孙晓玲

（赤峰学院 计算机与信息工程学院，内蒙古 赤峰 024000）

IPv6安全技术研究

孙晓玲

（赤峰学院 计算机与信息工程学院，内蒙古 赤峰 024000）

针对IPv6在网络安全方面的特性，论述了IPv6网络安全机制以及和IPSec的关系，着重研究了IPSec所提供的网络安全服务与实现原理，指出IPSec在IPv6协议安全方面的作用，讨论了IPSec与传统安全技术结合实现网络安全的机制与原理，并分析了Ipv6面临的安全问题以及如何实现安全保护的措施和策略.

Ipv6；安全技术；IPsec

1 引言

目前常见的网络安全技术如防火墙、入侵检测等基本上都是针对IPv4的，而IPv6作为下一代网络协议的标准，取代IPv4已成必然.随着互联网的迅猛发展，各种网络攻击行为层出不穷，现有的安全技术很难适应未来网络的发展需要，建设高速、智能、动态和自适应的网络防护系统已迫在眉睫，因此，面向IPv6的安全技术研究成为当前的热点和重点问题.

2 IPsec概述

IPv6在安全性上较IPv4有了很大的改进，它在设计时就将IPsec（IP Security，由IETF制定的开放性IP安全标准）作为重要的组成部分，使之和IPsec紧密结合，以提高安全性能.IPsec是一种协议套件，包括：AH（Authentication Header，验证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange， 因特网密钥交换）等，它通过使用ESP和AH对上层协议和IP包进行保护.其中AH采用多种验证算法对数据的起源地进行验证，即身份验证，以此保证数据完整性和验证安全以及数据包的抗重播特性；ESP用以保证数据内容的机密性，在对数据进行加密的同时，还具有AH的功能，实现数据的验证，它既有验证算法又有加密算法.

IPsec协议提供两种不同的数据传输模式，一是传送模式，该模式中，IP头与上层协议头之间需插入一个特殊的IPsec头（AH头或ESP头）,用以保护上层协议；另一个是隧道模式，该模式中，要保护的整个IP数据包被封装到另一IP包中，同时在外部与内部之间插入一个IPsec头，以此来保护整个IP数据包.IPsec为了执行肩负的数据验证和机密性保证任务，提供了两种密钥管理机制，一是人工增加密钥，此种方式不易扩展（伸缩），二是采用IKE进行密钥交换，此种方式通过阶段交换密钥动态地进行协商验证并生成共享密钥，具有高度的伸缩性.IKE通过一系列强安全性的非对称算法交换非密钥数据，实现密钥交换，解决了在不安全网络环境中安全地建立或更新共享密钥的问题，它利用已经通过验证和安全的通道为IPsec协商提供安全服务，此种方式较人工增加密钥有很大优势，一般被采用.

IPsec中有两个重要的数据库，一个是SADB（Security Association Data Base，安全联盟数据库）它的每一条记录SA（Security Association，安全联盟），是由两个通信实体协商后建立的约定规则，包括用来保护IP包安全的IPsec协议、转码方式、密钥及有效时间等；另一个是SPD（Security Policy Data Base，安全策略数据库），它的每一条记录是一个策略，也是人机之间交互的安全接口，决定两个通信实体间能否通信以及如何通信，包括定义、表示、管理及与各个组件之间的交互等.这两个数据库通常联合使用，对于目的方，通过数据包头包含的IP地址和协议类型等在SADB中查找相应的SA.而对于源方，SPD的记录指针将指向相应的SADB记录，若找不到适合的SA，将创建新SA，并将SPD记录与新SA记录链接起来.IPsec采用IKE自动地为通信实体协商SA，并对SADB进行维护，保证通信安全.

3 IPsec在IPv6中的应用

IPsec是IPv4下的一个可选模块.它是对IPv4采取的补救性措施.而IPv6在设计之初就充分考虑到了安全因素，它和IPsec结合更紧密，实现起来更容易，因此安全性比IPv4高很多.IPv6将AH和ESP作为它的扩展包头成为其自身的一部分，这样，当IPv6扩展包头中包含有AH鉴别头时，就能对IPv6报文进行身份鉴别，验证其完整性，从而防止对报文进行伪装或篡改.当IPv6扩展包头中包含ESP时，既能对身份验证，同时还能对数据进行加密，如果使用传输模式加密可以针对传输层数据形成端到端的加密，防止对高层（传输层和应用层）数据的分析；如果采用隧道模式进行加密，需要安全网关，即采用虚拟专用网技术，在网关内数据是明文，而网关外（发出或接收）都是加密的密文，由此看出，IPv6中使用IPsec很容易实现数据加密和身份验证，保证通信内容不被窃取和破坏.

4 IPv6与传统安全技术相结合的安全机制

在现实环境中，网络安全问题是很复杂的，涉及的范围也很广泛，单纯采用IPsec来保证网络安全是很不够的，实际应用中还需要结合其它的安全技术，如：防火墙、入侵检测、虚拟专用网等来最大程度地进行安全保证.

传统的防火墙技术通过授权来限制访问或拒绝和限制用户的网络行为.其实现方式主要有两种，一种是报文过滤型，它根据报文的发送和接收方的IP地址、端口和传送方向等报头信息，依据一定的规则，判断决定报文能否通过；另一种是应用网关型，主要作用在应用层，针对各种应用服务编制代理程序，监视和控制其通信过程.报文过滤型防火墙实现相对简单，智能性和自适应处理能力较差；应用网关型防火墙实现起来较为复杂，但功能更强，有一定的智能性和自适应性.IPv6的防火墙也有报文过滤型和应用网关型两种实现方式，但由于IP层协议的变化，需要在原有防火墙的基础上进行一些改进，比如针对IPv6协议设置过滤条件，制定相应规则等.需要指出的是，由于防火墙不能解析报文的数据内容，如果对IPv6报文进行了加密，防火墙就很难处理.

IDS（Intrusion Detection System，入侵检测系统）通过收集各种通信信息并加以分析来监视非法入侵行为，实施报警措施.它相当于一个监听器，不会对正常的通信造成影响.需要指出的是，目前IDS还没有统一的正式标准，而且它对系统资源要求较高，对于高速网络环境实现入侵检测比较困难.

VPN（Virtual Private Network，虚拟专用网）通过为通信双方提供专用的虚拟通道实现通信，从而防止通信内容被干扰、窃听和破坏.实现方式通常是采用IPsec协议，这也是IPv6主要的安全手段，即通过数据加密和VPN技术来保证网络系统安全.需要指出的是，在实际应用中，IPv6往往将传统安全技术与自身的安全体系结合起来，使得用户得到更高级别的安全保障.比如，两个网络（或节点）通过安全网关通信，如果网络内部主机和外部通信时采用隧道模式（利用VPN），则网络内部是明文通信，IPsec只是应用在安全网关之间，为了更好地保证安全性，可以在安全网关内部加IDS或防火墙.

5 结束语

Ipv6协议中引入了两个新的扩展报头AH和ESP，它们帮助Ipv6解决了身份认证、数据完整性和机密性的问题，使Ipv6真正实现了网络层安全，这是非常大的进步.目前基于IPv6的下一代网络，正在受到越来越多的国家和研究单位的关注，随着大规模的IPv6网络的普及和应用形式的迫近，新一轮的安全问题又会产生，网络安全会不断面临新的课题，如何在新环境下（包括网络速度的提高和各种网络新业务的不断涌现等诸多情况）实现网络数据的安全传输、交换、以及保存等都是有待研究和解决的问题，只有不断地改进、提高，才能确保网络的安全稳定.

〔1〕兰少华，杨余旺，吕建勇.TCP/IP网络与协议.北京：清华大学出版社，2006（1）.

〔2〕王相林，等.IPv6技术——新一代网络技术.北京：机械工业出版社，2008.

〔3〕李津生，洪佩琳.下一代 Internet的网络技术.北京：人民邮电出版社，2001（3）.

〔4〕周贤伟，薛楠.IPsec解析.北京：国防工业出版社，2006.

〔5〕Richard A.Deal.Cisco 路由器防火墙安全.北京：人民邮电出版社，2006.

〔6〕Carlton R.Davis.IPSec:VPN 的安全实施.北京：清华大学出版社，2002.

TP393.08

A

1673-260X（2012）01-0041-02