ipv6相比ipv4在网络性能和安全方面有哪些改进和提升?
IPv4协议报文头结构冗余,影响转发效率;同时缺乏对端到端安全、QOS、移动互联网安全的有效支持。IPv6协议重点针对上述几个方面进行了改进,采用了更加精简有效的报文头结构。IPv6协议选项字段都放在扩展头中(如表1所示),中间转发设备不需要处理所有扩展报文头,提高数据包处理速度,并且通过扩展选项实现强制IPSec安全加密传输和对移动互联网安全的支持。
安全方面:
⑴可溯源性
IPv6巨大的地址空间带来了网络的可溯源性。在IPv4网络中,由于网络地址少而必须布置的NAT存在,使得攻击发生后的追踪变得尤其困难。这导致目前采用的基于事前预防的过滤类方法或是基于事后追查的回溯类方法都存在部署困难的缺陷,使得安全的保障性大大降低。随着IPv6的逐步部署,巨大的地址空间使得每个用户都可以获得惟一的网络IPv6地址,该地址可以和用户的个人信息绑定,更加有利于互联网的溯源行为。由于溯源行为的简单化,网络罪犯可能被发现并获得惩罚的可能性提高,互联网上的行为就能够受到更多的约束,从而降低了网络的犯罪率,带来一个较为安全的网络。不仅如此,IPv6的地址汇聚、过滤类的方法实现会更简单,负载更小;另一方面由于节点不需要使用NAT就可以和对方沟通,不需要网络地址的转换,追踪更容易,不论客户以何种方式连接,都能够通过简单的过滤完成对节点地址的控制,提高了网络的安全性。
⑵反侦察能力
除个人信息和地址绑定带来可溯源的安全性之外,另一方面由于庞大的IPv6地址,使得在IPv4网络中常常被黑客使用的侦察在IPv6网络中变得更加困难。侦察是很多其他网络攻击方式的初始步骤,网络攻击者能够通过侦察获得信息,进一步获得关于被攻击网络地址、服务、应用等内容,为下一步的攻击做准备。据计算,在一个拥有1万个主机的IPv6子网中,假设地址随机均匀分布,以一百万次每秒的速度扫描,发现第一个主机所需要的时间均值超过28年。这使得网络侦察变得极为困难,从而防范进一步攻击的发生,也降低了攻击可能带来的危害程度。
⑶NDP和SEND
巨大的IPv6地址带来了网络安全的第一层保护——可溯源和反侦察,而第二层保护来自于IPv6协议本身针对网络安全作出的更多改善,比如IPv6取消了ARP。在IPv6中,ARP的功能被邻居发现协议(NeighborDiscoveryProtocol,NDP)所代替。邻居发现协议通过发现链路上的其他节点,判断其他节点的地址,寻找可用路由,并保存可到达的其他节点的信息来保证通信。对比ARP,NDP仅在链路层实现,更加独立于传输介质。同时IPv6协议中的NDP,相对于IPv4下的NDP补充了邻居不可达发现(NeighborUnreachabilityDetection,NUD),加强了IP包在节点路由间传递的健壮性。此外,下一代互联网的安全邻居发现(SEcureNeighborDiscovery,SEND)(RFC3971)协议通过独立于IPSec的另一种加密方式(CryptographicallyGeneratedAddress),保证了传输的安全性。
⑷强制实现的IPSec能力
IPv6的另一个安全性体现是来自其要求强制实现IPSec的能力。IPSec为IPv6网络中的每个节点提供了数据源认证、完整性和保密性的能力,同时还可以使节点有能力抵抗重放攻击。通过两个扩展报头——认证头(AuthenticationHeader,AH)和封装安全载荷(EncapsulationSecurityPayload,ESP)将安全机制内嵌在协议之中。其中AH实现保护数据完整性(即不被非法篡改)、数据源发认证(即防止源地址假冒)和抗重放(Replay)攻击3个功能,而ESP则在AH所实现的安全功能基础上,增加了对数据保密性的支持。
ARP:
IPv6采用NDP协议替代IPv4中的ARP协议,二者虽然协议层次不同但实现原理基本一致,所以针对ARP的攻击如ARP欺骗、ARP泛洪等在IPv6协议中仍然存在,同时IPv6新增的NS、NA也成为新的攻击目标。NDP协议寄希望于通过IPSec来实现安全认证机制,但是协议并没有给出部署指导,另一方面,SEND协议可以彻底解决NDP协议的安全问题,但是目前终端及设备还普遍不支持该协议。
DDoS:
IPv6中DDoS防御并不比IPv4更好,甚至某些报道称IPv6比IPv4更容易受到DDoS攻击。当然这个和IPv6未大规模应用,安全防御研究不足有关。
版权说明:Copyright © 广州京杭网络科技有限公司 2005-2024 版权所有 粤ICP备16019765号
广州京杭网络科技有限公司 版权所有
免费热线:400-683-0016
扫二维码关注公众号
当前位置: