新一代的網絡安全協議—IPv6

2019-11-03 09:03:14

字體：大中小

來源：轉載

供稿：網友

劉水生，張永明

南京郵電學院電子工程系 210003

　　摘要：介紹了新一代的因特網網際協議——ＩＰｖ６的技術背景和特點，以及ＩＰｖ４到ＩＰｖ６的過渡，對ＩＰｖ６引入ＩＰ層的安全體系結構（ＩＰＳｅｃ）、認證機制、加密機制等進行了討論。

　　關鍵詞：協議；４．０版網際協議；６．０版網際協議；鄰居發現

　　１引言

　　隨著Ｉｎｔｅｒｎｅｔ的迅速增長和要求唯一ＩＰ地址的無線設備的激增，各種業務量的增長，以及由于歷史的原因存在的地址分配不公平的問題，使得飛速發展的亞太地區，因得不到足夠的地址資源而受到束縛。特別是因特網原有４．０版網際協議（ＩＰｖ４）的地址資源十分貧乏，需要迫切地予以解決，因而推動了新的因特網協議（ＩＰ）的研發和問世。

　　又由于迅速發展的移動通信業務，包括聲音、數據、視頻等，以及很多新的技術，如ＧＳＭ，ＷＡＰ，ＧＰＲＳ，ＨＳＣＳＤ，Ｕ－ＴＲＡＮ等都是基于ＩＰ的，更需要ＩＰ協議的提高和發展。正是由于這一系列的原因，新一代６．０版的因特網網際協議——ＩＰｖ６脫穎而出。

　　新的網際協議ＩＰｖ６繼承和發展了ＩＰｖ４的成功之處，能提供“無盡”的地址資源[1]和支持未來Ｉｎｔｅｒｎｅｔ，移動通信各種業務的發展，在安全性方面也更加完善，更加有保障。

　　２ＩＰｖ４到ＩＰｖ６的轉換

　　ＩＰ地址日益增長的需要是ＩＰｖ６發展的催化劑[2]。據估計，僅在無線領域，需要接入Ｉｎｔｅｒｎｅｔ的移動電話、ＰＤＡ和其它的無線設備就超過１０億部，而且每部設備都需要唯一的一個ＩＰ地址。另外還有數十億個新的家庭需要通過Ｉｎｔｅｒｎｅｔ得到服務，例如從電視、冰箱到電表，都將需要各自的ＩＰ地址，通過各種技術進行連接。由此就需要ＩＰｖ４到ＩＰｖ６集中改變以下幾個方面:

　　（１）擴展地址容量。把ＩＰ地址從ＩＰｖ４的３２位增加到１２８位，以能夠支持更多的地址層次，更大數量的節點和以更簡單的地址形式進行自動配置。

　　（２）改變首部格式。將ＩＰｖ４的一些首部字段刪除或成為可選字段，以在一般情況下減少包的處理開銷以及ＩＰｖ６首部占用的帶寬。

　　（３）支持擴展和選項的改進。修改ＩＰ首部選項編碼方式以提高傳輸的效率，并在選項長度方面有更少的限制，使得在引入新的選項時有更強的適應性。

　　（４）增加數據流標簽的能力。增加這一新的功能后，能夠使發送者要求特殊處理的，屬于特別傳輸“流”的包，比如非缺省質量服務或者“實時”服務的包，能夠貼上“標簽”。

　　（５）增強認證和保密的功能。使支持認證、數據完整性以及?穴可選的?雪數據保密的擴展都能在ＩＰｖ６中加以說明。

　　３ＩＰｖ６的結構和內容

　　３．１擴展的地址

　　ＩＰｖ６采用了長度為１２８位的ＩＰ地址，因而徹底解決了ＩＰｖ４地址不足的難題?眼３?演。１２８位的地址空間，足以使一個大企業將所有的設備，如計算機、打印機，甚至是尋呼機等聯入Ｉｎｔｅｒｎｅｔ，而不必擔心ＩＰ地址的不足。ＩＰｖ６的地址格式與ＩＰｖ４不同，一個ＩＰｖ６的ＩＰ地址由８個地址節所組成，每節包含１６個地址位，用４個十六進制數書寫，節與節之間用冒號分隔開。除了１２８位的地址空間外，ＩＰｖ６還為點對點的通信設計了一種具有分級結構的地址，稱為可聚合全局單點廣播地址（Ａｇｇｒｅｇａｔｅｌｙｇｌｏｂ－ａｌｕｎｉｃａｓｔａｄｄｒｅｓｓ），其分級結構如圖１所示。

　　圖中，開頭３個地址位是地址類型的前綴，用于區別其它地址類型，之后的１３位ＴＬＡＩＤ，３２位的ＮＬＡＩＤ，１６位的ＳＬＡＩＤ和６４位的主機接口ＩＤ，分別用于標識分級結構中自頂向底排列的頂級聚合體（ＴＬＡ：ＴｏｐＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）、下級聚合體（ＮＬＡ：ＮｅｘｔＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）、位置級聚合體（ＳＬＡ：ＳｉｔｅＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）和主機接口。ＴＬＡ是與長途服務供應商和電話公司相互連接的公共網絡接入點，從國際Ｉｎｔｅｒｎｅｔ注冊機構，如ＩＡＮＡ處獲得地址。ＮＬＡ通常是大型的ＩＳＰ，從ＴＬＡ處申請獲得地址，并為ＳＬＡ分配地址。ＳＬＡ也可稱為訂戶（Ｓｕｂｓｃｒｉｂｅｒ），可以是一個機構，也可以是一個小型的ＩＳＰ。ＳＬＡ負責為屬于它的訂戶分配地址，通常分配由連續地址組成的地址塊，以使這些機構便于建立自己的地址分級結構和識別不同的子網。分級結構的最底級是網絡主機。

　　３．２頭格式

　　ＩＰｖ６包頭包括４０字節，共８個字段。包頭格式如圖２所示。

　　該包頭由于定長且簡明，使得路由器檢查處理的工作量大為減少而提高了工作效率。

　　３．３流

　　流是從一個特定的節點發往一個特定目標節點的分組序列，數據流的標志字段用于標志任意一個傳輸的數據流，以便網絡中所有的字節能對這一數據進行識別，并作出特殊的處理。ＩＰｖ６中加長的數據流標志使得數據包的長度超過了ＩＰｖ４數據包，其長度為６４ｋｂｙｔｅ。可以利用最大傳輸單元（ＭＴＵ），使應用程序獲取更高、更可靠的數據傳輸。

　　３．４自動配置

　　ＩＰｖ６繼承了ＩＰｖ４的ＤＨＣＰ自動配置服務功能，主機從ＤＨＣＰ服務器租界ＩＰ地址并獲得有關的配置信息（網關、ＤＮＳ服務器等），并由此達到自動設置主機ＩＰ地址的目的。

　　３．５支持服務質量（ＱｏＳ）

　　ＩＰｖ６能夠從正在執行的應用程序中自動發現服務并為其提供相應的服務質量。這主要是由于分類器能根據ＩＰ分組中所帶的ＩＰ源地址、源端口號、ＩＰ目的地址、目的端口號、協議類型和ＴＯＳ字節的組合正確區分不同分組所屬類型的原因，因而能提供相應的ＱｏＳ保證。在ＩＰｖ６分組的頭部有兩個重要的字段，即流標示字段和業務類別字段。業務類別字段可將ＩＰ分組分成１６個優先級，在ＩＰ數據包中將那些有特殊ＱｏＳ要求的業務設置相應的優先級，由路由器根據ＩＰ包的優先級對數據分別進行處理。對于數據流標示字段可以用于定義任意一個傳輸中的數據流，使網絡中所有的節點都能對這個數據流進行識別，并做出相應特殊的處理。

　　３．６鄰居發現協議

　　ＩＰｖ６中的鄰居發現（ＮＤ）協議用來動態搜集相鄰網絡的信息，信息的內容包括本地網絡參數、ＩＰｖ６地址到第二層地址的解析，以及路由重定向和相鄰節點的狀態。ＮＤ協議使用組播方式。

　　４ＩＰｖ６中的安全協議（ＩＰＳｅｃ）

　　安全問題始終是與Ｉｎｔｅｒｎｅｔ相關的一個重要話題。由于在ＩＰ協議設計之初沒有充分考慮其安全性，因而在早期的Ｉｎｔｅｒｎｅｔ上時常發生諸如某些企業、機構的網絡遭到攻擊、機密數據被竊取等不幸的事件。為了加強Ｉｎｔｅｒｎｅｔ的安全性，從１９９５年開始，ＩＥＴＦ著手研究制定了一套用于保護ＩＰ通信的安全（ＩＰＳｅｃ：ＩＰＳｅｃｕｒｉｔｙ）協議。ＩＰＳｅｃ是ＩＰｖ６的一個組成部分，也是ＩＰｖ４的一個可選擇的擴展協議[4]。

　　ＩＰＳｅｃ主要有三個協議，即認證協議(ＡＨ)、封裝安全負載(ＥＳＰ)和密鑰交換協議(ＩＫＥ)，用于提供數據認證、數據完整性和加密性三種保護形式。在實際進行ＩＰ通信時，可以根據安全需求同時使用兩種協議或選擇一種協議。ＡＨ和ＥＳＰ都可以提供認證服務，但ＡＨ提供的認證服務要強于ＥＳＰ。而ＩＫＥ主要是對密鑰進行交換管理,以及對算法、協議和密鑰三個方面進行協商。

　　４．１認證協議(ＡＨ)

　　認證報頭(ＡＨ)的格式如圖３所示。

　　認證協議?穴ＡＨ?雪使用的是安全關聯（ＳＡ：ＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎ）, ＳＡ是一組安全信息，與服務發生關聯,包含認證算法、加密算法和用于認證、加密的密鑰[5]。ＡＨ設計目的是為保證無連接的完整性，對ＩＰ數據包提供原始認證，以及對應答信息提供保護。ＡＨ能對ＩＰ報頭和高層協議數據進行認證，且所提供的保護機制是逐段的。ＡＨ利用傳輸中不改變的數據報頭計算出認證信息，為ＩＰ數據報保持認證信息。

　　ＡＨ認證報頭的功能有：

　　（１）為ＩＰ數據報提供強大的身份驗證，也就是使實體與數據報相聯結。

　　（２）為ＩＰ數據報提供強大的完整性的驗證，以防止重換攻擊。

　　（３）通過公共密鑰數字簽名算法，為ＩＰ數據報提供不可抵賴的服務。

　　４．２封裝安全負載(ＥＳＰ)

　　ＥＳＰ協議的頭部如圖４所示。

　　ＥＳＰ設計的目標是為ＩＰｖ６數據報信息的完整性和機密性提供保證。ＥＳＰ能根據所使用的算法，對ＩＰ數據報提供數據來源認證和無連接的完整驗證。ＥＳＰ提供的服務包括：使用公共密鑰加密，對數據來源進行身份驗證；按ＡＨ提供的序列號機制提供對抗重放的服務；使用安全網關有限地提高業務的機密性；通過加密提高數據報的機密性；采用數據加密標準中的密碼塊鏈接技術（ＤＥＳ－ＣＢＣ）對ＩＰ數據報提供數據源認證和無連接的完整性的認證。圖４中，ＳＰＩ為３２ｂｉｔ，用于確定該數據報的安全關聯（ＳＡ）；序列號是可選項，只有當ＳＡ包括了反應答服務時才有序列號；初始化矢量也是可選的，只有在加密算法需要精度初始化矢量時才能使用ＳＡ；負載長度是可變的，由下一個頭部協議域的值來描述；填充項與加密算法一起使用，可以將負載信息填充到加密算法所要求的塊長倍數上來。對于下一頭部協議，域長為８ｂｉｔ，表示負載信息域的數據類型；認證數據的長度也是可變的，但為３２的整數倍，ＡＨ協議可利用目的地址和安全參數索引ＳＰＩ為這個域確定必要的信息。一個包含ＥＳＰ的ＩＰｖ６報文的結構如圖５所示。

　　４．３ＩＰＳｅｃ的工作模式

　　ＩＰＳｅｃ定義了兩種類型的ＳＡ，即傳輸模式的ＳＡ和隧道模式的ＳＡ[3]。傳輸模式的ＳＡ是在ＩＰ包頭（以及任何可選的擴展包頭）之后和任何高層協議（如ＴＣＰ或ＵＤＰ）包頭之前插入ＡＨ或ＥＳＰ包頭的，只能用于兩個主機之間的ＩＰ通信，其報文結構如圖６所示。

　　隧道模式的ＳＡ是將整個原始的ＩＰ數據報放入一個新的ＩＰ數據報之中。在采用隧道模式ＳＡ時，每一個ＩＰ數據報都有兩個ＩＰ包頭：外部ＩＰ包頭和內部ＩＰ包頭。外部ＩＰ包頭指定將對ＩＰ數據報進行ＩＰＳｅｃ處理的目的地址，而內部ＩＰ包頭指定原始ＩＰ數據報最終的目的地址。隧道模式的ＳＡ既可以用于兩個主機之間的ＩＰ通信，也可以用于兩個安全網關之間或一個主機與一個安全網關之間的ＩＰ通信。安全網關可以是路由器、防火墻或ＶＰＮ設備。隧道模式ＳＡ下的ＩＰ報文結構如圖７所示。

　　５結束語

　　ＩＰｖ６是一個建立長期可靠、可管理、安全和高效的ＩＰ網絡的解決方案，盡管ＩＰｖ６的實際應用的日子還需耐心等待，不過，了解和研究ＩＰｖ６的重要特性及其針對目前ＩＰ網絡存在的問題而提出解決方案，對于制定企業網絡的長期發展計劃和規劃網絡未來的發展方向，還是十分有益的。

　　［參考文獻］

　　［１］ＤａｖｉｓＣａｒｌｔｏｎＲ．ＩＰＳｅｃ ,ＶＰＮ的安全實施［Ｍ］．

　　北京：清華大學出版社，２００２．

　　

　　［２］魏亮．ＩＰｖ６現狀及發展策略［Ｊ］．電信科學，２００２，（３）．

　　［３］ＨｕｉｔｅｍａＣ．新的因特網協議[M]．北京：清華大學出版社，１９９９．１５５－１６９．

　　［４］張青，陳更力．ＩＰｖ６中有關安全性的協議及應用［Ｊ］．湖北農學院學報，２００２，（６）．

　　［５］ＳｔｅｖｅｎｓＲｉｃｈａｒｄ．ＴＣＰ／ＩＰ［Ｊ］．Ｉｌｌｕｓｔｒａｔｅｄ．２００１，（１）：４３．

　　
摘自　天津通信技術

上一篇：SDH傳送網綜合網絡管理系統的設計

下一篇：數據網絡中的回聲消除技術