新一代的网络安全协议—IPv6
发布时间:2006-10-14 8:04:56   收集提供:gaoqian

刘水生, 张永明

南京邮电学院电子工程系 210003


  摘 要: 介绍了新一代的因特网网际协议——IPv6的技术背景和特点,以及IPv4到IPv6的过渡,对IPv6引入IP层的安全体系结构(IPSec)、认证机制、加密机制等进行了讨论。

  关键词: 协议; 4.0版网际协议; 6.0版网际协议; 邻居发现

  1 引言

  随着Internet的迅速增长和要求唯一IP地址的无线设备的激增,各种业务量的增长,以及由于历史的原因存在的地址分配不公平的问题,使得飞速发展的亚太地区,因得不到足够的地址资源而受到束缚。特别是因特网原有4.0版网际协议(IPv4)的地址资源十分贫乏,需要迫切地予以解决,因而推动了新的因特网协议(IP)的研发和问世。

  又由于迅速发展的移动通信业务,包括声音、数据、视频等,以及很多新的技术,如GSM,WAP,GPRS,HSCSD,U-TRAN等都是基于IP的,更需要IP协议的提高和发展。正是由于这一系列的原因,新一代6.0版的因特网网际协议——IPv6脱颖而出。

  新的网际协议IPv6继承和发展了IPv4的成功之处,能提供“无尽”的地址资源[1]和支持未来Internet,移动通信各种业务的发展,在安全性方面也更加完善,更加有保障。

  2 IPv4到IPv6的转换

  IP地址日益增长的需要是IPv6发展的催化剂[2]。据估计,仅在无线领域,需要接入Internet的移动电话、PDA和其它的无线设备就超过10亿部,而且每部设备都需要唯一的一个IP地址。另外还有数十亿个新的家庭需要通过Internet得到服务,例如从电视、冰箱到电表,都将需要各自的IP地址,通过各种技术进行连接。由此就需要IPv4 到IPv6集中改变以下几个方面:

  (1)扩展地址容量。把IP地址从IPv4的32位增加到128位,以能够支持更多的地址层次,更大数量的节点和以更简单的地址形式进行自动配置。

  (2)改变首部格式。将IPv4的一些首部字段删除或成为可选字段,以在一般情况下减少包的处理开销以及IPv6首部占用的带宽。

  (3)支持扩展和选项的改进。修改IP 首部选项编码方式以提高传输的效率,并在选项长度方面有更少的限制,使得在引入新的选项时有更强的适应性。

  (4)增加数据流标签的能力。增加这一新的功能后,能够使发送者要求特殊处理的,属于特别传输“流”的包,比如非缺省质量服务或者“实时”服务的包,能够贴上“标签”。

  (5)增强认证和保密的功能。使支持认证、数据完整性以及?穴可选的?雪数据保密的扩展都能在IPv6中加以说明。

  3 IPv6 的结构和内容

  3.1 扩展的地址

  IPv6采用了长度为128位的IP地址,因而彻底解决了IPv4地址不足的难题?眼3?演。128位的地址空间,足以使一个大企业将所有的设备,如计算机、打印机,甚至是寻呼机等联入Internet,而不必担心IP地址的不足。IPv6的地址格式与IPv4不同,一个IPv6的IP地址由8个地址节所组成,每节包含16个地址位,用4个十六进制数书写,节与节之间用冒号分隔开。除了128位的地址空间外,IPv6还为点对点的通信设计了一种具有分级结构的地址,称为可聚合全局单点广播地址(Aggregately glob-al unicast address),其分级结构如图1所示。



  图中,开头3个地址位是地址类型的前缀,用于区别其它地址类型,之后的13位TLA ID,32位的NLA ID,16位的SLA ID和64位的主机接口ID,分别用于标识分级结构中自顶向底排列的顶级聚合体(TLA:Top Level Aggregator)、下级聚合体(NLA:Next Level Aggregator)、位置级聚合体(SLA:Site Level Aggregator)和主机接口。TLA是与长途服务供应商和电话公司相互连接的公共网络接入点,从国际Internet注册机构,如IANA处获得地址。NLA通常是大型的ISP,从TLA处申请获得地址,并为SLA分配地址。SLA也可称为订户(Subscriber),可以是一个机构,也可以是一个小型的ISP。SLA负责为属于它的订户分配地址,通常分配由连续地址组成的地址块,以使这些机构便于建立自己的地址分级结构和识别不同的子网。分级结构的最底级是网络主机。

  3.2 头格式

  IPv6包头包括40字节,共8个字段。包头格式如图2所示。



  该包头由于定长且简明,使得路由器检查处理的工作量大为减少而提高了工作效率。

  3.3 流

  流是从一个特定的节点发往一个特定目标节点的分组序列,数据流的标志字段用于标志任意一个传输的数据流,以便网络中所有的字节能对这一数据进行识别,并作出特殊的处理。IPv6中加长的数据流标志使得数据包的长度超过了IPv4数据包,其长度为64 kbyte。可以利用最大传输单元(MTU),使应用程序获取更高、更可靠的数据传输。

  3.4 自动配置

  IPv6继承了IPv4的DHCP自动配置服务功能,主机从DHCP服务器租界IP地址并获得有关的配置信息(网关、DNS服务器等),并由此达到自动设置主机IP地址的目的。

  3.5 支持服务质量(QoS)

  IPv6能够从正在执行的应用程序中自动发现服务并为其提供相应的服务质量。这主要是由于分类器能根据IP分组中所带的IP源地址、源端口号、IP目的地址、目的端口号、协议类型和TOS字节的组合正确区分不同分组所属类型的原因,因而能提供相应的QoS保证。在IPv6分组的头部有两个重要的字段,即流标示字段和业务类别字段。业务类别字段可将IP分组分成16个优先级,在IP数据包中将那些有特殊QoS要求的业务设置相应的优先级,由路由器根据IP包的优先级对数据分别进行处理。对于数据流标示字段可以用于定义任意一个传输中的数据流,使网络中所有的节点都能对这个数据流进行识别,并做出相应特殊的处理。

  3.6 邻居发现协议

  IPv6中的邻居发现(ND)协议用来动态搜集相邻网络的信息,信息的内容包括本地网络参数、IPv6地址到第二层地址的解析,以及路由重定向和相邻节点的状态。ND协议使用组播方式。

  4 IPv6中的安全协议(IPSec)

  安全问题始终是与Internet相关的一个重要话题。由于在IP协议设计之初没有充分考虑其安全性,因而在早期的Internet上时常发生诸如某些企业、机构的网络遭到攻击、机密数据被窃取等不幸的事件。为了加强Internet的安全性,从1995年开始,IETF着手研究制定了一套用于保护IP通信的安全(IPSec:IP Security)协议。IPSec是IPv6的一个组成部分,也是IPv4的一个可选择的扩展协议[4]。

  IPSec主要有三个协议,即认证协议(AH)、封装安全负载(ESP)和密钥交换协议(IKE),用于提供数据认证、数据完整性和加密性三种保护形式。在实际进行IP通信时,可以根据安全需求同时使用两种协议或选择一种协议。AH和ESP都可以提供认证服务,但AH提供的认证服务要强于ESP。而IKE主要是对密钥进行交换管理,以及对算法、协议和密钥三个方面进行协商。

  4.1 认证协议(AH)

  认证报头(AH)的格式如图3所示。



  认证协议?穴AH?雪使用的是安全关联(SA:Security Association), SA是一组安全信息,与服务发生关联,包含认证算法、加密算法和用于认证、加密的密钥[5]。AH设计目的是为保证无连接的完整性,对IP数据包提供原始认证,以及对应答信息提供保护。AH能对IP报头和高层协议数据进行认证,且所提供的保护机制是逐段的。AH利用传输中不改变的数据报头计算出认证信息,为IP数据报保持认证信息。

  AH 认证报头的功能有:

  (1)为IP数据报提供强大的身份验证,也就是使实体与数据报相联结。

  (2)为IP数据报提供强大的完整性的验证,以防止重换攻击。

  (3)通过公共密钥数字签名算法,为IP数据报提供不可抵赖的服务。

  4.2 封装安全负载(ESP)

  ESP协议的头部如图4所示。



  ESP设计的目标是为IPv6数据报信息的完整性和机密性提供保证。ESP能根据所使用的算法,对IP数据报提供数据来源认证和无连接的完整验证。ESP提供的服务包括:使用公共密钥加密,对数据来源进行身份验证;按AH提供的序列号机制提供对抗重放的服务;使用安全网关有限地提高业务的机密性;通过加密提高数据报的机密性;采用数据加密标准中的密码块链接技术(DES-CBC)对IP数据报提供数据源认证和无连接的完整性的认证。图4中,SPI为32 bit,用于确定该数据报的安全关联(SA);序列号是可选项,只有当SA包括了反应答服务时才有序列号;初始化矢量也是可选的,只有在加密算法需要精度初始化矢量时才能使用SA;负载长度是可变的,由下一个头部协议域的值来描述;填充项与加密算法一起使用,可以将负载信息填充到加密算法所要求的块长倍数上来。对于下一头部协议,域长为8 bit,表示负载信息域的数据类型;认证数据的长度也是可变的,但为32的整数倍,AH协议可利用目的地址和安全参数索引SPI为这个域确定必要的信息。一个包含ESP的IPv6报文的结构如图5所示。





  4.3 IPSec的工作模式

  IPSec定义了两种类型的SA,即传输模式的SA和隧道模式的SA[3]。传输模式的SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP包头的,只能用于两个主机之间的IP通信,其报文结构如图6所示。

  隧道模式的SA是将整个原始的IP数据报放入一个新的IP数据报之中。在采用隧道模式SA时,每一个IP数据报都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据报进行IPSec处理的目的地址,而内部IP包头指定原始IP数据报最终的目的地址。隧道模式的SA既可以用于两个主机之间的IP通信,也可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。隧道模式SA下的IP报文结构如图7所示。

  5 结束语

  IPv6是一个建立长期可靠、可管理、安全和高效的IP网络的解决方案,尽管IPv6的实际应用的日子还需耐心等待,不过,了解和研究IPv6的重要特性及其针对目前IP网络存在的问题而提出解决方案,对于制定企业网络的长期发展计划和规划网络未来的发展方向,还是十分有益的。

  [参考文献]

  [1] Davis Carlton R. IPSec ,VPN的安全实施[M].

  北京:清华大学出版社,2002.

  

  [2] 魏 亮. IPv6现状及发展策略[J]. 电信科学, 2002,(3).

  [3] Huitema C. 新的因特网协议[M]. 北京:清华 大学出版社,1999.155-169.

  [4] 张 青,陈更力. IPv6中有关安全性的协议 及应用[J]. 湖北农学院学报, 2002,(6).

  [5] Stevens Richard. TCP/IP[J]. Illustrated. 2001, (1):43.

  
摘自 天津通信技术
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50