IPV6与IPV4在技术上都有那些改进?


目前,“线上”网络与“线下”生活深度融合,虚拟的网络世界与现实的社会生活交织在一起。人在网络上成了“透明人”,个人的一举一动都被“记录”在网络上。试想如果这些信息被非法使用,是不是很可怕?此外,网络在金融、交通、通信等领域发挥着越来越重要的作用,成为一个国家正常运转的“神经系统”。我们知道我国正在大力推进IPv6网络的部署,其中一个重要的切入点就是借助IPv6安全的提升,推进网络空间的安全治理,扭转当前网络安全的严峻形势。IPv6有哪些技术改进?IPv6作为下一代互联网的关键技术,正在逐步取代IPv4成为支撑互联网运行的核心协议。IPv6着重解决IPv4的两个问题。

地址空间问题。与IPv4相比,IPv6将IP地址的数量从2的32次方扩展到2的128次方,足以满足未来任何可预测的地址空间分配。这是IPv6被选为新一代网络承载协议并逐步商业化部署的根本动力。网络安全问题。由于IPv4中地址资源有限,一个公网地址需要通过NAT由多台主机共享。因此破坏了端到端通信的透明性,给网络安全事件的可追溯性带来了困难。IPv6地址资源丰富,可以采用分层结构逐步分配,为每个责任主体分配一个唯一的IPv6地址,大大提高了跟踪、定位和查询的可追溯性。可以说,IPv6技术是实现网络空间安全治理的基础技术。

IPv6安全有哪些改进?


1.可追溯性和攻击预防

IPv6的地址空间巨大,理论上不会缺少IPv6地址,也不需要广泛使用NAT设备来保存IPv6公网地址。IPv6终端可以直接建立点对点连接,无需地址转换,因此IPv6地址可以轻松追溯。

IPv6地址分为64位网络前缀和64位接口地址。64位前缀地址支持64位主机的数量,因此攻击者无法扫描IPv6网段中所有可能的主机。假设攻击者以每秒100万台主机的速度进行扫描,遍历64位前缀中的所有主机地址大约需要50万年。64位主机地址大大增加了网络扫描的难度和成本,从而进一步防止了攻击。

2.支持IPSec安全加密机制

IPSec安全功能默认集成在IPv6协议中,加密和认证功能通过扩展认证头(AH)和封装安全负载头(ESP)来实现。

AH协议实现了数据完整性和数据源身份认证功能,ESP在上述功能的基础上增加了安全加密功能。IPv6协议与IPSec集成,真正实现端到端安全。中间转发设备只需要转发带有IPSec扩展头的消息,不需要处理IPSec扩展头,大大降低了转发压力。

3.安全性增强,NDP和SEND

在IPv6协议中,邻居发现协议(NDP)用来代替ARP和IPv4中的一些ICMP控制功能。NDP协议通过在节点间交换ICMPv6消息和错误消息来实现链路层地址和路由发现、地址自动配置等功能,并通过维护邻居可达状态来增强通信的健壮性。NDP协议独立于传输介质,因此可以更方便地扩展。IPv6协议层现有的加密认证机制可以保护NDP协议。IPv6的安全邻居发现协议是NDP的安全扩展。SEND的目的是提供一种备份机制,通过另一种独立于IPSec的加密方法来保护NDP,从而保证传输的安全性。

4.真实源地址验证系统

真实源IPv6地址验证架构(SAVA)分为接入网、AS内和AS间源地址验证三个层次,从主机IP地址、IP地址前缀和自治域三个粒度组成多监控防御系统。该系统不仅可以有效防止假冒源地址的攻击,还可以通过监控流量实现基于真实源地址的计费和网络管理。因此,IPv6不仅在IP地址上几乎是无限的,而且在网络安全性上也是优越的。IPv6还有风险?相对于IPv4,IPv6在安全性方面已经有了预先的设计和充分的考虑,但是仍然存在一些难以解决的安全隐患。IPv6作为一种网络层协议,并不能解决所有的网络安全问题。IPv6本身无法解决其他功能层造成的攻击(如应用层漏洞)。IPv6仍然继承了IPv4中存在的一些安全风险,IPv4和IPv6中实现的双栈配置等过渡机制也可能引入安全风险。网络中也会出现一些新的安全隐患,这是专门为IPv6协议形成的。


分享: