閆國棟，王 鵬

（1.內(nèi)蒙古邊防總隊通信技術(shù)處，內(nèi)蒙古 呼和浩特 010051；2.赤峰學(xué)院 計算機科學(xué)與技術(shù)系）

基于I P v 6協(xié)議的網(wǎng)絡(luò)安全機制

閆國棟1，王 鵬2

（1.內(nèi)蒙古邊防總隊通信技術(shù)處，內(nèi)蒙古 呼和浩特 010051；2.赤峰學(xué)院 計算機科學(xué)與技術(shù)系）

本文論述了IPv4的缺陷及新一代安全網(wǎng)絡(luò)協(xié)議IPv6，IP Sec主要提供專用擴展頭標身份驗證報頭（AH）和加密安全有效數(shù)據(jù)報頭（ESP）來實現(xiàn)安全功能.能有效防止長期困擾人們的許多網(wǎng)絡(luò)攻擊，如IP欺騙、拒絕服務(wù)攻擊、數(shù)據(jù)篡改和網(wǎng)絡(luò)探測活動等.IP Sec是目前可提供的最好的網(wǎng)絡(luò)安全解決方案,它努力使Internet上的安全機制標準化，向更安全的Internet邁進了一大步.

IP Sec；驗證報頭；封裝安全有效載荷；隧道嵌套

1 網(wǎng)絡(luò)安全的重要性

隨著網(wǎng)絡(luò)時代的到來，互聯(lián)網(wǎng)開始進入社會的每個角落，經(jīng)濟文化﹑軍事和社會生活正在越來越強烈地依賴網(wǎng)絡(luò)，應(yīng)用領(lǐng)域從傳統(tǒng)的﹑小型業(yè)務(wù)逐漸向大型﹑關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的如黨政部門網(wǎng)絡(luò)系統(tǒng)﹑金融業(yè)務(wù)系統(tǒng)﹑企業(yè)商務(wù)系統(tǒng)等，I n t e r n e t的發(fā)展雖然促進了技術(shù)的進步，但其本身的跨國界﹑無主管﹑不設(shè)防﹑開放﹑自由﹑缺少法律約束等特性在帶來機遇的同時也帶來了巨大的風(fēng)險，安全自然成為影響網(wǎng)絡(luò)效能的重要問題，我們必須看到，現(xiàn)實對安全提出了全新的要求.如今安全問題早已是世界各國共同關(guān)注的焦點，網(wǎng)絡(luò)安全伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，有網(wǎng)絡(luò)的地方就存在著網(wǎng)絡(luò)安全隱患.像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進行的.而且?guī)缀跏敲繒r每刻都在發(fā)生，遍及全球.

2 IPv4協(xié)議的安全缺陷

因特網(wǎng)的基石是I P v 4協(xié)議，該協(xié)議在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了I P的運行效率，所以說I P v 4本身在設(shè)計上就是不安全的，下面是現(xiàn)存的I P v 4協(xié)議的一些安全缺陷：

2.1 很容易被竊聽和欺騙

大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令﹑文件傳輸很容易被監(jiān)聽和劫持，可以實現(xiàn)這些行為的工具很多，而且在網(wǎng)上是免費提供的.

2.2 缺乏安全策略

許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護人員卻不知道應(yīng)該禁止這種服務(wù).

3 IPv6協(xié)議在網(wǎng)絡(luò)安全機制方面的體現(xiàn)

I P v 6協(xié)議已經(jīng)把安全作為必須強制執(zhí)行的一個標準.I P v 6主要通過兩個專用的擴展頭標身份驗證報頭（A H）和加密安全有效數(shù)據(jù)報頭（E S P）來實現(xiàn)安全功能.A H報頭是用來確認I P信息包的可靠性和完整性，它可以有效地防止地址欺騙和固定字段的非法修改.E S P報頭則提供數(shù)據(jù)加密封裝，確保只有知道密鑰的接收方才可以閱讀真正的信息，兩個報頭可以一齊使用，同時提供所有的安全功能.可以預(yù)見，安全功能的引入，將會使未來的網(wǎng)絡(luò)更加安全可靠.

安全性既涉及網(wǎng)絡(luò)安全也涉及信息安全，是發(fā)展下一代互聯(lián)網(wǎng)應(yīng)注意的最關(guān)鍵問題.隨著互聯(lián)網(wǎng)的大規(guī)模商用化和在國民經(jīng)濟中越來越重要的地位，安全威脅成為一個必須解決的問題.通過集成I PS e c，I P v 6實現(xiàn)了I P級的安全.I PS e c提供如下安全性服務(wù)：訪問控制﹑無連接的完整性﹑數(shù)據(jù)源身份論證﹑防御包重傳攻擊﹑保密﹑有限的業(yè)務(wù)流保密性.

4 IP Sec協(xié)議的安全體系

4.1 I PS e c的體系結(jié)構(gòu)

I PS e c協(xié)議包括：A H（驗證頭），E S P（封裝安全載荷），I K E（I n t e r n e t密鑰交換）和策略管理.為使大家便于理解，實施和使用I PS e c，有必要先了解這些組件之間的關(guān)系.I PS e c發(fā)展規(guī)劃定義了I PS e c各組件之間的交互方式，如圖1所示.

4.2 I PS e c安全體系包括3個基本協(xié)議

A H協(xié)議為I P包提供信息源驗證和完整性保證；E S P協(xié)議提供加密機制；密鑰管理協(xié)議（I S A K M P）提供雙方交流的共享安全信息.E S P和A H協(xié)議都有相關(guān)的一系列支持文件，規(guī)定了加密和認證的算法.

圖1 I PS e c的體系結(jié)構(gòu)

4.2.1 認證頭協(xié)議（A H）

它為所有的數(shù)據(jù)包頭加入一個密碼.正如其名所示，A H通過一個只有持有人才知道的“數(shù)字簽名”來對用戶進行認證.這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結(jié)果.A H還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來.不過由于A H不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機密性.兩個應(yīng)用最普遍的A H加密標準是M D 5和S H A－1,M D 5使用最高達成協(xié)議128位的加密密鑰，而S H A-1通過最高達160位的加密密鑰則可提供更強的保護.

4.2.2 安全加載封裝協(xié)議（E S P）

通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶才擁有可打開內(nèi)容的密鑰.E S P也能提供認證服務(wù)和維持數(shù)據(jù)的完整性.最主要的E S P標準是數(shù)據(jù)加密標準（D E S），D E S最高支56位的密鑰，而T r i p l e-D E S使用三套密鑰加密，相當(dāng)于使用最高達168位的密鑰.由于E S P實際上加密所有的數(shù)據(jù)，因而它比A H需要更多的的處理時間，從而導(dǎo)致性能下降.

4.2.3 密鑰管理

它包括密鑰確定和密鑰分發(fā)兩個方面，最多需要四個密鑰：A H和E S P各兩個發(fā)送和接收密鑰.密鑰本身是一個二進制字符串，通常用十六進制字符串表示.

A H和E S P可以單獨使用，也可以一起使用.為了更好地保證系統(tǒng)的安全，建議同時使用.對于V P N來說，認證和加密都是必需的，因為只有采取雙重安全措施才能確保未經(jīng)授權(quán)的用戶不能進入V P N，現(xiàn)時，I n t e r n e t上的竊聽者無法讀取V P N上傳輸?shù)男畔?大部分的應(yīng)用實例中都采用了E S P加密方式而不是A H方式，因為A H協(xié)議只能保證數(shù)據(jù)的完整性和數(shù)據(jù)不被改寫，而沒有對數(shù)據(jù)加密.

4.2.4 A H隧道模式的加密原理

A H協(xié)議包頭可以保證信息源的可靠性和數(shù)據(jù)的完整性，A H隧道模式使用A H與I P報頭來封裝I P數(shù)據(jù)包并對整個數(shù)據(jù)包進行簽名以求完整性并進行身份驗證，如圖2所示.它的工作原理是首先發(fā)送方對I P包頭﹑高層的數(shù)據(jù)和公共密鑰這三部分通過某種散列算法進行計算，得出A H包頭中的驗證數(shù)據(jù)，并將A H包頭加入數(shù)據(jù)包中.當(dāng)數(shù)據(jù)傳輸?shù)浇邮辗綍r，接收方對收到的I P包頭，數(shù)據(jù)和公共密鑰以相同的散列算法進行運算，并把得出的結(jié)果和收到的數(shù)據(jù)包中的A H包頭進行比較，如果相同則表明數(shù)據(jù)在傳輸過程中沒有被修改，并且是從真正的信息源處發(fā)出的.

4.2.5 E S P隧道的加密原理

E S P隧道模式采用E S P與I P報頭以及E S P尾端來封裝I P數(shù)據(jù)包，如圖3所示.數(shù)據(jù)包的簽名部分表示數(shù)據(jù)包的完整性和身份驗證簽名是在哪里進行的.數(shù)據(jù)包的加密部分表示什么信息受到機密性保護.

由于為數(shù)據(jù)包添加了隧道新報頭，所以會對E S P報頭之后的所有內(nèi)容進行簽名（E S P驗證尾端除外），原因是這些內(nèi)容此時已封裝在隧道數(shù)據(jù)包中.加密原理如下：

首先，原始報頭置于E S P之后.在加密之前，會通過E S P尾端附加整個數(shù)據(jù)包.E S P報頭之后的所有內(nèi)容都會被加密，E S P驗證尾端除外.

然后，會將整個E S P負載封裝在未加密的新的隧道報頭內(nèi).新隧道報頭內(nèi)的信息只用來將數(shù)據(jù)包從源地址發(fā)送到隧道終結(jié)點.

如果正在通過公用網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，則數(shù)據(jù)包會發(fā)送到接收方I n t r a n e t的網(wǎng)關(guān)的I P地址.網(wǎng)關(guān)對數(shù)據(jù)包進行解密，丟棄E S P報頭并使用原始I P報頭將數(shù)據(jù)包發(fā)送到I n t r a n e t計算機.

I P v 6是一個建立可靠的、可管理的、安全和高效的I P網(wǎng)絡(luò)的長期解決方案.盡管I P v 6的普及應(yīng)用之日還需耐心等待，不過，了解和研究I P v 6的重要特性以及它針對目前I P網(wǎng)絡(luò)存在的問題而提供的解決方案，對于制定企業(yè)網(wǎng)絡(luò)的長期發(fā)展計劃，規(guī)劃網(wǎng)絡(luò)應(yīng)用的未來發(fā)展方向，都是十分有益的.

〔1〕Christian Huitema.新因特網(wǎng)協(xié)議Ipv6.北京清華大學(xué)出版社.

〔2〕貞顯良.新一代Internet協(xié)議Ipv6.北京清華大學(xué)出版社.

〔3〕何莉.計算機網(wǎng)絡(luò)概論(第三版）.高等教育出版社.

〔4〕馮登國.計算機通信網(wǎng)絡(luò)安全.北京清華大學(xué)出版社.

T P 393.08

A

1673-260X（2010）08-0027-02