基于IPSec协议IPv6安全机制.docVIP

基于IPSec协议IPv6安全机制【摘 要】20世纪90年代，互联网和PC得到广泛普及，IPv4地址资源严重不足，1994年IETF提出一种新IP地址解决方案，称为IPv6，为网络安全问题提供了一种标准的解决方案。本文主要介绍IPv6中基于IP Sec协议的SA，AH，ESP和钥匙管理的四种安全机制。 【关键词】安全关联；验证报头；封装安全；钥匙管理 一、IPv6介绍 IPv6保留许多IPv4的成功点，IPv4到IPv6的主要改进如下：（1）地址扩展：IP地址由原来的32位扩展到了128位，并且IPv6取消了IPv4地址的分类概念。（2）可扩展性：支持扩展和选项的改进，IP首部选项编码方式的修改导致更加高效的传输，在选项长度方面更少的限制以及将来引入新的选项时更强的适应性。（3）流量标识：对服务质量作了定义，可以标记数据所属的流类型以便路由器成交换机进行相应的处理。IPv6中增了“flow label”标识，提供特定的QOS。（4）安全性：认证和保密功能，在IPV6中为支持认证，进行数据完整性及数据保密扩展。 二、IP安全（IP security） IPv6提供一个安全机制和一系列安全服务支持，如数据认证、完整性验证、IP控制层加密。IP SEC的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问边界路由器或基于纯软件方式使用普通MODEM的PC机和工作站。 三、IP SEC的四种功能 （1）安全关联Security Association（SA）。IP Sec中的一个基本概念是安全关联（SA），安全关联包含验证或者加密的密钥和算法。它是单向连接，为保护两个主机或者两个安全网关之间的双向通信需要建立两个安全关联。安全关联提供的安全服务是通过AH和ESP两个安全协议中的一个来实现的。如果要在同一个通信流中使用AH和ESP两个安全协议，那么需要创建两个（或者更多）的安全关联来保护该通信流。一个安全关联需要通三个参数进行识别，它由安全参数索引（AH/ESP报头的一个字段）、目的IP地址和安全协议（AH或者ESP）三者的组合唯一标识。（2）报头验证Authentication Header（AH）。认证协议头（AH）是在所有数据包头加入一个密码。AH通过一个只有密匙持有人才知道的”数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。IPv6的验证主要由验证报头（AH）来完成。验证报头是IPv6的一个安全扩展报头，它为IP数据包提供完整性和数据来源验证，防止反重放攻击，避免IP欺骗攻击。（3）封装安全有效载荷数据（Encapsulating Security Payload）。安全加载封装（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。ESP用来为封装的有效载荷提供机密性、数据完整性验证。AH和ESP两种报文头可以根据应用的需要单独使用，也可以结合使用，结合使用时，ESP应该在AH的保护下。（4）钥匙管理（Key Management）。密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（DES）足够满足大多数商业应用了。 四、在网络中部署IPSec策略的优点 （1）防止探听和中间人攻击。IPSec使你能够加密包，防止其他人读取它。包还被编了号并且有相应的机制防止它们被篡改或重放。如果一个包被篡改了或被重放，IPSec视其为无效的包。（2）强化无线网络的安全。尽管IPSec在所有的Windows网络中都能正常工作，但如果你拥有一个无线网络，它就显得特别有用。确认你能够通过使用WEP或WPA来加密无线网络，但是对包再进行IPSec加密，在传输过程中，将使黑客更难探查数据。（3）没有额外软件的部署。IPSec的一个好处就是它内置与Windows中。那意味着在实施IPSec策略时，你不用购买新的软件，也不用为兼容性问题担心。（4）透明加密通信。除了IPSec通信比不加密的通信运行的慢之外，客户端并不会知道通信被加密了。加密对于终端用户来说是完全透明的，并没有新的产品或步骤要学习。从终端用户的角度来说，任何事情都没有改变。 IPv6网络由于IP