IPv6對現(xiàn)在網(wǎng)絡安全帶來的影響.doc

本科生畢業(yè)論文 設計 冊 學 部 信息工程學部 專 業(yè) 網(wǎng)絡工程 班 級 2009 級 1 班 學 生 張萬翔 指導教師 侯衛(wèi)紅 論文編號 2013230303022 河北師范大學匯華學院本科畢業(yè)論文 設計 任務書 編 號 2013230303022 論文 設計 題目 IPv6 對現(xiàn)在網(wǎng)絡安全帶來的影響 學 部 信息工程學部 專業(yè) 網(wǎng)絡工程 班級 2009 級 1 班 學生姓名 張萬翔 學號 2009513403 指導教師 侯衛(wèi)紅 職稱 講師 1 論文 設計 研究目標及主要任務 研究目標 IPv6 對現(xiàn)在網(wǎng)絡安全的影響 主要任務 通過 IPv6 的含義 特征 安全機制及其較 IPv4 的優(yōu)越性分析 IPv6 的現(xiàn)狀及 發(fā)展趨勢 并根據(jù) IPv6 的安全機制分析研究其對現(xiàn)有網(wǎng)絡安全的影響 2 論文 設計 的主要內(nèi)容 論文先從現(xiàn)有 IPv4 的缺點和不足分析 IPv6 的特征及其發(fā)展趨勢 然后從 IP 的安全性 IPv6 對于網(wǎng)絡層安全的增強 協(xié)議安全與網(wǎng)絡安全以及其他安全保障等四個方面分析 IPv6 的安全機制 最后在防火墻 入侵檢測 認證等方面敘述 IPv6 對現(xiàn)有網(wǎng)絡安全的 影響 3 論文 設計 的基礎條件及研究路線 基礎條件 通過圖書館閱覽室及上網(wǎng)查閱資料 研究路線 首先概述 IPv6 及其現(xiàn)狀和發(fā)展趨勢 突出了 IPv6 的特性和發(fā)展前景 然后 從四個方面對 IPv6 的安全架構進行分析 最后根據(jù) IPv6 的安全機制逐條分析其對現(xiàn)有 網(wǎng)絡安全的影響 4 主要參考文獻 1 Y Rekhter CIDR and Glassful Routing RFC817 S IETF 1995 2 Pete Ldshin IPv6詳解 M 機械工業(yè)出版 2000 3 Sandeep Knmar CLASSIFICATION AND DETECTION OF COMPUTER INTRUSIONS PhD thesis M Purdue University 2010 5 計劃進度 階段起止日期 1 開題2012 11 15 2 收集資料2012 11 15 2013 02 01 3 完成初稿2013 02 01 2013 03 20 4 修改 完成二稿2013 03 20 2013 04 20 5 定稿 答辯2013 04 20 2013 05 15 指 導 教師 2012 年 12 月 20 日 教研室主任 年 月 日 河北師范大學匯華學院本科生畢業(yè)論文 設計 開題報告書 信息工程 學部 網(wǎng)絡工程 專業(yè) 2013 屆 學生 姓名 張萬翔 論文 設 計 題目 IPv6 對現(xiàn)在網(wǎng)絡安全帶來的影響 指導 教師 侯衛(wèi)紅 專業(yè) 職稱 講師 所屬教 研室 網(wǎng)絡工程 研究 方向 計算機應用 課題論證 見附頁 方案設計 首先闡述了 IPv6 的含義及特征 通過比較 IPv4 和 IPv6 的功能和特點分 析了 IPv6 的現(xiàn)狀和發(fā)展趨勢 然后通過對現(xiàn)行 IP 的安全性 IPv6 對于網(wǎng)絡層安全的 增強 協(xié)議安全與網(wǎng)絡安全以及其他安全保障等方面詮釋了 IPv6 的安全機制 最后 從防火墻 入侵檢測 取證等方面分析了 IPv6 的安全機制對現(xiàn)有網(wǎng)絡安全體系的影 響 進度計劃 2012 11 15 開題 2012 11 15 2013 02 01 收集資料 2013 02 01 2013 03 20 完成初稿 2013 03 20 2013 04 20 修改 完成二稿 2013 04 20 2013 05 15 定稿 答辯 指導教師意見 指導教師簽名 2012 年 12 月 20 日 教研室意見 教研室主任簽名 2012 年 12 月 20 日 河北師范大學本科生畢業(yè)論文 設計 開題報告 附頁 課題論證 一 國內(nèi)外研究現(xiàn)狀和研究背景 隨著互聯(lián)網(wǎng)的迅速發(fā)展 IPv4 定義的有限地址空 間消耗速度正在逐年加快 雖然采取了許多節(jié)約地址的方法 這些方法同時也帶來了安 全等其他方面的問題 但據(jù) IETF Internet 工程任務組 估計 按照互聯(lián)網(wǎng)現(xiàn)在的 發(fā)展速度 IPv4 地址仍將會在 2005 2010 年間被分配完畢 IPv6 互聯(lián)網(wǎng)協(xié)議版本 6 就是在這種情況下應運而生的 日本是發(fā)展 IPv6 最早的國家之一 也是發(fā)展 IPv6 速度 最快的國家 由于錯過了上世紀互聯(lián)網(wǎng)與移動通信的發(fā)展機會 因此日本政府決心利用 3G 和 IPv6 的發(fā)展契機急起直追 使日本重新回到在通信 電子領域全球最先進國家行 列 日本政府對 IPv6 的發(fā)展極為重視 甚至把 IPv6 技術的發(fā)展作為政府 超高速網(wǎng)絡 建設和競爭 的一項基本政策 并在 2001 年 3 月的 e Japan 重點計劃 中確定了于 2005 年完成互聯(lián)網(wǎng)向 IPv6 過渡的目標 日本政府自 1992 年起就開始進行 IPv6 的研發(fā)和 標準化工作 并且取得了相當大的成果 在研發(fā)和應用方面都屬于世界前列 我國是 IPv6 研究工作啟動較早的國家之一 我國政府對 IPv6 在我國的發(fā)展也高度 重視 中國教育科研網(wǎng) CERNET 于 1998 年建立了國內(nèi)第一個 IPv6 試驗床 CERNETv6 標志著我國 IPv6 研究工作進入了實質(zhì)階段 隨后 我國政府又開展了一系列 IPv6 研究 項目和相關工作 1999 年 國家自然科學基金聯(lián)合項目 中國高速互聯(lián)研究試驗網(wǎng) NSFCNET 啟動 2002 年 信息產(chǎn)業(yè)部 下一代 IP 電信實驗網(wǎng) 6TNet 項目啟動 科技部 863 信息領域?qū)ｍ?高性能寬帶信息網(wǎng) 3Tnet 啟動 2003 年 信息產(chǎn)業(yè)部 頒發(fā)首張 IPv6 核心路由器入網(wǎng)試用批文 由鄔賀銓院士出任專家組組長的中國下一代 互聯(lián)網(wǎng)示范項目 CNGI 全面啟動 協(xié)和醫(yī)院等 SARS 定點醫(yī)院采用 IPv6 新一代網(wǎng)絡 遠程醫(yī)療 探視系統(tǒng) 標志著我國 IPv6 已經(jīng)開始進入商業(yè)試用階段 二 課題研究的內(nèi)容 首先介紹新一代網(wǎng)絡協(xié)議 IPv6 從其地址構成 優(yōu)點等方面 進行論述 對其頭部進行分析 說明 ICMPv6 的一些知識 對 IPv6 的網(wǎng)絡安全進行了概 述 然后分析研究網(wǎng)絡安全技術 主要介紹防火墻技術 虛擬專用網(wǎng)和入侵檢測技術 對 IPv6 網(wǎng)絡安全系統(tǒng)進行論述 其次對 Linux 中 IPv6 協(xié)議棧進行分析研究 分析說明 Linux 內(nèi)核中幾個重要的結構 對 Linux 網(wǎng)絡設備初始化和路由系統(tǒng)進行論述說明 最 后基于對 Linux 中 IPv6 協(xié)議棧的分析設計實現(xiàn)一個 IPv6 環(huán)境下的基于狀態(tài)檢測的包過 濾防火墻 設計其整體架構 對其中重要模塊實現(xiàn)流程進行了分析 進行仿真測試 三 課題研究的意義 隨著移動互聯(lián)網(wǎng) 物聯(lián)網(wǎng) 三網(wǎng)融合等研究的開展 下一代 互聯(lián)網(wǎng)研究正在如火如荼地展開 IPv6 作為下一代互聯(lián)網(wǎng)的基礎協(xié)議 自然也是研究的 熱點 未來的競爭是價值鏈之間的競爭 因此 我國應該繼續(xù)極大 IPv6 發(fā)展的力度 通 過政府的統(tǒng)籌規(guī)劃和宏觀指導 設備制造商 應用提供商 運營商 業(yè)務提供商等的精 誠協(xié)作 有步驟 有計劃 分階段 分層次地推動 IPv6 的發(fā)展 首先把國內(nèi)的價值鏈 做大做強 使得整個行業(yè)能夠協(xié)調(diào)發(fā)展起來 這樣才能使我國獲得戰(zhàn)略性的整體競爭優(yōu) 勢 實現(xiàn)我們強國的夢想 四 研究方案及其可行性 具體的研究采用文獻資料 綜合運用大學階段學習的數(shù) 學分析課程的有關知識 通過專家調(diào)研和文獻調(diào)研 結合互聯(lián)網(wǎng)上查到的相關資料和個 人 組織在各種刊物上發(fā)表的研究函數(shù)列一致可積中存在的問題與解決方法的文章 并 向相關專業(yè)教師特別是指導老師當面請教 河北師范大學匯華學院本科生畢業(yè)論文 設計 文獻綜述 隨著電子技術及網(wǎng)絡技術的發(fā)展 計算機網(wǎng)絡將進入人們的日常生活 可能身邊的 每一樣東西都需要連入全球因特網(wǎng) 目前我們使用的第二代互聯(lián)網(wǎng) IPv4 技術 核心技術 屬于美國 它的最大問題是網(wǎng)絡地址資源有限 從理論上講 IPv4 技術可使用的 IP 地址 有 43 億個 其中北美占有 3 4 約 30 億個 而人口最多的亞洲只有不到 4 億個 中國 只有 3 千多萬個 只相當于美國麻省理工學院的數(shù)量 地址不足 嚴重地制約了我國及其 他國家互聯(lián)網(wǎng)的應用和發(fā)展 但是與 IPv4 一樣 IPv6 一樣會造成大量的 IP 地址浪費 準 確的說 使用 IPv6 的網(wǎng)絡并沒有 2 128 1 個能充分利用的地址 首先 要實現(xiàn) IP 地址的 自動配置 局域網(wǎng)所使用的子網(wǎng)的前綴必須等于 64 但是很少有一個局域網(wǎng)能容納 2 64 個網(wǎng)絡終端 其次 由于 IPv6 的地址分配必須遵循聚類的原則 地址的浪費在所難免 但是 如果說 IPv4 實現(xiàn)的只是人機對話 而 IPv6 則擴展到任意事物之間的對話 它不 僅可以為人類服務 還將服務于眾多硬件設備 如家用電器 傳感器 遠程照相機 汽 車等 它將是無時不在 無處不在的深入社會每個角落的真正的寬帶網(wǎng) 而且它所帶來的 經(jīng)濟效益將非常巨大 由lP地址危機產(chǎn)生和發(fā)展起來的IPv6作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)得到了各方的公認 未來互聯(lián)網(wǎng)的發(fā)展離不開IPv6的支持和應用 正因為如此 目前各方面都在加緊對IPv6的 研究和應用開發(fā) 但是 IPv6的發(fā)展主要依靠政府和廠商兩方面的支持 1 政府支持 許多國家對IPv6技術都已經(jīng)引起足夠的重視 并且都采取了一些切實 可行的措施 尤其是一些歐洲國家 作為互聯(lián)網(wǎng)絡的發(fā)源地 美國也在積極地進行IPv6的 研究和建設 中國對于IPv6技術的態(tài)度也是很積極的 并且在部分地區(qū)實行了網(wǎng)上實驗 進一步推動中國IPv6的開展 中國政府也密切關注著IPv6的發(fā)展 目前中國高校和科研機 構已經(jīng)與國外一些運營商合作 對IPv6進行研究實驗 為進一步發(fā)展IPv6技術 中國政府 也投入了相當數(shù)量的資金 然而 該協(xié)議在巾國的大規(guī)模應用還要有一段時間 2 廠商支持 IIJv6作為下一代互聯(lián)網(wǎng)協(xié)議已經(jīng)引起了各地區(qū) 各運營商的足夠重視 因為所有人都已經(jīng)認識到這樣一種前景 誰能夠率先在IPv6方面有所作為 誰就能夠在 未來的競爭中占據(jù)有利位置 在眾多的設備提供商和運營商的努力下 IPv6協(xié)議已經(jīng)從實 驗室走向了應用階段 已經(jīng)有50多個國家和地區(qū)加入有關IPv6的研究 法 日 美等國的 研究機構 IBM Sun 日立等公司 分別研制開發(fā)了不同平臺上的IPv6系統(tǒng)軟件和應用 軟件 美國思科 加拿大北電網(wǎng)絡 Nokia等路由器廠商已經(jīng)開發(fā)出了面向IPv6網(wǎng)絡的路 由器產(chǎn)品 操作系統(tǒng)方面 基于開放源碼的Linux對IPv6提供了比較強的支持 Sun IBM 康柏 惠普和微軟的最新操作系統(tǒng)都提供了IPv6支持 IP網(wǎng)處于一個重要發(fā)展 階段 IP網(wǎng)從計算機互聯(lián)網(wǎng)領域進入電信領域 期望將全部電信業(yè)務綜合到IP網(wǎng)上 當然 能完全綜合電信業(yè)務的IP網(wǎng)不是簡單地將現(xiàn)有Internet網(wǎng)用的IP技術搬過來 在網(wǎng)絡節(jié) 點設備做一些冗余備份以增加網(wǎng)元設備的穩(wěn)定性就可以完成 IP網(wǎng)必須要有革命性的變 化 這是因為 電信網(wǎng)和Internet網(wǎng)的理念不一樣 電信網(wǎng)是提供商業(yè)服務的 它提供的 電信服務是一種商品 因而它要保證服務質(zhì)量 要有足夠的安全性 可靠性和能夠確保 售后服務能力 它必須有很強的可管理性和可維護性 用電信網(wǎng)的設計理念設計的IP網(wǎng)是 1P電信網(wǎng) IP技術一旦進入電信領域 首當其沖的問題是地址問題 IP電信網(wǎng)是要能持續(xù) 發(fā)展的 IPv4無法支持持續(xù)發(fā)展 因而使用IPv6勢在必行 寬帶接入網(wǎng)在國內(nèi)發(fā)展勢頭很 猛 寬帶接入網(wǎng)遇到的最大困難是IP地址問題 由于業(yè)務特征的不同 窄帶業(yè)務與寬帶業(yè) 務有很大的差別 窄帶業(yè)務一般以不對稱和非實時方式工作 典型的業(yè)務是信息檢索和 電子信箱 用戶無需永遠在線 用戶使用時在線 用戶不用時離線 寬帶業(yè)務一般以對 稱和實時方式工作 典型的業(yè)務是電話 會議電視 信息點播等 業(yè)務的對稱性就決定 寬帶用戶必須是永遠在線的 如果不是永遠在線 其他用戶就找不到它 對稱業(yè)務就無 法開展 永遠在線 就意味著用戶必須至少擁有一個lP地址 目前采用的辦法是網(wǎng)絡地址 轉(zhuǎn)換 NAT 技術 或利用端lZt復用技術 或使用私有l(wèi)P地址 來擴大公開IP地址的使用 率 這是一個不得已而為之的技術 存在的弊病很多 問題很大 無線數(shù)據(jù)業(yè)務的迅速增 長和快速發(fā)展 同樣提出對lP地址的要求 地址問題的解決迫在眉睫 它將要嚴重的影 響通信產(chǎn)業(yè)的發(fā)展 這也要求將IPv6的使用提到日程上來 CNGI項日的啟動 對于我國發(fā) 展IPv6來說 是一個很好的契機 CNGI項目的目標之一是期望通過示范網(wǎng)引導國內(nèi)信息 產(chǎn)業(yè)的發(fā)展 CNGI不直接與短期經(jīng)濟利益掛鉤 而是從國家的長遠利益來考慮問題 從 發(fā)展的眼光來指導產(chǎn)業(yè)的進步 當然 目前IPv6技術上還不成熟 IPv6的設備的性能還不 及IPv4的性能 IPv6網(wǎng)的性能還達不到目前IPv4網(wǎng)的性能 僅靠IPv6還解決不了IP網(wǎng)的 三大頑疾 商業(yè)模型問題 安全問題和服務質(zhì)量問題 存在的問題很多 用什么技術路線 去實現(xiàn)CNGI的目標 目前還不明確 CNGI項目將會面臨巨大的挑戰(zhàn) 另一方面 CNGI項 目擁有巨大的創(chuàng)新機遇 對CNGI項目來說 機遇與挑戰(zhàn)并存 作為一個互聯(lián)網(wǎng)和移動通信 大國 在下一代互聯(lián)網(wǎng)標準和資源分配中占領主動地位是目前我國信息產(chǎn)業(yè)發(fā)展的重中 之重 IPv6作為互聯(lián)網(wǎng)的核心基本技術 將帶動大量相關技術和服務的發(fā)展 提升信息產(chǎn) 業(yè)的整體實力 為巾國的毹息產(chǎn)業(yè)帶來新的發(fā)展機遇 河北師范大學匯華學院本科生畢業(yè)論文 設計 翻譯文章 網(wǎng)絡安全 在計算機網(wǎng)絡最初出現(xiàn)的幾十年里 它主要用于在各大學的研究人員之間傳送電子郵件 以及共同合作的職員間共享打印機 在這種條件下 安全性未能引起足夠的注意 但是 現(xiàn)在 眾多的普通市民使用網(wǎng)絡來處理銀行事物 購物和納稅 網(wǎng)絡安全逐漸成為一個 潛在的巨大問題 以下將從不同的角度來介紹網(wǎng)絡安全性 1 簡介 安全性是一個涉及面很廣的問題 其中也涉及到是否構成犯罪行為的問題 大多數(shù) 安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人兒故意引起的 網(wǎng)絡安全性可以被粗略地分為 4 個相互交織的部分 保密 鑒別 反拒認以及完整 性控制 保密是指保護信息不被未授權者訪問 這是人們在談論網(wǎng)絡安全性時最常想到 的問題 鑒別主要指在揭示敏感信息或進行事務處理之間先確認對方的身份 反拒認主 要與簽名有關 當你的客戶下了一份要采購 1000 萬雙手套的訂單 后來她宣稱每雙的價 格是 69 美分 如何證明她原先答應的價格是 89 美分呢 最后如何確定自己收到的消息 是最初發(fā)送的那條消息 而不是被有惡意的敵人篡改或偽造過的呢 所有這些問題 保 密 鑒別 反拒認和完整性控制 也發(fā)生在傳統(tǒng)的系統(tǒng)中 但卻有很大的差別 在討論解決方法之前 值得花些時間考慮網(wǎng)絡安全性屬于協(xié)議組的哪一部分內(nèi)容 可能無法確定一個單獨的位置 因為安全性與每一層都有關 2 傳統(tǒng)加密技術 在計算機出現(xiàn)之前 加密的主要困難之一是譯碼員的譯碼能力 尤其是在裝備簡陋 的戰(zhàn)場 另一個困難是從一種加密方法到另一種加密方法的轉(zhuǎn)換 因為這需要重新訓練 一大批人 然而 由于敵人可能俘獲譯碼員 故而快速更換加密方法是基本要求 要加密的信息成為明文 經(jīng)過以密鑰為函數(shù)的參數(shù)加以轉(zhuǎn)換 加密過程的輸出 即 密文 再由傳令兵或無線電進行發(fā)送 假定敵人或稱侵犯者 聽到或準確復制了全部的 電文 但是她不像合法接受者那樣能知道密鑰 因而不能輕易地破譯密文 有時候侵犯 者不僅監(jiān)聽通信信道 被動侵犯者 而且還要記錄信息供以后重放 并要在信息到達接 收者之前插入自己的信息或修改合法信息 主動侵犯者 破譯密碼被稱作密碼分析 設 計密碼 加密 和破譯密碼 解碼 的技術統(tǒng)稱為密碼學 要想實現(xiàn)真正的保密就必須設計出性能良好的密鑰 其長度是要考慮的主要問題 例如一個簡單的組合鎖 基本原理是用戶輸入數(shù)字序列 每個人都知道這點 但密鑰是 保密的 一個 2 位數(shù)字的密鑰意味著有 100 種可能性 一個 3 位數(shù)字的密鑰意味著有 1000 種可能性 一個 6 位數(shù)字的密鑰則意味著有 100 萬種可能性 密鑰越長 破譯者需 要處理的工作因子越高 通過密鑰空間的窮舉搜索來破譯系統(tǒng)的工作因子與密鑰長度成 指數(shù)關系 保密性由強有力 但公開 的算法和長密鑰來保證 為了防止其她人讀取你 的電子郵件 需要 64 位的密鑰 為了防止主要政府部門陷入絕境 至少需要 256 位的密 鑰 3 兩條基本加密原則 盡管下面將要討論多種不同的加密系統(tǒng) 但所有這些系統(tǒng)卻都基于兩條重要的原則 第 1 條是所有的加密消息都包含有冗余的信息 即對于這條消息的理解無幫助的信 息 下面通過一個例子說明為什么這是必需的 一家名叫 Couch Potato TCP 的郵件訂單 公司 擁有 60000 件產(chǎn)品 假設她們的效率很高 TCP 的程序員決定訂單信息由 16 字 節(jié)的用戶名和 3 字節(jié)數(shù)據(jù)組成 1 字節(jié)數(shù)量 2 字節(jié)產(chǎn)品號 最后 3 字節(jié)使用很長的密 鑰加密 此密鑰只有客戶和 TCP 知道 最初看來這似乎很安全 因為被動的入侵者無法解密信息 不幸的是 存在著一個 致命的缺點是它毫無用處 假設一個最近被解雇的雇員想要報復 TCP 在離開時 她帶 走了部分的客戶名單 她通宵達旦地工作 編寫一個程序來生成使用真實客戶名的假訂 單 由于她不知道密鑰 她在最后 3 字節(jié)填上隨機數(shù) 并發(fā)了上百份訂單給 TCP 當 TCP 收到這些信息時 計算機通過客戶名來確定密鑰并對信息解碼 糟糕的是 由于幾乎每條 3 字節(jié)信息都是有效的 所以計算機開始打印出發(fā)貨的命令 盡管一個客 戶訂購 137 套小孩的秋千或 240 個沙盒看上去很奇怪 但計算機可能認為客戶打算開一 批獲得特許的游樂園 通過這種方法 一個主動地入侵者 被解雇者 會引起巨大的麻 煩 盡管她不了解自己的計算機產(chǎn)生的信息 這個問題可以通過對消息增加冗余來解決 但是 增加冗余也使破譯者更容易破譯信息 由此可知 加密原則本身就是所有信息必須包含冗余信息以防止積極的入侵者欺騙 接受者 使接受者獲得錯誤的信息 但是 同樣的冗余信息使消極入侵者破壞系統(tǒng)更容 易 因此 這里還是存在一些問題 另外 冗余信息絕對不能采取在信息的開頭或末尾 設置 n 個零的形式 因為用某些加密算法加密這樣的信息會使得結果更加容易推測 從 而使破譯者的工作更為容易 對冗余來說 隨機的英文單詞串更好一些 第 2 條加密原則是必須采取措施來防止主動入侵者發(fā)回舊的信息 如果不采取這樣 的措施 那么被解雇者就可能竊聽 TCP 的電話 并且不斷地發(fā)送已經(jīng)發(fā)送過的有效信息 4 鑒別協(xié)議 鑒別是驗證通信對象是原定的那位而不是冒名頂替者的技術 驗證遠程過程實體是 否是一個惡意的積極入侵者十分困難 并需要基于密碼學的復雜協(xié)議 本部分我們將研 究幾個用于不安全的計算機網(wǎng)絡中的鑒別協(xié)議 另外 有些人弄混了授權與鑒別 鑒別關心的是是否在和一個特定的進程進行通信 授權關心的是允許此進程做什么 例如 一個客戶進程向一個文件服務器發(fā)出請求 我 是 Scott 的進程 我想要刪除文件 Cookbook old 從文件服務器的觀點看來 有兩個問 題必須回答 這是否確實是 Scott 的進程 鑒別 允許 Scott 刪除 Cookbook old 嗎 授權 只有在對這兩個問題都做出了肯定答復后 請求的動作才會執(zhí)行 前一個問題是關 鍵問題 一旦文件服務器知道自己與誰通話 查看授權就成為了一個僅僅是查看本地表 的問題 For the first few decades of their existence computer networks were primarily used by university research for sending email and by corporate employees for sharing printers Under these condition security did not get a lot of attention But now as million of ordinary citizens are using networks for banking shopping and filing their tax returns network security is looming on the horizon as a potentially massive problem In the following sections we will study network security from several angles Network Security Technology 1 Introduction Security is a broad topic and covers a multitude of sins Most security problem are intentionally caused by malicious people trying to gain some benefit or harm someone Network security can be roughly divided into four interwoven parts confidentiality identification refused to recognize and integrity control Privacy is refers to protect information from the grantee not access this is most often think of when people talk about network security problem Identification mainly refers to between reveal sensitive information or for the transaction to confirm the identity of the other first Anti refused to recognize the main associated with signature when your clients under the order for a want to buy 10 million pairs of gloves and she later claimed that each pair is the price of 69 cents 89 cents is the price of how to prove that she had promised to Finally how to determine whether your received message is first sent that message rather than being malicious tampering or forgery of enemy All of these problems confidentiality identification refused to recognize and integrity control also occurred in the traditional system but there s a big difference Prior to discuss solutions it is worth taking a moment to consider network security is which part of the contents of the protocol group May not be able to identify a single location security and a layer 2 Traditional Cryptography Before the advent of the computer one of the major difficulties of encryption The decoder decoding capability especially in poorly equipped battlefield Another difficulty is the conversion of an encryption method an encryption method to retrain because it requires a large number of people However since the enemy may capture decoding members hence the quick change encryption method is a basic requirement Become clear the information to be encrypted key as a function of parameters to convert The output of the encryption process i e the ciphertext and then by a messenger or radio transmission Assume that the enemy or alleged violations to hear or accurate copy of the message but she was not a legitimate recipient as know the key and thus can not easily decipher the ciphertext sometimes violating not only listening to the communication channel passive offenders but also to record the information for later playback and insert your own information or to modify the legal information active offenders before the information reaches the recipient Decipher the password is called cryptanalysis Design password encryption and decipher the password decoding technology collectively referred to as cryptography In order to achieve real confidentiality must design a good key its length is a major consideration For example a simple combination lock the basic principle is the user to enter a sequence of numbers everyone knows this but the key is kept secret A 2 bit digital key means that there are 100 possibilities A 3 digit key means 1000 possibilities A 6 digit key means that there are 100 million possible combinations The longer the key the higher the factor decipher need to be addressed System to decipher the work factor and key length exponential relationship through an exhaustive search of the key space Confidentiality is guaranteed by the strong public algorithms and long keys In order to prevent her to read your e mail you need a 64 bit key desperate to prevent major government departments need at least a 256 bit key 3 Two Fundamental Cryptographic Principles Although the following will be discussed a variety of different encryption system but all of these systems are nothing but based on two important principles The first is all encrypted messages contain redundant information that is no help in the understanding of this message The following is an example of why this is necessary Company called Couch Potato TCP mail order company with 60 000 Assuming their high efficiency TCP programmer determines the quantity of the order information from the 16 bytes of the user name and 3 bytes of data 1 byte 2 bytes Number The last 3 bytes long encryption key This key customers and TCP know Appears at first sight this seems to be very safe because passive intruder can not decrypt the message Unfortunately there is a fatal flaw is that it is useless Assume a dismissed employee wants revenge TCP When they left she took the part of the customer list Her work through the night to write a program that creates a false orders using real customer name Because she does not know the key she fill in the last 3 bytes of random numbers concurrent hundreds of orders to TCP When TCP receives this information the computer to determine the key and decode the information by customer name Bad because almost every 3 bytes are valid so the computer to start printing Example command Although a customer orders 137 sets of children s swing or 240 sandbox seem odd but the computer that the customer intends to open a number of license amusement park In this way an active intruder dismissal can cause a great deal of trouble even though she did not understand their own computer generated information This problem can be solved by adding redundancy to the message to However increasing the redundancy to decipher it easier to decipher the information Therefore encryption principle is that all information must contain redundant information in order to prevent an active intruder to deceive the recipient the recipient of wrong information However the same redundant information so that the system of negative intruders easier so here there are some problems In addition redundant information must not be taken at the beginning or the end of the set in the form of the n zeros because some of the encryption algorithm such information will make the results easier to speculate to decipher the work easier Redundant random English word train better The second encrypted principles must take measures to prevent active intruders back to the old information If you do not take such measures was fired eavesdropping the TCP telephone and send the information has been sent 4 Secret Key Algorithms Identification is to verify that the communication object is the original who is not an impostor technology Verify that the remote procedure whether an entity is a malicious intruder positive is very difficult and requires complex protocols based on cryptography In this section we will study several authentication protocol for insecure computer network In addition some people confused authorization and authentication The concern is to identify whether a particular process communication The authorized concern is to allow this process to do what For example a client process makes a request to a file server I am the process of Scott I want to delete a file Cookbook old From the file server point of view two questions must be answered Are you sure you Scott process identification Allow Scott to delete Cookbook old authorization Only in these two issues have made a positive reply the requested action will be executed before a problem is the key issue Once the file server know who to call view authorized to become a just view the local table 本科生畢業(yè)論文設計 IPv6IPv6 對現(xiàn)在網(wǎng)絡安全帶來的影響對現(xiàn)在網(wǎng)絡安全帶來的影響 作者姓名 張萬翔 指導教師 侯衛(wèi)紅 所在學部 信息工程學部 專 業(yè) 網(wǎng)絡工程 班級 屆 2009 級 1 班 二 一三年五月一日 目 錄 中文摘要 關鍵字 I 1 緒論 1 1 1 IPV6 概述 1 1 2 IPV6 的發(fā)展現(xiàn)狀與趨勢 2 2 IPV6 的安全機制 6 2 1 現(xiàn)行 IP 的安全性 6 2 2 IPv6 對于網(wǎng)絡層安全的增強 7 2 2 1 認證報頭 7 2 2 2 封裝化安全凈荷 8 2 3 協(xié)議安全與網(wǎng)絡安全 8 2 4 其他安全保障 9 3 IPV6 的安全機制對現(xiàn)有網(wǎng)絡安全體系的影響 9 3 1 防火墻 10 3 2 入侵檢測 11 3 3 取證 11 3 4 其他 12 5 IPv6 提高網(wǎng)絡安全性同時面臨新問題 12 參考文獻 13 英文摘要 關鍵字 II IPv6 對現(xiàn)在網(wǎng)絡安全帶來的影響 摘要 本文介紹了 IPv6 的現(xiàn)狀和發(fā)展趨勢 安全網(wǎng)絡架構 并通過對比 IPv4 協(xié)議與 IPv6 協(xié)議體現(xiàn) IPv6 的安全機制對現(xiàn)有網(wǎng)絡安全體系的影響 IPv6 不但解決了當今 IP 地 址匱乏的問題 并且由于它引入了認證和加密機制 實現(xiàn)了基于網(wǎng)絡層的身份認證 確 保了數(shù)據(jù)包的完整性和機密性 因此 可以說 IPv6 實現(xiàn)了網(wǎng)絡層安全 但是 這種安全并 不是絕對的 并且由于 IPv6 的安全機制給當前的網(wǎng)絡安全體系帶來了新的挑戰(zhàn) 致使許 多在現(xiàn)有的網(wǎng)絡中對保護網(wǎng)絡安全中起著重要作用的工具受到了巨大的沖擊 急需安全 專家進一步研究和積累經(jīng)驗 盡快找出合適的方法解決 關鍵詞 IPv6 網(wǎng)絡安全 影響 IPv6 對現(xiàn)在網(wǎng)絡安全帶來的影響 1 緒論 由于 IPv4 在設計之初在資源限制上較為保守 所以現(xiàn)在 Internet 的爆炸性增長引發(fā) 了網(wǎng)絡地址不足的危機 并且這個危機正日益嚴重 按目前入網(wǎng)主機的增長速度 預計 到 5 年左右 IP 地址將將被耗盡 另一方面 出于安全和私密性的考慮 越來越多的商業(yè) 機構和政府部門不再愿意在不安全的網(wǎng)絡上發(fā)送他們敏感的信息和進行明文的交流 從 而導致對于加密認證的需求飛速增長 為了解決這些問題 IETF 從 1992 年起就開始了 相關的研究 并于 1994 年提出了 IPng 建議草案 1995 年底 IETF 提出了正式的協(xié)議規(guī)范 這個規(guī)范又經(jīng)過進一步的修改 成為今天的 IPv6 IPv6 采用了 128 位的地址空間 徹底 解決 IPv4 地址不足的問題 為了加強安全性 IPv6 中定義了認證報頭 Authentication Header AH 和封裝化安全凈荷 Encapsulating Security Payload ESP 從而使在 IPv4 中僅僅作為選項使用的 IPsec 協(xié)議成為 IPv6 的有機組成部分 IPsec 提供了兩種安全機制 加密和認證 加密是通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性 以防數(shù)據(jù)在傳輸過程中被 他人截獲而失密 認證使得 IP 通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù) 據(jù)在傳輸過程中是否遭到改動 可以說 正是由于 IPsec 的引入 使得 IPv6 在網(wǎng)絡層的安 全性上得到了很大的增強 但是它的應用也帶來的一些新的問題 并且對于現(xiàn)行的網(wǎng)絡安 全體系提出了新的要求和挑戰(zhàn) 1 1 IPv6 概述 IPv6 Internet Protocol Version 6 是 IETF 設計的用于替代現(xiàn)行版本 IPv4協(xié)議的下一代 IP 協(xié)議 目前的全球因特網(wǎng)所采用的協(xié)議族是 TCP IP 協(xié)議族 其網(wǎng)絡層的協(xié)議就是 IP 同時也是 TCP IP 協(xié)議族的核心協(xié)議 隨著電子網(wǎng)絡技術的發(fā)展 計算機將逐漸進入 人們的日常生活 我們的生活點滴都將進入 Internet 正是在這樣的環(huán)境下 IPv6應運而 生 IPv6是可以無限制地增加 IP 網(wǎng)址數(shù)量 并且擁有卓越網(wǎng)絡安全性能和巨大網(wǎng)址空間 等特點的新一代互聯(lián)網(wǎng)協(xié)議 特點表現(xiàn)為 1 地址空間巨大 IPv6地址空間由 IPv4的32位擴大到128位 地址空間增大了2的96 次方倍 2 地址層次豐富且分配合理 IPv6的終端管理機構將某一確定的 TLA 分配給某些骨 干網(wǎng)的 ISP 然后骨干網(wǎng) ISP 再有選擇性地為各個中小 ISP 分配 NLA 而 Internet 用戶則 從中小 ISP 獲得單一的 IP 地址 3 靈活的 IP 報文頭部格式 IPv6用固定格式的擴展頭部取代了 IPv4中可變長度的 選項字段 并且選項部分的出現(xiàn)方式也有所變化 4 提高 lP 層網(wǎng)絡安全性能 IPv6 要求強制實施 Internet 網(wǎng)絡安全協(xié)議 IPSec 并將 其標準化 該協(xié)議支持驗證頭協(xié)議 封裝安全性載荷協(xié)議和密鑰交換 IKE 協(xié)議 這 3 種 協(xié)議將是未來因特網(wǎng)的安全標準 IPv6 除擁有上述特性以外 還具有無狀態(tài)自動配置 簡化報文頭部格式 支持多類型服務以及允許協(xié)議繼續(xù)演變等特性 1 2 IPv6 的發(fā)展現(xiàn)狀與趨勢 目前我們正在使用的互聯(lián)網(wǎng)是建立在 IPv4 協(xié)議 互聯(lián)網(wǎng)協(xié)議版本 4 基礎之上的 IPv4 采用 32 位地址長度 只有大約 43 億個地址 隨著互聯(lián)網(wǎng)的迅速發(fā)展 IPv4 定義的 有限地址空間消耗速度正在逐年加快 雖然采取了許多節(jié)約地址的方法 這些方法同時 也帶來了安全等其他方面的問題 但據(jù) IETF In