劉娜　周健飛

【摘 要】20世紀90年代，互聯(lián)網(wǎng)和PC得到廣泛普及，IPv4地址資源嚴重不足，1994年IETF提出一種新IP地址解決方案，稱為IPv6，為網(wǎng)絡安全問題提供了一種標準的解決方案。本文主要介紹IPv6中基于IP Sec協(xié)議的SA，AH，ESP和鑰匙管理的四種安全機制。

【關鍵詞】安全關聯(lián)；驗證報頭；封裝安全；鑰匙管理

一、IPv6介紹

IPv6保留許多IPv4的成功點，IPv4到IPv6的主要改進如下：（1）地址擴展：IP地址由原來的32位擴展到了128位，并且IPv6取消了IPv4地址的分類概念。（2）可擴展性：支持擴展和選項的改進，IP首部選項編碼方式的修改導致更加高效的傳輸，在選項長度方面更少的限制以及將來引入新的選項時更強的適應性。（3）流量標識：對服務質量作了定義，可以標記數(shù)據(jù)所屬的流類型以便路由器成交換機進行相應的處理。IPv6中增了“flow label”標識，提供特定的QOS。（4）安全性：認證和保密功能，在IPV6中為支持認證，進行數(shù)據(jù)完整性及數(shù)據(jù)保密擴展。

二、IP安全（IP security）

IPv6提供一個安全機制和一系列安全服務支持，如數(shù)據(jù)認證、完整性驗證、IP控制層加密。IP SEC的一個最基本的優(yōu)點是它可以在共享網(wǎng)絡訪問設備，甚至是所有的主機和服務器上完全實現(xiàn)，這很大程度避免了升級任何網(wǎng)絡相關資源的需要。在客戶端，IPSEC架構允許使用在遠程訪問邊界路由器或基于純軟件方式使用普通MODEM的PC機和工作站。

三、IP SEC的四種功能

（1）安全關聯(lián)Security Association（SA）。IP Sec中的一個基本概念是安全關聯(lián)（SA），安全關聯(lián)包含驗證或者加密的密鑰和算法。它是單向連接，為保護兩個主機或者兩個安全網(wǎng)關之間的雙向通信需要建立兩個安全關聯(lián)。安全關聯(lián)提供的安全服務是通過AH和ESP兩個安全協(xié)議中的一個來實現(xiàn)的。如果要在同一個通信流中使用AH和ESP兩個安全協(xié)議，那么需要創(chuàng)建兩個（或者更多）的安全關聯(lián)來保護該通信流。一個安全關聯(lián)需要通三個參數(shù)進行識別，它由安全參數(shù)索引（AH/ESP報頭的一個字段）、目的IP地址和安全協(xié)議（AH或者ESP）三者的組合唯一標識。（2）報頭驗證Authentication Header（AH）。認證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個密碼。AH通過一個只有密匙持有人才知道的"數(shù)字簽名"來對用戶進行認證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結果；AH還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。IPv6的驗證主要由驗證報頭（AH）來完成。驗證報頭是IPv6的一個安全擴展報頭，它為IP數(shù)據(jù)包提供完整性和數(shù)據(jù)來源驗證，防止反重放攻擊，避免IP欺騙攻擊。（3）封裝安全有效載荷數(shù)據(jù)（Encapsulating Security

Payload）。安全加載封裝（ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內容，因為只有受信任的用戶擁有密匙打開內容。ESP也能提供認證和維持數(shù)據(jù)的完整性。ESP用來為封裝的有效載荷提供機密性、數(shù)據(jù)完整性驗證。AH和ESP兩種報文頭可以根據(jù)應用的需要單獨使用，也可以結合使用，結合使用時，ESP應該在AH的保護下。（4）鑰匙管理（Key Management）。密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙：AH和ESP各兩個發(fā)送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數(shù)商業(yè)應用了。

四、在網(wǎng)絡中部署IPSec策略的優(yōu)點

（1）防止探聽和中間人攻擊。IPSec使你能夠加密包，防止其他人讀取它。包還被編了號并且有相應的機制防止它們被篡改或重放。如果一個包被篡改了或被重放，IPSec視其為無效的包。（2）強化無線網(wǎng)絡的安全。盡管IPSec在所有的Windows網(wǎng)絡中都能正常工作，但如果你擁有一個無線網(wǎng)絡，它就顯得特別有用。確認你能夠通過使用WEP或WPA來加密無線網(wǎng)絡，但是對包再進行IPSec加密，在傳輸過程中，將使黑客更難探查數(shù)據(jù)。（3）沒有額外軟件的部署。IPSec的一個好處就是它內置與Windows中。那意味著在實施IPSec策略時，你不用購買新的軟件，也不用為兼容性問題擔心。（4）透明加密通信。除了IPSec通信比不加密的通信運行的慢之外，客戶端并不會知道通信被加密了。加密對于終端用戶來說是完全透明的，并沒有新的產(chǎn)品或步驟要學習。從終端用戶的角度來說，任何事情都沒有改變。

IPv6網(wǎng)絡由于IPSec提供的安全服務，能有效防止長期困擾人們的許多網(wǎng)絡攻擊，如IP欺騙、拒絕服務攻擊、數(shù)據(jù)篡改和網(wǎng)絡探測活動等。IP Sec是目前可提供的最好的網(wǎng)絡安全解決方案，它努力使Internet上的安全機制標準化，向更安全的Internet邁進了一大步。