基于IPv6的下一代網(wǎng)絡(luò)技術(shù)的特征分析

1.引言

　　隨著IPv4地址的耗盡，以及網(wǎng)絡(luò)接入用戶的不斷龐大，向IPv6過(guò)渡已經(jīng)是勢(shì)在必行，IPv6作為新一代的網(wǎng)絡(luò)協(xié)議，不僅具有海量的IP地址資源，而且由于其數(shù)據(jù)包可以更大，從而實(shí)現(xiàn)更可靠、更快速地進(jìn)行數(shù)據(jù)的傳輸，同時(shí)通過(guò)在數(shù)據(jù)報(bào)頭中添加流標(biāo)記和業(yè)務(wù)級(jí)別大大地改善QoS，且任何設(shè)備接入IPv6后即可獲取相應(yīng)的設(shè)置，大大地簡(jiǎn)化用戶操作，滿足移動(dòng)性等要求，最重要的一點(diǎn)是，IPv6通過(guò)IPSec實(shí)現(xiàn)更高的安全性，實(shí)現(xiàn)了網(wǎng)絡(luò)層的安全，但是這種安全并不絕對(duì)的，在新一代互聯(lián)網(wǎng)中的安全威脅，還需要這個(gè)領(lǐng)域的專家找到完整的解決方案。

　　2.IPv6關(guān)鍵技術(shù)研究

　　由于現(xiàn)階段幾乎所有的主流應(yīng)用都是基于IPv4網(wǎng)絡(luò)協(xié)議開(kāi)發(fā)的，而新的IPv6協(xié)議與IPv4協(xié)議并不兼容，因此為了保障業(yè)務(wù)的連續(xù)性，也為了保障最終用戶的上網(wǎng)體驗(yàn)，兩個(gè)網(wǎng)絡(luò)的并存需要持續(xù)很長(zhǎng)一段時(shí)間，因此兩網(wǎng)如何實(shí)現(xiàn)過(guò)渡和互通，成為運(yùn)營(yíng)商、數(shù)據(jù)中心和內(nèi)容提供商關(guān)注的焦點(diǎn)，以下將就目前現(xiàn)存且常用的IPv4向IPv6過(guò)渡的幾項(xiàng)關(guān)鍵技術(shù)作簡(jiǎn)單介紹。

　　2.1 雙棧技術(shù)

　　所謂雙棧技術(shù)，顧名思義，就是同時(shí)支持IPv4和IPv6兩種協(xié)議的網(wǎng)絡(luò)，即從用戶端到業(yè)務(wù)終端連接的所有設(shè)備都需要支持兩種協(xié)議。當(dāng)兩個(gè)端點(diǎn)通訊時(shí)會(huì)采用相應(yīng)的協(xié)議進(jìn)行數(shù)據(jù)的傳輸。雙棧的解決方案同時(shí)支持IPv4與IPv6兩種協(xié)議，無(wú)需考慮兩者互通的問(wèn)題。然而對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)，由于涉及到產(chǎn)品的升級(jí)，甚至是需要更新?lián)Q代，會(huì)耗費(fèi)大量的財(cái)力人人力，因此可行性相對(duì)比較小，部署與規(guī)劃都比較復(fù)雜，由于有兩套協(xié)議，因此大大增加了網(wǎng)絡(luò)管理人員的工作難度，另外由于主機(jī)上都需要支持兩份協(xié)議，因此會(huì)消耗更多的內(nèi)在和更多的CPU。此外，由于用戶并未真正地遷移到IPv6網(wǎng)絡(luò)上，因此對(duì)于IPv6的推廣與發(fā)展直到了一定的阻礙作用。

　　2.2 翻譯技術(shù)

　　翻譯技術(shù)通常所指的就是NAT-PT，一般是在IPv4與IPv6的網(wǎng)絡(luò)邊緣部署翻譯網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)IPv4與IPv6數(shù)據(jù)包的報(bào)文的翻譯和轉(zhuǎn)換，從而使IPv4用戶可訪問(wèn)IPv6資源，同時(shí)IPv6用戶也可去訪問(wèn)IPv4的資源。翻譯網(wǎng)關(guān)的部署相對(duì)簡(jiǎn)單，且由于實(shí)現(xiàn)了多個(gè)IPv6的Host可以同時(shí)共用一個(gè)IPv4地址，一定程度上解決了地址枯竭的問(wèn)題。然而由于網(wǎng)關(guān)是基于應(yīng)用層的，針對(duì)不同的應(yīng)用需要開(kāi)發(fā)不同的ALG，而且現(xiàn)有的網(wǎng)絡(luò)應(yīng)用層出不窮，如果大范圍的采用此方案，就需要實(shí)時(shí)的去開(kāi)發(fā)滿足各類應(yīng)用的網(wǎng)關(guān)，成本較大。

　　2.3 隧道技術(shù)

　　隧道技術(shù)即將IPv4的數(shù)據(jù)包封裝在IPv6數(shù)據(jù)包中進(jìn)行傳輸，反之亦然，實(shí)現(xiàn)數(shù)據(jù)包在不同的網(wǎng)絡(luò)中的順利傳送，隧道技術(shù)中包含6PE、6over4、隧道代理、ISATAP等多種方式。只要部署了足夠多的隧道服務(wù)器，并有足夠的網(wǎng)絡(luò)帶寬支撐，隧道的實(shí)現(xiàn)即是一種軟件配置的過(guò)程，技術(shù)實(shí)現(xiàn)方式簡(jiǎn)單，能協(xié)助網(wǎng)絡(luò)管理人員快速實(shí)現(xiàn)新一代協(xié)議的部署，并實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化。然而由于數(shù)據(jù)包需要封裝和解封裝，因此隧道設(shè)備一般都是成對(duì)部署的，與雙棧方式相同的一個(gè)弊端就是不適用于大型網(wǎng)絡(luò)的過(guò)渡。

　　2.4 Socks64技術(shù)

　　這種技術(shù)的基本原理是通過(guò)客戶端與網(wǎng)關(guān)的通信，來(lái)實(shí)現(xiàn)IPv4與IPv6主機(jī)之間的互聯(lián)互通。其中網(wǎng)關(guān)必須同時(shí)支持IPv4與IPv6兩種協(xié)議棧，即在網(wǎng)關(guān)處需要同時(shí)接入IPv4與IPv6網(wǎng)絡(luò)，來(lái)自客戶端的數(shù)據(jù)包，無(wú)論是IPv4還是IPv6的，網(wǎng)關(guān)都可以進(jìn)行處理，并轉(zhuǎn)發(fā)至相應(yīng)的目的端。由于網(wǎng)關(guān)來(lái)進(jìn)行協(xié)議的轉(zhuǎn)換與處理，因此一旦在大型網(wǎng)絡(luò)中部署，必須要求這個(gè)網(wǎng)關(guān)的吞吐量、處理性能達(dá)到一定的標(biāo)準(zhǔn)，且在網(wǎng)絡(luò)過(guò)渡時(shí)期，網(wǎng)關(guān)一般部署在網(wǎng)絡(luò)邊緣，便于能夠更高效地處理用戶請(qǐng)求。這種解決方案的優(yōu)點(diǎn)即部署網(wǎng)關(guān)成功后，無(wú)需考慮用戶端發(fā)起請(qǐng)求的類型，都可進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。但是客戶端的推廣安裝成為一大問(wèn)題，且由于是客戶端與網(wǎng)關(guān)通訊的模式，因此會(huì)出現(xiàn)一定的性能瓶頸。

　　3.IPv6網(wǎng)絡(luò)安全研究

　　在傳統(tǒng)的IPv6網(wǎng)絡(luò)體系架構(gòu)里，網(wǎng)絡(luò)安全的策略，是在應(yīng)用層上進(jìn)行安全的防范，或?qū)︵]件進(jìn)行加密，在訪問(wèn)網(wǎng)頁(yè)時(shí)進(jìn)行數(shù)據(jù)加密，并未對(duì)網(wǎng)絡(luò)層進(jìn)行處理。在1995年，IETF制定了在IP層的安全規(guī)范，即IPSec（IP Security）。由于IPv6集成了IPSec協(xié)議，因此在IPv6的安全體系架構(gòu)中，IPSec便是核心。

　　3.1 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——IPSec

　　IPv6一個(gè)最大的優(yōu)勢(shì)就是，集成了IPSec，也就意味著它能夠提供完備的安全服務(wù)，包括數(shù)據(jù)來(lái)源的強(qiáng)認(rèn)證，保障數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，同時(shí)也可以進(jìn)行數(shù)據(jù)的訪問(wèn)控制，抵御數(shù)據(jù)重復(fù)發(fā)送等攻擊。為IPSec的體系結(jié)構(gòu)，包含三個(gè)基本的協(xié)議，其中AH協(xié)議（驗(yàn)證頭）用于保障數(shù)據(jù)的完整性和驗(yàn)證數(shù)據(jù)的來(lái)源;加密功能和機(jī)制是由ESP協(xié)議（封裝安全載荷）來(lái)提供;同時(shí)ISAKMP協(xié)議（即密鑰管理協(xié)議）主要用于實(shí)現(xiàn)前兩種協(xié)議在交流時(shí)信息安全。

　　3.2 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——地址可溯源

　　目前采用的IPv4地址協(xié)議，存在的最大問(wèn)題，就是使用了大量的私有地址，通過(guò)NAT技術(shù)，多個(gè)私有地址，可能通過(guò)同一個(gè)公網(wǎng)IP去訪問(wèn)互聯(lián)網(wǎng)，這種情況，就存在一個(gè)安全隱患，如果某一個(gè)用戶發(fā)布了一條反動(dòng)信息，或者非法言論，無(wú)法快速定位到IP，給網(wǎng)絡(luò)管理人員造成很大的工作難度。IPv6海量的IP地址，完全摒棄了私有地址的概念，可為每一個(gè)終端分配一個(gè)單獨(dú)使用的IP地址，一旦出現(xiàn)問(wèn)題，將快速查找到源地址，保障網(wǎng)絡(luò)的健康。

　　3.3 IPv6網(wǎng)絡(luò)安全優(yōu)勢(shì)——反偵察能力

　　大部分的黑客或者惡意程序，都會(huì)通過(guò)掃描某個(gè)子網(wǎng)來(lái)最終確定攻擊的IP地址、應(yīng)用和服務(wù)，而IP地址量相當(dāng)大，可大大降低網(wǎng)絡(luò)偵察的能力，有效地防范類似的網(wǎng)絡(luò)攻擊。

　　4.IPv6網(wǎng)絡(luò)可能存在的問(wèn)題

　　4.1 無(wú)法解決網(wǎng)絡(luò)層以上的安全問(wèn)題

　　IPv6集成的IPSec功能，只是解決了網(wǎng)絡(luò)層的安全問(wèn)題，面對(duì)網(wǎng)絡(luò)層以上的攻擊，IPv6仍然無(wú)法解決的，如垃圾郵件、惡意代碼、蠕蟲、系統(tǒng)漏洞等攻擊，還是需要相應(yīng)的防病毒安全廠家來(lái)解決。

　　4.2 無(wú)法處理數(shù)據(jù)解密過(guò)程的攻擊

　　IPv6采取對(duì)數(shù)據(jù)的加密，但是用戶在正常接收數(shù)據(jù)后，需要解密，如何攻擊者在解決過(guò)程中添加相關(guān)的干預(yù)手段，加長(zhǎng)解密的時(shí)間，這將會(huì)消耗大量的系統(tǒng)資源，甚至可能造成系統(tǒng)癱瘓。

　　4.3 加密方面的安全隱患

　　IPSec中采用了加密算法和密鑰的管理。對(duì)于加密算法，沒(méi)有哪一個(gè)加密算法能夠確保其絕對(duì)安全的，這是本身的局限性，另一方面，對(duì)于密鑰的管理，由于依賴于PKI，而此項(xiàng)技術(shù)目前還未在國(guó)際上形成統(tǒng)一完善的標(biāo)準(zhǔn)，因此安全性是否可靠也有待考證。

　　5.結(jié)束語(yǔ)

　　向IPv6的遷移是大勢(shì)所趨，各項(xiàng)過(guò)渡技術(shù)都已發(fā)展成熟，并形成了相應(yīng)的標(biāo)準(zhǔn)，但是均存在優(yōu)缺點(diǎn)，需要將各項(xiàng)技術(shù)進(jìn)行去長(zhǎng)補(bǔ)短，綜合利用，設(shè)計(jì)出一種通用易行的解決方案。對(duì)于IPv6的網(wǎng)絡(luò)安全問(wèn)題，本身其已經(jīng)在網(wǎng)絡(luò)層建立了一層安全壁壘，但仍存在其它方面的安全威脅，且在過(guò)渡過(guò)程中，對(duì)IPv4的網(wǎng)絡(luò)體系中的設(shè)備也構(gòu)成了一定的挑戰(zhàn)。因此，無(wú)論是在IPv6的關(guān)鍵技術(shù)方面，還是在網(wǎng)絡(luò)安全方面，都還需要業(yè)界人士的不斷研究與驗(yàn)證，以實(shí)現(xiàn)平滑、安全的網(wǎng)絡(luò)遷移。