1.引言
随着IPv4地址的耗尽,以及网络接入用户的不断庞大,向IPv6过渡已经是势在必行,IPv6作为新一代的网络协议,不仅具有海量的IP地址资源,而且由于其数据包可以更大,从而实现更可靠、更快速地进行数据的传输,同时通过在数据报头中添加流标记和业务级别大大地改善QoS,且任何设备接入IPv6后即可获取相应的设置,大大地简化用户操作,满足移动性等要求,最重要的一点是,IPv6通过IPSec实现更高的安全性,实现了网络层的安全,但是这种安全并不绝对的,在新一代互联网中的安全威胁,还需要这个领域的专家找到完整的解决方案。
2.IPv6关键技术研究
由于现阶段几乎所有的主流应用都是基于IPv4网络协议开发的,而新的IPv6协议与IPv4协议并不兼容,因此为了保障业务的连续性,也为了保障最终用户的上网体验,两个网络的并存需要持续很长一段时间,因此两网如何实现过渡和互通,成为运营商、数据中心和内容提供商关注的焦点,以下将就目前现存且常用的IPv4向IPv6过渡的几项关键技术作简单介绍。
2.1 双栈技术
所谓双栈技术,顾名思义,就是同时支持IPv4和IPv6两种协议的网络,即从用户端到业务终端连接的所有设备都需要支持两种协议。当两个端点通讯时会采用相应的协议进行数据的传输。双栈的解决方案同时支持IPv4与IPv6两种协议,无需考虑两者互通的问题。然而对于大型网络来说,由于涉及到产品的升级,甚至是需要更新换代,会耗费大量的财力人人力,因此可行性相对比较小,部署与规划都比较复杂,由于有两套协议,因此大大增加了网络管理人员的工作难度,另外由于主机上都需要支持两份协议,因此会消耗更多的内在和更多的CPU。此外,由于用户并未真正地迁移到IPv6网络上,因此对于IPv6的推广与发展直到了一定的阻碍作用。
2.2 翻译技术
翻译技术通常所指的就是NAT-PT,一般是在IPv4与IPv6的网络边缘部署翻译网关设备,实现IPv4与IPv6数据包的报文的翻译和转换,从而使IPv4用户可访问IPv6资源,同时IPv6用户也可去访问IPv4的资源。翻译网关的部署相对简单,且由于实现了多个IPv6的Host可以同时共用一个IPv4地址,一定程度上解决了地址枯竭的问题。然而由于网关是基于应用层的,针对不同的应用需要开发不同的ALG,而且现有的网络应用层出不穷,如果大范围的采用此方案,就需要实时的去开发满足各类应用的网关,成本较大。
2.3 隧道技术
隧道技术即将IPv4的数据包封装在IPv6数据包中进行传输,反之亦然,实现数据包在不同的网络中的顺利传送,隧道技术中包含6PE、6over4、隧道代理、ISATAP等多种方式。只要部署了足够多的隧道服务器,并有足够的网络带宽支撑,隧道的实现即是一种软件配置的过程,技术实现方式简单,能协助网络管理人员快速实现新一代协议的部署,并实现网络的优化。然而由于数据包需要封装和解封装,因此隧道设备一般都是成对部署的,与双栈方式相同的一个弊端就是不适用于大型网络的过渡。
2.4 Socks64技术
这种技术的基本原理是通过客户端与网关的通信,来实现IPv4与IPv6主机之间的互联互通。其中网关必须同时支持IPv4与IPv6两种协议栈,即在网关处需要同时接入IPv4与IPv6网络,来自客户端的数据包,无论是IPv4还是IPv6的,网关都可以进行处理,并转发至相应的目的端。由于网关来进行协议的转换与处理,因此一旦在大型网络中部署,必须要求这个网关的吞吐量、处理性能达到一定的标准,且在网络过渡时期,网关一般部署在网络边缘,便于能够更高效地处理用户请求。这种解决方案的优点即部署网关成功后,无需考虑用户端发起请求的类型,都可进行数据转发。但是客户端的推广安装成为一大问题,且由于是客户端与网关通讯的模式,因此会出现一定的性能瓶颈。
3.IPv6网络安全研究
在传统的IPv6网络体系架构里,网络安全的策略,是在应用层上进行安全的防范,或对邮件进行加密,在访问网页时进行数据加密,并未对网络层进行处理。在1995年,IETF制定了在IP层的安全规范,即IPSec(IP Security)。由于IPv6集成了IPSec协议,因此在IPv6的安全体系架构中,IPSec便是核心。
3.1 IPv6网络安全优势——IPSec
IPv6一个最大的优势就是,集成了IPSec,也就意味着它能够提供完备的安全服务,包括数据来源的强认证,保障数据传输的机密性和完整性,同时也可以进行数据的访问控制,抵御数据重复发送等攻击。为IPSec的体系结构,包含三个基本的协议,其中AH协议(验证头)用于保障数据的完整性和验证数据的来源;加密功能和机制是由ESP协议(封装安全载荷)来提供;同时ISAKMP协议(即密钥管理协议)主要用于实现前两种协议在交流时信息安全。
3.2 IPv6网络安全优势——地址可溯源
目前采用的IPv4地址协议,存在的最大问题,就是使用了大量的私有地址,通过NAT技术,多个私有地址,可能通过同一个公网IP去访问互联网,这种情况,就存在一个安全隐患,如果某一个用户发布了一条反动信息,或者非法言论,无法快速定位到IP,给网络管理人员造成很大的工作难度。IPv6海量的IP地址,完全摒弃了私有地址的概念,可为每一个终端分配一个单独使用的IP地址,一旦出现问题,将快速查找到源地址,保障网络的健康。
3.3 IPv6网络安全优势——反侦察能力
大部分的黑客或者恶意程序,都会通过扫描某个子网来最终确定攻击的IP地址、应用和服务,而IP地址量相当大,可大大降低网络侦察的能力,有效地防范类似的网络攻击。
4.IPv6网络可能存在的问题
4.1 无法解决网络层以上的安全问题
IPv6集成的IPSec功能,只是解决了网络层的安全问题,面对网络层以上的攻击,IPv6仍然无法解决的,如垃圾邮件、恶意代码、蠕虫、系统漏洞等攻击,还是需要相应的防病毒安全厂家来解决。
4.2 无法处理数据解密过程的攻击
IPv6采取对数据的加密,但是用户在正常接收数据后,需要解密,如何攻击者在解决过程中添加相关的干预手段,加长解密的时间,这将会消耗大量的系统资源,甚至可能造成系统瘫痪。
4.3 加密方面的安全隐患
IPSec中采用了加密算法和密钥的管理。对于加密算法,没有哪一个加密算法能够确保其绝对安全的,这是本身的局限性,另一方面,对于密钥的管理,由于依赖于PKI,而此项技术目前还未在国际上形成统一完善的标准,因此安全性是否可靠也有待考证。
5.结束语
向IPv6的迁移是大势所趋,各项过渡技术都已发展成熟,并形成了相应的标准,但是均存在优缺点,需要将各项技术进行去长补短,综合利用,设计出一种通用易行的解决方案。对于IPv6的网络安全问题,本身其已经在网络层建立了一层安全壁垒,但仍存在其它方面的安全威胁,且在过渡过程中,对IPv4的网络体系中的设备也构成了一定的挑战。因此,无论是在IPv6的关键技术方面,还是在网络安全方面,都还需要业界人士的不断研究与验证,以实现平滑、安全的网络迁移。