基于IPV6协议的网络安全机制的分析.doc

山 东 师 范 大 学 本科毕业论文（设计）论文（设计）题目： 基于IPV6协议的网络安全机制的分析学 号： 姓 名： 学科专业： 通信工程 指导教师： 高保忠 山东师范大学教务处制2007年5月25日毕业论文（设计）内容介绍论文（设计）题 目基于IPV6协议的网络安全机制的分析选题时间2007.1.11完成时间2007.5.25论文（设计）字数6733关 键 词IPV6；IPV4；协议；安全机制论文（设计）题目的来源、理论和实践意义：Internet发展迅速，已在全球范围内获得广泛应用，但其安全性差是一个亟待解决的问题。现行的IPV4协议标准虽然具有简单性和可缩放性等优点，但在网络安全方面并没有做过多的考虑，存在许多安全隐患，例如非法截获并伪造信息包、地址的电子欺骗、扰乱网络逻辑组织等。在IPV4协议标准中，网络安全功能定位在较低层次上，而现在的安全措施往往没有涉及到该层次，这对阻止在网络攻击中占很大比例的较低层次攻击是不合适的。为适应互联网的迅速发展及对网络安全性的迫切需要，由IETF建议制定的下一代网际协议IPV6出现了。目前IPV6增添了许多新的重要功能，支持IPV4到IPV6的平稳过渡，可以采用普通软件的升级方式在Intemet设备上进行安装。IPV6在IP层上实现了各种安全服务，既是面向高性能网络的，也可以在低带宽的网络(如无线网)上有效地运行。但是，IPV6也带来了网络安全方面的一些新的问题和挑战。目前，基于IPV6协议的网络安全分析是一个研究热点。论文（设计）的主要内容及创新点：随着全球IP网络规模的持续扩大和用户数的迅猛增长，IPV4协议标准已经不能适应发展的需要。安全性包括网络安全和信息安全，随着互联网的大规模商用化和在国民经济中地位的提升，安全威胁成为一个必须解决的问题，也成为制约互联网发展的“瓶颈”。在此情况下，中国自主研发的新一代网络技术IPv9（十进制网络）应用而生。IPV6通过集成IPsec实现了IP级的安全，它拥有128位地址长度扩展空间，并使用强制部署IPSec来增强网络的安全性。IPV6在地址分类、报头格式、QoS、Plug&Play功能、移动性、ICMP等采用了新的协议机制。由于IPV6的地址空间急剧扩大及新协议机制的使用，使IPV4网络攻击在IPV6网络中呈现出不同形式和特点。本文在介绍IPV6协议及其安全机制的基础上，对IPV6协议在网络安全方面产生的新问题进行了分析和探讨。本文的创新之处在于对IPV6协议产生的新安全问题进行了分析研究。附：论文（设计）本人签名： 年 月 日目 录摘要1Abstract11. 引言22. lPV6协议22.1 IPV6的由来22.2 IPV6协议的主要特点22.3 IPV6中的地址类型和表示方法33. IPV6协议内置的安全特性43.1 协议安全43.2 网络安全53.2.1 端到端的安全保证53.2.2 内部网络保密53.2.3 IPSec安全隧道实现VPN63.2.4隧道嵌套提供多重安全保护63.3 其他安全保障74. IPV6协议在网络安全上的改进74.1 IP安全协议（IPSec）74.2 端到端的安全保证74.3 地址分配与源地址检查84.4 灵活的扩展报头84.5 防止网络扫描与病毒蠕虫传播84.6 防止网络放大攻击（Broadcast Amplication Attacks）84.7 防止碎片（Fragment）85. 引入IPV6出现的安全新问题及挑战95.1 IPV6本身的弱点95.2 IPV4向IPV6迁移的可能漏洞96. 总结与展望10参考文献10基于IPV6协议的网络安全机制的分析（山东师范大学信息科学与工程学院通信工程系2003级1班）摘要：首先介绍了由IETF建议制定的下一代互联网通信协议IPV6的基本内容，重点分析了IPV6协议内置的安全特性并总结了IPV6协议在网络安全上的七点改进。文章从IPV6本身的弱点和IPV4向IPV6迁移的可能漏洞两个角度，对IPV6协议在网络安全方面带来的新挑战和新问题进行了分析和探讨。最后，对基于IPV6协议的网络安全机制的发展前景做了展望。关键词：IPV6；IPV4；协议；安全机制中图分类号：TP393The Analysis of Network Security Mechanism Based on the Agreement IPV6Guo Juan(School of Information Science and Engineering, Shandong Normal University)Abstract: The IPV6 considered to be the next generation of communication protocol in the internet was introduced, which was suggested by IETF. The security feature built-in the IPV6 agreement was analyzed, and seven improvements of the IPV6 agreement in the network security were summarized. The new challenges and questions brought by the IPV6 in the network security were discussed from two angles, respectively, the innate defects of the IPV6 agreement and the possible loopholes due to the migration of IPV4 to IPV6. And then, Finally, the prospect of the network security mechanism based on theIPV6 agreement was discussed.Key words: IPV6；IPV4；protocol；security system1. 引言Internet发展迅速，已在全球范围内获得广泛应用，但其安全性差是一个亟待解决的问题。现行的IPV4协议标准虽然具有简单性和可缩放性等优点，但在网络安全方面并没有做过多的考虑，存在许多安全隐患，例如非法截获并伪造信息包、地址的电子欺骗、扰乱网络逻辑组织等。在IPV4协议标准中，网络安全功能定位在较低层次上，而现在的安全措施往往没有涉及到该层次，这对阻止在网络攻击中占很大比例的较低层次攻击是不合适的。为适应互联网的迅速发展及对网络安全性的迫切需要，由IETF建议制定的下一代网际协议IPV6出现了。现有的互联网是在IPV4协议的基础上运行的，而IPV6是下一版本的互联网协议，也可以说是下一代互联网的协议。IPV4协议定义的地址空间已经远远不能满足互联网的进一步发展。为了扩大地址空间，新一代互联网协议IPV6重新定义了128位长度的地址空间，弥补了由IPV4协议定义的32位地址长度导致地址空间不足的缺陷。另外，IPV6对IPV4协议中诸多不完善之处进行了较大的改进，主要有端到端的IP连接、服务质量、安全性、多播、移动性、即插即用等。与IPV4相比，IPV6的最大优点就是将IPSec集成到协议内部。从此IPSec将不再单独存在，而是作为IPV6协议固有的一部分贯穿于IPV6的各个领域。所以，作为下一代互联网协议的IPV6具有更安全、更经济、可承载多种业务等诸多优势。但是IPV6协议的引入也带来了新的安全问题。2. IPV6协议2.1 IPV6的由来Internet依靠TCPIP协议，在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。Internet中的节点之间都依靠惟一的IP地址互相区分和相互联系。目前，因特网使用的地址都是IPV4地址，基本协议是经过多次改进后确定的。现在的协议是1995年由Cisco公司的Steve Deering和Nokia公司的Robert Hinden完成起草并定稿的(即RFC2460)。1998年IETF对RFC2460进行了较大的改进，形成了现有的RFC246O(1998版) 1。2.2 IPV6协议的主要特点为适应实际应用的要求，IPV6在IPV4的设计思想上加以改进。增加了一些必要的新功能。IPV6的主要特点如下：经过扩展的地址和路由选择功能IP地址长度由32位增加到128位，可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。定义了任一成员（anycast)地址本文中在不会引起混淆的情况下将Anycast简称为“任一地址”，发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。简化的首部格式IPV4首部的某些字段被取消或改为选项，以减少报文分组处理过程中常用情况的处理费用，并使得IPV6首部的带宽开销尽可能低。虽然IPV6地址长度是IPV4地址的四倍，但IPV6首部的长度只有IPV4首部的两倍。支持扩展首部和选项IPV6的选项放在单独的首部中，位于报文分组中IPV6首部和传送层首部之间。因为大多数IPV6选项首部不用被报文分组投递路径上的路由器检查和处理而直接到达最终目的地，这种组织方式有利于改进路由器在处理包含选项的报文分组时的性能。IPV6的另一改进，是其选项与IPV4不同，可具有任意长度，不限于加字节。支持验证和隐私权IPV6定义了一种扩展，可支持权限验证和数据完整性。这一扩展是IPV6的基本内容，要求所有的实现必须支持这一扩展。另外，IPV6还定义了一种扩展，借助于加密支持保密性要求。支持自动配置IPV6支持多种形式的自动配置，从孤立网络节点地址的“即插即用”自动配置，到DHCP提供的全功能的设施。服务质量能力IPV6增加了一种新的能力，如果某些报文分组属于特定的工作流，发送者要求对其给予特殊处理，则可对这些报文分组加标号，例如非缺省服务质量通信业务或“实时”服务。2.3 IPV6中的地址类型和表示方法IPV6地址类型2主要有：单播地址(unicast)：该地址标识某一单个接口。发往单播地址的包将被传送到该地址指向的接口。任播地址(anycast)：该地址标识属于不同节点的一组接口。发往任播地址的包将被传送到该地址标识的某一个接口。通常是路由协议计算出的最近的那个接口。组播地址(multicast)：同样该地址标识属于不同节点的一组接口。但发往组播地址的包将被传送到该地址标识的所有接口。IPV6地址表示方法：一个IPV6的IP地址由8个地址节组成每节包含16个地址位，以4个十六进制数书写，节与节之间用冒号分隔，除了128位的地址空间，IPV6还为点对点通信设计了一种具有分级结构的，被称为可聚合全局单点广播地址的地址。3. IPV6协议内置的安全特性IPV6协议内置已经标准化的安全机制，支持对企业网的无缝远程访问。例如公司虚拟专用网络的连接。即使终端用户用“时时在线”接入企业网，这种安全机制也是可行的。这种“时时在线”的服务类型在IPV4技术中是无法实现的。对于从事移动性工作的人员来说，IPV6是IP级企业网络存在的保证。在安全性方面，IPV6同IP安全性(IPSec)机制和服务一致。除了必须提供网络层这一强制性机制外，IPSec还提供另两种服务：认证报头(AH)用于保证数据的一致性；封装的安全负载报头(ESP)用于保证数据的保密性和数据的一致性3。在IPV6包中，AH和ESP都是扩展报头，可以同时使用，也可以单独使用其中一个。作为IPSec的一项非常重要应用，IPV6集成了虚拟专网(VPN)的所有功能。3.1 协议安全IPV6的AH（Authentication Header）和ESP（Encapsulating Security Payload）中的扩展头结合多样的加密算法可以在协议层面提供安全保证。如图1所示的实际组网方案，对路由协议报文采用了ESP加密封装，对于IPV6的邻居发现、无状态地址配置等协议报文采用AH认证来保证协议交互的安全性。鉴于目前的网络环境，在实现上，默认手工提供密钥配置管理的方式。但为适应将来大规模安全网络组建要求，还要同时预留IKE（Internet密钥交换）协议接口。图1的路由器系统缺省对IPV6的PMTU（路径最大传输单元）、无状态地址自动配置以及邻居发现协议中的消息进行AH头认证。可配置使用ESP封装或者AH认证来保证路由协议报文的安全。图1 IPV6 IPSec机制协议安全的实现在传输模式下，路由器对于报文的加密和认证可以有基于协议、源端口和源地址、目的端口和目的地址等多种模式。用户可以通过管理模块灵活地进行配置。3.2 网络安全IPSec隧道和传输模式的各种组合应用，可以提供网络各层面的安全保证。诸如：端到端的安全保证、内部网络的保密、通过安全隧道构建安全的VPN、通过嵌套隧道实现不同级别的网络安全等等。3.2.1 端到端的安全保证如图2所示，在两端主机上对报文进行IPSec封装，中间路由器实现对有IPSec扩展头的IPV6报文的透传，从而实现端到端的安全保证。图2 端到端的安全保证3.2.2 内部网络保密图3所示的内部主机和互联网上其他主机进行通信时，通过配置IPSec网关来保证内部网络的安全。由于IPSec作为IPV6扩展报头不能被中间路由器而只能被目的节点解析处理，因此，IPSec网关可以通过IPSec隧道的方式实现，或者通过IPV6扩展头中提供的路由头和逐跳选项头并结合应用层网关技术来实现。 图3 内部网络保密3.2.3 IPSec安全隧道实现VPN如图4所示，在路由器之间建立IPSec安全隧道，构成安全的VPN4，是最常用的安全网络组建方式。作为IPSec网关的路由器实际上就是IPSec隧道的终点和起点。为了满足转发性能的要求，需要专用的加密板卡。图4 IPSec安全隧道实现VPN3.2.4隧道嵌套提供多重安全保护如图5所示，通过隧道嵌套的方式可以获得多重的安全保护。配置了IPSec的主机HostC通过安全隧道接入到配置了IPSec网关的路由器ZXR10T128A。该路由器作为外部隧道的终结点将外部隧道封装剥除，这时嵌套的内部安全隧道构成了对内部网络的安全隔离。ZXR10 GAR B作为内部隧道的终结点，使得Host C最终接入到部门服务器Host D中。图5 隧道嵌套提供多重安全保护大量使用IPSec在提高网络安全的同时，不可避免地导致路由器转发性能和处理性能的劣化。为了消除这些影响，通常使用ASIC（专用集成电路）实现加密处理，或者通过网络处理器来实现加密处理和转发。以中兴通讯的高端路由器为例，对报文的加密和转发使用专门的网络数据加密接口板，该板由安全处理器和CPLD（可编程逻辑器件）构成主要处理单元。3.3 其他安全保障IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证，但是数据网络的安全威胁是多层面的，它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。对于物理层的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。对于物理层以上层面的安全隐患，可以采用以下防护手段：通过诸如AAA、TACACS+、RADIUS等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击；通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层网络的攻击；通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性5。路由器和交换机对IPSec的完善支持保证了网络数据和信息内容的有效性一致性以及完整性，并且为网络安全提供了诸多解决办法。综上所述，安全的网络是众多安全技术的综合，而IPV6 IPSec机制是其中重要的组成部分，提供了协议层面上的一致性解决方案，这也是IPV6相比IPV4的重大优越性。4. IPV6协议在网络安全上的改进4.1 IP安全协议（IPSec）IPSec是IPV4的一个可选扩展协议，而在IPV6中则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播（Replay）攻击等。新版路由协议OSPFv3和RIPng采用IPSec来对路由信息进行加密和认证，可提高路由抗攻击的性能。需要指出的是，虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水（Flood）攻击和应用层攻击。IPSec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。4.2 端到端的安全保证IPV6最大的优势在于保证端到端的安全，可以满足用户对端到端安全和移动性的要求。IPV6限制使用NAT，允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPV6的连接，都会在两端主机上对数据包进行IPSec封装，中间路由器实现对有IPSec扩展头的IPV6数据包进行透明传输，通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPV6网络上安全地传递，因此，无需针对特别的网络应用部署ALG（应用层网关），就可保证端到端的网络透明性，有利于提高网络服务速度。4.3 地址分配与源地址检查在IPV6的地址概念中，有本地子网（Link-local）地址和本地网络（Site-local）地址的概念6。从安全角度来说，这样的地址分配为网络管理员强化网络安全管理提供了方便：若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址；若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。由于IPV6地址构造是可会聚的（aggregate-able）、层次化的地址结构，因此，在IPV6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。源路由检查，出于安全性和多业务的考虑，许多核心路由器可根据需要来决定是否开启反向路由检测功能，防止源路由篡改和攻击。防止未授权访问IPV6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPV6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。4.4 灵活的扩展报头一个完整的IPV6的数据包可包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPV6扩展应用领域奠定了基础，同时也为安全性提供了保障。4.5 防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后，就开始对其他主机进行随机扫描，在扫描到其他有漏洞的主机后，会把病毒传染给该主机。这种传播方式的传播速度在IPV4环境下非常迅速（如Nimdar病毒在45分钟内可以感染上百万台计算机）。但这种传播方式因为IPV6的地址空间的巨大变得不适用了，病毒及网络蠕虫在IPV6的网络中传播将会变得很困难。4.6 防止网络放大攻击（Broadcast Amplication Attacks）IPV6在设计上不会响应组播地址和广播地址的消息，不存在广播，所以，只需要在网络边缘过滤组播数据包，即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击7。4.7 防止碎片（Fragment）攻击IPV6认为MTU小于1280字节的数据包是非法的，处理时会丢弃MTU小于1280字节的数据包（除非它是最后一个包），这有助于防止碎片攻击。由此看来，IPV6协议确实比IPV4的安全性有所改进，IPV4中常见的一些攻击方式，将在IPV6网络中失效，例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPV4网络中的问题，IPV6仍应对乏力，只有在IPV6的网络中事后追溯攻击的源头方面要比在IPV4中容易一些。5. 引入IPV6出现的安全新问题及挑战IPV6是新一代互联网协议，在其发展过程中必定会产生一些新的安全问题，主要包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表(ACL)正常工作、入侵检测系统(ins)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。5.1 IPV6本身的弱点IPV6协议本身还有一些问题有待解决，IP网中许多不安全问题主要是管理造成的。IPV6的管理与IPV4在思路上有可借鉴之处。但对于一些网管技术，如SNMP等，不管是移植还是重新设计，其安全性都必须从本质上有所提高。由于目前针对IPV6的网管设备和网管软件几乎没有成熟产品出现，因此缺乏对IPV6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。没有网管，无法保障网络高效、安全运行。PKI管理在IPV6中是悬而未决的新问题。IPV6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备，这方面安全技术的研发尚需时日，事实上IPV6环境下的病毒已经出现。IPV6协议仍需在实践中完善，例如IPV6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能，而移动IPV6(Mobile IPV6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPV6地址，DHCPv6仍然处于研究、制订之中。5.2 IPV4向IPV6迁移的可能漏洞由于IPV6与IPV4网络将会长期共存，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。已经发现从IPV4向IPV6转移时会出现的一些安全漏洞，例如黑客可以使用IPV6非法访问同时采用了IPV4和IPV6两种协议的LAN的网络资源，攻击者可以通过安装了双栈的IPV6主机，建立由IPV6到IPV4的隧道，绕过防火墙对IPV4进行攻击。向IPV6协议的转移与采用其他任何一种新的网络协议一样，需要重新配置防火墙，其安全措施必须经过慎重的考虑和测试，例如IPV4环境下的IDS并不能直接支持IPV6，需要重新设计，原来应用在IPV4协议的安全策略和安全措施必须在IPV6上得到落实。目前，IPV4向IPV6过渡有多种技术，其中基本过渡技术有双栈、隧道和协议转换，目前比较成熟的技术是向IPV6转移应尽量采用双栈技术，避免采用协议转换；尽量采用静态隧道，避免采用动态隧道，这些都需要在实验中加以检验9。6. 总结与展望与现有的互联网协议IPV4相比，新一代的互联网协议IPV6在IP地址量、安全性、移动性以及服务质量等方面有巨大优势。IPV6协议扩大了地址空间，采用128位地址长度，几乎可以不受限制地提供IP地址，从而确保了端到端连接的可能性。同时，由于IPV6的数据包可以远远超过64K字节，应用程序可以利用最大传输单元(MTU)，获得更快、更可靠的数据传输，同时在设计上改进了选路结构，采用简化的报头定长结构和更合理的分段方法，使路由器加快数据包处理速度，提高了转发效率，从而提高网络的整体吞吐量10。IPV6协议报头中的业务级别和流标记通过路由器的配置可以实现优先级控制和QoS保障，极大地改善了IPV6的服务质量，使IPV6协议安全性有了更好的保证。采用IPSec可以为上层协议和应用提供有效的端到端的安全保证，能提高在路由器水平上的安全性。IPV6不仅从IPV4中借鉴了许多概念和术语，它还定义了许多移动IPV6所需的新功能。IPV6协议能更好地实现了多播功能11。在IPV6的多播功能中增加了范围和标志，限定了路由范围和可以区分永久性与临时性地址，更有利于多播功能的实现。IPV6为互联网换上一个简捷、高效的引擎，不仅可以解决IPV4目前的地址短缺难题，而且可以使国际互联网摆脱日益复杂、难以管理和控制的局面，变得更加稳定、可靠、高效和安全。虽然IPV6协议存在自已一些弱点，并给网络带来新的安全问题，但它的优点和进步是主要的。随着理论和技术的不断进步，相信IPV6协议能够为网络安全作出更多的贡献。参考文献：1 陶文星 胡文才新因特网协议IPv6(第二版)M清华大学出版社，19992 雷光洪关于IPV6安全体系结构IPSec的研究J四川师范大学学报，2002，（4）3 毛小兵网络安全与IPSecJ通讯世界，2000，（9）4 王玲IPV6安全机制及其对现有网络安全体系的影响J微电子学与计算机，2003，（5）5 雷震甲网络工程师教程M北京：清华大学出版社20046 钟锦飞基于IPV6分布式防火墙的设计与实现D万方学位论文全文数据库，2005，（8）7 赵娟基于IPV6的IPTV的通信协议及其关键技术J中国有线电视，2006，（15）8 刘年生，郭东辉，吴伯僖IPV6安全机制及其密码算法的安全性分析J计算机工程与应用，2001，（16）9 阙喜戎，孙锐，龚向阳信息安全原理及应用M北京：清华大学出版社，200310 周霞信息安全现状及发展趋势J大众科技网，2006，（7）11 曹珍富，薛庆水密码学的发展方向与最新进展J计算机教育，2005，（1）11毕业论文（设计）成绩评议指导教师意见（包括选题的意义，资料收集或实验方法、数据处理等方面的能力，论证或实验是否合理，主要观点或结果是否正确，有何独到的见解或新的方法，基础理论、专业知识的掌握程度及写作水平等）：成绩： 指导教师签名： 年 月 日评阅人意见： 评阅人签名： 年 月 日答辩小组意见： 成绩： 答辩小组负责人签名： 年 月 日学院审核意见：负责人签名：（公章）年 月 日注：成绩按优、良、中、及格、不及格五级分制计。山东师范大学本科毕业论文（设计）题目审批表学院：信息科学与工程学院_(章) 系别/教研室：通信工程系 时间：2007.1.11课题情况题目名称基于IPV6协议的网络安全机制的分析课题性质理论研究教师姓名高保忠职称助教学位硕士课题来源A.科研 B.生产 C.教学 D.其它 E.学生自拟成果类别A.论文 B.设计主要研究内容与研究目标主要介绍由IETF建议制定的下一代互联网通信协议IPV6的基本内容，重点分析IPV6协议内置的安全特性并总结了IPV6协议在网络安全上的七点改进。并从IPV6本身的弱点和IPV4向IPV6迁移的可能漏洞两个角度，对IPV6协议在网络安全方面带来的新挑战和新问题进行了分析和探讨。以及对基于IPV6协议的网络安全机制的发展前景做了展望。通过对IPV6协议的学习和分析，针对IPV6对网络安全带来的新问题，探讨它的优点和不足之处，使其更具有安全性和适应性。 指导教师签字： 年 月 日 选题学生签字： 年 月 日系所或教研室审题意见负责人签字： 年 月 日学院审批意见学院学位分委员会主任签字： 年 月 日山东师范大学本科毕业论文（设计）开题报告论文题目： 基于IPV6协议的网络安全机制的分析 学院名称： 信息科学与工程学院 专 业： 通信工程 学生姓名： 学 号： 指导教师： 高保忠 2007年 3 月 7 日一、选题的性质：理论研究二、选题的目的和意义随着全球IP网络规模的不断扩大和用户数的迅速增长，IPV4协议已经不能适应发展的需要。在IPV6还没有真正普及的今天，中国新一代自主研制网络技术IPv9(十进制网络)也即将走出实验室。与IPV4相比，IPV6在网络保密性、完整性方面有了更好的改进，在可控性和抗否认性方面也有了新的保证，但IPV6不仅不可能彻底解决所有安全问题，同时还会产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层，因此。保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。因此对基于IPV6协议的网络安全机制的分析有很强的现实意义。选题的目的是通过对IPV6协议的学习，分析基于IPV6协议的网络安全机制，探讨它的优点和有待改善的不足之处，使其更具有安全性和适应性。三、与本课题相关的国内外研究现状，预计可能有所创新的方面目前，IPV4向IPV6过渡有多种技术，其中基本过渡技术有双栈、隧道和协议转换，但目前这几种技术运行都不理想。专家建议，向IPV6转移应尽量采用双栈技术，避免采用协议转换；尽量采用静态隧道，避免采用动态隧道；这些都需要在广泛实验中加以检验。与IPV4相比，IPV6在网络保密性、完整性方面有了更好的改进，在可控性和抗否认性方面有了新的保证，但IPV6不仅不可能彻底解决所有安全问题，同时还会产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层，因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。尽管IPV6的普及应用之日还需耐心等待。不过，了解和研究IPV6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案，对于制定企业网络的长期发展计划，规划网络应用的未来发展方向，都是十分有益的。本文在分析IPV6协议及其机制的基础上，对它产生的新问题进行了研究，应该会在IPV6对网络安全产生的新问题的分析方面有所创新。四、课题研究的可行性分析个人认为安全问题是一个复杂的问题。随着时间的推移，技术的变化，网络安全将面临更多威胁和新的挑战，没有绝对安全的网络系统。网络信息对抗是一个长期的研究课题。保持清醒正确的认识。掌握最新的安全问题情况。再加完善有效的安全策略，是可以阻止大部分的网络破坏，使经济损失降到最低。IPV6是一个建立可靠的、可管理的、安全和高效的IP网络的长期解决方案。IPV6作为一个新的协议，又对网络产生了一系列新的问题和挑战。对基于IPV6协议的网络安全机制的分析，具有现实和理论价值。五、课题研究的策略、方法和步骤本课题主要分析基于IPV6协议的网络安全机制，因此具有理论和现实价值。策略：理论联系实际，应用该理论来解决现实问题。方法：搜索相关文献，分析总结，并提出自己的看法。步骤：首先，搜集有关资料，查阅国内外的优秀论文以及相关领域的科技书刊。在系统了解专业理论的基础上在自己的头脑中初步建立一个完善的理论体系，知道什么是IPV6协议，知道网络安全的基本概念，了解基于IPV6协议的网络安全机制的发展和现状，知道它出现的必然性，明确它的优缺点，找到不足之处。 其次，与网络安全方面的相关协议相结合，通过学习和讨论，进一步加深理论与实际的结合和应用，多参考一些具体的解决方案和实例，为自己在这方面的认识积累必要的知识。通过了解它的不足之处，结合自己的现实生活经验，通过实践来改正其不足之处，以及发现新的创新点。 最后，在与以往技术对比的基础上提出创新点，进行具体阐