劉娜　周健飛

【摘 要】20世紀(jì)90年代，互聯(lián)網(wǎng)和PC得到廣泛普及，IPv4地址資源嚴(yán)重不足，1994年IETF提出一種新IP地址解決方案，稱為IPv6，為網(wǎng)絡(luò)安全問題提供了一種標(biāo)準(zhǔn)的解決方案。本文主要介紹IPv6中基于IP Sec協(xié)議的SA，AH，ESP和鑰匙管理的四種安全機制。

【關(guān)鍵詞】安全關(guān)聯(lián)；驗證報頭；封裝安全；鑰匙管理

一、IPv6介紹

IPv6保留許多IPv4的成功點，IPv4到IPv6的主要改進如下：（1）地址擴展：IP地址由原來的32位擴展到了128位，并且IPv6取消了IPv4地址的分類概念。（2）可擴展性：支持?jǐn)U展和選項的改進，IP首部選項編碼方式的修改導(dǎo)致更加高效的傳輸，在選項長度方面更少的限制以及將來引入新的選項時更強的適應(yīng)性。（3）流量標(biāo)識：對服務(wù)質(zhì)量作了定義，可以標(biāo)記數(shù)據(jù)所屬的流類型以便路由器成交換機進行相應(yīng)的處理。IPv6中增了“flow label”標(biāo)識，提供特定的QOS。（4）安全性：認(rèn)證和保密功能，在IPV6中為支持認(rèn)證，進行數(shù)據(jù)完整性及數(shù)據(jù)保密擴展。

二、IP安全（IP security）

IPv6提供一個安全機制和一系列安全服務(wù)支持，如數(shù)據(jù)認(rèn)證、完整性驗證、IP控制層加密。IP SEC的一個最基本的優(yōu)點是它可以在共享網(wǎng)絡(luò)訪問設(shè)備，甚至是所有的主機和服務(wù)器上完全實現(xiàn)，這很大程度避免了升級任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端，IPSEC架構(gòu)允許使用在遠程訪問邊界路由器或基于純軟件方式使用普通MODEM的PC機和工作站。

三、IP SEC的四種功能

（1）安全關(guān)聯(lián)Security Association（SA）。IP Sec中的一個基本概念是安全關(guān)聯(lián)（SA），安全關(guān)聯(lián)包含驗證或者加密的密鑰和算法。它是單向連接，為保護兩個主機或者兩個安全網(wǎng)關(guān)之間的雙向通信需要建立兩個安全關(guān)聯(lián)。安全關(guān)聯(lián)提供的安全服務(wù)是通過AH和ESP兩個安全協(xié)議中的一個來實現(xiàn)的。如果要在同一個通信流中使用AH和ESP兩個安全協(xié)議，那么需要創(chuàng)建兩個（或者更多）的安全關(guān)聯(lián)來保護該通信流。一個安全關(guān)聯(lián)需要通三個參數(shù)進行識別，它由安全參數(shù)索引（AH/ESP報頭的一個字段）、目的IP地址和安全協(xié)議（AH或者ESP）三者的組合唯一標(biāo)識。（2）報頭驗證Authentication Header（AH）。認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個密碼。AH通過一個只有密匙持有人才知道的"數(shù)字簽名"來對用戶進行認(rèn)證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。IPv6的驗證主要由驗證報頭（AH）來完成。驗證報頭是IPv6的一個安全擴展報頭，它為IP數(shù)據(jù)包提供完整性和數(shù)據(jù)來源驗證，防止反重放攻擊，避免IP欺騙攻擊。（3）封裝安全有效載荷數(shù)據(jù)（Encapsulating Security

Payload）。安全加載封裝（ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴(yán)格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙打開內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。ESP用來為封裝的有效載荷提供機密性、數(shù)據(jù)完整性驗證。AH和ESP兩種報文頭可以根據(jù)應(yīng)用的需要單獨使用，也可以結(jié)合使用，結(jié)合使用時，ESP應(yīng)該在AH的保護下。（4）鑰匙管理（Key Management）。密匙管理包括密匙確定和密匙分發(fā)兩個方面，最多需要四個密匙：AH和ESP各兩個發(fā)送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（DES）足夠滿足大多數(shù)商業(yè)應(yīng)用了。

四、在網(wǎng)絡(luò)中部署IPSec策略的優(yōu)點

（1）防止探聽和中間人攻擊。IPSec使你能夠加密包，防止其他人讀取它。包還被編了號并且有相應(yīng)的機制防止它們被篡改或重放。如果一個包被篡改了或被重放，IPSec視其為無效的包。（2）強化無線網(wǎng)絡(luò)的安全。盡管IPSec在所有的Windows網(wǎng)絡(luò)中都能正常工作，但如果你擁有一個無線網(wǎng)絡(luò)，它就顯得特別有用。確認(rèn)你能夠通過使用WEP或WPA來加密無線網(wǎng)絡(luò)，但是對包再進行IPSec加密，在傳輸過程中，將使黑客更難探查數(shù)據(jù)。（3）沒有額外軟件的部署。IPSec的一個好處就是它內(nèi)置與Windows中。那意味著在實施IPSec策略時，你不用購買新的軟件，也不用為兼容性問題擔(dān)心。（4）透明加密通信。除了IPSec通信比不加密的通信運行的慢之外，客戶端并不會知道通信被加密了。加密對于終端用戶來說是完全透明的，并沒有新的產(chǎn)品或步驟要學(xué)習(xí)。從終端用戶的角度來說，任何事情都沒有改變。

IPv6網(wǎng)絡(luò)由于IPSec提供的安全服務(wù)，能有效防止長期困擾人們的許多網(wǎng)絡(luò)攻擊，如IP欺騙、拒絕服務(wù)攻擊、數(shù)據(jù)篡改和網(wǎng)絡(luò)探測活動等。IP Sec是目前可提供的最好的網(wǎng)絡(luò)安全解決方案，它努力使Internet上的安全機制標(biāo)準(zhǔn)化，向更安全的Internet邁進了一大步。