党进才

【摘 要】随着Internet的发展，IPv4协议的各种问题逐渐暴露出来。本文论述了IPv4的局限性以和IPv6的优越性，探讨了IPv6的安全机制的实现以及IPv6安全技术的应用。

【关键词】IPv4；IPv6；AH； ESP；IPv6的安全应用

1. IP现状

网际协议IP是Internet中的关键协议。1969年美国国防部为适应核战争的通信需要建立了ARPANET实验网，1973年开发出基于TCP/IP协议的IPv4原型，其后经三次修订，于1981年9月IETF（Internet Engineering Task Force）公布了IPv4标准规范RFC791文件。IPv4取得了巨大的成功。但早在1990年TCP/IP专家们就已察觉出它潜伏着三大危机。

1.1 地址枯竭

在IP头标中能够处理的地址数由IP地址域的长度决定。IP地址由Internet网络信息中心INTERNIC进行分配。IPv4的地址域为32比特，可提供232（约40亿）个IP地址。但为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多主机，而有的网络上的主机则很少。因此Internet的IP地址分为五类，即A类到E类。

1.2 网络号码匮乏

在IPv4中，A类网络只有126个，每个能容纳1亿多个主机；B类网络也仅16384个，每个能容纳6万多个主机；C类网络虽多达2097152个，但每个只能容纳254个主机。D类地址是多播地址，主要是留给Internet体系结构委员会IAB（Internet ArchitectureBoard）使用。目前大量使用的IP地址仅A至C类三种。A类IP地址的网络号数不多。现在能够申请到的IP地址只有B类和C类两种。当某个单位向IAB申请到IP地址时，实际上只是获得了一个网络号net-id。具体的各个主机号host-id则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号即可。

1.3路由表急剧膨胀

随着ISP数目的增长，已经出现路由表占满路由器内存，导致网络异常的恶性故障。这是由于IPv4的地址体系结构是非层次化的，每增加一个子网，路由器就增加一个表项，使路由器不堪重负。

2.消除三大危机的措施—引入IPv6

为了克服IPv4的三大缺陷，IETF于1992年开始开发IPv6协议， 1995年12月以RFC1883文件公布了建议标准（proposal standard）。IPv6继承了IPv4的优点，并根据IPv4 30多年来运用的经验进行了大幅度的修改和功能扩充。IP协议的变化对TCP/IP协议栈的许多协议发生影响。IPv6比IPv4的处理性能更加强大，高效。

2.1 IPv6提供巨大的地址空间

IPv6的IP地址域为128比特，拥有2128巨大的地址空间。和IPv4相同，因地址分层运用，实际可用的总数要小得多。但保守的估计每平方米也有1600个IP地址。IPv6的目标是：通过1012个网络连接1015台计算机。

2.2 IPv6具有与网络适配的层次地址

和IPv4一样，IPv6的IP地址分成表示特定网络的网络前缀和表示主机或服务器的主机地址两部分。在128比特中高64比特表示网络前缀，低64比特表示主机。

为将网络前缀分成多个层次的网络，又将其分成13比特的顶级聚类标识符TLA（top-level aggregation）-ID，24比特的次级聚类标识符NLA（next-level aggregation）-ID和16比特的网点级聚类标识符SLA（sit-level aggregation）-ID。首先，由管理IPv6的组织将某一确定的TLA值分配给某个骨干网的ISP。它拥有104比特这样巨大的地址块。骨干网的ISP再将地址块细分，分配给各个地区中小ISP。用户从地区中小ISP处分到地址块。

3. IPv6的优越性

3.1减少了软件处理内容

我们通过比较IPv4和IPv6头标的结构可以看出IPv6的优越性能。虽然IPv6头标占40字节，是24字节（计入选项及填充）的IPv4头标的1.6倍，但因其长度固定（IPv4头标是变长的）故不需要消耗过多的内存容量。又因其要处理的域由IPv4的12个减少到8个，从而大大减少了路由器上的软件处理容量。

3.2 路由器软件内核小

据Cisco systems资料表明，IPv6版的路由器软件内核（kernel）实际上比IPv4还小。在Cisco2500系列中配置的IPv4内核为2.17MB。如计入存放路由表的工作区（work area）则升至3.2MB，而配置IPv6的内核时，其内核仅为1.69MB，计入工作区也不过2.7MB。

4. IPv4与IPv6的安全性

IPv4的目的只是作为简单的网络互通协议，因而其中没有包含安全特性。

IPv6中引入的安全机制是通过两个扩展报头来实现的，即身份验证报头AH（Authentication Header）和加密安全有效数据ESP（Encapsulation Security payload）来实现的，并且AH和ESP具有功能互补的作用。AH报头是用来确认IP信息包的可能性和完整性的，用于阻止固定字段的非法修改和IP地址的电子欺骗，ESP报头则是用来提供数据的加密封装，阻止非法节点阅读IP信息包的有效数据这两个报头可单独使用，也可同时使用，确保信息包的安全。

4.1 头标

认证头标（AH）的头标类型代码是51，它通常嵌入在IPv6头标和净荷之间。例如被认证的TCP分组由IPv6头标、认证头标和TCP分组本身组成。除此之外，还可能在AH之前插入寻路头标或在AH与净荷之间插入信宿选项头标。

IPv6的所有主机必须支持AH，加上AH后并未改变TCP、UDP、ICMP等协议的性能。AH的作用只是保证数据的合法性。网络层抛弃认证失败的分组，并通知这些协议。

该域的长度必须是32比特的整数倍，可以包含填充域。AH头标的总长度必须是64比特整数倍，任何实现都必须支持这种填充。

认证头标应提供充分的功能，防止当前Internet 上不时发生的伪造地址的攻击，此外还应保护用户免受黑客（hijack）攻击。实现认证可以采取传输模式或者是隧道模式。

4.2封装化安全净荷

只有认证头标是不够的，因数据仍以未加密的明码发送，在传输过程中要通过许多系统和网络，在中间链路上可能被信宿以外的非法分子“窃听”。为了保密，应使用封装化安全净荷（ESP）。ESP头标必定位于IPv6菊花链扩展头标的最后，在未加密的IPv6头标和扩展头标之后是加密的ESP头标和加密数据。

5. IPv6安全的应用

计算机网络的广泛应用对人们的现代生活产生了重大的影响。在我们看到计算机网络的广泛应用对现代社会发展正面作用的同时，我们也必须注意到它的负面影响。例如，有些人利用互联网犯罪，对人民、对社会的合法权益构成严重威胁。所以网络安全就显的尤为重要。IPv6安全的应用有以下几个方面：

5.1 安全管道和防火墙

现在互联网的安全大都依赖于防火墙或安全机器，它们在外部世界与安全网络之间发挥类似网关的作用，而IPv6的AH和ESP报头可以用来在两个远程防火墙之间建立安全通道。两个防火墙之间交换的数据包封装成IPv6数据包，从一个防火墙通过互联网传到另一个防火墙：如果要求认证，使用AH；如果要求加密，则使用ESP。

5.2 移动主机

移动主机是在受保护之外的网络上使用，避免移动主机被攻击的一个简单办法就是在移动主机与本地网络防火墙之间建立安全通道，这种解决办法可以与实现IP层移动性相结合，移动主机会有两个地址，一个是在远程网络，一个是在本地网络，捆绑在移动主机本地地址的数据包会由防火墙加密转发。

5.3 邻居发现

邻居发现是特殊的安全要求。我们希望控制对网络的访问，这样访问者需要有权限才能把主机接入网络。还要控制一些消息的认证，避免把数据发送到错误的地址，因此要检验下面的消息；从一个经审定的路由发出的宣告消息、从一个授权主机发出的邻居宣告消息和从原始包发送的路由发出的重定向消息。

路由宣告消息发送到广播组的所有节点。配置这个组的SA很容易，然而一些算法只能保护组不受外界攻击，而密钥在组内是公开的，每个节点都可发出路由宣告消息，伪造任何信息以及伪装成组内的任何一台其他路由器。但这比当前任何黑客都能把主机接入网络好多了。

5.4 路由协议

路由协议如果不安全，那就不能维持网络的一致性。路由更新会改变或中断一些连接。一些协议在路由之间的SA上层运行，因此IP层安全可能是最好的协议认证或加密功能的替换方案。

作为IPv6的一个组成部分，IP层安全是一个网络层协议。它只负责其下层的网络安全，并不负责其上层应用的安全，如Web、电子邮件和文件传输等。因此，随着人们对安全性要求的提高，IPv6的需要提供更好的安全性。

6.结语

本文阐述了IP的现状，IPv4的一些特点，IPv6的地址表示法以及IPv6的优越性，主要讨论了IPv6的安全机制实现以及安全技术的应用。随着Internet的广泛应用，IPv6技术是下一代互连网络必须采用的技术。

参考文献：

[1]张震，唐晓晟，徐惠民.IPv6安全机制研究[J].网络纵横，2011（4）63-64.

[2]刘东.如何在中国部署IPv6网络.中国电信业发展指导. 2003。

[3]高静.IPv6及其安全问题分析[J].数字技术与应用.2013（7）.

[4]冯博琴.计算机网络实验教程[M].北京：高等教育出版社，2011.