IPv4和IPv6安全技术比较和应用.doc

IPv4和IPv6安全技术比较和应用 　　【摘 要】随着Internet的发展，IPv4协议的各种问题逐渐暴露出来。本文论述了IPv4的局限性以和IPv6的优越性，探讨了IPv6的安全机制的实现以及IPv6安全技术的应用。 【关键词】IPv4；IPv6；AH； ESP；IPv6的安全应用 1. IP现状 网际协议IP是Internet中的关键协议。1969年美国国防部为适应核战争的通信需要建立了ARPANET实验网，1973年开发出基于TCP/IP协议的IPv4原型，其后经三次修订，于1981年9月IETF（Internet Engineering Task Force）公布了IPv4标准规范RFC791文件。IPv4取得了巨大的成功。但早在1990年TCP/IP专家们就已察觉出它潜伏着三大危机。 1.1 地址枯竭 在IP头标中能够处理的地址数由IP地址域的长度决定。IP地址由Internet网络信息中心INTERNIC进行分配。IPv4的地址域为32比特，可提供232（约40亿）个IP地址。但为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多主机，而有的网络上的主机则很少。因此Internet的IP地址分为五类，即A类到E类。 1.2 网络号码匮乏 在IPv4中，A类网络只有126个，每个能容纳1亿多个主机；B类网络也仅16384个，每个能容纳6万多个主机；C类网络虽多达2097152个，但每个只能容纳254个主机。D类地址是多播地址，主要是留给Internet体系结构委员会IAB（Internet ArchitectureBoard）使用。目前大量使用的IP地址仅A至C类三种。A类IP地址的网络号数不多。现在能够申请到的IP地址只有B类和C类两种。当某个单位向IAB申请到IP地址时，实际上只是获得了一个网络号net-id。具体的各个主机号host-id则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号即可。 1.3路由表急剧膨胀 随着ISP数目的增长，已经出现路由表占满路由器内存，导致网络异常的恶性故障。这是由于IPv4的地址体系结构是非层次化的，每增加一个子网，路由器就增加一个表项，使路由器不堪重负。 2.消除三大危机的措施―引入IPv6 为了克服IPv4的三大缺陷，IETF于1992年开始开发IPv6协议， 1995年12月以RFC1883文件公布了建议标准（proposal standard）。IPv6继承了IPv4的优点，并根据IPv4 30多年来运用的经验进行了大幅度的修改和功能扩充。IP协议的变化对TCP/IP协议栈的许多协议发生影响。IPv6比IPv4的处理性能更加强大，高效。 2.1 IPv6提供巨大的地址空间 IPv6的IP地址域为128比特，拥有2128巨大的地址空间。和IPv4相同，因地址分层运用，实际可用的总数要小得多。但保守的估计每平方米也有1600个IP地址。IPv6的目标是：通过1012个网络连接1015台计算机。 2.2 IPv6具有与网络适配的层次地址 和IPv4一样，IPv6的IP地址分成表示特定网络的网络前缀和表示主机或服务器的主机地址两部分。在128比特中高64比特表示网络前缀，低64比特表示主机。 为将网络前缀分成多个层次的网络，又将其分成13比特的顶级聚类标识符TLA（top-level aggregation）-ID，24比特的次级聚类标识符NLA（next-level aggregation）-ID和16比特的网点级聚类标识符SLA（sit-level aggregation）-ID。首先，由管理IPv6的组织将某一确定的TLA值分配给某个骨干网的ISP。它拥有104比特这样巨大的地址块。骨干网的ISP再将地址块细分，分配给各个地区中小ISP。用户从地区中小ISP处分到地址块。 3. IPv6的优越性 3.1减少了软件处理内容 我们通过比较IPv4和IPv6头标的结构可以看出IPv6的优越性能。虽然IPv6头标占40字节，是24字节（计入选项及填充）的IPv4头标的1.6倍，但因其长度固定（IPv4头标是变长的）故不需要消耗过多的内存容量。又因其要处理的域由IPv4的12个减少到8个，从而大大减少了路由器上的软件处理容量。 3.2 路由器软件内核小 据Cisco systems资料表明，IPv6版的路由器软件内核（kernel）实际上比IPv4还小。在Cisco2500系列中配置的IPv4内核为2.17MB。如计入存放路由表的工作区（work area）则升至3.2MB，而配置IPv6的内核时，其内核仅为1.69MB，