蘇 立，楊 勝

(湖南大學(xué) 計算機與通信學(xué)院，湖南 長沙 410004)

IPv6校園網(wǎng)安全策略研究*

蘇 立，楊 勝

(湖南大學(xué) 計算機與通信學(xué)院，湖南 長沙 410004)

隨著互聯(lián)網(wǎng)的發(fā)展，當(dāng)前的IPv4網(wǎng)絡(luò)逐漸暴露出其缺陷，人們開始使用一種新的網(wǎng)絡(luò)協(xié)議IPv6替代現(xiàn)有的IPv4協(xié)議。在這個IPv6網(wǎng)絡(luò)逐漸普及的過程中，人們越來越關(guān)注數(shù)據(jù)傳輸?shù)陌踩?。本文介紹了IPv6網(wǎng)絡(luò)協(xié)議，并詳細(xì)介紹了IPv6安全策略及IPSec網(wǎng)絡(luò)安全協(xié)議。然后設(shè)計了一個IPSec策略配置方案，并通過實例測試了這個方案，對IPv6的校園網(wǎng)安全部署有一定的參考和借鑒價值。

IPv6;協(xié)議;安全策略;安全關(guān)聯(lián);配置

隨著Internet的迅速增長，IPv4網(wǎng)絡(luò)暴露了其明顯的不足，地址空間不足及網(wǎng)絡(luò)用戶的大量增加導(dǎo)致的路由表爆炸式膨脹，使得IPv4網(wǎng)絡(luò)的發(fā)展受到限制。在這種情況下IETF(Internet Engineering Task Force)于1997年制定了IPv6協(xié)議，成為代替IPv4的一種新的IP協(xié)議。

一、IPv6與IPSec

1.IPv6

IPv6是“Internet Protocol Version 6”的縮寫，也被稱為下一代互聯(lián)網(wǎng)協(xié)議，是由IETF設(shè)計用來替代IPv4協(xié)議的新的IP協(xié)議。相對于IPv4來說，IPv6有其明顯的優(yōu)勢［1］:足夠大的地址空間;移動性的支持;內(nèi)置的安全特性;Qos(Quality of Service)等。

圖1 IPv6數(shù)據(jù)包結(jié)構(gòu)

2.IPSec網(wǎng)絡(luò)安全協(xié)議

IPSec對于IPv4是作為可選項，而IPv6協(xié)議內(nèi)置集成了IPSec。這充分體現(xiàn)了網(wǎng)絡(luò)安全與網(wǎng)絡(luò)協(xié)議渾然一體的技術(shù)更新優(yōu)勢。

網(wǎng)絡(luò)安全協(xié)議IPSec［2］是一整套的安全協(xié)議體系，它是由一系列協(xié)議組成的協(xié)議簇。具體包括:安全協(xié)議 AH(Authentication Header)和封裝安全載荷ESP(Encapsulating Security Payload)，Internet密鑰交換(IKE)協(xié)議，加密及認(rèn)證算法等組件。IPSec體系結(jié)構(gòu)及各組件間的交互關(guān)系如圖2所示。IPSec協(xié)議簇通過對以上組件的定義，給出了一個網(wǎng)絡(luò)層的安全框架。

圖2 IPsec體系結(jié)構(gòu)

3.安全關(guān)聯(lián)

IPSec的基礎(chǔ)就是安全關(guān)聯(lián)SA(Security Association)［3］。IPSec使用的兩種協(xié)議(AH和ESP)均使用SA;IKE協(xié)議(IPSec使用的密鑰管理協(xié)議)的一個主要功能就是SA的管理和維護。SA是通信對等方之間對某些要素的一種協(xié)定，例如IPSec協(xié)議、協(xié)議的操作模式(傳輸模式和隧道模式)、密碼算法、密鑰、用于保護它們之間數(shù)據(jù)流的密鑰生存期。如果希望同時用AH和ESP來保護兩個對等方之間的數(shù)據(jù)流，則需要兩個SA:一個用于AH，一個用于ESP。定義用于AH或者ESP的隧道操作模式的SA稱為隧道模式SA，而定義用于傳輸操作模式的SA成為傳輸SA。安全關(guān)聯(lián)是單工的(即單向的);因此，輸出和輸入的數(shù)據(jù)流需要獨立的SA。術(shù)語SA束用于描述一組SA，該組SA應(yīng)用于始自或者到達特定主機的數(shù)據(jù)。

二、IPSec在校園網(wǎng)中的應(yīng)用

校園作為知識和人才基地，它一直是信息技術(shù)應(yīng)用最成功的典范，是先進技術(shù)的領(lǐng)頭羊，基于IPv6協(xié)議的下一代互聯(lián)網(wǎng)研究是校園網(wǎng)研究的熱點領(lǐng)域，也是校園網(wǎng)發(fā)展的方向。我們就以高校IPv6校園為例部署安全策略:

在校園網(wǎng)匯聚點部署兩臺安全策略主機(A和B)，設(shè)定它們的子網(wǎng)前綴是2001∶1∶1∶1∶/64，兩臺機子的 IP地址分別為 210∶88ff∶fe02∶ed67(主機 A)和 2a0∶c9ff∶fe48∶23b0(主機B)。因此它們各自的IPv6地址分別是2001∶1∶1∶1∶210:88ff:fe02:ed67(主機 A)和2001∶1∶1∶1∶2a0∶c9ffe48∶23b0(主機B)，為了實現(xiàn)應(yīng)用IPSec策略后的IPv6通信，需要對每臺主機的安全策略數(shù)據(jù)庫(SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)進行正確的策略和關(guān)聯(lián)配置。兩臺主機通信時，HTTP協(xié)議的數(shù)據(jù)包通信將被AH和ESP傳輸模式保護起來。其它數(shù)據(jù)包通信將被ESP傳輸模式保護起來。

圖3 兩本地主機之間應(yīng)用IPsec策略

1、IPsec策略配置［4］

(1)安全策略數(shù)據(jù)庫(SPD)配置

以主機B的SPD和SAD數(shù)據(jù)庫為例，在主機B的SPD文件中做如下配置，見表1。

表1 兩臺主機間應(yīng)用IPsec策略時主機B的SPD文件設(shè)置

本測試中的兩臺主機均有本地環(huán)回(loopback)策略和關(guān)聯(lián)，當(dāng)只有一臺主機可用時，可作為測試之用。因此在SPD文件中有4個安全策略。本測試應(yīng)用了IPSec嵌套，從安全策略入口(SP entry)5中可以看到，安全關(guān)聯(lián)綁定索引(SABundleindex)被指定為4，這樣規(guī)定以后，當(dāng)SP entry 5被應(yīng)用后接著就應(yīng)用SP entry 4。由于SPentry 5有這個明確規(guī)定的選擇符，因此SP entry 4不會單獨被應(yīng)用。這樣就保證了應(yīng)用ESP傳輸模式保護HTTP通信的同時，也一定會應(yīng)用AH傳輸模式保護同樣的數(shù)據(jù)包。SP entry 5和4協(xié)議(Protocol)選擇符指定為TCP，同時本地端口(LocalPort)選擇符指定為80，這樣就保證了這兩個策略保護的通信是HTTP通信。主機A的SPD文件跟主機B的差不多，僅僅是遠(yuǎn)程IP地址(RemoteIPAddr)選擇符要做出相應(yīng)的改變。

(2)安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)配置

在主機B的SAD文件中做如下配置，見表2。每個安全策略需要進出兩個安全關(guān)聯(lián)，因此總共需要8個安全關(guān)聯(lián)。從表1中可以看到，選擇符有一個指示器(indicator)為“來自于策略 take from policy(－)”或“來自于包 take from packet(+)”。這意味著SA選擇符要么來自于策略選擇符，要么來自于創(chuàng)建SA時產(chǎn)生的包。由于使用的是手動密鑰分配，為了簡單化，本測試中使用“來自于策略take from policy”。

表2 兩臺主機間應(yīng)用IPsec策略時B的sad文件配置

當(dāng)SA選擇符被策略所確定，則SA選擇符的值置為POLICY(見表2)?！皝碜杂诎黷ake from packet”指示器能夠用來生成一個更為明確和詳盡的SA，也就是說，一個SP能夠有多個SA。在兩臺主機上都創(chuàng)建了一些包含數(shù)據(jù)的文件，其中的數(shù)據(jù)用來創(chuàng)建和驗證關(guān)于每個IPSec保護的數(shù)據(jù)包的“報文摘要5(MD5)”鍵入散列數(shù)據(jù)。由于目前所用的操作系統(tǒng)的IPv6協(xié)議只支持用于快速模式SA的手動配置密鑰，因此不執(zhí)行通過“Internet密鑰交換(IKE)”的主要模式協(xié)商。在本測試中，將通過創(chuàng)建包含手動密鑰的文本或二進制數(shù)據(jù)的文件配置手動密鑰。測試時，兩個方向都使用了用于SA的同一個密鑰。通過創(chuàng)建不同的密鑰文件，并在SAD中使用KeyFile字段來引用它們，可以為入站和出站SA使用不同密鑰。

如果只有一臺主機應(yīng)用了IPSec策略時，兩臺主機是無法進行通信的。其它沒有應(yīng)用IPSec策略的主機也無法與一臺應(yīng)用了IPSec策略的主機進行通信。如果嘗試與一臺應(yīng)用了IPSec策略的主機通信的話，Ping命令的返回信息為Request timed out。對于本測試而言，由于在環(huán)路本地地址上應(yīng)用了IPSec策略，因此當(dāng)Ping6∶1時，通信正常。文件傳輸?shù)慕Y(jié)果與ping6的結(jié)果完全一樣。在本測試中，由于對HTTP數(shù)據(jù)進行了保護，當(dāng)把一臺主機設(shè)置為使用IPv6協(xié)議棧的Web服務(wù)器時，另一臺主機無法訪問這個Web服務(wù)器。當(dāng)把兩臺主機都應(yīng)用了IPSec策略后，一切通信都正常。

三、結(jié) 語

IPv6作為下—代網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，有著諸多優(yōu)點，它不僅提供了足夠的地址空間，同時內(nèi)置集成了IPSec，這充分體現(xiàn)了網(wǎng)絡(luò)安全與網(wǎng)絡(luò)協(xié)議渾然一體的技術(shù)更新優(yōu)勢。我國在IPv6技術(shù)的投資很大，IPv6的應(yīng)用前景是非常光明的。在IPv6網(wǎng)絡(luò)逐漸普及的過程中，人們對數(shù)據(jù)傳輸?shù)陌踩砸彩窃絹碓街匾暋?/p>

［1］周遜.IPv6下一代互聯(lián)網(wǎng)的核心［M］.北京:電子工業(yè)出版社，2005.

［2］宋健等.IPv6網(wǎng)絡(luò)應(yīng)用IPsec策略的網(wǎng)絡(luò)性能分析與研究［J］.微計算機信息，2004，(1).

［3］B Carpenter，K Moore.RFC3056:Connection of IPv6 Domains via IPv4 Clouds，2001:4 ～15.

［4］王森等.配置IPv6環(huán)境中的服務(wù)器［J］.中國數(shù)據(jù)通信，2003，(8).

TP393

A

2095－4654(2013)1－0143－02

2012－10－19