基于IPv6的下一代网络技术的特征分析

 随着IPv4地址的耗尽，以及网络接入用户的不断庞大，向IPv6过渡已经是势在必行，IPv6作为新一代的网络协议，不仅具有海量的IP地址资源，而且由于其数据包可以更大，从而实现更可靠、更快速地进行数据的传输，同时通过在数据报头中添加流标记和业务级别大大地改善QoS，且任何设备接入IPv6后即可获取相应的设置，大大地简化用户操作，满足移动性等要求，最重要的一点是，IPv6通过IPSec实现更高的安全性，实现了网络层的安全，但是这种安全并不绝对的，在新一代互联网中的安全威胁，还需要这个领域的专家找到完整的解决方案。

2.IPv6关键技术研究

由于现阶段几乎所有的主流应用都是基于IPv4网络协议开发的，而新的IPv6协议与IPv4协议并不兼容，因此为了保障业务的连续性，也为了保障最终用户的上网体验，两个网络的并存需要持续很长一段时间，因此两网如何实现过渡和互通，成为运营商、数据中心和内容提供商关注的焦点，以下将就目前现存且常用的IPv4向IPv6过渡的几项关键技术作简单介绍。

2.1 双栈技术

所谓双栈技术，顾名思义，就是同时支持IPv4和IPv6两种协议的网络，即从用户端到业务终端连接的所有设备都需要支持两种协议。当两个端点通讯时会采用相应的协议进行数据的传输。双栈的解决方案同时支持IPv4与IPv6两种协议，无需考虑两者互通的问题。然而对于大型网络来说，由于涉及到产品的升级，甚至是需要更新换代，会耗费大量的财力人人力，因此可行性相对比较小，部署与规划都比较复杂，由于有两套协议，因此大大增加了网络管理人员的工作难度，另外由于主机上都需要支持两份协议，因此会消耗更多的内在和更多的CPU。此外，由于用户并未真正地迁移到IPv6网络上，因此对于IPv6的推广与发展直到了一定的阻碍作用。

2.2 翻译技术

翻译技术通常所指的就是NAT-PT，一般是在IPv4与IPv6的网络边缘部署翻译网关设备，实现IPv4与IPv6数据包的报文的翻译和转换，从而使IPv4用户可访问IPv6资源，同时IPv6用户也可去访问IPv4的资源。翻译网关的部署相对简单，且由于实现了多个IPv6的Host可以同时共用一个IPv4地址，一定程度上解决了地址枯竭的问题。然而由于网关是基于应用层的，针对不同的应用需要开发不同的ALG，而且现有的网络应用层出不穷，如果大范围的采用此方案，就需要实时的去开发满足各类应用的网关，成本较大。

2.3 隧道技术

隧道技术即将IPv4的数据包封装在IPv6数据包中进行传输，反之亦然，实现数据包在不同的网络中的顺利传送，隧道技术中包含6PE、6over4、隧道代理、ISATAP等多种方式。只要部署了足够多的隧道服务器，并有足够的网络带宽支撑，隧道的实现即是一种软件配置的过程，技术实现方式简单，能协助网络管理人员快速实现新一代协议的部署，并实现网络的优化。然而由于数据包需要封装和解封装，因此隧道设备一般都是成对部署的，与双栈方式相同的一个弊端就是不适用于大型网络的过渡。

2.4 Socks64技术

这种技术的基本原理是通过客户端与网关的通信，来实现IPv4与IPv6主机之间的互联互通。其中网关必须同时支持IPv4与IPv6两种协议栈，即在网关处需要同时接入IPv4与IPv6网络，来自客户端的数据包，无论是IPv4还是IPv6的，网关都可以进行处理，并转发至相应的目的端。由于网关来进行协议的转换与处理，因此一旦在大型网络中部署，必须要求这个网关的吞吐量、处理性能达到一定的标准，且在网络过渡时期，网关一般部署在网络边缘，便于能够更高效地处理用户请求。这种解决方案的优点即部署网关成功后，无需考虑用户端发起请求的类型，都可进行数据转发。但是客户端的推广安装成为一大问题，且由于是客户端与网关通讯的模式，因此会出现一定的性能瓶颈。

3.IPv6网络安全研究

在传统的IPv6网络体系架构里，网络安全的策略，是在应用层上进行安全的防范，或对邮件进行加密，在访问网页时进行数据加密，并未对网络层进行处理。在1995年，IETF制定了在IP层的安全规范，即IPSec(IP Security)。由于IPv6集成了IPSec协议，因此在IPv6的安全体系架构中，IPSec便是核心。

3.1 IPv6网络安全优势——IPSec

IPv6一个最大的优势就是，集成了IPSec，也就意味着它能够提供完备的安全服务，包括数据来源的强认证，保障数据传输的机密性和完整性，同时也可以进行数据的访问控制，抵御数据重复发送等攻击。为IPSec的体系结构，包含三个基本的协议，其中AH协议(验证头)用于保障数据的完整性和验证数据的来源;加密功能和机制是由ESP协议(封装安全载荷)来提供;同时ISAKMP协议(即密钥管理协议)主要用于实现前两种协议在交流时信息安全。

3.2 IPv6网络安全优势——地址可溯源

目前采用的IPv4地址协议，存在的最大问题，就是使用了大量的私有地址，通过NAT技术，多个私有地址，可能通过同一个公网IP去访问互联网，这种情况，就存在一个安全隐患，如果某一个用户发布了一条反动信息，或者非法言论，无法快速定位到IP，给网络管理人员造成很大的工作难度。IPv6海量的IP地址，完全摒弃了私有地址的概念，可为每一个终端分配一个单独使用的IP地址，一旦出现问题，将快速查找到源地址，保障网络的健康。

3.3 IPv6网络安全优势——反侦察能力

大部分的黑客或者恶意程序，都会通过扫描某个子网来最终确定攻击的IP地址、应用和服务，而IP地址量相当大，可大大降低网络侦察的能力，有效地防范类似的网络攻击。

4.IPv6网络可能存在的问题

4.1 无法解决网络层以上的安全问题

IPv6集成的IPSec功能，只是解决了网络层的安全问题，面对网络层以上的攻击，IPv6仍然无法解决的，如垃圾邮件、恶意代码、蠕虫、系统漏洞等攻击，还是需要相应的防病毒安全厂家来解决。

4.2 无法处理数据解密过程的攻击

IPv6采取对数据的加密，但是用户在正常接收数据后，需要解密，如何攻击者在解决过程中添加相关的干预手段，加长解密的时间，这将会消耗大量的系统资源，甚至可能造成系统瘫痪。

4.3 加密方面的安全隐患

IPSec中采用了加密算法和密钥的管理。对于加密算法，没有哪一个加密算法能够确保其绝对安全的，这是本身的局限性，另一方面，对于密钥的管理，由于依赖于PKI，而此项技术目前还未在国际上形成统一完善的标准，因此安全性是否可靠也有待考证。

5.结束语

向IPv6的迁移是大势所趋，各项过渡技术都已发展成熟，并形成了相应的标准，但是均存在优缺点，需要将各项技术进行去长补短，综合利用，设计出一种通用易行的解决方案。对于IPv6的网络安全问题，本身其已经在网络层建立了一层安全壁垒，但仍存在其它方面的安全威胁，且在过渡过程中，对IPv4的网络体系中的设备也构成了一定的挑战。因此，无论是在IPv6的关键技术方面，还是在网络安全方面，都还需要业界人士的不断研究与验证，以实现平滑、安全的网络迁移。