李 娟，盧涵宇,2，王華軍

（1.成都理工大學(xué) 信息工程學(xué)院，四川 成都 610059；2.貴州大學(xué) 計(jì)算機(jī)與信息工程系，貴州 貴陽 550003）

基于IPV6的安全技術(shù)分析

李 娟1，盧涵宇1,2，王華軍1

（1.成都理工大學(xué) 信息工程學(xué)院，四川 成都 610059；2.貴州大學(xué) 計(jì)算機(jī)與信息工程系，貴州 貴陽 550003）

介紹了IPV6協(xié)議技術(shù)的新特性、安全特性；論述了IPV6中的安全協(xié)議Ipsec的三個(gè)協(xié)議以及如何實(shí)現(xiàn)安全保護(hù)；分析了IPV6在安全方面的優(yōu)勢(shì)；指出了從IPV4向IPV6過渡中安全的局限性，并給出了進(jìn)一步研究的方向.

IPV6；IPSec協(xié)議；網(wǎng)絡(luò)安全；AH；ESP

隨著網(wǎng)絡(luò)的發(fā)展普及，各種攻擊、黑客、網(wǎng)絡(luò)蠕蟲病毒弄得網(wǎng)民人人自危，增強(qiáng)網(wǎng)絡(luò)的安全性越來越來重要.當(dāng)前使用的IPV4互聯(lián)網(wǎng)協(xié)議，由于設(shè)計(jì)時(shí)沒有考慮安全性問題，所以在當(dāng)前IPV4在網(wǎng)絡(luò)層沒有安全保障，它的安全機(jī)制只建立在應(yīng)用程序級(jí)，如E-mail加密、接入安全（HTTP、SSL）等，且IPV4互聯(lián)網(wǎng)網(wǎng)絡(luò)協(xié)議存在地址資源緊缺且分配嚴(yán)重不平衡等問題.為了解決這些嚴(yán)重問題，IETF提出了新一代互聯(lián)網(wǎng)絡(luò)協(xié)議，即IPv6協(xié)議.

1 IPV6簡介

IPV6是IPV4的新一代互聯(lián)網(wǎng)協(xié)議.與IPv4相比，IPv6具有很多優(yōu)點(diǎn)：更大的地址空間、支持更多的安全性、更好的首部格式、新的選項(xiàng)、允許擴(kuò)充、支持資源分配等.IPv6采用128位地址，幾乎可以為地球上每一粒沙子分配一個(gè)IPv6地址，徹底解決了IPv4地址空間影響互聯(lián)網(wǎng)進(jìn)一步發(fā)展的問題.

相對(duì)于IPv4而言IPv6有如下優(yōu)點(diǎn)：具有128位的超大地址空間；包頭結(jié)構(gòu)中有流標(biāo)簽，能夠更好地支持QoS；配置簡單，支持有狀態(tài)和無狀態(tài)自動(dòng)配置；改進(jìn)了擴(kuò)展項(xiàng)和可選項(xiàng)；提供了認(rèn)證和保密功能性；通過移動(dòng)頭(Mobility Header)和返回路徑可達(dá)過程(Return Rou tability Procedure)，能夠更好地支持移動(dòng)性.

2 IPV6安全方面的改進(jìn)

2.1 IPsec結(jié)構(gòu)

IPv6所采用的安全技術(shù)是Ipsec(IPSecurity)，但現(xiàn)有的IPv4網(wǎng)絡(luò)無法全部升級(jí)支持IPsec，而IPv6實(shí)現(xiàn)了IPsec的所有安全特性.Ipsec提供了兩種安全機(jī)制：認(rèn)證和加密.認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭到改動(dòng)，加密機(jī)制則通過多數(shù)據(jù)進(jìn)行編碼來確保證數(shù)據(jù)的機(jī)密性.

圖1 AH認(rèn)證頭使用及協(xié)議格式

IPSec由三個(gè)基本協(xié)議組成：認(rèn)證頭協(xié)議(Anthentication header.AH)、封裝安全載荷協(xié)議(Encapsulating Security Payload.ESP)和密鑰交換協(xié)議(Internet Key Exchange Protocal.IKE).其中AH和ESP是IP網(wǎng)絡(luò)層的協(xié)議，IKE是應(yīng)用層協(xié)議，IPv6 的安全特性主要通過前兩個(gè)協(xié)議來實(shí)現(xiàn).認(rèn)證頭協(xié)議AH協(xié)議定義了認(rèn)證的應(yīng)用方法，可以對(duì)數(shù)據(jù)包提供完整性驗(yàn)證、數(shù)據(jù)源認(rèn)證、選擇性抗重播服務(wù)；封裝安全負(fù)載ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)加密功能、數(shù)據(jù)認(rèn)證、完整性和抗重播功能以及限制通信流的機(jī)密性.AH與ESP的有機(jī)結(jié)合實(shí)現(xiàn)了IPV6的安全服務(wù).

2.2 AH認(rèn)證頭協(xié)議

AH認(rèn)證應(yīng)用傳輸、隧道模式的使用方式和協(xié)議格式如下圖1所示.AH認(rèn)證在所有數(shù)據(jù)包頭加入一個(gè)密碼，通過一個(gè)只有密鑰持有人才知道的“數(shù)字簽名”來對(duì)用戶進(jìn)行認(rèn)證，這個(gè)簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果；在AH認(rèn)證頭中安全性主要體現(xiàn)在序列號(hào)與認(rèn)證數(shù)據(jù)，序列號(hào)是對(duì)發(fā)送報(bào)文的計(jì)數(shù)，當(dāng)收方接收到相同序列號(hào)就放棄該報(bào)文，這樣可以有效的防止重放攻擊.認(rèn)證數(shù)據(jù)包含相應(yīng)算法計(jì)算得到的數(shù)據(jù)完整性檢查值，可以檢驗(yàn)數(shù)據(jù)的完整性，與數(shù)據(jù)簽名技術(shù)結(jié)合可以保證數(shù)據(jù)的不抵賴性.AH頭中的安全參數(shù)索引（SPI）是一個(gè)非常關(guān)鍵的字段，通過SPI使發(fā)送端與接收端建立某種約定，以確定所使用的認(rèn)證或加密算法.

2.3 ESP協(xié)議

封裝安全負(fù)載協(xié)議（ESP）的使用方式和協(xié)議格式圖2所示.ESP通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來保證傳輸信息的機(jī)密性.ESP報(bào)頭中SPI和序列號(hào)作用和AH一樣，其中驗(yàn)證數(shù)據(jù)是一個(gè)經(jīng)過密鑰處理的散列值，驗(yàn)證范圍包括ESP頭部、被保護(hù)數(shù)據(jù)以及ESP尾部.只有擁有密鑰的用戶才能打開內(nèi)容.ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性，最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）最高支持56bit的密鑰，而3DES使用3套密鑰加密，那就相當(dāng)于使用最高到168bit的密鑰.

圖2 ESP的使用及協(xié)議格式

2.4 IKE密鑰交換

Internet密鑰交換協(xié)議IKE 是在密鑰管理協(xié)議ISAKMP(Internet Security Association and Key Management Protocol)基礎(chǔ)之上，又綜合了Okaley和SKEME協(xié)議，是收發(fā)雙方協(xié)商安全參數(shù)和建立安全協(xié)定的框架.在IKE中預(yù)定義了DSS(Digital Signature Standard))簽名、RSA簽名、RSA加密、改進(jìn)的RSA加密和預(yù)共享密鑰等5種身份認(rèn)證方法.

3 IPV6在安全方面的優(yōu)勢(shì)

IPV6很大的提高了網(wǎng)絡(luò)的安全性，其對(duì)網(wǎng)絡(luò)安全性能的改善主要體現(xiàn)在下面幾方面：

3.1 防止未授權(quán)訪問：AH認(rèn)證頭對(duì)身份驗(yàn)證的支持，以及對(duì)數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的支持和改進(jìn)，使得IPv6增強(qiáng)了防止未授權(quán)訪問的能力.

3.2 數(shù)據(jù)保密性：ESP對(duì)有效數(shù)據(jù)進(jìn)行加密，即使數(shù)據(jù)被竊聽者掃描，竊取到也很難知道數(shù)據(jù)的信息，這樣有效的保證了敏感數(shù)據(jù)的安全性.

3.3 防止網(wǎng)絡(luò)放大攻擊：IPV6協(xié)議在設(shè)計(jì)上不會(huì)響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以，只需要在網(wǎng)絡(luò)邊緣過濾組播數(shù)據(jù)包，即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊.

3.4 防止碎片攻擊：據(jù)包(除非它是最后一個(gè)包)，這有助于防止碎片攻擊.

3.5 掃描攻擊：掃描往往是攻擊的第一步，但由于IPV6地址空間的極度擴(kuò)大，通過傳統(tǒng)的掃描方式來發(fā)現(xiàn)有漏洞主機(jī)并對(duì)其攻擊將會(huì)耗費(fèi)大量時(shí)間而不能實(shí)現(xiàn).

3.6 防止重放攻擊：IPSec采用了包計(jì)數(shù)器機(jī)制，利用身份驗(yàn)證頭中的序列號(hào)字段，發(fā)送者每發(fā)送一個(gè)數(shù)據(jù)包，該字段自動(dòng)增加1.通過判斷序列號(hào)字段可以實(shí)現(xiàn)防止重放攻擊.

4 IPV4過渡到IPV6安全的局限性

IPV4和IPV6將會(huì)長期共存，目前實(shí)現(xiàn)這兩個(gè)協(xié)議之間的互通技術(shù)有：雙棧技術(shù)，隧道技術(shù).雙棧技術(shù)就是在一個(gè)系統(tǒng)中同時(shí)使用IPV4和IPV6兩個(gè)協(xié)議，因而可以處理兩種協(xié)議的IP數(shù)據(jù)報(bào)；隧道技術(shù)就是將整個(gè)IPV6數(shù)據(jù)報(bào)封裝在IPV4數(shù)據(jù)報(bào)中，由此實(shí)現(xiàn)在當(dāng)前的IPV4網(wǎng)絡(luò)中IPV6節(jié)點(diǎn)與IPV4節(jié)點(diǎn)之間的IP通信.但目前發(fā)現(xiàn)從IPv4向IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機(jī)，建立由IPv6到IPv4的隧道，繞過防火墻對(duì)IPv4進(jìn)行攻擊.

IPv6安全的局限性表現(xiàn)在以下3個(gè)方面：

（1）AH和ESP協(xié)議本身都不提供業(yè)務(wù)流分析的安全保護(hù).如果攻擊者通過對(duì)通信業(yè)務(wù)流模式進(jìn)行觀察、分析，可能造成信息的泄露.

（2）AH和ESP協(xié)議在使用默認(rèn)的算法(如MD5和DES)時(shí)都不提供不可否認(rèn)安全業(yè)務(wù).不可否認(rèn)安全業(yè)務(wù)就是要提供無可辯駁的證據(jù)以防止參與通信的一方事后否認(rèn)曾經(jīng)發(fā)生過本次交換.實(shí)現(xiàn)這一安全業(yè)務(wù)的技術(shù)是數(shù)字簽名.在AH和ESP中必須選擇具有數(shù)字簽名功能的算法(例如RAS)，經(jīng)過適當(dāng)?shù)霓D(zhuǎn)換才可以提供不可否認(rèn)安全業(yè)務(wù).

（3）IPSec機(jī)制抵抗DoS攻擊的機(jī)制不完善.

5 結(jié)束語

Ipv6解決了IP地址匱乏的問題，同時(shí)它簡化了協(xié)議報(bào)頭，并且引入了兩個(gè)新的擴(kuò)展報(bào)頭AH和ESP.它們幫助Ipv6解決了身份認(rèn)證、數(shù)據(jù)完整性和機(jī)密性的問題，使Ipv6真正實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，這是非常大的進(jìn)步.但是數(shù)據(jù)網(wǎng)絡(luò)的安全威脅是多層面的，如Ipv6無法抵御Dos攻擊、洪泛(Flood)攻擊、拒絕服務(wù)攻擊等，這些問題有待于進(jìn)一步的深入研究.

〔1〕張玉潔.基于IPV6的安全協(xié)議IPSec的研究[M].南京理工大學(xué)，2008.

〔2〕朱建明，段富.IPv6安全機(jī)制分析[J].太原理工大學(xué)學(xué)報(bào)，2003（1）.

〔3〕RFC2893.Transition Mechanisms for IPv6 Hosts and Routers[S].

〔4〕LU Han-yu,LIAN Hong,WANG He-chuang,WANG Hua-jun,WANG Xuben.DDoS attack source tracing technology research Based on IPv6.IEEE International Conference on Internet Technology and Applications(ITAP 2010),2010,Wuhan,China.

〔5〕李振強(qiáng)，趙曉宇，馬嚴(yán).IPv6安全脆弱性研究[J].計(jì)算機(jī)應(yīng)用研究，2006（11）.

TP393

A

1673-260X（2011）02-0054-02

貴州省教育廳自然科學(xué)基金項(xiàng)目（2007068）