基于IPSec协议IPv6安全机制浅析.docVIP

基于IPSec协议IPv6安全机制浅析 　　摘要:IPv6是“Internet Protocol Version 6”的缩写，也被称作下一代互联网协议，它是由IETF（The Internet Engineering Task Force）设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6内置IPSec协议，为网络安全问题提供了一种标准的解决方案，本文介绍了基于IPv6的下一代计算机网络的安全性问题，对IPSec的工作原理进行了分析，并提出了改进意见。 　　关键词:密钥管理；IPv6；IPSec 　　 　　一、引言 　　 　　因特网在最初的设计上假定使用者不会去攻击网络，会自觉使用能够适应网络条件、防止网络拥堵的传输层协议，尽力避免让自己赖以开展研究工作的互联网络瘫痪。但是在投入商业运营之后，这一假设的问题就表现了出来。为了加强安全性，IETE(Internet Engineering Task Force)于1994年提出的IPv6（Internet Protocol Version 6）中定义了认证报头AH（Authentication Header）和封装化安全净荷ESP（Encapsulating Security Payload），从而使在 IPv4中仅仅作为选项使用的IPSec（IP Security）协议成为IPv6的有机组成部分。IPSec的引入，使得IPv6在网络层的安全性上得到了很大的增强，但是它的应用也带来一些新的问题。 　　 　　二、IPSec的组成与实现 　　 　　IPSec是IETF专门为提高Internet的协议安全性而制定的IP安全标准，它是一种协议套件（或者说协议组），可以“无缝”地为IP提供安全特性。 　　（一）安全联盟 　　安全联盟（Security Association，IPSec术语，常简称为SA）是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协定。它们决定了用来保护数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存活时间等等。任何IPSec实施方案始终会构建一个SA 数据库（SADB），由它来维护IPSec 协议用来保障数据包安全的SA记录。 　　SA 需要与安全策略联合使用。策略是IPSec 结构中非常重要的一个组件。它定义了两个实体之间的安全通信特性；定义了在什么模式下使用什么协议；还定义了如何对待IP 数据包。所有的安全策略都保存在“安全策略数据库（Security Policy Database，SPD）”中，SA通过与SPD的交互，来实现IP 数据包的封装处理。 　　（二）密钥管理 　　 　　密钥管理不仅包括使用密钥协议来分发密钥，还包括在通信系统之间对密钥的长度、生存期和密钥算法进行协商。Interne安全性关联密钥管理协议(ISAKMP)为密钥的安全交换定义了整个基本构架。ISAKMP实际上是一个应用协议，协议中定义了用于系统之间协商密钥交换的不同类型报文，它在传输层使用UDP。 　　（三）IPSec的实现 　　IPSec协议支持两种实现模式，即传送模式和通道模式。如果把这两种模式跟IPSec的两种安全协议ESP 和AH相结合，总共可以产生四种不同的组合：传送模式中的ESP、传送模式中的AH、通道模式中的ESP和通道模式中的AH。 　　1、传送模式 　　在传送模式中，AH和ESP保护的是传送头，它们拦截从传输层到网络层的数据包，并根据具体的配置提供安全保护。 　　为了更加具体地了解IPSec 的传送模式，我们通过一个具体的实例来说明，如图1所示。为了在主机A和主机B之间提供端到端的安全保障，我们可以使用ESP的“传送”模式来实现IP数据包的加密；当然，如果只是想对IP 数据包的数据源进行验证，就可以使用AH 的“传送”模式。 　　如果没有实施安全保护，传输层（如TCP 或UDP）的数据流在通过网络层（IP层）的时候，IP会在其上增加IP头，然后再传到数据链路层。如果起用了IPSec传送模式进行安全保护，传输层的数据流就会流经IPSec相关组件，增加相应的ESP 头或AH 头，或者两者都增加，然后在此基础上，IP 再为其增加相应的IP 头。如图2所示。 　　2、通道模式 　　在更多情况下，终端主机并不支持IPSec。对此，我们通常采用一个专门的设备来提供数据包的安全保障，而且该设备并不是数据包的始发点，它只对数据包进行加密保护，并把它传送到另一个目的地（例如采用VPN 来提供安全保障）。这种情况，我们所采用的就是IPSec的通道模式。IPSec通道模式的典型应用如图3所示。路由器为自己转发的数据包提供安全服务。 　　路由器为需要提供安全服务的每个数据包重新进行封装，在原来数据包的基础上