IPv6安全技术研究孙晓玲

2012年1月赤峰学院学报（自然科学版）JournalofChifengUniversity（NaturalScienceEdition）Vol.28No.1

Jan.2012

IPv6安全技术研究

孙晓玲

（赤峰学院计算机与信息工程学院，内蒙古

赤峰

024000）

摘要：针对IPv6在网络安全方面的特性，论述了IPv6网络安全机制以及和IPSec的关系，着重研究指出IPSec在IPv6协议安全方面的作用，讨论了IPSec与传了IPSec所提供的网络安全服务与实现原理，

统安全技术结合实现网络安全的机制与原理，并分析了Ipv6面临的安全问题以及如何实现安全保护的措施和策略.

关键词：Ipv6；安全技术；IPsec中图分类号：TP393.081

引言

目前常见的网络安全技术如防火墙、入侵检测等基本上都是针对IPv4的，而IPv6作为下一代网络协议的标准，取代IPv4已成必然.随着互联网的迅猛发展，各种网络攻击行为层出不穷，现有的安全技术很难适应未来网络的发展需要，建设高速、智能、动态和自适应的网络防护系统已迫在眉睫，因此，面向IPv6的安全技术研究成为当前的热点和重点问题.

文献标识码：A文章编号：1673-260X（2012）01-0041-02

外部与内部之间插入一个IPsec头，以此来保护整个IP数据包.IPsec为了执行肩负的数据验证和机密性保证任务，提供了两种密钥管理机制，一是人工增加密钥，此种方式不易扩展（伸缩），二是采用

IKE进行密钥交换，此种方式通过阶段交换密钥动

态地进行协商验证并生成共享密钥，具有高度的伸缩性.IKE通过一系列强安全性的非对称算法交换非密钥数据，实现密钥交换，解决了在不安全网络环境中安全地建立或更新共享密钥的问题，它利用已经通过验证和安全的通道为IPsec协商提供安全服务，此种方式较人工增加密钥有很大优势，一般被采用.

2IPsec概述

IPv6在安全性上较IPv4有了很大的改进，它

在设计时就将IPsec（IPSecurity，由IETF制定的开放性IP安全标准）作为重要的组成部分，使之和

IPsec中有两个重要的数据库，一个是SADB

（SecurityAssociationDataBase，安全联盟数据库）它的每一条记录SA（SecurityAssociation，安全联盟），是由两个通信实体协商后建立的约定规则，包括用来保护IP包安全的IPsec协议、转码方式、密钥及有效时间等；另一个是SPD（SecurityPolicy

IPsec紧密结合，以提高安全性能.IPsec是一种协议

套件，包括：AH（AuthenticationHeader，验证头）、

ESP（EncapsulatingSecurityPayload，封装安全载

荷）、IKE（InternetKeyExchange，因特网密钥交换）等，它通过使用ESP和AH对上层协议和IP包进行保护.其中AH采用多种验证算法对数据的起源地进行验证，即身份验证，以此保证数据完整性和验证安全以及数据包的抗重播特性；ESP用以保证数据内容的机密性，在对数据进行加密的同时，还具有AH的功能，实现数据的验证，它既有验证算法又有加密算法.

DataBase，安全策略数据库），它的每一条记录是

一个策略，也是人机之间交互的安全接口，决定两个通信实体间能否通信以及如何通信，包括定义、表示、管理及与各个组件之间的交互等.这两个数据库通常联合使用，对于目的方，通过数据包头包含的IP地址和协议类型等在SADB中查找相应的

IPsec协议提供两种不同的数据传输模式，一

是传送模式，该模式中，IP头与上层协议头之间需插入一个特殊的IPsec头（AH头或ESP头）,用以保护上层协议；另一个是隧道模式，该模式中，要保护的整个IP数据包被封装到另一IP包中，同时在

SA.而对于源方，SPD的记录指针将指向相应的SADB记录，若找不到适合的SA，将创建新SA，并

将SPD记录与新SA记录链接起来.IPsec采用IKE自动地为通信实体协商SA，并对SADB进行维护，保证通信安全.

-41-

3IPsec在IPv6中的应用

IPsec是IPv4下的一个可选模块.它是对IPv4

采取的补救性措施.而IPv6在设计之初就充分考虑到了安全因素，它和IPsec结合更紧密，实现起来更容易，因此安全性比IPv4高很多.IPv6将AH和

ESP作为它的扩展包头成为其自身的一部分，这

样，当IPv6扩展包头中包含有AH鉴别头时，就能对IPv6报文进行身份鉴别，验证其完整性，从而防止对报文进行伪装或篡改.当IPv6扩展包头中包含

ESP时，既能对身份验证，同时还能对数据进行加

密，如果使用传输模式加密可以针对传输层数据形成端到端的加密，防止对高层（传输层和应用层）数据的分析；如果采用隧道模式进行加密，需要安全网关，即采用虚拟专用网技术，在网关内数据是明文，而网关外（发出或接收）都是加密的密文，由此看出，IPv6中使用IPsec很容易实现数据加密和身份验证，保证通信内容不被窃取和破坏.

4IPv6与传统安全技术相结合的安全机制

在现实环境中，网络安全问题是很复杂的，涉

及的范围也很广泛，单纯采用IPsec来保证网络安全是很不够的，实际应用中还需要结合其它的安全技术，如：防火墙、入侵检测、虚拟专用网等来最大程度地进行安全保证.

传统的防火墙技术通过授权来访问或拒绝和用户的网络行为.其实现方式主要有两种，一种是报文过滤型，它根据报文的发送和接收方的IP地址、端口和传送方向等报头信息，依据一定的规则，判断决定报文能否通过；另一种是应用网关型，主要作用在应用层，针对各种应用服务编制代理程序，监视和控制其通信过程.报文过滤型防火墙实现相对简单，智能性和自适应处理能力较差；应用网关型防火墙实现起来较为复杂，但功能更强，有一定的智能性和自适应性.IPv6的防火墙也有报文过滤型和应用网关型两种实现方式，但由于IP层协议的变化，需要在原有防火墙的基础上进行一些改进，比如针对IPv6协议设置过滤条件，制定相应规则等.需要指出的是，由于防火墙不能解析报文的数据内容，如果对IPv6报文进行了加密，防火墙就很难处理.

IDS（IntrusionDetectionSystem，入侵检测系

统）通过收集各种通信信息并加以分析来监视非法入侵行为，实施报警措施.它相当于一个，不会对正常的通信造成影响.需要指出的是，目前IDS

-42-

还没有统一的正式标准，而且它对系统资源要求较高，对于高速网络环境实现入侵检测比较困难.

VPN（VirtualPrivateNetwork，虚拟专用网）通

过为通信双方提供专用的虚拟通道实现通信，从而防止通信内容被干扰、窃听和破坏.实现方式通常是采用IPsec协议，这也是IPv6主要的安全手段，即通过数据加密和VPN技术来保证网络系统安全.需要指出的是，在实际应用中，IPv6往往将传统安全技术与自身的安全体系结合起来，使得用户得到更高级别的安全保障.比如，两个网络（或节点）通过安全网关通信，如果网络内部主机和外部通信时采用隧道模式（利用VPN），则网络内部是明文通信，IPsec只是应用在安全网关之间，为了更好地保证安全性，可以在安全网关内部加IDS或防火墙.

5结束语

Ipv6协议中引入了两个新的扩展报头AH和ESP，它们帮助Ipv6解决了身份认证、数据完整性

和机密性的问题，使Ipv6真正实现了网络层安全，这是非常大的进步.目前基于IPv6的下一代网络，正在受到越来越多的国家和研究单位的关注，随着大规模的IPv6网络的普及和应用形式的迫近，新一轮的安全问题又会产生，网络安全会不断面临新的课题，如何在新环境下（包括网络速度的提高和各种网络新业务的不断涌现等诸多情况）实现网络数据的安全传输、交换、以及保存等都是有待研究和解决的问题，只有不断地改进、提高，才能确保网络的安全稳定.———————————————————参考文献：

〔1〕兰少华，杨余旺，吕建勇.TCP/IP网络与协议.北

京：清华大学出版社，2006(1).

〔2〕王相林，等.IPv6技术———新一代网络技术.北

京：机械工业出版社，2008.

〔3〕李津生，洪佩琳.下一代Internet的网络技术.北

京：人民邮电出版社，2001(3).

〔4〕周贤伟，薛楠.IPsec解析.北京：国防工业出版

社，2006.〔5〕RichardA.Deal.Cisco路由器防火墙安全.北京：人民邮电出版社，2006.〔6〕Carlton

R.Davis.IPSec:VPN的安全实施.北京：

清华大学出版社，2002.