向IPv6的遷移是大勢所趨,各項過渡技術(shù)都已發(fā)展成熟,并形成了相應(yīng)的標(biāo)準(zhǔn),但是均存在優(yōu)缺點,需要將各項技術(shù)進行去長補短,綜合利用,設(shè)計出一種通用易行的解決方案。對于IPv6的網(wǎng)絡(luò)安全問題,本身其已經(jīng)在網(wǎng)絡(luò)層建立了一層安全壁壘,但仍存在其它方面的安全威脅,且在過渡過程中,對IPv4的網(wǎng)絡(luò)體系中的設(shè)備也構(gòu)成了一定的挑戰(zhàn)。因此,無論是在IPv6的關(guān)鍵技術(shù)方面,還是在網(wǎng)絡(luò)安全方面,都還需要業(yè)界人士的不斷研究與驗證,以實現(xiàn)平滑、安全的網(wǎng)絡(luò)遷移。
評論