IPv6校園網安全策略研究*

蘇 立，楊 勝

(湖南大學 計算機與通信學院，湖南 長沙 410004)

IPv6校園網安全策略研究*

蘇 立，楊 勝

(湖南大學 計算機與通信學院，湖南 長沙 410004)

隨著互聯網的發展，當前的IPv4網絡逐漸暴露出其缺陷，人們開始使用一種新的網絡協議IPv6替代現有的IPv4協議。在這個IPv6網絡逐漸普及的過程中，人們越來越關注數據傳輸的安全性。本文介紹了IPv6網絡協議，并詳細介紹了IPv6安全策略及IPSec網絡安全協議。然后設計了一個IPSec策略配置方案，并通過實例測試了這個方案，對IPv6的校園網安全部署有一定的參考和借鑒價值。

IPv6;協議;安全策略;安全關聯;配置

隨著Internet的迅速增長，IPv4網絡暴露了其明顯的不足，地址空間不足及網絡用戶的大量增加導致的路由表爆炸式膨脹，使得IPv4網絡的發展受到限制。在這種情況下IETF(Internet Engineering Task Force)于1997年制定了IPv6協議，成為代替IPv4的一種新的IP協議。

一、IPv6與IPSec

1.IPv6

IPv6是“Internet Protocol Version 6”的縮寫，也被稱為下一代互聯網協議，是由IETF設計用來替代IPv4協議的新的IP協議。相對于IPv4來說，IPv6有其明顯的優勢［1］:足夠大的地址空間;移動性的支持;內置的安全特性;Qos(Quality of Service)等。

圖1 IPv6數據包結構

2.IPSec網絡安全協議

IPSec對于IPv4是作為可選項，而IPv6協議內置集成了IPSec。這充分體現了網絡安全與網絡協議渾然一體的技術更新優勢。

網絡安全協議IPSec［2］是一整套的安全協議體系，它是由一系列協議組成的協議簇。具體包括:安全協議 AH(Authentication Header)和封裝安全載荷ESP(Encapsulating Security Payload)，Internet密鑰交換(IKE)協議，加密及認證算法等組件。IPSec體系結構及各組件間的交互關系如圖2所示。IPSec協議簇通過對以上組件的定義，給出了一個網絡層的安全框架。

圖2 IPsec體系結構

3.安全關聯

IPSec的基礎就是安全關聯SA(Security Association)［3］。IPSec使用的兩種協議(AH和ESP)均使用SA;IKE協議(IPSec使用的密鑰管理協議)的一個主要功能就是SA的管理和維護。SA是通信對等方之間對某些要素的一種協定，例如IPSec協議、協議的操作模式(傳輸模式和隧道模式)、密碼算法、密鑰、用于保護它們之間數據流的密鑰生存期。如果希望同時用AH和ESP來保護兩個對等方之間的數據流，則需要兩個SA:一個用于AH，一個用于ESP。定義用于AH或者ESP的隧道操作模式的SA稱為隧道模式SA，而定義用于傳輸操作模式的SA成為傳輸SA。安全關聯是單工的(即單向的);因此，輸出和輸入的數據流需要獨立的SA。術語SA束用于描述一組SA，該組SA應用于始自或者到達特定主機的數據。

二、IPSec在校園網中的應用

校園作為知識和人才基地，它一直是信息技術應用最成功的典范，是先進技術的領頭羊，基于IPv6協議的下一代互聯網研究是校園網研究的熱點領域，也是校園網發展的方向。我們就以高校IPv6校園為例部署安全策略:

在校園網匯聚點部署兩臺安全策略主機(A和B)，設定它們的子網前綴是2001∶1∶1∶1∶/64，兩臺機子的 IP地址分別為 210∶88ff∶fe02∶ed67(主機 A)和 2a0∶c9ff∶fe48∶23b0(主機B)。因此它們各自的IPv6地址分別是2001∶1∶1∶1∶210:88ff:fe02:ed67(主機 A)和2001∶1∶1∶1∶2a0∶c9ffe48∶23b0(主機B)，為了實現應用IPSec策略后的IPv6通信，需要對每臺主機的安全策略數據庫(SPD)和安全關聯數據庫(SAD)進行正確的策略和關聯配置。兩臺主機通信時，HTTP協議的數據包通信將被AH和ESP傳輸模式保護起來。其它數據包通信將被ESP傳輸模式保護起來。

圖3 兩本地主機之間應用IPsec策略

1、IPsec策略配置［4］

(1)安全策略數據庫(SPD)配置

以主機B的SPD和SAD數據庫為例，在主機B的SPD文件中做如下配置，見表1。

表1 兩臺主機間應用IPsec策略時主機B的SPD文件設置

本測試中的兩臺主機均有本地環回(loopback)策略和關聯，當只有一臺主機可用時，可作為測試之用。因此在SPD文件中有4個安全策略。本測試應用了IPSec嵌套，從安全策略入口(SP entry)5中可以看到，安全關聯綁定索引(SABundleindex)被指定為4，這樣規定以后，當SP entry 5被應用后接著就應用SP entry 4。由于SPentry 5有這個明確規定的選擇符，因此SP entry 4不會單獨被應用。這樣就保證了應用ESP傳輸模式保護HTTP通信的同時，也一定會應用AH傳輸模式保護同樣的數據包。SP entry 5和4協議(Protocol)選擇符指定為TCP，同時本地端口(LocalPort)選擇符指定為80，這樣就保證了這兩個策略保護的通信是HTTP通信。主機A的SPD文件跟主機B的差不多，僅僅是遠程IP地址(RemoteIPAddr)選擇符要做出相應的改變。

(2)安全關聯數據庫(SAD)配置

在主機B的SAD文件中做如下配置，見表2。每個安全策略需要進出兩個安全關聯，因此總共需要8個安全關聯。從表1中可以看到，選擇符有一個指示器(indicator)為“來自于策略 take from policy(－)”或“來自于包 take from packet(+)”。這意味著SA選擇符要么來自于策略選擇符，要么來自于創建SA時產生的包。由于使用的是手動密鑰分配，為了簡單化，本測試中使用“來自于策略take from policy”。

表2 兩臺主機間應用IPsec策略時B的sad文件配置

當SA選擇符被策略所確定，則SA選擇符的值置為POLICY(見表2)。“來自于包take from packet”指示器能夠用來生成一個更為明確和詳盡的SA，也就是說，一個SP能夠有多個SA。在兩臺主機上都創建了一些包含數據的文件，其中的數據用來創建和驗證關于每個IPSec保護的數據包的“報文摘要5(MD5)”鍵入散列數據。由于目前所用的操作系統的IPv6協議只支持用于快速模式SA的手動配置密鑰，因此不執行通過“Internet密鑰交換(IKE)”的主要模式協商。在本測試中，將通過創建包含手動密鑰的文本或二進制數據的文件配置手動密鑰。測試時，兩個方向都使用了用于SA的同一個密鑰。通過創建不同的密鑰文件，并在SAD中使用KeyFile字段來引用它們，可以為入站和出站SA使用不同密鑰。

如果只有一臺主機應用了IPSec策略時，兩臺主機是無法進行通信的。其它沒有應用IPSec策略的主機也無法與一臺應用了IPSec策略的主機進行通信。如果嘗試與一臺應用了IPSec策略的主機通信的話，Ping命令的返回信息為Request timed out。對于本測試而言，由于在環路本地地址上應用了IPSec策略，因此當Ping6∶1時，通信正常。文件傳輸的結果與ping6的結果完全一樣。在本測試中，由于對HTTP數據進行了保護，當把一臺主機設置為使用IPv6協議棧的Web服務器時，另一臺主機無法訪問這個Web服務器。當把兩臺主機都應用了IPSec策略后，一切通信都正常。

三、結 語

IPv6作為下—代網絡協議標準，有著諸多優點，它不僅提供了足夠的地址空間，同時內置集成了IPSec，這充分體現了網絡安全與網絡協議渾然一體的技術更新優勢。我國在IPv6技術的投資很大，IPv6的應用前景是非常光明的。在IPv6網絡逐漸普及的過程中，人們對數據傳輸的安全性也是越來越重視。

［1］周遜.IPv6下一代互聯網的核心［M］.北京:電子工業出版社，2005.

［2］宋健等.IPv6網絡應用IPsec策略的網絡性能分析與研究［J］.微計算機信息，2004，(1).

［3］B Carpenter，K Moore.RFC3056:Connection of IPv6 Domains via IPv4 Clouds，2001:4 ～15.

［4］王森等.配置IPv6環境中的服務器［J］.中國數據通信，2003，(8).

TP393

A

2095－4654(2013)1－0143－02

2012－10－19