您当前的位置: 首页 > CERNET > CERNET2 > 相关知识 |
向IPv6转移更是为了安全
|
||||
李 梅
|
||||
用户在向下一代Internet转移时考虑更多的将是安全,保证端到端的安全才是IPv6最大的优势。而做好向IPv6转移的准备是用户面临的最大挑战。 IPv6恢复了Internet自然连接状态 尽管 Internet协议——IPv4在其31年的发展历程中是非常成功的,但是它仍不可避免被新一代技术IPv6取代的命运。IP网络在当初设计时并没有想像到今天会有那么多的Internet用户。Internet之父当初也没有预想到,今天大量的Wi-Fi网上冲浪者在咖啡厅、机场、宾馆等场合在接入Internet时对安全传输也有基本的要求。 在IPv4的发展中,很多安全防范技术被忽略了。从那时开始,Internet应用的开发者不得不面对许多安全方面的挑战。IPsec安全协议就是事后发展的一种协议,而NAT(网络地址转换,Network Address Translation)使真正的端到端的安全应用难以实现。 NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,内部主机无需拥有注册的Internet地址,它解决了IP地址短缺的问题,但是却增加了安全风险。 而IPv6全面支持 IPsec,而且允许接入设备之间可以安全地鉴别远程节点和进行加密的通信。另外,IPv6中限制使用NAT,允许所有的节点使用其全球惟一的地址进行通信。原因是IPv6可以提供几乎用之不竭的地址空间,完全不需要NAT,让Internet完全回到端到端的自然连接状态空间。 另外,IPv6增强了安全性,包括自动配置、QoS和移动性,这些安全特征创建了一个新的商业模式—— 一个安全的、几乎是所有设备之间的端到端通信的互连环境,不管这些设备是固定的还是移动的。 与之形成鲜明对比的是IPv4,NAT使一个LAN中所有的用户由一个IP地址向外传输数据,其数据在LAN之外是加密的,而在内部是不加密和不安全的。 安全性铸造Internet未来 在向IPv6转移方面,中国走到了前列。2004年12月17日,中国第一个下一代Internet暨中国下一代Internet示范工程核心网(CERNET2)正式开通,这是世界上规模最大的纯IPv6 Internet。发展中国家极力倡导IPv6主要是为了解决IP地址短缺的问题。 而美国国防部(DoD)则是因为IPv6在安全方面的强势特征而支持它。DoD在2003年7月宣布,在2008财年,将全部完成向IPv6的转移;同年10月宣布,所有开发、生产、采购的网络资产都必须对IPv6说OK。 DoD断定,要满足用户对移动性和端到端安全的要求,就有必要采用IPv6。DoD的IT预算是美国政府中最多的,每年经费都达到了250亿美元,这些预算对网络安全和IPv6会产生巨大的推动力。 IPv6的支持者不同意用IPv4 地址即将消耗殆尽这样的说法推进IPv6。虽然地址空间问题是一个现实的问题,但是驱动IPv6真正进入实施阶段的因素却很多。而IPv6拥有IPv4不具备的端到端的安全才是Internet未来发展的关键。 每个士兵是一个节点 DOD已经采纳了网络中心技术(net-centric technical)发展战略。按照这一战略, 未来的战争系统需要普及的(ubiquity)、移动的、自适应的网络和安全。例如,从网络的立场看,每一个士兵都可以被看成一个节点—— 一个随车携带系统的网络中的一个节点,提供完整的实时数据。武器开火和供应数据以及其精确的位置信息都可以被及时反馈到指挥官。 士兵的健康信息如士兵的心跳速率、血压和体温数据也可以被传送到指挥中心。士兵也可以接收到同伴和敌人的位置数据,以增加对环境信息的感知,便于保护自己的生命安全。在这种应用中,数据安全(包括身份认证和加密)是非常必要的。与今天采用的军事自治系统模式和推入式广播信息模式不同,以网络为中心的战略依赖的双向的、端到端安全通信只有依靠IPv6。 对于商业用户和传统的消费者,连接到网上的设备和应用的数量是不可预测的。IPv6也扩大了家庭网络的应用空间,包括应用管理、多媒体娱乐设备和家庭安全。这些应用特别是家庭安防设施需要端到端的身份识别与数据加密。拥有IPv6,DSL和Cable modem 用户可以建立自己的家庭网络,可以远程安全地监视和控制家庭网络设备。 该做移植准备了 即使商业用户没有立即实施IPv6的计划,那么做好向IPv6转移的计划却是必不可少的,一来可以减轻IT管理者的负担,二来可以减少企业在IT投资上的失误。如果采用经过深思熟虑的方法,那么会取得更好的效果。制定的计划最长过渡时间应为3~4年。当IPv6获得大家的普遍认同时,制定过渡计划的企业向新协议移植会更迅捷。 第二,制定一个计划,简化对硬件、软件(整体采购和自己开发的)、操作系统等符合IPv6的审核过程。只要这些产品的供应商还存在和维护其产品,那么审核就不会太复杂和昂贵。大多数的硬件设备已经通过了IPv6认证,而软件产品和操作系统则必须更新和不断完善。 第三,假如没有采用必要的预防措施,那么从IPv4向 IPv6的转移有可能会出现安全漏洞。由于没有适当的物理周界安全,黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源。因此,在IPv4时代制定的安全政策和采用的安全措施在IPv6协议上也必须得到落实。向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须经过慎重的考虑和测试。 最后,几种不同的IPv4向 IPv6过渡的方式可以帮助用户的应用移植。目前,人们已经根据不同应用情景,设计了多种过渡技术和方案,为解决过渡问题准备了一系列工具。这些过渡技术方案可大致分为三类: ● IPv4/IPv6双栈技术。IPv4/IPv6双栈技术是最主要的过渡机制。在网络一侧的接入服务器上实现双栈,成为IPv4与IPv6的接入点,使终端接入IPv4与IPv6服务,以免在网络中使用额外的翻译器。 ● 隧道技术。隧道技术在一端把IPv6包封装为IPv4包的数据内容,然后在另一端解封复原成IPv6包。隧道要求在封装/解封的节点上有IPv4/IPv6双栈能力。这可能是未来采用最多的一种方式。 ● 翻译器技术。翻译器是一个处在纯IPv4终端和纯IPv6终端之间的部件,它可使这些终端之间能直接进行通信,且不需要对终端进行任何修改。 |
||||
|
||||
|
相关文章: |
|
|||
|
|||
Copyright(c)
1994-2020 CERNIC,CERNET
京ICP备15006448号-16 京网文[2017]10376-1180号
关于假冒中国教育网的声明 | 版权所有:中国教育和科研计算机网网络中心 |
|||