IPv6安全机制及在一类远程访问中的应用.pdfVIP

删安全机制及其在_类温藿访目中蚋应用 李战明吕德旭宋健王存来 甘肃工业大学电信系，兰州，730∞0 摘要．IP嘶作为新—代的IP协议．引入了遵循IPs酏(因特罔协议安全体系机构)舶新的安生机制。本文}寸沧了遗—安全体系的 结构、安全鞭务爰宴袁机制，并以—娄远程访问为例，讨论了I喇安垒蜘捌在这类远程访阀中的盛：}乱 √ v， 关健珂：蹦№安洲远醐 黜0fR锄吨AcOe鼹 SoIlg胁啪Cu幽 Ⅱ蛐h胁u Dcp甜mentofH∞呻∞i咖mdhh珊t妇IBIgin商矩 G龇融Ul曲∞姆of马曲do科山m出叫∞∞5啦PC ⅡtdⅡ由_zB面a蜊Ofram0忙ac0嚼， 1．引育 聃6作为寿卜代P协议，在安全方面针对P¨的缺陷澈了重大改进，在P层中就引人了安全机桶。Pv6 阐述，其中描述了m层的安垒讥制以及为P僻和n6提供的眼务。它提洪的主要安全服务有基于凭连接的 数据完整性糟口硷、访问控制、数据探身份验证、对包重发攻击的}咖、有限的业务流棚离：性等。此外ⅢP∞c的 实现还与加密、解密算法、密钥交换与密钥管理等方面有关。 远程访问粕特暇中常见的访问情况之一。其重要毒翘璃很多种，本文着重}搅了mv6安全柳制在图5 中所示的这类远程访问(即两个内联网主机与主枫之间穿过因特网的通信)中的应用。 Pv6的安全性，其耳的是采甩合适的算法，对建立在端瑚互连的系统上的通信，提供时涪息的认证、信 息魄利艘附瞪、信息保密等九l方面服务，它遵循Pw体系结构。 m瑚体系中有兰个主要部分，其中有两个重要协议：P身份验证报头(PAll吐l蜘dc撕m№日d目，ⅢAH， 脚℃24∞)和皿加密安垒有效数据(口勘咧珂l圳咀gse∞r赴y 是由这两个扩晨报头实现的。AH报头用来确认皿信息包阿盱弗睢弼翩誊性，EsP报头提供散援蛔密封装。 另外—个重要组成部分是安全关联(se嘞As∞豳d衄，sA)，它保ⅫE来自发送方和接收方之间的安全算法 及参数的—致性。^H报头和E即报头两者都使用了安全关联。—棚情况下，每个P俩节点都管理一系列sA， 每—寸匍哳围葺睾发信息包的安全。 2．1囊翻翻列腆【埘l 身份验：证淅映的格斌j}常觯，如图l，其中有效数据长瘦幕呀谚W艚酗列孀的总长。安全参数岩号|(＆c啦时 解密或身份验iE口序勋号用于信息包{已数，发送方必须使用．接收方进行核对。身份验证散强是由—个32位 块的变喇舅宇组成．因为．割翻愀瑟足舴舟—卜8位数字舞示，所以它最大可有255个32位块。 ．图I^lI拱馘 AH可以应甩于蹲喇剿忙漠式：传袖模式、．睫道曾E式。在传瞻甓虾，原蜘嘲耐鼬鄂斜剩瞪斌是包含了 AH域，同时它被认为是—吟端到端域(螭到蛸扩罔赋)。AH，处于崩有请求中间节角崩酒掇(如节点到书点或 路由报头扩晨域)之后，第—恻螭竣之亩盯。在隧道麓d汴．除了AH之外，还在暗秽睁m报头前面包含了 —个新的P报头，AH域处于新的P报头之后，原始m报头之前，就象处在原始数据报中—样。两种模式下 AH报头在m数据报中的位置如图2。· 传I撇， l黪ml磁触I埘l—I僻f黼I 醴道蕞式 l舳蛾P双I^IIl黝贼融l船l勰I 圈2J|毒输与隧道攫式下包禽AH的晰数据报 传辘模式泼殴汁用于端到端系统的保护，这种保护仅能由原始m数据报的源端和目的端主机来实现。相 反，在隧遘瞻目汗，新自咖报头中的源6肄与目的地址可以和原始口报头中的不同。因此，在隧道目试下，受 到PAH保护的安全通遭可以是原始P报头中的源螭与目的喈主机之间端圈蝴百道中的．—部分。这样，源靖 与目的节点在安全通谴上城PAH即可以是端蛩嘲系统(主机之间)，也可以是中间系统(安全网关之间)。 2．3棚囊囊垒宥獭黼I盥) 殴头部由未船密的头部釉Ⅱ密数据两酆分构成，未加密域通知接收就酬可J融嘞劝Ⅱ娃}的敷据。加密的数 据部分包括了台有安垒睁议信息的被保护域，还包括了加密的封装P数据报。E四头部