檀小璐+婁雨

摘要：隨著產(chǎn)業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+、云計(jì)算、大數(shù)據(jù)等以互聯(lián)網(wǎng)為基礎(chǔ)的信息技術(shù)的發(fā)展，所需IP地址的數(shù)量也隨之增加。IP地址的資源缺乏，將嚴(yán)重制約互聯(lián)和網(wǎng)的應(yīng)用和發(fā)展，而IPv6（Internet Protocol Version 6）作為下一個(gè)版本的互聯(lián)網(wǎng)協(xié)議能解決IPv4網(wǎng)絡(luò)地址資源不足的問(wèn)題。然而，IPv6在一段時(shí)期內(nèi)要和IPv4共存，必定會(huì)產(chǎn)生一些新的網(wǎng)絡(luò)安全問(wèn)題，再加上IPv6中新性能的添加，網(wǎng)絡(luò)管理的復(fù)雜度也會(huì)隨之加大。因此，研究基于IPv6的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)具有重要的現(xiàn)實(shí)意義。

關(guān)鍵詞：IPv6；網(wǎng)絡(luò)安全；關(guān)鍵技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）34-0047-02

1 IPv6相比IPv4的優(yōu)勢(shì)

首先，IPv6將IP地址從32位增加到128位，地址數(shù)約是IPV4的1028倍。第二，IPv4得包頭有13個(gè)域，IPv6得包頭縮減為8個(gè)域。數(shù)據(jù)包包頭選項(xiàng)更少了，從而加快了路由器的擇址速度。第三，IPv6支持更豐富的選項(xiàng)。各選項(xiàng)現(xiàn)在以獨(dú)立頭的形式存在，而不是作為IP頭的選項(xiàng)，這顯得更靈活，允許路由器忽略那些與他們無(wú)關(guān)的頭，使包的處理速度更快[3]。第四，內(nèi)置的安全性。IPv6協(xié)議強(qiáng)制使用IP安全（IP Security ，IPSec）這就為網(wǎng)絡(luò)安全性提供了一種基于標(biāo)準(zhǔn)的解決方案，并且提高了不同IPv6實(shí)現(xiàn)方案之間的互操作性。第五，IPv6提供了一些新的功能，當(dāng)發(fā)送方需要對(duì)一些數(shù)據(jù)流進(jìn)行特殊處理，比如一些非默認(rèn)服務(wù)質(zhì)量（QoS）的處理，可以標(biāo)記這些數(shù)據(jù)流的包，更好的支持服務(wù)質(zhì)量。第六，IPv6的可擴(kuò)展性，以支持認(rèn)證、數(shù)據(jù)完整性以及數(shù)據(jù)機(jī)密性等[1]。

2 IPv6安全機(jī)制

由于IPv4本身沒(méi)有提供有效的安全機(jī)制，黑客往往通過(guò)軟件漏洞、內(nèi)部植入威脅、邏輯炸彈、特洛伊木馬等手段改變整個(gè)報(bào)文，使得用戶數(shù)據(jù)遭到各種各樣的攻擊。要解決網(wǎng)絡(luò)的安全問(wèn)題，必須首先解決IP的安全問(wèn)題。1995年互聯(lián)網(wǎng)工程任務(wù)組決定開(kāi)始研究用于保護(hù)網(wǎng)絡(luò)安全通信的體系結(jié)構(gòu)，即IPsec（網(wǎng)絡(luò)安全體系結(jié)構(gòu)）。IPSec是IPv6的一個(gè)組成部分，它是一個(gè)開(kāi)發(fā)功能是協(xié)議的基本框架，用以保證IP網(wǎng)絡(luò)上數(shù)據(jù)通信的安全性。

2.1 IPSec基本結(jié)構(gòu)

IPSec中最主要的兩個(gè)部分：鑒別首部AH，用來(lái)鑒別源點(diǎn)和檢查數(shù)據(jù)完整性，但不能保密。封裝安全載荷（ESP），它比AH復(fù)雜得多，不僅具備AH的功能，還能夠提供保密功能。同時(shí)對(duì)數(shù)據(jù)的傳輸規(guī)定了2種模式：傳輸模式和隧道模式[2]，如圖1所示：

2.2安全關(guān)聯(lián)

安全關(guān)聯(lián)（SA，Security Association）的概念是IPSec的基礎(chǔ)。是通信雙方對(duì)某些要素的一種協(xié)定，用戶保護(hù)它們之間的數(shù)據(jù)流密鑰的生存期。實(shí)現(xiàn)IPSec數(shù)據(jù)完整性的認(rèn)證頭（AH，Authentication Header）和用來(lái)實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性的封裝安全載荷（ESP，Encapsulating Secutity Payload）均使用SA。

2.3 安全策略數(shù)據(jù)庫(kù)（SPD）

數(shù)據(jù)包怎樣或按照什么要的規(guī)則安全的流入和流出，這就是我們所說(shuō)的安全策略。而IPSec中將所有的安全策略都存放在一起，就形成了安全策略數(shù)據(jù)庫(kù)。在對(duì)數(shù)據(jù)包進(jìn)行處理的過(guò)程中，需要根據(jù)“選擇符”在此數(shù)據(jù)庫(kù)中一一檢索，最終找到這個(gè)數(shù)據(jù)包所需要的安全服務(wù)。對(duì)于一個(gè)數(shù)據(jù)庫(kù)，必定少不了談到它的管理功能，包括策略的新建、刪除和修改。當(dāng)然怎么樣管理安全策略，還要根據(jù)IPSec真實(shí)的處理過(guò)程。

2.4安全關(guān)聯(lián)數(shù)據(jù)庫(kù)（SADB）

簡(jiǎn)單地說(shuō)，安全關(guān)聯(lián)數(shù)據(jù)庫(kù)就是用來(lái)存放安全關(guān)聯(lián)（SA）。在數(shù)據(jù)包流入或流出過(guò)程中，都會(huì)創(chuàng)建一個(gè)適當(dāng)?shù)腟A，存放在數(shù)據(jù)庫(kù)中，且不能與其他SA重復(fù)。SA是單向的，也就是說(shuō)，數(shù)據(jù)包的流入和流出都需要建立單獨(dú)的SA。正因?yàn)樗鼏蜗騺?lái)的，所以它的結(jié)構(gòu)也非常簡(jiǎn)單。比如：Host A通過(guò)Internet給Host B發(fā)送數(shù)據(jù)，采用封裝安全載荷（ESP）進(jìn)行安全傳輸。這時(shí)Host A建立一個(gè)SA，用于處理數(shù)據(jù)包的流出；由于SA是單向的，Host B還需要建立一個(gè)用于處理數(shù)據(jù)包的流入的SA。在此過(guò)程中所產(chǎn)生的密碼算法、密鑰等參數(shù)由兩個(gè)單向的SA共同享有。

2.5認(rèn)證頭（AH）

認(rèn)證頭（AH），作為一種網(wǎng)絡(luò)協(xié)議，只能確保數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有被篡改，且數(shù)據(jù)包一個(gè)新的而非重放的包，不定義任何加密算法。AH在數(shù)據(jù)包中的位置，取決于采用哪種傳輸模式：傳輸模式（如圖2）和隧道模式（如圖3）。在傳輸模式中，AH用于保護(hù)上一層傳輸層TCP或UDP協(xié)議，確保兩個(gè)獨(dú)立主機(jī)通信的安全性，也有一定的局限，比如Host A和Host B之間要進(jìn)行通信，可是在Internet和Host A之間有個(gè)用于保護(hù)它的安全網(wǎng)關(guān)，數(shù)據(jù)包經(jīng)過(guò)網(wǎng)關(guān)之后，網(wǎng)關(guān)用它的IP地址替換數(shù)據(jù)包中的源地址，重新計(jì)算ICV，當(dāng)數(shù)據(jù)包到達(dá)Host B時(shí)，它計(jì)算出來(lái)的ICV和Host A計(jì)算出來(lái)的不匹配，就會(huì)發(fā)生棄包的現(xiàn)象。

2.6封裝安全載荷

封裝安全載荷（ESP），也是網(wǎng)絡(luò)協(xié)議的一種。它除了能實(shí)現(xiàn)AH的所有功能外，還增加了額外的服務(wù)：使用加密器對(duì)數(shù)據(jù)提供保密服務(wù)。和AH的情況一樣，ESP在數(shù)據(jù)包中的位置取決于ESP的操作模式：傳輸模式（如圖4）和隧道模式（如圖5）。

值得注意的是，AH要對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行身份認(rèn)證，而ESP 只對(duì)頭部、傳輸協(xié)議頭、傳輸協(xié)議數(shù)據(jù)部分進(jìn)行身份認(rèn)證。在傳輸模式中，當(dāng)主機(jī)的IP地址為私有的或是在主機(jī)后有一個(gè)保護(hù)它的地址的安全網(wǎng)關(guān)，可以通過(guò)ESP來(lái)提供認(rèn)證和加密保護(hù)，由于它只能認(rèn)證和加密其中的一部分（如圖4所示），網(wǎng)關(guān)可以修改IP頭，而恰巧ESP的頭未被修改，且目的端對(duì)IP頭的校驗(yàn)和加密都正確，數(shù)據(jù)包將被目的主機(jī)認(rèn)定成功。這樣提高的認(rèn)證的速度，也暴漏了ESP的弱點(diǎn)，在數(shù)據(jù)包的傳輸過(guò)程中，如果IP頭被修改的部分校驗(yàn)成功，目的主機(jī)也無(wú)法檢測(cè)到任何的修改。與傳輸模式不同，隧道模式驗(yàn)證整個(gè)原IP頭，新IP頭部被驗(yàn)證和加密[3]。如果新IP頭也被驗(yàn)證和加密，就會(huì)出現(xiàn)和AH協(xié)議一樣的局限性（上文已介紹）。總之，AH和ESP 都有自己的優(yōu)缺點(diǎn)，將二者結(jié)合使用，既提供的認(rèn)證服務(wù)也有加密服務(wù)，將提高數(shù)據(jù)通信的安全性。