浅释IPv6
时间:03-24
来源:巧巧读书
点击:
三、IPv6中的安全协议
安全问题是Internet应用中的一个重要问题。由于在 IP协议设计之初没有考虑安全性,因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等事情。为了加强Internet的安全性,从 1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IP Security,IPSec)协议。IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。 IPSec提供了两种安全机制:认证和加密。认证机制是指 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性,以防数据因在传输过程中被他人窃取而失密。
IPSec的认证包头(Authentication Header,AH)协议定义了认证的应用方法,封装安全负载(Encapsulating Security Payload,ESP)协议定义了加密和可选认证的应用方法。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。
在一个特定的IP通信中使用AH或ESP时,协议将与一组安全信息和服务发生关联,称为安全关联(Security Association,SA)。SA可以包含认证算法、加密算法、用于认证和加密的密钥。IPSec使用一种密钥分配和交换协议,如Internet安全关联和密钥管理协议(ISAKMP),来创建和维护SA。SA是一个单向的逻辑连接,即两个主机之间的认证通信将使用两个SA,分别用于通信的发送方和接收方。
IPSec定义了两种模式的SA:传输模式SA和隧道模式SA。传输模式SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP包头,隧道模式SA是将整个原始的IP数据包放入一个新的IP数据包中。在采用隧道模式SA时,每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。传输模式SA只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。
做为IPv6的一个组成部分,IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。因此,验证一个Web会话,依然需要使用SSL协议。
四、IPv6的功能变化
IPv6技术在IP报头中删除了一些不必要的IPv4功能,加强了IPv4原有的一些功能,并且还增加了许多新功能。这些新增的功能是:
1、anycast功能
anycast是指向提供同一服务的所有服务器都能识别的通用地址(anycast地址)发送IP分组,路由控制系统可以将该分组送至最近的服务器。 例如,利用anycast功能用户可以访问到离他最近的DNS服务器和文件服务器等。
2、即插即用功能
这里所说的即插即用功能是指计算机在接入Internet时可自动获取、登录必要的参数的自动配置功能和地址检索等功能。
3、安全功能
上面已经介绍过了。
4、QoS功能
利用IPv6头标中的4比特优先级域和24比特的流标记域为进行业务优先级控制提供了广阔的空间。随着互联网接入设备的日益复杂化和服务类型的多样化,网络基础设施为上层提供各种服务质量已经越来越得到人们的关注。
五、IPv4向IPv6的过渡
尽管IPv6比IPv4具有明显的先进性,但是要想在短时间内将Internet和各个企业网络中的所有系统全部从 IPv4升级到IPv6是不可能的。IPv6与IPv4系统在Internet中长期共存是不可避免的现实。因此,实现由IPv4向IPv6的平稳过渡是导入IPv6的基本前提。确保过渡期间IPv4网络与IPv6网络互通是至关重要的。
目前,从IPv4过渡到IPv6的方法有3种:兼容IPv4的IPv6地址、双IP协议栈和基于IPv4隧道的IPv6。
1、兼容IPv4的IPv6地址是一种特殊的IPv6单点广播地址,一个IPv6节点与一个IPv4节点可以使用这种地址在IPv4网络中通信。这种地址是由96个0位加上32位IPv4地址组成的,例如,假设某节点的IPv4地址是192.56.1.1,那么兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。
2、双IP协议栈是在一个系统(如一个主机或一个路由器)中同时使用IPv4和IPv6两个协议栈。这类系统既拥有 IPv4地址,也拥有IPv6地址,因而可以收发IPv4和IPv6两种IP数据包。
3、与双IP协议栈相比,基于IPv4隧道的IPv6是一种更为复杂的技术,它是将整个IPv6数据包封装在IPv4数据包中,由此实现在当前IPv4网络中的IPv6节点与IPv4节点之间的IP通信。基于IPv4隧道的IPv6实现过程分为三个步骤:封装、解封和隧道管理。封装,是指由隧道起始点创建一个IPv4 数据包头,将IPv6数据包装入一个新的IPv4数据包中。解封,是指由隧道终结点移去IPv4包头,还原原始的IPv6数据包。隧道管理,是指由隧道起始点维护隧道的配置信息,如隧道支持的最大传输单元(MTU)的尺寸等。IPv4隧道有四种方案:路由器对路由器、主机对路由器、主机对主机、路由器对主机。
安全问题是Internet应用中的一个重要问题。由于在 IP协议设计之初没有考虑安全性,因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等事情。为了加强Internet的安全性,从 1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IP Security,IPSec)协议。IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。 IPSec提供了两种安全机制:认证和加密。认证机制是指 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性,以防数据因在传输过程中被他人窃取而失密。
IPSec的认证包头(Authentication Header,AH)协议定义了认证的应用方法,封装安全负载(Encapsulating Security Payload,ESP)协议定义了加密和可选认证的应用方法。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。
在一个特定的IP通信中使用AH或ESP时,协议将与一组安全信息和服务发生关联,称为安全关联(Security Association,SA)。SA可以包含认证算法、加密算法、用于认证和加密的密钥。IPSec使用一种密钥分配和交换协议,如Internet安全关联和密钥管理协议(ISAKMP),来创建和维护SA。SA是一个单向的逻辑连接,即两个主机之间的认证通信将使用两个SA,分别用于通信的发送方和接收方。
IPSec定义了两种模式的SA:传输模式SA和隧道模式SA。传输模式SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP包头,隧道模式SA是将整个原始的IP数据包放入一个新的IP数据包中。在采用隧道模式SA时,每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP数据包最终的目的地址。传输模式SA只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。
做为IPv6的一个组成部分,IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。因此,验证一个Web会话,依然需要使用SSL协议。
四、IPv6的功能变化
IPv6技术在IP报头中删除了一些不必要的IPv4功能,加强了IPv4原有的一些功能,并且还增加了许多新功能。这些新增的功能是:
1、anycast功能
anycast是指向提供同一服务的所有服务器都能识别的通用地址(anycast地址)发送IP分组,路由控制系统可以将该分组送至最近的服务器。 例如,利用anycast功能用户可以访问到离他最近的DNS服务器和文件服务器等。
2、即插即用功能
这里所说的即插即用功能是指计算机在接入Internet时可自动获取、登录必要的参数的自动配置功能和地址检索等功能。
3、安全功能
上面已经介绍过了。
4、QoS功能
利用IPv6头标中的4比特优先级域和24比特的流标记域为进行业务优先级控制提供了广阔的空间。随着互联网接入设备的日益复杂化和服务类型的多样化,网络基础设施为上层提供各种服务质量已经越来越得到人们的关注。
五、IPv4向IPv6的过渡
尽管IPv6比IPv4具有明显的先进性,但是要想在短时间内将Internet和各个企业网络中的所有系统全部从 IPv4升级到IPv6是不可能的。IPv6与IPv4系统在Internet中长期共存是不可避免的现实。因此,实现由IPv4向IPv6的平稳过渡是导入IPv6的基本前提。确保过渡期间IPv4网络与IPv6网络互通是至关重要的。
目前,从IPv4过渡到IPv6的方法有3种:兼容IPv4的IPv6地址、双IP协议栈和基于IPv4隧道的IPv6。
1、兼容IPv4的IPv6地址是一种特殊的IPv6单点广播地址,一个IPv6节点与一个IPv4节点可以使用这种地址在IPv4网络中通信。这种地址是由96个0位加上32位IPv4地址组成的,例如,假设某节点的IPv4地址是192.56.1.1,那么兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。
2、双IP协议栈是在一个系统(如一个主机或一个路由器)中同时使用IPv4和IPv6两个协议栈。这类系统既拥有 IPv4地址,也拥有IPv6地址,因而可以收发IPv4和IPv6两种IP数据包。
3、与双IP协议栈相比,基于IPv4隧道的IPv6是一种更为复杂的技术,它是将整个IPv6数据包封装在IPv4数据包中,由此实现在当前IPv4网络中的IPv6节点与IPv4节点之间的IP通信。基于IPv4隧道的IPv6实现过程分为三个步骤:封装、解封和隧道管理。封装,是指由隧道起始点创建一个IPv4 数据包头,将IPv6数据包装入一个新的IPv4数据包中。解封,是指由隧道终结点移去IPv4包头,还原原始的IPv6数据包。隧道管理,是指由隧道起始点维护隧道的配置信息,如隧道支持的最大传输单元(MTU)的尺寸等。IPv4隧道有四种方案:路由器对路由器、主机对路由器、主机对主机、路由器对主机。
- IPV6技术概述(04-18)
- 入侵检测与预警概述(11-16)
- VoIP综合应用技术概述(01-07)
- IPv6 3G应用分析(01-05)
- 基于SOCKS地IPv4向IPv6过渡技术(01-08)
- 移动IPv6路由关键技术及其优化(01-08)