IPSEC在IPV6環境下之效能分析.docVIP

IPsec在IPv6環境下之效能分析 李鴻璋*、呂佐鴻 淡江大學資訊管管理學系 *Email:lhc0507@ 摘要 IPsec是在IP層提供網路通訊安全，所以故稱為IPsec。在網路層實作安全時，不只是檢驗已有安全機制的應用程式資料，也對沒有安全機制的應用程式資料做安全檢驗。IPsec提供存取限制、資料來源證明和機密性等安全服務。IPsec主要是由認證標頭(Authentication Header，AH)、加密安全承載資料(Encrypted Security Payload，ESP和ISAKMP(Internet Security Association Key Management Protocol)。其中ISAKMP只會在連線協商階段進行，而AH和ESP會從開始連線到結束一直進行，而且對每個封包進行認證或加密動作。IPv6將是下一代主要網路協定，所以本論文將利用CPU整數運算能力分別為121.6MOps和46.1MOps的二台機器針對IPsec在於IPv6下來做效能分析。本研究結果發現：(1) 二個主機的效能比在TCP協定上相對於在UDP協定上套用IPsec少了4.2%。(2)在TCP協定上對於通訊套用認證演算法的效能比會比採用加密演算法的效能比快了8.87%，甚至比二者都套用的效能比快了13.85%。(3) 在UDP協定上對於通訊套用認證演算法的效能比會比採用加密演算法的效能比快了14.11%，甚至比二者都套用的效能比快了19.27%。(4)較高運算能力主機在TCP協定上在未套用IPsec和套用認證/加密演算法所產生的throughput落差幅度比較低運算能力的主機小了1.58%。(5) 較高運算能力主機在UDP協定上在未套用IPsec和套用認證/加密演算法所產生的throughput效能落差幅度比較低運算能力的主機小了4.95%。 緒論 IPsec是目前主要網路通訊安全技術之ㄧ，除了IPsec之外另一技術為SSL(Secure Socket Layer)。由於IPsec相對於SSL而言，有無法穿透NAT和繁複連線設定的缺點存在，但是在於IPsec使用較通用的安全連線設定下以及在IPv6網路環境下，即是擁有足夠的網路通訊位置下則會不需要NAT的情況存在。則IPsec又比SSL有較全面性的安全保護，所以IPsec在IPv6網路協定下會比SSL有更優異的表現。 從2000年由ARIGA、MINAMI、ESAKI和MURAI等四位學者，對於IPsec在IPv6下的效能分析論文中指出未應用IPsec和應用IPsec中的認證或加密演算法之間所產生的落差達到50%以上，會讓人對於IPsec的使用上產生卻步的動作基於以上研究背景及動機，本研究希望透過實驗的方式，來取得相關數據，並了解IPsec在IPv6下TCP協定和UDP協定的影響性，以及不同的運算能力對於IPsec各種演算法所產生的落差比較。藉由以上幾個比較分析來達到IPsec在未來的IPv6成熟環境下能夠有更彈性的選擇，不再望之卻步的情況。 文獻探討IPsec是被設計提供Interoperable、高品質與以密碼學為基礎的IPv4和IPv6安全技術。它提供的安全服務包括存取控制、Connectionless Integrity、資料來源的證明、機密性(加解密技術)及有限制的交通流量。IPsec提供安全服務包括：資料機密性、無連接模式的資料完整性、資料封包來源認證、存在控制以及防止重送攻擊。這些安全服務是經由認證標頭(Authentication Header,AH)和加密安全承載資料(Encrypted Security Payload,ESP)這二個安全協定來實作，除了安全協定之外，還有金鑰的交換標準(Internet Key Exchange,IKE)和安全關聯(Security Association,SA)等。 IPv6設計之初就將安全性問題納入考量，所以在封包格式內已內建資料加密的功能，IPsec已經成為IPv6 Protocol Stack的一部分，IPv6利用Next Header的Authentication Header(AH)及Encrypted Security Payload(ESP)對傳輸的資料進行認證和加密。IPv4封包格式並未有類似IPv6的安全性標頭欄位，所以在IPv4屬於額外選項的安全標準協定。圖2-1顯示IPv6 Packet傳送架構。 圖2-1：IPv6 Packet傳送架構 IPsec的運作需先經過以下的步驟： 在初始化時，雙方必須建立安全關聯(Security Associations)。這個步驟的主要目的是讓雙方對於如何使用IPsec的方式達成共識。例如，選擇何種安全功能、決定加密的演算法、使用金鑰的原則。 金