为了使移动IPv6路由优化,移动IPv6通过绑定更新、绑定确认和绑定请求以及IPv6的选路报头,不经过家乡代理直接将数据包发送到移动节点的转交地址。只有当绑定更新选项中设置A位时,明确表示需要移动节点发送此信息时才会产生这一选项。8位“选项类型”字段的值为193。图5.4绑定确认选项格式图3.绑定请求选项绑定请求选项用来请求移动节点发出绑定更新信息。......
2023-10-18
IPv6中的安全性分析-下一代计算机网络技术
【摘要】:IPv6在安全性方面相对IPv4变化较大,通过在IP层设置了安全性使整个网络体系的安全性更加提高了。图4.5传输模式下AH和ESP包结构图图4.6隧道模式下AH和ESP包结构图IPv6通过利用IPSec协议加强了IP协议的安全性,即通过AH和ESP分别对IP协议提供了基于无连接的数据完整性和数据保密性保障,克服了原有IPv4在安全性方面的不足。
IPv6在安全性方面相对IPv4变化较大,通过在IP层设置了安全性使整个网络体系的安全性更加提高了。由于当IPv4协议还未成熟就大量运用于Internet,其在安全性方面的缺陷日益明显,IP信息包容易受到诸如信息报探测、IP欺骗、连接截获等攻击方法的入侵。IPv4包以明文的形式在网上传输,黑客和不怀好意的网络入侵者可以很容易地截获IPv4包并获得其内容。IPv6主要是通过两个专用的扩展报头即身份验证报头(Authentication Header,简称AH)和加密安全有效数据报头(Encapsulating Security Payload,简称ESP)来实现安全性能。AH报头用来确认IP信息报的可靠性和完整性,它可以有效地防止地址欺骗和固定字段的非法修改。ESP报头则提供数据加密封装,确保只有知道密钥的接收方才可以阅读真正的信息。两个报头可以一起使用,同时提供所有的安全功能。可以预见,安全功能的引入,将会使未来的网络更加安全可靠。
4.3.2.1 身份认证(AH)
AH头标是为了对IP数据报进行认证,以检验数据是否来自合法的发送方,同时也可以提供对Relay攻击的保护。在IPv6中,AH扩展头标的类型是51,图4.3是它的格式,相应的具体功能有如下几点:
(1)下一报头指出接在AH头标之后的下一个扩展头标的类型,它是一个8位的值。
(2)载荷长度是一个8位的字段,指出认证报头的长度。
(3)16安全参数指标的保留字用于将来扩展的需要,这个字段设置为0。
(4)安全参数指标(SPI)32位字段,其值可以是任意的。SPI值和信宿IP地址以及安全协议,是唯一的标明数据报的安全关联。
图4.3 AH头格式图
32位序列号字段是包含一个单调递增的计数器,当安全关联时,发送者和接收者的计数器值都设置为0,每收、发一个IP包序列号将递增1,递增到232后复位。接收者可以根据接收到的IP包序列号来判断IP包是否为重发包,若是则将其丢弃。
认证数据字段是一个变长字段,包含有分组的完整性校验值(Interity Chech Value,简称ICV)。这个字段的长度必须是32位(IPv4)或64位(IPv6)的整数倍,如果长度不足,可以加入一些来填充。
4.3.2.2 封装化安全净荷(ESP)
ESP头用于实现数据传输的机密性,它对需要保护的数据进行加密。它可以单独使用,也可以和AH头标一起使用。ESP的报头类型是52。在使用ESP时,ESP报头必须是在报头链表中的最后一个报头。ESP头标的格式如图4.4所示。
(1)安全性参数索引(SPI):与AH中的32位SPI值相同。通信节点使用该值来指出SA,SA用于确定数据应如何加密。接收方在收到ESP包后,根据SPI、目的地址以及安全协议ESP来处理该IP包的安全关联,取得安全参数,然后将ESP包解密。
序列号32位用来防止包重发攻击。(www.chuimin.cn)
加密有效数据。此字段长度可变,它实际上包含数据报的加密部分以及加密算法需要的补充数据,例如,初始化数据。
(2)填充:头的加密部分(加密有效数据)必须在正确的边界终止,因此有时需要填充。
(3)填充长度:此字段指明加密有效数据所需要填充的数据量。
(4)下一个报头:指出接在ESP头之后的下一个扩展头的类型。它是一个8位的值。
(5)认证数据:此字段是一个ICV,它对除身份验证数据本身之外的整个ESP头进行计算。
图4.4 ESP报头的结构图
ESP的加密算法默认用DES-CBC算法,就是在密码块链(Cipher Block Chaining,简称CBC)模式下应用的DES算法。DES是一个专用的密钥加密算法,通常将56位密钥应用于64位数据块,对密钥的每7位为加上一位扩展为64位。
认证报头AH和封装化安全净荷报头ESP都可以工作在传输模式,如图4.5所示和隧道模式,如图4.6所示。
图4.5 传输模式下AH和ESP包结构图
图4.6 隧道模式下AH和ESP包结构图
IPv6通过利用IPSec协议加强了IP协议的安全性,即通过AH和ESP分别对IP协议提供了基于无连接的数据完整性和数据保密性保障,克服了原有IPv4在安全性方面的不足。
有关下一代计算机网络技术的文章
- 详细阅读
-
IPv6过渡问题的基本策略-下一代计算机网络详细阅读
解决IPv6过渡问题的成熟的基本技术主要有以下3种。不过双栈只允许相同IP版本之间的通信,即IPv4和IPv4之间的通信,或IPv6和IPv6之间的通信。图4.8IPv6和IPv4双协议栈模型图2.隧道技术在IPv4中封装IPv6如图4.9所示。但在IPv4数据包转换成IPv6数据包的过程中,由于IPv6头部含有扩展头部以及诸如流标签等新字段而引起的不适当的翻译,可能会导致传输性能的下降。NAT-PT还可以支持应用层网关的功能,对IPv4或IPv6的DNS请求和应答包以及FTP数据包进行转换。......
2023-10-18
-
下一代计算机网络技术:移动IPv6问题待解决详细阅读
移动IPv6还处在发展阶段,目前提出来的还只是移动解决方案的基础理论,移动IPv6的最终目标是实现全球范围的真正的移动网络,它会满足移动计算和个人通信的所有要求。2)增强TCP协议,以支持移动IP。2)Buffer Management:移动IPv6中定义了多种数据结构,在节点中需要占用一定的资源,如何有效地管理这些资源,并使之不会对现有的服务性能造成太大的影响,是一个需要研究的问题。......
2023-10-18
-
IPv4过渡到IPv6:下一代计算机网络技术详细阅读
虽然在制定IPv6已经充分考虑了和IPv4的兼容性,但是,它们不是完全兼容的。可以预见,Internet由IPv4向IPv6过渡需要一个相当长的时间才能完成,目前人们所面临的问题主要在于如何渐进的、以合理代价由目前基于IPv4的网络过渡到基于IPv6的下一代网络,并尽可能减少过渡的成本。IPv6与IPv4共存阶段:IPv6得到大规模应用,出现骨干IPv6网络,IPv6上引入大量业务。......
2023-10-18
-
IPv6的产生背景及经过-下一代计算机网络技详细阅读
IPv4的不足是改变TCP/IP和Internet并产生新IP的动机和主要原因,同时,新的计算机和通信技术的发展、新的应用、Internet规模和负载的快速增长、新的产业和国家政策是促使新IP产生的直接原因。IPv6是一个Internet协议的新版本,相对于IPv4,IPv6有了革命性的发展。认证和私有功能:IPv6包括一个扩展的定义以支持认证,数据完整性和机密性。这些就是IPv6相对于IPv4所作的改变。相信以IPv6为网络层协议的下一代网络必将在带来服务更好的、更加安全的全新的互联网。......
2023-10-18
-
IPv6局域网实验在下一代计算机网络技术中的详细阅读
4.5.4.2不同操作系统主机之间的IPv6互联为了验证各个操作系统之间IPv6协议的一致性,测试了Linux与Windows XP之间的IPv6网络互通,由于Windows 2000与Windows XP相近,所以未测试Winodws 2000。......
2023-10-18
-
全球著名IPv6实验床展示了下一代计算机网络详细阅读
IPv6标准颁布之后,全球有了实验床,一些大的电信公司也有了半商用网和商用网。示范网发展的总趋势是提供以国家乃至洲际为单位的纯IPv6连接。目前,Zama正在与NEC和其他厂商进行IPv6的测试。Euro6IX的目标是支持IPv6在欧洲迅速引入。通过大规模IPv6网络建设的部署实施及商用探索,在未来的几年内,我国将成为以IPv6为基础的下一代网络领域的领先国家。......
2023-10-18
-
下一代计算机网络技术中应用框架详细阅读
面向对象的应用框架是一种软件工程技术。它表示那些可以用来创建基于公用的基本框架应用的对象类架构。在开发企业级应用中,出现了一些较大的框架,如Sun公司的J2EE、集成网络的Java API,Microsoft的.Net技术等。这些大型框架通过为业务和应用开发提供一个公共框架,可以使众多的第3方开发商自由地对下一代网络进行开发。......
2023-10-18
相关推荐