IPv6的安全问题.doc

IPv6的安全问题 1．绪论 IPv6是“互联网协议第六版”的缩写。IPv6是由IETF设计的下一代互联网协议，目的是取代现有的互联网协议第四版（IPv4）。IPv4的设计思想成功地造就了目前的国际互联网，其核心价值体现在：简单、灵活和开放性。 ? IPv6能够解决IPv4的许多问题，如地址短缺、服务质量保证等。同时，IPv6还对IPv4作了大量的改进，包括路由和网络自动配置等。IPv6和IPv4将在过渡期内共存几年，并由IPv6渐渐取代IPv4。 1.1 IPv6的地址类型 IPv6地址长度为128比特，地址按照其传输类型分为三种，即单播地址（UnicastAddress）、多播地址（Multicast Address）和任播地址（Anycast Address）。单播和多播地址在IPv4中已经存在，任播地址是IPv6中新的成员，RFC 2723将IPv6地址结构中的的任播地址定义为一系列网络接口（通常属于不同的节点）的标识，其特点是：发往一个任播地址的分组将被转发到由该地址标识的“最近”的一个网络接口（“最近”的定义是基于路由协议中的距离度量）。 单播地址是每个网络接口的唯一的标识符，多个接口不能分配相同的单播地址，带有同样目的地地址的数据包被发往同一个节点；另一方面，多播地址被分配给一组节点，组中所有成员拥有同样的组播地址，而带有同样地址的数据包同时发给所有成员；类似于多播地址，单一的任播地址被分配给多个节点（任播成员），但和多播机制不同的是：每次仅有一个分配任播地址的成员与发送端通信。一般与任播地址相关的有三个节点，当源节点发送一个目的地地址为任播地址地数据包时，数据包被发送给三个节点中的一个，而不是所有的主机。任播机制的优势在于源节点不需要了解服务节点或目前网络的情况，而可以接收特定服务，当一个节点无法工作时，带有任播地址的数据包又被发往其他两个主机节点，从任播成员中选择合适的目的地节点取决于任播路由协议。 1.2 IPv6地址分配状况 IP地址分配是分级进行的.ICANN(The Internet Corporation for Assigned Names and Numbers)是负责对全球互联网上的IP地址进行编号分配的机构(原来是由IANA负责).根据ICANN的规定,ICANN将部分IP地址分配给区域互联网注册机构RIR(Regional Internet Registry),然后由这些RIR负责该区域的登记注册服务.现在,全球一共有5个RIR;ARIN(北美)、RIPE（欧洲）、APNIC（亚太）、LACNIC（拉丁美洲）、AfriNIC（非洲）。在RIR之下还可以存在一些IR，如国家级IR（NIR）、普通地区级IR（LIR）。这些IR都可以从RIR那里得到Internet地址及号码，并可以向其各自的下级进行分配。 亚太地区国家的IP地址分配由APNIC管理。APNIC对IP地址的分配采用会员制，直接将IP地址分配给会员单位。我国的CNNIC（China Internet Network Information Center）以国家NIC的身份于1997年1月份成为APNIC（Asia Pacific Network Information Center）的联盟会员，是我国最高级别的IP地址分配机构。 2．IPv6的地址配置 IPv6拥有大量的地址资源，大量的小型终端设备可以通过IPv6接入到网络中来，地址自动配置就能实现对从多设备的高效管理，简化了网络管理者的工作。 2.1 IPv6中的重新编址 地址自动配置包括无状态地址自动配置和有状态地址自动配置。 在无状态地址自动配置下，需要配置地址的网络接口先使用邻居发现机制获得一个链路本地地址。网络接口得到这个链路本地地址之后，再接收路由器宣告的地址前缀，结合接口标识得到一个全球单播地址。而有状态地址自动配置的方式，如动态主机配置协议（DHCP），需要一个DHCP服务器，通过客户机/服务器模式从DHCP服务器处得到地址配置的信息。 一个主机也可以同时使用无状态地址自动配置和有状态地址自动配置两种模式。例如，可以用无状态地址自动配置来配置自己的本机地址，同时使用有状态地址自动配置模式获得其他信息。当一个站点不很关心所使用的精确地址，只要各节点地址唯一并可路由时，可以使用无状态地址自动配置。但当需要严格控制地址分配时，还是应该使用有状态地址自动配置。站点管理员可以通过路由器公告报文来制定本站点的地址自动配置方式。 当然自动配置并不是IPv6节点分配地址的唯一方法，手动配置也可以分配网络接口地址。对路由器来说，手动配置是必须的。 2.2 IPv6中的重新编址 IPv4中，地址是用户拥有的。也就是说，一旦用户从某机构申请到一段地址，他就永