新一代的網絡安全協議—IPv6

2019-11-03 09:03:14

字體：大中小

來源：轉載

供稿：網友

劉水生，張永明

南京郵電學院電子工程系 210003

　　摘要：介紹了新一代的因特網網際協議——ＩＰｖ６的技術背景和特點，以及ＩＰｖ４到ＩＰｖ６的過渡，對ＩＰｖ６引入ＩＰ層的安全體系結構（ＩＰＳｅｃ）、認證機制、加密機制等進行了討論。

　　關鍵詞：協議；４．０版網際協議；６．０版網際協議；鄰居發現

　?。?引言

　　隨著Ｉｎｔｅｒｎｅｔ的迅速增長和要求唯一ＩＰ地址的無線設備的激增，各種業務量的增長，以及由于歷史的原因存在的地址分配不公平的問題，使得飛速發展的亞太地區，因得不到足夠的地址資源而受到束縛。特別是因特網原有４．０版網際協議（ＩＰｖ４）的地址資源十分貧乏，需要迫切地予以解決，因而推動了新的因特網協議（ＩＰ）的研發和問世。

　　又由于迅速發展的移動通信業務，包括聲音、數據、視頻等，以及很多新的技術，如ＧＳＭ，ＷＡＰ，ＧＰＲＳ，ＨＳＣＳＤ，Ｕ－ＴＲＡＮ等都是基于ＩＰ的，更需要ＩＰ協議的提高和發展。正是由于這一系列的原因，新一代６．０版的因特網網際協議——ＩＰｖ６脫穎而出。

　　新的網際協議ＩＰｖ６繼承和發展了ＩＰｖ４的成功之處，能提供“無盡”的地址資源[1]和支持未來Ｉｎｔｅｒｎｅｔ，移動通信各種業務的發展，在安全性方面也更加完善，更加有保障。

　?。?ＩＰｖ４到ＩＰｖ６的轉換

　　ＩＰ地址日益增長的需要是ＩＰｖ６發展的催化劑[2]。據估計，僅在無線領域，需要接入Ｉｎｔｅｒｎｅｔ的移動電話、ＰＤＡ和其它的無線設備就超過１０億部，而且每部設備都需要唯一的一個ＩＰ地址。另外還有數十億個新的家庭需要通過Ｉｎｔｅｒｎｅｔ得到服務，例如從電視、冰箱到電表，都將需要各自的ＩＰ地址，通過各種技術進行連接。由此就需要ＩＰｖ４到ＩＰｖ６集中改變以下幾個方面:

　?。ǎ保U展地址容量。把ＩＰ地址從ＩＰｖ４的３２位增加到１２８位，以能夠支持更多的地址層次，更大數量的節點和以更簡單的地址形式進行自動配置。

　　（２）改變首部格式。將ＩＰｖ４的一些首部字段刪除或成為可選字段，以在一般情況下減少包的處理開銷以及ＩＰｖ６首部占用的帶寬。

　?。ǎ常┲С謹U展和選項的改進。修改ＩＰ首部選項編碼方式以提高傳輸的效率，并在選項長度方面有更少的限制，使得在引入新的選項時有更強的適應性。

　?。ǎ矗┰黾訑祿鳂撕灥哪芰ΑＴ黾舆@一新的功能后，能夠使發送者要求特殊處理的，屬于特別傳輸“流”的包，比如非缺省質量服務或者“實時”服務的包，能夠貼上“標簽”。

　?。ǎ担┰鰪娬J證和保密的功能。使支持認證、數據完整性以及?穴可選的?雪數據保密的擴展都能在ＩＰｖ６中加以說明。

　?。?ＩＰｖ６的結構和內容

　?。常?擴展的地址

　?。桑校觯恫捎昧碎L度為１２８位的ＩＰ地址，因而徹底解決了ＩＰｖ４地址不足的難題?眼３?演。１２８位的地址空間，足以使一個大企業將所有的設備，如計算機、打印機，甚至是尋呼機等聯入Ｉｎｔｅｒｎｅｔ，而不必擔心ＩＰ地址的不足。ＩＰｖ６的地址格式與ＩＰｖ４不同，一個ＩＰｖ６的ＩＰ地址由８個地址節所組成，每節包含１６個地址位，用４個十六進制數書寫，節與節之間用冒號分隔開。除了１２８位的地址空間外，ＩＰｖ６還為點對點的通信設計了一種具有分級結構的地址，稱為可聚合全局單點廣播地址（Ａｇｇｒｅｇａｔｅｌｙｇｌｏｂ－ａｌｕｎｉｃａｓｔａｄｄｒｅｓｓ），其分級結構如圖１所示。

　　圖中，開頭３個地址位是地址類型的前綴，用于區別其它地址類型，之后的１３位ＴＬＡＩＤ，３２位的ＮＬＡＩＤ，１６位的ＳＬＡＩＤ和６４位的主機接口ＩＤ，分別用于標識分級結構中自頂向底排列的頂級聚合體（ＴＬＡ：ＴｏｐＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）、下級聚合體（ＮＬＡ：ＮｅｘｔＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）、位置級聚合體（ＳＬＡ：ＳｉｔｅＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）和主機接口。ＴＬＡ是與長途服務供應商和電話公司相互連接的公共網絡接入點，從國際Ｉｎｔｅｒｎｅｔ注冊機構，如ＩＡＮＡ處獲得地址。ＮＬＡ通常是大型的ＩＳＰ，從ＴＬＡ處申請獲得地址，并為ＳＬＡ分配地址。ＳＬＡ也可稱為訂戶（Ｓｕｂｓｃｒｉｂｅｒ），可以是一個機構，也可以是一個小型的ＩＳＰ。ＳＬＡ負責為屬于它的訂戶分配地址，通常分配由連續地址組成的地址塊，以使這些機構便于建立自己的地址分級結構和識別不同的子網。分級結構的最底級是網絡主機。

　?。常?頭格式

　?。桑校觯栋^包括４０字節，共８個字段。包頭格式如圖２所示。

　　該包頭由于定長且簡明，使得路由器檢查處理的工作量大為減少而提高了工作效率。

　?。常?流

　　流是從一個特定的節點發往一個特定目標節點的分組序列，數據流的標志字段用于標志任意一個傳輸的數據流，以便網絡中所有的字節能對這一數據進行識別，并作出特殊的處理。ＩＰｖ６中加長的數據流標志使得數據包的長度超過了ＩＰｖ４數據包，其長度為６４ｋｂｙｔｅ?？梢岳米畲髠鬏攩卧ǎ停裕眨?，使應用程序獲取更高、更可靠的數據傳輸。

　?。常?自動配置

　?。桑校觯独^承了ＩＰｖ４的ＤＨＣＰ自動配置服務功能，主機從ＤＨＣＰ服務器租界ＩＰ地址并獲得有關的配置信息（網關、ＤＮＳ服務器等），并由此達到自動設置主機ＩＰ地址的目的。

　　３．５支持服務質量（ＱｏＳ）

　?。桑校觯赌軌驈恼趫绦械膽贸绦蛑凶詣影l現服務并為其提供相應的服務質量。這主要是由于分類器能根據ＩＰ分組中所帶的ＩＰ源地址、源端口號、ＩＰ目的地址、目的端口號、協議類型和ＴＯＳ字節的組合正確區分不同分組所屬類型的原因，因而能提供相應的ＱｏＳ保證。在ＩＰｖ６分組的頭部有兩個重要的字段，即流標示字段和業務類別字段。業務類別字段可將ＩＰ分組分成１６個優先級，在ＩＰ數據包中將那些有特殊ＱｏＳ要求的業務設置相應的優先級，由路由器根據ＩＰ包的優先級對數據分別進行處理。對于數據流標示字段可以用于定義任意一個傳輸中的數據流，使網絡中所有的節點都能對這個數據流進行識別，并做出相應特殊的處理。

　?。常?鄰居發現協議

　?。桑校觯吨械泥従影l現（ＮＤ）協議用來動態搜集相鄰網絡的信息，信息的內容包括本地網絡參數、ＩＰｖ６地址到第二層地址的解析，以及路由重定向和相鄰節點的狀態。ＮＤ協議使用組播方式。

　?。?ＩＰｖ６中的安全協議（ＩＰＳｅｃ）

　　安全問題始終是與Ｉｎｔｅｒｎｅｔ相關的一個重要話題。由于在ＩＰ協議設計之初沒有充分考慮其安全性，因而在早期的Ｉｎｔｅｒｎｅｔ上時常發生諸如某些企業、機構的網絡遭到攻擊、機密數據被竊取等不幸的事件。為了加強Ｉｎｔｅｒｎｅｔ的安全性，從１９９５年開始，ＩＥＴＦ著手研究制定了一套用于保護ＩＰ通信的安全（ＩＰＳｅｃ：ＩＰＳｅｃｕｒｉｔｙ）協議。ＩＰＳｅｃ是ＩＰｖ６的一個組成部分，也是ＩＰｖ４的一個可選擇的擴展協議[4]。

　?。桑校樱澹阒饕腥齻€協議，即認證協議(ＡＨ)、封裝安全負載(ＥＳＰ)和密鑰交換協議(ＩＫＥ)，用于提供數據認證、數據完整性和加密性三種保護形式。在實際進行ＩＰ通信時，可以根據安全需求同時使用兩種協議或選擇一種協議。ＡＨ和ＥＳＰ都可以提供認證服務，但ＡＨ提供的認證服務要強于ＥＳＰ。而ＩＫＥ主要是對密鑰進行交換管理,以及對算法、協議和密鑰三個方面進行協商。

　　４．１認證協議(ＡＨ)

　　認證報頭(ＡＨ)的格式如圖３所示。

　　認證協議?穴ＡＨ?雪使用的是安全關聯（ＳＡ：ＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎ）, ＳＡ是一組安全信息，與服務發生關聯,包含認證算法、加密算法和用于認證、加密的密鑰[5]。ＡＨ設計目的是為保證無連接的完整性，對ＩＰ數據包提供原始認證，以及對應答信息提供保護。ＡＨ能對ＩＰ報頭和高層協議數據進行認證，且所提供的保護機制是逐段的。ＡＨ利用傳輸中不改變的數據報頭計算出認證信息，為ＩＰ數據報保持認證信息。

　?。粒?認證報頭的功能有：

　?。ǎ保椋桑袛祿筇峁姶蟮纳矸蒡炞C，也就是使實體與數據報相聯結。

　　（２）為ＩＰ數據報提供強大的完整性的驗證，以防止重換攻擊。

　?。ǎ常┩ㄟ^公共密鑰數字簽名算法，為ＩＰ數據報提供不可抵賴的服務。

　　４．２封裝安全負載(ＥＳＰ)

　?。牛樱袇f議的頭部如圖４所示。

　?。牛樱性O計的目標是為ＩＰｖ６數據報信息的完整性和機密性提供保證。ＥＳＰ能根據所使用的算法，對ＩＰ數據報提供數據來源認證和無連接的完整驗證。ＥＳＰ提供的服務包括：使用公共密鑰加密，對數據來源進行身份驗證；按ＡＨ提供的序列號機制提供對抗重放的服務；使用安全網關有限地提高業務的機密性；通過加密提高數據報的機密性；采用數據加密標準中的密碼塊鏈接技術（ＤＥＳ－ＣＢＣ）對ＩＰ數據報提供數據源認證和無連接的完整性的認證。圖４中，ＳＰＩ為３２ｂｉｔ，用于確定該數據報的安全關聯（ＳＡ）；序列號是可選項，只有當ＳＡ包括了反應答服務時才有序列號；初始化矢量也是可選的，只有在加密算法需要精度初始化矢量時才能使用ＳＡ；負載長度是可變的，由下一個頭部協議域的值來描述；填充項與加密算法一起使用，可以將負載信息填充到加密算法所要求的塊長倍數上來。對于下一頭部協議，域長為８ｂｉｔ，表示負載信息域的數據類型；認證數據的長度也是可變的，但為３２的整數倍，ＡＨ協議可利用目的地址和安全參數索引ＳＰＩ為這個域確定必要的信息。一個包含ＥＳＰ的ＩＰｖ６報文的結構如圖５所示。

　?。矗?ＩＰＳｅｃ的工作模式

　?。桑校樱澹愣x了兩種類型的ＳＡ，即傳輸模式的ＳＡ和隧道模式的ＳＡ[3]。傳輸模式的ＳＡ是在ＩＰ包頭（以及任何可選的擴展包頭）之后和任何高層協議（如ＴＣＰ或ＵＤＰ）包頭之前插入ＡＨ或ＥＳＰ包頭的，只能用于兩個主機之間的ＩＰ通信，其報文結構如圖６所示。

　　隧道模式的ＳＡ是將整個原始的ＩＰ數據報放入一個新的ＩＰ數據報之中。在采用隧道模式ＳＡ時，每一個ＩＰ數據報都有兩個ＩＰ包頭：外部ＩＰ包頭和內部ＩＰ包頭。外部ＩＰ包頭指定將對ＩＰ數據報進行ＩＰＳｅｃ處理的目的地址，而內部ＩＰ包頭指定原始ＩＰ數據報最終的目的地址。隧道模式的ＳＡ既可以用于兩個主機之間的ＩＰ通信，也可以用于兩個安全網關之間或一個主機與一個安全網關之間的ＩＰ通信。安全網關可以是路由器、防火墻或ＶＰＮ設備。隧道模式ＳＡ下的ＩＰ報文結構如圖７所示。

　?。?結束語

　　ＩＰｖ６是一個建立長期可靠、可管理、安全和高效的ＩＰ網絡的解決方案，盡管ＩＰｖ６的實際應用的日子還需耐心等待，不過，了解和研究ＩＰｖ６的重要特性及其針對目前ＩＰ網絡存在的問題而提出解決方案，對于制定企業網絡的長期發展計劃和規劃網絡未來的發展方向，還是十分有益的。

　　［參考文獻］

　?。郏保?ＤａｖｉｓＣａｒｌｔｏｎＲ．ＩＰＳｅｃ ,ＶＰＮ的安全實施［Ｍ］．

　　北京：清華大學出版社，２００２．

　　

　?。郏玻?魏亮．ＩＰｖ６現狀及發展策略［Ｊ］．電信科學，２００２，（３）．

　?。郏常?ＨｕｉｔｅｍａＣ．新的因特網協議[M]．北京：清華大學出版社，１９９９．１５５－１６９．

　?。郏矗?張青，陳更力．ＩＰｖ６中有關安全性的協議及應用［Ｊ］．湖北農學院學報，２００２，（６）．

　?。郏担?ＳｔｅｖｅｎｓＲｉｃｈａｒｄ．ＴＣＰ／ＩＰ［Ｊ］．Ｉｌｌｕｓｔｒａｔｅｄ．２００１，（１）：４３．

　　
摘自　天津通信技術

上一篇：SDH傳送網綜合網絡管理系統的設計

下一篇：數據網絡中的回聲消除技術