返回
IPv6网络安全体系结构研究

IPv6网络安全体系结构研究

ID:38275973

大小:185.76 KB

页数:5页

时间:2019-05-25

IPv6网络安全体系结构研究_第1页
IPv6网络安全体系结构研究_第2页
IPv6网络安全体系结构研究_第3页
IPv6网络安全体系结构研究_第4页
IPv6网络安全体系结构研究_第5页
资源描述:

《IPv6网络安全体系结构研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、http://www.elecfans.com电子发烧友http://bbs.elecfans.com电子技术论坛IPv6网络安全体系结构研究STUDYOFIPv6NETWORKSECURITYARCHITECTURE112杜根远,邱颖豫,郭华伟112DU,Gen-yuanQiu,Ying-yuGuo,Hua-wei1(许昌学院计算机科学与技术学院,许昌4610002首都师范大学信息工程学院,北京100037)摘要:文章介绍了IPSec体系结构以及在IPv6中可能实现的部分,详细描述了IPSec所提供的网络安全服务与实现原理,讨论如何在IPv6中通过身份验证头(AH)和封装安全性净荷(ES

2、P)头来实现安全性。关键词:安全体系结构;IPSec;AH;ESP中图分类号:TP393.08文献标识码:AAbstract:ThearticlehasintroducedIPSecsecurityarchitectureandpartsthatthissystemstructuremayberealizedinIPv6,HavingdescribedtheserviceofnetworksecuritythatIPSecoffersandrealizetheprincipleindetail,itisdiscussedthatrealizesthesecuritythroughAHand

3、ESP'sheadinIPv6.Keywords:SecurityArchitecture;IPsecurity;AuthenticationHeader;EncapsulatingSecurityPayload0引言安全问题始终是Internet的一个重要话题。由于最初IPv4的目的只是作为简单的网络互通协议,因而其中没有包含安全特性。随着互联网的商业化,缺乏安全性导致的危险越来越严重。TCP/IP协议发展的初衷是遵循开放性的原则,在安全方面没有作过多的考虑,使得现行TCP/IP协议体系结构本身存在许多安全隐患:1、IP地址假冒(IPSpoofing)IP数据包是否来自其真正的源地址,I

4、P协议本身并不提供任何保障。理论上讲,任意一台主机可以发出含有任意源地址的IP数据包。这就使得一些基于IP地址实现的访问控制技术失效;同时也使得对网络攻击者的追查与取证变得较为困难。目前网络上的很多攻击如SynFlooding,DOS/DDOS,SMURF等攻击都利用了这个缺陷,发起攻击。2、源路由攻击源路由是IP数据包的一个选项,它可使IP数据包沿指定的路径从源地址到达目的地址。它一方面方便了假冒源IP地址的数据包到达目的地址,另一方面也使得入侵者能够绕开某些网络的安全措施,从对方没有预料到的路径到达目的地址。3、网络窃听目前网络上传输的大多为明文信息,特别是一些系统的登录密码,如大多数

5、Unix目前仍缺省采用明文密码方式。这些敏感信息利用窃听工具(如Sniffer,Tcpdump,Snoop)很容易获得。为解决这些问题,必须为网络系统增加安全服务,这些安全服务可概括为:数据完整性(Integrity)、数据私有性(Confidentiality)、认证(Authentication)、访问控制(AccessControl)和不可否认性(Non-repudiation)。IETF在IPv6中提出了全新的网络安全体系结构IPSec。IPSec定义了在IP层使用的安全性服务,对IPv4和IPv6都可用。如果在适当的IPv4选项格式中实现AH和ESP头,IPv4也可以使用这种安全

6、性功能,只是在IPv6的IP层上更容易实现上述各种杜根远:硕士邱颖豫,郭华伟:硕士研究生基金项目:河南省科技厅科技攻关项目(0524220054);河南省教育厅科技攻关项目(200510480003)安全服务。1http://www.elecfans.com电子发烧友http://bbs.elecfans.com电子技术论坛1IPSec的工作原理IPSec提供的安全服务包括:数据私有性、基于无连接的数据完整性、数据包来源认证、访问控制、抗数据重发攻击以及一定程度上的数据流量私有性等。这些安全服务是通过ESP(EncapsulatingSecurityPayload)和AH(Authenti

7、cationHeader)这两个安全协议来实现。IPSec既可在网关上实现,也可在主机上实现。无论是哪种情况,当IP包进入或离开支持IPSec的接口时,IPSec模块将根据安全策略库SPD(SecurityPolicy)决定对该包进行何种处理(图1)。包的处理方式分为3种:抛弃、旁路、根据安全关联进行IPSec处理。因此利用SPD和这种处理方式,可以很容易地实现类似于IPv4中防火墙的访问控制安全。当某接口收到一个IP包

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。