您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
电信IPv6网络安全保障体系研究new.pdf 4页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：100 &&
电信IPv6网络安全保障体系研究new.pdf
你可能关注的文档：
··········
··········
专题：IPv6 技术与应用
专题：IPv6 技术与应用
电信IPv6 网络安全保障体系研究
王 帅，沈 军，金华敏
（ 中国电信股份有限公司广东研究院 广州 510630 ）
随着以IPv6 为基础的下一代网络研究和建设的开展，电信IPv4
网络迁移的进程日益加快，
IPv6 网络安全问题随之提上日程。
本文结合IPv6 协议安全特性，分析了电信IPv6
网络存在的安全
风险，在此基础上探讨了电信IPv6
网络安全保障体系的组成环节和要素，提出了电信 IPv6
全保障体系建设策略。
关键词 IPv6
网络；网络安全；安全保障；安全管理
给出了过渡时期电信 IPv6
网络安全保障体系建
随着网络新应用和新技术的不断发展，IPv4 地址已不
电信IPv6 网络安全风险
能满足网络发展的需求。 IPv6 协议以其巨大的地址空间、 内
在的安全机制等特性，
成为国内外下一代网络发展的研究
网络是以IPv6 协议为基础和标志性技术的
热点。 安全是保证网络健康发展的重要因素，IPv6
下一代互联网。
IPv6 协议相对于 IPv4 协议在安全方面有
保障体系的配套建设也成为IPv6
网络建设的重要方面，如
了一定的改善，
解决或缓解了 IPv4 环境中存在的部分安
网络设计阶段就对网络安全进行通盘考虑，能够
全问题，但物理层、链路层和应用层等安全问题在 IPv6
提升网络架构的整体安全性；同时，将网络安全与网络建设
络环境中则仍然存在。
另外，IPv6 协议本身将带来一些新
同步，有利于网络资源的合理分配。
的安全问题，
的过渡过程中也可能产生新
协议本身进行了安全性改善，其安全性提升也为新应用的
的安全风险。
开展提供了便利，为端到端安全提供更灵活、方便的技术
手段，能够促进新的安全业务和应用的开展。 但是，随着基
IPv6 协议巨大的地址空间、
固化的安全机制等新特性
的下一代网络中应用的增加、
速度的加快和规模
对提升网络安全性有一定的作用。 第一，IPv6 将原先独立于
的变大，IPv6
网络面临着新的安全风险，
因此电信IPv6
IPv4 协议簇之外的报头认证和安全信息封装作为扩展头置
网络建设中必须同步考虑网络安全这一重要问题。
于IPv6 基本协议之中，为IPv6
网络实现端到端安全认证和
本文从电信运营商的角度出发，
加密封装提供了协议上的保证，
能在一定程度上提升业务
对电信 IPv6
网络安全保障体系的架构进行了深
和应用的安全性；
第二，IPv6 协议禁止具有 IPv6 组播目的
正在加载中，请稍后...中国领先的IT技术网站
51CTO旗下网站
如何保证IPv6网络顺利访问？
许多公司至少都开始试验IPv6了，通常是从连接外网的网站开始。网站实际上是很好的第一个迁移项目，因为它一般比较小，不会影响业务，但是又有一定的复杂性，会涉及各种问题。
作者：曾少宁编译来源：TechTarget中国| 09:05
有时候，当出现网络问题时，如ISP交付的带宽低于服务水平协议时，用户肯定会抱怨&网速太慢了&。但是有时，特别是在修复路由断续问题时，用户会向我们反馈网络出现了问题，但是没有具体的信息，而且也很难重现用户遇到的问题。
IPv6互联网终端可访问性实际上要与IPv4完全相同，但是许多需要同时支持这两种网络的终端管理员却通常对此感到不安。其实不止你是这样：IPv6互联网和IPv4至IPv6的转换本身就有问题，真正的问题不在于我们自己。
IPv6：首秀
许多公司至少都开始试验IPv6了，通常是从连接外网的网站开始。网站实际上是很好的第一个迁移项目，因为它一般比较小，不会影响业务，但是又有一定的复杂性，会涉及各种问题，如支持两种协议互联网服务提供商(ISP)链接、防火墙、至少一两台路由器、虚拟机宿主和服务器配置。在这之后，当准备在核心网络部署IPv6时，您就可以利用之前掌握的经验顺利完成迁移。肯定，您还在IPv4节点之间使用许多桥接技术去传输数据包，如NAT64和通道技术。但是，最好第一次就采用正确的方法实现双重协议支持。同时，IPv6缓慢发展也让供应商和普通硬件有足够的更新时间，可以为我们提供迁移IPv6时所需要的全部技术，其中包括试验性操作系统镜像。
那么，为什么我们在简单网站上实施IPv6时仍然会忧心重重呢?我们可以在同一个位置DMZ的IPv6网段的服务器上部署应用监控工具，这样我们就能够知道服务器的运行状态。我们可以定期Ping服务器，查看延迟是否在正常范围内。但是，总是会有用户反馈说网站无法访问，然后我们调查发现客户端来自IPv6。另外，有人感觉在IPv6下网站性能要低于IPv4。但是，我们随后测试发现，网站在两种协议上的性能是一样的。最终，我们只能感叹IPv6互联网现实应用并不乐观&&尽管大家都在庆祝IPv6世界日，但是ISP之间的IPv6对等访问仍然影响数据包的正常传输。这样，您又该如何保证启用IPv6的新网站能够正常访问呢?
配置一些极限测试
在IPv4环境中，有足够的用户使用终端与服务器交换数据包，因此完全可以做到全面测试互联网的所有路由。当IPv4对等访问真的出现问题时，肯定会有用户反馈问题，然后问题很快会被修复。但是，IPv6的环境则不同。除了出现像Cogent与Hurricane
Electric对抗这样的事件，当互联网本身出现对等访问问题时，实际上没有足够的IPv6用户可以有效地报告所有路由问题。我们可以在内部全天候监控网络，但是也无法发现ISP那边出现的常见路由问题，如路由断续和域名服务器问题。所以，与一直可靠运行的IPv4服务相比，您该如何有效地监控、比较和报告IPv6连接问题呢?
解决方法：持续多路监控
幸好，网络工程师可以借鉴和利用系统团队所使用的同类工具，解决
IPv6性能跟踪的难题。有一个很好的例子就是使用Web性能监控工具执行实时对比分析。为了使用这个监控工具，需要在启用IPv4/6的网站上记录
IPv4链路的基本Web事务。然后，将捕捉的记录输入到IPv4网络的测试客户端。接下来，在支持双协议的网络上，在连接互联网的纯IPv6主机上创建另一个测试客户端。保证路由有与实际环境相近的跳数，并且让Web性能监控服务器位于中央并支持双重协议。
从两个站点并发执行测试记录，这样就可以创建IPv4与IPv6可访问性的对比统计图。您很可能从中发现一些有趣的现象，如性能不对称、有不同路径到达同一个目标(特别是内容交付网络)及IPv6出现大量的丢包等。【责任编辑： TEL：（010）】
大家都在看猜你喜欢
头条热点热点热点原创
24H热文一周话题本月最赞
讲师：30648人学习过
讲师：305263人学习过
讲师：171402人学习过
精选博文论坛热帖下载排行
精选目前国内外最流行的程序设计语言――Java作为本书的选题，并以丰富的内容来解决读者学习该语言时可能遇到的各种问题。以专业的论坛为基...
订阅51CTO邮刊电信IPv6网络安全保障体系研究 - 教育信息化 - 中国教育和科研计算机网CERNET
字体选择：　　
　　4&& 电信IPv6网络安全保障体系构建策略
　　既然IPv6与IPv4网络在安全架构上并未有质的不同，那么在目前IPv4网络向IPv6网络过渡的时期，电信运营商应采取哪些策略来构建IPv6网络安全保障体系，从而营造更安全可信的下一代网络呢？
　　第一，在原有IPv4网络环境下安全措施改进的基础上，加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范。
　　? 加强支撑系统安全，利用现有技术保障DNS系统安全。IPv6网络环境下针对DNS系统的攻击仍将猖獗，由于在IPv4/6过渡时期，IPv4/6往往采用一套DNS体系，因此仍可采用在IPv4网络环境下的DNS安全防护技术，但须提供对IPv6协议的支持。
　　? 提升承载网安全可用性，加强路由安全，防范异常流量。配置路由协议认证，采用可靠的路由认证机制，其中由于OSPFv3协议不提供认证功能，而是使用IPv6的安全机制来保证自身报文的合法性，因此采用OSPFv3协议的设备建议配置IPSec。同时，合理配置访问控制策略，以防止非法流量对路由器进行拒绝服务攻击。另外，结合异常流量检测和控制技术对网络流量进行监控。
　　? 同步规划和部署统一网络安全运营管理支撑平台。可利用现有平台提供对IPv6协议的支持，通过将IPv6网元和安全设备纳入管控，以提供对过渡时期IPv4/6网络的全方位安全管理支撑。
　　? 结合应用的开展推进IPv6 IPSec的实施。可以安全业务的形式按需部署实施IPSec，进行配套系统的部署。
　　? 防范过渡技术引起的安全问题，避免IPv4网络安全问题对IPv6网络的整体安全造成影响。双栈技术的使用将降低设备性能，更易发生DoS/DDoS攻击，需采用高性能设备作为双栈设备，以满足链路带宽冗余的需求，同时采用rACL、CBAC、CoPP等方式加强对双栈设备的安全保护。
　　第二，利用IPv6协议安全特性研究新的安全技术增强网络安全。目前业界针对IPv6网络中IP地址的真实可靠性提出了一些新的技术，如真实源地址技术、标签网技术等，但这些技术应用在电信网络环境下如何避免对网络性能和开销造成影响还需进一步研究。另外，在IPv6网络环境下自配置属性的引入也为终端安全状态检测、准入控制等安全措施的实现提供了便利，可进一步研究利用这一属性进行统一的安全策略检查和实施。
　　第三，在配套IPv6防范和运行管理技术实施建设的同时，加强安全管理组织体系和流程的建设，保障安全基础设施效能的充分发挥。
　　第四，积极拓展IPv6安全业务，利用IPv6安全特性提升业务和应用的安全性。由于网络安全特性在IPv6网络环境下的持续性，IPv4网络环境的可管理安全（MSS）体系在IPv6网络环境中将保持同等的生命力。同时，随着信息化技术的发展，可重点考虑针对家庭网络用户的基于身份认证的保密传输和安全防护、传感器网络安全接入和保密通信、移动IPv6接入安全等安全应用。此外，还可结合云计算技术、物联网应用等开展基于IPv6的电信安全业务。
　　第五，积极应对IPv6安全产品缺失的现状，促进IPv6网络安全设备的成熟。 IPv6网络同样需要部署常规的如防火墙、IDS/IPS、漏洞扫描、异常流量检测和过滤、VPN、防病毒网关等网络安全设备，这些安全设备需要提供对IPv6协议的支持，同时在实现方式上需要根据IPv6协议的特性进行改进。电信运营商可结合IPv6网络建设的进度和应用的需求推动厂商尽快推出成熟产品。
　　5&& 结语
　　随着IPv6网络安全研究和迁移工作的深入，电信运营商对于IPv6网络建设以及过渡时期的安全问题日益重视。在这一背景下，本文针对电信IPv6网络建设和过渡时期可能面临的网络安全风险的分析，提出了电信IPv6网络安全保障体系的基本架构，并给出了现阶段电信运营商IPv6网络安全保障体系的构建策略。采用本文所述的框架进行电信IPv6网络安全保障体系的构建，通过静态安全保障以及动态安全运营手段的结合，配套完善的安全组织和策略体系，并积极拓展以IPv6为基础的网络安全业务，不仅可以提升电信IPv6网络整体安全水平，达到网络安全纵深防御的目标，形成安全可管可控的电信可信IPv6网络架构，推动下一代网络安全应用的发展。
　　来源：电信科学
页面功能　【】
版权所有：中国教育和科研计算机网网络中心
,,京ICP备,
| 有任何问题与建议请联络：君，已阅读到文档的结尾了呢~~
214、电力数据通信网络的IPv6演进与安全体系架构研究——2010年电力系统自动化学术研讨会? 8,IPv6,IPV6,ipv6,IpV6
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
214、电力数据通信网络的IPv6演进与安全体系架构研究——2010年电力系统自动化学术研讨会
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口