基于IPSec協(xié)議的IPv6安全機(jī)制

劉娜　周健飛

【摘 要】20世紀(jì)90年代，互聯(lián)網(wǎng)和PC得到廣泛普及，IPv4地址資源嚴(yán)重不足，1994年IETF提出一種新IP地址解決方案，稱為IPv6，為網(wǎng)絡(luò)安全問(wèn)題提供了一種標(biāo)準(zhǔn)的解決方案。本文主要介紹IPv6中基于IP Sec協(xié)議的SA，AH，ESP和鑰匙管理的四種安全機(jī)制。

【關(guān)鍵詞】安全關(guān)聯(lián)；驗(yàn)證報(bào)頭；封裝安全；鑰匙管理

一、IPv6介紹

IPv6保留許多IPv4的成功點(diǎn)，IPv4到IPv6的主要改進(jìn)如下：（1）地址擴(kuò)展：IP地址由原來(lái)的32位擴(kuò)展到了128位，并且IPv6取消了IPv4地址的分類概念。（2）可擴(kuò)展性：支持?jǐn)U展和選項(xiàng)的改進(jìn)，IP首部選項(xiàng)編碼方式的修改導(dǎo)致更加高效的傳輸，在選項(xiàng)長(zhǎng)度方面更少的限制以及將來(lái)引入新的選項(xiàng)時(shí)更強(qiáng)的適應(yīng)性。（3）流量標(biāo)識(shí)：對(duì)服務(wù)質(zhì)量作了定義，可以標(biāo)記數(shù)據(jù)所屬的流類型以便路由器成交換機(jī)進(jìn)行相應(yīng)的處理。IPv6中增了“flow label”標(biāo)識(shí)，提供特定的QOS。（4）安全性：認(rèn)證和保密功能，在IPV6中為支持認(rèn)證，進(jìn)行數(shù)據(jù)完整性及數(shù)據(jù)保密擴(kuò)展。

二、IP安全（IP security）

IPv6提供一個(gè)安全機(jī)制和一系列安全服務(wù)支持，如數(shù)據(jù)認(rèn)證、完整性驗(yàn)證、IP控制層加密。IP SEC的一個(gè)最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)訪問(wèn)設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這很大程度避免了升級(jí)任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端，IPSEC架構(gòu)允許使用在遠(yuǎn)程訪問(wèn)邊界路由器或基于純軟件方式使用普通MODEM的PC機(jī)和工作站。

三、IP SEC的四種功能

（1）安全關(guān)聯(lián)Security Association（SA）。IP Sec中的一個(gè)基本概念是安全關(guān)聯(lián)（SA），安全關(guān)聯(lián)包含驗(yàn)證或者加密的密鑰和算法。它是單向連接，為保護(hù)兩個(gè)主機(jī)或者兩個(gè)安全網(wǎng)關(guān)之間的雙向通信需要建立兩個(gè)安全關(guān)聯(lián)。安全關(guān)聯(lián)提供的安全服務(wù)是通過(guò)AH和ESP兩個(gè)安全協(xié)議中的一個(gè)來(lái)實(shí)現(xiàn)的。如果要在同一個(gè)通信流中使用AH和ESP兩個(gè)安全協(xié)議，那么需要?jiǎng)?chuàng)建兩個(gè)（或者更多）的安全關(guān)聯(lián)來(lái)保護(hù)該通信流。一個(gè)安全關(guān)聯(lián)需要通三個(gè)參數(shù)進(jìn)行識(shí)別，它由安全參數(shù)索引（AH/ESP報(bào)頭的一個(gè)字段）、目的IP地址和安全協(xié)議（AH或者ESP）三者的組合唯一標(biāo)識(shí)。（2）報(bào)頭驗(yàn)證Authentication Header（AH）。認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過(guò)一個(gè)只有密匙持有人才知道的"數(shù)字簽名"來(lái)對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過(guò)特別的算法得出的獨(dú)特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來(lái)。IPv6的驗(yàn)證主要由驗(yàn)證報(bào)頭（AH）來(lái)完成。驗(yàn)證報(bào)頭是IPv6的一個(gè)安全擴(kuò)展報(bào)頭，它為IP數(shù)據(jù)包提供完整性和數(shù)據(jù)來(lái)源驗(yàn)證，防止反重放攻擊，避免IP欺騙攻擊。（3）封裝安全有效載荷數(shù)據(jù)（Encapsulating Security

Payload）。安全加載封裝（ESP）通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)嚴(yán)格保證傳輸信息的機(jī)密性，這樣可以避免其他用戶通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩魮碛忻艹状蜷_(kāi)內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。ESP用來(lái)為封裝的有效載荷提供機(jī)密性、數(shù)據(jù)完整性驗(yàn)證。AH和ESP兩種報(bào)文頭可以根據(jù)應(yīng)用的需要單獨(dú)使用，也可以結(jié)合使用，結(jié)合使用時(shí)，ESP應(yīng)該在AH的保護(hù)下。（4）鑰匙管理（Key Management）。密匙管理包括密匙確定和密匙分發(fā)兩個(gè)方面，最多需要四個(gè)密匙：AH和ESP各兩個(gè)發(fā)送和接收密匙。密匙本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示，注意全部長(zhǎng)度總共是64位，包括了8位的奇偶校驗(yàn)。56位的密匙（DES）足夠滿足大多數(shù)商業(yè)應(yīng)用了。

四、在網(wǎng)絡(luò)中部署IPSec策略的優(yōu)點(diǎn)

（1）防止探聽(tīng)和中間人攻擊。IPSec使你能夠加密包，防止其他人讀取它。包還被編了號(hào)并且有相應(yīng)的機(jī)制防止它們被篡改或重放。如果一個(gè)包被篡改了或被重放，IPSec視其為無(wú)效的包。（2）強(qiáng)化無(wú)線網(wǎng)絡(luò)的安全。盡管IPSec在所有的Windows網(wǎng)絡(luò)中都能正常工作，但如果你擁有一個(gè)無(wú)線網(wǎng)絡(luò)，它就顯得特別有用。確認(rèn)你能夠通過(guò)使用WEP或WPA來(lái)加密無(wú)線網(wǎng)絡(luò)，但是對(duì)包再進(jìn)行IPSec加密，在傳輸過(guò)程中，將使黑客更難探查數(shù)據(jù)。（3）沒(méi)有額外軟件的部署。IPSec的一個(gè)好處就是它內(nèi)置與Windows中。那意味著在實(shí)施IPSec策略時(shí)，你不用購(gòu)買(mǎi)新的軟件，也不用為兼容性問(wèn)題擔(dān)心。（4）透明加密通信。除了IPSec通信比不加密的通信運(yùn)行的慢之外，客戶端并不會(huì)知道通信被加密了。加密對(duì)于終端用戶來(lái)說(shuō)是完全透明的，并沒(méi)有新的產(chǎn)品或步驟要學(xué)習(xí)。從終端用戶的角度來(lái)說(shuō)，任何事情都沒(méi)有改變。

IPv6網(wǎng)絡(luò)由于IPSec提供的安全服務(wù)，能有效防止長(zhǎng)期困擾人們的許多網(wǎng)絡(luò)攻擊，如IP欺騙、拒絕服務(wù)攻擊、數(shù)據(jù)篡改和網(wǎng)絡(luò)探測(cè)活動(dòng)等。IP Sec是目前可提供的最好的網(wǎng)絡(luò)安全解決方案，它努力使Internet上的安全機(jī)制標(biāo)準(zhǔn)化，向更安全的Internet邁進(jìn)了一大步。