750 likes | 1.01k Views
IPv6/v4 共存機制及其安全性分析. 曾龍 助理教授 興國管理學院 資訊科學系. About myself 曾龍 助理教授. 成功大學博士 中央研究院 / 台灣大學 博士後研究員 主要專長:量子密碼、資訊安全、資料探勘 參與計畫: 92 年 NBEN 網路安全置與實驗計畫。 92—94 年 IPv6 網路之安全性系統之開發研究。 93-94 年台灣網路安全測試平台之協同主持人。 專業證照及證書: - BSi BS7799/ISO 主導稽核員證照 - OPST certification(2004). NSQC Lab.
E N D
IPv6/v4共存機制及其安全性分析 曾龍 助理教授 興國管理學院 資訊科學系
About myself 曾龍 助理教授 • 成功大學博士 • 中央研究院/台灣大學 博士後研究員 • 主要專長:量子密碼、資訊安全、資料探勘 • 參與計畫: • 92年NBEN網路安全置與實驗計畫。 • 92—94年IPv6網路之安全性系統之開發研究。 • 93-94年台灣網路安全測試平台之協同主持人。 • 專業證照及證書: - BSi BS7799/ISO主導稽核員證照 - OPST certification(2004)
NSQC Lab • 實驗 / 研究小組 • NetSec 網路安全組 • IPv6Sec (IPv6 Security) 研究組 • QC量子密碼(Quantum Cryptography)研究組 • Wireless無線網路研究 http://www.drbt.idv.tw/NSQC/index.htm
Agenda • Section: A:Introduction B:IPv6/IPv4-coexist Mechanisms Dual-Stack Tunneling Translators C:IPv6 Security
Section A:Introduction The worldwide development of IPv6 IPv6 vs IPv4 Security issues of IPv4 and IPv6
IPv6 advantages • Increased address space • 2128 = 67 billion billion addresses per cm2 of the planet surface • Hierarchical address architecture • Improved address aggregation • More efficient header architecture • Improved routing efficiency, in some cases • Neighbor discovery and autoconfiguration • Improved operational efficiency • Easier network changes and renumbering • Multiple network prefixes: “make-before-break” • Integrated security, mobility features • QoS • Traffic class • Flow management (flow label) • Peer-to-peer applications
IPv6 Era is coming • IPv6 將取代 IPv4,成為新ㄧ世代的網路協定。 • IPv4的用罄與IPv6 相關的標準已漸趨完整。 • 強化的安全性、更好的QoS與無線技術的應用。 • IPv6帶來無限的商機與應用性 • 因應IPv6 的來臨,相關產品與應用帶來網際網路及週邊產品蓬勃的發展。 • 各先進國家均投入大量人力與經費從事相關研發與推廣(日、韓、中更將其定為國家政策)。
IPv6 Service Providers AMS-IX NSPIXP6 PAIX S-IX LINX JPNAP6 UK6X EQUI6IX S. Korea Neth UK Hong Kong Taiwan United States Germany Japan France Spain Australia Malaysia : IPv6 exchange point Backbone and Services : NTT/VERIO global IPv6 service availability NTT/VERIO IPv6 Backbone NTT/VERIO IPv4/IPv6 Backbone Backbone Transition NTT/VERIO IPv4 Backbone NTT/VERIO IPv4 Backbone Before 2000 Only IPv4 Q1 2000 ~ Q2 2003 IPv4 and IPv6 separately Current IPv4/IPv6 Dual Stack 來源:NTT/verio
Internet之父Vincent Cerf,看好IPv6發展 Source:http://www.internetweek.com/news/170701687
IPv6 and Grid[2003.2] Peter T. Kirstein University College London
Edinburgh Glasgow DL Newcastle Belfast Manchester Cambridge Oxford Hinxton RAL Cardiff London Soton Tier0/1 facility Tier2 facility Tier3 facility 10 Gbps link 2.5 Gbps link 622 Mbps link Other link Example Science Grids
GGF IPv6-Working Group • Setup & co-chaired by 6NET:IBM and UCL • Global Grid Forum (IPv6-Working Group)http://forge.gridforum.org/projects/ipv6-wg/ • IP version dependencies in GGF specifications • Guidelines for IP independence in GGF specifications • Status for Java Developers Kit API for IPv6
Globus.org Toolkit • Open source Grid Toolkit (GT) • From ANL, USC, UofC, EPCC, KTH • Corporate support IBM, MS, etc • Currently GT3.2 • Core is now fully IPv6 capable • Java based Implementation of OGSI • Cross-platform interfaces & hosting • GT4 will provide for new WSRF
6NET Project • 6NET.org is a three-year EU-funded project to demonstrate that continued growth of the Internet can be met using IPv6 • Includes a work package for IPv6 Middleware and User Application Trials • Porting and testing of Globus on IPv6 • Targeting Globus Toolkit 3 (i.e. OGSA) • Deployed GT3 IPv6 test beds at UCL and UoS • Collaboration with Globus team • Also working on IPv6 AccessGrid • AG is a collaboration system for Grid users
Dual-stack Server IPv4 Client Grid Services IPv6 Client IPv6 Stack IPv6 Stack IPv4 Stack IPv4 Stack IPv6 Interface IPv6 Interface IPv4 Interface IPv4 Interface 3ffe:2101::/64 128.16.0.0/32 Transition between IPv4/IPv6 • A long transition period from IPv4 to IPv6 is expected • Most Grid users are in IPv4 still • Run Grid services on Dual-stack server • Be able to serve both IPv4 and IPv6 Grid clients
Transition Points (Dual-Stack) APP Level Gateway Network Level Gateway IPv4-only Grid Node IPv6-only Grid Node 128.16.0.0/32 3ffe:2101::/64 Transition Scenario
IPv6-only Grid Server Dual-stack Grid Server IPv4-only Grid Server DNS DNS IPv6 Network IPv4 Network IPv4/IPv6 Gateway IPv6-only Grid Client Dual-stack Grid Client IPv4-only Grid Client 3ffe:2101::/64 128.16.0.0/32 Globus in Mixed IPv6/v4 networks
JPortal GriDM GriDM GriDM Job Submit GRAM – Job Submit & GridFTP – Data Transfer Over IPv6 SGE Master SGE Master Inter-domain Inter-domain UCL-CS Cluster1 UCL-CS Cluster2 UCL-CS Cluster3 SGE Master UCL IPv6 Grid Test Scenario • Test by the usage of upper layer Grid applications • Use eProtein application in UCL as an example
IPv6 Research and Organizations Euro6IX 6NET
IPv6 Research and Organizations • North American task force --北美洲工作小組 • VNBS from mci and nsf • 由美國國家科學基金會 (NSF) 所資助 • MCI 所架設的高速實驗性骨幹網路 (BACKBONE) • 主要用來提供給網際網路 (INTERNET) 上新發展的通訊協定 (PROTOCOL) 及技術測試用 • Moonv6 --美國 • Internet2/abilene --美國 • DANTE: Delivery of Advanced Network Technology to Europe --歐洲 • 6ix --歐洲 • GEANT --歐洲 • 6ren • IETF的IPng和Ngtrans工作小組所提出 • ESnet、Internet2/vBNS、Canarie、Carin和WIDE所建立 • ATM上的純IPv6連接 • IPv6科研教育網的雛形。 • 6 European Commission --歐洲 • 6net --歐洲
IPv6 Research and Organizations • IPv6 promotion council --日本 • wide --日本 • IPv6 forum korea --韓國 • IPv6 program office 台灣 • IPv6 Forum --台灣
美國對IPv6的態度 • IPv6在北美遭到忽視。作為Internet的發源地,全世界大部分的網絡資源和核心技術都掌握在美國人的手里,而且全世界74%的IP地址為美國所擁有,在地址資源的分配與管理上美國也擁有一套更為完善的制度,因此他們很少感受到地址容量緊張的壓力。由於Internet原有的架構並不影響他們的發展戰略和盈利空間,因此美國對IPv6並不十分重視。 • 但是最近,美國人對IPv6的態度發生了一些細微的變化。在IPv6的RFC文件發表6年之后,思科於2001年7月10日宣布與微軟、IBM、惠普、SUN和摩托羅拉結成伙伴關係,共同推進IPv6硬體和軟體的開發 • 美國對待新標準的態度有所轉變。原因: • 1)美國新經濟發展受阻,因此需要尋找新的商業機會和技術熱點; • 2)雖然現在美國市場可能不需要IPv6的產品,但可以推向國際市場,從而使得這些公司仍在新技術中占據主導作用並從中獲益; • 3)由於移動設備的劇增,北美對IPv6服務有大量的潛在需求。
美國軍方要採用IPv6 • [2003年6月]美國國防部發表備忘錄,決定在整個部門中部署IPv6。 -預計 2008 年實現從 IPv4 到 Pv6 的完全過渡。根據美國防部國防資訊系統局2003年6月30日的一篇文章《國防部的IPv6》介紹,美國防部認為,IPv6對於美軍來說至關重要,未來作戰系統對IPv6的實現提出了迫切需求,各種武器系統、資訊系統和指揮控制系統將通過網絡實現聯系,IPv6為其提供了實現的技術基礎和可能。同時,IPv6具有IPv4所沒有的絕對優勢,它巨大的地址空間、高度的靈活性和安全性、可動態進行地址分配的特性以及完全的分布式結構有著巨大的軍事價值和潛力,特別是對移動使用者的支持更是以前所有的技術所不能相比的。 2003年10月開始支持IPv6協定,以便這一協定能夠被融入新型武器和通信系統的設計當中。 • 在2005年前美國國防部所有網路將全面兼容IPv6 • 在2008年前IPv6將成為美國國防部所有連網資訊系統的標準。美國國防部負責網絡和資訊集成的副國防部長約翰-斯特恩比特認為軍方採用IPv6是一種進步,並且軍方必須跟上商界的步伐。美國國防部已經開始設計能夠同時與IPv4和IPv6兼容的新軟體。 • 美國國防部IPv6的進度: • · 2002年至2004年形成標準的IPv6協定; • · 2005年至2007年,IPv6和IPv4協定共同運行; • · 2008年實現美國本土全面的IPv6計劃,IPv4協定退出。
Moonv6-美國最大的IPv6實驗網路[2004年3月]美國國防部完成最大的IPv6實驗網路Moonv6 test • http://www.moonv6.com/
www.6bone.net::[3ffe::/16] 1996 年 8 月由 IETF 創建,是世界上成立最早,也是迄今規模最大的全球範圍 的 IPv6 示範網。到 2002 年, 6Bone 的規模已經擴展到 57 個國家和地區, 連接了近千個結點,成為 IPv6 研究者、開發者和實踐者的主要平台。 phaseout date:: June 6, 2006
歐洲國家對IPv6的態度: • 在歐洲,政府和各大公司對IPv6的態度都比較積極。他們認為採用IPv6將為下一代固定網服務和移動網服務的廣泛部署徹底解決地址空間問題,而且他們擔心在未來網際網路設備與應用的發展方面落後於像日本這樣的國家。所以,雖然歐洲在IPv4地址上的壓力比亞洲小,但也希望在IPv6上有所作為。 • 歐洲移動通信事業相當發達,它們希望能夠在移動通訊領域中掌握先機,通過3G的部署來實現它們在未來的網路經濟中與美國並駕齊驅的願望。專家認為歐洲的3G將在2-3年內步入實際應用階段。為了抓住這一發展的契機,歐洲的各大廠商和運營商都對IPv6寄予了厚望並竭盡全力對它進行推廣和研究,如諾基亞、愛立信、英國電信等公司一直都是IPv6研究方向的主要引導者。 • 歐委會希望歐洲國家盡早採用IPv6,從而加強歐洲固定運營商和移動運營商的競爭能力,強化生產相關設備的其它行業的競爭能力,如汽車和家用電器行業。歐委會的許多建議都希望集中強化歐盟的支持,以鼓勵IPv6服務與應用在固定網和無線網上開展大規模試驗以及開發IPv6的設備與服務。美國公司對IPv6的接納將會促進歐洲IPv6的部署,同時也會加大IPv6技術和產品的競爭。
IPv6國際發展現況 –EU Commission歐盟 • 2001年成立IPv6工作小組(IPv6 Task Force) • “先移動,後固網”,無線應用是歐洲發展IPv6的特色。 • 歐洲IPv6試驗網路:Euro6IX 和 6NET。 • 歐洲政府和各大廠商態度積極,如諾基亞、易立信等,他們加快了IPv6的開發和產品化。 • IPv6 Roadmap • 進行中的IPv6 相關的跨國研究計劃:31個 • 參與國家:37國 • 投入研究的單位: >100個 • 總研究經費達1.56億歐元 Nokia:全球第一款Mobile IPv6 PDA手機
Euro6IX 2 Platforms boosting IPv6 launch in Europe To Japan 6NET To NorthAmerican To Korea Note: The contracts for both Euro6IX and 6NET ※http://www.ec.ipv6tf.org/in/i-index.php
法國 RENATER2 • RENATER2 是法國的 IPv6 科學網,骨幹網路使用 ATM 交換機連接,同時連接到 6Bone ,捷克研究網絡 TEN-155 ,美國、加拿大和日本的試驗網。 • 另外還有法國的 AIRS++ ,北約 INSC 試驗網和 Geant , • 歐洲 ANDROID 該項目由英國電信領導,項目的目的是:驗證在基於 IPv4/IPv6 的基礎設施上提供可以管理的、易於擴展的,可以支持按需 IP 服務的網路結構。 ANDROID 網絡使用了 RENATER , 6Bone 和 6NET 作為骨幹網路。
6REN(IPv6 Research and Education Network Initiative ) • 為了加速 IPv6 向實用化的方向邁進, 1998 年 12 月, IETF 的 Ipng 和 Ngtrans 工作組提出建立全球性的 IPv6 研究與教育網 6REN • 6REN 的主要目標是提供高質量的 IPv6 分組傳輸服務,增加運營 IPv6 網路的經驗,促進 IPv6 網絡的部署以及測試早起的 IPv6 應用。 • 在 6REN 不斷發展期間,為了更好地支援 6REN 參與者之間地純 IPv6 對等互連, Canarie 和 Esnet 在 1999 年初共同發起了一個稱為 IPv6 交換的計劃—6TAP ,由 Esnet 提供路由服務和運營管理, Canarie 提供路由服務器和註冊服務,建立了一個以 ATM 交換機為中心的 IPv6 洲際網路。
亞太地區國家對IPv6的態度 • 由於IP地址緊缺等原因,亞洲對待IPv6的態度比歐美積極,並已走在世界的前列。 • 亞洲國家中,對IPv6報以極大熱情的是日本,日本政府制定了“e-Japan”的戰略:1999年-2000年開始分配IPv6的位址,2001年-2005年開始全日本的IPv6商用化服務。目前全世界日本為支援IPv6的設備廠商提供最多的國家,如NEC、日立、富士通,而且日本已經有10多家ISP提供IPv6業務,如WIDE的NSPIXP6等。 • 雖然日本的IPv6研發和應用走在了亞太各國的前列,但同時亞太地區一些經濟較發達的國家和地區如韓國、新加坡等也對新技術比較關注。 • 韓國情報通信部近日宣布,韓國將在2007年普及新一代IPv6 internet 。韓國將組建“新一代因特網戰略協議會”,以有效促進新一代因特網的研發、服務及商業運營。韓國政府也將投資1885億韓元(約合1.6億美元),用於新一代因特網的研發和商用化。自2005年起,韓國公共部門通信網將首先採用新一代因特網體系。同時,韓國將建立有線和無線一體化的試驗網,提供IPv6制式的因特網電話服務,試用相關設備和技術。韓國情報通信部決定今年年底前建立一個新一代因特網示範館,以促進其盡快普及。
宣佈IPv6 policy • Prime Minister, Yoshiro Mori • I shall boldly address the diverse range of issues we face, including the early realization of e-government, the computerization of school education and the development of systems compatible with the integration of communications and broadcasting, on the basis of discussion in the IT Strategy Council. We shall also aim to provide a telling international contribution to the development of the Internet through research and development of state-of-the-art Internet technologies and active participation in resolving global Internet issues in such areas as IP version 6 (IPv6). • http://www.kantei.go.jp/foreign/souri/mori/2000/0921policy.html
IPv6國際發展現況 - Japan • 日本政府將IPv6 列入“e-Japan” 計畫中,並以IPv6 發展下一代的Internet相關產業界傾全力支援政府政策。 - 確定在2005年完成IPv6網路的建置 – 主要的ISPs(甚至連新成立或偏遠地區的小ISPs)都已開始推出IPv6服務 – 骨幹及交換中心已開始提供IPv6服務 – 主要的網路設備商已經“v6-ready” – 主要的終端設備商已開始推出產品 • 大力支持Internet資訊家電IPv6化的研究開發。 • 建立JGN(Japan Gigabit Networks)使之成為產、學、研的IPv6支撐平台。 • 日本NTT與Verio已聯合建立了一個跨越日本、歐洲和美國的商用IPv6骨幹網路。 • http://www.v6pc.jp/chb/index.html
日本政府為了發揮產學研組織的作用,早在 1988 年就成立了互聯網及廣域網的產學研聯合研究開發組織 WIDE ,而且該組織正發展成一個國際性 IPv6 研究組織。 • 2000 年 9 月,日本政府把 IPv6 技術的確立、普及與國際貢獻作為政府的基本政策公布; 11 月將現有網絡推進、過渡到 IPv6 網絡作為“ IT 基本戰略”中的重點政策“超高速網絡建設和競爭政策”的具體目標。 • 2001 年 3 月,明確設定在 2005 年完成互聯網向 IPv6 的過渡,投巨資支持 IPv6 ,全面部署實施 IPv6 的網絡環境,讓所有家庭與光縴網連接,讓所有家電產品都能上網,使日本的網絡普及率提高到全球最高水平。 • 2001 年,在日本政府的支持下,又成立了另一個產學研組織 —IPv6 普及及推進協會,旨在推動 IPv6 的產業化形成。日本政府還專款投入,重點支持了一些項目,包括下一代網絡標準 IPv6 的制定,互聯網資訊家電的研究開發,建立日本千兆位網( JGN )等。 • 在全球 IPv6 商用服務、產品及應用開發方面,日本目前處於領先地位。 2001 年日本就已推出了純 IPv6 實驗業務,同年 NTT 在全球第一個推出了 IPv6 商用服務。其他各大運營商及 ISP 也紛紛搭建 IPv6 網絡,目前,日本已經有 10 多家運營商及 ISP 提供 IPv6 商用服務。此外, WIDE 項目將在東京建立超過 20 個 ISP 直接互連在一起的試驗性 IPv6IX 網( Internet Exchange ),這也是世界上最大的 IPv6IX 之一。 • 在日本政府的大力支持下,企業研發和生產支持 IPv6 產品的熱情空前高漲。
札幌 仙台 那覇 金沢 長野 つくば 幕張 京都 東京 岡山 大阪 名古屋 けいはんな 高松 北九州 福岡 高知 JGN (Japan Gigabit Network) IPv6 Service IPv6 Routers; Cisco, Juniper, Hitachi, Fujitsu, NEC (*) All routers yield more than 500 Mbps throughput (*) Agenda FY 2002 1. OSPFv3 & IS-IS 2. Multicast 3. Full scale dual stack operation 4. SMNP with IPv6 JGN IPv6 NOC ; 26 sites - Otemachi(Tokyo), Dojima(Osaka), Research Center (Tohoku-U, Makuhari, U-Tokyo, Kochi), Giga-Lab (Tsukubam Keihan-na, Okayamam Kokura), Tohoku-U, U-Tokyo, Keio-U, Nagoya-U, Toyama, Ishikawa/JAIST, NAIST, Softpia, Kyoto-U, Osaka-U, KUSA、Hiroshima-U, Hiroshima-CU, Kyushu-U, Saga-U, Okinawa Interoperability, conformance and performance Evaluation Lab. ; 3 sites Otemachi, Okayama, Makuhari • http://www.v6pc.jp/chb/index.html
IPv6國際發展現況 - 韓國 • 推動IPv6 為韓國政府發展IT 之策略 - 第一階段(2001年以前) :建立IPv6試驗網,開展驗證、運作和宣傳工作 - 第二階段(2002年~2005年) :建立IPv6網路,與現有IPv4網路互通.在 IMT2000上提供IPv6服務。 - 第三階段(2006年~2010年) :縮減原本以IPv4為主的網路應用,建立以 IPv6為主的網路架構,提供有線和無線 IPv6商用服務。 - 第四階段(2011年以後) :最終演變成一個單一的IPv6網路。 • 839億韓元(USD$83M)預算2003-05 – 包括IPv6-based Large scale testbed (6NGIX), VoIP, Multicast, 無線行動 網路、IETF 標準制定 • 積極扮演IPv6 技術領導的角色 – 已展開多種試驗計畫及試行服務 – Samsung, LG 已有IPv6 產品問市(Chip, Home GW) ※http://www.ipv6.or.kr/
韓國 ETRI 已經開發了 IPv6 多播視訊會議和視訊流業務 • NCA 已經開發了 VoIPv6 ,另外開展了一些寬帶 Internet 業務,如線上網路游戲、網路銀行、網路教學和實時 VOD 等。 • 韓國的 IPv6 網路: 6Bone-KR ( 1998 )( ETRI ) KOREN IPv6 ( 1999 )( KT )和 TEIN(Trans Eurasia Information Network ,2001) IX 有 6NGIX(2001)(NCA)。
IPv6國際發展現況 -中國 • 1999 年,北京英納特網路研究所(BII),加入 6BONE。 • 2002 年,資訊產業部電信研究院與 BII 共同建立中國第一個電信 IPv6 實驗網路,並與6BONE 連接,通過 2.5G 光纖運行 native IPv6 協定,提供IPv6多種應用服務。 • 2003 年 3 月實驗網路建置完成,並已設置一些相關的 IPv6 應用,整個網路採用 IPv6 over IPv4 的方式接入6Bone。 • 2005年:中國5大運營商和學術網路CERNET將建構出6個全國性的IPv6骨幹網路(覆蓋全國39個重要節點)和至少2個交換中心,試驗各個IPv6骨幹網路之間的互聯互通。