因此,IPv6协议将成为电信网、移动通信网和计算机网融合的唯一纽带,也是下一代互联网最重要的关键技术之一。软交换为下一代网络提供具有实时性要求的业务呼叫控制和连接控制功能,是下一代网络呼叫与控制的核心,也是电信网和计算机网融合的关键技术。下一代互联网的核心协议IPv6在第三代移动通信中的应用研究已经开始。......
2025-09-30
IPv6中的安全性分析-下一代计算机网络技术
【摘要】:IPv6在安全性方面相对IPv4变化较大,通过在IP层设置了安全性使整个网络体系的安全性更加提高了。图4.5传输模式下AH和ESP包结构图图4.6隧道模式下AH和ESP包结构图IPv6通过利用IPSec协议加强了IP协议的安全性,即通过AH和ESP分别对IP协议提供了基于无连接的数据完整性和数据保密性保障,克服了原有IPv4在安全性方面的不足。
IPv6在安全性方面相对IPv4变化较大,通过在IP层设置了安全性使整个网络体系的安全性更加提高了。由于当IPv4协议还未成熟就大量运用于Internet,其在安全性方面的缺陷日益明显,IP信息包容易受到诸如信息报探测、IP欺骗、连接截获等攻击方法的入侵。IPv4包以明文的形式在网上传输,黑客和不怀好意的网络入侵者可以很容易地截获IPv4包并获得其内容。IPv6主要是通过两个专用的扩展报头即身份验证报头(Authentication Header,简称AH)和加密安全有效数据报头(Encapsulating Security Payload,简称ESP)来实现安全性能。AH报头用来确认IP信息报的可靠性和完整性,它可以有效地防止地址欺骗和固定字段的非法修改。ESP报头则提供数据加密封装,确保只有知道密钥的接收方才可以阅读真正的信息。两个报头可以一起使用,同时提供所有的安全功能。可以预见,安全功能的引入,将会使未来的网络更加安全可靠。
4.3.2.1 身份认证(AH)
AH头标是为了对IP数据报进行认证,以检验数据是否来自合法的发送方,同时也可以提供对Relay攻击的保护。在IPv6中,AH扩展头标的类型是51,图4.3是它的格式,相应的具体功能有如下几点:
(1)下一报头指出接在AH头标之后的下一个扩展头标的类型,它是一个8位的值。
(2)载荷长度是一个8位的字段,指出认证报头的长度。
(3)16安全参数指标的保留字用于将来扩展的需要,这个字段设置为0。
(4)安全参数指标(SPI)32位字段,其值可以是任意的。SPI值和信宿IP地址以及安全协议,是唯一的标明数据报的安全关联。
图4.3 AH头格式图
32位序列号字段是包含一个单调递增的计数器,当安全关联时,发送者和接收者的计数器值都设置为0,每收、发一个IP包序列号将递增1,递增到232后复位。接收者可以根据接收到的IP包序列号来判断IP包是否为重发包,若是则将其丢弃。
认证数据字段是一个变长字段,包含有分组的完整性校验值(Interity Chech Value,简称ICV)。这个字段的长度必须是32位(IPv4)或64位(IPv6)的整数倍,如果长度不足,可以加入一些来填充。
4.3.2.2 封装化安全净荷(ESP)
ESP头用于实现数据传输的机密性,它对需要保护的数据进行加密。它可以单独使用,也可以和AH头标一起使用。ESP的报头类型是52。在使用ESP时,ESP报头必须是在报头链表中的最后一个报头。ESP头标的格式如图4.4所示。
(1)安全性参数索引(SPI):与AH中的32位SPI值相同。通信节点使用该值来指出SA,SA用于确定数据应如何加密。接收方在收到ESP包后,根据SPI、目的地址以及安全协议ESP来处理该IP包的安全关联,取得安全参数,然后将ESP包解密。
序列号32位用来防止包重发攻击。(https://www.chuimin.cn)
加密有效数据。此字段长度可变,它实际上包含数据报的加密部分以及加密算法需要的补充数据,例如,初始化数据。
(2)填充:头的加密部分(加密有效数据)必须在正确的边界终止,因此有时需要填充。
(3)填充长度:此字段指明加密有效数据所需要填充的数据量。
(4)下一个报头:指出接在ESP头之后的下一个扩展头的类型。它是一个8位的值。
(5)认证数据:此字段是一个ICV,它对除身份验证数据本身之外的整个ESP头进行计算。
图4.4 ESP报头的结构图
ESP的加密算法默认用DES-CBC算法,就是在密码块链(Cipher Block Chaining,简称CBC)模式下应用的DES算法。DES是一个专用的密钥加密算法,通常将56位密钥应用于64位数据块,对密钥的每7位为加上一位扩展为64位。
认证报头AH和封装化安全净荷报头ESP都可以工作在传输模式,如图4.5所示和隧道模式,如图4.6所示。
图4.5 传输模式下AH和ESP包结构图
图4.6 隧道模式下AH和ESP包结构图
IPv6通过利用IPSec协议加强了IP协议的安全性,即通过AH和ESP分别对IP协议提供了基于无连接的数据完整性和数据保密性保障,克服了原有IPv4在安全性方面的不足。
相关文章
- 详细阅读
-
下一代计算机网络技术的结构详细阅读
接入设备:包括综合接入设备、无线接入网关、SIP终端、H.323终端等。图1.13NGN组网结构图软交换之间的通信协议采用独立于承载的呼叫控制协议BICC或者是SIP-T。软交换与媒体网关之间的通信协议采用H.248/Megaco/MGCP,终端与软交换之间的通信协议可以是H.323、SIP。总之,下一代互联网络是一个很广义的范畴,从组网的角度应支持更广泛的业务,同时具备如下特点:基于分组传输。可与现有网络互通。......
2025-09-30
-
下一代计算机网络技术的发展历程详细阅读
计算机网络对社会生活的方方面面以及社会经济的发展产生了不可逆转的影响。分组交换网络的出现标志着现代计算机网络的诞生。此后,ARPAnet获得了迅猛的发展,并成为日后Internet的基础。计算机网络的形成和发展历史可总结为四个阶段。ARPAnet是计算机网络技术发展中的一个里程碑,它的研究成果对促进计算机网络技术和理论体系的研究产生了重要作用,并为Internet的形成奠定了基础。......
2025-09-30
-
下一代计算机网络技术:功能全面提升详细阅读
计算机网络的功能很多,其中最主要的3个方面分别是数据通信、资源共享和分布式处理。数据通信是计算机网络最基本的功能。利用这一功能,可以实现将分散在不同地理位置的计算机用网络联系起来,进行统一的调配、控制和管理。图1.1计算机网络组成图计算机网络中的资源包括硬件资源、软件资源、数据资源和通信信道资源。因此,建立在计算机网络基础之上的分布式处理技术也已经成为计算机网络的一个重要功能。......
2025-09-30
-
下一代计算机网络技术:发展趋势详细阅读
未来电信网发展的主要趋势将包括以下方面。计算机网络的发展既受到计算机科学技术和通信科学技术的支撑,又受到运用计算机网络的那些专业领域技术的支持。计算机网络的软件技术基础主要有两种一是通信协议,另一个是开放体系结构。从计算机网络应用来看,网络应用系统将向更深和更宽的方向发展。......
2025-09-30
-
电子邮件系统在下一代计算机网络技术中的应用详细阅读
Internet电子邮件系统具有如图2.21所示的3个主要组成部分:用户代理、邮件服务器和电子邮件协议。电子邮件服务器是邮件系统的核心部分,主要功能是发送和接收电子邮件。......
2025-09-30
-
地址转换:下一代计算机网络技术详细阅读
图2.12还表示出从IP地址209.0.0.6通过ARP得出了目的主机48bit的物理地址08002B00EE0A(现在假设此主机连接在某个局域网上。可见,在计算机中应当存放一个从IP地址到物理地址的转换表,并且能够经常动态更新。地址转换协议ARP很好地解决了这些问题。也有可能查不到主机B的IP地址的项目。......
2025-09-30
-
MPLS网络与重叠模式比较-下一代计算机网络详细阅读
对于第2层交换网络技术,IP传统组网是采用重叠模型,即中间是交换网络,外围是传统路由器。而MPLS解决了重叠模式的可扩展性问题,用IP控制平面取代ATM控制平面,使中间的ATM交换机变成了一个IGP对等体。同时,通过VC合并功能,解决了重叠模式中的ATM VCC问题,减少了标签的消耗和消息的处理量。这样,MPLS使得整个网络处于第3层的控制下,真实的网络对于IP是可见的,其扩展性和管理性都得到了加强。......
2025-09-30
相关推荐