《[word格式] IP網絡缺陷與改進的思索》由會員分享，可在線閱讀，更多相關《[word格式] IP網絡缺陷與改進的思索（8頁珍藏版）》請在裝配圖網上搜索。

1、IP網絡缺陷與改進的思索 IP網絡缺陷與改進的思索 莫淦清鄭鵬 (浙江金融職業(yè)學院310018) fT技術 摘要:IP協議和Internet是人類全球通信的最偉大創(chuàng)舉之一.本文以IP安全性為重點,對IP協議的特點,存在問題,目前改進的 方法和進一步發(fā)展方向,提出了自己的一些看法.希望將來IP能夠得到更好的發(fā)展,NGN能為我們提供更好的服務. 關鍵詞:IP安全IPv6改進 中圖分類號:F224.33文獻標識碼:A文章編號:1673—0534(2007)07(b)一0028一O1 1引言 根據以IP協議為基礎的Internet的發(fā)展 歷程可知,IP協議最可取的內涵與作用在

2、于其 充分的開放透明性與靈活有效的多業(yè)務增值 能力.然而,在開放透明的同時,也往往更容 易”充分暴露”,自然也容易受到攻擊.在 Internet商用化后暴露出來的一系列問題中, 最棘手,解決難度最大的問題就是安全性問 題. 2基于IP協議的網絡問題所在 實際上,我們仔細分析PSTN,ATM及IP 網絡結構可充分理解IP網絡易受攻擊的原因. 一 般情況下,安全攻擊多半在終端發(fā)起. 在PSTN的用戶端與網絡端,uNI與NNI彼 此分離,業(yè)務的提供及控制權均在運營商手 中.沒有運營商的參與,用戶難以在終端播發(fā) 病毒及發(fā)動攻擊.就算用戶想攻擊,追查亦較 方便.因為PsT

3、N對所有終端均按E,164碼 號規(guī)則賦予全球惟一的公開編號.此外,當 PSTN提供IP網接入服務時,PSTN僅作為IP 網的鏈路層接入,IP數據只是在PSTN上透 傳,故無法在PSTN接入IP之際從IP網攻擊 PSTN.由此可以看出,PSTN的網絡與終端 安全性較好,而其喪失的則是靈活有效的寬帶 多業(yè)務增值能力. ATM雖然屬分組型技術,但ATM并無 直接的終端業(yè)務與用戶.ATM網絡雖有較好 的安全性保證,但卻帶來了寬帶多業(yè)務增值的 不靈活,不方便與不經濟等缺點. IP網絡沒有UNI與NNI的分離問題,運 營商設備,協議乃至網絡拓撲對用戶均是開 放可見的.用戶端產生

4、的IP信息,無論在用戶 端或在網絡中均可傳送.通過用戶端與運營 商網絡交換非法的惡意路由信息,就可對運營 商網絡的路由器,接入服務器等設備及三層 以上設備實施攻擊.與此同時,位于IP網絡邊 際的用戶側的網絡與業(yè)務/應用,一般均使用 TCP/UDP/IP這一基礎技術.這導致用戶 間在IP層及應用層等各層面彼此透明可見,從 而為惡意用戶攻擊對方網絡及相應的業(yè)務與 應用提供了方便.且由于多種業(yè)務綜合承載 在同一網絡上,難以分辯與確定用戶間的信任 關系,被攻擊的用戶實際上難以分清哪些是合 法用戶的正常訪問,哪些是非法用戶侵入或惡 意攻擊. 由上述分析比較可充分看出IP網絡安

5、全 問題的本質之所在.因此,尋找IP網絡的有效 安全對策,尤為緊要. 3IP發(fā)展的戰(zhàn)略思考 3.1IP安全性發(fā)展戰(zhàn)略思考 正因為IP包結構兼含”內容”加”地 址”(源地址及目的地址),在網內傳送時,自我 暴露性強.借助地址引導,有利于黑客通過 “地址過濾”技術按選定地址竊取網上信息及 實施攻擊.對IP協議的這些安全性問題,最尖 銳的觀點來自TINA/TIMNA.TINA/ TIMNA的觀點很明確,認為Internet及其IP 網的三大缺陷是安全失控,QoS無保障及網管 弱智,且NGN不應該是”全IP化的網絡”,而 應該是一種以”中間件(Middleware)為基礎的

6、 網絡. TINA/TIMNA提出的看法是有價值的, 它一針見血地指出了IP協議安全失控的本質 所在.盡管其具體操作方法尚需探討,但指 明其”中間件”層的突出作用是正確的.在目 前推進以IP為基礎的NGN的發(fā)展過程中,不 只是應用層面,對安全性,IPQoS,智能網管 等目標,均應在多維層面大量發(fā)揮各類”中間 件”的重要作用. 但是,由于IP在全球大規(guī)模普及的基礎 與事實,并且IP具備多業(yè)務增值的基本吸引 力,更重要的是,目前尚未找到或比較一致地 認同比IP協議更適合操作的其他途徑,因而, 我們現在還是要在現有的IP上進行改進與發(fā) 展. 3.2IPv6的改進與展望

7、 IPv6對IP協議的已經有了重大改進與戰(zhàn) 略價值.其在地址容量,安全性,QoS控制,地 址資源管理的合理性等方面均有較大幅度改 進. 安全性問題.IPv6在其協議棧中強制執(zhí) 行IPSec,確實比IPv4時的安全性有所改善. IPSec是設計來達到網絡層中端對端安全通訊 的第三層協議,它主要的架構是IP認證標頭 (AuthenticationHeader;AH)和IP封裝安全 裝載(EncapsulatingSecurityPayload;ESP). IPAH提供數據的完整性和認證,但不包括機 密性,而IPESP原則上只提供機密性,但也可 在ESPHeader中訂定適

8、當的算法及模式來確 保數據的完整性并認證.IPAH和IPESP 可以分開使用或一起使用.IPsec將密碼技術 應用在網絡層,以提供傳送,接收端做數據的 認證(Authentication),完整性(Integrity),存 取控制(AccessContrO1),以及機密性 (Confidentiality)等安全服務.高層的應用協 議也可以直接或間接地使用這些安全服務. 但IP安全性問題很復雜,需有不同層次, 不同方位的可靠保障.首先,IPSec僅是一個 網絡層協議,負責其下層的網絡安全,并不負 責其上層應用,如web,E—mail及文件傳送之 類的安全.對確保安全而言

9、,IPSec決非惟一 手段,還需與多種手段,諸如認證體系,加密 28科技咨詢導報ScienceandTechnologyConsultingHerald 體系,密鑰分發(fā)體系等全面配合. QoS問題.IPv6的QoS改進的一個重要 手段是”流標簽”.和IPv4相比,IPv6在QoS 方面提供了更多的措施,以期改善甚至徹底解 決網絡的服務質量問題. ①IPv4到IPv6的報頭變化IPv6的報 頭中去掉了IPv4報頭中的一些字段,或者是 將其變?yōu)榭蛇x項.數據包的報頭越簡單,處理 過程就越快.IPv6采用新方法來處理選項,顯 著地改善了處理速度,保證對數據報文的高速 轉發(fā)和較

10、低的延時,提高了QoS. ②IPv6的ICMP機制.在IPv6中,不同 的服務類別可以由不同的多播組實現,現有的 IPv6ICMP多播回放控制消息機制可被用來 塑造發(fā)送方和中間路由器的流量特點.不利 的方面是,發(fā)送者將不得不多次提供基本相同 的數據(但品質不同),接收方需要知道預訂哪 個組,以便匹配特定的傳輸和終端系統功能. ③IPv6基本報頭中的QoS元素.IPv6協 議在IPBase(基本)和Extension(擴展)報頭中包 含了一些關于控制QoS的信息(流類別和流標 記),通過路由器的配置可以實現優(yōu)先級控制和 QoS保證,將很大程度上改善服務質量,保障 從Vo

11、lP到視頻流的高質量傳輸. IPv6的地址應用問題.IPv6的地址數 量巨大,約為IPv4地址量的8萬兆兆平方倍. IPv6利用其海量地址優(yōu)勢發(fā)揮其端到端個性 化,個體化及大面積消費電子類應用確有其 巨大威力與潛力.但我們也必須看到,當地址 以全球個人化,個性化和個體化為目標時, IPv6地址數量的真正充裕性便值得懷疑. 4結語 正因為鑒于IP協議及Internet的發(fā)展歷 史與背景,以及隨著其商用化暴露出的一系列 問題,或許未來網絡技術IP不是惟一的選擇, 但由于IPv6的出現,使得IP協議目前仍是支 持網絡的最好選擇.另外,CNGI專家組組長, 中國工程院副院長鄔賀銓在2007年4月12臼” 2007年全球IPV6高峰會議”上透露,IPv6將 在明年奧運會期間使用,這對我國互聯網及電 信業(yè)都將產生積極的影響.相信IP技術將得 到更加的完善.