亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        IPV6的安全體系結(jié)構(gòu)

        2002-04-29 00:00:00李信滿
        中興通訊技術(shù) 2002年3期

        中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1009-6868(2002)03-04-04

        摘要:

        文章對IPv4協(xié)議安全方面的一些缺點進行了分析,討論了OSI的網(wǎng)絡(luò)安全體系結(jié)構(gòu),給出IPv6新的網(wǎng)絡(luò)安全機制,詳細描述了IPSec所提供的網(wǎng)絡(luò)安全服務(wù)與實現(xiàn)原理,并對IPSec的兩個安全協(xié)議——AH和ESP作了較深入的闡述。

        關(guān)鍵詞:

        安全體系結(jié)構(gòu);IP版本6;IP安全標(biāo)準(zhǔn);AH協(xié)議;ESP協(xié)議

        ABSTRACT:

        Based on the analysis of security deficiency in IPv4 protocol, and the discussion on the traditional network security architecture, the paper introduces a new kind of security architecture adopted by the IPv6 network, and then details the network security services provided by IPSec,and their implementation mechanism. Emphasis is put on two security protocols: AH (Authentication Header) and ESP (Encapsulating Security Payload).

        KEY WORDS:

        Security architecture; IPv6; IPSec standard; Authentication header protocol; Encapsulating security payload protocol

        1 引言

        目前風(fēng)靡全球的Internet是建立在TCP/IP協(xié)議基礎(chǔ)之上的。TCP/IP協(xié)議是DARPA(美國國防部高級研究規(guī)劃局)為了實現(xiàn)異種網(wǎng)之間的互聯(lián),于1977年—1979年間推出的一組體系結(jié)構(gòu)和協(xié)議規(guī)范。其最大的特點是開放性,而這一特點也是基于TCP/IP協(xié)議的Internet能夠飛速發(fā)展的主要原因之一。遵循開放性原則的因特網(wǎng),其最終理念是要在全世界范圍內(nèi)建立起一個技術(shù)共享、信息共享、人人平等、人人互助的虛擬網(wǎng)上社會。但現(xiàn)實社會的實際情況是:不同國家之間、不同企業(yè)之間以及不同個人之間存在利益的差別甚至對立,意識形態(tài)的多元化,以及在政治、軍事、經(jīng)濟上存在激烈的競爭,這些因素都不可避免地要在互聯(lián)網(wǎng)上體現(xiàn)出來,從而成為互聯(lián)網(wǎng)上安全問題的根源。隨著因特網(wǎng)在全球的迅速發(fā)展,電子商務(wù)在因特網(wǎng)上也隨之展開,對因特網(wǎng)的安全問題也就提出了更高的要求。由于TCP/IP協(xié)議發(fā)展的初衷是遵循開放性的原則,在網(wǎng)絡(luò)安全方面并沒有作過多的考慮,使得現(xiàn)行TCP/IP協(xié)議體系結(jié)構(gòu)本身就存在許多安全隱患[1,2]:

        (1)IP地址假冒(IP Spoofing)[3,4]

        一個IP數(shù)據(jù)包是否來自其真正的源地址,IP協(xié)議本身并不提供任何保障。從理論上講,任意一臺主機可以發(fā)出含有任意源地址的IP數(shù)據(jù)包。這樣一來,基于IP地址標(biāo)識的數(shù)據(jù)包事實上是不可信的,這就使得一些基于IP地址實現(xiàn)的訪問控制技術(shù)失效;同時這個缺點也使得對網(wǎng)絡(luò)攻擊者的追查與取證變得較為困難,使得攻擊者更加肆無忌憚。目前網(wǎng)絡(luò)上的很多攻擊如Syn Flooding,DOS/DDOS,SMURF等攻擊都利用了這個缺陷,發(fā)起攻擊。

        (2)源路由攻擊

        源路由是IP數(shù)據(jù)包的一個選項,它可使IP數(shù)據(jù)包沿指定的路徑從源地址到達目的地址。這一選項原本是用來測試某一特定網(wǎng)絡(luò)的吞吐率,也可使數(shù)據(jù)包繞開出錯網(wǎng)絡(luò)。但與此同時,它一方面方便了假冒源IP地址的數(shù)據(jù)包到達目的地址,另一方面也使得入侵者能夠繞開某些網(wǎng)絡(luò)的安全措施,從對方?jīng)]有預(yù)料到的路徑到達目的地址。

        (3)網(wǎng)絡(luò)竊聽

        目前網(wǎng)絡(luò)上傳輸?shù)男畔⒋蟛糠譃槊魑男畔?,特別是一些系統(tǒng)的登錄密碼,如大多數(shù)Unix系統(tǒng)目前仍缺省采用明文密碼方式。這些敏感信息利用竊聽工具很容易獲得,而網(wǎng)絡(luò)上的竊聽工具又非常豐富,如Sniffer,Tcpdump,Snoop等。

        為了解決這些問題,必須為網(wǎng)絡(luò)系統(tǒng)增加安全服務(wù),這些安全服務(wù)可概括為:數(shù)據(jù)完整性(Integrity)、數(shù)據(jù)私有性(Confidentiality)、認(rèn)證(Authentication)、訪問控制(Access Control)和不可否認(rèn)性(Non-repudiation)。

        國際標(biāo)準(zhǔn)化組織(ISO)制訂的ISO 7498-2[5]提出了一個典型的傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA)。該安全體系結(jié)構(gòu)描述了一系列的安全服務(wù)及實現(xiàn)這些安全服務(wù)的機制,如表1所示。

        由表1中可以看出,該體系結(jié)構(gòu)將網(wǎng)絡(luò)安全服務(wù)分布在從第1層到第7層的各個協(xié)議層中,實現(xiàn)起來既增大了系統(tǒng)資源開銷,又會降低系統(tǒng)工作效率。實際上,大多數(shù)安全服務(wù)可以放在OSI(開放系統(tǒng)互連)模型的任何一層。由于計算機網(wǎng)絡(luò)可劃分為通信子網(wǎng)(1—3層)和資源子網(wǎng)(4—7層),目前的技術(shù)發(fā)展趨勢是IP over Everything和Everything over IP,IP層是連接通信子網(wǎng)與資源子網(wǎng)的核心環(huán)節(jié),因此將安全服務(wù)集中在IP層實現(xiàn)最合適。同時在IP層實現(xiàn)安全服務(wù)要比在應(yīng)用層上更加透明和徹底,可為IP層以上的所有應(yīng)用提供安全服務(wù),同時管理也比較統(tǒng)一和簡單。

        為了改善現(xiàn)有IPv4協(xié)議在安全等方面的不足,IETF的下一代網(wǎng)絡(luò)協(xié)議(IPng)工作組于1994年9月提出了一個正式的草案“The Recommendation for the IP Next Generation Protocol”,1995年底確定了IPng協(xié)議規(guī)范,稱為IP版本6(IPv6)。IPv6在IP層上實現(xiàn)了上述各種安全服務(wù)。

        2 IPv6的安全機制

        IETF在IPv6中提出了全新的網(wǎng)絡(luò)安全體系結(jié)構(gòu),即IPSec標(biāo)準(zhǔn)。盡管IPSec是為IPv6設(shè)計的,但也可應(yīng)用于IPv4中。

        IPSec描述了新體系結(jié)構(gòu)提供的安全服務(wù)及這些服務(wù)的實現(xiàn)機制。IPSec提供的安全服務(wù)包括:數(shù)據(jù)私有性、基于無連接的數(shù)據(jù)完整性、數(shù)據(jù)包來源認(rèn)證、訪問控制、抗數(shù)據(jù)重發(fā)攻擊(Protection of Replay)以及一定程度上的數(shù)據(jù)流量私有性(Traffic Flow Confidentiality)等。這些安全服務(wù)是通過ESP(Encapsulating Security Payload)和AH(Authentication Header)這兩個安全協(xié)議來實現(xiàn)的。同時,除安全協(xié)議外,還有一系列與IPSec相關(guān)的技術(shù)標(biāo)準(zhǔn),如加密算法及實現(xiàn)數(shù)據(jù)完整性的Hash算法的規(guī)范、密鑰的交換標(biāo)準(zhǔn)IKE(Internet Key Exchange)、安全關(guān)聯(lián)(SA)等。

        2.1 安全關(guān)聯(lián)與安全關(guān)聯(lián)數(shù)據(jù)庫

        安全關(guān)聯(lián)是IPSec的基礎(chǔ),ESP和AH協(xié)議都要通過它來實現(xiàn)安全服務(wù)。安全關(guān)聯(lián)是用來描述和實現(xiàn)連接安全的,可用三元組來標(biāo)識:<安全參數(shù)索引(SPI),安全協(xié)議,目的IP地址>,其中安全協(xié)議只能是ESP或AH中的一種。SA的工作方式分為兩種:傳輸模式和隧道模式。傳輸模式用于兩個主機間的連接,而隧道模式用于兩個網(wǎng)關(guān)之間的連接。SA的安全功能體現(xiàn)在它所采用的安全協(xié)議:ESP或AH。由于每個SA只能提供ESP或AH中的一種服務(wù),因此有時為了同時實現(xiàn)數(shù)據(jù)的私有性和完整性,對一個連接可能采用多個SA的組合來實現(xiàn)相應(yīng)的安全。

        安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)用來存放安全關(guān)聯(lián),每一安全關(guān)聯(lián)都在安全關(guān)聯(lián)數(shù)據(jù)庫中有唯一的記錄,而每個安全關(guān)聯(lián)可通過SPI、目的IP地址和安全協(xié)議來定位。除了這3個域外,安全關(guān)聯(lián)數(shù)據(jù)庫中的記錄主要還包括以下與安全處理相關(guān)的內(nèi)容:包序列號、AH采用的算法及密鑰、ESP采用的算法及密鑰、安全關(guān)聯(lián)的生命周期等,其中,包序列號用來防止數(shù)據(jù)包的重發(fā)攻擊。

        2.2 安全策略數(shù)據(jù)庫

        安全策略數(shù)據(jù)庫(SPD)用來存放和管理用戶的安全策略,對所有進出IP包的處理都需要查詢安全策略數(shù)據(jù)庫,以確定下一步的具體處理方法。安全策略庫由安全策略的有序列表組成,類似于包過濾防火墻的過濾規(guī)則。每條策略由IP包的一些屬性如源IP地址、目的IP地址、源端口號、目的端口號,以及一些命名字符串(如用戶名、域名)和安全關(guān)聯(lián)等組成,通常這些屬性也用來在安全策略數(shù)據(jù)庫中定位對相應(yīng)IP包進行處理的安全策略。

        2.3 IPSec的工作原理

        IPSec既可以在網(wǎng)關(guān)上實現(xiàn),也可以在主機上實現(xiàn)。無論是哪種情況,當(dāng)IP數(shù)據(jù)包進入或離開支持IPSec的接口時,IPSec模塊將根據(jù)安全策略庫決定對該IP包進行何種處理(見圖1)。對IP包的處理方式分為3種:拋棄、旁路、根據(jù)安全關(guān)聯(lián)進行IPSec處理。因此利用安全策略數(shù)據(jù)庫和這種處理方式,可以很容易地實現(xiàn)類似于IPv4中防火墻的訪問控制安全。

        當(dāng)某接口收到一IP包后,根據(jù)該IP包的屬性及制訂的一些安全設(shè)置,在安全關(guān)聯(lián)數(shù)據(jù)庫中尋找相應(yīng)的安全關(guān)聯(lián),對該IP包進行解密等處理,然后在安全策略庫中尋找相應(yīng)的安全策略。如果不存在與該IP包相對應(yīng)的安全策略,則將該IP包拋棄并作日志。在找到相應(yīng)的安全策略后,如果策略規(guī)定要拋棄該包,則將該IP包拋棄并作好日志;如果策略規(guī)定要旁路該IP包,則不對該IP包作更多處理,讓它通過;如果策略說明要對該IP包進行IPSec處理,則該策略里應(yīng)包含對該IP包進行處理的一個或多個安全關(guān)聯(lián)指針,通過安全關(guān)聯(lián)指針可以在安全關(guān)聯(lián)數(shù)據(jù)庫中找到相應(yīng)的安全關(guān)聯(lián),如果該安全關(guān)聯(lián)與剛才找到的安全關(guān)聯(lián)不一致的話,也要將該IP包拋棄。

        在IPv6中,對進入的IP包與出去的IP包的處理是有所區(qū)別的,比如對安全關(guān)聯(lián)的定位、尋找的方法是不相同的。當(dāng)接口收到某IP包后,從該IP包中可以提取出安全關(guān)聯(lián)索引、目的IP地址和安全協(xié)議,根據(jù)該3項內(nèi)容即可在本地的安全關(guān)聯(lián)數(shù)據(jù)庫中唯一地確定出一個安全關(guān)聯(lián),從而作進一步的處理;在發(fā)送時,如根據(jù)安全策略需對該IP包進行IPSec處理,IPSec模塊將根據(jù)該IP包的屬性,在安全策略庫中找到相應(yīng)的對該IP包進行處理的一個安全關(guān)聯(lián)(也可能是多個),并將該安全關(guān)聯(lián)的索引號填入待發(fā)送的IP包中,以提供給接收方用來確定相應(yīng)的安全關(guān)聯(lián)。

        2.4 IP認(rèn)證協(xié)議——AH

        AH主要提供IP包的數(shù)據(jù)完整性服務(wù),防止數(shù)據(jù)在傳輸過程中被第3方篡改,同時AH也提供對IP包來源的認(rèn)證,以防止數(shù)據(jù)重發(fā)攻擊。AH不僅對IP包的包頭進行認(rèn)證,而且還要對IP包的內(nèi)容進行認(rèn)證,但由于IP包中的部分域如包存活周期(IPv6中稱為“跳數(shù)”,即IPv4中的TTL)、校驗等是要變化的,因此AH只對在傳輸過程中不變的內(nèi)容或可以預(yù)測變化的內(nèi)容進行認(rèn)證。

        IPv6對IPv4的包格式進行了簡化,并取消了原IP包頭中的選擇項域,代之以單獨的擴展頭,在IPv6中目前已定義了6種擴展頭,而AH和ESP是其中的兩種。這些擴展頭緊隨在IPv6的頭部后面,并在上層協(xié)議數(shù)據(jù)(TCP數(shù)據(jù))之前,當(dāng)有多個擴展頭同時存在時,以一定的順序排列,構(gòu)成一個擴展頭列表,每一個擴展頭的類型由頭標(biāo)記(Next Header)來標(biāo)識,如圖2所示。

        AH作為IPv6中的一個擴展頭,其格式如圖3所示:頭標(biāo)記用來標(biāo)記下一個擴展頭的類型;長度域表示認(rèn)證數(shù)據(jù)的長度;保留域在計算認(rèn)證數(shù)據(jù)時,必須設(shè)為0;安全參數(shù)索引用來標(biāo)識安全關(guān)聯(lián);序列號域用來防止IP包的重發(fā)攻擊,收發(fā)雙方同時保留一個序列號計數(shù)器,每收發(fā)一個IP包,序列號將遞增1,在遞增到232后復(fù)位,接收方可以根據(jù)接收到的IP包序列號來判斷該IP包是否為重發(fā)包,若是則將其拋棄;認(rèn)證數(shù)據(jù)域的長度可變,并由長度域來指明,認(rèn)證數(shù)據(jù)是通過將傳輸過程中變化的域和認(rèn)證數(shù)據(jù)域置0后,對其余所有數(shù)據(jù)進行完整性計算后得到的,目前計算認(rèn)證數(shù)據(jù)的算法有MD5算法和SHA-1算法等。

        2.5 IP加密安全協(xié)議

        ESP作為IPv6中的一種擴展頭,提供IP包的數(shù)據(jù)加密功能,此外也提供數(shù)據(jù)來源認(rèn)證、基于無連接的數(shù)據(jù)包完整性、防止重發(fā)攻擊以及數(shù)據(jù)流量的私有性等功能。其中,ESP提供的數(shù)據(jù)包完整性與AH提供的數(shù)據(jù)包完整性有所區(qū)別,AH提供對整個IP包,包括包頭和包內(nèi)容的完整性認(rèn)證,而ESP提供的完整性則只關(guān)心IP包的內(nèi)容部分。為了防止網(wǎng)絡(luò)上的黑客利用偵聽器來記錄和分析發(fā)生在特定IP地址之間的流量情況,從中找出一些與安全有關(guān)的蛛絲馬跡并進行攻擊,ESP可以提供數(shù)據(jù)流量私有性功能,但只是在隧道模式下才能實現(xiàn)。因為在隧道模式下,黑客只能偵聽到發(fā)生在隧道兩端的IPv6網(wǎng)關(guān)之間的流量,而內(nèi)部的整個IP包都已被加密,黑客無法知道該IP包是屬于那個連接的。圖4為采用ESP加密前后的IPv6包結(jié)構(gòu)。在IPv6中,有的擴展頭位于ESP前面,而有的擴展頭則位于ESP后面,圖4只考慮了位于ESP前面時的情況。

        圖5是ESP包的格式。其中,安全參數(shù)索引用來標(biāo)識安全關(guān)聯(lián),說明ESP采用的安全參數(shù),如密鑰、加密算法等,接收方在收到ESP包后,將根據(jù)安全參數(shù)索引、目的地址及安全協(xié)議來定位處理該IP包的安全關(guān)聯(lián),取得安全參數(shù),然后將ESP包解密;序列號用來防止包的重發(fā)攻擊。在ESP中,目前要求至少支持DES-CBC加密算法。

        2.6 密鑰交換協(xié)議(IKE)

        在IPSec中進行密鑰交換有兩種方法:一種是使用IKE協(xié)議進行自動地密鑰交換,一種是手工模式。手工模式只適用于小規(guī)模的或者用硬件實現(xiàn)的IPSec,大多數(shù)情況下都需要使用IKE協(xié)議通過公用網(wǎng)絡(luò)進行密鑰交換。

        IKE的功能包括加密算法和密鑰協(xié)商、密鑰生成、交換及管理。IKE是ISAKMP[6],Okaley[7]和SKEME 3個協(xié)議揉和而成的一個協(xié)議。ISAKMP協(xié)議只規(guī)定了一個認(rèn)證和密鑰交換的框架,與具體的密鑰交換方法相獨立。Okaley和SKEME協(xié)議則描述了具體的密鑰交換方法,其中Okaley協(xié)議給出了一系列的密鑰交換過程,而SKEME協(xié)議則提供了一種通用的密鑰交換技術(shù)。

        3 結(jié)束語

        IPv6利用新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)IPSec,通過AH和ESP兩個安全協(xié)議分別為IP協(xié)議提供了基于無連接的數(shù)據(jù)完整性和數(shù)據(jù)私有性,加強了IP協(xié)議的安全性,克服了原有IPv4協(xié)議在安全方面的不足。

        本文研究課題是國家“863”課題“IPv6示范系統(tǒng)”的一部分,由清華大學(xué)、東北大學(xué)等幾所大學(xué)共同承擔(dān),已于2000年底完成。通過該項目的建設(shè),已在CERNET的幾個地區(qū)中心建立了純IPv6的試驗網(wǎng)絡(luò),并通過IPv4隧道實現(xiàn)了互連互通。東北大學(xué)在該項目中負(fù)責(zé)IPv6的安全部分,我們根據(jù)IPSec標(biāo)準(zhǔn),設(shè)計與實現(xiàn)了文中描述的AH,ESP協(xié)議與簡化的密鑰交換協(xié)議,并在CERNET IPv6示范網(wǎng)上進行了測試。

        目前,國際上一些主要網(wǎng)絡(luò)和通信公司、研究機構(gòu)也展開了對IPv6的研究,如法國INRIA、日本KAME、美國NRL等研究機構(gòu),IBM,Sun,微軟,Trumpet等公司分別研制開發(fā)出了基于不同平臺上的IPv6系統(tǒng)軟件與應(yīng)用軟件,思科、北電、諾基亞等硬件廠商目前也已經(jīng)開發(fā)出了IPv6路由器產(chǎn)品。

        從Internet發(fā)展角度看,IPv6技術(shù)的關(guān)鍵在于實用化,在于研究與開發(fā)體現(xiàn)IPv6優(yōu)越性的特色應(yīng)用。基于IPv6的安全特色實現(xiàn)的網(wǎng)絡(luò)安全應(yīng)用包括防火墻和VPN(虛擬專用網(wǎng)絡(luò))等。由于IPSec是基于安全策略庫來實現(xiàn)安全需求的,因此可以容易地基于安全策略將這些不同的安全應(yīng)用集成在一起,實現(xiàn)具有整體安全性的網(wǎng)絡(luò)安全系統(tǒng)?!?/p>

        參考文獻

        1 Soh B C, Young S. Network system and World Wide Web security. Computer Communication, 1997,20(2):1431—1436

        2 Jason P, Rudin H. Computer Network Security. Computer Network, 1999,31(1):785—786

        3 Tanembuam A S. Computer networks. 3rd ed. New York: Prentice-Hall, 1996

        4 Harris B, Hunt R.TCP/IP security threats and attack methods. Computer Communications, 1999,(20):885—897

        5 ISO DIS 7498-2.ISO Information Processing Systems: Open System Interconnection Reference Model, Part 2: Security Architecture, Geneva, 1988

        6 Maughan D, Schertler M, Schneider M, et al. Internet Security Association and Key Management Protocol (ISAKMP). RFC 2408, 1998

        7 Orman H. The OKALEY Key Determination Protocol. RFC 2412, 1998

        (收稿日期:2002-01-17)

        作者簡介

        李信滿,CERNET東北地區(qū)中心副主任,東北大學(xué)軟件中心計算機應(yīng)用專業(yè)博士生。主要研究領(lǐng)域為網(wǎng)絡(luò)安全。曾承擔(dān)與完成多項國家“863”課題,內(nèi)容涉及防火墻、VPN、網(wǎng)絡(luò)入侵檢測系統(tǒng)、IPv6等網(wǎng)絡(luò)安全技術(shù)。

        趙宏,東北大學(xué)軟件中心副主任,教授,博士生導(dǎo)師,CERNET專家組成員,CERNET東北地區(qū)中心主任。主要研究領(lǐng)域為計算機網(wǎng)絡(luò)與分布式多媒體系統(tǒng)。

        亚洲一区二区三区在线更新| 日日鲁鲁鲁夜夜爽爽狠狠视频97| 波多野结衣中文字幕在线视频| AV无码专区亚洲AVL在线观看| 国产午夜福利小视频在线观看| 女人高潮久久久叫人喷水| 影视先锋av资源噜噜| 国产视频在线一区二区三区四区| 国产伦精品一区二区三区| 国产精品无码一区二区三级| 无码人妻丰满熟妇片毛片| 春色成人在线一区av| 亚洲hd高清在线一区二区| 天堂在线资源中文在线8| 精品久久久久久777米琪桃花| 国内精品久久久久国产盗摄| 国产韩国一区二区三区| 日本动漫瀑乳h动漫啪啪免费| 亚洲aⅴ无码成人网站国产app| 欧美亚洲国产丝袜在线| 亚洲精品一区二区三区四区久久| 把女的下面扒开添视频| y111111少妇影院无码| 蜜臀av国内精品久久久人妻| 日本系列中文字幕99| 在线看片免费人成视频久网下载| 久久精品无码一区二区三区不| 日本一曲二曲三曲在线| 国产狂喷水潮免费网站www| 天美传媒精品1区2区3区| 国产精品涩涩涩一区二区三区免费| 男女做那个视频网站国产| 国产成人精品白浆久久69| 人妻丰满多毛熟妇免费区| 日韩精品久久伊人中文字幕| 色婷婷五月综合激情中文字幕| 亚洲av日韩av无码av| 在线观看国产精品自拍| 青青草大香蕉视频在线观看| 东北寡妇特级毛片免费| 欧美zozo另类人禽交|