眾所周知,要接入互聯網,每臺設備就必須擁有一個唯一的IP地址。由於移動互聯網的快速發展以及物聯網應用的加入,現有的IPv4地址數量呈現出明顯不足。因此,近兩年開始全面向IPv6轉移,
IPv6從根本上解決了IP地址不足的問題。
當時,國家正在大力推進部署IPv6網絡,著重點在於希望能夠藉助在安全性方面IPv6的改進,提升網絡空間的安全治理,改變當前網絡安全的嚴峻形勢。
在安全性上,IPv6有哪些提高?
1、支持IPSec安全加密機制
IPv6協議中,默許集成了IPSec安全功能,通過封裝安全載荷報頭(ESP)與擴展認證報頭(AH)來實現加密與驗證的功能。
AH協議能夠實現數據源身份認證與數據完整性的功能。在上述的功能基礎上,ESP還添加了安全加密的功能。集成IPSec的IPv6協議,實現了端到端的安全,中間轉發設備僅需對帶有IPSec擴展包頭的報文進行普通轉發即可,無需再對IPSec擴展包頭進行處理,這樣可大大減輕轉發的壓力。
2、防攻擊與可溯源
IPv6有大容量的地址空間,理論上不會再有IPv6地址不足的問題,也無需廣泛運用NAT設備來節約IPv6的公網地址。IPv6終端之間能夠直接建立點到點之間的連接,無需再進行地址轉換,因此,IPv6地址非常容易追溯。
IPv6地址分為64位的網絡前綴與64位的接口地址。一個64位的前綴地址支撐64位的主機數量,攻擊者無法掃描一個IPv6網段內所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度來進行掃描,需要約50萬年左右才可遍歷一個64位前綴內的所以主機地址。
3、真實源地址驗證體系
真實源IPv6地址驗證體系結構分為接入網、區域內及區域間源地址驗證這三個層次,由主機IP 地址、IP 地址前綴及自治域三個粒度所構成的多重監控防禦體系。不僅能夠有效地阻止仿冒源地址類的攻擊,還能夠通過監控流量來實現基於真實源地址的網管與計費。
因此,IPv6不僅僅是IP地址接近無限,在網絡安全性方面更勝一籌。
4、增強NDP與SEND安全性
在IPv6協議中,採用鄰居發現協議(NDP)來取代現有的IPv4中部分ICMP控制及ARP功能。NDP協議是通過在節點之間交換ICMPv6信息報文與差錯報文來實現地址的自動配備、鏈路層地址及路由發現等功能,還能夠通過維護鄰居可達狀態來加強通信。
NDP協議獨立於傳輸介質,在功能擴展方面更便捷。現有的IPv6協議層加密認證機制可實現對NDP協議的保護。IPv6的安全鄰居發現協議(SEND)是NDP的一個安全擴展,SEND提供了一種備用機制,通過獨立於IPSec的另一種加密方式對NDP進行保護,使得傳輸的安全性更有保障。
在技術上,IPv6有哪些改進?
IPv6作為下一代互聯網的關鍵性技術,正漸漸取代IPv4成為支撐互聯網運轉的核心協議,最重要的是IPv6解決了IPv4兩方面的問題。
1、地址空間問題
相比IPv4,IPv6將IP地址數量從2的32次方擴展至2的128次方,滿足於任何可預計的地址空間分配。
2、網絡安全問題
由於IPv4地址資源有限,很多時候在一個公網地址還需通過地址翻譯(NAT)的方法被多臺主機共用。因此,這就破壞了端到端的通信透明性,為網絡安全事件的溯源帶來了困難。
而IPv6地址資源豐富,採用逐級、層次化的結構對地址進行分配,為每個責任體分配獨一無二的IPv6地址,實現了追蹤定位,讓查詢溯源有了很大的改善。
簡而言之,IPv6技術是實施網絡空間安全治理的基礎性技術。
相較IPv4,IPv6的優勢
在設計中,IPv6還添加了多項新功能,比IPv4具有更多的技術優勢。具備更高的安全性、自動配置、提升網絡效率等。
1、網絡實名制可行
IPv6普及的另一個重要應用是網絡實名制下的互聯網身份認證。
由於IP資源豐富,在運營商為用戶辦理入網申請時,可直接為每個用戶分配一個固定的IP,實現了真實用戶與IP地址的一一對應。當一個上網用戶的IP固定之後,其上網記錄、行為將在任何時間段內有據可查。
2、更快的內容獲取速度
IPv6的地址分配遵循“聚類”原則,可使路由器在路由表中用一條記錄來表明一片子網,這樣大大減小了路由器中路由表的長度,路由器轉發數據包的速度也得到了提升,這也使得通過IPv6連接並獲取內容的速度相較IPv4更快。
3、接近無限的網絡地址
IPv6可提供接近無限的網絡地址,數量遠超IPv4,總共有2的128次方個地址能夠運用。由於地址數量龐大,哪怕只是一粒沙子,也能夠有其IP地址。
4、多宿主特性支撐5G應用
典型的IPv6設備可有多個地址,並且一個終端可同時建立多個宿主的功能,為移動的邊緣計算提供了基於源地址的分流應用。實現了移動邊緣計算的切片與隔離均可通過多條鏈路來進行。由於多宿主的特性,在切換時可先建後斷,這樣可降低數據丟包的影響,減少切換的時間,還可提升用戶體驗。在即將到來的5G時代,IPv6將會有更為廣闊的應用。
此外,IPv6還具備許多功能,在新的技能或是運用需要時,可允許協議進行擴充,運用新的選項來實現附加功能;IPv6運用更好的頭部格式,選項與基本頭部分開,若有需要,可將選項插入到基本頭部與上層數據之間,加速且簡化了路由的選擇過程。
5、實現IP層的安全
IPv6實現了IP層的安全性,用戶可對網絡層數據進行加密,且對IP報文進行校驗,確保了分組的保密性及完整性。
過去,IPSec是為了解決IPv4的安全性問題所產生的IP地址安全協議,而IPv6將IPSec納入架構中,讓IPSec直接鑲嵌在IPv6的封包中,這樣一來,不僅加強了數據與物聯網相關設備的安全性,還升級了用戶信息的安全性。
隨著5G、工業互聯網等新技術的持續演進,萬物互聯已成為未來網絡發展的主要方向,IPv6網絡應用的優勢更多體現在工業互聯網及智能家居領域,IPv6與工業互聯網、物聯網、雲計算、大數據、人工智能等融合應用將成為未來信息社會的基石。
關於我們
泛地緣科技是國家認定的高新科技企業,提供各種定製解決方案。
