檀小璐+婁雨

摘要：隨著產業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+、云計算、大數(shù)據(jù)等以互聯(lián)網(wǎng)為基礎的信息技術的發(fā)展，所需IP地址的數(shù)量也隨之增加。IP地址的資源缺乏，將嚴重制約互聯(lián)和網(wǎng)的應用和發(fā)展，而IPv6（Internet Protocol Version 6）作為下一個版本的互聯(lián)網(wǎng)協(xié)議能解決IPv4網(wǎng)絡地址資源不足的問題。然而，IPv6在一段時期內要和IPv4共存，必定會產生一些新的網(wǎng)絡安全問題，再加上IPv6中新性能的添加，網(wǎng)絡管理的復雜度也會隨之加大。因此，研究基于IPv6的網(wǎng)絡安全關鍵技術具有重要的現(xiàn)實意義。

關鍵詞：IPv6；網(wǎng)絡安全；關鍵技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）34-0047-02

1 IPv6相比IPv4的優(yōu)勢

首先，IPv6將IP地址從32位增加到128位，地址數(shù)約是IPV4的1028倍。第二，IPv4得包頭有13個域，IPv6得包頭縮減為8個域。數(shù)據(jù)包包頭選項更少了，從而加快了路由器的擇址速度。第三，IPv6支持更豐富的選項。各選項現(xiàn)在以獨立頭的形式存在，而不是作為IP頭的選項，這顯得更靈活，允許路由器忽略那些與他們無關的頭，使包的處理速度更快[3]。第四，內置的安全性。IPv6協(xié)議強制使用IP安全（IP Security ，IPSec）這就為網(wǎng)絡安全性提供了一種基于標準的解決方案，并且提高了不同IPv6實現(xiàn)方案之間的互操作性。第五，IPv6提供了一些新的功能，當發(fā)送方需要對一些數(shù)據(jù)流進行特殊處理，比如一些非默認服務質量（QoS）的處理，可以標記這些數(shù)據(jù)流的包，更好的支持服務質量。第六，IPv6的可擴展性，以支持認證、數(shù)據(jù)完整性以及數(shù)據(jù)機密性等[1]。

2 IPv6安全機制

由于IPv4本身沒有提供有效的安全機制，黑客往往通過軟件漏洞、內部植入威脅、邏輯炸彈、特洛伊木馬等手段改變整個報文，使得用戶數(shù)據(jù)遭到各種各樣的攻擊。要解決網(wǎng)絡的安全問題，必須首先解決IP的安全問題。1995年互聯(lián)網(wǎng)工程任務組決定開始研究用于保護網(wǎng)絡安全通信的體系結構，即IPsec（網(wǎng)絡安全體系結構）。IPSec是IPv6的一個組成部分，它是一個開發(fā)功能是協(xié)議的基本框架，用以保證IP網(wǎng)絡上數(shù)據(jù)通信的安全性。

2.1 IPSec基本結構

IPSec中最主要的兩個部分：鑒別首部AH，用來鑒別源點和檢查數(shù)據(jù)完整性，但不能保密。封裝安全載荷（ESP），它比AH復雜得多，不僅具備AH的功能，還能夠提供保密功能。同時對數(shù)據(jù)的傳輸規(guī)定了2種模式：傳輸模式和隧道模式[2]，如圖1所示：

2.2安全關聯(lián)

安全關聯(lián)（SA，Security Association）的概念是IPSec的基礎。是通信雙方對某些要素的一種協(xié)定，用戶保護它們之間的數(shù)據(jù)流密鑰的生存期。實現(xiàn)IPSec數(shù)據(jù)完整性的認證頭（AH，Authentication Header）和用來實現(xiàn)數(shù)據(jù)的機密性的封裝安全載荷（ESP，Encapsulating Secutity Payload）均使用SA。

2.3 安全策略數(shù)據(jù)庫（SPD）

數(shù)據(jù)包怎樣或按照什么要的規(guī)則安全的流入和流出，這就是我們所說的安全策略。而IPSec中將所有的安全策略都存放在一起，就形成了安全策略數(shù)據(jù)庫。在對數(shù)據(jù)包進行處理的過程中，需要根據(jù)“選擇符”在此數(shù)據(jù)庫中一一檢索，最終找到這個數(shù)據(jù)包所需要的安全服務。對于一個數(shù)據(jù)庫，必定少不了談到它的管理功能，包括策略的新建、刪除和修改。當然怎么樣管理安全策略，還要根據(jù)IPSec真實的處理過程。

2.4安全關聯(lián)數(shù)據(jù)庫（SADB）

簡單地說，安全關聯(lián)數(shù)據(jù)庫就是用來存放安全關聯(lián)（SA）。在數(shù)據(jù)包流入或流出過程中，都會創(chuàng)建一個適當?shù)腟A，存放在數(shù)據(jù)庫中，且不能與其他SA重復。SA是單向的，也就是說，數(shù)據(jù)包的流入和流出都需要建立單獨的SA。正因為它單向來的，所以它的結構也非常簡單。比如：Host A通過Internet給Host B發(fā)送數(shù)據(jù)，采用封裝安全載荷（ESP）進行安全傳輸。這時Host A建立一個SA，用于處理數(shù)據(jù)包的流出；由于SA是單向的，Host B還需要建立一個用于處理數(shù)據(jù)包的流入的SA。在此過程中所產生的密碼算法、密鑰等參數(shù)由兩個單向的SA共同享有。

2.5認證頭（AH）

認證頭（AH），作為一種網(wǎng)絡協(xié)議，只能確保數(shù)據(jù)包在傳輸過程中沒有被篡改，且數(shù)據(jù)包一個新的而非重放的包，不定義任何加密算法。AH在數(shù)據(jù)包中的位置，取決于采用哪種傳輸模式：傳輸模式（如圖2）和隧道模式（如圖3）。在傳輸模式中，AH用于保護上一層傳輸層TCP或UDP協(xié)議，確保兩個獨立主機通信的安全性，也有一定的局限，比如Host A和Host B之間要進行通信，可是在Internet和Host A之間有個用于保護它的安全網(wǎng)關，數(shù)據(jù)包經(jīng)過網(wǎng)關之后，網(wǎng)關用它的IP地址替換數(shù)據(jù)包中的源地址，重新計算ICV，當數(shù)據(jù)包到達Host B時，它計算出來的ICV和Host A計算出來的不匹配，就會發(fā)生棄包的現(xiàn)象。

2.6封裝安全載荷

封裝安全載荷（ESP），也是網(wǎng)絡協(xié)議的一種。它除了能實現(xiàn)AH的所有功能外，還增加了額外的服務：使用加密器對數(shù)據(jù)提供保密服務。和AH的情況一樣，ESP在數(shù)據(jù)包中的位置取決于ESP的操作模式：傳輸模式（如圖4）和隧道模式（如圖5）。

值得注意的是，AH要對整個IP數(shù)據(jù)包進行身份認證，而ESP 只對頭部、傳輸協(xié)議頭、傳輸協(xié)議數(shù)據(jù)部分進行身份認證。在傳輸模式中，當主機的IP地址為私有的或是在主機后有一個保護它的地址的安全網(wǎng)關，可以通過ESP來提供認證和加密保護，由于它只能認證和加密其中的一部分（如圖4所示），網(wǎng)關可以修改IP頭，而恰巧ESP的頭未被修改，且目的端對IP頭的校驗和加密都正確，數(shù)據(jù)包將被目的主機認定成功。這樣提高的認證的速度，也暴漏了ESP的弱點，在數(shù)據(jù)包的傳輸過程中，如果IP頭被修改的部分校驗成功，目的主機也無法檢測到任何的修改。與傳輸模式不同，隧道模式驗證整個原IP頭，新IP頭部被驗證和加密[3]。如果新IP頭也被驗證和加密，就會出現(xiàn)和AH協(xié)議一樣的局限性（上文已介紹）。總之，AH和ESP 都有自己的優(yōu)缺點，將二者結合使用，既提供的認證服務也有加密服務，將提高數(shù)據(jù)通信的安全性。