6/56本科生畢業(yè)論文（設(shè)計）冊學(xué)部：信息工程學(xué)部專業(yè)：網(wǎng)絡(luò)工程班級：2009級1班學(xué)生：張萬翔指導(dǎo)教師：侯衛(wèi)紅論文編號：2013230303022河北師范大學(xué)匯華學(xué)院本科畢業(yè)論文（設(shè)計）任務(wù)書編號：2013230303022論文（設(shè)計）題目：IPv6對現(xiàn)在網(wǎng)絡(luò)安全帶來的影響學(xué)部：信息工程學(xué)部專業(yè)：網(wǎng)絡(luò)工程班級：2009級1班學(xué)生姓名：張萬翔學(xué)號：2009513403指導(dǎo)教師：侯衛(wèi)紅職稱：講師1、論文（設(shè)計）研究目標(biāo)及主要任務(wù)研究目標(biāo)：IPv6對現(xiàn)在網(wǎng)絡(luò)安全的影響主要任務(wù)：通過IPv6的含義、特征、安全機制及其較IPv4的優(yōu)越性分析IPv6的現(xiàn)狀及發(fā)展趨勢，并根據(jù)IPv6的安全機制分析研究其對現(xiàn)有網(wǎng)絡(luò)安全的影響。論文（設(shè)計）的主要內(nèi)容論文先從現(xiàn)有IPv4的缺點和不足分析IPv6的特征及其發(fā)展趨勢；然后從IP的安全性、IPv6對于網(wǎng)絡(luò)層安全的增強、協(xié)議安全與網(wǎng)絡(luò)安全以及其他安全保障等四個方面分析IPv6的安全機制；最后在防火墻、入侵檢測、認(rèn)證等方面敘述IPv6對現(xiàn)有網(wǎng)絡(luò)安全的影響。3、論文（設(shè)計）的基礎(chǔ)條件及研究路線基礎(chǔ)條件：通過圖書館閱覽室及上網(wǎng)查閱資料研究路線：首先概述IPv6及其現(xiàn)狀和發(fā)展趨勢，突出了IPv6的特性和發(fā)展前景；然后從四個方面對IPv6的安全架構(gòu)進行分析；最后根據(jù)IPv6的安全機制逐條分析其對現(xiàn)有網(wǎng)絡(luò)安全的影響。主要參考文獻(xiàn)[1]Y．Rekhter．“CIDRandGlassfulRouting”RFC817[S]．IETF．1995．[2]PeteLdshin．“IPv6詳解”[M]機械工業(yè)出版．2000．[3]SandeepKnmar．’CLASSIFICATIONANDDETECTIONOFCOMPUTERINTRUSIONS”PhDthesis[M]．PurdueUniversity．2010．5、計劃進度階段起止日期1開題2012.11.152收集資料2012.11.15-2013.02.013完成初稿2013.02.01-2013.03.204修改、完成二稿2013.03.20-2013.04.205定稿、答辯2013.04.20-2013.05.15指導(dǎo)教師:2012年12月20日教研室主任:年月日河北師范大學(xué)匯華學(xué)院本科生畢業(yè)論文（設(shè)計）開題報告書信息工程學(xué)部網(wǎng)絡(luò)工程專業(yè)2013屆學(xué)生姓名張萬翔論文（設(shè)計）題目IPv6對現(xiàn)在網(wǎng)絡(luò)安全帶來的影響指導(dǎo)教師侯衛(wèi)紅專業(yè)職稱講師所屬教研室網(wǎng)絡(luò)工程研究方向計算機應(yīng)用課題論證：（見附頁）方案設(shè)計：首先闡述了IPv6的含義及特征，通過比較IPv4和IPv6的功能和特點分析了IPv6的現(xiàn)狀和發(fā)展趨勢；然后通過對現(xiàn)行IP的安全性、IPv6對于網(wǎng)絡(luò)層安全的增強、協(xié)議安全與網(wǎng)絡(luò)安全以及其他安全保障等方面詮釋了IPv6的安全機制；最后從防火墻、入侵檢測、取證等方面分析了IPv6的安全機制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響。進度計劃：2012.11.15：開題2012.11.15-2013.02.01：收集資料2013.02.01-2013.03.20：完成初稿2013.03.20-2013.04.20：修改、完成二稿2013.04.20-2013.05.15：定稿、答辯指導(dǎo)教師意見：指導(dǎo)教師簽名：2012年12月20日教研室意見：教研室主任簽名：2012年12月20日河北師范大學(xué)本科生畢業(yè)論文（設(shè)計）開題報告（附頁）課題論證：一、國內(nèi)外研究現(xiàn)狀和研究背景：隨著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間消耗速度正在逐年加快，雖然采取了許多節(jié)約地址的方法（這些方法同時也帶來了安全等其他方面的問題），但據(jù)IETF（Internet工程任務(wù)組）估計，按照互聯(lián)網(wǎng)現(xiàn)在的發(fā)展速度，IPv4地址仍將會在2005-2010年間被分配完畢.IPv6（互聯(lián)網(wǎng)協(xié)議版本6）就是在這種情況下應(yīng)運而生的.日本是發(fā)展IPv6最早的國家之一，也是發(fā)展IPv6速度最快的國家.由于錯過了上世紀(jì)互聯(lián)網(wǎng)與移動通信的發(fā)展機會，因此日本政府決心利用3G和IPv6的發(fā)展契機急起直追，使日本重新回到在通信、電子領(lǐng)域全球最先進國家行列.日本政府對IPv6的發(fā)展極為重視，甚至把IPv6技術(shù)的發(fā)展作為政府“超高速網(wǎng)絡(luò)建設(shè)和競爭”的一項基本政策，并在2001年3月的“e-Japan重點計劃”中確定了于2005年完成互聯(lián)網(wǎng)向IPv6過渡的目標(biāo).日本政府自1992年起就開始進行IPv6的研發(fā)和標(biāo)準(zhǔn)化工作，并且取得了相當(dāng)大的成果，在研發(fā)和應(yīng)用方面都屬于世界前列.我國是IPv6研究工作啟動較早的國家之一，我國政府對IPv6在我國的發(fā)展也高度重視.中國教育科研網(wǎng)（CERNET）于1998年建立了國內(nèi)第一個IPv6試驗床CERNETv6，標(biāo)志著我國IPv6研究工作進入了實質(zhì)階段.隨后，我國政府又開展了一系列IPv6研究項目和相關(guān)工作.1999年，國家自然科學(xué)基金聯(lián)合項目“中國高速互聯(lián)研究試驗網(wǎng)NSFCNET”啟動；2002年，信息產(chǎn)業(yè)部“下一代IP電信實驗網(wǎng)（6TNet）”項目啟動，科技部863信息領(lǐng)域?qū)ｍ棥案咝阅軐拵畔⒕W(wǎng)（3Tnet）”啟動；2003年，信息產(chǎn)業(yè)部頒發(fā)首張IPv6核心路由器入網(wǎng)試用批文；由鄔賀銓院士出任專家組組長的中國下一代互聯(lián)網(wǎng)示范項目（CNGI）全面啟動，協(xié)和醫(yī)院等SARS定點醫(yī)院采用“IPv6新一代網(wǎng)絡(luò)遠(yuǎn)程醫(yī)療、探視系統(tǒng)”標(biāo)志著我國IPv6已經(jīng)開始進入商業(yè)試用階段.二、課題研究的內(nèi)容：首先介紹新一代網(wǎng)絡(luò)協(xié)議IPv6，從其地址構(gòu)成，優(yōu)點等方面進行論述，對其頭部進行分析，說明ICMPv6的一些知識，對IPv6的網(wǎng)絡(luò)安全進行了概述；然后分析研究網(wǎng)絡(luò)安全技術(shù)，主要介紹防火墻技術(shù)、虛擬專用網(wǎng)和入侵檢測技術(shù)，對IPv6網(wǎng)絡(luò)安全系統(tǒng)進行論述；其次對Linux中IPv6協(xié)議棧進行分析研究，分析說明Linux內(nèi)核中幾個重要的結(jié)構(gòu)，對Linux網(wǎng)絡(luò)設(shè)備初始化和路由系統(tǒng)進行論述說明；最后基于對Linux中IPv6協(xié)議棧的分析設(shè)計實現(xiàn)一個IPv6環(huán)境下的基于狀態(tài)檢測的包過濾防火墻.設(shè)計其整體架構(gòu)，對其中重要模塊實現(xiàn)流程進行了分析，進行仿真測試.三、課題研究的意義：隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、三網(wǎng)融合等研究的開展，下一代互聯(lián)網(wǎng)研究正在如火如荼地展開.IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議，自然也是研究的熱點.未來的競爭是價值鏈之間的競爭.因此，我國應(yīng)該繼續(xù)極大IPv6發(fā)展的力度，通過政府的統(tǒng)籌規(guī)劃和宏觀指導(dǎo)，設(shè)備制造商、應(yīng)用提供商、運營商、業(yè)務(wù)提供商等的精誠協(xié)作，有步驟、有計劃、分階段、分層次地推動IPv6的發(fā)展，首先把國內(nèi)的價值鏈做大做強，使得整個行業(yè)能夠協(xié)調(diào)發(fā)展起來，這樣才能使我國獲得戰(zhàn)略性的整體競爭優(yōu)勢，實現(xiàn)我們強國的夢想.四、研究方案及其可行性：具體的研究采用文獻(xiàn)資料，綜合運用大學(xué)階段學(xué)習(xí)的數(shù)學(xué)分析課程的有關(guān)知識，通過專家調(diào)研和文獻(xiàn)調(diào)研，結(jié)合互聯(lián)網(wǎng)上查到的相關(guān)資料和個人、組織在各種刊物上發(fā)表的研究函數(shù)列一致可積中存在的問題與解決方法的文章，并向相關(guān)專業(yè)教師特別是指導(dǎo)老師當(dāng)面請教.河北師范大學(xué)匯華學(xué)院本科生畢業(yè)論文（設(shè)計）文獻(xiàn)綜述隨著電子技術(shù)及網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)將進入人們的日常生活，可能身邊的每一樣?xùn)|西都需要連入全球因特網(wǎng).目前我們使用的第二代互聯(lián)網(wǎng)IPv4技術(shù)，核心技術(shù)屬于美國.它的最大問題是網(wǎng)絡(luò)地址資源有限，從理論上講，IPv4技術(shù)可使用的IP地址有43億個，其中北美占有3/4，約30億個，而人口最多的亞洲只有不到4億個，中國只有3千多萬個，只相當(dāng)于美國麻省理工學(xué)院的數(shù)量.地址不足，嚴(yán)重地制約了我國及其他國家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展.但是與IPv4一樣，IPv6一樣會造成大量的IP地址浪費.準(zhǔn)確的說，使用IPv6的網(wǎng)絡(luò)并沒有2^128-1個能充分利用的地址.首先，要實現(xiàn)IP地址的自動配置，局域網(wǎng)所使用的子網(wǎng)的前綴必須等于64，但是很少有一個局域網(wǎng)能容納2^64個網(wǎng)絡(luò)終端；其次，由于IPv6的地址分配必須遵循聚類的原則，地址的浪費在所難免.但是，如果說IPv4實現(xiàn)的只是人機對話，而IPv6則擴展到任意事物之間的對話，它不僅可以為人類服務(wù)，還將服務(wù)于眾多硬件設(shè)備，如家用電器、傳感器、遠(yuǎn)程照相機、汽車等，它將是無時不在，無處不在的深入社會每個角落的真正的寬帶網(wǎng).而且它所帶來的經(jīng)濟效益將非常巨大.由lP地址危機產(chǎn)生和發(fā)展起來的IPv6作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)得到了各方的公認(rèn)，未來互聯(lián)網(wǎng)的發(fā)展離不開IPv6的支持和應(yīng)用.正因為如此，目前各方面都在加緊對IPv6的研究和應(yīng)用開發(fā).但是，IPv6的發(fā)展主要依靠政府和廠商兩方面的支持.(1)政府支持.許多國家對IPv6技術(shù)都已經(jīng)引起足夠的重視，并且都采取了一些切實可行的措施，尤其是一些歐洲國家.作為互聯(lián)網(wǎng)絡(luò)的發(fā)源地，美國也在積極地進行IPv6的研究和建設(shè).中國對于IPv6技術(shù)的態(tài)度也是很積極的，并且在部分地區(qū)實行了網(wǎng)上實驗，進一步推動中國IPv6的開展.中國政府也密切關(guān)注著IPv6的發(fā)展，目前中國高校和科研機構(gòu)已經(jīng)與國外一些運營商合作，對IPv6進行研究實驗.為進一步發(fā)展IPv6技術(shù)，中國政府也投入了相當(dāng)數(shù)量的資金，然而，該協(xié)議在巾國的大規(guī)模應(yīng)用還要有一段時間.(2)廠商支持.IIJv6作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)引起了各地區(qū)、各運營商的足夠重視，因為所有人都已經(jīng)認(rèn)識到這樣一種前景：誰能夠率先在IPv6方面有所作為，誰就能夠在未來的競爭中占據(jù)有利位置.在眾多的設(shè)備提供商和運營商的努力下，IPv6協(xié)議已經(jīng)從實驗室走向了應(yīng)用階段.已經(jīng)有50多個國家和地區(qū)加入有關(guān)IPv6的研究.法、日、美等國的研究機構(gòu)，IBM、Sun、日立等公司，分別研制開發(fā)了不同平臺上的IPv6系統(tǒng)軟件和應(yīng)用軟件；美國思科、加拿大北電網(wǎng)絡(luò)、Nokia等路由器廠商已經(jīng)開發(fā)出了面向IPv6網(wǎng)絡(luò)的路由器產(chǎn)品.操作系統(tǒng)方面，基于開放源碼的Linux對IPv6提供了比較強的支持，Sun、IBM、康柏、惠普和微軟的最新操作系統(tǒng)都提供了IPv6支持.IP網(wǎng)處于一個重要發(fā)展階段，IP網(wǎng)從計算機互聯(lián)網(wǎng)領(lǐng)域進入電信領(lǐng)域，期望將全部電信業(yè)務(wù)綜合到IP網(wǎng)上.當(dāng)然，能完全綜合電信業(yè)務(wù)的IP網(wǎng)不是簡單地將現(xiàn)有Internet網(wǎng)用的IP技術(shù)搬過來．在網(wǎng)絡(luò)節(jié)點設(shè)備做一些冗余備份以增加網(wǎng)元設(shè)備的穩(wěn)定性就可以完成．IP網(wǎng)必須要有革命性的變化.這是因為，電信網(wǎng)和Internet網(wǎng)的理念不一樣．電信網(wǎng)是提供商業(yè)服務(wù)的，它提供的電信服務(wù)是一種商品．因而它要保證服務(wù)質(zhì)量，要有足夠的安全性、可靠性和能夠確保售后服務(wù)能力，它必須有很強的可管理性和可維護性.用電信網(wǎng)的設(shè)計理念設(shè)計的IP網(wǎng)是1P電信網(wǎng).IP技術(shù)一旦進入電信領(lǐng)域，首當(dāng)其沖的問題是地址問題，IP電信網(wǎng)是要能持續(xù)發(fā)展的，IPv4無法支持持續(xù)發(fā)展，因而使用IPv6勢在必行.寬帶接入網(wǎng)在國內(nèi)發(fā)展勢頭很猛.寬帶接入網(wǎng)遇到的最大困難是IP地址問題.由于業(yè)務(wù)特征的不同，窄帶業(yè)務(wù)與寬帶業(yè)務(wù)有很大的差別，窄帶業(yè)務(wù)一般以不對稱和非實時方式工作，典型的業(yè)務(wù)是信息檢索和電子信箱，用戶無需永遠(yuǎn)在線，用戶使用時在線，用戶不用時離線；寬帶業(yè)務(wù)一般以對稱和實時方式工作，典型的業(yè)務(wù)是電話、會議電視、信息點播等，業(yè)務(wù)的對稱性就決定寬帶用戶必須是永遠(yuǎn)在線的，如果不是永遠(yuǎn)在線，其他用戶就找不到它，對稱業(yè)務(wù)就無法開展，永遠(yuǎn)在線，就意味著用戶必須至少擁有一個lP地址.目前采用的辦法是網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)，或利用端lZt復(fù)用技術(shù)．或使用私有l(wèi)P地址，來擴大公開IP地址的使用率；這是一個不得已而為之的技術(shù)，存在的弊病很多，問題很大.無線數(shù)據(jù)業(yè)務(wù)的迅速增長和快速發(fā)展，同樣提出對lP地址的要求，地址問題的解決迫在眉睫，它將要嚴(yán)重的影響通信產(chǎn)業(yè)的發(fā)展.這也要求將IPv6的使用提到日程上來.CNGI項日的啟動，對于我國發(fā)展IPv6來說，是一個很好的契機，CNGI項目的目標(biāo)之一是期望通過示范網(wǎng)引導(dǎo)國內(nèi)信息產(chǎn)業(yè)的發(fā)展，CNGI不直接與短期經(jīng)濟利益掛鉤，而是從國家的長遠(yuǎn)利益來考慮問題，從發(fā)展的眼光來指導(dǎo)產(chǎn)業(yè)的進步.當(dāng)然，目前IPv6技術(shù)上還不成熟，IPv6的設(shè)備的性能還不及IPv4的性能．IPv6網(wǎng)的性能還達(dá)不到目前IPv4網(wǎng)的性能，僅靠IPv6還解決不了IP網(wǎng)的三大頑疾：商業(yè)模型問題、安全問題和服務(wù)質(zhì)量問題.存在的問題很多，用什么技術(shù)路線去實現(xiàn)CNGI的目標(biāo)，目前還不明確，CNGI項目將會面臨巨大的挑戰(zhàn)，另一方面，CNGI項目擁有巨大的創(chuàng)新機遇.對CNGI項目來說，機遇與挑戰(zhàn)并存.作為一個互聯(lián)網(wǎng)和移動通信大國，在下一代互聯(lián)網(wǎng)標(biāo)準(zhǔn)和資源分配中占領(lǐng)主動地位是目前我國信息產(chǎn)業(yè)發(fā)展的重中之重.IPv6作為互聯(lián)網(wǎng)的核心基本技術(shù)，將帶動大量相關(guān)技術(shù)和服務(wù)的發(fā)展，提升信息產(chǎn)業(yè)的整體實力，為巾國的毹息產(chǎn)業(yè)帶來新的發(fā)展機遇.河北師范大學(xué)匯華學(xué)院本科生畢業(yè)論文（設(shè)計）翻譯文章網(wǎng)絡(luò)安全在計算機網(wǎng)絡(luò)最初出現(xiàn)的幾十年里，它主要用于在各大學(xué)的研究人員之間傳送電子郵件，以及共同合作的職員間共享打印機。在這種條件下，安全性未能引起足夠的注意，但是現(xiàn)在，眾多的普通市民使用網(wǎng)絡(luò)來處理銀行事物、購物和納稅，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。以下將從不同的角度來介紹網(wǎng)絡(luò)安全性。1.簡介安全性是一個涉及面很廣的問題，其中也涉及到是否構(gòu)成犯罪行為的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人兒故意引起的。網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是指保護信息不被未授權(quán)者訪問，這是人們在談?wù)摼W(wǎng)絡(luò)安全性時最常想到的問題。鑒別主要指在揭示敏感信息或進行事務(wù)處理之間先確認(rèn)對方的身份。反拒認(rèn)主要與簽名有關(guān)：當(dāng)你的客戶下了一份要采購1000萬雙手套的訂單，后來她宣稱每雙的價格是69美分，如何證明她原先答應(yīng)的價格是89美分呢？最后如何確定自己收到的消息是最初發(fā)送的那條消息，而不是被有惡意的敵人篡改或偽造過的呢？所有這些問題（保密、鑒別、反拒認(rèn)和完整性控制）也發(fā)生在傳統(tǒng)的系統(tǒng)中，但卻有很大的差別。在討論解決方法之前，值得花些時間考慮網(wǎng)絡(luò)安全性屬于協(xié)議組的哪一部分內(nèi)容?？赡軣o法確定一個單獨的位置，因為安全性與每一層都有關(guān)。2.傳統(tǒng)加密技術(shù)在計算機出現(xiàn)之前，加密的主要困難之一是譯碼員的譯碼能力，尤其是在裝備簡陋的戰(zhàn)場。另一個困難是從一種加密方法到另一種加密方法的轉(zhuǎn)換，因為這需要重新訓(xùn)練一大批人。然而，由于敵人可能俘獲譯碼員，故而快速更換加密方法是基本要求。要加密的信息成為明文，經(jīng)過以密鑰為函數(shù)的參數(shù)加以轉(zhuǎn)換。加密過程的輸出，即密文，再由傳令兵或無線電進行發(fā)送。假定敵人或稱侵犯者，聽到或準(zhǔn)確復(fù)制了全部的電文，但是她不像合法接受者那樣能知道密鑰，因而不能輕易地破譯密文，有時候侵犯者不僅監(jiān)聽通信信道（被動侵犯者），而且還要記錄信息供以后重放，并要在信息到達(dá)接收者之前插入自己的信息或修改合法信息（主動侵犯者）。破譯密碼被稱作密碼分析。設(shè)計密碼（加密）和破譯密碼（解碼）的技術(shù)統(tǒng)稱為密碼學(xué)。要想實現(xiàn)真正的保密就必須設(shè)計出性能良好的密鑰，其長度是要考慮的主要問題。例如一個簡單的組合鎖，基本原理是用戶輸入數(shù)字序列，每個人都知道這點，但密鑰是保密的。一個2位數(shù)字的密鑰意味著有100種可能性。一個3位數(shù)字的密鑰意味著有1000種可能性。一個6位數(shù)字的密鑰則意味著有100萬種可能性。密鑰越長，破譯者需要處理的工作因子越高。通過密鑰空間的窮舉搜索來破譯系統(tǒng)的工作因子與密鑰長度成指數(shù)關(guān)系。保密性由強有力（但公開）的算法和長密鑰來保證。為了防止其她人讀取你的電子郵件，需要64位的密鑰；為了防止主要政府部門陷入絕境，至少需要256位的密鑰。3.兩條基本加密原則盡管下面將要討論多種不同的加密系統(tǒng)，但所有這些系統(tǒng)卻都基于兩條重要的原則。是所有的加密消息都包含有冗余的信息，即對于這條消息的理解無幫助的信息。下面通過一個例子說明為什么這是必需的。一家名叫CouchPotato(TCP)的郵件訂單公司，擁有60000件產(chǎn)品。假設(shè)她們的效率很高，TCP的程序員決定訂單信息由16字節(jié)的用戶名和3字節(jié)數(shù)據(jù)組成（1字節(jié)數(shù)量，2字節(jié)產(chǎn)品號）。最后3字節(jié)使用很長的密鑰加密。此密鑰只有客戶和TCP知道。最初看來這似乎很安全，因為被動的入侵者無法解密信息。不幸的是，存在著一個致命的缺點是它毫無用處。假設(shè)一個最近被解雇的雇員想要報復(fù)TCP。在離開時，她帶走了部分的客戶名單。她通宵達(dá)旦地工作，編寫一個程序來生成使用真實客戶名的假訂單。由于她不知道密鑰，她在最后3字節(jié)填上隨機數(shù)，并發(fā)了上百份訂單給TCP。當(dāng)TCP收到這些信息時，計算機通過客戶名來確定密鑰并對信息解碼。糟糕的是，由于幾乎每條3字節(jié)信息都是有效的，所以計算機開始打印出發(fā)貨的命令。盡管一個客戶訂購137套小孩的秋千或240個沙盒看上去很奇怪，但計算機可能認(rèn)為客戶打算開一批獲得特許的游樂園。通過這種方法，一個主動地入侵者（被解雇者）會引起巨大的麻煩，盡管她不了解自己的計算機產(chǎn)生的信息。這個問題可以通過對消息增加冗余來解決。但是，增加冗余也使破譯者更容易破譯信息。由此可知，加密原則本身就是所有信息必須包含冗余信息以防止積極的入侵者欺騙接受者，使接受者獲得錯誤的信息。但是，同樣的冗余信息使消極入侵者破壞系統(tǒng)更容易，因此，這里還是存在一些問題。另外，冗余信息絕對不能采取在信息的開頭或末尾設(shè)置n個零的形式，因為用某些加密算法加密這樣的信息會使得結(jié)果更加容易推測，從而使破譯者的工作更為容易。對冗余來說，隨機的英文單詞串更好一些。加密原則是必須采取措施來防止主動入侵者發(fā)回舊的信息。如果不采取這樣的措施，那么被解雇者就可能竊聽TCP的電話，并且不斷地發(fā)送已經(jīng)發(fā)送過的有效信息。4.鑒別協(xié)議鑒別是驗證通信對象是原定的那位而不是冒名頂替者的技術(shù)。驗證遠(yuǎn)程過程實體是否是一個惡意的積極入侵者十分困難，并需要基于密碼學(xué)的復(fù)雜協(xié)議。本部分我們將研究幾個用于不安全的計算機網(wǎng)絡(luò)中的鑒別協(xié)議。另外，有些人弄混了授權(quán)與鑒別。鑒別關(guān)心的是是否在和一個特定的進程進行通信。授權(quán)關(guān)心的是允許此進程做什么。例如，一個客戶進程向一個文件服務(wù)器發(fā)出請求：“我是Scott的進程，我想要刪除文件Cookbook.old?！睆奈募?wù)器的觀點看來，有兩個問題必須回答：這是否確實是Scott的進程（鑒別）？允許Scott刪除Cookbook.old嗎（授權(quán)）？只有在對這兩個問題都做出了肯定答復(fù)后，請求的動作才會執(zhí)行，前一個問題是關(guān)鍵問題。一旦文件服務(wù)器知道自己與誰通話，查看授權(quán)就成為了一個僅僅是查看本地表的問題。Forthefirstfewdecadesoftheirexistence,computernetworkswereprimarilyusedbyuniversityresearchforsendingemail,andbycorporateemployeesforsharingprinters.Underthesecondition,securitydidnotgetalotofattention.Butnow,asmillionofordinarycitizensareusingnetworksforbanking,shopping,andfilingtheirtaxreturns,networksecurityisloomingonthehorizonasapotentiallymassiveproblem.Inthefollowingsections,wewillstudynetworksecurityfromseveralangles.NetworkSecurityTechnology1.IntroductionSecurityisabroadtopicandcoversamultitudeofsins.Mostsecurityproblemareintentionallycausedbymaliciouspeopletryingtogainsomebenefitorharmsomeone.Networksecuritycanberoughlydividedintofourinterwovenparts:confidentiality,identification,refusedtorecognizeandintegritycontrol.Privacyisreferstoprotectinformationfromthegranteenotaccess,thisismostoftenthinkofwhenpeopletalkaboutnetworksecurityproblem.Identificationmainlyreferstobetweenrevealsensitiveinformationorforthetransactiontoconfirmtheidentityoftheotherfirst.Antirefusedtorecognizethemainassociatedwithsignature:whenyourclientsundertheorderforawanttobuy10millionpairsofgloves,andshelaterclaimedthateachpairisthepriceof69cents,89centsisthepriceofhowtoprovethatshehadpromisedto?Finallyhowtodeterminewhetheryourreceivedmessageisfirstsentthatmessage,ratherthanbeingmalicioustamperingorforgeryofenemy?Alloftheseproblems(confidentiality),identification,refusedtorecognizeandintegritycontrolalsooccurredinthetraditionalsystem,butthere'sabigdifference.Priortodiscusssolutions,itisworthtakingamomenttoconsidernetworksecurityiswhichpartofthecontentsoftheprotocolgroup.Maynotbeabletoidentifyasinglelocation,securityandalayer.2.TraditionalCryptographyBeforetheadventofthecomputer,oneofthemajordifficultiesofencryptionThedecoderdecodingcapability,especiallyinpoorlyequippedbattlefield.Anotherdifficultyistheconversionofanencryptionmethod,anencryptionmethodtoretrainbecauseitrequiresalargenumberofpeople.However,sincetheenemymaycapturedecodingmembers,hencethequick-changeencryptionmethodisabasicrequirement.

Becomeclear,theinformationtobeencryptedkeyasafunctionofparameterstoconvert.Theoutputoftheencryptionprocess,i.e.theciphertext,andthenbyamessengerorradiotransmission.Assumethattheenemyorallegedviolationstohearoraccuratecopyofthemessage,butshewasnotalegitimaterecipientasknowthekey,andthuscannoteasilydeciphertheciphertext,sometimesviolatingnotonlylisteningtothecommunicationchannel(passiveoffenders),butalsotorecordtheinformationforlaterplayback,andinsertyourowninformationortomodifythelegalinformation(activeoffenders)beforetheinformationreachestherecipient.Decipherthepasswordiscalledcryptanalysis.Designpassword(encryption)anddecipherthepassword(decoding)technologycollectivelyreferredtoascryptography.

Inordertoachieverealconfidentialitymustdesignagoodkey,itslengthisamajorconsideration.Forexample,asimplecombinationlock,thebasicprincipleistheusertoenterasequenceofnumbers,everyoneknowsthis,butthekeyiskeptsecret.A2-bitdigitalkeymeansthatthereare100possibilities.A3-digitkeymeans1000possibilities.A6-digitkeymeansthatthereare100millionpossiblecombinations.Thelongerthekey,thehigherthefactordecipherneedtobeaddressed.Systemtodeciphertheworkfactorandkeylengthexponentialrelationshipthroughanexhaustivesearchofthekeyspace.Confidentialityisguaranteedbythestrong(public)algorithmsandlongkeys.Inordertopreventhertoreadyoure-mail,youneeda64-bitkey;desperatetopreventmajorgovernmentdepartments,needatleasta256-bitkey.3.TwoFundamentalCryptographicPrinciplesAlthoughthefollowingwillbediscussedavarietyofdifferentencryptionsystem,butallofthesesystemsarenothingbutbasedontwoimportantprinciples.

Thefirstisallencryptedmessagescontainredundantinformation,thatisnohelpintheunderstandingofthismessage.Thefollowingisanexampleofwhythisisnecessary.CompanycalledCouchPotato(TCP)mailordercompany,with60,000.Assumingtheirhighefficiency,TCPprogrammerdeterminesthequantityoftheorderinformationfromthe16bytesoftheusernameand3bytesofdata(1byte2bytesNumber).Thelast3byteslongencryptionkey.ThiskeycustomersandTCPknow.

Appearsatfirstsightthisseemstobeverysafe,becausepassiveintrudercannotdecryptthemessage.Unfortunately,thereisafatalflawisthatitisuseless.AssumeadismissedemployeewantsrevengeTCP.Whentheyleft,shetookthepartofthecustomerlist.Herworkthroughthenighttowriteaprogramthatcreatesafalseordersusingrealcustomername.Becauseshedoesnotknowthekey,shefillinthelast3bytesofrandomnumbers,concurrenthundredsoforderstoTCP.

WhenTCPreceivesthisinformation,thecomputertodeterminethekeyanddecodetheinformationbycustomername.Bad,becausealmostevery3bytesarevalid,sothecomputertostartprintingExamplecommand.Althoughacustomerorders137setsofchildren’sswingor240sandboxseemodd,butthecomputerthatthecustomerintendstoopenanumberoflicenseamusementpark.Inthisway,anactiveintruder(dismissal)cancauseagreatdealoftrouble,eventhoughshedidnotunderstandtheirowncomputer-generatedinformation.

Thisproblemcanbesolvedbyaddingredundancytothemessageto.

However,increasingtheredundancytodecipheriteasiertodeciphertheinformation.

Therefore,encryptionprincipleisthatallinformationmustcontainredundantinformationinordertopreventanactiveintrudertodeceivetherecipient,therecipientofwronginformation.However,thesameredundantinformationsothatthesystemofnegativeintruderseasier,soheretherearesomeproblems.Inaddition,redundantinformationmustnotbetakenatthebeginningortheendofthesetintheformofthenzeros,becausesomeoftheencryptionalgorithmsuchinformationwillmaketheresultseasiertospeculate,todeciphertheworkeasier.Redundant,randomEnglishwordtrainbetter.

Thesecondencryptedprinciplesmusttakemeasurestopreventactiveintrudersbacktotheoldinformation.Ifyoudonottakesuchmeasures,wasfiredeavesdroppingtheTCPtelephone,andsendtheinformationhasbeensent.4.Secret-KeyAlgorithmsIdentificationistoverifythatthecommunicationobjectistheoriginalwhoisnotanimpostortechnology.Verifythattheremoteprocedurewhetheranentityisamaliciousintruderpositiveisverydifficultandrequirescomplexprotocolsbasedoncryptography.Inthissectionwewillstudyseveralauthenticationprotocolforinsecurecomputernetwork.

Inaddition,somepeopleconfusedauthorizationandauthentication.Theconcernistoidentifywhetheraparticularprocesscommunication.Theauthorizedconcernistoallowthisprocesstodowhat.Forexample,aclientprocessmakesarequesttoafileserver:"IamtheprocessofScott,IwanttodeleteafileCookbook.old."Fromthefileserverpointofview,twoquestionsmustbeanswered:AreyousureyouScottprocess(identification)?

AllowScotttodeleteCookbook.old(authorization)?Onlyinthesetwoissueshavemadeapositivereply,therequestedactionwillbeexecutedbeforeaproblemisthekeyissue.Oncethefileserverknowwhotocall,viewauthorizedtobecomeajustviewthelocaltable.本科生畢業(yè)論文設(shè)計IPv6對現(xiàn)在網(wǎng)絡(luò)安全帶來的影響作者姓名：張萬翔指導(dǎo)教師：侯衛(wèi)紅所在學(xué)部：信息工程學(xué)部專業(yè)：網(wǎng)絡(luò)工程班級（屆）：2009級1班二〇一三年五月一日目錄中文摘要、關(guān)鍵字 =1\*ROMANI1緒論 11.1IPv6概述 11.2IPv6的發(fā)展現(xiàn)狀與趨勢 22IPv6的安全機制 62.1現(xiàn)行IP的安全性 62.2IPv6對于網(wǎng)絡(luò)層安全的增強 72.2.1認(rèn)證報頭 72.2.2封裝化安全凈荷 82.3協(xié)議安全與網(wǎng)絡(luò)安全 82.4其他安全保障 93IPv6的安全機制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響 93.1防火墻 103.2入侵檢測 113.3取證 113.4其他 125IPv6提高網(wǎng)絡(luò)安全性同時面臨新問題 12參考文獻(xiàn) 13英文摘要、關(guān)鍵字 =2\*ROMANIIIPv6對現(xiàn)在網(wǎng)絡(luò)安全帶來的影響摘要：本文介紹了IPv6的現(xiàn)狀和發(fā)展趨勢、安全網(wǎng)絡(luò)架構(gòu)，并通過對比IPv4協(xié)議與IPv6協(xié)議體現(xiàn)IPv6的安全機制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響.IPv6不但解決了當(dāng)今IP地址匱乏的問題，并且由于它引入了認(rèn)證和加密機制，實現(xiàn)了基于網(wǎng)絡(luò)層的身份認(rèn)證，確保了數(shù)據(jù)包的完整性和機密性.因此，可以說IPv6實現(xiàn)了網(wǎng)絡(luò)層安全.但是，這種安全并不是絕對的.并且由于IPv6的安全機制給當(dāng)前的網(wǎng)絡(luò)安全體系帶來了新的挑戰(zhàn)，致使許多在現(xiàn)有的網(wǎng)絡(luò)中對保護網(wǎng)絡(luò)安全中起著重要作用的工具受到了巨大的沖擊，急需安全專家進一步研究和積累經(jīng)驗，盡快找出合適的方法解決.關(guān)鍵詞：IPv6網(wǎng)絡(luò)安全影響 IPv6對現(xiàn)在網(wǎng)絡(luò)安全帶來的影響1緒論由于IPv4在設(shè)計之初在資源限制上較為保守，所以現(xiàn)在Internet的爆炸性增長引發(fā)了網(wǎng)絡(luò)地址不足的危機，并且這個危機正日益嚴(yán)重，按目前入網(wǎng)主機的增長速度，預(yù)計到5年左右IP地址將將被耗盡；另一方面，出于安全和私密性的考慮，越來越多的商業(yè)機構(gòu)和政府部門不再愿意在不安全的網(wǎng)絡(luò)上發(fā)送他們敏感的信息和進行明文的交流，從而導(dǎo)致對于加密認(rèn)證的需求飛速增長。為了解決這些問題，IETF從1992年起就開始了相關(guān)的研究，并于1994年提出了IPng建議草案.1995年底IETF提出了正式的協(xié)議規(guī)范，這個規(guī)范又經(jīng)過進一步的修改，成為今天的IPv6.IPv6采用了128位的地址空間，徹底解決IPv4地址不足的問題.為了加強安全性，IPv6中定義了認(rèn)證報頭（AuthenticationHeader，AH）和封裝化安全凈荷（EncapsulatingSecurityPayload，ESP），從而使在IPv4中僅僅作為選項使用的IPsec協(xié)議成為IPv6的有機組成部分.IPsec提供了兩種安全機制：加密和認(rèn)證.加密是通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被他人截獲而失密.認(rèn)證使得IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭到改動.可以說，正是由于IPsec的引入，使得IPv6在網(wǎng)絡(luò)層的安全性上得到了很大的增強.但是它的應(yīng)用也帶來的一些新的問題，并且對于現(xiàn)行的網(wǎng)絡(luò)安全體系提出了新的要求和挑戰(zhàn).1.1IPv6概述IPv6(InternetProtocolVersion6)是IETF設(shè)計的用于替代現(xiàn)行版本IPv4協(xié)議的下一代IP協(xié)議。目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP協(xié)議族，其網(wǎng)絡(luò)層的協(xié)議就是IP，同時也是TCP/IP協(xié)議族的核心協(xié)議。隨著電子網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機將逐漸進入人們的日常生活，我們的生活點滴都將進入Internet，正是在這樣的環(huán)境下，IPv6應(yīng)運而生。IPv6是可以無限制地增加IP網(wǎng)址數(shù)量，并且擁有卓越網(wǎng)絡(luò)安全性能和巨大網(wǎng)址空間等特點的新一代互聯(lián)網(wǎng)協(xié)議。特點表現(xiàn)為：(1)地址空間巨大：IPv6地址空間由IPv4的32位擴大到128位，地址空間增大了2的96次方倍。(2)地址層次豐富且分配合理：IPv6的終端管理機構(gòu)將某一確定的TLA分配給某些骨干網(wǎng)的ISP，然后骨干網(wǎng)ISP再有選擇性地為各個中小ISP分配NLA，而Internet用戶則從中小ISP獲得單一的IP地址。(3)靈活的IP報文頭部格式：IPv6用固定格式的擴展頭部取代了IPv4中可變長度的選項字段，并且選項部分的出現(xiàn)方式也有所變化。(4)提高lP層網(wǎng)絡(luò)安全性能：IPv6要求強制實施Internet網(wǎng)絡(luò)安全協(xié)議IPSec，并將其標(biāo)準(zhǔn)化。該協(xié)議支持驗證頭協(xié)議、封裝安全性載荷協(xié)議和密鑰交換IKE協(xié)議，這3種協(xié)議將是未來因特網(wǎng)的安全標(biāo)準(zhǔn)。IPv6除擁有上述特性以外，還具有無狀態(tài)自動配置、簡化報文頭部格式、支持多類型服務(wù)以及允許協(xié)議繼續(xù)演變等特性。1.2IPv6的發(fā)展現(xiàn)狀與趨勢目前我們正在使用的互聯(lián)網(wǎng)是建立在IPv4協(xié)議（互聯(lián)網(wǎng)協(xié)議版本4）基礎(chǔ)之上的，IPv4采用32位地址長度，只有大約43億個地址.隨著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間消耗速度正在逐年加快，雖然采取了許多節(jié)約地址的方法（這些方法同時也帶來了安全等其他方面的問題），但據(jù)IETF（Internet工程任務(wù)組）估計，按照互聯(lián)網(wǎng)現(xiàn)在的發(fā)展速度，IPv4地址仍將會在2005-2010年間被分配完畢.IPv6（互聯(lián)網(wǎng)協(xié)議版本6）就是在這種情況下應(yīng)運而生的.IPv6將把地址長度擴展至128位，共計約3.4×1038個地址，是IPv4地址空間(232)的近1600億倍(296).與IPv4相比，IPv6具有地址空間更大、網(wǎng)絡(luò)整體吞吐量更高、服務(wù)質(zhì)量和多播功能更好、安全性更強、即插即用和移動應(yīng)用更易等諸多優(yōu)點，尤其是IPv6大大擴展了地址空間，恢復(fù)了原來因地址受限而失去的端到端連接功能，保證了端到端的服務(wù)質(zhì)量和安全性，為互聯(lián)網(wǎng)的進一步發(fā)展和縮小數(shù)字鴻溝提供了基本條件.因此，自IPv6誕生以來，已經(jīng)越來越引人注目，各國政府也越來越重視IPv6的發(fā)展，甚至紛紛將IPv6提升為國家發(fā)展戰(zhàn)略的高度，并制定了有關(guān)的發(fā)展策略.日本是發(fā)展IPv6最早的國家之一，也是發(fā)展IPv6速度最快的國家.由于錯過了上世紀(jì)互聯(lián)網(wǎng)與移動通信的發(fā)展機會，因此日本政府決心利用3G和IPv6的發(fā)展契機急起直追，使日本重新回到在通信、電子領(lǐng)域全球最先進國家行列.日本政府對IPv6的發(fā)展極為重視，甚至把IPv6技術(shù)的發(fā)展作為政府“超高速網(wǎng)絡(luò)建設(shè)和競爭”的一項基本政策，并在2001年3月的“e-Japan重點計劃”中確定了于2005年完成互聯(lián)網(wǎng)向IPv6過渡的目標(biāo).日本政府自1992年起就開始進行IPv6的研發(fā)和標(biāo)準(zhǔn)化工作，并且取得了相當(dāng)大的成果，在研發(fā)和應(yīng)用方面都屬于世界前列.日本IPv6的組織有許多.其中，因特網(wǎng)及廣域IP網(wǎng)的產(chǎn)學(xué)研聯(lián)合研究開發(fā)組織WIDE（WidelyIntegrated&DistributedEnvironment）是世界上最早的IPv6研究機構(gòu)，該組織于1988年由政府組織成立.起初，WIDE的目的只是建立大規(guī)模廣域分散網(wǎng)絡(luò)環(huán)境，后來開展IPv6的研究，進行IPv6協(xié)議的開發(fā)和標(biāo)準(zhǔn)的制定工作，并逐步變成一個國際性的研究組織.現(xiàn)在，WIDE研究成員已經(jīng)達(dá)到100多個國際公司、40多個教育科研組織.另外，IPv6推進會（IPv6PromotionCouncilofJapan）也是一個非常重要的官產(chǎn)學(xué)研相結(jié)合的組織，該組織于2001年成立，目的在于推動IPv6的產(chǎn)業(yè)化.日本的運營商第一個開始向國內(nèi)提供IPv6商業(yè)服務(wù).NTT一直是IPv6應(yīng)用的領(lǐng)航者，在1999年9月正式成為第一個商用業(yè)務(wù)提供商，并于2002年4月首次在日本推出付費的商用IPv6網(wǎng)關(guān)業(yè)務(wù).到目前為止，NTTCom、JapanTelecom和KDDI等日本的主要運營商和ISP幾乎都已經(jīng)提供IPv6商業(yè)化接入服務(wù).日本的運營商還努力向國際上推廣其IPv6業(yè)務(wù).NTTEurope在2003年2月向歐洲推出了IPv6網(wǎng)關(guān)業(yè)務(wù).NTT還與Verio聯(lián)合建立了跨越日本、歐洲和美國的全球IPv6商用骨干網(wǎng)，2003年下半年在美國首次推出商用的IPv6業(yè)務(wù).截至目前為止，除日本本土之外，NTT/Verio已經(jīng)成功地推出IPv6商用服務(wù)的國家、地區(qū)已經(jīng)達(dá)到10個，包括澳大利亞、馬來西亞、香港、臺灣、英國、法國、西班牙、美國、德國、韓國等.在政府的大力支持下，日本企業(yè)對IPv6產(chǎn)品的研發(fā)與生產(chǎn)也開展得熱火朝天，日立、NEC、富士通等等是世界上最早實現(xiàn)IPv6硬件支持的網(wǎng)絡(luò)設(shè)備廠商.此外，日本的IPv6終端設(shè)備研制速度也相當(dāng)快，索尼、東芝、日立、松下等主要信息終端廠商的產(chǎn)品都已經(jīng)開始支持IPv6協(xié)議.韓國政府對IPv6技術(shù)的發(fā)展也相當(dāng)重視.韓國還專門制定了IPv6的演進進程，共分四個階段.第一階段（2001年以前）建立IPv6試驗網(wǎng)，開展驗證、運行和宣傳工作；第二階段（2002～2005）建立了IPv6島，與現(xiàn)有IPv4大網(wǎng)互通，在IMT2000上提供IPv6服務(wù)；第三階段（2006～2010年）建立IPv6大網(wǎng)，原IPv4大網(wǎng)退化為IPv4島，與IPv6大網(wǎng)互通，提供有線和無線的IPv6商用服務(wù)；第四階段（2011年后）演進成一個單純完整的IPv6網(wǎng).由于美國是互聯(lián)網(wǎng)的發(fā)源地，所擁有IPv4地址數(shù)量達(dá)到每人約10個IP地址，占全世界說擁有地址數(shù)的70%，基本上不存在缺乏的問題，而且基于IPv4的互聯(lián)網(wǎng)還正在源源不斷地為美國帶來巨大的財富，也不愿意改動花費億萬美金構(gòu)建的IPv4商業(yè)網(wǎng)絡(luò)體系，所以很長一段時間以來，美國政府對IPv6的發(fā)展的態(tài)度基本上是不溫不火，主要是幾個民間組織在跟蹤研究.美國的Internet2組織負(fù)責(zé)促進包括IPv6在內(nèi)的下一代互聯(lián)網(wǎng)的部署和采用，它是一個由180多所大學(xué)領(lǐng)導(dǎo)的集團，與業(yè)界及政府合作開發(fā)和部署先進的網(wǎng)絡(luò)應(yīng)用與技術(shù).其主要目標(biāo)是：為美國研究機構(gòu)創(chuàng)建一個前沿網(wǎng)絡(luò)；開創(chuàng)新的互聯(lián)網(wǎng)應(yīng)用；保證新的網(wǎng)絡(luò)服務(wù)與應(yīng)用迅速轉(zhuǎn)移到廣泛的互聯(lián)網(wǎng)社團.能源科學(xué)網(wǎng)（ESnet）是美國國家級的一個研究教育網(wǎng)，其主要工作是幫助世界上的研究教育網(wǎng)推出IPv6服務(wù)，旨在提供商用IPv6過渡服務(wù).不過，自2003年開始，出于對國家網(wǎng)絡(luò)安全保護的需要，美國政府也開始對IPv6的給予了極大的關(guān)注.究其原因，主要是911事件以后，恐怖分子的襲擊模式已經(jīng)沒有定式可言，美國非常擔(dān)心恐怖分子對其網(wǎng)絡(luò)進行致命性的攻擊.2003年2月，白宮發(fā)布網(wǎng)絡(luò)安全計劃，商務(wù)部將負(fù)責(zé)推動下一代網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)（IPv6）的研發(fā).2003年6月，美國國防部發(fā)布了一份題為“IPv6”的備忘錄，宣布將不再購買不支持IPv6的網(wǎng)絡(luò)硬件設(shè)備.在這份備忘錄中，美國國防部宣稱要在美國軍方規(guī)劃實施的“全球信息網(wǎng)格（GIG）”中全面部署IPv6，并提出了具體的目標(biāo)：到2008財政年，在整個國防部的網(wǎng)絡(luò)之間和內(nèi)部網(wǎng)絡(luò)中完成向IPv6的過渡.2004年3月，美國國防部最大的IPv6試驗網(wǎng)絡(luò)Moonv6完成第二階段測試，并已經(jīng)發(fā)布了測試結(jié)果.歐洲由于在IPv4地址方面沒有亞洲那樣非常大的壓力，所以起初對于發(fā)展IPv6并沒有太大的積極性.然而，他們也不甘心在互聯(lián)網(wǎng)發(fā)展方面一直落后于美國，IPv6讓歐洲看到了趕超美國的機會.另外，歐洲也擔(dān)心在今后的互聯(lián)網(wǎng)設(shè)備與應(yīng)用方面落后于日本等國家，唯恐過時再追趕又會來不及，又會因為再次落后而付出更大的代價，所以他們也不敢掉以輕心而冒險等待.歐洲自2000年開始進行IPv6的研究.在發(fā)展IPv6時，歐洲采用了一種與其他國家完全不同的模式，其基本策略是“先移動，后固定”.這是因為，歐洲的移動通信事業(yè)相當(dāng)發(fā)達(dá)，第3代移動通信（3G）網(wǎng)絡(luò)基本建成，首先在3G網(wǎng)絡(luò)中引入IPv6是水到渠成的事情.制定3G標(biāo)準(zhǔn)的3GPP組織于2000年5月已經(jīng)決定以IPv6為基礎(chǔ)構(gòu)筑下一代移動網(wǎng).IPv6能提供無數(shù)的地址空間，可以為無線應(yīng)用的新用戶提供巨大容量，是3G必須遵循的標(biāo)準(zhǔn)和發(fā)展3G所必需的工具之一.因此，歐洲也期待著能夠利用IPv6使3G迎來明媚的春天. 歐洲在發(fā)展IPv6方面投入了很大的力量，先后推出了大大小小近20個IPv6相關(guān)項目，包括6INIT、6WINIT、WINE、Euro6IX、6NET等.6INIT項目從2000開始，總投資42萬歐元，該項目的目的在于，通過建立基于IPv6的運行網(wǎng)和提高有關(guān)IPv6部署問題在各公司間的認(rèn)知度，推進IPv6多媒體和安全服務(wù)在歐洲的使用.該項目在2001年底結(jié)束后，其中的大多數(shù)參與者都留在6WINIT（IPv6無線互聯(lián)網(wǎng)行動計劃）項目中繼續(xù)工作.6WINIT項目的目的是有效地推進基于IPv6與GPRS及UMTS/3GPP結(jié)合的新型移動無線互聯(lián)網(wǎng)在歐洲的應(yīng)用.另外，為了加快IPv6在歐洲的引入和發(fā)展，歐洲還投資155萬歐元建立了Euro6IX試驗床.到目前為止，歐盟已經(jīng)投資1億多歐元用于IPv6的研究和開發(fā)項目. 盡管歐洲的領(lǐng)導(dǎo)層都對IPv6給予了厚望，但起初歐洲的各大運營商基本上都是處于左右為難、舉棋不定的狀態(tài)，他們主要是考慮到IPv6還有許多的問題需要完善，加上要向IPv6過渡，就必須要對原來部署的大量設(shè)備和軟件等進行更新?lián)Q代.現(xiàn)在，也有少數(shù)運營商做出了一定程度的回應(yīng).雖然運營商的積極性不是很高，但歐洲的設(shè)備廠商在IPv6的研發(fā)上可是不甘落后，諾基亞、愛立信等為代表的多數(shù)網(wǎng)絡(luò)設(shè)備商都相繼推出了各自的IPv6產(chǎn)品和解決方案.6Bone是世界上成立最早也是迄今規(guī)模最大的全球范圍的IPv6示范網(wǎng)，1996年8月由IETF組織創(chuàng)建.到目前為止，6Bone的規(guī)模已經(jīng)擴展到包括中國在內(nèi)的近60個國家和地區(qū)，連接了近千個站點，成為IPv6研究者、開發(fā)者和實踐者的主要平臺.6Bone是一個全球性層次化的IPv6網(wǎng)絡(luò)，但它在物理上并不是一個純粹的IPv6網(wǎng)絡(luò)，它只是各個國家和地區(qū)組織維護的IPv6網(wǎng)絡(luò)孤島通過在基于IPv4的互聯(lián)網(wǎng)上利用隧道技術(shù)連接起來的一個虛擬IPv6網(wǎng)絡(luò).6Bone起先的主要工作是對IPv6協(xié)議及應(yīng)用標(biāo)準(zhǔn)與實施進行測試.2000年2月，6Bone實驗網(wǎng)試驗完成了6Bone骨干路由規(guī)則（6BoneBackboneRoutingGuidelines），該規(guī)則最終被IETF接受為RFC2772標(biāo)準(zhǔn)文稿，取代了RFC2546.6Bone實驗網(wǎng)還于2000年4月發(fā)布了關(guān)于BGP4+的路由穩(wěn)定性報告.目前，6Bone正致力于向?qū)崿F(xiàn)非隧道的IPv6本地化移植，其工作重點也轉(zhuǎn)向了IPv4向IPv6的過渡和運營模式等方面的研究與測試.我國是IPv6研究工作啟動較早的國家之一，我國政府對IPv6在我國的發(fā)展也高度重視.中國教育科研網(wǎng)（CERNET）于1998年建立了國內(nèi)第一個IPv6試驗床CERNETv6，標(biāo)志著我國IPv6研究工作進入了實質(zhì)階段.隨后，我國政府又開展了一系列IPv6研究項目和相關(guān)工作.1999年，國家自然科學(xué)基金聯(lián)合項目“中國高速互聯(lián)研究試驗網(wǎng)NSFCNET”啟動；2002年，信息產(chǎn)業(yè)部“下一代IP電信實驗網(wǎng)（6TNet）”項目啟動，科技部863信息領(lǐng)域?qū)ｍ棥案咝阅軐拵畔⒕W(wǎng)（3Tnet）”啟動；2003年，信息產(chǎn)業(yè)部頒發(fā)首張IPv6核心路由器入網(wǎng)試用批文；由鄔賀銓院士出任專家組組長的中國下一代互聯(lián)網(wǎng)示范項目（CNGI）全面啟動，協(xié)和醫(yī)院等SARS定點醫(yī)院采用“IPv6新一代網(wǎng)絡(luò)遠(yuǎn)程醫(yī)療、探視系統(tǒng)”標(biāo)志著我國IPv6已經(jīng)開始進入商業(yè)試用階段.雖然我國電信運營業(yè)改革起步較晚，但運營商們對IPv6業(yè)務(wù)的研究工作也都開展得有條不紊.首先是2001年中國電信啟動《IPv6總體技術(shù)方案》項目的研究工作；接下來2002年，中國電信在北京、上海、廣州和湖南進行IPv6試驗與測試工作，重慶網(wǎng)通信息港IPv6城域示范網(wǎng)項目；今年，各大運營商已經(jīng)全面啟動IPv6核心網(wǎng)絡(luò)建設(shè).我國在IPv6國際交流與合作研究方面也做出了很大的貢獻(xiàn).全球IPv6高峰論壇已經(jīng)連續(xù)3年在中國舉辦.“下一代互聯(lián)網(wǎng)中日IPv6合作項目”也已經(jīng)于2002年啟動.2IPv6的安全機制2.1現(xiàn)行IP的安全性對于網(wǎng)絡(luò)層的安全性，有如下三個公認(rèn)的指標(biāo)：（1）身份驗證：能夠可靠地確定接收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)一致，并且確保發(fā)送該數(shù)據(jù)的實體與其所宣稱的身份一致.（2）完整性：能夠可靠地確定數(shù)據(jù)在從源到目的地傳送的過程中沒有被修改.（3）機密性：確保數(shù)據(jù)只能為預(yù)期的接收者使用或讀出，而不能為其他任何實體使用或讀出.完整性和身份驗證經(jīng)常密切相關(guān)，而機密性有時使用公共密鑰加密來實現(xiàn)，這樣也有助于對源端進行身份驗證.在現(xiàn)行的IP網(wǎng)絡(luò)中，IPsec使用得并不普遍.所以在現(xiàn)在的網(wǎng)絡(luò)中，偽裝源地址是相當(dāng)容易的，數(shù)據(jù)包的接收者根本就沒有辦法弄清楚數(shù)據(jù)包的源地址欄里所注明的主機是不是數(shù)據(jù)包的真正發(fā)出者.這就使得惡意的用戶可以冒充其他人得到有用的信息.如果是經(jīng)過仔細(xì)的策劃，一個惡意的用戶甚至可以因此取得服務(wù)器的控制權(quán)；而明碼傳輸和存儲轉(zhuǎn)發(fā)的數(shù)據(jù)傳輸方式，使得“中間人”篡改正在傳輸?shù)臄?shù)據(jù)成為可能；在開放的網(wǎng)絡(luò)中，數(shù)據(jù)包可能經(jīng)過任意數(shù)量的未知網(wǎng)絡(luò)，任一個網(wǎng)絡(luò)中都可能有包嗅探器在工作，以明文的形式在網(wǎng)絡(luò)上傳播數(shù)據(jù)也毫無機密性可言.除了以上的三點以外，為了確保網(wǎng)絡(luò)安全，還應(yīng)該解決下列威脅：（1）拒絕服務(wù)攻擊：例如，攻擊者可能使某主機淹沒于大量請求中，從而致使系統(tǒng)崩潰；或者重復(fù)傳送很長的Email報文，企圖以惡意業(yè)務(wù)流塞滿用戶或站點帶寬.（2）愚弄攻擊：即實體傳送虛假來源的包.而現(xiàn)在的IP網(wǎng)絡(luò)對這兩個問題也無能為力.從以上的分析看來,現(xiàn)在的網(wǎng)絡(luò)的安全性明顯不足.如果網(wǎng)絡(luò)僅作為研究工具，或者在研究、軍事、教育和政府等管理得相對嚴(yán)格的環(huán)境中使用，缺乏安全性并不是一個嚴(yán)重的缺陷.但是，隨著IP網(wǎng)絡(luò)在商用和消費中的重要性與日俱增，網(wǎng)絡(luò)的安全性問題變得日益突出，亟待改善.2.2IPv6對于網(wǎng)絡(luò)層安全的增強現(xiàn)行的IP網(wǎng)絡(luò)很難保證Internet的安全，而且基于IPv4的Internet安全機制大多建立于應(yīng)用程序級，如E-mail加密、SNMPv2網(wǎng)絡(luò)管理安全、接入安全（HTTP、SSL）等.與之對應(yīng)的是，IPv6的所有的命令和執(zhí)行都有安全方面的考慮.并且，它提供了加密和認(rèn)證機制.這些機制都是在網(wǎng)絡(luò)層上實現(xiàn)的，對于網(wǎng)絡(luò)層以上的應(yīng)用是不可見的.這樣，應(yīng)用程序就不必了解這些安全機制的細(xì)節(jié).IPv6的安全主要由IP的AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）標(biāo)記來實現(xiàn).當(dāng)然還要有正確的相關(guān)密鑰管理協(xié)議.RFC1826(IP認(rèn)證報頭)中對AH進行了描述，而ESP報頭在RFC1827（IP封裝化安全凈荷（ESP））中描述.2.2.1認(rèn)證報頭IPv6通過AH使數(shù)據(jù)包的接收者可以驗證數(shù)據(jù)是否真的是從它的源地址發(fā)出的，并提供密碼驗證或完整性測試.缺省時它使用了一個加密的MD5算法，但是由于檢驗的機制與所使用的具體算法無關(guān)，任何實現(xiàn)都可以根據(jù)需要選用任何算法，如Sun公司將發(fā)布的v6.0IPv6Prototype就采用MD5驗證報頭.AH的作用如下：為IP數(shù)據(jù)包提供強大的完整性服務(wù)，這意味著AH可用于對IP數(shù)據(jù)包所承載的數(shù)據(jù)進行驗證.為IP數(shù)據(jù)包提供強大的身份驗證，這意味著AH可用于將實體與數(shù)據(jù)包的內(nèi)容相關(guān)聯(lián).（3）如果在完整性服務(wù)中使用了公鑰數(shù)字簽名算法，AH可以為IP數(shù)據(jù)包提供不可抵賴服務(wù).通過使用順序號字段來防止重放攻擊.AH可以在隧道模式和傳輸模式下使用，這意味著它既可用于為兩個節(jié)點間的簡單直接的數(shù)據(jù)包傳送提供身份驗證和保護，也可用于對發(fā)給安全性網(wǎng)關(guān)或由安全性網(wǎng)關(guān)發(fā)出的整個數(shù)據(jù)包流進行封裝.在傳輸模式中，AH保護初始IP數(shù)據(jù)包的數(shù)據(jù)，也保護在逐跳轉(zhuǎn)發(fā)中不變化的部分IP報頭，如跳轉(zhuǎn)極限字段或選路擴展報頭.當(dāng)AH用于隧道模式中時，初始的目的IP地址與整個初始IP數(shù)據(jù)包一起，封裝在全新的IP數(shù)據(jù)包中，該數(shù)據(jù)包再被發(fā)送到安全性網(wǎng)關(guān).因此，整個初始IP數(shù)據(jù)包以及傳送中不變的封裝IP報頭部分都得以保護.2.2.2封裝化安全凈荷由于協(xié)議分析儀或“sniffer”的大量使用，惡意的用戶可以截取網(wǎng)絡(luò)上的數(shù)據(jù)包并且可以從中竊取數(shù)據(jù).所以，除了認(rèn)證之外，IPv6還提供了一個標(biāo)準(zhǔn)的擴展頭--封裝化安全凈荷（ESP），在網(wǎng)絡(luò)層實現(xiàn)端到端的數(shù)據(jù)加密，以對付網(wǎng)絡(luò)上的監(jiān)聽.ESP報頭提供了幾種不同的服務(wù)，其中某些服務(wù)與AH有所重疊：通過加密提供數(shù)據(jù)包的機密性。通過使用公共密鑰加密對數(shù)據(jù)來源進行身份驗證。通過由AH提供的序列號機制提供對抗重放服務(wù)。通過使用安全性網(wǎng)關(guān)來提供有限的業(yè)務(wù)流機密性。ESP使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES-CBC）。任何其它的適當(dāng)?shù)乃惴ㄈ绺鞣NRSA算法等也可以使用。它可以在主機之間或安全網(wǎng)關(guān)之間使用，以保證更多的安全。與AH類似，ESP既可用于隧道模式，也可用于傳輸模式。使用隧道模式時，ESP報頭對整個IP數(shù)據(jù)包進行封裝，并作為IP報頭的擴展將數(shù)據(jù)包定向到安全性網(wǎng)關(guān)。在傳輸模式中，ESP加密傳輸層協(xié)議報頭（如TCP、UDP或ICMP等）和數(shù)據(jù)部分。ESP報頭可以和AH結(jié)合使用。實際上，如果ESP報頭不使用身份驗證機制，建議將AH和ESP報頭一起使用。在傳輸模式中，如果有AH，IP報頭以及選路擴展報頭或分段擴展報頭都在AH之前，其后跟隨ESP報頭,這樣，首先進行身份驗證，然后再對ESP解密。任何目的地選項報頭可以在ESP報頭之前，也可以在ESP報頭之后，或者ESP報頭前后都有，而ESP報頭之后的擴展頭將被加密。通過對IPv6所提供的新的安全機制的介紹，我們可以看出，IPv6可以進行身份認(rèn)證，并且可以保證數(shù)據(jù)包的完整性和機密性，所以在安全性方面，IPv6有了質(zhì)的飛躍.2.3協(xié)議安全與網(wǎng)絡(luò)安全協(xié)議安全

在協(xié)議安全層面上，IPv6全面支持認(rèn)證頭（AH）認(rèn)證和封裝安全有效負(fù)荷（ESP）信息安全封裝擴展頭。AH認(rèn)證支持hmac_md5_96、hmac_sha_1_96認(rèn)證加密算法，ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。

2.網(wǎng)絡(luò)安全

①端到端的安全保證。在兩端主機上對報文進行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6報文進行透傳，從而實現(xiàn)端到端的安全。

②對內(nèi)部網(wǎng)絡(luò)的保密。當(dāng)內(nèi)部主機與因特網(wǎng)上其他主機進行通信時，為了保證內(nèi)部網(wǎng)絡(luò)的安全，可以通過配置的IPSec網(wǎng)關(guān)實現(xiàn)。因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理，因此IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實現(xiàn)，也可以通過IPv6擴展頭中提供的路由頭和逐跳選項頭結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來實現(xiàn)。后者的實現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡(luò)安全，但是比較復(fù)雜。

③通過安全隧道構(gòu)建安全的VPN。此處的VPN是通過IPv6的IPSec隧道實現(xiàn)的。在路由器之間建立IPSec的安全隧道，構(gòu)成安全的VPN是最常用的安全網(wǎng)絡(luò)組建方式。IPSec網(wǎng)關(guān)的路由器實際上就是IPSec隧道的終點和起點，為了滿足轉(zhuǎn)發(fā)性能的要求，該路由器需要專用的加密板卡。

④通過隧道嵌套實現(xiàn)網(wǎng)絡(luò)安全。通過隧道嵌套的方式可以獲得多重的安全保護。當(dāng)配置了IPSec的主機通過安全隧道接入到配置了IPSee網(wǎng)關(guān)的路由器，并且該路由器作為外部隧道的終結(jié)點將外部隧道封裝剝除時，嵌套的內(nèi)部安全隧道就構(gòu)成了對內(nèi)部網(wǎng)絡(luò)的安全隔離。2.4其他安全保障IPSec為網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性提供了保證，但是數(shù)據(jù)網(wǎng)絡(luò)的安全威脅是多層面的，它們分布在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等各個部分。

對于物理層的安全隱患，可以通過配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強安全管理來防護。對于物理層以上層面的安全隱患，可以采用以下防護手段：通過諸如AAA、TACACS＋、RADIUS等安全訪問控制協(xié)議控制用戶對網(wǎng)絡(luò)的訪問權(quán)限來防止針對應(yīng)用層的攻擊；通過MAC地址和IP地址綁定、限制每端口的MAC地址使用數(shù)量、設(shè)立每端口廣播包流量門限、使用基于端口和VLAN的ACL、建立安全用戶隧道等來防范針對二層網(wǎng)絡(luò)的攻擊；通過進行路由過濾、對路由信息的加密和認(rèn)證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來加強三層網(wǎng)絡(luò)的安全性。路由器和交換機對IPSec的完善支持保證了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性，并且為網(wǎng)絡(luò)安全提供了諸多解決辦法。3IPv6的安全機制對現(xiàn)有網(wǎng)絡(luò)安全體系的影響在前面的分析中，我們了解了IPv6優(yōu)點，但是，這并不能說IPv6已經(jīng)可以確保系統(tǒng)的安全了。這里面有很多原因，最重要的是，安全包含著各個層次，各個方面的問題，不是僅僅由一個安全的網(wǎng)絡(luò)層就可以解決得了的。如果黑客從網(wǎng)絡(luò)層以上的應(yīng)用層發(fā)動進攻，比如利用系統(tǒng)緩沖區(qū)溢出或木馬的方法，縱使再安全的網(wǎng)絡(luò)層也與事無補。即使僅僅從網(wǎng)絡(luò)層來看，IPv6也不是十全十美的。它畢竟同IPv4有著極深的淵源。并且，在IPv6中還保留著很多原來IPv4中的選項，如分片，TTL。而這些選項曾經(jīng)被黑客用來攻擊IPv4協(xié)議或者逃避檢測，很難說IPv6能夠逃避得了類似的攻擊。同時，由于IPv6引進了加密和認(rèn)證，還可能產(chǎn)生新的攻擊方式。比如大家都知道，加密是需要很大的計算量的。而當(dāng)今網(wǎng)絡(luò)發(fā)展的趨勢是帶寬的增長速度遠(yuǎn)遠(yuǎn)大于CPU主頻的增長。如果黑客向目標(biāo)發(fā)送大量貌似正確實際上卻是隨意填充的加密數(shù)據(jù)包，被害者就有可能由于消耗了大量的CPU時間用于檢驗錯誤的數(shù)據(jù)包而不能響應(yīng)其他用戶的請求，造成拒絕服務(wù)。另外，當(dāng)前的網(wǎng)絡(luò)安全體系是基于現(xiàn)行的IPv4協(xié)議的。當(dāng)前防范黑客的主要工具，有防火墻、網(wǎng)絡(luò)掃描、系統(tǒng)掃描、Web安全保護、入侵檢測系統(tǒng)等。IPv6的安全機制對他們的沖擊可能是巨大的，甚至是致命的。3.1防火墻當(dāng)前的防火墻有三種類型：包過濾型，應(yīng)用代理型和地址轉(zhuǎn)換型。除了應(yīng)用代理型防火墻工作在應(yīng)用層，受到IPv6的影響比較小之外，其他的兩種都受到了幾乎是致命的沖擊。地址轉(zhuǎn)換型防火墻：它可以使局域網(wǎng)外面的機器看不到被保護的主機的IP地址，從而使防火墻內(nèi)部的機器免受攻擊。但由于地址轉(zhuǎn)換技術(shù)（NAT）和IPsec在功能上不匹配，很難穿越地址轉(zhuǎn)換型防火墻利用IPsec進行通信[3]。當(dāng)采用AH進行地址認(rèn)證時，IP報頭也是認(rèn)證的對象，因此不能做地址轉(zhuǎn)換。當(dāng)只用ESP對分組認(rèn)證/加密時，因為IP報頭不在認(rèn)證范圍內(nèi)，乍一看地址轉(zhuǎn)換不會出現(xiàn)問題，但即使在這種情況下也只能作一對一的地址轉(zhuǎn)換，而不能由多個對話共用一個IP地址。這是因為ESP既不是TCP也不是UDP，不能以端口號的不同進行區(qū)分的緣故。此外，在用UDP實現(xiàn)ES