基于I P v 6協議的網絡安全機制

閆國棟，王 鵬

（1.內蒙古邊防總隊通信技術處，內蒙古 呼和浩特 010051；2.赤峰學院 計算機科學與技術系）

基于I P v 6協議的網絡安全機制

閆國棟1，王 鵬2

（1.內蒙古邊防總隊通信技術處，內蒙古 呼和浩特 010051；2.赤峰學院 計算機科學與技術系）

本文論述了IPv4的缺陷及新一代安全網絡協議IPv6，IP Sec主要提供專用擴展頭標身份驗證報頭（AH）和加密安全有效數據報頭（ESP）來實現安全功能.能有效防止長期困擾人們的許多網絡攻擊，如IP欺騙、拒絕服務攻擊、數據篡改和網絡探測活動等.IP Sec是目前可提供的最好的網絡安全解決方案,它努力使Internet上的安全機制標準化，向更安全的Internet邁進了一大步.

IP Sec；驗證報頭；封裝安全有效載荷；隧道嵌套

1 網絡安全的重要性

隨著網絡時代的到來，互聯網開始進入社會的每個角落，經濟文化﹑軍事和社會生活正在越來越強烈地依賴網絡，應用領域從傳統的﹑小型業務逐漸向大型﹑關鍵業務系統擴展，典型的如黨政部門網絡系統﹑金融業務系統﹑企業商務系統等，I n t e r n e t的發展雖然促進了技術的進步，但其本身的跨國界﹑無主管﹑不設防﹑開放﹑自由﹑缺少法律約束等特性在帶來機遇的同時也帶來了巨大的風險，安全自然成為影響網絡效能的重要問題，我們必須看到，現實對安全提出了全新的要求.如今安全問題早已是世界各國共同關注的焦點，網絡安全伴隨著網絡的產生而產生，有網絡的地方就存在著網絡安全隱患.像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的.而且幾乎是每時每刻都在發生，遍及全球.

2 IPv4協議的安全缺陷

因特網的基石是I P v 4協議，該協議在實現上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了I P的運行效率，所以說I P v 4本身在設計上就是不安全的，下面是現存的I P v 4協議的一些安全缺陷：

2.1 很容易被竊聽和欺騙

大多數因特網上的流量是沒有加密的，電子郵件口令﹑文件傳輸很容易被監聽和劫持，可以實現這些行為的工具很多，而且在網上是免費提供的.

2.2 缺乏安全策略

許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被內部人員濫用，黑客從一些服務中可以獲得有用的信息，而網絡維護人員卻不知道應該禁止這種服務.

3 IPv6協議在網絡安全機制方面的體現

I P v 6協議已經把安全作為必須強制執行的一個標準.I P v 6主要通過兩個專用的擴展頭標身份驗證報頭（A H）和加密安全有效數據報頭（E S P）來實現安全功能.A H報頭是用來確認I P信息包的可靠性和完整性，它可以有效地防止地址欺騙和固定字段的非法修改.E S P報頭則提供數據加密封裝，確保只有知道密鑰的接收方才可以閱讀真正的信息，兩個報頭可以一齊使用，同時提供所有的安全功能.可以預見，安全功能的引入，將會使未來的網絡更加安全可靠.

安全性既涉及網絡安全也涉及信息安全，是發展下一代互聯網應注意的最關鍵問題.隨著互聯網的大規模商用化和在國民經濟中越來越重要的地位，安全威脅成為一個必須解決的問題.通過集成I PS e c，I P v 6實現了I P級的安全.I PS e c提供如下安全性服務：訪問控制﹑無連接的完整性﹑數據源身份論證﹑防御包重傳攻擊﹑保密﹑有限的業務流保密性.

4 IP Sec協議的安全體系

4.1 I PS e c的體系結構

I PS e c協議包括：A H（驗證頭），E S P（封裝安全載荷），I K E（I n t e r n e t密鑰交換）和策略管理.為使大家便于理解，實施和使用I PS e c，有必要先了解這些組件之間的關系.I PS e c發展規劃定義了I PS e c各組件之間的交互方式，如圖1所示.

4.2 I PS e c安全體系包括3個基本協議

A H協議為I P包提供信息源驗證和完整性保證；E S P協議提供加密機制；密鑰管理協議（I S A K M P）提供雙方交流的共享安全信息.E S P和A H協議都有相關的一系列支持文件，規定了加密和認證的算法.

圖1 I PS e c的體系結構

4.2.1 認證頭協議（A H）

它為所有的數據包頭加入一個密碼.正如其名所示，A H通過一個只有持有人才知道的“數字簽名”來對用戶進行認證.這個簽名是數據包通過特別的算法得出的獨特結果.A H還能維持數據的完整性，因為在傳輸過程中無論多小的變化被加載，數據包頭的數字簽名都能把它檢測出來.不過由于A H不能加密數據包所加載的內容，因而它不保證任何的機密性.兩個應用最普遍的A H加密標準是M D 5和S H A－1,M D 5使用最高達成協議128位的加密密鑰，而S H A-1通過最高達160位的加密密鑰則可提供更強的保護.

4.2.2 安全加載封裝協議（E S P）

通過對數據包的全部數據和加載內容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監聽來打開信息交換的內容，因為只有受信任的用戶才擁有可打開內容的密鑰.E S P也能提供認證服務和維持數據的完整性.最主要的E S P標準是數據加密標準（D E S），D E S最高支56位的密鑰，而T r i p l e-D E S使用三套密鑰加密，相當于使用最高達168位的密鑰.由于E S P實際上加密所有的數據，因而它比A H需要更多的的處理時間，從而導致性能下降.

4.2.3 密鑰管理

它包括密鑰確定和密鑰分發兩個方面，最多需要四個密鑰：A H和E S P各兩個發送和接收密鑰.密鑰本身是一個二進制字符串，通常用十六進制字符串表示.

A H和E S P可以單獨使用，也可以一起使用.為了更好地保證系統的安全，建議同時使用.對于V P N來說，認證和加密都是必需的，因為只有采取雙重安全措施才能確保未經授權的用戶不能進入V P N，現時，I n t e r n e t上的竊聽者無法讀取V P N上傳輸的信息.大部分的應用實例中都采用了E S P加密方式而不是A H方式，因為A H協議只能保證數據的完整性和數據不被改寫，而沒有對數據加密.

4.2.4 A H隧道模式的加密原理

A H協議包頭可以保證信息源的可靠性和數據的完整性，A H隧道模式使用A H與I P報頭來封裝I P數據包并對整個數據包進行簽名以求完整性并進行身份驗證，如圖2所示.它的工作原理是首先發送方對I P包頭﹑高層的數據和公共密鑰這三部分通過某種散列算法進行計算，得出A H包頭中的驗證數據，并將A H包頭加入數據包中.當數據傳輸到接收方時，接收方對收到的I P包頭，數據和公共密鑰以相同的散列算法進行運算，并把得出的結果和收到的數據包中的A H包頭進行比較，如果相同則表明數據在傳輸過程中沒有被修改，并且是從真正的信息源處發出的.

4.2.5 E S P隧道的加密原理

E S P隧道模式采用E S P與I P報頭以及E S P尾端來封裝I P數據包，如圖3所示.數據包的簽名部分表示數據包的完整性和身份驗證簽名是在哪里進行的.數據包的加密部分表示什么信息受到機密性保護.

由于為數據包添加了隧道新報頭，所以會對E S P報頭之后的所有內容進行簽名（E S P驗證尾端除外），原因是這些內容此時已封裝在隧道數據包中.加密原理如下：

首先，原始報頭置于E S P之后.在加密之前，會通過E S P尾端附加整個數據包.E S P報頭之后的所有內容都會被加密，E S P驗證尾端除外.

然后，會將整個E S P負載封裝在未加密的新的隧道報頭內.新隧道報頭內的信息只用來將數據包從源地址發送到隧道終結點.

如果正在通過公用網絡發送數據包，則數據包會發送到接收方I n t r a n e t的網關的I P地址.網關對數據包進行解密，丟棄E S P報頭并使用原始I P報頭將數據包發送到I n t r a n e t計算機.

I P v 6是一個建立可靠的、可管理的、安全和高效的I P網絡的長期解決方案.盡管I P v 6的普及應用之日還需耐心等待，不過，了解和研究I P v 6的重要特性以及它針對目前I P網絡存在的問題而提供的解決方案，對于制定企業網絡的長期發展計劃，規劃網絡應用的未來發展方向，都是十分有益的.

〔1〕Christian Huitema.新因特網協議Ipv6.北京清華大學出版社.

〔2〕貞顯良.新一代Internet協議Ipv6.北京清華大學出版社.

〔3〕何莉.計算機網絡概論(第三版）.高等教育出版社.

〔4〕馮登國.計算機通信網絡安全.北京清華大學出版社.

T P 393.08

A

1673-260X（2010）08-0027-02