【摘 要】IPv6是新型網(wǎng)絡(luò)互聯(lián)協(xié)議，比IPv4有更多的IP地址，提供的服務(wù)更加安全。在IP網(wǎng)絡(luò)廣泛應(yīng)用的同時(shí)，各種非法攻擊導(dǎo)致的危害非常大。IP sec是給IP提供的安全體系結(jié)構(gòu)，其對(duì)IP層提供的安全性服務(wù)給予了更加明確的定義，不僅適用于IPv4，而且同樣適用于IPv6。本篇文章就基于IPv6的安全協(xié)議IP sec進(jìn)行了深入的研究。

【關(guān)鍵詞】IPv6；安全協(xié)議IP sec；研究與實(shí)現(xiàn)

與IPv4相比較，IPv6 的優(yōu)勢(shì)還是非常多的。IPv6不僅將IPv4地址數(shù)量不足的問題有效解決，而且改進(jìn)了許多IPv4協(xié)議中的欠缺之處，其中最顯著的就是IP sec集成到協(xié)議內(nèi)部，使得IP sec成為了IPv6協(xié)議內(nèi)部固有的一部分。IPv6能夠有效利用IP sec提供的安全機(jī)制來對(duì)網(wǎng)絡(luò)傳送的數(shù)據(jù)進(jìn)行有效保護(hù)。本篇文章就四個(gè)IP sec的安全機(jī)制進(jìn)行詳細(xì)的敘述。

一、安全關(guān)聯(lián)（SA）

安全關(guān)聯(lián)是IP sec的基本概念之一，其中包括驗(yàn)證，以及加密的算法與密鑰。安全關(guān)聯(lián)屬于單項(xiàng)連接，要想實(shí)現(xiàn)對(duì)兩臺(tái)主機(jī)，或者兩個(gè)網(wǎng)關(guān)的雙向通信，就必須要建立起兩個(gè)安全關(guān)聯(lián)。安全關(guān)聯(lián)是通過ESP安全協(xié)議或者AH安全協(xié)議來提供安全服務(wù)的。假如想要在一個(gè)通信流中使用ESP安全協(xié)議與AH安全協(xié)議，那就必須要至少建立兩個(gè)安全關(guān)聯(lián)來對(duì)通信流起到良好的保護(hù)作用。建立一個(gè)安全關(guān)聯(lián)通常需要三個(gè)參數(shù)識(shí)別，主要由安全參數(shù)索引、目的IP，以及ESP安全協(xié)議或者AH安全協(xié)議組合而成。下圖為在傳送模式與隧道模式下的ESP安全協(xié)議報(bào)頭與AH安全協(xié)議報(bào)頭的區(qū)別。

二、報(bào)頭驗(yàn)證（AH）

所謂報(bào)頭驗(yàn)證是指在所有的數(shù)據(jù)包頭都要添加一個(gè)密碼，只有持有密鑰的人在能夠得到認(rèn)證。數(shù)字簽名是將數(shù)據(jù)包使用特別的算法得到的結(jié)果。報(bào)頭驗(yàn)證能夠保持?jǐn)?shù)據(jù)的完整性。數(shù)據(jù)包在傳輸?shù)倪^程中，無論被加載了多小的數(shù)據(jù)，只要有變化，就會(huì)被數(shù)字簽證給檢測(cè)到。IPv6的驗(yàn)證是通過驗(yàn)證報(bào)頭來實(shí)現(xiàn)的，這里的驗(yàn)證報(bào)頭是IPv6的一個(gè)擴(kuò)展報(bào)頭，其能夠給數(shù)據(jù)包提供非常完整的數(shù)據(jù)驗(yàn)證，能夠有效防止IP的欺騙攻擊。下圖為IPv6驗(yàn)證報(bào)頭的格式與驗(yàn)證數(shù)據(jù)包的整個(gè)過程。

三、封裝安全有效載荷數(shù)據(jù)（ESP）

ESP是通過對(duì)所有數(shù)據(jù)包的數(shù)據(jù)和內(nèi)容進(jìn)行加密，來保證信息數(shù)據(jù)機(jī)密的。只有得到信任的用戶才可以將具有打開內(nèi)容的密鑰。ESP能夠有效避免其他用戶對(duì)信息進(jìn)行監(jiān)聽。與此同時(shí)，ESP還能夠保證數(shù)據(jù)與認(rèn)證過程的完整性。ESP報(bào)頭與AH報(bào)頭既可以單獨(dú)使用，也可以二者綜合使用，如果是綜合使用，那么ESP要在AH的保護(hù)之下。下圖為ESP的數(shù)據(jù)包格式與ESP的數(shù)據(jù)包壓縮工作整個(gè)過程。

四、密鑰管理（KM）

密鑰管理主要包括密鑰的確定與分發(fā)兩個(gè)方面，在最多的時(shí)候是需要四個(gè)密鑰的，即AH的發(fā)送與接收密鑰、ESP的發(fā)送與接收密鑰。密鑰實(shí)質(zhì)上是一個(gè)二進(jìn)制的字符串，使用十六進(jìn)制來表示，比如一個(gè)密鑰為5F25DA892E045C2。密鑰的總長(zhǎng)度為六十四位，其中八位是奇偶校驗(yàn)。

（一）Oakley協(xié)議

Oakley協(xié)議的基本機(jī)理是Diffie—Hellman密鑰算法，對(duì)于轉(zhuǎn)發(fā)的安全性完全支持。用戶通常通過使用Diffie—Hellman密鑰算法來對(duì)群結(jié)構(gòu)進(jìn)行抽象的定義，也可以使用帶外機(jī)制來對(duì)密鑰集進(jìn)行分發(fā)，Oakley協(xié)議同時(shí)也能夠?qū)崿F(xiàn)對(duì)ISAKMP協(xié)議的管理。

（二）ISAKMP協(xié)議

ISAKMP協(xié)議通過對(duì)信息包與程序的格式進(jìn)行定義，來建立、協(xié)商、刪除，以及修改等安全連接。安全連接主要包括IP層的服務(wù)與傳輸、應(yīng)用層的服務(wù)與流通傳輸?shù)雀鞣N網(wǎng)絡(luò)協(xié)議需要的信息。ISAKMP協(xié)議同時(shí)還對(duì)密鑰交換產(chǎn)生的數(shù)據(jù)與載荷進(jìn)行集中管理，進(jìn)而實(shí)現(xiàn)復(fù)制函數(shù)數(shù)量的減少，而且還能夠減少連接建立需要的時(shí)間。

五、結(jié)束語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，IP地址的使用量越來越高。IPv6不僅將IPv4的地址短缺問題有效緩解，而且安全性和可移動(dòng)性越來越強(qiáng)。IP sec協(xié)議的IPv6中的應(yīng)用近年來得到了相當(dāng)廣泛的認(rèn)可，其不僅保障了日常網(wǎng)絡(luò)信息的安全與完整，而且對(duì)于一些諸如軍事、經(jīng)濟(jì)等國(guó)家的重要信息也給予了有效的保護(hù)。對(duì)于基于IPv6的安全協(xié)議IP sec的研究與實(shí)現(xiàn)有著現(xiàn)實(shí)的意義，其不僅需要網(wǎng)絡(luò)工程師們不斷加強(qiáng)研究，更需要網(wǎng)絡(luò)安全知識(shí)的普及與宣傳，使得更多的人認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。

參考文獻(xiàn)：

[1]王心.沈琴.網(wǎng)絡(luò)安全協(xié)議IP Sec及其應(yīng)用淺析[J].北京廣播學(xué)院學(xué)報(bào)（自然科學(xué)版）.2002.9（3）

[2]步登輝.基于IP Sec協(xié)議的IPv6安全機(jī)制[J].天中學(xué)刊.2005.20（05）

[3]周虹.IPV6安全機(jī)制分析[J].網(wǎng)絡(luò)與信息.2011.25（12）