设为主页 加入收藏
? 首 页 信息公开 宣传教育 保密技术 党务公开 办事指南 ?
欢迎访问365bet娱乐在线网站!
?
站内搜索:
?
?
?
当前位置:
首页>>保密技术
IPv6及其对信息安全的影响
日期:2013-11-12 11:40 文章来源:其他部门 浏览次数: 字号:[ ]
摘自:中国保密在线网 
 
 
 
袁艺  孙宇  郭静
下一代互联网的研究和建设正逐步成为信息技术领域的热点之一,而其安全问题更是广为关注的研究领域。IPv6作为下一代互联网的关键性技术,预计未来数年内,将逐步取代IPv4成为支撑互联网运转的核心协议。因此,了解IPv6的信息安全特性及隐患,并寻求相应的对策,对于提高下一代互联网的信息安全水平,具有十分重要的意义。
 
难以为继的IPv4
 
任何接入网络的计算机或其他终端设备,虽然型号、性能等各不相同,但只要使用同一种“语言”,就能实现相互通信并交流数据,这种“语言”就是网络协议。目前,互联网所采用的协议族是TCPIP协议族,其中IP协议是TCPIP协议族中网络层的协议,是该协议族的核心协议。当前IP协议的版本号是4(简称为IPv4vversion版本)。基于IPv4的互联网以其简单性、灵活性和可扩展性获得了巨大成功,给人们的生活和工作带来了便利,甚至改变了人们的生活和工作方式,极大地提高了社会生产力。
但是,随着互联网的进一步发展,IPv4已经越来越不能满足人们的需要,其不足集中表现为:IP地址数量有限,且分配严重不平衡;配置复杂;对安全性考虑不足;不能有效支持移动网络等等。其中地址数量不足已经成为当前互联网发展的一个瓶颈问题。IPv4中规定IP地址长度为32位,因而其最大地址数量为232-1个,共计约43亿个,这个数量看似很大,但随着全球互联网用户的快速增长,以及物联网、移动互联网等网络技术的长足发展,各种上网设备和终端数量剧增,IP地址即将消耗殆尽。2011123,互联网名称与数字地址分配机构(ICANN)将最后5IPv4地址块分配给全球五大区域的注册管理机构,这标志着第一代互联网地址资源彻底宣告耗尽。针对这一状况,ICANN建议推动互联网协议尽快过渡到IPv6
 
IPv6的信息安全特性
 
IPv6作为下一代IP协议,是未来互联网建构的基石。其主要特点:一是能提供比IPv4大得多的地址空间。有人形象地称这一协议可为地球表面的每粒沙子分配一个IP地址。二是数据传输速度更快。基于IPv6的主干网或城域网的传输速率,将比现在提高100倍到1000倍。在信息安全方面,它比IPv4在安全性方面有了极大的改观。
安全问题一直是网络通信中关注的焦点问题。IPv6在设计之初,就对安全性有了较为周密的考虑,它内嵌一种标准化的IP安全协议(IPsec),解决了通信设备之间安全通信的标准化、互操作等问题,从而确保端到端的通信安全,实现“深度防护”安全策略。采用IPv6后,发送信息的设备有了永久的IP地址,设备类型很容易被识别。IPsec还能提供认证报头服务,用于保证数据的保密性和一致性。
IPv6还采取了两项技术措施增强其安全性。一是认证,它要求接收端中能存放发送端的信息,如果接收端无法识别发送端,则无法进行信息传输;如果可以进行通信,则需保证信息是由指定发送端发送的,同时信息在传输过程中没有被其他用户更改。二是私有性,它要求发送的信息必须被加密,接收端必须是授权的,这样就能很好地防止信息被未授权用户窃取。
IPv6作为一种新的网络通信协议,尚未被广泛推广应用,绝大多数用户对其了解不深,专门进行相关研究的就更少,这就决定了针对IPv6网络的攻击方法手段,还没有真正发展起来,也很少有机会去验证其攻击效果。然而,随着IPv6的推广应用,也会像目前IPv4一样,信息安全隐患将会逐渐暴露,并被攻击者加以利用。
 
IPv6的信息安全隐患
 
构建基于IPv6的可信任下一代互联网,是一项长期而艰巨的任务。虽然IPv6IPv4相比,在安全性方面进行了预先设计和充分考虑,但仍然存在一些难以解决的安全隐患。
一是难以应对拒绝服务攻击。拒绝服务攻击仍然是IPv6面临的最严重的一种攻击,它可能导致计算机硬盘、物理设备毁坏和所有可用内存耗尽的危险。IPv6支持动态自动寻址,虽然给合法网络用户使用带来了方便,但非授权的用户可以更容易地接入和使用网络,埋下了拒绝服务攻击的隐患。拒绝服务攻击主要包括两种方式:一种是通过向服务器或主机发送大量数据包,使得主机忙于处理这些无用的数据包而无法响应有用的信息;另一种是对网络上两个节点之间的通信直接进行干扰,攻击者可以冒充通信节点向目标通信节点发送错误消息,从而造成路由迂回,导致网络带宽浪费及时延增加。对这两种方式,IPv6从技术上都没有很好地解决。
二是难以弥补整个网络协议族的安全缺陷。根据国际标准化组织提出的各种计算机在世界范围内互联成网的标准框架,即开放系统互联参考模型,计算机网络分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层等七个功能层。IP协议只是网络层的协议,其安全性设计得再好,也只能保证本功能层的安全,其他功能层如应用层的网页服务、邮件服务及文件传输等服务的安全仍然难以保证。
 
加强IPv6信息安全的对策
 
互联网协议设计的一个基本要求,就是新协议的设计不能引入新的安全威胁。如果存在安全威胁,那么协议本身必须要规定相应的安全机制来克服。因此,要深入研究IPv6的技术特点,针对各种可能的安全威胁,改进完善技术手段,建立健全防范机制。
一方面,要改进完善技术手段。一是改进防火墙的设计,应对拒绝服务攻击。IPv6相对IPv4在数据报头上有了很大的改变,要求防火墙必须解析整个数据包才能进行过滤操作,这对防火墙的处理性能会有很大的影响。因此,必须采取各种技术手段,提高防火墙的性能,适应IPv6的需要。二是完善入侵检测系统的设计,严格用户限制。IPv6中引入了网络层的加密技术,未来网络数据通讯的保密性将会越来越强,要求入侵检测系统在任何网络状况、任何服务器、任何客户端、任何应用环境都能进行适当的自转换和自适应,以严格控制访问用户的身份认证和权限验证等内容。三是采用安全迁移设计,保障快速平稳过渡。目前,IPv4正在向IPv6过渡,与采用其他任何一种新的网络协议一样,其安全措施必须经过慎重的考虑和测试,避免产生新的技术漏洞。
另一方面,要建立健全防护机制。尽管IPv6还不是当前网络通信的主流协议,但从长远看,有必要开展超前研究,从健全安全防范制度和建立防范体系两个方面,制定下一代互联网的系统安全机制和信息安全机制。一是要健全安全防范制度,保障网络系统安全。为加强网络系统安全,在管理上要建章立制来强化相关人员的安全意识及规范其处置行为。例如,建立安全检查制度,定期和不定期相结合进行安全保密检查,排查安全隐患,杜绝网络违规操作,减少人为纰漏;建立网络值勤制度,不断强化网络值勤人员的保密意识、责任意识及服务意识,明确人员的职责划分和操作规程,建立完善的值勤登记统计,使网络值勤管理精细化、正规化。二是要建立具有主动性的网络安全防范体系,确保网络信息安全。采取加密、认证、数字签名、访问控制、安全代理、安全审计和监督控制等多种安全防护机制,实现信息储存保密、传输保密和浏览保密,进行实体认证、操作员认证和信息认证,从运行机制上保证网络信息的安全。
打印本页 关闭窗口

版权所有?? ?365bet娱乐在线???All??Rights??Reserved

地址:贵州省贵阳市观山湖区市级行政中心???技术支持:贵阳市保密技术检查中心

联系电话:0851-87988456 87988421 ?????qq群号:15538312

提议使用分辨率1024??*??768???24位???黔ICP备05001922号


微信扫一扫

关注筑微密