IPv6安全技術研究

孫曉玲

（赤峰學院 計算機與信息工程學院，內蒙古 赤峰 024000）

IPv6安全技術研究

孫曉玲

（赤峰學院 計算機與信息工程學院，內蒙古 赤峰 024000）

針對IPv6在網絡安全方面的特性，論述了IPv6網絡安全機制以及和IPSec的關系，著重研究了IPSec所提供的網絡安全服務與實現原理，指出IPSec在IPv6協議安全方面的作用，討論了IPSec與傳統安全技術結合實現網絡安全的機制與原理，并分析了Ipv6面臨的安全問題以及如何實現安全保護的措施和策略.

Ipv6；安全技術；IPsec

1 引言

目前常見的網絡安全技術如防火墻、入侵檢測等基本上都是針對IPv4的，而IPv6作為下一代網絡協議的標準，取代IPv4已成必然.隨著互聯網的迅猛發展，各種網絡攻擊行為層出不窮，現有的安全技術很難適應未來網絡的發展需要，建設高速、智能、動態和自適應的網絡防護系統已迫在眉睫，因此，面向IPv6的安全技術研究成為當前的熱點和重點問題.

2 IPsec概述

IPv6在安全性上較IPv4有了很大的改進，它在設計時就將IPsec（IP Security，由IETF制定的開放性IP安全標準）作為重要的組成部分，使之和IPsec緊密結合，以提高安全性能.IPsec是一種協議套件，包括：AH（Authentication Header，驗證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange， 因特網密鑰交換）等，它通過使用ESP和AH對上層協議和IP包進行保護.其中AH采用多種驗證算法對數據的起源地進行驗證，即身份驗證，以此保證數據完整性和驗證安全以及數據包的抗重播特性；ESP用以保證數據內容的機密性，在對數據進行加密的同時，還具有AH的功能，實現數據的驗證，它既有驗證算法又有加密算法.

IPsec協議提供兩種不同的數據傳輸模式，一是傳送模式，該模式中，IP頭與上層協議頭之間需插入一個特殊的IPsec頭（AH頭或ESP頭）,用以保護上層協議；另一個是隧道模式，該模式中，要保護的整個IP數據包被封裝到另一IP包中，同時在外部與內部之間插入一個IPsec頭，以此來保護整個IP數據包.IPsec為了執行肩負的數據驗證和機密性保證任務，提供了兩種密鑰管理機制，一是人工增加密鑰，此種方式不易擴展（伸縮），二是采用IKE進行密鑰交換，此種方式通過階段交換密鑰動態地進行協商驗證并生成共享密鑰，具有高度的伸縮性.IKE通過一系列強安全性的非對稱算法交換非密鑰數據，實現密鑰交換，解決了在不安全網絡環境中安全地建立或更新共享密鑰的問題，它利用已經通過驗證和安全的通道為IPsec協商提供安全服務，此種方式較人工增加密鑰有很大優勢，一般被采用.

IPsec中有兩個重要的數據庫，一個是SADB（Security Association Data Base，安全聯盟數據庫）它的每一條記錄SA（Security Association，安全聯盟），是由兩個通信實體協商后建立的約定規則，包括用來保護IP包安全的IPsec協議、轉碼方式、密鑰及有效時間等；另一個是SPD（Security Policy Data Base，安全策略數據庫），它的每一條記錄是一個策略，也是人機之間交互的安全接口，決定兩個通信實體間能否通信以及如何通信，包括定義、表示、管理及與各個組件之間的交互等.這兩個數據庫通常聯合使用，對于目的方，通過數據包頭包含的IP地址和協議類型等在SADB中查找相應的SA.而對于源方，SPD的記錄指針將指向相應的SADB記錄，若找不到適合的SA，將創建新SA，并將SPD記錄與新SA記錄鏈接起來.IPsec采用IKE自動地為通信實體協商SA，并對SADB進行維護，保證通信安全.

3 IPsec在IPv6中的應用

IPsec是IPv4下的一個可選模塊.它是對IPv4采取的補救性措施.而IPv6在設計之初就充分考慮到了安全因素，它和IPsec結合更緊密，實現起來更容易，因此安全性比IPv4高很多.IPv6將AH和ESP作為它的擴展包頭成為其自身的一部分，這樣，當IPv6擴展包頭中包含有AH鑒別頭時，就能對IPv6報文進行身份鑒別，驗證其完整性，從而防止對報文進行偽裝或篡改.當IPv6擴展包頭中包含ESP時，既能對身份驗證，同時還能對數據進行加密，如果使用傳輸模式加密可以針對傳輸層數據形成端到端的加密，防止對高層（傳輸層和應用層）數據的分析；如果采用隧道模式進行加密，需要安全網關，即采用虛擬專用網技術，在網關內數據是明文，而網關外（發出或接收）都是加密的密文，由此看出，IPv6中使用IPsec很容易實現數據加密和身份驗證，保證通信內容不被竊取和破壞.

4 IPv6與傳統安全技術相結合的安全機制

在現實環境中，網絡安全問題是很復雜的，涉及的范圍也很廣泛，單純采用IPsec來保證網絡安全是很不夠的，實際應用中還需要結合其它的安全技術，如：防火墻、入侵檢測、虛擬專用網等來最大程度地進行安全保證.

傳統的防火墻技術通過授權來限制訪問或拒絕和限制用戶的網絡行為.其實現方式主要有兩種，一種是報文過濾型，它根據報文的發送和接收方的IP地址、端口和傳送方向等報頭信息，依據一定的規則，判斷決定報文能否通過；另一種是應用網關型，主要作用在應用層，針對各種應用服務編制代理程序，監視和控制其通信過程.報文過濾型防火墻實現相對簡單，智能性和自適應處理能力較差；應用網關型防火墻實現起來較為復雜，但功能更強，有一定的智能性和自適應性.IPv6的防火墻也有報文過濾型和應用網關型兩種實現方式，但由于IP層協議的變化，需要在原有防火墻的基礎上進行一些改進，比如針對IPv6協議設置過濾條件，制定相應規則等.需要指出的是，由于防火墻不能解析報文的數據內容，如果對IPv6報文進行了加密，防火墻就很難處理.

IDS（Intrusion Detection System，入侵檢測系統）通過收集各種通信信息并加以分析來監視非法入侵行為，實施報警措施.它相當于一個監聽器，不會對正常的通信造成影響.需要指出的是，目前IDS還沒有統一的正式標準，而且它對系統資源要求較高，對于高速網絡環境實現入侵檢測比較困難.

VPN（Virtual Private Network，虛擬專用網）通過為通信雙方提供專用的虛擬通道實現通信，從而防止通信內容被干擾、竊聽和破壞.實現方式通常是采用IPsec協議，這也是IPv6主要的安全手段，即通過數據加密和VPN技術來保證網絡系統安全.需要指出的是，在實際應用中，IPv6往往將傳統安全技術與自身的安全體系結合起來，使得用戶得到更高級別的安全保障.比如，兩個網絡（或節點）通過安全網關通信，如果網絡內部主機和外部通信時采用隧道模式（利用VPN），則網絡內部是明文通信，IPsec只是應用在安全網關之間，為了更好地保證安全性，可以在安全網關內部加IDS或防火墻.

5 結束語

Ipv6協議中引入了兩個新的擴展報頭AH和ESP，它們幫助Ipv6解決了身份認證、數據完整性和機密性的問題，使Ipv6真正實現了網絡層安全，這是非常大的進步.目前基于IPv6的下一代網絡，正在受到越來越多的國家和研究單位的關注，隨著大規模的IPv6網絡的普及和應用形式的迫近，新一輪的安全問題又會產生，網絡安全會不斷面臨新的課題，如何在新環境下（包括網絡速度的提高和各種網絡新業務的不斷涌現等諸多情況）實現網絡數據的安全傳輸、交換、以及保存等都是有待研究和解決的問題，只有不斷地改進、提高，才能確保網絡的安全穩定.

〔1〕蘭少華，楊余旺，呂建勇.TCP/IP網絡與協議.北京：清華大學出版社，2006（1）.

〔2〕王相林，等.IPv6技術——新一代網絡技術.北京：機械工業出版社，2008.

〔3〕李津生，洪佩琳.下一代 Internet的網絡技術.北京：人民郵電出版社，2001（3）.

〔4〕周賢偉，薛楠.IPsec解析.北京：國防工業出版社，2006.

〔5〕Richard A.Deal.Cisco 路由器防火墻安全.北京：人民郵電出版社，2006.

〔6〕Carlton R.Davis.IPSec:VPN 的安全實施.北京：清華大學出版社，2002.

TP393.08

A

1673-260X（2012）01-0041-02