基于IPSec協議的IPv6安全機制

劉娜　周健飛

【摘 要】20世紀90年代，互聯網和PC得到廣泛普及，IPv4地址資源嚴重不足，1994年IETF提出一種新IP地址解決方案，稱為IPv6，為網絡安全問題提供了一種標準的解決方案。本文主要介紹IPv6中基于IP Sec協議的SA，AH，ESP和鑰匙管理的四種安全機制。

【關鍵詞】安全關聯；驗證報頭；封裝安全；鑰匙管理

一、IPv6介紹

IPv6保留許多IPv4的成功點，IPv4到IPv6的主要改進如下：（1）地址擴展：IP地址由原來的32位擴展到了128位，并且IPv6取消了IPv4地址的分類概念。（2）可擴展性：支持擴展和選項的改進，IP首部選項編碼方式的修改導致更加高效的傳輸，在選項長度方面更少的限制以及將來引入新的選項時更強的適應性。（3）流量標識：對服務質量作了定義，可以標記數據所屬的流類型以便路由器成交換機進行相應的處理。IPv6中增了“flow label”標識，提供特定的QOS。（4）安全性：認證和保密功能，在IPV6中為支持認證，進行數據完整性及數據保密擴展。

二、IP安全（IP security）

IPv6提供一個安全機制和一系列安全服務支持，如數據認證、完整性驗證、IP控制層加密。IP SEC的一個最基本的優點是它可以在共享網絡訪問設備，甚至是所有的主機和服務器上完全實現，這很大程度避免了升級任何網絡相關資源的需要。在客戶端，IPSEC架構允許使用在遠程訪問邊界路由器或基于純軟件方式使用普通MODEM的PC機和工作站。

三、IP SEC的四種功能

（1）安全關聯Security Association（SA）。IP Sec中的一個基本概念是安全關聯（SA），安全關聯包含驗證或者加密的密鑰和算法。它是單向連接，為保護兩個主機或者兩個安全網關之間的雙向通信需要建立兩個安全關聯。安全關聯提供的安全服務是通過AH和ESP兩個安全協議中的一個來實現的。如果要在同一個通信流中使用AH和ESP兩個安全協議，那么需要創建兩個（或者更多）的安全關聯來保護該通信流。一個安全關聯需要通三個參數進行識別，它由安全參數索引（AH/ESP報頭的一個字段）、目的IP地址和安全協議（AH或者ESP）三者的組合唯一標識。（2）報頭驗證Authentication Header（AH）。認證協議頭（AH）是在所有數據包頭加入一個密碼。AH通過一個只有密匙持有人才知道的"數字簽名"來對用戶進行認證。這個簽名是數據包通過特別的算法得出的獨特結果；AH還能維持數據的完整性，因為在傳輸過程中無論多小的變化被加載，數據包頭的數字簽名都能把它檢測出來。IPv6的驗證主要由驗證報頭（AH）來完成。驗證報頭是IPv6的一個安全擴展報頭，它為IP數據包提供完整性和數據來源驗證，防止反重放攻擊，避免IP欺騙攻擊。（3）封裝安全有效載荷數據（Encapsulating Security

Payload）。安全加載封裝（ESP）通過對數據包的全部數據和加載內容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監聽來打開信息交換的內容，因為只有受信任的用戶擁有密匙打開內容。ESP也能提供認證和維持數據的完整性。ESP用來為封裝的有效載荷提供機密性、數據完整性驗證。AH和ESP兩種報文頭可以根據應用的需要單獨使用，也可以結合使用，結合使用時，ESP應該在AH的保護下。（4）鑰匙管理（Key Management）。密匙管理包括密匙確定和密匙分發兩個方面，最多需要四個密匙：AH和ESP各兩個發送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數商業應用了。

四、在網絡中部署IPSec策略的優點

（1）防止探聽和中間人攻擊。IPSec使你能夠加密包，防止其他人讀取它。包還被編了號并且有相應的機制防止它們被篡改或重放。如果一個包被篡改了或被重放，IPSec視其為無效的包。（2）強化無線網絡的安全。盡管IPSec在所有的Windows網絡中都能正常工作，但如果你擁有一個無線網絡，它就顯得特別有用。確認你能夠通過使用WEP或WPA來加密無線網絡，但是對包再進行IPSec加密，在傳輸過程中，將使黑客更難探查數據。（3）沒有額外軟件的部署。IPSec的一個好處就是它內置與Windows中。那意味著在實施IPSec策略時，你不用購買新的軟件，也不用為兼容性問題擔心。（4）透明加密通信。除了IPSec通信比不加密的通信運行的慢之外，客戶端并不會知道通信被加密了。加密對于終端用戶來說是完全透明的，并沒有新的產品或步驟要學習。從終端用戶的角度來說，任何事情都沒有改變。

IPv6網絡由于IPSec提供的安全服務，能有效防止長期困擾人們的許多網絡攻擊，如IP欺騙、拒絕服務攻擊、數據篡改和網絡探測活動等。IP Sec是目前可提供的最好的網絡安全解決方案，它努力使Internet上的安全機制標準化，向更安全的Internet邁進了一大步。