IPv6下的安全机制IPsec综述.docVIP

IPv6下的安全机制IPsec综述 　　摘要：网络安全问题一直备受关注，IPsec是基于网络层的安全机制，但是在IPv4中并没有得到很好的应用。IPv6把IPsec中的两种安全协议以扩展报头的形式引入数据分组中，解决了IPv4中网络层的安全性问题。本文介绍了IPv6中IPsec的两种安全协议AH和ESP，分析了两种安全协议的作用与实现机制。 　　关键词：IPv6 IPsec AH ESP 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2013）07-0183-02 　　1 引言 　　Internet的开放性使得网络安全问题日渐突出，一直饱受诟病。虽然IPv4协议中已经作为可选项引入了IPsec（Internet Protocol Security），但效果并不显著。IPv6协议在设计之初就充分考虑到了安全问题，并引入了全新的IPSec机制保证网络层数据包的安全。 　　2 IPsec体系 　　IPsec是负责网络安全的一套协议体系，是网络安全的长期发展方向。协议通过对IP数据包进行加密和认证来保护网络层数据的安全。IPSec是由一系列协议组成的协议簇，主要包括：认证头协议AH（Authentication Header），封装安全载荷协议ESP（Encapsulating Security Payload），Internet密钥交换协议IKE （Internet Key Exchange）协议以及一些加密及认证算法等组件。 　　3 AH 　　AH协议为IP数据包提供数据源认证、数据完整性检验和反重播攻击的服务，它能保护数据包内容不被篡改，但不能防止对数据的窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个AH报头，报头包含一个带密钥的hash散列，hash散列在整个数据包中计算，因此对数据包进行任何修改后，将导致此hash散列无效。 　　在IPv6协议中，AH分配的协议号是51，由IPv6的基本报头或者是AH报头前面的扩展报头的“下一头部”字段表明是否携带有AH报头。AH报头的格式如图1所示。 　　Next Header：指明本报头后紧跟的另一个扩展头部； 　　Length：本报头的长度； 　　Reserved：保留字段，为以后的扩展使用； 　　Security Parameters Index：与IP地址一起来标识安全参数，为当前数据包识别安全关联的32位随机值，全零则表示没有安全关联存在； 　　Sequence Number：是一个单项递增的计数器，标识每一个数据包，用于反重播保护； 　　Authentication Data：可变长度，具体的长度取决于所选用的认证算法；存放对于受保护字段的数据进行计算后得出的认证数据。 　　AH的认证可以覆盖IPv6的基本报头和其他扩展报头，甚至保护整个IP数据包的所有字段，但是在传输过程中会发生变化的字段是被排除在外的。AH的算法是独立的，所以并没有文档对AH所使用的认证算法进行详细定义；但在RFC2303和RFC2403中定义了两个需要强制实施的认证算法：HMAC-HD5、HHAC-SHA1。 　　4 ESP 　　ESP协议提供对数据包内容的加密和认证，与AH相比，ESP不仅提供了认证，而且提供加密功能，防止数据包被篡改。ESP的报头格式如图2所示。 　　Security Parameters Index：作用与AH首部中的SPI相同；用来指定所采用的加密算法和密钥。本字段不被加密，否则接收方无法确定一个SA； 　　Sequence Index：与AH中的作用相同，用于抵抗重播的攻击，不加密；在解密前即可判断一个包是否重复； 　　Payload Data：长度不确定，该字段存放上层协议数据或者被保护的IPv6数据包； 　　Padding：ESP要求密文必须死32bits的整数倍，此字段用于对齐；如果算法要求明文是某些字节的整数倍，此字段用于扩展到需要的长度； 　　Padding Length：指明填充字段的长度，方便接收方能顺利恢复出有效载荷的真实长度； 　　Next Header：指明下一个首部的类型； 　　Authentication Data：存放根据ESP分组计算出的认证完整性检查值，根据所选用的算法不同，长度可变。 　　ESP首部将Payload Data、Padding、Padding Length以及Next Header字段加密后，将密文与其他部分重新组成IPv6的数据包进行发送。 　　ESP首部的加密功能和认证功能都是可选择的，ESP首部协议定义了零加密和零认证方式，即可以只选择加密功能或者只选择认证功能，但是不能同时选择零加密和零认证方式，加密和认证功能二者至少选择