IPv6对现在网络安全带来的影响

本科生毕业论文（设计）册学部：信息工程学部专业：网络工程班级：2009级1班学生：张万翔指导教师：侯卫红论文编号：2013230303022河北师范大学汇华学院本科毕业论文（设计）任务书编 号： 2013230303022 论文（设计）题目：IPv6对现在网络安全带来的影响 学 部： 信息工程学部 专业： 网络工程 班级： 2009级1班 学生姓名： 张万翔 学号： 2009513403 指导教师： 侯卫红 职称： 讲师 1、论文（设计）研究目标及主要任务研究目标：IPv6对现在网络安全的影响主要任务：通过IPv6的含义、特征、安全机制及其较IPv4的优越性分析IPv6的现状及发展趋势，并根据IPv6的安全机制分析研究其对现有网络安全的影响。2、 论文（设计）的主要内容论文先从现有IPv4的缺点和不足分析IPv6的特征及其发展趋势；然后从IP的安全性、IPv6对于网络层安全的增强、协议安全与网络安全以及其他安全保障等四个方面分析IPv6的安全机制；最后在防火墙、入侵检测、认证等方面叙述IPv6对现有网络安全的影响。3、论文（设计）的基础条件及研究路线基础条件：通过图书馆阅览室及上网查阅资料研究路线：首先概述IPv6及其现状和发展趋势，突出了IPv6的特性和发展前景；然后从四个方面对IPv6的安全架构进行分析；最后根据IPv6的安全机制逐条分析其对现有网络安全的影响。4、 主要参考文献1 YRekhter“CIDR and Glassful Routing”RFC817SIETF19952 Pete Ldshin“IPv6详解”M机械工业出版20003 Sandeep KnmarCLASSIFICATION AND DETECTION OF COMPUTER INTRUSIONS”PhD thesisMPurdue University20105、计划进度阶段起止日期1开题2012.11.152收集资料2012.11.15-2013.02.013完成初稿2013.02.01-2013.03.204修改、完成二稿2013.03.20-2013.04.205定稿、答辩2013.04.20-2013.05.15指 导 教师: 2012 年 12 月 20 日教研室主任: 年 月 日河北师范大学汇华学院本科生毕业论文（设计）开题报告书 信息工程 学部 网络工程 专业 2013 届学生姓名张万翔论文（设计）题目IPv6对现在网络安全带来的影响指导教师侯卫红专业职称讲师所属教研室网络工程研究方向计算机应用课题论证：（见附页）方案设计：首先阐述了IPv6的含义及特征，通过比较IPv4和IPv6的功能和特点分析了IPv6的现状和发展趋势；然后通过对现行IP的安全性、IPv6对于网络层安全的增强、协议安全与网络安全以及其他安全保障等方面诠释了IPv6的安全机制；最后从防火墙、入侵检测、取证等方面分析了IPv6的安全机制对现有网络安全体系的影响。进度计划： 2012.11.15：开题 2012.11.15-2013.02.01：收集资料 2013.02.01-2013.03.20：完成初稿2013.03.20-2013.04.20：修改、完成二稿2013.04.20-2013.05.15：定稿、答辩指导教师意见：指导教师签名： 2012 年 12 月 20 日教研室意见： 教研室主任签名： 2012 年 12 月 20 日 河北师范大学本科生毕业论文（设计）开题报告（附页 ）课题论证：一、国内外研究现状和研究背景：随着互联网的迅速发展，IPv4定义的有限地址空间消耗速度正在逐年加快，虽然采取了许多节约地址的方法（这些方法同时也带来了安全等其他方面的问题），但据IETF（Internet工程任务组）估计，按照互联网现在的发展速度，IPv4地址仍将会在2005-2010年间被分配完毕.IPv6（互联网协议版本6）就是在这种情况下应运而生的.日本是发展IPv6最早的国家之一，也是发展IPv6速度最快的国家.由于错过了上世纪互联网与移动通信的发展机会，因此日本政府决心利用3G和IPv6的发展契机急起直追，使日本重新回到在通信、电子领域全球最先进国家行列.日本政府对IPv6的发展极为重视，甚至把IPv6技术的发展作为政府“超高速网络建设和竞争”的一项基本政策，并在2001年3月的“e-Japan重点计划”中确定了于2005年完成互联网向IPv6过渡的目标.日本政府自1992年起就开始进行IPv6的研发和标准化工作，并且取得了相当大的成果，在研发和应用方面都属于世界前列.我国是IPv6研究工作启动较早的国家之一，我国政府对IPv6在我国的发展也高度重视.中国教育科研网（CERNET）于1998年建立了国内第一个IPv6试验床CERNETv6，标志着我国IPv6研究工作进入了实质阶段.随后，我国政府又开展了一系列IPv6研究项目和相关工作.1999年，国家自然科学基金联合项目“中国高速互联研究试验网NSFCNET”启动；2002年，信息产业部“下一代IP电信实验网（6TNet）”项目启动，科技部863信息领域专项“高性能宽带信息网（3Tnet）”启动；2003年，信息产业部颁发首张IPv6核心路由器入网试用批文；由邬贺铨院士出任专家组组长的中国下一代互联网示范项目（CNGI）全面启动，协和医院等SARS定点医院采用“IPv6新一代网络远程医疗、探视系统”标志着我国IPv6已经开始进入商业试用阶段.二、课题研究的内容：首先介绍新一代网络协议IPv6，从其地址构成，优点等方面进行论述，对其头部进行分析，说明ICMPv6的一些知识，对IPv6的网络安全进行了概述；然后分析研究网络安全技术，主要介绍防火墙技术、虚拟专用网和入侵检测技术，对IPv6网络安全系统进行论述；其次对Linux中IPv6协议栈进行分析研究，分析说明Linux内核中几个重要的结构，对Linux网络设备初始化和路由系统进行论述说明；最后基于对Linux中IPv6协议栈的分析设计实现一个IPv6 环境下的基于状态检测的包过滤防火墙.设计其整体架构，对其中重要模块实现流程进行了分析，进行仿真测试. 三、课题研究的意义：随着移动互联网、物联网、三网融合等研究的开展，下一代互联网研究正在如火如荼地展开.IPv6作为下一代互联网的基础协议，自然也是研究的热点.未来的竞争是价值链之间的竞争.因此，我国应该继续极大IPv6发展的力度，通过政府的统筹规划和宏观指导，设备制造商、应用提供商、运营商、业务提供商等的精诚协作，有步骤、有计划、分阶段、分层次地推动IPv6的发展，首先把国内的价值链做大做强，使得整个行业能够协调发展起来，这样才能使我国获得战略性的整体竞争优势，实现我们强国的梦想. 四、研究方案及其可行性：具体的研究采用文献资料，综合运用大学阶段学习的数学分析课程的有关知识，通过专家调研和文献调研，结合互联网上查到的相关资料和个人、组织在各种刊物上发表的研究函数列一致可积中存在的问题与解决方法的文章，并向相关专业教师特别是指导老师当面请教.河北师范大学汇华学院本科生毕业论文（设计）文献综述随着电子技术及网络技术的发展，计算机网络将进入人们的日常生活，可能身边的每一样东西都需要连入全球因特网.目前我们使用的第二代互联网IPv4技术，核心技术属于美国.它的最大问题是网络地址资源有限，从理论上讲，IPv4技术可使用的IP地址有43亿个，其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国只有3千多万个，只相当于美国麻省理工学院的数量.地址不足，严重地制约了我国及其他国家互联网的应用和发展.但是与IPv4一样，IPv6一样会造成大量的IP地址浪费.准确的说，使用IPv6的网络并没有2128-1个能充分利用的地址.首先，要实现IP地址的自动配置，局域网所使用的子网的前缀必须等于64，但是很少有一个局域网能容纳264个网络终端；其次，由于IPv6的地址分配必须遵循聚类的原则，地址的浪费在所难免.但是，如果说IPv4实现的只是人机对话，而IPv6则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在，无处不在的深入社会每个角落的真正的宽带网.而且它所带来的经济效益将非常巨大.由lP地址危机产生和发展起来的IPv6作为下一代互联网协议已经得到了各方的公认，未来互联网的发展离不开IPv6的支持和应用.正因为如此，目前各方面都在加紧对IPv6的研究和应用开发.但是，IPv6的发展主要依靠政府和厂商两方面的支持.(1)政府支持.许多国家对IPv6技术都已经引起足够的重视，并且都采取了一些切实可行的措施，尤其是一些欧洲国家.作为互联网络的发源地，美国也在积极地进行IPv6的研究和建设.中国对于IPv6技术的态度也是很积极的，并且在部分地区实行了网上实验，进一步推动中国IPv6的开展.中国政府也密切关注着IPv6的发展，目前中国高校和科研机构已经与国外一些运营商合作，对IPv6进行研究实验.为进一步发展IPv6技术，中国政府也投入了相当数量的资金，然而，该协议在巾国的大规模应用还要有一段时间.(2)厂商支持.IIJv6作为下一代互联网协议已经引起了各地区、各运营商的足够重视，因为所有人都已经认识到这样一种前景：谁能够率先在IPv6方面有所作为，谁就能够在未来的竞争中占据有利位置.在众多的设备提供商和运营商的努力下，IPv6协议已经从实验室走向了应用阶段.已经有50多个国家和地区加入有关IPv6的研究.法、日、美等国的研究机构，IBM、Sun、日立等公司，分别研制开发了不同平台上的IPv6系统软件和应用软件；美国思科、加拿大北电网络、Nokia等路由器厂商已经开发出了面向IPv6网络的路由器产品.操作系统方面，基于开放源码的Linux对IPv6提供了比较强的支持，Sun、IBM、康柏、惠普和微软的最新操作系统都提供了IPv6支持.IP网处于一个重要发展阶段，IP网从计算机互联网领域进入电信领域，期望将全部电信业务综合到IP网上.当然，能完全综合电信业务的IP网不是简单地将现有Internet网用的IP技术搬过来在网络节点设备做一些冗余备份以增加网元设备的稳定性就可以完成IP网必须要有革命性的变化.这是因为，电信网和Internet网的理念不一样电信网是提供商业服务的，它提供的电信服务是一种商品因而它要保证服务质量，要有足够的安全性、可靠性和能够确保售后服务能力，它必须有很强的可管理性和可维护性.用电信网的设计理念设计的IP网是1P电信网.IP技术一旦进入电信领域，首当其冲的问题是地址问题，IP电信网是要能持续发展的，IPv4无法支持持续发展，因而使用IPv6势在必行.宽带接入网在国内发展势头很猛.宽带接入网遇到的最大困难是IP地址问题.由于业务特征的不同，窄带业务与宽带业务有很大的差别，窄带业务一般以不对称和非实时方式工作，典型的业务是信息检索和电子信箱，用户无需永远在线，用户使用时在线，用户不用时离线；宽带业务一般以对称和实时方式工作，典型的业务是电话、会议电视、信息点播等，业务的对称性就决定宽带用户必须是永远在线的，如果不是永远在线，其他用户就找不到它，对称业务就无法开展，永远在线，就意味着用户必须至少拥有一个lP地址.目前采用的办法是网络地址转换(NAT)技术，或利用端lZt复用技术或使用私有lP地址，来扩大公开IP地址的使用率；这是一个不得已而为之的技术，存在的弊病很多，问题很大.无线数据业务的迅速增长和快速发展，同样提出对lP地址的要求，地址问题的解决迫在眉睫，它将要严重的影响通信产业的发展.这也要求将IPv6的使用提到日程上来.CNGI项日的启动，对于我国发展IPv6来说，是一个很好的契机，CNGI项目的目标之一是期望通过示范网引导国内信息产业的发展，CNGI不直接与短期经济利益挂钩，而是从国家的长远利益来考虑问题，从发展的眼光来指导产业的进步.当然，目前IPv6技术上还不成熟，IPv6的设备的性能还不及IPv4的性能IPv6网的性能还达不到目前IPv4网的性能，仅靠IPv6还解决不了IP网的三大顽疾：商业模型问题、安全问题和服务质量问题.存在的问题很多，用什么技术路线去实现CNGI的目标，目前还不明确，CNGI项目将会面临巨大的挑战，另一方面，CNGI项目拥有巨大的创新机遇.对CNGI项目来说，机遇与挑战并存.作为一个互联网和移动通信大国，在下一代互联网标准和资源分配中占领主动地位是目前我国信息产业发展的重中之重.IPv6作为互联网的核心基本技术，将带动大量相关技术和服务的发展，提升信息产业的整体实力，为巾国的毹息产业带来新的发展机遇.河北师范大学汇华学院本科生毕业论文（设计）翻译文章网络安全在计算机网络最初出现的几十年里，它主要用于在各大学的研究人员之间传送电子邮件，以及共同合作的职员间共享打印机。在这种条件下，安全性未能引起足够的注意，但是现在，众多的普通市民使用网络来处理银行事物、购物和纳税，网络安全逐渐成为一个潜在的巨大问题。以下将从不同的角度来介绍网络安全性。1.简介安全性是一个涉及面很广的问题，其中也涉及到是否构成犯罪行为的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人儿故意引起的。网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是指保护信息不被未授权者访问，这是人们在谈论网络安全性时最常想到的问题。鉴别主要指在揭示敏感信息或进行事务处理之间先确认对方的身份。反拒认主要与签名有关：当你的客户下了一份要采购1000万双手套的订单，后来她宣称每双的价格是69美分，如何证明她原先答应的价格是89美分呢？最后如何确定自己收到的消息是最初发送的那条消息，而不是被有恶意的敌人篡改或伪造过的呢？所有这些问题（保密、鉴别、反拒认和完整性控制）也发生在传统的系统中，但却有很大的差别。在讨论解决方法之前，值得花些时间考虑网络安全性属于协议组的哪一部分内容。可能无法确定一个单独的位置，因为安全性与每一层都有关。2.传统加密技术在计算机出现之前，加密的主要困难之一是译码员的译码能力，尤其是在装备简陋的战场。另一个困难是从一种加密方法到另一种加密方法的转换，因为这需要重新训练一大批人。然而，由于敌人可能俘获译码员，故而快速更换加密方法是基本要求。要加密的信息成为明文，经过以密钥为函数的参数加以转换。加密过程的输出，即密文，再由传令兵或无线电进行发送。假定敌人或称侵犯者，听到或准确复制了全部的电文，但是她不像合法接受者那样能知道密钥，因而不能轻易地破译密文，有时候侵犯者不仅监听通信信道（被动侵犯者），而且还要记录信息供以后重放，并要在信息到达接收者之前插入自己的信息或修改合法信息（主动侵犯者）。破译密码被称作密码分析。设计密码（加密）和破译密码（解码）的技术统称为密码学。要想实现真正的保密就必须设计出性能良好的密钥，其长度是要考虑的主要问题。例如一个简单的组合锁，基本原理是用户输入数字序列，每个人都知道这点，但密钥是保密的。一个2位数字的密钥意味着有100种可能性。一个3位数字的密钥意味着有1000种可能性。一个6位数字的密钥则意味着有100万种可能性。密钥越长，破译者需要处理的工作因子越高。通过密钥空间的穷举搜索来破译系统的工作因子与密钥长度成指数关系。保密性由强有力（但公开）的算法和长密钥来保证。为了防止其她人读取你的电子邮件，需要64位的密钥；为了防止主要政府部门陷入绝境，至少需要256位的密钥。3.两条基本加密原则尽管下面将要讨论多种不同的加密系统，但所有这些系统却都基于两条重要的原则。第1条 是所有的加密消息都包含有冗余的信息，即对于这条消息的理解无帮助的信息。下面通过一个例子说明为什么这是必需的。一家名叫Couch Potato(TCP)的邮件订单公司，拥有60000件产品。假设她们的效率很高，TCP的程序员决定订单信息由16字节的用户名和3字节数据组成（1字节数量，2字节产品号）。最后3字节使用很长的密钥加密。此密钥只有客户和TCP知道。最初看来这似乎很安全，因为被动的入侵者无法解密信息。不幸的是，存在着一个致命的缺点是它毫无用处。假设一个最近被解雇的雇员想要报复TCP。在离开时，她带走了部分的客户名单。她通宵达旦地工作，编写一个程序来生成使用真实客户名的假订单。由于她不知道密钥，她在最后3字节填上随机数，并发了上百份订单给TCP。当TCP收到这些信息时，计算机通过客户名来确定密钥并对信息解码。糟糕的是，由于几乎每条3字节信息都是有效的，所以计算机开始打印出发货的命令。尽管一个客户订购137套小孩的秋千或240个沙盒看上去很奇怪，但计算机可能认为客户打算开一批获得特许的游乐园。通过这种方法，一个主动地入侵者（被解雇者）会引起巨大的麻烦，尽管她不了解自己的计算机产生的信息。这个问题可以通过对消息增加冗余来解决。但是，增加冗余也使破译者更容易破译信息。由此可知，加密原则本身就是所有信息必须包含冗余信息以防止积极的入侵者欺骗接受者，使接受者获得错误的信息。但是，同样的冗余信息使消极入侵者破坏系统更容易，因此，这里还是存在一些问题。另外，冗余信息绝对不能采取在信息的开头或末尾设置n个零的形式，因为用某些加密算法加密这样的信息会使得结果更加容易推测，从而使破译者的工作更为容易。对冗余来说，随机的英文单词串更好一些。第2条 加密原则是必须采取措施来防止主动入侵者发回旧的信息。如果不采取这样的措施，那么被解雇者就可能窃听TCP的电话，并且不断地发送已经发送过的有效信息。4.鉴别协议鉴别是验证通信对象是原定的那位而不是冒名顶替者的技术。验证远程过程实体是否是一个恶意的积极入侵者十分困难，并需要基于密码学的复杂协议。本部分我们将研究几个用于不安全的计算机网络中的鉴别协议。另外，有些人弄混了授权与鉴别。鉴别关心的是是否在和一个特定的进程进行通信。授权关心的是允许此进程做什么。例如，一个客户进程向一个文件服务器发出请求：“我是Scott的进程，我想要删除文件Cookbook .old。”从文件服务器的观点看来，有两个问题必须回答：这是否确实是Scott的进程（鉴别）？允许Scott删除Cookbook .old吗（授权）？只有在对这两个问题都做出了肯定答复后，请求的动作才会执行，前一个问题是关键问题。一旦文件服务器知道自己与谁通话，查看授权就成为了一个仅仅是查看本地表的问题。For the first few decades of their existence, computer networks were primarily used by university research for sending email, and by corporate employees for sharing printers. Under these condition , security did not get a lot of attention. But now, as million of ordinary citizens are using networks for banking, shopping, and filing their tax returns, network security is looming on the horizon as a potentially massive problem. In the following sections, we will study network security from several angles.Network Security Technology1.Introduction Security is a broad topic and covers a multitude of sins. Most security problem are intentionally caused by malicious people trying to gain some benefit or harm someone. Network security can be roughly divided into four interwoven parts: confidentiality, identification, refused to recognize and integrity control. Privacy is refers to protect information from the grantee not access, this is most often think of when people talk about network security problem. Identification mainly refers to between reveal sensitive information or for the transaction to confirm the identity of the other first. Anti refused to recognize the main associated with signature: when your clients under the order for a want to buy 10 million pairs of gloves, and she later claimed that each pair is the price of 69 cents, 89 cents is the price of how to prove that she had promised to? Finally how to determine whether your received message is first sent that message, rather than being malicious tampering or forgery of enemy? All of these problems (confidentiality), identification, refused to recognize and integrity control also occurred in the traditional system, but theres a big difference. Prior to discuss solutions, it is worth taking a moment to consider network security is which part of the contents of the protocol group. May not be able to identify a single location, security and a layer.2.Traditional Cryptography Before the advent of the computer, one of the major difficulties of encryption The decoder decoding capability, especially in poorly equipped battlefield. Another difficulty is the conversion of an encryption method, an encryption method to retrain because it requires a large number of people. However, since the enemy may capture decoding members, hence the quick-change encryption method is a basic requirement.Become clear, the information to be encrypted key as a function of parameters to convert. The output of the encryption process, i.e. the ciphertext, and then by a messenger or radio transmission. Assume that the enemy or alleged violations to hear or accurate copy of the message, but she was not a legitimate recipient as know the key, and thus can not easily decipher the ciphertext, sometimes violating not only listening to the communication channel (passive offenders ), but also to record the information for later playback, and insert your own information or to modify the legal information (active offenders) before the information reaches the recipient. Decipher the password is called cryptanalysis. Design password (encryption) and decipher the password (decoding) technology collectively referred to as cryptography.In order to achieve real confidentiality must design a good key, its length is a major consideration. For example, a simple combination lock, the basic principle is the user to enter a sequence of numbers, everyone knows this, but the key is kept secret. A 2-bit digital key means that there are 100 possibilities. A 3-digit key means 1000 possibilities. A 6-digit key means that there are 100 million possible combinations. The longer the key, the higher the factor decipher need to be addressed. System to decipher the work factor and key length exponential relationship through an exhaustive search of the key space. Confidentiality is guaranteed by the strong (public) algorithms and long keys. In order to prevent her to read your e-mail, you need a 64-bit key; desperate to prevent major government departments, need at least a 256-bit key.3.Two Fundamental Cryptographic Principles Although the following will be discussed a variety of different encryption system, but all of these systems are nothing but based on two important principles. The first is all encrypted messages contain redundant information, that is no help in the understanding of this message. The following is an example of why this is necessary. Company called Couch Potato (TCP) mail order company, with 60,000. Assuming their high efficiency, TCP programmer determines the quantity of the order information from the 16 bytes of the user name and 3 bytes of data (1 byte 2 bytes Number). The last 3 bytes long encryption key. This key customers and TCP know. Appears at first sight this seems to be very safe, because passive intruder can not decrypt the message. Unfortunately, there is a fatal flaw is that it is useless. Assume a dismissed employee wants revenge TCP. When they left, she took the part of the customer list. Her work through the night to write a program that creates a false orders using real customer name. Because she does not know the key, she fill in the last 3 bytes of random numbers, concurrent hundreds of orders to TCP. When TCP receives this information, the computer to determine the key and decode the information by customer name. Bad, because almost every 3 bytes are valid, so the computer to start printing Example command. Although a customer orders 137 sets of childrens swing or 240 sandbox seem odd, but the computer that the customer intends to open a number of license amusement park. In this way, an active intruder (dismissal) can cause a great deal of trouble, even though she did not understand their own computer-generated information.This problem can be solved by adding redundancy to the message to. However, increasing the redundancy to decipher it easier to decipher the information. Therefore, encryption principle is that all information must contain redundant information in order to prevent an active intruder to deceive the recipient, the recipient of wrong information. However, the same redundant information so that the system of negative intruders easier, so here there are some problems. In addition, redundant information must not be taken at the beginning or the end of the set in the form of the n zeros, because some of the encryption algorithm such information will make the results easier to speculate, to decipher the work easier. Redundant, random English word train better. The second encrypted principles must take measures to prevent active intruders back to the old information. If you do not take such measures, was fired eavesdropping the TCP telephone, and send the information has been sent.4.Secret-Key Algorithms Identification is to verify that the communication object is the original who is not an impostor technology. Verify that the remote procedure whether an entity is a malicious intruder positive is very difficult and requires complex protocols based on cryptography. In this section we will study several authentication protocol for insecure computer network. In addition, some people confused authorization and authentication. The concern is to identify whether a particular process communication. The authorized concern is to allow this process to do what. For example, a client process makes a request to a file server: I am the process of Scott, I want to delete a file Cookbook. old. From the file server point of view, two questions must be answered: Are you sure you Scott process (identification)? Allow Scott to delete Cookbook. old (authorization)? Only in these two issues have made a positive reply, the requested action will be executed before a problem is the key issue. Once the file server know who to call, view authorized to become a just view the local table.本科生毕业论文设计IPv6对现在网络安全带来的影响作者姓名：张万翔指导教师：侯卫红所在学部：信息工程学部专 业：网络工程班级（届）：2009级1班二一三年五月一日目 录中文摘要、关键字I1 绪论11.1 IPv6概述1 1.2 IPv6的发展现状与趋势22 IPv6的安全机制6 2.1 现行IP的安全性6 2.2 IPv6对于网络层安全的增强7 2.2.1 认证报头72.2.2 封装化安全净荷8 2.3 协议安全与网络安全8 2.4 其他安全保障93 IPv6的安全机制对现有网络安全体系的影响9 3.1 防火墙10 3.2 入侵检测11 3.3 取证11 3.4 其他125 IPv6提高网络安全性同时面临新问题12参考文献13英文摘要、关键字IIIPv6对现在网络安全带来的影响摘要：本文介绍了IPv6的现状和发展趋势、安全网络架构，并通过对比IPv4协议与IPv6协议体现IPv6的安全机制对现有网络安全体系的影响.IPv6不但解决了当今IP地址匮乏的问题，并且由于它引入了认证和加密机制，实现了基于网络层的身份认证，确保了数据包的完整性和机密性.因此，可以说IPv6实现了网络层安全.但是，这种安全并不是绝对的.并且由于IPv6的安全机制给当前的网络安全体系带来了新的挑战，致使许多在现有的网络中对保护网络安全中起着重要作用的工具受到了巨大的冲击，急需安全专家进一步研究和积累经验，尽快找出合适的方法解决.关键词：IPv6 网络安全 影响IPv6对现在网络安全带来的影响1 绪论由于 IPv4在设计之初在资源限制上较为保守，所以现在Internet的爆炸性增长引发了网络地址不足的危机，并且这个危机正日益严重，按目前入网主机的增长速度，预计到5年左右IP地址将将被耗尽；另一方面，出于安全和私密性的考虑，越来越多的商业机构和政府部门不再愿意在不安全的网络上发送他们敏感的信息和进行明文的交流，从而导致对于加密认证的需求飞速增长。为了解决这些问题，IETF从1992年起就开始了相关的研究，并于1994年提出了IPng建议草案.1995年底IETF提出了正式的协议规范，这个规范又经过进一步的修改，成为今天的IPv6.IPv6采用了128位的地址空间，彻底解决IPv4地址不足的问题.为了加强安全性，IPv6中定义了认证报头（Authentication Header，AH）和封装化安全净荷（Encapsulating Security Payload，ESP），从而使在IPv4中仅仅作为选项使用的IPsec协议成为IPv6的有机组成部分.IPsec提供了两种安全机制：加密和认证.加密是通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密.认证使得IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动.可以说，正是由于IPsec的引入，使得IPv6在网络层的安全性上得到了很大的增强.但是它的应用也带来的一些新的问题，并且对于现行的网络安全体系提出了新的要求和挑战.1.1 IPv6 概述 IPv6(Internet Protocol Version 6)是IETF设计的用于替代现行版本IPv4协议的下一代IP协议。目前的全球因特网所采用的协议族是TCP/IP协议族，其网络层的协议就是IP，同时也是TCP/IP协议族的核心协议。随着电子网络技术的发展，计算机将逐渐进入人们的日常生活，我们的生活点滴都将进入Internet，正是在这样的环境下，IPv6应运而生。IPv6是可以无限制地增加IP网址数量，并且拥有卓越网络安全性能和巨大网址空间等特点的新一代互联网协议。特点表现为：(1)地址空间巨大：IPv6地址空间由IPv4的32位扩大到128位，地址空间增大了2的96次方倍。(2)地址层次丰富且分配合理：IPv6的终端管理机构将某一确定的TLA分配给某些骨干网的ISP，然后骨干网ISP再有选择性地为各个中小ISP分配NLA，而Internet用户则从中小ISP获得单一的IP地址。(3)灵活的IP报文头部格式：IPv6用固定格式的扩展头部取代了IPv4中可变长度的选项字段，并且选项部分的出现方式也有所变化。(4)提高lP层网络安全性能：IPv6要求强制实施Internet网络安全协议IPSec，并将其标准化。该协议支持验证头协议、封装安全性载荷协议和密钥交换IKE协议，这3种协议将是未来因特网的安全标准。IPv6除拥有上述特性以外，还具有无状态自动配置、简化报文头部格式、支持多类型服务以及允许协议继续演变等特性。1.2 IPv6的发展现状与趋势 目前我们正在使用的互联网是建立在IPv4 协议（互联网协议版本4）基础之上的，IPv4采用32位地址长度，只有大约43亿个地址.随着互联网的迅速发展，IPv4定义的有限地址空间消耗速度正在逐年加快，虽然采取了许多节约地址的方法（这些方法同时也带来了安全等其他方面的问题），但据IETF（Internet工程任务组）估计，按照互联网现在的发展速度，IPv4地址仍将会在2005-2010年间被分配完毕.IPv6（互联网协议版本6）就是在这种情况下应运而生的. IPv6将把地址长度扩展至128位，共计约3.41038个地址，是IPv4地址空间(232)的近1600亿倍(296).与IPv4相比，IPv6具有地址空间更大、网络整体吞吐量更高、服务质量和多播功能更好、安全性更强、即插即用和移动应用更易等诸多优点，尤其是IPv6大大扩展了地址空间，恢复了原来因地址受限而失去的端到端连接功能，保证了端到端的服务质量和安全性，为互联网的进一步发展和缩小数字鸿沟提供了基本条件.因此，自IPv6诞生以来，已经越来越引人注目，各国政府也越来越重视IPv6的发展，甚至纷纷将IPv6提升为国家发展战略的高度，并制定了有关的发展策略.日本是发展IPv6最早的国家之一，也是发展IPv6速度最快的国家.由于错过了上世纪互联网与移动通信的发展机会，因此日本政府决心利用3G和IPv6的发展契机急起直追，使日本重新回到在通信、电子领域全球最先进国家行列.日本政府对IPv6的发展极为重视，甚至把IPv6技术的发展作为政府“超高速网络建设和竞争”的一项基本政策，并在2001年3月的“e-Japan重点计划”中确定了于2005年完成互联网向IPv6过渡的目标.日本政府自1992年起就开始进行IPv6的研发和标准化工作，并且取得了相当大的成果，在研发和应用方面都属于世界前列.日本IPv6的组织有许多.其中，因特网及广域IP网的产学研联合研究开发组织WIDE（Widely Integrated & Distributed Environment）是世界上最早的IPv6研究机构，该组织于1988年由政府组织成立.起初，WIDE的目的只是建立大规模广域分散网络环境，后来开展IPv6的研究，进行IPv6协议的开发和标准的制定工作，并逐步变成一个国际性的研究组织.现在，WIDE研究成员已经达到100多个国际公司、40多个教育科研组织.另外，IPv6推进会（IPv6 Promotion Council of Japan）也是一个非常重要的官产学研相结合的组织，该组织于2001年成立，目的在于推动IPv6的产业化. 日本的运营商第一个开始向国内提供IPv6商业服务.NTT一直是IPv6应用的领航者，在1999年9月正式成为第一个商用业务提供商，并于2002年4月首次在日本推出付费的商用IPv6网关业务.到目前为止，NTT Com、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务.日本的运营商还努力向国际上推广其IPv6业务.NTT Europe在2003年2月向欧洲推出了IPv6网关业务.NTT还与Verio联合建立了跨越日本、欧洲和美国的全球IPv6商用骨干网，2003年下半年在美国首次推出商用的IPv6业务.截至目前为止，除日本本土之外，NTT/Verio已经成功地推出IPv6商用服务的国家、地区已经达到10个，包括澳大利亚、马来西亚、香港、台湾、英国、法国、西班牙、美国、德国、韩国等. 在政府的大力支持下，日本企业对IPv6产品的研发与生产也开展得热火朝天，日立、NEC、富士通等等是世界上最早实现IPv6硬件支持的网络设备厂商.此外，日本的IPv6终端设备研制速度也相当快，索尼、东