基于IPv6的安全協議IP sec的研究與實現

【摘 要】IPv6是新型網絡互聯協議，比IPv4有更多的IP地址，提供的服務更加安全。在IP網絡廣泛應用的同時，各種非法攻擊導致的危害非常大。IP sec是給IP提供的安全體系結構，其對IP層提供的安全性服務給予了更加明確的定義，不僅適用于IPv4，而且同樣適用于IPv6。本篇文章就基于IPv6的安全協議IP sec進行了深入的研究。

【關鍵詞】IPv6；安全協議IP sec；研究與實現

與IPv4相比較，IPv6 的優勢還是非常多的。IPv6不僅將IPv4地址數量不足的問題有效解決，而且改進了許多IPv4協議中的欠缺之處，其中最顯著的就是IP sec集成到協議內部，使得IP sec成為了IPv6協議內部固有的一部分。IPv6能夠有效利用IP sec提供的安全機制來對網絡傳送的數據進行有效保護。本篇文章就四個IP sec的安全機制進行詳細的敘述。

一、安全關聯（SA）

安全關聯是IP sec的基本概念之一，其中包括驗證，以及加密的算法與密鑰。安全關聯屬于單項連接，要想實現對兩臺主機，或者兩個網關的雙向通信，就必須要建立起兩個安全關聯。安全關聯是通過ESP安全協議或者AH安全協議來提供安全服務的。假如想要在一個通信流中使用ESP安全協議與AH安全協議，那就必須要至少建立兩個安全關聯來對通信流起到良好的保護作用。建立一個安全關聯通常需要三個參數識別，主要由安全參數索引、目的IP，以及ESP安全協議或者AH安全協議組合而成。下圖為在傳送模式與隧道模式下的ESP安全協議報頭與AH安全協議報頭的區別。

二、報頭驗證（AH）

所謂報頭驗證是指在所有的數據包頭都要添加一個密碼，只有持有密鑰的人在能夠得到認證。數字簽名是將數據包使用特別的算法得到的結果。報頭驗證能夠保持數據的完整性。數據包在傳輸的過程中，無論被加載了多小的數據，只要有變化，就會被數字簽證給檢測到。IPv6的驗證是通過驗證報頭來實現的，這里的驗證報頭是IPv6的一個擴展報頭，其能夠給數據包提供非常完整的數據驗證，能夠有效防止IP的欺騙攻擊。下圖為IPv6驗證報頭的格式與驗證數據包的整個過程。

三、封裝安全有效載荷數據（ESP）

ESP是通過對所有數據包的數據和內容進行加密，來保證信息數據機密的。只有得到信任的用戶才可以將具有打開內容的密鑰。ESP能夠有效避免其他用戶對信息進行監聽。與此同時，ESP還能夠保證數據與認證過程的完整性。ESP報頭與AH報頭既可以單獨使用，也可以二者綜合使用，如果是綜合使用，那么ESP要在AH的保護之下。下圖為ESP的數據包格式與ESP的數據包壓縮工作整個過程。

四、密鑰管理（KM）

密鑰管理主要包括密鑰的確定與分發兩個方面，在最多的時候是需要四個密鑰的，即AH的發送與接收密鑰、ESP的發送與接收密鑰。密鑰實質上是一個二進制的字符串，使用十六進制來表示，比如一個密鑰為5F25DA892E045C2。密鑰的總長度為六十四位，其中八位是奇偶校驗。

（一）Oakley協議

Oakley協議的基本機理是Diffie—Hellman密鑰算法，對于轉發的安全性完全支持。用戶通常通過使用Diffie—Hellman密鑰算法來對群結構進行抽象的定義，也可以使用帶外機制來對密鑰集進行分發，Oakley協議同時也能夠實現對ISAKMP協議的管理。

（二）ISAKMP協議

ISAKMP協議通過對信息包與程序的格式進行定義，來建立、協商、刪除，以及修改等安全連接。安全連接主要包括IP層的服務與傳輸、應用層的服務與流通傳輸等各種網絡協議需要的信息。ISAKMP協議同時還對密鑰交換產生的數據與載荷進行集中管理，進而實現復制函數數量的減少，而且還能夠減少連接建立需要的時間。

五、結束語

隨著計算機網絡的普及，IP地址的使用量越來越高。IPv6不僅將IPv4的地址短缺問題有效緩解，而且安全性和可移動性越來越強。IP sec協議的IPv6中的應用近年來得到了相當廣泛的認可，其不僅保障了日常網絡信息的安全與完整，而且對于一些諸如軍事、經濟等國家的重要信息也給予了有效的保護。對于基于IPv6的安全協議IP sec的研究與實現有著現實的意義，其不僅需要網絡工程師們不斷加強研究，更需要網絡安全知識的普及與宣傳，使得更多的人認識到網絡安全的重要性。

參考文獻：

[1]王心.沈琴.網絡安全協議IP Sec及其應用淺析[J].北京廣播學院學報（自然科學版）.2002.9（3）

[2]步登輝.基于IP Sec協議的IPv6安全機制[J].天中學刊.2005.20（05）

[3]周虹.IPV6安全機制分析[J].網絡與信息.2011.25（12）