IPv6安全技術(shù)研究

孫曉玲

（赤峰學(xué)院 計算機(jī)與信息工程學(xué)院，內(nèi)蒙古 赤峰 024000）

IPv6安全技術(shù)研究

孫曉玲

（赤峰學(xué)院 計算機(jī)與信息工程學(xué)院，內(nèi)蒙古 赤峰 024000）

針對IPv6在網(wǎng)絡(luò)安全方面的特性，論述了IPv6網(wǎng)絡(luò)安全機(jī)制以及和IPSec的關(guān)系，著重研究了IPSec所提供的網(wǎng)絡(luò)安全服務(wù)與實(shí)現(xiàn)原理，指出IPSec在IPv6協(xié)議安全方面的作用，討論了IPSec與傳統(tǒng)安全技術(shù)結(jié)合實(shí)現(xiàn)網(wǎng)絡(luò)安全的機(jī)制與原理，并分析了Ipv6面臨的安全問題以及如何實(shí)現(xiàn)安全保護(hù)的措施和策略.

Ipv6；安全技術(shù)；IPsec

1 引言

目前常見的網(wǎng)絡(luò)安全技術(shù)如防火墻、入侵檢測等基本上都是針對IPv4的，而IPv6作為下一代網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)，取代IPv4已成必然.隨著互聯(lián)網(wǎng)的迅猛發(fā)展，各種網(wǎng)絡(luò)攻擊行為層出不窮，現(xiàn)有的安全技術(shù)很難適應(yīng)未來網(wǎng)絡(luò)的發(fā)展需要，建設(shè)高速、智能、動態(tài)和自適應(yīng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)已迫在眉睫，因此，面向IPv6的安全技術(shù)研究成為當(dāng)前的熱點(diǎn)和重點(diǎn)問題.

2 IPsec概述

IPv6在安全性上較IPv4有了很大的改進(jìn)，它在設(shè)計時就將IPsec（IP Security，由IETF制定的開放性IP安全標(biāo)準(zhǔn)）作為重要的組成部分，使之和IPsec緊密結(jié)合，以提高安全性能.IPsec是一種協(xié)議套件，包括：AH（Authentication Header，驗證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange， 因特網(wǎng)密鑰交換）等，它通過使用ESP和AH對上層協(xié)議和IP包進(jìn)行保護(hù).其中AH采用多種驗證算法對數(shù)據(jù)的起源地進(jìn)行驗證，即身份驗證，以此保證數(shù)據(jù)完整性和驗證安全以及數(shù)據(jù)包的抗重播特性；ESP用以保證數(shù)據(jù)內(nèi)容的機(jī)密性，在對數(shù)據(jù)進(jìn)行加密的同時，還具有AH的功能，實(shí)現(xiàn)數(shù)據(jù)的驗證，它既有驗證算法又有加密算法.

IPsec協(xié)議提供兩種不同的數(shù)據(jù)傳輸模式，一是傳送模式，該模式中，IP頭與上層協(xié)議頭之間需插入一個特殊的IPsec頭（AH頭或ESP頭）,用以保護(hù)上層協(xié)議；另一個是隧道模式，該模式中，要保護(hù)的整個IP數(shù)據(jù)包被封裝到另一IP包中，同時在外部與內(nèi)部之間插入一個IPsec頭，以此來保護(hù)整個IP數(shù)據(jù)包.IPsec為了執(zhí)行肩負(fù)的數(shù)據(jù)驗證和機(jī)密性保證任務(wù)，提供了兩種密鑰管理機(jī)制，一是人工增加密鑰，此種方式不易擴(kuò)展（伸縮），二是采用IKE進(jìn)行密鑰交換，此種方式通過階段交換密鑰動態(tài)地進(jìn)行協(xié)商驗證并生成共享密鑰，具有高度的伸縮性.IKE通過一系列強(qiáng)安全性的非對稱算法交換非密鑰數(shù)據(jù)，實(shí)現(xiàn)密鑰交換，解決了在不安全網(wǎng)絡(luò)環(huán)境中安全地建立或更新共享密鑰的問題，它利用已經(jīng)通過驗證和安全的通道為IPsec協(xié)商提供安全服務(wù)，此種方式較人工增加密鑰有很大優(yōu)勢，一般被采用.

IPsec中有兩個重要的數(shù)據(jù)庫，一個是SADB（Security Association Data Base，安全聯(lián)盟數(shù)據(jù)庫）它的每一條記錄SA（Security Association，安全聯(lián)盟），是由兩個通信實(shí)體協(xié)商后建立的約定規(guī)則，包括用來保護(hù)IP包安全的IPsec協(xié)議、轉(zhuǎn)碼方式、密鑰及有效時間等；另一個是SPD（Security Policy Data Base，安全策略數(shù)據(jù)庫），它的每一條記錄是一個策略，也是人機(jī)之間交互的安全接口，決定兩個通信實(shí)體間能否通信以及如何通信，包括定義、表示、管理及與各個組件之間的交互等.這兩個數(shù)據(jù)庫通常聯(lián)合使用，對于目的方，通過數(shù)據(jù)包頭包含的IP地址和協(xié)議類型等在SADB中查找相應(yīng)的SA.而對于源方，SPD的記錄指針將指向相應(yīng)的SADB記錄，若找不到適合的SA，將創(chuàng)建新SA，并將SPD記錄與新SA記錄鏈接起來.IPsec采用IKE自動地為通信實(shí)體協(xié)商SA，并對SADB進(jìn)行維護(hù)，保證通信安全.

3 IPsec在IPv6中的應(yīng)用

IPsec是IPv4下的一個可選模塊.它是對IPv4采取的補(bǔ)救性措施.而IPv6在設(shè)計之初就充分考慮到了安全因素，它和IPsec結(jié)合更緊密，實(shí)現(xiàn)起來更容易，因此安全性比IPv4高很多.IPv6將AH和ESP作為它的擴(kuò)展包頭成為其自身的一部分，這樣，當(dāng)IPv6擴(kuò)展包頭中包含有AH鑒別頭時，就能對IPv6報文進(jìn)行身份鑒別，驗證其完整性，從而防止對報文進(jìn)行偽裝或篡改.當(dāng)IPv6擴(kuò)展包頭中包含ESP時，既能對身份驗證，同時還能對數(shù)據(jù)進(jìn)行加密，如果使用傳輸模式加密可以針對傳輸層數(shù)據(jù)形成端到端的加密，防止對高層（傳輸層和應(yīng)用層）數(shù)據(jù)的分析；如果采用隧道模式進(jìn)行加密，需要安全網(wǎng)關(guān)，即采用虛擬專用網(wǎng)技術(shù)，在網(wǎng)關(guān)內(nèi)數(shù)據(jù)是明文，而網(wǎng)關(guān)外（發(fā)出或接收）都是加密的密文，由此看出，IPv6中使用IPsec很容易實(shí)現(xiàn)數(shù)據(jù)加密和身份驗證，保證通信內(nèi)容不被竊取和破壞.

4 IPv6與傳統(tǒng)安全技術(shù)相結(jié)合的安全機(jī)制

在現(xiàn)實(shí)環(huán)境中，網(wǎng)絡(luò)安全問題是很復(fù)雜的，涉及的范圍也很廣泛，單純采用IPsec來保證網(wǎng)絡(luò)安全是很不夠的，實(shí)際應(yīng)用中還需要結(jié)合其它的安全技術(shù)，如：防火墻、入侵檢測、虛擬專用網(wǎng)等來最大程度地進(jìn)行安全保證.

傳統(tǒng)的防火墻技術(shù)通過授權(quán)來限制訪問或拒絕和限制用戶的網(wǎng)絡(luò)行為.其實(shí)現(xiàn)方式主要有兩種，一種是報文過濾型，它根據(jù)報文的發(fā)送和接收方的IP地址、端口和傳送方向等報頭信息，依據(jù)一定的規(guī)則，判斷決定報文能否通過；另一種是應(yīng)用網(wǎng)關(guān)型，主要作用在應(yīng)用層，針對各種應(yīng)用服務(wù)編制代理程序，監(jiān)視和控制其通信過程.報文過濾型防火墻實(shí)現(xiàn)相對簡單，智能性和自適應(yīng)處理能力較差；應(yīng)用網(wǎng)關(guān)型防火墻實(shí)現(xiàn)起來較為復(fù)雜，但功能更強(qiáng)，有一定的智能性和自適應(yīng)性.IPv6的防火墻也有報文過濾型和應(yīng)用網(wǎng)關(guān)型兩種實(shí)現(xiàn)方式，但由于IP層協(xié)議的變化，需要在原有防火墻的基礎(chǔ)上進(jìn)行一些改進(jìn)，比如針對IPv6協(xié)議設(shè)置過濾條件，制定相應(yīng)規(guī)則等.需要指出的是，由于防火墻不能解析報文的數(shù)據(jù)內(nèi)容，如果對IPv6報文進(jìn)行了加密，防火墻就很難處理.

IDS（Intrusion Detection System，入侵檢測系統(tǒng)）通過收集各種通信信息并加以分析來監(jiān)視非法入侵行為，實(shí)施報警措施.它相當(dāng)于一個監(jiān)聽器，不會對正常的通信造成影響.需要指出的是，目前IDS還沒有統(tǒng)一的正式標(biāo)準(zhǔn)，而且它對系統(tǒng)資源要求較高，對于高速網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)入侵檢測比較困難.

VPN（Virtual Private Network，虛擬專用網(wǎng)）通過為通信雙方提供專用的虛擬通道實(shí)現(xiàn)通信，從而防止通信內(nèi)容被干擾、竊聽和破壞.實(shí)現(xiàn)方式通常是采用IPsec協(xié)議，這也是IPv6主要的安全手段，即通過數(shù)據(jù)加密和VPN技術(shù)來保證網(wǎng)絡(luò)系統(tǒng)安全.需要指出的是，在實(shí)際應(yīng)用中，IPv6往往將傳統(tǒng)安全技術(shù)與自身的安全體系結(jié)合起來，使得用戶得到更高級別的安全保障.比如，兩個網(wǎng)絡(luò)（或節(jié)點(diǎn)）通過安全網(wǎng)關(guān)通信，如果網(wǎng)絡(luò)內(nèi)部主機(jī)和外部通信時采用隧道模式（利用VPN），則網(wǎng)絡(luò)內(nèi)部是明文通信，IPsec只是應(yīng)用在安全網(wǎng)關(guān)之間，為了更好地保證安全性，可以在安全網(wǎng)關(guān)內(nèi)部加IDS或防火墻.

5 結(jié)束語

Ipv6協(xié)議中引入了兩個新的擴(kuò)展報頭AH和ESP，它們幫助Ipv6解決了身份認(rèn)證、數(shù)據(jù)完整性和機(jī)密性的問題，使Ipv6真正實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，這是非常大的進(jìn)步.目前基于IPv6的下一代網(wǎng)絡(luò)，正在受到越來越多的國家和研究單位的關(guān)注，隨著大規(guī)模的IPv6網(wǎng)絡(luò)的普及和應(yīng)用形式的迫近，新一輪的安全問題又會產(chǎn)生，網(wǎng)絡(luò)安全會不斷面臨新的課題，如何在新環(huán)境下（包括網(wǎng)絡(luò)速度的提高和各種網(wǎng)絡(luò)新業(yè)務(wù)的不斷涌現(xiàn)等諸多情況）實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸、交換、以及保存等都是有待研究和解決的問題，只有不斷地改進(jìn)、提高，才能確保網(wǎng)絡(luò)的安全穩(wěn)定.

〔1〕蘭少華，楊余旺，呂建勇.TCP/IP網(wǎng)絡(luò)與協(xié)議.北京：清華大學(xué)出版社，2006（1）.

〔2〕王相林，等.IPv6技術(shù)——新一代網(wǎng)絡(luò)技術(shù).北京：機(jī)械工業(yè)出版社，2008.

〔3〕李津生，洪佩琳.下一代 Internet的網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2001（3）.

〔4〕周賢偉，薛楠.IPsec解析.北京：國防工業(yè)出版社，2006.

〔5〕Richard A.Deal.Cisco 路由器防火墻安全.北京：人民郵電出版社，2006.

〔6〕Carlton R.Davis.IPSec:VPN 的安全實(shí)施.北京：清華大學(xué)出版社，2002.

TP393.08

A

1673-260X（2012）01-0041-02