维普资讯 http://www.cqvip.com 网络通讯与安全 基于I Pv6协议的网络安全研究 王敏 (湖南省医药学校,湖南长沙410014) 摘要:IPv6协议是新一代互联网协议,有效的解决了当今IPv4协议面临的各种问题。本文介绍了IPv6的主要特点,详 细探讨了IPv6的安全机制.最后分析了IPv6的局限性 关键词:IPv6;网络协议;安全机制 中图分类号:TP393 文献标识码:A 文章编号:1009—3044(2007)21—40725一O2 Study Ol3 the Security Mechanism of lnternet Based on IPv6 ProtocoI WANG Min fHunan Medicine College,Changsha 410014,China) Abstract:IPv6 protocol is a new generation Internet protoco1.It is much better than the current IPv4.In this paper,the main characteristics of IPv6 are introduced.The security mechanism of IPv6 is analyzed.At last,limitation of IPv6 is pointed out. Key wOrds:IPv6:network Drot0col:securitv mechanism 随着互联网络及其应用的迅速发展.网络安全问题也 1 5增加了流标号能力 日益突出.能否解决好这个问题己经成为制约网络发展的 IPv6提供资源顶分配机制,支持实时视频音像等要求 关键因素之~… 对网络攻击的主要手段就是利用了目前网 保证一定的带宽和时延的应用.并允许路由器将每一个数 络协议IPv4中存在的安全漏洞 针对这一问题.具备强大 据报与一个特定资源相联系。流(flow)是IPv6的新概念,指 安全性的IPv6(又叫IPng)应运而生[21。 网络上从特定源点到特定终点的一系列实时声音视频数据 1 lPv6的主要特点 报.流经过的路径上所有路由器都能够保证其服务质量 1.1扩展的地址空间 (QoS).同一个流的全部数据报具有相同的流编号 IPv6的地址长度由IPv4的32位扩展到128位.病毒 1.6移动性 试图通过扫描地址段的方式寻找漏洞无疑于是大海捞针 基于移动IPv6协议的IP层移动功能是其另一个重要 1.2强大的寻址能力 优势 IPv4中的移动协议和IPv6的本质区别在于:移动 IPv6支持多种寻址层次.具有远程用户地址自动配置 IPv4协议不适用于数量庞大的移动终端 移动IP需要为每 能力。IPv6数据报的地址包括3种:单播(unicast).即点对 个设备提供全球惟一的IP地址.而IPv4没有足够的地址 点通信;多播(multicast),一对多点通信,通过增加字段位 空间可以为在公共互联网上运行的每个移动终端分配一个 数可以改变多播路由的伸缩性;联播(anycast).这是IPv6 这样的地址。移动IPv6则可以通过简单扩展.满足大规模 新增加的类型.其目的站是一组计算机.但数据报只交付给 移动用户的需求.能够在全球范围内解决有关网络和访问 其中一个。 技术之间的移动问题 1.3简化的分组头格式 2 lPv6的安全机制研究 IPv6数据报的首部与IPv4不兼容.在IPv4的基础上 2.1认证协议(AH) ‘ 优化了其基本首部,并定义了若干可选的扩展首部 路由器 AHf 具有数据完整性和数据源认证及抗重放攻击的能 不处理扩展首部f逐跳除外),因此能够增大路由器的吞吐 力 数据完整性是由信息认证算法所得到的信急认证码 量。 HMAC值来提供IP包的真实性和完整性检查 在发送IP 1.4改善了各种扩展与选项的支持 组之前,发送方计算出认证码.接收方进行验证 默认的算 IPv6分组头的特别编码增加了传输的高效性.允许协 法是带密钥的MD5算法.也可能是带密钥的SHA一1算法 议进一步扩充(硬件更新).减少了对选项长度的,增强 取代 数据源认证是通过要参加认证的数据享的密钥 了引进新选项的灵活性.而IPv4的选项和功能不能变化 来实现.抗重放攻击则通过AH中的顺序号字段实现 在RFC 2460中规定了6种扩展首部:路由选择选项、逐 RFC2402对AH头的格式、位置、验证的范围及接收和发出 跳、分片、鉴别、封装安全有效载荷和目的站选项。 处理规则进行了描述 包含AH域的IP头如图1所示.AH 收稿日期:2007—09-19 作者简介:王敏(1972一),女,四川江津人,实验师。 725 维普资讯 http://www.cqvip.com \。网络通汛与安全 。一 头格式如图2所示。 图1 带AH头的IPv6数据包格式 8位 8伉 l6似 下一一义 长嫂 纵1 安个参数索0} 认 数击I《 图2 AH头格式 AH只提供认证.不提供加密。它除了可以对IP的有效 负载进行认证外.还对IP头部实施认证 AH认证可以防止 许多网络攻击。IPv4具有主机认证功能,其数据源地址可 以被修改.主机无法识别IP地址欺骗 而IPv6提供了主机 认证.能够识别这种欺骗 2.2安全加载封装(ESP) ESP通过对数据包的全加密来保证传输信急的机密性 . 以防止其他用户监听.只有拥有密钥的用户才能打开内容。 ESP也提供几种不同的服务.其中认证和维持数据的完整 性与AH重叠 ESP的主要标准是数据加密标准(DES— CBC).这种标准主要是对数据包提供数据源认证和无连接 的完整性认证.其他的适当算法如RSA算法也可以。 ESP既能单独使用.又可以与IP认证头结合使用,ESP 头包含下列域:①安全参数索引:标识安全协作体;②序列 号:一个线性增加的计数器值;③载荷数据:长度为8位的 整数倍:④填充:在加密前用未指定的数据填充以使填充长 度及下一头域恰好在32位的整数位置处结束;⑤填充长 度:表示前而填充的字数;⑥下一头:表示载荷数据域中数 据类型:⑦认证数据:包含一个完整性检查值。 2.3密钥交换协议(IKE) IKE建立在密钥管理协议基础上.提供了通信双方协 商安全参数和建立安全协定的框架。IKE的最终结果是一 个通过验证的密钥以及建立在双方同意基础上的安全协 定,即SA。不管是AH还是ESP,密钥管理都是整个安全机 制安全性的关键。IKE在协商建立SA之前,必须对通信双 方进行认证。在IKE中预定义了DSS(Digital Signature Standard)签名。RSA签名。RSA加密、改进的RSA加密和预 共享密钥等5种身份认证方法。除预共享密钥外,其它方法 都依赖少某种形式的认证机构CA的参与.实现过程比较 复杂 预共享密钥是通过通信双方事先共享一个或一组密 钥.这种方法只适合小型网络的使用。 2.4 ESP头的处理 ESP头的处理涉及到加、解密,类似AH.头的处理。封 装选取恰当的协议模式和验证算法.根据ESP报文的内容 和格式进行封装.最后重新计算位于ESP前面的IP头的校 726 电臃知识与技术 本栏目责任编辑:冯蕾 验和,形成最终的IP包[51。接收:目标节点在接收到含有 ESP头的IP数据包后.如果收到的是一个分段.必须将其 保留下来,直到这个报的其他分段都收齐为止.并装配成一 个完整的IP包 根据ESP头中的SPI检查对应的SA是否 存在,如果不存在,则丢弃此IP包。再根据序列号检查此包 是否是重播的包,如果是.同样丢弃此包。否则,利用相应的 密钥(密钥的交换、管理由IKE协议负责),将这个完整的 包传递到身份验证器(存在于相应的SA)中进行身份验证, 并将验证出的结果数据与包中的身份验证数据进行比较 若一致.则从SA中取出密钥和解密算法对IP包进行解密 否则,丢弃此包。当身份验证和解密成功之后,对结果数据 包进行模式检查.检查此包与SA中标明的模式(隧道模式 或传送模式)是否相符,否则,便将此包丢弃。最后,对此包 进行正确性验证和拆封还原,得到真实的原始数据。由数据 包的处理过程可以看到IPSec已经实现了IP层的数据安 全保护。 3 lPv6的局限性 首先.AH和ESP协议本身都不提供业务流分析的安 全保护 如果攻击者通过对通信业务流模式进行观察、分 析.可能造成信息的泄露 其次.AH和ESP协议在使用默认的算法(如MD5和 DES)时都不提供不可否认安全业务。不可否认安全业务就 是要提供无可辩驳的证据以防止参与通信的一方事后否认 曾经发生过本次交换 实现这一安全业务的技术是数字签 名。在AH和FSP中必须选择具有数字签名功能的算法(例 如RAS),经过适当的转换才可以提供不可否认安全业务。 最后.虽然在IPv6中采用了加密和认证机制可以提高 系统的安全性.但系统必须为此而付出额外的时间来进行 IP数据包的认证计算或解密运算:若向目标主机发送大量 貌似正确、实际上却是随意填充的虚假加密数据包,致使目 标主机消耗大量的CPU时间用于检验错误的数据包.而不 能响应其它用户的请求.最终造成拒绝服务。“邻居发现 fneighbor-discovery)”是IPv6中引入的一个新概念.其主要 功能是实现无状态自动配置 攻击者可以利用安全性差的 路由器或网关等设备.得到“邻居发现”的高速缓存数据,由 此发现可利用的主机 参考文献: 『11韩智文,卿话,龚正虎.新一代互连网协议的安全机制 『J1.计算机工程与应用,2000,3:126—128. 『21张玉军,田野.IPv6安全问题研究『J1.中国科学院研究 生院学报.2005.22(1):30—37. [3]Pete L.IPv6详解 1.北京:机械工业出版社,2000, 69—79. 『4]沈莉.IPv6的安全协议研究【J】.电子科技大学学报, 2002,31(1):72—75. 『51杜根远,邱颖豫,郭华伟.IPv6网络安全体系结构研究 fJ】.微计算机信息,2006,22(4—3):82-84,l15.
