新一代的网络安全协议

首页	安全动态	IT新闻	安全人物	本站动态	漏洞公告	病毒警报	木马预警
流氓软件	漏洞分析	入侵检测	升级补丁	安全配置	信道安全	设备安全	协议安全
WEB安全	病毒分析	木马研究	脚本注入	后门探讨	技术应用	数据安全	企业专区

收藏本站

设为首页



	会员登录：

站内搜索：新闻中心系统安全网络安全安全技术下载中心

[组图]新一代的网络安全协议—IPv6

新一代的网络安全协议—IPv6

作者：未知文章来源：赛迪网点击数：更新时间：2007-10-31 1:00:49

１引言
　　随着Ｉｎｔｅｒｎｅｔ的迅速增长和要求唯一ＩＰ地址的无线设备的激增，各种业务量的增长，以及由于历史的原因存在的地址分配不公平的问题，使得飞速发展的亚太地区，因得不到足够的地址资源而受到束缚。特别是因特网原有４．０版网际协议（ＩＰｖ４）的地址资源十分贫乏，需要迫切地予以解决，因而推动了新的因特网协议（ＩＰ）的研发和问世。
　　
　　又由于迅速发展的移动通信业务，包括声音、数据、视频等，以及很多新的技术，如ＧＳＭ，ＷＡＰ，ＧＰＲＳ，ＨＳＣＳＤ，Ｕ－ＴＲＡＮ等都是基于ＩＰ的，更需要ＩＰ协议的提高和发展。正是由于这一系列的原因，新一代６．０版的因特网网际协议——ＩＰｖ６脱颖而出。
　　
　　新的网际协议ＩＰｖ６继承和发展了ＩＰｖ４的成功之处，能提供“无尽”的地址资源[1]和支持未来Ｉｎｔｅｒｎｅｔ，移动通信各种业务的发展，在安全性方面也更加完善，更加有保障。
　　
　　２ＩＰｖ４到ＩＰｖ６的转换
　　ＩＰ地址日益增长的需要是ＩＰｖ６发展的催化剂[2]。据估计，仅在无线领域，需要接入Ｉｎｔｅｒｎｅｔ的移动电话、ＰＤＡ和其它的无线设备就超过１０亿部，而且每部设备都需要唯一的一个ＩＰ地址。另外还有数十亿个新的家庭需要通过Ｉｎｔｅｒｎｅｔ得到服务，例如从电视、冰箱到电表，都将需要各自的ＩＰ地址，通过各种技术进行连接。由此就需要ＩＰｖ４到ＩＰｖ６集中改变以下几个方面:
　　
　　（１）扩展地址容量。把ＩＰ地址从ＩＰｖ４的３２位增加到１２８位，以能够支持更多的地址层次，更大数量的节点和以更简单的地址形式进行自动配置。
　　
　　（２）改变首部格式。将ＩＰｖ４的一些首部字段删除或成为可选字段，以在一般情况下减少包的处理开销以及ＩＰｖ６首部占用的带宽。
　　
　　（３）支持扩展和选项的改进。修改ＩＰ首部选项编码方式以提高传输的效率，并在选项长度方面有更少的限制，使得在引入新的选项时有更强的适应性。
　　
　　（４）增加数据流标签的能力。增加这一新的功能后，能够使发送者要求特殊处理的，属于特别传输“流”的包，比如非缺省质量服务或者“实时”服务的包，能够贴上“标签”。
　　
　　（５）增强认证和保密的功能。使支持认证、数据完整性以及?穴可选的?雪数据保密的扩展都能在ＩＰｖ６中加以说明。
　　
　　３ＩＰｖ６的结构和内容
　　３．１扩展的地址
　　
　　ＩＰｖ６采用了长度为１２８位的ＩＰ地址，因而彻底解决了ＩＰｖ４地址不足的难题?眼３?演。１２８位的地址空间，足以使一个大企业将所有的设备，如计算机、打印机，甚至是寻呼机等联入Ｉｎｔｅｒｎｅｔ，而不必担心ＩＰ地址的不足。ＩＰｖ６的地址格式与ＩＰｖ４不同，一个ＩＰｖ６的ＩＰ地址由８个地址节所组成，每节包含１６个地址位，用４个十六进制数书写，节与节之间用冒号分隔开。除了１２８位的地址空间外，ＩＰｖ６还为点对点的通信设计了一种具有分级结构的地址，称为可聚合全局单点广播地址（Ａｇｇｒｅｇａｔｅｌｙｇｌｏｂ－ａｌｕｎｉｃａｓｔａｄｄｒｅｓｓ），其分级结构如图１所示。
　　　

　　图中，开头３个地址位是地址类型的前缀，用于区别其它地址类型，之后的１３位ＴＬＡＩＤ，３２位的ＮＬＡＩＤ，１６位的ＳＬＡＩＤ和６４位的主机接口ＩＤ，分别用于标识分级结构中自顶向底排列的顶级聚合体（ＴＬＡ：ＴｏｐＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）、下级聚合体（ＮＬＡ：ＮｅｘｔＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）、位置级聚合体（ＳＬＡ：ＳｉｔｅＬｅｖｅｌＡｇｇｒｅｇａｔｏｒ）和主机接口。ＴＬＡ是与长途服务供应商和电话公司相互连接的公共网络接入点，从国际Ｉｎｔｅｒｎｅｔ注册机构，如ＩＡＮＡ处获得地址。ＮＬＡ通常是大型的ＩＳＰ，从ＴＬＡ处申请获得地址，并为ＳＬＡ分配地址。ＳＬＡ也可称为订户（Ｓｕｂｓｃｒｉｂｅｒ），可以是一个机构，也可以是一个小型的ＩＳＰ。ＳＬＡ负责为属于它的订户分配地址，通常分配由连续地址组成的地址块，以使这些机构便于建立自己的地址分级结构和识别不同的子网。分级结构的最底级是网络主机。
　　
　　３．２头格式
　　
　　ＩＰｖ６包头包括４０字节，共８个字段。包头格式如图２所示。
　　　

　　该包头由于定长且简明，使得路由器检查处理的工作量大为减少而提高了工作效率。
　　
　　３．３流
　　
　　流是从一个特定的节点发往一个特定目标节点的分组序列，数据流的标志字段用于标志任意一个传输的数据流，以便网络中所有的字节能对这一数据进行识别，并作出特殊的处理。ＩＰｖ６中加长的数据流标志使得数据包的长度超过了ＩＰｖ４数据包，其长度为６４ｋｂｙｔｅ。可以利用最大传输单元（ＭＴＵ），使应用程序获取更高、更可靠的数据传输。
　　
　　３．４自动配置
　　
　　ＩＰｖ６继承了ＩＰｖ４的ＤＨＣＰ自动配置服务功能，主机从ＤＨＣＰ服务器租界ＩＰ地址并获得有关的配置信息（网关、ＤＮＳ服务器等），并由此达到自动设置主机ＩＰ地址的目的。
　　
　　３．５支持服务质量（ＱｏＳ）
　　
　　ＩＰｖ６能够从正在执行的应用程序中自动发现服务并为其提供相应的服务质量。这主要是由于分类器能根据ＩＰ分组中所带的ＩＰ源地址、源端口号、ＩＰ目的地址、目的端口号、协议类型和ＴＯＳ字节的组合正确区分不同分组所属类型的原因，因而能提供相应的ＱｏＳ保证。在ＩＰｖ６分组的头部有两个重要的字段，即流标示字段和业务类别字段。业务类别字段可将ＩＰ分组分成１６个优先级，在ＩＰ数据包中将那些有特殊ＱｏＳ要求的业务设置相应的优先级，由路由器根据ＩＰ包的优先级对数据分别进行处理。对于数据流标示字段可以用于定义任意一个传输中的数据流，使网络中所有的节点都能对这个数据流进行识别，并做出相应特殊的处理。
　　
　　３．６邻居发现协议
　　
　　ＩＰｖ６中的邻居发现（ＮＤ）协议用来动态搜集相邻网络的信息，信息的内容包括本地网络参数、ＩＰｖ６地址到第二层地址的解析，以及路由重定向和相邻节点的状态。ＮＤ协议使用组播方式。
　　
　　４ＩＰｖ６中的安全协议（ＩＰＳｅｃ）
　　安全问题始终是与Ｉｎｔｅｒｎｅｔ相关的一个重要话题。由于在ＩＰ协议设计之初没有充分考虑其安全性，因而在早期的Ｉｎｔｅｒｎｅｔ上时常发生诸如某些企业、机构的网络遭到攻击、机密数据被窃取等不幸的事件。为了加强Ｉｎｔｅｒｎｅｔ的安全性，从１９９５年开始，ＩＥＴＦ着手研究制定了一套用于保护ＩＰ通信的安全（ＩＰＳｅｃ：ＩＰＳｅｃｕｒｉｔｙ）协议。ＩＰＳｅｃ是ＩＰｖ６的一个组成部分，也是ＩＰｖ４的一个可选择的扩展协议[4]。
　　
　　ＩＰＳｅｃ主要有三个协议，即认证协议(ＡＨ)、封装安全负载(ＥＳＰ)和密钥交换协议(ＩＫＥ)，用于提供数据认证、数据完整性和加密性三种保护形式。在实际进行ＩＰ通信时，可以根据安全需求同时使用两种协议或选择一种协议。ＡＨ和ＥＳＰ都可以提供认证服务，但ＡＨ提供的认证服务要强于ＥＳＰ。而ＩＫＥ主要是对密钥进行交换管理,以及对算法、协议和密钥三个方面进行协商。
　　
　　４．１认证协议(ＡＨ)
　　
　　认证报头(ＡＨ)的格式如图３所示。
　　　

　　认证协议?穴ＡＨ?雪使用的是安全关联（ＳＡ：ＳｅｃｕｒｉｔｙＡｓｓｏｃｉａｔｉｏｎ）, ＳＡ是一组安全信息，与服务发生关联,包含认证算法、加密算法和用于认证、加密的密钥[5]。ＡＨ设计目的是为保证无连接的完整性，对ＩＰ数据包提供原始认证，以及对应答信息提供保护。ＡＨ能对ＩＰ报头和高层协议数据进行认证，且所提供的保护机制是逐段的。ＡＨ利用传输中不改变的数据报头计算出认证信息，为ＩＰ数据报保持认证信息。
　　
　　ＡＨ认证报头的功能有：
　　
　　（１）为ＩＰ数据报提供强大的身份验证，也就是使实体与数据报相联结。
　　
　　（２）为ＩＰ数据报提供强大的完整性的验证，以防止重换攻击。
　　
　　（３）通过公共密钥数字签名算法，为ＩＰ数据报提供不可抵赖的服务。
　　
　　４．２封装安全负载(ＥＳＰ)
　　
　　ＥＳＰ协议的头部如图４所示。
　　　

　　ＥＳＰ设计的目标是为ＩＰｖ６数据报信息的完整性和机密性提供保证。ＥＳＰ能根据所使用的算法，对ＩＰ数据报提供数据来源认证和无连接的完整验证。ＥＳＰ提供的服务包括：使用公共密钥加密，对数据来源进行身份验证；按ＡＨ提供的序列号机制提供对抗重放的服务；使用安全网关有限地提高业务的机密性；通过加密提高数据报的机密性；采用数据加密标准中的密码块链接技术（ＤＥＳ－ＣＢＣ）对ＩＰ数据报提供数据源认证和无连接的完整性的认证。图４中，ＳＰＩ为３２ｂｉｔ，用于确定该数据报的安全关联（ＳＡ）；序列号是可选项，只有当ＳＡ包括了反应答服务时才有序列号；初始化矢量也是可选的，只有在加密算法需要精度初始化矢量时才能使用ＳＡ；负载长度是可变的，由下一个头部协议域的值来描述；填充项与加密算法一起使用，可以将负载信息填充

文章录入：洋葱头责任编辑：洋葱头

上一篇文章：巧妙利用端口重定向方法突破网关进入内网

下一篇文章：没有了

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

新一代的网络安全协议—
使用Ethereal学习TCP/IP
配置TCP/IP协议的方式使
内部网关协议和外部网关
安全传输协议SSL和TLS及
IPv6协议相对于IPv4协议
无线网络协议介绍 WLAN家
分析OSPF动态路由协议的
PPPoE协议在宽带接入网中
IBM Lotus Notes NRPC协

站长邮箱：webmaster@anquan365.com

联系电话：86-10-67634029