IPv6互联网

IPv6互联网（精选十篇）

IPv6互联网 篇1

1 IPV6互联网理论

1.1 IPV6的优点

与IPV4相比, IPV6有其明显的优势, 其主要表现在:

(1) 地址由原来的32位增加到128位, 其容量大大增加, 彻底地解决了当前网络地址空间不足的问题;扩展支持组播和任意播地址, 使数据包可发送给任一节点;采用分层地址结构更易寻址。

(2) 由于地址空间容量的扩大, 可以实现无状态地址的自动分配, 实现网络的即插即用, 无需人工干预。

(3) 简化报头格式, 减少交换及路由设备的处理开销。

(4) 加强对扩展报头及选项的支持, 有效转发及扩充网络应用。

(5) 使用流标签提供个性网络服务, 有效保障服务质量。

(6) IPSec成为必备协议, 从而使端到端通信的保密性和完整性得到保证, 使认证更加可靠。

(7) 改进了实时通信和移动网络, 简化了局域网和移动主机的管理。

1.2 IPV4向IPV6的过渡策略

在过渡时期, IPV4与IPV6共存, 两种协议之间进行数据传送需要进行转换, 采取的策略主要有:

(1) 隧道技术:将IPV6的分组封装在IPV4中, 在传输的过程中, 利用IPV4的网络体系进行, 到达目的端路由之后, 再对IPV4报头进行拆分, 恢复IPV6的分组状态, 再将其分配给相应的终端。

(2) 双协议栈技术:在网络的每个终端节点上安装支持IPV4和IPV6协议, 这样就可以根据协议的不同选择合适的协议。

(3) 协议翻译技术:通过IPV4的NAT技术, 对协议进行转换, 路由器上有IPV4的地址池, 在IPV6向IPV4发送数据包时, 可以通过地址池对目的节点进行转发, 而IPV4向IPV6进行数据包发送时, 其复杂性就相对比较大。

1.3 IPV6的安全机制

IPSec作为安全机制内置在IPV6协议中, IPSec主要有AH (认证报头) 、ESP (封装安全负载) 、IKMP (网络密钥管理协议) 和SA (安全连接) 4个部分。IPSec的体系结构如图1所示。

整个IPSec体系结构以模块化的形式被设计, 使得IPV6的安全不再局限于一种算法的束缚, 利用不同的加密算法和认证算法可以保证IP数据的完整性和安全性。

AH协议是IPV6协议的扩展报头, 主要用来保证IPV6发送的数据报完整到达, 另外还对目的节点进行认证, 以确保数据不被重发。

ESP协议是对数据包中的数据进行加密传输, 可以在传输模式和隧道模式下进行传输。在传输模式中, 对传输层中的数据进行加密;在隧道模式中, 对IP数据进行加密和认证, 新产生的IP头无法得到保护。

IKMP是建立一个通信双方都同意的安全协定, 提供安全参数, 通过验证密钥对网络协议的信息进行保护, 是整个安全机制安全性的关键。

SA是在认证报头和封装安全负载以前对网络层建立一条保证数据安全传输的逻辑连接, 是整个IPSec体系的重要组成部分, 需要说明的是, SA建立的逻辑连接是单向的, 节点之间要进行通信需要建立两条安全连接, 以形成双向通信。

2 IPV6的安全问题

2.1 网络病毒

IPV6源于IPV4, 很多思想设计都来自IPV4, 在设计结构上有相当一部分采用IPV4的模式, IPV6保护的重点在数据安全上, 用户解决网络安全, 但网络安全的威胁受到多方面的威胁, 如网络病毒。

由于IPV6采用128位的地址空间, 使得地址容量极大, 让一些通过扫描地址段的病毒无法有效攻击终端, 有效减少了威胁。但是, 无论是IPV6还是IPV4, 在网络体系中, 都存在着服务器和关键路由。这些路由和服务器的IP地址可以被黑客轻易获取, 从而形成有针对性的攻击, 进而使之瘫焕, 造成整个网络无法正常运行。

2.2 Do S攻击

Do S (拒绝服务) 攻击是通过对网络协议进行攻击, 以达到消耗被攻击目标系统的资源, 以致资源空间耗尽, 从而实现让被攻击者无法向合法的用户及节点提供任何服务, 最终形成系统响应停止及死机的目的。

Do S攻击可以利用IPV6的组发地址模式进行攻击, 由于IPV6中的FF01::1这个地址表示动态分配地址, 攻击者向该地址发送IPV6报文, 那么将会对网络中设置动态分配地址的主机进行分配服务器, 从而造成系统资源的不断损耗。另外, 在IPSec安全体系中, 其IPV6网络具有加密和认证机制, 这可以有效地保护网络数据的安全, 但是每次都需要对密钥进行计算, 以确保发送过来的数据合法, 这就需要耗费一定的CPU资源, Do S的攻击者虽然不知道正确的密钥, 但却不停地向系统发送错误的密钥, 当密钥越长, 计算所耗费的时间和资源越多, 被攻击者的主机只有通过密钥的合法性来对数据进行区分合法性, 这样就陷入了无止境的非法密钥的计算中, 从而让正确到达到合法数据密钥无暇顾及, 无法及时对其作出应有的响应。

2.3 TCP缺陷攻击

TCP协议进行通信时, 需要进行3次握手, 首先源地址向目的地址发送SYN标志的TCP报文, 目标主机收到之后, 确认其相应的数据资源, 并向源主机发送SYN+ACK, 源主机收到之后, 向目标主机发送ACK以表示确认。

TCP的3次握手, 可以有效地保证数据的安全到达目的地, 但是同时也存在着巨大的缺陷, 当攻击者伪造带有SYN的TCP报文, 不断发向目的主机发送, 此时目的主机会将发送SYN+ACK报文, 由于报文是伪造的, 最终不可能收到ACK确认, 当大量的伪造报文发送时, 会很快占据满连接空间, 从而造成数据无法正接接收。这是针对TCP协议本身的缺陷, IPV6协议的安全机制还无法有效解决该问题。

2.4 应用服务威胁

IPV6网络可以有效地解决来自传输层和网络层的安全隐患, 但是对于网络安全来说, 是整个体系的问题, 对于OSI的七层结构, 应用层处于最顶层, 网络的应用服务出现问题也会让整个安全体系出现崩溃。如:对邮件服务器进行攻击;缓冲区植入木马;窃取通信密钥等。

IPV6设计的最初目的是解决当前IPV4地址空间不足的问题, 同时在IPV4的基础上, 对安全性也进行相应的改善, 但网络的安全仍任重而道远, 需要在设计、维护、设计及应用等各个环节进行不断的完善。

3 IPV6网络的安全策略

3.1 防御Do S攻击

对于Do S的攻击, 当前并没有好的解决方案, 其原因是无法确定Do S攻击发起的时间和攻击的目标, 只能被动地进行防御。其采取的防御措施主要有以下几种:

(1) 资源共享模式的防御

Do S攻击的最终结果是让资源耗尽, 通过资源共享的方式对系统的资源进行优化, 采用合理的分配方式减弱Do S的攻击, 可以采用拥塞控制机制对数据流量进行控制。

(2) 报文过滤模式的防御

如果报文都在目的终端机上对报文数据进行分析过滤, 那么Do S攻击将会取得很大的成效, 使整个系统崩溃, 因此, 报文的过滤需要在整个传输线路的沿途进行, 当选择的过滤点离源攻击点越近, 那么最终取得的效果就会越好, 减轻了整个网络的资源开销。找到攻击点的方法可以采用以下两种。一是对通信的路由记录进行分析, 找到离攻击点最近的可信节点, 在此节点上对其进行过滤;二是对服务器进行子网边界保护, 对服务器收到的数据报文进行封装, 发给另一个服务器进行解封, 如果该服务受到攻击, 无法正常工作时, 将由另一台服务器接着运行, 同时对封装报文的源地址数据进行过滤。

(3) 建立可信链路的防御

该模式有点类似TCP协议, 也是通过3次握手来完成链路的创建, 然后再进行数据的传输, 与TCP不同的是, 该可信链路的建立发送的不是SYN, 而是智能标记技术, 对数据报文的认证无需知道源地址和目的地址。

3.2 提高网络的服务质量

网络性能的好坏, 通过服务质量可以反应出来, 其指标有:带宽、丢包率、延迟及吞吐量等。服务质量最早开始于上个世纪八十年代, 早期网络性能相对较差, 随着科技的不断发展, 人们对于网络的服务质量要求越来越高, 越来越多的应用性软件开始依托网络的服务质量, 如何提高服务质量成为IT行业解决的重点。

虽然当前的网络带宽在某些时段让人感觉发生拥塞现象, 就实际情况来说, 交换技术的发展使整个互联网的带宽过剩, 将这些过剩的带宽有效地利用起来, 进行合理的配置, 可以有效提高网络的服务质量。

3.3 建立可信网络

在IPV4网络环境下, 基本上针对网络中的问题都是被动的防御模式, 而IPV6网络体系中, 则采取积极主动的防御模式, 对数据报文的信息分析不是在目的端进行, 而是从信息发出的源节点开始, 从而构造出可信的网络体系, 使网络的安全性能更加强大, 整个网络是可控的、可测的、可维护的。

在整个互联网络体系里, 网络存在着异构性的特点, 包含着有线、无线等不同种类的传输模式;数据信息的种类有图像、文本、视频及语音等;用户由于各自应用服务的需求不同, 对服务质量也提出了不同的要求。在实际的应用过程中, 使用者对于网络采用何种协议及传输技术是不关心的, 因此, 建立可信网络的不仅要加强网络各个节点的安全, 同时网络的开放性是非常重要的。

4 结语

针对IPV6网络体系的安全展开研究, 由于当前网络还是以IPV4网络为主, IPV6还处于研究阶段, 只在个别局域范围内使用, 所以对于IPV6的网络安全研究主要是对IPV6理论基础进行分析, 在现有的技术手段上进行研究, IPV6是新一代的互联网, 针对IPV4当前存在的问题, 在IPV6中得到补充和完善, 可以大大加快和提高IPV6的研发进度, 使人们尽快地使用IPV6网络, 改善当前的网络服务质量。

参考文献

[1]朱立松, 毋国庆.一种新的互联网络体系结构[J].计算机工程与设计, 2001.

[2]苏金树, 涂睿, 王宝生, 刘亚萍.互联网新型安全和管理体系结构研究展望[J].计算机应用研究, 2009.

[3]王相林.IPV6核心技术[M].科学出版社, 2008.

IPv6互联网 篇2

浅谈下一代互联网协议――IPv6技术

施欢平

摘要：随着信息技术朝着数字化、集成化、智能化、网络化的方向发展，互联网上的计算机越来越多，同时互联网不可避免的产生了地址枯竭危机，正因为如此，IPv4退出了历史的舞台，而IPv6粉墨登场了。除了相比IPv4在容量方面的绝对优势外，IPv6更能够满足互联网日益增长的灵活性、有效性、功能优化的需求。

关键词：互联网;IP协议;IPv4;IPv6;IP地址

一、IPv4的危机

互联网进入第二代时，IPv4被广泛应用，但是从20世纪80年代起，互联网用户急速增长，IPv4地址在以比设计时的预计更快的速度耗尽，于是如何解决IP地址面临枯竭的问题便成了全球范围内的课题。于是互联网协议的下一个版本IPv6便由此应运而生。

二、IPv6的提出

众所周知，IPv4是基于32位的地址，共有232个地址，由于一些地址被特殊用途所保留，A类、B类地址又大量被浪费，再加入全球越来越多急速增长的互联用户和互联网的连接设备，所以才造成地址的过早被耗尽。所以，IPv6被设计为基于128位的地址，即从数量级上达到2128个地址，这样尽管在技术上仍然一样会有大量地址被浪费，但由于有着庞大的容量，在相当长一段时间内，足以让地球的每个用户和每样可连接互联网的设备都能拥有固定的有效地址。

三、IPv6的优势

与IPV4相比，IPV6在各方面进行了相应的改进，具有足够的

优势：

1.更大的地址空间

解决IP地址资源紧张的现实问题，比如IPv6协议下的IP地址数量将从2的32次方增加到2的.128次方。

2.网速更快

比现有互联网快100~1000倍。未来两个点之间带宽至少将达到100M以上，而一个高清电视所需要的带宽只有30M。

3.上网更方便

可实现随时随地上网，上网成本将比3G便宜几十倍以上。

4.具有更高的安全性

如，IPv6协议下的IP地址空间巨大，病毒很难通过扫描地址段的方式传播，解决了IP地址共用问题，实现IP地址和上网用户的一一对应，有利于规范网络行为。

四、IPv6的应用

IPv6的出现将会给全球互联网和通信产业带来根本性的变革。

1.所有的电子设备都可以连接上互联网且拥有独享的IP地址，从而实现任意事物之间的点对点对话

在IPv6时代，不仅仅是计算机，我们的家用电器、汽车，甚至门窗都可能接入互联网，得以远程遥控。

2.我们的上网速度将显著增加

由于无需更换地址，且遵循路由聚类的原则，达到4GB每秒。

3.网络安全性将大大增加

IPv6使得真正的网络实名制成为可能，因为由于IP资源将不再紧张，运营商有足够多的IP资源，在受理入网申请的时候，可直接给该用户分配一个固定IP地址，这样实际就实现了实名制，也就是一个真实用户和一个IP地址的一一对应。

五、IPv6对我国互联网的影响

第二代互联网IPv4的核心技术属于美国，其IP地址的占有量也有着绝对优势，中国由于互联网起步较晚，IP数量只有3亿

多，远远落后于5亿多的网民数，从而严重制约了互联网的应用与发展。因此，在与上一次的信息科技革命失之交臂后，今天面对信息化的战略机遇，中国再也不能坐失良机。为了抓住技术变革和产业发展的历史机遇，我国确定了实现全面商用部署，完成向下一代互联网的平稳过渡的下一代互联网发展路线图，为未来网络产业的发展指明了方向。

总之，IPv6将带动今后互联网技术与应用的快速发展。IPv6巨大的“地址空间”将为未来互联网及其相关产业带来巨大的“发展空间”，实现从IPv4向IPv6的过渡已成为今后互联网发展的必然趋势和必然要求。未来，我们都将是IPv6和下一代互联网在中国得到发展、走向成熟、实现繁荣的见证者、参与者、享用者，让我们共同努力!

下一代互联网技术——IPv6 篇3

【关键词】 IPv6;双协议栈;隧道

一、IPv6的提出

因特网近几年的发展速度非常快,以IPv4为基础的因特网所固有的缺陷和局限性日益凸现。其中最为突出的是IP地址资源匮乏,IPv4是一个由32位二进制构成的地址,全球一共有40多亿个。因特网起源于美国,故给自己预留了足够的IP地址,我国申请到的IP地址仅3千多万个,只相当于美国麻省理工学院一个学校分配到的IP地址。早在两年前专家预计到2010年全球的IP地址将用完,IPv4的生命将走到尽头。后来采取了无类域间路由选择(CIDR)和网络地址转换(NAT)等有效措施来缓解IPv4地址资源匮乏的问题,都是治标不治本的,专家预计到2012年所有IPv4地址将全部分配完,最终IP地址会耗尽。IPv4自身存在的问题使得因特网发展受到限制,如安全保障、服务质量与运营管理等方面。

从根本上解决IP地址紧缺,全世界公认的最好办法是发展IPv6技术,这也是现在全球网络专家正在解决的问题。IPv6是IPv4的升级版本,每个IP地址由128位的二进制数构成,长度是IPv4的4倍,届时全球每个人可分到100万个,即使以后家里的所有家用电器都接入因特网,IP地址都是取之不完用之不竭的。IPv6较IPv4除解决IP地址匮乏之外,还有许多优势

1.IPv6的路由表比IPv4更小。IPv6的地址分配一开始就遵循聚类原则,在路由器能在路由表中使用一条记录来表示一个子网,这使得路由器中路由表的长度减小了不少,提高路由器转发数据包的速度。

2.IPv6比IPv4具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,极大的增强了网络的安全性。

3.IPv6对组播和流的支持较IPv4增强了不少,这对多媒体在因特网上的发展奠定了坚实的基础,为服务质量(QoS)控制提供了良好的网络平台。

4.IPv6加入了对自动配置(Auto Configuration)的支持。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。

二、IPv6的结构

IPv6的128位地址按每16位划分为一个位段,每个位段被转换为一个4位的十六进制数,并用“:”隔开,这种表示法称为冒号十六进制表示法(colon hexadecimal)。如可以按一下步骤形成一个冒号十六进制IPv6。

(1)用二进制格式表示128位的一个IPv6地址:

1001010101011101000101110000010101011111000000111111100000011111

1000000111000110011001111110101010000000010111111110101010110101

(2)将这个128位的地址按每16位划分为8个位段:

1001010101011101 0001011100000101 0101111100000011 1111100000011111

1000000111000110 0110011111101010 1000000001011111 1101010101101011

(3)将每个位段转换成十六进制数,并用冒号隔开,结果如下:

955D:1705:5F03:F81F:81C6:67EA:805F:D56B

因十六进制与二进制之间的进制转换比十进制和二进制之间的进制转换更容易,故IPv6的地址表示法采用十六进制数,每一位十六进制数对应4位二进制数。IPv6不支持子网掩码,它只支持前缀长度表示法。前缀是IPv6地址的一部分,用作IPv6路由或子网标识。前缀的表示方法与IPv4中的无类域间表示方法基本相同,如564A:F0::95AB:6871:578B/60表示该IP地址的前60位为网络号。

三、从IPv4到IPv6过渡的基本方法

从IPv4到IPv6的过渡方法有多种,最基本的是:双IP层或双协议栈和隧道技术。

1.双IP层或双协议栈。双IP层是指在从IPv4完全过渡到IPv6之前,部分主机和路由器装有两个协议,即使IPv4和IPv6协议。故该类型主机或路由器既能与IPv6的系统通信,又能与IPv4的系统通信。具有双IP层的主机或路由器应当具有两个IP地址,分别是IPv4和IPv6地址。双IP主机在与IPv6主机通信时采用IPv6地址,而与IPv4主机通信时就采用IPv4地址。双IP层主机的TCP或UDP协议都可以通过IPv4网络、IPv6网络或者IPv6穿越IPv4的隧道的通信来实现的(如图1所示)。

双协议栈技术的优点是互通性好,容易理解和实现。缺点是显而易见的,即需给每个运行IPv6协议的网络设备和终端分配IPv4地址,不能解诀IPv4地址匮乏的问题。在IPv6网络建设初期,IPv4地址相对充足,该方案是可行的。但当IPv6网络发展到一定阶段,为每个节点分配IPv4地址将很难实现。

2.隧道技术。隧道技术是向IPv6过渡阶段使用的较为成熟的技术。当IPv6分组进入IPv4网络时,将IPv6分组封装成为IPv4分组,整个IPv6分组成为IPv4分组的数据部分。当IPv4分组离开IPv4网络时,再将其数据部分交给主机的IPv6协议,这就好像在IPv4网络中打通了一个隧道来传输IPv6数据分组(如图2所示)。

隧道配置是用于建立隧道的。隧道的配置主要分为路由器-路由器、主机-路由器和主机-主机三种类型。

(1)路由器-路由器隧道结构(如图3所示)。在该结构中,隧道的端点是两台路由器,该路由器分别有两个IP地址,即一个IPv4地址和一个IPv6地址。隧道用于连接位于IPv4网络的两个端点之间的逻辑链路。两个路由器都有一个表示IPv6穿越IPv4网络的隧道的接口和对应的路由。

(2)主机-路由器隧道结构(如图4所示)。在该结构的隧道配置中,由IPv4网络中的IPv6/IPv4主机创建一个IPv6跨越IPv4网络的隧道,作为从源节点到目的节点之间路径中的第一段。对于穿越IPv4网络的IPv6分组来说,穿越隧道相当于只经过一个路由。IPv4/IPv6路由器创建一个表示IPv6穿越IPv4网络隧道的隧道接口,并在路由表中添加一条默认路由。

(3)主机-主机隧道结构(如图5所示)。在该结构的隧道配置中,由IPv4网络中的IPv4/IPv6主机创建一个IPv6跨越IPv4网络的隧道,作为从源节点到目的节点整个路径,对于穿越IPv4网络的IPv6分组来说,穿越隧道相当于只经过一个路由器。

隧道技术的优点在于隧道的透明性,即IPv6主机之间的通信可以忽略隧道的存在,不用理解隧道中使用的技术,隧道只起到物理通道的作用,且不需要大量的IPv6专用路由器设备和专用链路,可减少投资成本。隧道技术也有其自身的缺点:在IPv4网络上配置IPv6隧道是非常复杂的,且隧道技术不能实现IPv4主机和IPv6主机之间地通信。

随着因特网的不断发展,IPv4地址在几年内将会结束自己的生命,IPv4向IPv6过渡势在必行,在完全过渡到IPv6的过程中IPv4和IPv6会有一个长期共存的阶段。在IPv4过渡到IPv6的过程中会面临各种技术挑战,但没有一种成熟的过渡技术能够完全满足任意IPv4网络向IPv6网络的过渡,所以在进行过渡过程中需要根据具体的网络拓扑和应用场景,从已有的成熟的过渡方案中选择一种或者几种技术相结合来实现IPv4网络向IPv6网络的过渡。

参考文献

[1]李玲玲.IPv4向IPv6过渡策略研究[J].通信技术.2008

[2]付涛.现阶段IPv4向IPv6过渡的策略探讨[J].中国教育信息化·基础教育.2008(9)

浅析下一代互联网协议IPv6 篇4

一、IPv6的概念

IPv6就是能够无限制地增加IP网址数量、拥有巨大网址空间和卓越网络安全性能等特点的新一代互联网协议。

IPv6的地址分配:

IPv6地址分为三大类:Unicast (单播) 、Multicast (多播) 、Any Cast (任播或泛播) 。

IPv6地址共有128bit, 采用冒号分十六进制法表示, 分为八节, 每节十六bit, 形如:ABCD:EF01:2345:6789:ABCD:EF01:2345:6789。

IPv6的技术特点:

1、地址空间巨大:

IPv6地址空间由IPv4的32位扩大到128位, 2的128次方形成了一个巨大的地址空间。采用IPV6地址后, 未来的移动电话、冰箱等信息家电都可以拥有自己的IP地址。

2、地址层次丰富分配合理:

IPv6的管理机构将某一确定的TLA分配给某些骨干网的ISP, 然后骨干网ISP再灵活地为各个中小ISP分配NLA, 而用户从中小ISP获得IP地址。

3、实现IP层网络安全:

IPv6要求强制实施因特网安全协议IPSec, 并已将其标准化。IPSec支持验证头协议、封装安全性载荷协议和密钥交换IKE协议, 这3种协议将是未来Internet的安全标准。

4、无状态自动配置:

IPv6通过邻居发现机制能为主机自动配置接口地址和缺省路由器信息, 使得从互联网到最终用户之间的连接不经过用户干预就能够快速建立起来。

二、IPv6与IPv4相比具有的优势

1、IPv6具有更大的地址空间。

IPv4中规定IP地址长度为32, 即有232-1个地址;而IPv6中IP地址的长度为128, 即有2128-1个地址。

2、IPv6使用更小的路由表。

IPv6的地址分配一开始就遵循聚类 (Aggregation) 的原则, 这使得路由器能在路由表中用一条记录 (Entry) 表示一片子网, 大大减小了路由器中路由表的长度, 提高了路由器转发数据包的速度。

3、IPv6增加了增强的组播支持以

及对流的支持, 这使得网络上的多媒体应用有了长足发展的机会, 为服务质量 (Qo S, Quality of Service) 控制提供了良好的网络平台。

4、IPv6加入了对自动配置的支持。

这是对DHCP协议的改进和扩展, 使得网络 (尤其是局域网) 的管理更加方便和快捷。

5、IPv6具有更高的安全性。

在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验, 极大的增强了网络的安全性。

三、IPv4到IPv6的过渡技术

隧道技术:隧道技术的核心思想是通过把IPv6数据报文封装到IPv4报文中, 让现有的IPv4网络成为载体以建立IPv6的通信;隧道两边的数据报文是通过IPv4的机制来进行的, 隧道可以看成是一个直接连接的通道;只需要在隧道的入口和出口进行修改, 因而它的技术相对来说比较容易。隧道的优点在于隧道的透明性, IPv6主机之间的通信可以忽略隧道的存在, 隧道只起到物理通道的作用。它不需要大量的IPv6专用路由器设备和专用链路, 可以明显的减少投资。但是缺点是:在IPv4网络上配置IPV6隧道是一个比较麻烦的过程, 而且隧道技术不能实现IPV4主机和IPv6主机之间的通信。因为它在穿过隧道的时候只是在IPV6上添加了IPv4的头部。所以它是不能通信的。

双协议栈技术:它是指在单个节点上同时支持IPv4和IPV6的两种协议, 由于IPV6和IPv4是功能相近的网络层协议, 两者都应用相同的物理平台上, 而且在传输层的TCP和UDP协议也没有什么区别。因此;它们之间即能支持IPV4协议也能支持IPv6的协议。注意:双协议栈技术不要求建立隧道, 只有当IPv6节点需要利用IPv4的路由机制传递信息包时隧道才是必需的。但是隧道建立却需要双协议栈支持。

IPv6互联网 篇5

关键词：IPv6 互联网 现状研究

中图分类号：TP 文献标识码：A

1、IPv6的介绍

以前我们使用的第二代互联网IPv4技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了我国及其他国家互联网的应用和发展。

但是与IPv4一样，IPv6一样会造成大量的IP地址浪费。准确的说，使用IPv6的网络并没有2^128个能充分利用的地址。首先，要实现IP地址的自动配置，局域网所使用的子网的前缀必须等于64，但是很少有一个局域网能容纳2^64个网络终端；其次，由于IPv6的地址分配必须遵循聚类的原则，地址的浪费在所难免。

当然，IPv6并非十全十美，不可能解决所有问题。IPv6只能在发展中不断完善，也不可能在一夜之间发生，过渡需要时间和成本，但从长远看，IPv6有利于互联网的持续和长久发展。 目前，国际互联网组织已经决定成立两个专门工作组，制定相应的国际标准。

1.1IPv6具体操作和运用

IPv6的计划是创建未来互联网扩充的基础，其目标是取代IPv4，预计在2025年以前IPv4仍会被支持，以便给新协议的修正留下足够的时间。

虽然IPv6在1994年就已被IETF指定作为IPv4的下一代标准，然而在世界范围内使用IPv6部署的公众网与IPv4相比还非常的少。

IPv6能解决的核心问题与互联网目前所面临的关键问题之间出现了明显的偏差，难以给互联网的发展带来革命性的影响。与IPv4的各种地址复用解决方案相比，IPv6能够降低复杂性和成本，然而目前却只有制造商较能够感受到这个优势，用户和运营商无法直接感受到，导致产业链缺乏推动IPv6的动力。

1.2国内外研究现状分析与评价

1.2.1IPv6 技术在我国的应用现状

尽管与美国、日本、欧洲等发达国家与地区相比，我国的IPv6 技术发展还有一定的差距。但是经过10 多年的研发和大范围的推广应用，我国已经掌握了IPv6 的主要核心技术，其技术应用体系已经初具规模。

由于IPv6 解决了IP 制约产业发展的瓶颈性问题，所以它推动了互联网、移动通信及整个信息产业的跨越式发展。对于广大的网络设备制造商、通信产业运营商和终端用户而言，IPv6 意味着巨大的商机和更完美便捷的服务。

随着信息技术产业的发展，互联网的普及和IPv6 技术的大规模的推广和应用，数字产品和智能网络终端同我们生活的联系越来越密切。网络电视、智能手机、数字视频广播、蓝牙、智能电话等在市场上不断涌现并且更新换代的速度越来越快。而传统的家电生产企业也纷纷加大对信息家电的研发力度，除智能电脑外、智能电视、冰箱、空调、洗衣机等信息家电也走进了人们的生活，带给我们更多的便利和享受。

1.2.2国外IPv6最新发展进程及策略分析

日本IPv6的发展是在政府统一协调下分阶段进行的，前期主要是标准和研发、之后是网络部署、最后是应用开发和展开商用服务，目前随着日本IPv6前期的标准、研究与开发工作的逐步成熟和取得成效，日本运营商对IPv6的态度很积极，NTT已经在全球推出了商用IPv6业务。

2、IPv6对全球互联网发展的影响

更大。下一代互联网将逐渐放弃IPv4，启用IPv6地址协议，从2的32次方增加到2的128次方。

更快。下一代互联网将比现在的网络传输速度提高1000倍以上，它的基础带宽可能会是40G(相当于传送10个DVD影片)以上。

更安全。目前的计算机网络因为种种原因，在体系设计上有一些不够完善的地方，下一代互联网将在建设之初就从体系设计上充分考虑安全问题，使网络安全的可控性、可管理性大大增强。

基于以上特点，未来的互联网将更方便、更及时，真正的数字化生活即将来临。随时、随地，我们可以用任何一种方式高速上网，任何可能的东西都会成为网络化生活的一部分。

2.1IPv6给人们日常生活带来的革新

IPv6协议的设计目的在于解决现有IPv4版本所具有的各种问题，包括地址数量限制、安全性、自动配置、移动性、可扩展性等方面，因此IPv6为各种价值应用构想提供了强大的技术支持，尤其对视频、语音、移动、安全等业务的发展有极大的促进作用。

（1）视频应用 随着IP宽带业务的不断普及和发展，越来越多的行业、企业开始大量采用视频技术开展远程会议、视频点播和广播、远程教学、远程医疗、远程监控、可视电话等多种应用，以满足人们对交互式可视化沟通的需要。

（2）VoIPv6 随着互联网的普及及其商业运营价值的发现，VoIP (Voice over IP)技术作为互联网的增值应用，已被很多新兴的电信运营商引入到电信运营中，并取得了爆炸式增长。

（3）网络家电 Internet经过多年的发展，目前已拥有数量庞大的个人用户群体，并不断迅速增加。用户的需求也逐渐从拨号上网转变为目前的宽带接入，并将成为新 Internet增值业务的最大潜在用户。

（4）传感器网络 IPv6技术中的大容量地址空间特性，可以实现为每个传感器分配一个单独的IP地址，通过IPv6互联网络，实时采集地震、大气、水文等各种环境监测数据，进行分析研究。

（5）军事应用

IPv6相对IPv4可以提供更好的网络安全和质量更佳的传输服务，并大大增强了传输速度，非常适合军队的使用。通过使用IPv6技术，对武器系统的响应速度以及指挥系统数据传输的保密性都将会有较大的提高。

参考文献：

[1]马建等.IPv6原理及在移动通信中的应用[M].科学出版社,2004.

[2]李振强,赵晓宇,马严等.IPv6技术揭秘[M].人民邮电出版社,2006.

[3]（美）Joseph Davies.理解IPv6[M].清华大学出版社,2004.

[4]张云勇,刘韵洁,张智江等.基于IPv6的下一代互联网络[M].电子工业出版社,2004.

IPv6互联网 篇6

全球IPv6论坛主席Latif Ladid表示,随着IPv4地址的逐渐枯竭,各个国家和地区都加入了对IPv6部署的力度,各种形式的活动正在如火如荼的展开。例如,日本推出了纯IPv6实验业务,NTT等各大运营商和ISP纷纷搭建了IPv6网络,美国最大有线电视运营商Comcast正式宣布其IPv6商用计划,其用户可以从今年第二季度起选择使用IPv6服务。中国同样在静悄悄地协助重新设计互联网。正积极参与下一代互联网标准IPv6的制定,希望争取到这方面的掌控权。以中国电信为代表的中国电信运营商已经相继完成技术调研,方案制定,设备终端测试等各项工作,积极展现IPv6新的业务模式探索。

“两年内IPv4地址就会枯竭,虽然还有各种替代办法,但是终究还是不得已而为之。这也是中国电信下定决心全面启动向IPv6的过渡的最主要原因,”韦乐平说到:“如果用八个字来形容当今向IPV6过渡的工作,就是‘未雨绸缪越早越好’。”

中国工程院副院长邬贺铨院士在发言中讲到:“15年前就提出了IPv6,为什么到现在还没有进入大规模的商用呢?这是因为地址聚合和NAT的出现,缓解了IPv4地址的不足,推迟了对于IPv6的需要,但是这并没有根本上解决IPv4地址不够的问题。”

工业和信息化部通信发展司司长张峰表示,我国1994年才正式接入国际互连网,起步晚于其他的发达国家,但是经过了十几年的发展,我国的宽带用户数和网民数已居世界首位。众所周知,目前IPv4地址短缺,已成为当前影响互联网发展的一个问题。发展下一代的互联网,不仅能够有效地提升互联网的应用,对于拉动产业发展和提升国家的竞争能力都有重要的意义,向下一代互联网过渡成为了网络演进的迫切课题之一。

中国电信集团北京研究院副院长赵慧玲表示,截止到2010年3月,全球剩余的IPv4的地址是3.5亿,就占地址总量的8%。整个互联网还在飞速的发展,还会消耗更多的地址,对于安全的管理要求也会更高,对于服务的质量,以及对于移动性的要求,对于新兴的移动互联网、物联网的地址的要求都会更高。IPv4的地址到2011年的9月份就会耗尽了,所以地址的问题是极为迫切的,这也是中国电信推动网络向IPv6演进最重要的推动力。

IPv6:政府主导分步过渡

“向IPv6过渡面临诸多问题。”韦乐平强调,“向Ipv6的过渡工作十分艰巨与复杂,涉及到各种软硬件升级改造,甚至会影响到社会生活的方方面面,绝非一个企业能够解决。这需要政府出面进行全局性的规划与部署,只有这样才能够使整个产业链尽快顺利完成向IPv6的过渡。”

对此,韦乐平近期提出了以下五点建议:1.国家需启动国家层面的全面战略部署,统一组织过渡安排和产业化推动工作,明确披露过渡的时间表;2.利用设备入网许可证管理、企业经营牌照审批及年检等行政管理手段推动目前产业链中实施过渡的薄弱环节(如终端/手机和网站);3.积极利用财税杠杆和专项发展基金等经济手段鼓励企业尽早推出支持IPv6协议的产品和服务;4.加强政府部门的先导示范作用,首先在政府网站和政府采购中尽快支持IPv6;5.重新认识并真正把信息基础设施提升到国民经济中的重要战略地位,在投资或政策导向上出台具体措施。

赵慧玲院长也提出:“从整个互联网的发展角度出发,我们希望政府能够给予积极的政策指引,比如说出台相应激励的政策,利用财税的杠杆和专项的基金等经济的手段,来促进下一代互联网的发展。”

工业和信息化部通信发展司司长张峰在会议致辞中也表示,电信企业要关注互联网技术的发展和演进,稳步推进IPv6商用进程。世界上的一些国家已经开始,或正在实施下一代互联网的计划,下一代的互联网正逐步从试验、示范转向试用和商用。我国一直从战略高度重视下一代互联网的发展,攻克了部分的关键技术,提高了研发和产业化的能力。

张峰司长说到:“工信部已经将下一代互联网作为重点课题,组织系统研究,并已在网络过渡、安全保障、未来合作演进等多方面开展调研,深入研究发展策略和推进举措,”

思科中国区C T O殷康则说到:“从另外一个角度说,历史现在把中国和中国的运营商推到了历史的前沿,我们必须要解决这些问题,而且没有可借鉴的经验和历史。”

中国电信韦乐平总工说到:“如果从更大的范围来讲,我也希望中国在向IPv6过渡工作上的努力能够带动全球向IPv6过渡的步伐。尤其是作为互联网大国之一美国,网民数远低于中国,IPv4地址资源却是中国的40倍,可以说地址资源还很丰富。而美国何时能真正开启向IPv6的过渡,也成为了全球向IPv6的过渡的重大课题之一。”

IPv6:正式商用开启下一代互联网演进之路

邬贺铨院士讲到:“互联网演进面对两种道路,一种是修补式的,从互联网诞生一直是这样做的,有人认为可以继续这样做,但是有人认为互联网已经越来越复杂,体系已经僵化。另外一种是革命的方式,用新的网络体系替换现有的互联网。当年互联网取代了电信网,未来可能有新的网络取代互联网。但是互联网现在已经不一样了,互联网已经深入到社会的各个方面,对于互联网方面的革命如果没有足够的印证,对于社会生活有很大的影响,所以我们认为互联网的演进,就像面临着飞行中换引擎的难题。我们只听说过空中加油,还没有听说过空中可以换引擎的。”

邬贺铨院士表示,日本的总务省曾提出,下一代互联网是基于IPv6的网络,IPv6是下一代互联网的重要标志,但显然不是唯一的标志。原来IPv4的地址很少,路由器选起来相对简单,但是现在的地址很多,所以不是简单地把IPv4的网变成IPv6就可以了,选入的网需要创新。

邬贺铨院士认为互联网的演进,现在是IPv4,可能走到IPv6,也可能直接走到IPv6+α,也可能是IPv4走到IP+α,或者是IPv4走到后IP,或者是经过IPv6走到后IP,或者是并行地走,各种各样的演进模式都是可能的。但IPv6不可能解决互联网存在的所有问题,但是IPv6是当前对于互联网发展的必要措施。现在我们不能等待一个还不知道什么时候可能会来的后IP,而不去开展向IPv6过渡的工作。

思科中国区C TO殷康则明确指出,互联网的架构不适合走革命性的道路。他表示:如果延续IPv4,可能在短期来说有它一定的价值和利益,但是长期来说可能会带来更大的弊端。过渡到IPv6可能非常不容易、非常痛苦,但是长远来说有非常大的价值。实际上这是产业链的运作,某种角度来说是不以人的意志为转移的。全球总的来说,对于今后互联网的发展方向,业界统一的共识就是IPv6,中国可能还有一些争议。IPv6是一个基础,在这上面可以再开展一些新的创新。

而作为中国首家进行IPv6商用的电信运营商,中国电信集团北京研究院副院长赵慧玲表示,中国电信以建设一个开放、安全、可扩展、广覆盖的网络来满足下一代业务促进三网融合,拓展互联网新兴的应用和支持国家的信息化、可持续发展为目标。中国电信将分三个阶段推进向IPv6的商用过渡。第一个阶段是试商用,从2009年到201 1年,在这个阶段主要还是以IPv4的业务为主,启动相应向IPv6过渡的网络和业务平台的改造和试商用。第二个阶段是规模商用,从2012年到2015年,这个时候可以说是IPv4、IPv6的网络业务共存,网络的平台进行规模的改造和逐步的迁移。第三阶段是2015年以后的全面商用。

“包括终端在内的IPv6产业链上的其他环节目前还没有表现出足够的需求。”中国电信集团副总工程师靳东滨谈到,“IPv6和其他技术一样,发展要与市场的需求相符合。中国电信发展IPv6也要与市场发展相适应,不能盲目图快。”

“面临一个规模很大、设备种类繁杂、业务平台众多的网络,涉及的问题和复杂性都是相当高的。所以,向IPv6的演进和建设一定是分步进行的。”赵慧玲院长说到,“中国电信的下一代互联网是遵循小步快跑、积极稳妥的基本原则,且从用户体验、投入成本、业务发展、技术应用这样几个维度出发,网络先行、业务跟进,把终端区别对待,这样来覆盖IP网、移动网、业务网和IP支撑系统等各种终端,以便适应下一代互联网的发展。”

IPv6:构筑物联网发展基石

2010年两会,温家宝总理在政府工作报告中首次涉及物联网产业发展。国家发改委副主任张晓强今年2月在湖南调研时高度评价了IPv6的物联网应用实践。工信部电信研究院通信标准所互联网中心何宝宏表示,如果按照IP地址33%的利用率来推算,未来5年我国IP需求量为345亿。其中在移动互联网为10亿,物联网预计需求量为100亿,固定互联网为5亿。可以说,目前对于我国而言,IPv6已是大势所趋,国家制定IPv6发展策略、路线图以及时间表的重要性已非常凸显。

工业和信息化部通信发展司司长张峰先生表示,下一代互联网作为信息网络的重要组成部分,已引起了国家的高度重视。作为行业的主管部门,培育信息网络等战略性新兴产业,规划引导下一代网络发展,促进物联网、互联网、移动互联网融合发展,已成为了工信部近期的工作重点之一。

张峰司长说到:“我们欣喜地看到,中国电信等电信企业正在抓住机遇,选择一系列需求迫切、前景广阔,特别是与物联网应用结合紧密的业务领域作为切入点。特别是与物联网应用这方面,在推动网络服务和支持IPv6,并逐步向IPv6过渡,这将有效地推动IPv6的产业链协调发展,起到积极的作用。”

据悉,以中国电信为代表的中国运营商已经在IPv6业务应用领域进行了积极探索。中国电信集团北京研究院副院长赵慧玲透露:中国电信已经在上海世博会、深圳的大运会等积极进行IPv6的试点,特别是在湖南已经提供IPv6商用网络。她说到:“2010年我们已经开始了现网的试点工作,上海的世博会上,中国电信率先应用IPv6的技术,为上海的世博会提供宽带的接入,像官网的镜像、高清的IPTV、彩色e家等互联网的应用。在2011年的大运会,我们也积极地进行准备采用宽带、无线网的技术相结合,我们将提供动态的、交互的、多媒体的城市导航和信息服务。我们将覆盖大运会67个场馆,服务于7万多名运动员、教练员、媒体、记者等等,并使用IPv6技术来提供一些新型应用。”

“特别值得一提的是IPv6在农业信息化上的应用。”赵慧玲院长说到,“2009年中国电信在湖南长沙首次开发部署了基于IPv6的物联网应用——农作物温室综合监控系统,并成功应用于湖南农科院良种果茶培育繁殖中心,在网络演进、业务创新、互联互通技术等多个方面取得了重大突破。它采用了智能感知与控制的技术。提供了视频、温度、湿度、光照、土壤排水量等业务和应用。这个系统是我国第一个使用IPv6技术的物联网应用。这不仅对于中国的战略性新兴产业发展具有重要的战略意义,对于全球IPv6的部署也具有划时代的意义。”

IPv6互联网 篇7

上海2015年9月15日电/--2015年9月7日, “全球IPv6下一代互联网高峰会议” (简称IPv6峰会) 在北京隆重举行。本届峰会由全球IPv6论坛 (IPv6 Forum) 和天地互连 (BII Group) 共同主办, 以“IPv6时代来了, 你准备好了吗”为主题, 邀请到互联网之父Vint Cerf博士、ICANN总裁兼CEO Fadi Chehade、APNIC主席Paul Wilson、ICANN董事&DNSOP工作组主席Suzanne Woolf等众多业内权威专家、数百位全球运营商代表、行业知名厂商代表、学术机构专家、用户企业及众多权威媒体共同参与, 就“IPv6大规模部署的技术焦点与主流方案”、“IPv6发展给网络安全带来的影响与挑战”、“IPv6助力全球物联网”等众多焦点话题展开热烈讨论。

大势所趋--“互联网+”助力IPv6全速推进

作为已成功举办了十五届的产业峰会, IPv6峰会已成为中国乃至全球范围内最资深最权威的下一代互联网旗帜性盛会。每届峰会的主题均紧扣产业热点, 引领下一代互联网的发展方向。本届峰会中, “互联网+”政策背景下IPv6的发展与趋势成为了与会专家的重点探讨议题。

大会主席、天地互连董事长在致辞时表示, “我国的互联网发展处于难得的重要战略机遇期, 当互联网+时代来临, 人与人、人与物、物与物间的信息交换与共享需求, 使得互联网基础资源和技术的压力将空前强大。而IPv6将不仅仅作为IPv4地址枯竭的一个解决方案, 更是下一代互联网的重要支撑。在这过程中, 需要政府及相关组织制订政策引导, 需要运营商、设备商及互联网内容提供商的积极响应, 更需要产业界的通力合作, 共同搭建一个良好的下一代互联网发展环境, 让IPv6为物联网、移动互联网、互联网+等诸多产业发展提供广阔的地址资源和端到端的安全互联保障, 使‘一物一址’, 让‘万物互联’。”

互联网之父、谷歌副总裁Vint Cerf博士在致辞中同样强调了IPv6对于物联网的发展将起到至关重要的作用, 并鼓励大家要积累在IPv6方面的经验和使用量, 推动IPv4到IPv6的转化, 最终使IPv6尽可能地变得像IPv4一样好用且像IPv4一样得到广泛应用。他表示, “物联网发展的关键问题在于将会有大量的设备需要与其他设备及互联网上的其他服务进行通信, 这就需要拥有巨大的地址空间的IPv6。”

深入部署--IPv6产业部署加快

进入21世纪以来, IPv6及下一代互联网就开始了全球的部署及商用进程, 如今也取得的了相当丰硕的成果。

在本届IPv6峰会上, 中国电信云计算研究中心主任赵慧玲、中国联通集团下一代互联网首席专家傅承鹏、中国移动研究院网络所承载网技术经理黄璐、赛尔新技术公司CTO李信满、中华电信研究院IPv6实验室邱万德等众多运营商代表分别介绍了各大运营商在下一代互联网商用部署上的进展与发现。中国电信云计算研究中心主任赵慧玲在演讲中表示, “在下一代互联网产业链上, 希望不仅仅是运营商网络, 包括内容提供商、终端厂商等业内各界都能够充分发挥积极性, 共同推进下一代互联网和终端的发展。”

同时, 华为、神州数码、捷思锐、赛尔新技术、日本庆应大学、清华大学等来自IPv6厂商及科研一线的权威专家分别分享了各自在IPv6及物联网、无线技术等方面的应用实践情况。

此外, IPv6根服务器系统等方面的研究也成为现场焦点之一。下一代互联网工程中心首席架构师Shane Kerr现场介绍了由我国领先发起的, 基于全新技术架构IPv6根服务器测试和运营实验项目——“雪人计划”, 该项目将为下一代互联网的发展提供良好的基础设施解决方案和运营数据佐证。除此之外, ICANN董事&DNSOP工作组主席Suzanne Woolf、2014互联网名人堂入选人Paul Vixie等分别以“下一代互联网名字、地址、标识体系”及“IPv6DNS错误与机遇”为主题进行深入演讲。

技术落地--IPv6 Ready Show Case现场体验

本届峰会还同期举办了IPv6Ready Show Case活动, 通过“设备测试、网络体验、产业报告、展览展示”等四个维度诠释IPv6下一代互联网综合现状。包括华为、中兴、锐捷、H3C、东软等数十家国内外知名厂商携带已通过IPv6 Ready认证的设备进行现场展示, 为与会的观众和厂商提供了一个全面直观的了解IPv6技术现状及发展方向。

此外, 全球IPv6测试中心主任李震在峰会现场宣布了《IPv6支持度白皮书2015》的发布及“IPv6网络工程师认证”官方网站的正式上线。《IPv6支持度白皮书2015》通过大量的测试结果, 以展示当前下一代互联网市场状况、空缺及重大机遇;IPv6网络工程师认证则是由IPv6 Forum发起的认证项目, 提供由全球IPv6论坛 (IPv6 Forum) 授权的IPv6 Education网络工程师 (包括银牌, 金牌和安全) 的权威认证, 旨在鼓励和加速IPv6教育及培训产业发展, 培养越来越多的IPv6专业人才, 进而有力推动全球IPv6部署和应用。

不仅如此, 在本次IPv6 Show Case活动现场还成功进行了IPv6网络的全场部署, 现场数百名与会观众现场全程体验IPv6网络所带来的高效与便捷。为解决大部分网站尚不支持IPv6访问的问题, 现场部署了全球IPv6测试中心IPv6 MIG设备, 应用NAT64、DNS64技术, 快速将IPv4资源迁移到IPv6平台, 解决IPv6资源贫乏的痛点。

IPv6互联网 篇8

面对IPV4地址资源的急剧耗尽, 基于IPV6的下一代互联网的研究正如火如荼的进行, 而安全问题被当作是IPV6研究的重要内容。设计者为IPV6设计了IPSec的安全机制, 但安全机制并不能全面彻底的保证网络安全, 许多安全问题仍然存在。

1、IPV6的安全状况分析

IPv6的技术特点和安全机制使得基于IPv6的下一代互联网在整体性能上有了提高, 安全性也更加完善.但这并不表示IPV6的网络系统就是安全的系统。我们知道, 安全问题包含不同的层次不同的方面, 是一个立体的问题, 仅仅依靠网络层的安全保护机制解决不了整个安全体系的问题的。如果入侵者从应用层而非网络层发起攻击, 如植入木马或致使缓冲区溢出等方式, 那么网络层再安全也无法防止攻击.况且, 单独来看网络层, IPv6也并非尽善尽美。IPV6毕竟不是一个全新的、颠覆传统的、革命性的规范, 它源于IPv4, 与IPv4有着千丝万缕的联系, 保留着不少IPv4中可继承的部份, 其中有一些选项就曾被入侵者用来攻击或者逃避检测, 所以IPv6也很可能够逃避不了类似的攻击。

IPV6协议将保护的重点放在了数据安全上, 网络的安全则交给最终端用户解决, 所以IPV 6不能保证网络绝对安全, 网络中的各种威胁是仍然存在的。如网络病毒、蠕虫病毒、拒绝服务攻击、口令攻击、缓冲区溢出的攻击等等依然会利用IPV6的薄弱环节发起攻击, 与此同时, 一些在网络管理层面上的漏洞, 如网络资源滥用、信息审查的滞后, 内部用户的违规操作等都将威胁到基于IPV6的下一代互联网的安全。下面我们将对基于IPV6的下一代互联网中面临的安全隐患作一些阐述和分析。

2、基于IPV6的下一代互联网面临的威胁

2.1 网络中病毒的威胁

IPV6拥有128位的地址, 巨大的地址空间使得病毒或者蠕虫不能通过扫描地址段的方式攻击存在漏洞的主机, 这的确也从一定程度上减轻了网络病毒的危害。但是, 我们仍然应该清醒的认识到, IPV6网络中仍然存在着一些关键的主机和服务器, 如动态地址分配服务器、域名服务器、邮件服务器等等。通过路由器, 这些关键主机或服务器的IP地址较容易获取、容易被攻击。所以要特别重视关键主机或服务器的安全防范, 一旦被入侵, 危害的将是整个网络。此外, 利用电子邮件传播病毒的威胁依然存在, 在网络安全的层次当中应当重视应用层的安全防范。

2.2 拒绝服务Do S的攻击威胁

拒绝服务攻击是一种故意攻击网络协议或通过野蛮手段残忍的耗尽被攻击对象资源, 目的在于让目标计算机或网络无法提供正常的服务或资源访问, 使目标服务的系统停止响应甚至崩溃。它的目的不在于窃取信息, 而是使目标设备无法正常提供服务。

基于IPV6网络中的组发地址定义方式有可能成为被攻击者利用的一种Do S攻击方式。例如, 在IPV6中的地址FF01::1表示所有的动态地址分配服务器, 如果向这个地址发布一个IPV6报文, 此报文就可以到达网络中所有的动态地址分配服务器, 因此就有可能黑客专门利用这一特点对这些服务器进行Do S攻击。

另外IPV6还有一种方式可能被利用成Do S攻击的是它的加密和认证机制。我们知道, 加密和认证都是需要一定计算量的, 为加大安全的力度密钥往往需要达到一定长度, 密钥越长, 加密的计算量就会越大。由于目前网络带宽增长的速度要远远大于CPU主频的增长速度, 如果攻击者向目标主机发送大量看似无误实际上却恶意或无用的加密数据包, 被攻击的目标主机就有可能由于消耗了大量的CPU资源来检验攻击者发送的数据包而无暇响应其他请求, 造成Do S拒绝服务。

2.3 利用TCP协议的缺陷进行攻击

我们以SYN Flood攻击为例。它是当前最流行的利用TCP协议缺陷进行攻击的方式之一, 即同步发送大量伪造的TCP连接请求, 从而使得被攻击方CPU资源或内存资源耗尽。过程是, 攻击者向目标主机发送大量伪造了源地址的包含了SYN标志的TCP报文, 根据TCP建立连接的三次握手规则, 目标主机需要分配相应的资源并向源地址返回SYN+ACK报文, 接着就是等待发送请求的一端返回ACK包。由于源地址是伪造的, 它不可能会返回最后的ACK报文, 目标主机在等待后将继续发送SYN+ACK报文, 同时将进行了一半的连接放入到端口队列当中。由于置于端口的半连接队列空间有限, 一般的超时机制和默认的重传次数不能够应付那些不断发送大量的、恶意的TCP SYN报文, 这种情况下半连接队列的空间很快被占据满。于是服务器忙于处理这些未完成的连接, 拒绝新连接, 最终导致端口无法响应新的连接请求, 资源也随之耗尽。这一类的攻击都是基于TCP协议本身的机制漏洞, IPV6暂时也无法解决。

2.4 对应用服务的威胁

IPV6的安全机制和加密机制主要作用网络层和传输层, 它虽然也为OSI体系结构中上面三层的提供了加密和身份认证的基础, 但安全是各个层次和多方面的, 互联网自身以及应用和管理体系的不完善使得纵使IPV6大范围推广使用也无法从根本上解决所有应用层面上的安全问题。例如, 利用系统缓冲区溢出或植入木马;黑客窃取通信双方的密钥后冒充合法用户向目标主机发起攻击;对数据库服务器、邮件服务器或DNS服务器等提供应用服务的主机发动攻击等;这些对应用服务的威胁具有极大的隐蔽性, 一旦受到攻击后果将是致命的。

3、安全问题的分析

基于IPV6的下一代互联网的安全隐患仍然出现在设计、实现、维护和运用等各个环节。互联网最初的出现时是只用于少数可信的用户群体, 没有能够预料到它的飞速发展和使用的, 因此也没有充分考虑到各种安全威胁, 许多的网络协议和应用没有提供必要的安全服务。IPV6设计的初衷是为了解决日渐枯竭的地址问题, 虽然它考虑了网络的安全性, 提出了全新的IPSec安全体系结构, 但IPSec只能保证网络层的安全。IPV6网络体系的根源是IPV4, 它是对目前大规模应用的IPV4网络的继承和发扬, 仍然保留有许多体系、机制、运用和服务等, 这些曾为IPV4提供服务的网络协议和应用在IPV6的网络中仍将在一段时期内继续使用。如提供电子邮件服务的SMTP协议没有认证机制曾导致垃圾邮件泛滥、提供远程登录服务的TELNET协议只能用明文传输用户名和口令、IP网络不提供服务质量控制机制Qo S曾导致网络在大规模拒绝服务Do S攻击面前几乎无能为力等等。在实现环节, 可能由于市场竞争的需要使一些厂商为了迅速占领下一代互联网市场, 往往会把一些没有经过严格论证和测试软硬件推向市场, 这也将留下了大量的安全隐患, 如缓冲区溢出等。从过往的经验我们知道, 维护阶段的安全也是攻击的重要目标, 这个阶段往往会由于管理员的技术水平参差不齐或维护管理工作量大难以面面俱到等因素使得这些安全机制不能充分发挥作用, 如缺省的系统安装、简单易破的口令等等都成为黑客攻击成功的原因。在运用阶段, 用户的安全意识不强或误操作往往会让恶意攻击有机可乘, 如接收并转发了带病毒文件, 点击恶意链接, 未经查杀病毒的私人移动设备接入等等。

总之, 要在IPV6的下一代互联网中实现网络的安全可信, 需要探索一套全面、立体的安全机制, 从网络体系入手, 注重技术实现, 在设计、实现、运行等各个阶段作好保障;同时, 要重视管理的基础性作用, 在层次和权限上作好严格的划分, 重视制度和规则, 多层次多角度相结合才能够保障网络应用和服务等各方面的安全。

参考文献

[1]王奕, 基于IPv6的互联网安全问题探析甘肃联合大学学报2010.7

[2]张宁纪越峰, IPv6技术与中国下一代互联网发展北京联合大学学报2006.3

IPv6互联网 篇9

关键词：IPv6,下一代互联网,安全问题

0引言

在科技发展的带动下,互联网的应用范围不断拓展,由IPv4所定义的有限的地址空间逐步耗尽,成为制约互联网进一步发展的瓶颈。因此,为了对地址空间进行扩充,IPv6得以提出并应用。相对于IPv432位地址长度,总数在43亿左右的地址, IPv6采用的是128位的地址长度,几乎可以不受限制地提供海量地址,因此在全球范围内受到了广泛的关注。

1IPv6的特点

IPv6即Internet Protocol Version 6,是由IETF设计的,用于取代现行IP协议的下一代IP协议,其特点主要体现在:

(1)地址长度达到128位,地址空间相比IPv4大大增加;

(2)使用一系列固定格式的扩展头部代替了IPv4中可变长度的选项字段,而且选项出现的方式有所变化,加快了报文处理的速度;

(3)简化了报文头部格式,加快了报文转发速度;

(4)安全性大大提升;

(5)允许协议继续演变,增加新的功能,以适应未来技术的发展。

2IPv6面临的安全隐患

虽然相比IPv4,IPv6协议具有相当明显的优势,但是不可否认,其中也存在着一些安全隐患,这些安全隐患主要表现在:

2.1网络病毒的威胁

IPv6的地址长度达到128位,巨大的地址空间虽然为互联网的进一步发展提供了良好的支持,但是也容易受到网络病毒的威胁。例如,通过路由器,可以轻易获取一些关键主机以及服务器的地址,导致系统遭到攻击,而一旦病毒入侵,会对整个网络造成严重的危害。不仅如此,一些通过电子邮件传播的病毒仍然存在,需要网络管理人员的重视,加强应用层的安全防范。

2.2拒绝服务DoS的攻击威胁

拒绝服务攻击是指一种恶意攻击网络协议,或者通过野蛮手段,占用被攻击对象的资源,使得目标计算机或者网络无法提供正常的资源访问和服务,导致服务的停止乃至系统的崩溃, 换言之,拒绝攻击服务的目的并非窃取用户信息,而是使得目标设备无法提供正常的服务。在IPv6中,组发地址的定义方式可能被攻击者利用,例如,在IPv6地址中,FF01::1表示所有的动态地址分配服务器,若向改地址发布IPv6报文,则报文可能会达到网络中所有的动态地址分配服务器,从而成为黑客攻击的漏洞。另外,IPv6的加密和认证机制同样可能被利用成Do S攻击。通常来讲,密钥越长,安全度越高,加密需要的计算量也越大,如果攻击者向目标设备恶意发送大量的加密数据包,目标主机可能需要消耗大量的CPU资源,对其进行检验, 从而无暇相应其他请求,导致Do S拒绝服务。

2.3利用TCP协议缺陷攻击

以SYN Flood为例,作为当前最常见的利用TCP协议缺陷的攻击方式,主要是通过同步发送大量乃至海量伪造的TCP连接请求,消耗目标主机的内存资源或者CPU资源,此类攻击是利用了TCP协议本身存在的机制漏洞,IPv6在短期内无法有效解决。

2.4对应用服务的威胁

IPv6协议的安全机制和加密机制一般都是作用在传输层和网络层,虽然在OSI体系结构中,也提供了相应的加密和身份认证基础,但是由于互联网自身的特点以及不完善的应用管理体系,使得IPv6不可能从根本上解决所有应用层面中的安全问题。例如,黑客在窃取双方密钥后,冒充合法用户,向目标主机发动攻击,或者利用系统缓冲区溢出或者植入木马等,对于应用服务的威胁不仅巨大,而且存在很大的隐蔽性,一旦受到攻击,会产生非常致命的后果。

3基于IPv6的下一代互联网安全策略

3.1实名制地址分配机制

即将IP地质与现实世界中的自然人一一对应起来,将现实身份与网络身份一一对应,利用IPv6更大的地址空间,实现每人分配唯一固定IP地址的要求。这种地址分配机制包括两种方法,一是主机号实名制,将128位地址分为网络号和主机号两部分,网络号用来进行网络寻址,主机号则用来确定网络中具体的接入端。如果用户应特殊原因,需要进行网络迁移,只需要对网络号进行更改即可。不过,这种方法虽然便利,但是用户每迁移一次,就需要分配一个IP地址,会在一定程度上缩减IP地址的分配空间,因此,只适合网络用户数量小于IP地址空间的情况。二是全IP实名制,即所有的用户只能在本地申请一个唯一的IPv6地址,若出现网络迁移,需要根据实际情况,采取针对性的措施。对于临时性迁移,采用嵌套头方式,为IP地址增加一个嵌套头,形成一个新的临时IP地址,用户发送的每一个文件包都嵌套有原本的IP信息,能够有效避免网络的匿名性,不过对增加开销;对于永久性迁移,将原有的IP地址注销, 之后在迁移区域重新注册IP地址。通过实名制地址分配机制, 可以有效消除IP地址假冒以及源路由攻击的安全隐患,将网络社会与现实社会紧密联系起来。

3.2报头安全漏洞保护方案

在数据服务中,扩展报头能够有效提升服务质量,不过也带来了相应的安全漏洞,容易引起目的路由攻击隐患。对此, 这里采用相应的安全漏洞保护方案,将访问控制检查扩展到路由报头地址中,以防止攻击者绕过防火墙直接攻击主机的情况, 对安全漏洞进行保护。

3.3基于DSTM方案的过渡机制

DSTM方案是基于IPv4-over-IPv6隧道,经DSTM,在纯IPv6网上实现对IPv4通信流的传输,同时,DSTM也提供了一个分配临时IPv4地址给IPv6/ IPv4双栈节点的方法,能够有效解决纯IPv6网络主机与IPv4主机或者应用的相互连接问题。

DSTM安全机制采用的安全规范包括:

(1)在DSTM服务器中,过滤和使用隧道配置协议(TSP) 以及DHC IPv6应用认证,确保使用DSTM服务器的主体,允许控制有权接入业务;

(2)在IPv6网络中,所有支持DSTM业务的设备,都必须允许IPv4按照IPv6 in IPv6隧道的方式进行传输;

(3)便于系统管理人员对DSTM网关上创建的隧道以及DSTM服务器所做的分配进行监测和管理,便于对DSTM激活的网络进行监督和控制,在发现错误时,可以及时发出告警信息。

通过在DSTM服务器中应用过滤、TSP协议、DHC IPv6应用认证以及相应的隧道传输技术,可以有效避免非法用户以IPv6为入口,对私有网络的访问,而通过系统管理人员对DSTM激活网络的监测,能够保证攻击者无法绕过监测系统对网络进行攻击,保证网络的运行安全。

4结语

IPv6互联网 篇10

关键词：IPV6,安全管理,策略研究

1 互联网的发展现状

随着互联网的迅速发展, IPv4定义的有限地址空间正在一步步被耗尽, 毋庸置疑地址空间的不足将会影响互联网的进一步发展。为了扩大地址空间, 拟通过IPV6重新定义地址空间。IPV4采用32位地址长度, 只有大约43亿个地址, 目前已将被分配完毕, 而IPV6采用128位地址长度, 几乎可以不受限制地提供地址。因此, IPV6在全球范围内受到重视。

由于政府的重视, 日本走在IPV6研发的前列。日本于1999年12月开始提供试验服务, 2001年4月开始提供商用服务, 到目前为止, NTT Com、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务, 日本全国利用IPv6的环境正日益完善。研究的内容主要包括IPv6的下一代服务模型、家电网络的应用和服务、网络环境中的IPv6信息机器、使用信息家电的个人内容交换系统、信息家电安全和有效的通信技术、面向流媒体的服务终端及其业务、无线互联网服务、IPv6网络上的IP电话、用非个人电脑设备实施的互联网应用服务、信息家电图像的传送和应用、内容传送模型验证及收费/认证功能。

2 对于IPV6安全问题现状的分析

IPV6强制实施了标准化的因特网安全协议IPSec, 因此在网络安全方面存在一些优势, 能够提升业务和应用的安全性, 保证端到端的安全。

(1) 避免了IPV4存在的一些攻击。 (2) 能够构建安全的专用网络。 (3) 大大提高了内部网络的保密性。

但不容乐观的是IPV6虽然解决了IPV4存在的一些弊端, 它本身也有很多安全隐患。如网络病毒、蠕虫病毒、拒绝服务攻击等依然可能利用IPV6的薄弱环节发起进攻。与此同时一些网络管理上的漏洞, 也将威胁到基于IPV6的下一代互联网的安全。

(1) 病毒的威胁。IPV6拥有的地址多达128位, 巨大的地址空间必然会存在很多漏洞, 比如通过路由器某些关键主机或者服务器的地址会比较容易获取, 进而遭到攻击, 更可怕的是, 病毒一旦入侵, 将会对整个网络造成威胁。

(2) 拒绝服务Do S的攻击威胁。比如有攻击者恶意向目标主机发送大量加密的数据包, 这样就会造成目标主机因消耗大量的CPU资源因检测这些数据包而无法正常响应其他请求, 从而造成Do S拒绝服务。

(3) 利用TCP协议的缺陷进行的攻击。以当前最流行的攻击SYN Foold为例, 这种攻击方式同步发送大量伪造的TCP连接请求, 从而使得被攻击方的CPU资源被耗尽。

(4) 应用服务的威胁。互联网虽然日益发展, 但其自身以及应用和管理体系还不完善, 这使得IPV6大范围推广受到阻碍。一些对应服务具有很大的隐蔽性, 例如一些黑客窃取双方的密码后会对用户造成恶意攻击。

3 IPV6网络管理存在的问题

从IPV4到IPV6, 地址空间发生了很大了变化, 地址空间得到了扩充, 因此网络管理也将面临巨大的挑战, 性能管理中如何建立有效的性能分析模型, 并能够迅速有效地分析出有效地数据是个重大问题。并且考虑到效率和开销问题, 传统的性能工具在新的环境下也显得力不从心。此外, 在配置管理方面也存在很多问题, 现有的管理方式依赖于网络管理人员的专业熟练程度, 但IPV6网络的结构复杂, 构成不同于往日的网络, 这必然会加重网络管理人员的负担和网络管理的维护成本, 这些问题如不能及时解决, 必然会影响网络的长期发展。

4 解决方案

4.1 解决IPV6网络之间的通信技术。

4.1.1 基于双核的过渡技术。

Limited Dual Stack Model要求网络和服务器支持主机需要IPv6从而节省IPv4地址, 虽然解决了IPv6网络之间的通信问题, 但是仍然无法解决IPv6和IPv4网络之间的通信问题。

4.1.2 基于隧道的过渡技术。

基于隧道技术的过渡方案主要有:手工配置隧道、自动配置隧道、隧道代理、6to4隧道和6over4隧道等等。通过IPv4隧道传送IPv6需要配置的内容主要有:隧道接口的本地IPv6地址、隧道两端的IPv4地址。

4.1.3 基于MPLS的过渡技术。

当前基于IPv4的MPLS日趋成熟, 已经可以借助MPLSL2/L3VPN技术来连接IPv6的网络。基于MPLS技术的过渡方案有:在CE路由器上配置隧道、基于MPLS电路的IPv6透传、在PE路由器上起用IPv6 (6PE) 和基于IPv6的MPLS。在CE路由器上配置隧道方案要求CE路由器支持双栈, CE和PE之间运行IPv4, CE负责将IPv6数据封装在IPv4中通过MPLS传送到对端的CE路由器。

4.2 解决IPV6和IPV4之间的网络通信技术。

4.2.1 SIIT。

SIIT定义了在IPv4和IPv6的分组报头之间进行翻译的方法, 由于这种翻译是无状态的。因此对于每一个分组都要进行翻译。这种机制可以和其它的机制 (如NAT-PT) 结合, 用于纯IPV6站点同纯IPv4站点之间的通信, 但是在采用网络层加密和数据完整性保护的环境下这种技术不适合应用。

4.2.2 NAT-P就是在做IPv4/IPv6地址转换 (NAT) 的同时在IPv4分组和IPv6分组之间进行报头和语义的翻译 (PT) 。

适用于纯IPv4站点和纯IPv6站点之间的对于一些内嵌地址信息的高层协议 (如FTP) 需要和应用层的网关协作来完成翻译。在NAT-P的基础上利用端口信息, 就可以实现NAPT-PT。

5 研究进展

5.1 信息模型方面。

网络管理信息库及描述管理信息的信息模型是网络管理的重要组成部分, 是连接管理者和被管理不可缺少的部分。要想由IPV4扩展到IPV6, 就需要增强基于IPV4的SNMP应用, 来管理混乱的网络, 并且从IPV6本身来说也有一些新的特性需要被管理, 因此需要新增MIB定义。目前, IETF就提出了一些关于IPV6的MIB定义。比如TCP的IPV6 MIB定义, UDP的IPV6 MID, 以及RFC2465等等。

5.2 组织模型方面。

一个网络系统区别于另外一个网络系统的重要方面包括灵活的配置网络管理的组件以及灵活的指定管理功能域应该包括的被管对象。而网络管理布局的灵活性又取决于网络管理工作站的分散程度, 也就是取决于数据收集、处理、网络控制以及监视功能的分布状况。由于巨大的地址空间, IPV6采取的是集中式体系结构和分层式体系结构。并且因为IPV6的地址空间, 工作管理站的分散程度也将是巨大的。但随着网络技术的发展, IPV6环境下分布式管理体系结构也将逐渐完善和发展。

5.3 通信模型方面。

目前还是通过IPV4进行管理, 对于IPV6的网络管理, 要依赖于其协议的发展和完善。

5.4 功能模型:

在IPV6的环境下OSI的五大功能得到了很好的发展。

5.4.1 故障管理:

目前的故障管理水平还比较低, 对失效事件的自动推理过程还不够完善, 因此不能迅速的定位故障点。

5.4.2 配置管理:

目前配置管理的方向主要是基于策略的配置管理。并且IETF已经成立了多个工程组来来进行相应的推广。

5.4.3 性能管理:

性能管理方面主要考虑了五个方面的问题。分别是如何收集性能信息、如何处理收集到的信息、如何对信息进行加工处理、完成预测功能以及如何开发基于IPV6的性能管理工具。

6 结束语

总之, 要想保证在IPV6互联网下网络的安全性, 需要建立一套全面而立体的机制, 需要从整个网络体系入手, 无论是在设计、实现还是运行阶段, 都要注重技术的充分实现。同时, 也要注重管理的基础性作用, 重视制度和规则的制定, 对各个领域进行严格划分, 多层次服务才能真正保证网络的安全性

参考文献

[1]宋婧.基于IPV6的下一代互联网安全问题探讨.