论文部分内容阅读
[摘要]:在互联网当中,IP地址是非常重要的基础资源,而且IP地址和互联网的安全可信也有着比较紧密的联系。为了能够构建可信的互联网环境,那么最关键的就是需要对IP地址的管理工作进行研究,主要就包括了IP地址的配置、IP地址的分配以及源地址的验证等。本文主要就是对面向可信互联网的IP地址管理技术进行简单的分析和介绍。
[关键词]:IP地址 可信互联网 管理技术
随着社会经济的不断发展,现在社会上最重要的信息基础设施就是互联网,它可以使得人们的生活和生产效率有效的提高.但是随着垃圾邮件、恶意攻击以及钓鱼网站的不断出现,也反应出来互联网其实也并不是一个非常安全的系统。也正是因为互联网的不可信,使得互联网基础设施的应用价值在不断的下降,严重阻碍了互联网的快速发展。随着人们对互联网可信问题的关注越来越大,那么可信网络也就在这个时候出现了。构建可信互联网是一个比较系统和复杂的工作,在进行构建的时候主要就包含了物理的基础设施层面、基础的服务层面以及业务的应用层面。在互联网的结构体系当中,网络层是互联互通的关键,而IP地址则是网络层寻址服务的标志,所以对IP管理技术进行研究,对于构建可信互联网是非常关键的。
一、IP地址的分配和域间路由的安全
之前传统的域间路由协议是存在很多的隐患,比如对路由的通告不会加以验证以及蓄意伪造或者是错误的路由可达信息可以在互联网上进行比较随意的传播。主要的表现形式就是自治域路径的信息被篡改以及IP地址的前缀被劫持。自治域路径的信息被篡改主要就是对域间路由协议的报文自治域路径的信息进行蓄意的修改,从而来传播虚假的网络拓扑信息,最终的目的就是为以后的网络攻击做铺垫。IP地址的前缀被劫持主要就是指在某一个自治域内发出了一个不是本自治域内的IP地址前缀的路由可达通告,这样就会使得该网络当中以这个IP地址前缀为路由目的的流量全部或者是部分被路由到该自治域当中。
针对上述存在的一些隐患,现在进行解决的时候就可以采用下面这几种方式。首先在协议的层面上来对域间路由的安全缺陷进行弥补,从而来防止自治域路径的信息被篡改以及IP地址的前缀被劫持这两种攻击。其次就是对IP地址的分配机制进行完善,从而来防止IP地址的前缀被劫持。第一种方法主要涉及到的是对域间路由的协议进行改进,和本文所要讲的IP地址的管理技术没有太多的关系。第二种方法主要就是从IP地址的管理技术角度出发来使得互联网的域间路由安全。
防止IP地址的前缀被劫持最关键的就是IP地址的前缀和路由源的自治域号之间的正确映射关系。而围绕着IP地址的前缀和路由源的自治域号之间的正确映射关系可以很好的实现IP分配地址的关系以及授权的信息都是真实和可信,那么就能够对IP地址的前缀被劫持进行有效的抵御。但是RPKI、IPa+、DoAV这三者在效率、域间路由安全的可扩展性以及部署的机制方面都存在一些差异,而对这些差异进行比较则是在建立可信互联网时应该要重点考虑的因素。下图则是这三者之间的相互比较。
二、IP地址的配置和接入网的安全
在现在的互联网结构体系当中,主机在互联网上的身份和标志就是IP地址,所以对IP地址进行安全的配置,对于网络运营商实施管理技术有着直接的影响,同时也是在进行可信互联网的构建当中接入层的主要内容。根据配置策略的不同,可以把IP地址的配置分成静态、动态以及无状态的自动配置。在进行静态和动态配置的时候,可以通过主机配置领域中的标准化协议来完成,而无状态的自动配置则是IPv6内置的一项新的协议。在IP配置的领域当中,标准化协议占据着非常重要的位置,所以在研究IP地址配置和接入网安全问题的时候,主要就是对标准化协议安全领域的技术进行研究。在标准化协议当中两个最基本的角色就是客户端和服务器端,而有关标准化协议的安全问题主要也就是来源于没有经过授权的标准化协议的客户端以及没有经过授权的标准化协议的服务器端。前者主要就是指那些恶意的主机伪造成某一个接入网的合法标准化协议的客户端,然后对该网络的资源进行盗用。后者主要就是指那么恶意的主机伪装成为标准化协议的服务器端,然后向用户的主机提供一些错误的IP地址或者其他的网络参数,从而让用户的主机不能够正常的接入到互联网。所以标准化协议的安全核心的内容就是身份的验证以及授权。
三、源地址的验证技术分析
如果仅仅是依靠安全的IP地址分配技术和IP地址配置技术的话,依然不能够去完全的支撑可信互联网的IP地址的管理技术工作。因为互联网的协议栈网络层没有能够很好的实现对数据包源IP地址的验证,这样就可以随意的伪造源IP地址,从而来作为网络攻击的前奏。那么为了能够很好的弥补网络层协议在设计方面的缺陷,从而就出现了对源地址进行验证的技术。在对源地址验证技术进行分类的时候,可以根据验证机制部署位置的不同,把源地址验证技术分成自治域间的验证、接入网的验证以及端到端的验证。因为互联网的系统结构在设计方面存在一定的缺陷,所以在对源地址进行验证的时候,也是一个比较复杂的系统工程。为了使得源地址验证机制的部署能够更加的有效,相关的研究人员就设计出了互联网源地址验证的整体框架,这样就可以对各种各样的源地址验证技术进行统一的整合,从而来使得相关的技术细节能够更加的标准化。因为互联网的边缘网络在接入的控制技术、物理特征、管理策略以及资源的分配机制等方面差异比较的大,所以源地址的验证技术应该要和具体的接入环境相结合。但是随着源地址验证技术的不断发展,最终也会使得源地址验证技术遇到一定的瓶颈,那么在这个时候,就需要采用IP地址的互联网审计技术。
结束语:
现在随着IPv4地址资源的分配完毕,从而就标志着IPv6地址规划的时代已经开始了。IPv6地址规划时代的开始,主要是因为IPv4的地址空间受到一定的局限,从而来尽可能的去弥补IPv4时代互联网安全当中存在的一些问题。在网络技术的发展过程当中IPv6是一次非常重要的升级,IPv6在IP地址的层面结构特征以及协议方面,为面向可信互联网的IP地址管理技术的进一步研究带来了新的机遇,很好的解决现在IPv6地址管理当中存在的问题,在IPv4到IPv6的发展过程当中,构建可信互联网是现在研究的主要内容。
参考文献:
[1]韩军浩. IP地址管理系统的研究与实现[D].北京邮电大学,2008.
[2]孟然,沈彬,曹远. 互联网IP地址资源的信息化管理[J]. 电信网技术,2013,02:8-12.
[3]. 互联网IP地址备案管理办法[J]. 科技与法律,2005,02:156-158.
[4]. 互联网IP地址备案管理办法[J]. 司法业务文选,2005,12:25-28.
[5]姜芳芳. IP技术和IP网络的概述[A]. .2005年安徽通信论文集[C].:,2006:4.
[关键词]:IP地址 可信互联网 管理技术
随着社会经济的不断发展,现在社会上最重要的信息基础设施就是互联网,它可以使得人们的生活和生产效率有效的提高.但是随着垃圾邮件、恶意攻击以及钓鱼网站的不断出现,也反应出来互联网其实也并不是一个非常安全的系统。也正是因为互联网的不可信,使得互联网基础设施的应用价值在不断的下降,严重阻碍了互联网的快速发展。随着人们对互联网可信问题的关注越来越大,那么可信网络也就在这个时候出现了。构建可信互联网是一个比较系统和复杂的工作,在进行构建的时候主要就包含了物理的基础设施层面、基础的服务层面以及业务的应用层面。在互联网的结构体系当中,网络层是互联互通的关键,而IP地址则是网络层寻址服务的标志,所以对IP管理技术进行研究,对于构建可信互联网是非常关键的。
一、IP地址的分配和域间路由的安全
之前传统的域间路由协议是存在很多的隐患,比如对路由的通告不会加以验证以及蓄意伪造或者是错误的路由可达信息可以在互联网上进行比较随意的传播。主要的表现形式就是自治域路径的信息被篡改以及IP地址的前缀被劫持。自治域路径的信息被篡改主要就是对域间路由协议的报文自治域路径的信息进行蓄意的修改,从而来传播虚假的网络拓扑信息,最终的目的就是为以后的网络攻击做铺垫。IP地址的前缀被劫持主要就是指在某一个自治域内发出了一个不是本自治域内的IP地址前缀的路由可达通告,这样就会使得该网络当中以这个IP地址前缀为路由目的的流量全部或者是部分被路由到该自治域当中。
针对上述存在的一些隐患,现在进行解决的时候就可以采用下面这几种方式。首先在协议的层面上来对域间路由的安全缺陷进行弥补,从而来防止自治域路径的信息被篡改以及IP地址的前缀被劫持这两种攻击。其次就是对IP地址的分配机制进行完善,从而来防止IP地址的前缀被劫持。第一种方法主要涉及到的是对域间路由的协议进行改进,和本文所要讲的IP地址的管理技术没有太多的关系。第二种方法主要就是从IP地址的管理技术角度出发来使得互联网的域间路由安全。
防止IP地址的前缀被劫持最关键的就是IP地址的前缀和路由源的自治域号之间的正确映射关系。而围绕着IP地址的前缀和路由源的自治域号之间的正确映射关系可以很好的实现IP分配地址的关系以及授权的信息都是真实和可信,那么就能够对IP地址的前缀被劫持进行有效的抵御。但是RPKI、IPa+、DoAV这三者在效率、域间路由安全的可扩展性以及部署的机制方面都存在一些差异,而对这些差异进行比较则是在建立可信互联网时应该要重点考虑的因素。下图则是这三者之间的相互比较。
二、IP地址的配置和接入网的安全
在现在的互联网结构体系当中,主机在互联网上的身份和标志就是IP地址,所以对IP地址进行安全的配置,对于网络运营商实施管理技术有着直接的影响,同时也是在进行可信互联网的构建当中接入层的主要内容。根据配置策略的不同,可以把IP地址的配置分成静态、动态以及无状态的自动配置。在进行静态和动态配置的时候,可以通过主机配置领域中的标准化协议来完成,而无状态的自动配置则是IPv6内置的一项新的协议。在IP配置的领域当中,标准化协议占据着非常重要的位置,所以在研究IP地址配置和接入网安全问题的时候,主要就是对标准化协议安全领域的技术进行研究。在标准化协议当中两个最基本的角色就是客户端和服务器端,而有关标准化协议的安全问题主要也就是来源于没有经过授权的标准化协议的客户端以及没有经过授权的标准化协议的服务器端。前者主要就是指那些恶意的主机伪造成某一个接入网的合法标准化协议的客户端,然后对该网络的资源进行盗用。后者主要就是指那么恶意的主机伪装成为标准化协议的服务器端,然后向用户的主机提供一些错误的IP地址或者其他的网络参数,从而让用户的主机不能够正常的接入到互联网。所以标准化协议的安全核心的内容就是身份的验证以及授权。
三、源地址的验证技术分析
如果仅仅是依靠安全的IP地址分配技术和IP地址配置技术的话,依然不能够去完全的支撑可信互联网的IP地址的管理技术工作。因为互联网的协议栈网络层没有能够很好的实现对数据包源IP地址的验证,这样就可以随意的伪造源IP地址,从而来作为网络攻击的前奏。那么为了能够很好的弥补网络层协议在设计方面的缺陷,从而就出现了对源地址进行验证的技术。在对源地址验证技术进行分类的时候,可以根据验证机制部署位置的不同,把源地址验证技术分成自治域间的验证、接入网的验证以及端到端的验证。因为互联网的系统结构在设计方面存在一定的缺陷,所以在对源地址进行验证的时候,也是一个比较复杂的系统工程。为了使得源地址验证机制的部署能够更加的有效,相关的研究人员就设计出了互联网源地址验证的整体框架,这样就可以对各种各样的源地址验证技术进行统一的整合,从而来使得相关的技术细节能够更加的标准化。因为互联网的边缘网络在接入的控制技术、物理特征、管理策略以及资源的分配机制等方面差异比较的大,所以源地址的验证技术应该要和具体的接入环境相结合。但是随着源地址验证技术的不断发展,最终也会使得源地址验证技术遇到一定的瓶颈,那么在这个时候,就需要采用IP地址的互联网审计技术。
结束语:
现在随着IPv4地址资源的分配完毕,从而就标志着IPv6地址规划的时代已经开始了。IPv6地址规划时代的开始,主要是因为IPv4的地址空间受到一定的局限,从而来尽可能的去弥补IPv4时代互联网安全当中存在的一些问题。在网络技术的发展过程当中IPv6是一次非常重要的升级,IPv6在IP地址的层面结构特征以及协议方面,为面向可信互联网的IP地址管理技术的进一步研究带来了新的机遇,很好的解决现在IPv6地址管理当中存在的问题,在IPv4到IPv6的发展过程当中,构建可信互联网是现在研究的主要内容。
参考文献:
[1]韩军浩. IP地址管理系统的研究与实现[D].北京邮电大学,2008.
[2]孟然,沈彬,曹远. 互联网IP地址资源的信息化管理[J]. 电信网技术,2013,02:8-12.
[3]. 互联网IP地址备案管理办法[J]. 科技与法律,2005,02:156-158.
[4]. 互联网IP地址备案管理办法[J]. 司法业务文选,2005,12:25-28.
[5]姜芳芳. IP技术和IP网络的概述[A]. .2005年安徽通信论文集[C].:,2006:4.