孫曉玲

（赤峰學(xué)院 計(jì)算機(jī)與信息工程學(xué)院，內(nèi)蒙古 赤峰 024000）

IPv6安全技術(shù)研究

孫曉玲

（赤峰學(xué)院 計(jì)算機(jī)與信息工程學(xué)院，內(nèi)蒙古 赤峰 024000）

針對(duì)IPv6在網(wǎng)絡(luò)安全方面的特性，論述了IPv6網(wǎng)絡(luò)安全機(jī)制以及和IPSec的關(guān)系，著重研究了IPSec所提供的網(wǎng)絡(luò)安全服務(wù)與實(shí)現(xiàn)原理，指出IPSec在IPv6協(xié)議安全方面的作用，討論了IPSec與傳統(tǒng)安全技術(shù)結(jié)合實(shí)現(xiàn)網(wǎng)絡(luò)安全的機(jī)制與原理，并分析了Ipv6面臨的安全問題以及如何實(shí)現(xiàn)安全保護(hù)的措施和策略.

Ipv6；安全技術(shù)；IPsec

1 引言

目前常見的網(wǎng)絡(luò)安全技術(shù)如防火墻、入侵檢測(cè)等基本上都是針對(duì)IPv4的，而IPv6作為下一代網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)，取代IPv4已成必然.隨著互聯(lián)網(wǎng)的迅猛發(fā)展，各種網(wǎng)絡(luò)攻擊行為層出不窮，現(xiàn)有的安全技術(shù)很難適應(yīng)未來網(wǎng)絡(luò)的發(fā)展需要，建設(shè)高速、智能、動(dòng)態(tài)和自適應(yīng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)已迫在眉睫，因此，面向IPv6的安全技術(shù)研究成為當(dāng)前的熱點(diǎn)和重點(diǎn)問題.

2 IPsec概述

IPv6在安全性上較IPv4有了很大的改進(jìn)，它在設(shè)計(jì)時(shí)就將IPsec（IP Security，由IETF制定的開放性IP安全標(biāo)準(zhǔn)）作為重要的組成部分，使之和IPsec緊密結(jié)合，以提高安全性能.IPsec是一種協(xié)議套件，包括：AH（Authentication Header，驗(yàn)證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange， 因特網(wǎng)密鑰交換）等，它通過使用ESP和AH對(duì)上層協(xié)議和IP包進(jìn)行保護(hù).其中AH采用多種驗(yàn)證算法對(duì)數(shù)據(jù)的起源地進(jìn)行驗(yàn)證，即身份驗(yàn)證，以此保證數(shù)據(jù)完整性和驗(yàn)證安全以及數(shù)據(jù)包的抗重播特性；ESP用以保證數(shù)據(jù)內(nèi)容的機(jī)密性，在對(duì)數(shù)據(jù)進(jìn)行加密的同時(shí)，還具有AH的功能，實(shí)現(xiàn)數(shù)據(jù)的驗(yàn)證，它既有驗(yàn)證算法又有加密算法.

IPsec協(xié)議提供兩種不同的數(shù)據(jù)傳輸模式，一是傳送模式，該模式中，IP頭與上層協(xié)議頭之間需插入一個(gè)特殊的IPsec頭（AH頭或ESP頭）,用以保護(hù)上層協(xié)議；另一個(gè)是隧道模式，該模式中，要保護(hù)的整個(gè)IP數(shù)據(jù)包被封裝到另一IP包中，同時(shí)在外部與內(nèi)部之間插入一個(gè)IPsec頭，以此來保護(hù)整個(gè)IP數(shù)據(jù)包.IPsec為了執(zhí)行肩負(fù)的數(shù)據(jù)驗(yàn)證和機(jī)密性保證任務(wù)，提供了兩種密鑰管理機(jī)制，一是人工增加密鑰，此種方式不易擴(kuò)展（伸縮），二是采用IKE進(jìn)行密鑰交換，此種方式通過階段交換密鑰動(dòng)態(tài)地進(jìn)行協(xié)商驗(yàn)證并生成共享密鑰，具有高度的伸縮性.IKE通過一系列強(qiáng)安全性的非對(duì)稱算法交換非密鑰數(shù)據(jù)，實(shí)現(xiàn)密鑰交換，解決了在不安全網(wǎng)絡(luò)環(huán)境中安全地建立或更新共享密鑰的問題，它利用已經(jīng)通過驗(yàn)證和安全的通道為IPsec協(xié)商提供安全服務(wù)，此種方式較人工增加密鑰有很大優(yōu)勢(shì)，一般被采用.

IPsec中有兩個(gè)重要的數(shù)據(jù)庫，一個(gè)是SADB（Security Association Data Base，安全聯(lián)盟數(shù)據(jù)庫）它的每一條記錄SA（Security Association，安全聯(lián)盟），是由兩個(gè)通信實(shí)體協(xié)商后建立的約定規(guī)則，包括用來保護(hù)IP包安全的IPsec協(xié)議、轉(zhuǎn)碼方式、密鑰及有效時(shí)間等；另一個(gè)是SPD（Security Policy Data Base，安全策略數(shù)據(jù)庫），它的每一條記錄是一個(gè)策略，也是人機(jī)之間交互的安全接口，決定兩個(gè)通信實(shí)體間能否通信以及如何通信，包括定義、表示、管理及與各個(gè)組件之間的交互等.這兩個(gè)數(shù)據(jù)庫通常聯(lián)合使用，對(duì)于目的方，通過數(shù)據(jù)包頭包含的IP地址和協(xié)議類型等在SADB中查找相應(yīng)的SA.而對(duì)于源方，SPD的記錄指針將指向相應(yīng)的SADB記錄，若找不到適合的SA，將創(chuàng)建新SA，并將SPD記錄與新SA記錄鏈接起來.IPsec采用IKE自動(dòng)地為通信實(shí)體協(xié)商SA，并對(duì)SADB進(jìn)行維護(hù)，保證通信安全.

3 IPsec在IPv6中的應(yīng)用

IPsec是IPv4下的一個(gè)可選模塊.它是對(duì)IPv4采取的補(bǔ)救性措施.而IPv6在設(shè)計(jì)之初就充分考慮到了安全因素，它和IPsec結(jié)合更緊密，實(shí)現(xiàn)起來更容易，因此安全性比IPv4高很多.IPv6將AH和ESP作為它的擴(kuò)展包頭成為其自身的一部分，這樣，當(dāng)IPv6擴(kuò)展包頭中包含有AH鑒別頭時(shí)，就能對(duì)IPv6報(bào)文進(jìn)行身份鑒別，驗(yàn)證其完整性，從而防止對(duì)報(bào)文進(jìn)行偽裝或篡改.當(dāng)IPv6擴(kuò)展包頭中包含ESP時(shí)，既能對(duì)身份驗(yàn)證，同時(shí)還能對(duì)數(shù)據(jù)進(jìn)行加密，如果使用傳輸模式加密可以針對(duì)傳輸層數(shù)據(jù)形成端到端的加密，防止對(duì)高層（傳輸層和應(yīng)用層）數(shù)據(jù)的分析；如果采用隧道模式進(jìn)行加密，需要安全網(wǎng)關(guān)，即采用虛擬專用網(wǎng)技術(shù)，在網(wǎng)關(guān)內(nèi)數(shù)據(jù)是明文，而網(wǎng)關(guān)外（發(fā)出或接收）都是加密的密文，由此看出，IPv6中使用IPsec很容易實(shí)現(xiàn)數(shù)據(jù)加密和身份驗(yàn)證，保證通信內(nèi)容不被竊取和破壞.

4 IPv6與傳統(tǒng)安全技術(shù)相結(jié)合的安全機(jī)制

在現(xiàn)實(shí)環(huán)境中，網(wǎng)絡(luò)安全問題是很復(fù)雜的，涉及的范圍也很廣泛，單純采用IPsec來保證網(wǎng)絡(luò)安全是很不夠的，實(shí)際應(yīng)用中還需要結(jié)合其它的安全技術(shù)，如：防火墻、入侵檢測(cè)、虛擬專用網(wǎng)等來最大程度地進(jìn)行安全保證.

傳統(tǒng)的防火墻技術(shù)通過授權(quán)來限制訪問或拒絕和限制用戶的網(wǎng)絡(luò)行為.其實(shí)現(xiàn)方式主要有兩種，一種是報(bào)文過濾型，它根據(jù)報(bào)文的發(fā)送和接收方的IP地址、端口和傳送方向等報(bào)頭信息，依據(jù)一定的規(guī)則，判斷決定報(bào)文能否通過；另一種是應(yīng)用網(wǎng)關(guān)型，主要作用在應(yīng)用層，針對(duì)各種應(yīng)用服務(wù)編制代理程序，監(jiān)視和控制其通信過程.報(bào)文過濾型防火墻實(shí)現(xiàn)相對(duì)簡(jiǎn)單，智能性和自適應(yīng)處理能力較差；應(yīng)用網(wǎng)關(guān)型防火墻實(shí)現(xiàn)起來較為復(fù)雜，但功能更強(qiáng)，有一定的智能性和自適應(yīng)性.IPv6的防火墻也有報(bào)文過濾型和應(yīng)用網(wǎng)關(guān)型兩種實(shí)現(xiàn)方式，但由于IP層協(xié)議的變化，需要在原有防火墻的基礎(chǔ)上進(jìn)行一些改進(jìn)，比如針對(duì)IPv6協(xié)議設(shè)置過濾條件，制定相應(yīng)規(guī)則等.需要指出的是，由于防火墻不能解析報(bào)文的數(shù)據(jù)內(nèi)容，如果對(duì)IPv6報(bào)文進(jìn)行了加密，防火墻就很難處理.

IDS（Intrusion Detection System，入侵檢測(cè)系統(tǒng)）通過收集各種通信信息并加以分析來監(jiān)視非法入侵行為，實(shí)施報(bào)警措施.它相當(dāng)于一個(gè)監(jiān)聽器，不會(huì)對(duì)正常的通信造成影響.需要指出的是，目前IDS還沒有統(tǒng)一的正式標(biāo)準(zhǔn)，而且它對(duì)系統(tǒng)資源要求較高，對(duì)于高速網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)入侵檢測(cè)比較困難.

VPN（Virtual Private Network，虛擬專用網(wǎng)）通過為通信雙方提供專用的虛擬通道實(shí)現(xiàn)通信，從而防止通信內(nèi)容被干擾、竊聽和破壞.實(shí)現(xiàn)方式通常是采用IPsec協(xié)議，這也是IPv6主要的安全手段，即通過數(shù)據(jù)加密和VPN技術(shù)來保證網(wǎng)絡(luò)系統(tǒng)安全.需要指出的是，在實(shí)際應(yīng)用中，IPv6往往將傳統(tǒng)安全技術(shù)與自身的安全體系結(jié)合起來，使得用戶得到更高級(jí)別的安全保障.比如，兩個(gè)網(wǎng)絡(luò)（或節(jié)點(diǎn)）通過安全網(wǎng)關(guān)通信，如果網(wǎng)絡(luò)內(nèi)部主機(jī)和外部通信時(shí)采用隧道模式（利用VPN），則網(wǎng)絡(luò)內(nèi)部是明文通信，IPsec只是應(yīng)用在安全網(wǎng)關(guān)之間，為了更好地保證安全性，可以在安全網(wǎng)關(guān)內(nèi)部加IDS或防火墻.

5 結(jié)束語

Ipv6協(xié)議中引入了兩個(gè)新的擴(kuò)展報(bào)頭AH和ESP，它們幫助Ipv6解決了身份認(rèn)證、數(shù)據(jù)完整性和機(jī)密性的問題，使Ipv6真正實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，這是非常大的進(jìn)步.目前基于IPv6的下一代網(wǎng)絡(luò)，正在受到越來越多的國家和研究單位的關(guān)注，隨著大規(guī)模的IPv6網(wǎng)絡(luò)的普及和應(yīng)用形式的迫近，新一輪的安全問題又會(huì)產(chǎn)生，網(wǎng)絡(luò)安全會(huì)不斷面臨新的課題，如何在新環(huán)境下（包括網(wǎng)絡(luò)速度的提高和各種網(wǎng)絡(luò)新業(yè)務(wù)的不斷涌現(xiàn)等諸多情況）實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸、交換、以及保存等都是有待研究和解決的問題，只有不斷地改進(jìn)、提高，才能確保網(wǎng)絡(luò)的安全穩(wěn)定.

〔1〕蘭少華，楊余旺，呂建勇.TCP/IP網(wǎng)絡(luò)與協(xié)議.北京：清華大學(xué)出版社，2006（1）.

〔2〕王相林，等.IPv6技術(shù)——新一代網(wǎng)絡(luò)技術(shù).北京：機(jī)械工業(yè)出版社，2008.

〔3〕李津生，洪佩琳.下一代 Internet的網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2001（3）.

〔4〕周賢偉，薛楠.IPsec解析.北京：國防工業(yè)出版社，2006.

〔5〕Richard A.Deal.Cisco 路由器防火墻安全.北京：人民郵電出版社，2006.

〔6〕Carlton R.Davis.IPSec:VPN 的安全實(shí)施.北京：清華大學(xué)出版社，2002.

TP393.08

A

1673-260X（2012）01-0041-02