基于IPv6的下一代網(wǎng)絡(luò )技術(shù)的特征分析

1.引言

　　隨著(zhù)IPv4地址的耗盡，以及網(wǎng)絡(luò )接入用戶(hù)的不斷龐大，向IPv6過(guò)渡已經(jīng)是勢在必行，IPv6作為新一代的網(wǎng)絡(luò )協(xié)議，不僅具有海量的IP地址資源，而且由于其數據包可以更大，從而實(shí)現更可靠、更快速地進(jìn)行數據的傳輸，同時(shí)通過(guò)在數據報頭中添加流標記和業(yè)務(wù)級別大大地改善QoS，且任何設備接入IPv6后即可獲取相應的設置，大大地簡(jiǎn)化用戶(hù)操作，滿(mǎn)足移動(dòng)性等要求，最重要的一點(diǎn)是，IPv6通過(guò)IPSec實(shí)現更高的安全性，實(shí)現了網(wǎng)絡(luò )層的安全，但是這種安全并不絕對的，在新一代互聯(lián)網(wǎng)中的安全威脅，還需要這個(gè)領(lǐng)域的專(zhuān)家找到完整的解決方案。

　　2.IPv6關(guān)鍵技術(shù)研究

　　由于現階段幾乎所有的主流應用都是基于IPv4網(wǎng)絡(luò )協(xié)議開(kāi)發(fā)的，而新的IPv6協(xié)議與IPv4協(xié)議并不兼容，因此為了保障業(yè)務(wù)的連續性，也為了保障最終用戶(hù)的上網(wǎng)體驗，兩個(gè)網(wǎng)絡(luò )的并存需要持續很長(cháng)一段時(shí)間，因此兩網(wǎng)如何實(shí)現過(guò)渡和互通，成為運營(yíng)商、數據中心和內容提供商關(guān)注的焦點(diǎn)，以下將就目前現存且常用的IPv4向IPv6過(guò)渡的幾項關(guān)鍵技術(shù)作簡(jiǎn)單介紹。

　　2.1 雙棧技術(shù)

　　所謂雙棧技術(shù)，顧名思義，就是同時(shí)支持IPv4和IPv6兩種協(xié)議的網(wǎng)絡(luò )，即從用戶(hù)端到業(yè)務(wù)終端連接的所有設備都需要支持兩種協(xié)議。當兩個(gè)端點(diǎn)通訊時(shí)會(huì )采用相應的協(xié)議進(jìn)行數據的傳輸。雙棧的解決方案同時(shí)支持IPv4與IPv6兩種協(xié)議，無(wú)需考慮兩者互通的問(wèn)題。然而對于大型網(wǎng)絡(luò )來(lái)說(shuō)，由于涉及到產(chǎn)品的升級，甚至是需要更新?lián)Q代，會(huì )耗費大量的財力人人力，因此可行性相對比較小，部署與規劃都比較復雜，由于有兩套協(xié)議，因此大大增加了網(wǎng)絡(luò )管理人員的工作難度，另外由于主機上都需要支持兩份協(xié)議，因此會(huì )消耗更多的內在和更多的CPU。此外，由于用戶(hù)并未真正地遷移到IPv6網(wǎng)絡(luò )上，因此對于IPv6的推廣與發(fā)展直到了一定的阻礙作用。

　　2.2 翻譯技術(shù)

　　翻譯技術(shù)通常所指的就是NAT-PT，一般是在IPv4與IPv6的網(wǎng)絡(luò )邊緣部署翻譯網(wǎng)關(guān)設備，實(shí)現IPv4與IPv6數據包的報文的翻譯和轉換，從而使IPv4用戶(hù)可訪(fǎng)問(wèn)IPv6資源，同時(shí)IPv6用戶(hù)也可去訪(fǎng)問(wèn)IPv4的資源。翻譯網(wǎng)關(guān)的部署相對簡(jiǎn)單，且由于實(shí)現了多個(gè)IPv6的Host可以同時(shí)共用一個(gè)IPv4地址，一定程度上解決了地址枯竭的問(wèn)題。然而由于網(wǎng)關(guān)是基于應用層的，針對不同的應用需要開(kāi)發(fā)不同的ALG，而且現有的網(wǎng)絡(luò )應用層出不窮，如果大范圍的采用此方案，就需要實(shí)時(shí)的去開(kāi)發(fā)滿(mǎn)足各類(lèi)應用的網(wǎng)關(guān)，成本較大。

　　2.3 隧道技術(shù)

　　隧道技術(shù)即將IPv4的數據包封裝在IPv6數據包中進(jìn)行傳輸，反之亦然，實(shí)現數據包在不同的網(wǎng)絡(luò )中的順利傳送，隧道技術(shù)中包含6PE、6over4、隧道代理、ISATAP等多種方式。只要部署了足夠多的隧道服務(wù)器，并有足夠的網(wǎng)絡(luò )帶寬支撐，隧道的實(shí)現即是一種軟件配置的過(guò)程，技術(shù)實(shí)現方式簡(jiǎn)單，能協(xié)助網(wǎng)絡(luò )管理人員快速實(shí)現新一代協(xié)議的部署，并實(shí)現網(wǎng)絡(luò )的優(yōu)化。然而由于數據包需要封裝和解封裝，因此隧道設備一般都是成對部署的，與雙棧方式相同的一個(gè)弊端就是不適用于大型網(wǎng)絡(luò )的過(guò)渡。

　　2.4 Socks64技術(shù)

　　這種技術(shù)的基本原理是通過(guò)客戶(hù)端與網(wǎng)關(guān)的通信，來(lái)實(shí)現IPv4與IPv6主機之間的互聯(lián)互通。其中網(wǎng)關(guān)必須同時(shí)支持IPv4與IPv6兩種協(xié)議棧，即在網(wǎng)關(guān)處需要同時(shí)接入IPv4與IPv6網(wǎng)絡(luò )，來(lái)自客戶(hù)端的數據包，無(wú)論是IPv4還是IPv6的，網(wǎng)關(guān)都可以進(jìn)行處理，并轉發(fā)至相應的目的端。由于網(wǎng)關(guān)來(lái)進(jìn)行協(xié)議的轉換與處理，因此一旦在大型網(wǎng)絡(luò )中部署，必須要求這個(gè)網(wǎng)關(guān)的吞吐量、處理性能達到一定的標準，且在網(wǎng)絡(luò )過(guò)渡時(shí)期，網(wǎng)關(guān)一般部署在網(wǎng)絡(luò )邊緣，便于能夠更高效地處理用戶(hù)請求。這種解決方案的優(yōu)點(diǎn)即部署網(wǎng)關(guān)成功后，無(wú)需考慮用戶(hù)端發(fā)起請求的類(lèi)型，都可進(jìn)行數據轉發(fā)。但是客戶(hù)端的推廣安裝成為一大問(wèn)題，且由于是客戶(hù)端與網(wǎng)關(guān)通訊的模式，因此會(huì )出現一定的性能瓶頸。

　　3.IPv6網(wǎng)絡(luò )安全研究

　　在傳統的IPv6網(wǎng)絡(luò )體系架構里，網(wǎng)絡(luò )安全的策略，是在應用層上進(jìn)行安全的防范，或對郵件進(jìn)行加密，在訪(fǎng)問(wèn)網(wǎng)頁(yè)時(shí)進(jìn)行數據加密，并未對網(wǎng)絡(luò )層進(jìn)行處理。在1995年，IETF制定了在IP層的安全規范，即IPSec（IP Security）。由于IPv6集成了IPSec協(xié)議，因此在IPv6的安全體系架構中，IPSec便是核心。

　　3.1 IPv6網(wǎng)絡(luò )安全優(yōu)勢——IPSec

　　IPv6一個(gè)最大的優(yōu)勢就是，集成了IPSec，也就意味著(zhù)它能夠提供完備的安全服務(wù)，包括數據來(lái)源的強認證，保障數據傳輸的機密性和完整性，同時(shí)也可以進(jìn)行數據的訪(fǎng)問(wèn)控制，抵御數據重復發(fā)送等攻擊。為IPSec的體系結構，包含三個(gè)基本的協(xié)議，其中AH協(xié)議（驗證頭）用于保障數據的完整性和驗證數據的來(lái)源;加密功能和機制是由ESP協(xié)議（封裝安全載荷）來(lái)提供;同時(shí)ISAKMP協(xié)議（即密鑰管理協(xié)議）主要用于實(shí)現前兩種協(xié)議在交流時(shí)信息安全。

　　3.2 IPv6網(wǎng)絡(luò )安全優(yōu)勢——地址可溯源

　　目前采用的IPv4地址協(xié)議，存在的最大問(wèn)題，就是使用了大量的私有地址，通過(guò)NAT技術(shù)，多個(gè)私有地址，可能通過(guò)同一個(gè)公網(wǎng)IP去訪(fǎng)問(wèn)互聯(lián)網(wǎng)，這種情況，就存在一個(gè)安全隱患，如果某一個(gè)用戶(hù)發(fā)布了一條反動(dòng)信息，或者非法言論，無(wú)法快速定位到IP，給網(wǎng)絡(luò )管理人員造成很大的工作難度。IPv6海量的IP地址，完全摒棄了私有地址的概念，可為每一個(gè)終端分配一個(gè)單獨使用的IP地址，一旦出現問(wèn)題，將快速查找到源地址，保障網(wǎng)絡(luò )的健康。

　　3.3 IPv6網(wǎng)絡(luò )安全優(yōu)勢——反偵察能力

　　大部分的黑客或者惡意程序，都會(huì )通過(guò)掃描某個(gè)子網(wǎng)來(lái)最終確定攻擊的IP地址、應用和服務(wù)，而IP地址量相當大，可大大降低網(wǎng)絡(luò )偵察的能力，有效地防范類(lèi)似的網(wǎng)絡(luò )攻擊。

　　4.IPv6網(wǎng)絡(luò )可能存在的問(wèn)題

　　4.1 無(wú)法解決網(wǎng)絡(luò )層以上的安全問(wèn)題

　　IPv6集成的IPSec功能，只是解決了網(wǎng)絡(luò )層的安全問(wèn)題，面對網(wǎng)絡(luò )層以上的攻擊，IPv6仍然無(wú)法解決的，如垃圾郵件、惡意代碼、蠕蟲(chóng)、系統漏洞等攻擊，還是需要相應的防病毒安全廠(chǎng)家來(lái)解決。

　　4.2 無(wú)法處理數據解密過(guò)程的攻擊

　　IPv6采取對數據的加密，但是用戶(hù)在正常接收數據后，需要解密，如何攻擊者在解決過(guò)程中添加相關(guān)的干預手段，加長(cháng)解密的時(shí)間，這將會(huì )消耗大量的系統資源，甚至可能造成系統癱瘓。

　　4.3 加密方面的安全隱患

　　IPSec中采用了加密算法和密鑰的管理。對于加密算法，沒(méi)有哪一個(gè)加密算法能夠確保其絕對安全的，這是本身的局限性，另一方面，對于密鑰的管理，由于依賴(lài)于PKI，而此項技術(shù)目前還未在國際上形成統一完善的標準，因此安全性是否可靠也有待考證。

　　5.結束語(yǔ)

　　向IPv6的遷移是大勢所趨，各項過(guò)渡技術(shù)都已發(fā)展成熟，并形成了相應的標準，但是均存在優(yōu)缺點(diǎn)，需要將各項技術(shù)進(jìn)行去長(cháng)補短，綜合利用，設計出一種通用易行的解決方案。對于IPv6的網(wǎng)絡(luò )安全問(wèn)題，本身其已經(jīng)在網(wǎng)絡(luò )層建立了一層安全壁壘，但仍存在其它方面的安全威脅，且在過(guò)渡過(guò)程中，對IPv4的網(wǎng)絡(luò )體系中的設備也構成了一定的挑戰。因此，無(wú)論是在IPv6的關(guān)鍵技術(shù)方面，還是在網(wǎng)絡(luò )安全方面，都還需要業(yè)界人士的不斷研究與驗證，以實(shí)現平滑、安全的網(wǎng)絡(luò )遷移。