闫国栋，王 鹏

（1.内蒙古边防总队通信技术处，内蒙古 呼和浩特 010051；2.赤峰学院 计算机科学与技术系）

基于I P v 6协议的网络安全机制

闫国栋1，王 鹏2

（1.内蒙古边防总队通信技术处，内蒙古 呼和浩特 010051；2.赤峰学院 计算机科学与技术系）

本文论述了IPv4的缺陷及新一代安全网络协议IPv6，IP Sec主要提供专用扩展头标身份验证报头（AH）和加密安全有效数据报头（ESP）来实现安全功能.能有效防止长期困扰人们的许多网络攻击，如IP欺骗、拒绝服务攻击、数据篡改和网络探测活动等.IP Sec是目前可提供的最好的网络安全解决方案,它努力使Internet上的安全机制标准化，向更安全的Internet迈进了一大步.

IP Sec；验证报头；封装安全有效载荷；隧道嵌套

1 网络安全的重要性

随着网络时代的到来，互联网开始进入社会的每个角落，经济文化﹑军事和社会生活正在越来越强烈地依赖网络，应用领域从传统的﹑小型业务逐渐向大型﹑关键业务系统扩展，典型的如党政部门网络系统﹑金融业务系统﹑企业商务系统等，I n t e r n e t的发展虽然促进了技术的进步，但其本身的跨国界﹑无主管﹑不设防﹑开放﹑自由﹑缺少法律约束等特性在带来机遇的同时也带来了巨大的风险，安全自然成为影响网络效能的重要问题，我们必须看到，现实对安全提出了全新的要求.如今安全问题早已是世界各国共同关注的焦点，网络安全伴随着网络的产生而产生，有网络的地方就存在着网络安全隐患.像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的.而且几乎是每时每刻都在发生，遍及全球.

2 IPv4协议的安全缺陷

因特网的基石是I P v 4协议，该协议在实现上力求效率，而没有考虑安全因素，因为那样无疑增大代码量，从而降低了I P的运行效率，所以说I P v 4本身在设计上就是不安全的，下面是现存的I P v 4协议的一些安全缺陷：

2.1 很容易被窃听和欺骗

大多数因特网上的流量是没有加密的，电子邮件口令﹑文件传输很容易被监听和劫持，可以实现这些行为的工具很多，而且在网上是免费提供的.

2.2 缺乏安全策略

许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被内部人员滥用，黑客从一些服务中可以获得有用的信息，而网络维护人员却不知道应该禁止这种服务.

3 IPv6协议在网络安全机制方面的体现

I P v 6协议已经把安全作为必须强制执行的一个标准.I P v 6主要通过两个专用的扩展头标身份验证报头（A H）和加密安全有效数据报头（E S P）来实现安全功能.A H报头是用来确认I P信息包的可靠性和完整性，它可以有效地防止地址欺骗和固定字段的非法修改.E S P报头则提供数据加密封装，确保只有知道密钥的接收方才可以阅读真正的信息，两个报头可以一齐使用，同时提供所有的安全功能.可以预见，安全功能的引入，将会使未来的网络更加安全可靠.

安全性既涉及网络安全也涉及信息安全，是发展下一代互联网应注意的最关键问题.随着互联网的大规模商用化和在国民经济中越来越重要的地位，安全威胁成为一个必须解决的问题.通过集成I PS e c，I P v 6实现了I P级的安全.I PS e c提供如下安全性服务：访问控制﹑无连接的完整性﹑数据源身份论证﹑防御包重传攻击﹑保密﹑有限的业务流保密性.

4 IP Sec协议的安全体系

4.1 I PS e c的体系结构

I PS e c协议包括：A H（验证头），E S P（封装安全载荷），I K E（I n t e r n e t密钥交换）和策略管理.为使大家便于理解，实施和使用I PS e c，有必要先了解这些组件之间的关系.I PS e c发展规划定义了I PS e c各组件之间的交互方式，如图1所示.

4.2 I PS e c安全体系包括3个基本协议

A H协议为I P包提供信息源验证和完整性保证；E S P协议提供加密机制；密钥管理协议（I S A K M P）提供双方交流的共享安全信息.E S P和A H协议都有相关的一系列支持文件，规定了加密和认证的算法.

图1 I PS e c的体系结构

4.2.1 认证头协议（A H）

它为所有的数据包头加入一个密码.正如其名所示，A H通过一个只有持有人才知道的“数字签名”来对用户进行认证.这个签名是数据包通过特别的算法得出的独特结果.A H还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来.不过由于A H不能加密数据包所加载的内容，因而它不保证任何的机密性.两个应用最普遍的A H加密标准是M D 5和S H A－1,M D 5使用最高达成协议128位的加密密钥，而S H A-1通过最高达160位的加密密钥则可提供更强的保护.

4.2.2 安全加载封装协议（E S P）

通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户才拥有可打开内容的密钥.E S P也能提供认证服务和维持数据的完整性.最主要的E S P标准是数据加密标准（D E S），D E S最高支56位的密钥，而T r i p l e-D E S使用三套密钥加密，相当于使用最高达168位的密钥.由于E S P实际上加密所有的数据，因而它比A H需要更多的的处理时间，从而导致性能下降.

4.2.3 密钥管理

它包括密钥确定和密钥分发两个方面，最多需要四个密钥：A H和E S P各两个发送和接收密钥.密钥本身是一个二进制字符串，通常用十六进制字符串表示.

A H和E S P可以单独使用，也可以一起使用.为了更好地保证系统的安全，建议同时使用.对于V P N来说，认证和加密都是必需的，因为只有采取双重安全措施才能确保未经授权的用户不能进入V P N，现时，I n t e r n e t上的窃听者无法读取V P N上传输的信息.大部分的应用实例中都采用了E S P加密方式而不是A H方式，因为A H协议只能保证数据的完整性和数据不被改写，而没有对数据加密.

4.2.4 A H隧道模式的加密原理

A H协议包头可以保证信息源的可靠性和数据的完整性，A H隧道模式使用A H与I P报头来封装I P数据包并对整个数据包进行签名以求完整性并进行身份验证，如图2所示.它的工作原理是首先发送方对I P包头﹑高层的数据和公共密钥这三部分通过某种散列算法进行计算，得出A H包头中的验证数据，并将A H包头加入数据包中.当数据传输到接收方时，接收方对收到的I P包头，数据和公共密钥以相同的散列算法进行运算，并把得出的结果和收到的数据包中的A H包头进行比较，如果相同则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的.

4.2.5 E S P隧道的加密原理

E S P隧道模式采用E S P与I P报头以及E S P尾端来封装I P数据包，如图3所示.数据包的签名部分表示数据包的完整性和身份验证签名是在哪里进行的.数据包的加密部分表示什么信息受到机密性保护.

由于为数据包添加了隧道新报头，所以会对E S P报头之后的所有内容进行签名（E S P验证尾端除外），原因是这些内容此时已封装在隧道数据包中.加密原理如下：

首先，原始报头置于E S P之后.在加密之前，会通过E S P尾端附加整个数据包.E S P报头之后的所有内容都会被加密，E S P验证尾端除外.

然后，会将整个E S P负载封装在未加密的新的隧道报头内.新隧道报头内的信息只用来将数据包从源地址发送到隧道终结点.

如果正在通过公用网络发送数据包，则数据包会发送到接收方I n t r a n e t的网关的I P地址.网关对数据包进行解密，丢弃E S P报头并使用原始I P报头将数据包发送到I n t r a n e t计算机.

I P v 6是一个建立可靠的、可管理的、安全和高效的I P网络的长期解决方案.尽管I P v 6的普及应用之日还需耐心等待，不过，了解和研究I P v 6的重要特性以及它针对目前I P网络存在的问题而提供的解决方案，对于制定企业网络的长期发展计划，规划网络应用的未来发展方向，都是十分有益的.

〔1〕Christian Huitema.新因特网协议Ipv6.北京清华大学出版社.

〔2〕贞显良.新一代Internet协议Ipv6.北京清华大学出版社.

〔3〕何莉.计算机网络概论(第三版）.高等教育出版社.

〔4〕冯登国.计算机通信网络安全.北京清华大学出版社.

T P 393.08

A

1673-260X（2010）08-0027-02