下一代互联网(IPv6)简介
1 什么是IPv6
IPv6是Internet Protocol Version 6的缩写,其中Internet Protocol译为“互联网协议”。IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的下一代IP协议版本。目前IP协议的版本号是4(简称为IPv4),IPv6正处在不断发展和完善的过程中,在不久的将来将取代目前被广泛使用的IPv4。
IPv4的核心技术属于美国,它的最大问题是网络地址资源有限。从理论上讲,IPv4可支撑编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后,可用的网络地址和主机地址的数量大打折扣,以至于目前IP地址近乎枯竭。其中北美占有3/4约30亿个IP地址,而人口最多的亚洲却不到4亿个,中国只有3千多万个IP地址,只相当于美国麻省理工学院所拥有的数量。但随着信息技术及网络技术的发展,计算机网络逐渐融入了人们的日常生活。网络IP地址不足,严重地制约了全世界互联网的应用和发展。在这样的环境下IPv6应运而生。
单从网络地址容量上来讲,理论上IPv6所拥有的地址容量是IPv4的8×102?倍,达到2^128-1个。这不但解决了网络地址资源数量的问题,同时也为终端设备连入互联网在网络地址数量限制扫清了障碍。
如果说IPv4实现的是主机间对话,那么IPv6则扩展到任意事物之间的对话,它将服务于众多的硬件设备如智能家电、智能汽车、智能仪器等,它将是无时不在、无处不在地深入社会每个角落的真正的互联网。
2 IPv6的十大主要技术特点
单从网络地址容量上来讲,理论上IPv6所拥有的地址容量是IPv4的 的不足,其主要技术特点如下。
(1)地址扩展:IP地址由原来的32位扩展到了128位,并且IPv6取消了IPv4地址的分类概念,可提供3.4×103?个主机地址。IPv6地址的文本格式为xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx,其中每个x是一个代表4位的十六进制数字,可省略前导零。
(2)报文头的简化:IPv6的数据头与IPv4完全不同。简化了数据报文头部,减少了路由表长度,同时减少了路由器处理报头的时间,降低了报文通过网络的延迟。IPv4报文头检查如sum、IHL、认证标识和碎片等不再出现在IPv6中。
(3)可扩展性:支持扩展和选项的改进,IP 首部选项编码方式的修改导致更加高效的传输、在选项长度方面更少的限制及将来引入新的选项时更强的适应性。
(4)流量标识:对服务质量作了定义,可以标记数据所属的流类型,以便路由器和交换机进行相应的处理。IPv6中增加了“flow label”标识,提供特定的QoS。
(5)路由选择:IPv6路由与物理接口(链路,如TNLCFG64或ETH03)而不是接口关联(绑定)。IPv6与IPv4的源地址选择功能不同。允许重复路由以提高稳健性,但在路由查找时将忽略重复路由。
(6)对流的支持:在IPv6中IP头的格式里有专门的20bit流标签域。主机发送报文时,如果需要把报文放到流中传输,只需在流标签里填入相应的流编号,如在流标签里填零就做一般的报文处理。路由器收到流的第一个报文时,以流编号为索引建立处理上下文,流中的后续报文均按上下文处理。
(7)不需要SUM区域检查:在路由器中检查SUM区域的协议数据包被移除,数据包在网络传输前已通过检查,另外高层协议如 TCP和 UDP 允许自我确认,在多数情况下移除SUM区域检查不会产生严重的问题。
(8)最大传输单元(MTU):IPv6的MTU结构化下限为1280字节。也就是IPv6不会在低于此极限时对信息包分段。要通过小于1280MTU的链路发送IPv6,链路层必须明确地对IPv6信息包进行分段和合并。
(9)可扩展协议:与IPv4不同,IPv6不再定义未来所有可能协议,允许发送人添加数据包信息,这样使IPv6比IPv4具有更广泛的灵活性,还可以设计新需求。
(10)安全性:IPv6进行了数据完整性及数据保密的扩展。
3 IPv6的安全机制
在安全机制方面,IPv6最为显著的特征就是将IP Sec集成到协议内部,从此IP Sec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。IP Sec提供四种不同的形式来保护通过公有或私有IP网络传送的私有数据,包括:安全关联(Security Associations,SA)、报头认证[Authentication only(Authentication Header,AH)]、IP封装安全载荷(Encryption and Authentication known as Encapsulating SecurityPayload,ESP)和密匙管理(Key Management)。
1.安全关联Security Association(SA)
IP Sec中的一个基本概念是安全关联(SA),安全关联包含验证或加密的密钥和算法。它是单向连接,为保护两个主机或者两个安全网关之间的双向通信建立两个安全关联。安全关联提供的安全服务是通过AH和ESP两个安全协议中的一个来实现的。如果要在同一个通信流中使用AH和ESP两个安全协议,那么需要创建两个(或者更多的)安全关联来保护该通信流。一个安全关联需要通过三个参数进行识别,它由安全参数索引(AH/ESP报头的一个字段)、目的IP地址和安全协议(AH或者ESP)三者的组合唯一标识。图1-1列出了AH和ESP报头在传送模式和隧道模式下的区别。
2.报头验证Authentication Header(AH)
认证协议头(AH)是在所有数据报头中加入一个密码。AH 通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据报头的数字签名都能把它检测出来。IPv6的验证主要由验证报头(AH)来完成。验证报头是 IPv6的一个安全扩展报头,它为 IP数据包提供完整性和数据来源验证,防止反重放攻击,避免IP欺骗攻击。
1)验证报头
验证报头的格式如图1-2所示。
验证报头包括以下内容。(1)下一个报头字段(Next Header):确定跟在验证报头后面的有效载荷类型(如TCP)。
(2)载荷长度(Payload length):验证报头的长度。
(3)安全参数索引(Security Parameter Index):用来确定安全关联的安全参数索引。
(4)认证数据字段(Sequence Number):一个变长字段,它包含完整性检查值(Integrity Check Value,ICV),用来提供验证和数据完整性。
(5)保留字段(Reserved):(16位)供以后使用。
2)验证数据(Authentication Data)
验证数据,它包含完整性检查值(ICV),用来提供验证和数据完整性。计算ICV的算法由安全关联指定。ICV是在这种情况下计算的,即IP报头字段在传递过程中保持未变,验证报头带有的验证数据置0,IP 数据包为有效载荷。有些字段在传递的过程中可能改变,包括最大跳数、业务类别和流标签等。IP数据包的接收者使用验证算法和安全关联中确定的密钥对验证报头重新计算ICV。如果ICV一样,接收者就知道数据通过验证并且没有被更改过。
3)防止重放攻击(Prevent Reply Attack)
重放攻击中,获得加密数据包,然后发送设定的目的地,收到复制加密数据包后,可能面临破解及其他意想不到的后果。序列号计数器可阻止此类攻击,当发送者和接收者之间的通信状态建立的时候,序列号被置0。当发送者或者接收者传送数据的时候,它随后被加1。如果接收者发觉一个IP数据包具有复制的序列号字段,它将被丢弃,这是为了提供反重放的保护。该字段是强制使用的,即使接收者没有选择反重放服务它也会出现在特定的安全关联中。验证报头带有的验证数据置0,IP数据包为有效载荷。
3.封装安全有效载荷数据(Encapsulating Security Payload)
安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密钥打开内容。ESP 也能提供认证和维持数据的完整性。ESP用来为封装的有效载荷提供机密性、数据完整性验证。AH和ESP两种报文头可以根据应用的需要单独使用,也可以结合使用,结合使用时,ESP应该在AH的保护下。
1)封闭安全有效载荷数据包
封装安全有效载荷数据包格式如图1-3所示。
封装安全有效载荷数据包含以下字段。
(1)SPI字段[Security Parameters Index(SPI)]:确定安全关联的安全参数索引。
(2)序列号字段(Sequence Number):用来提供反重放保护,跟验证报头中描述的一样。
(3)有效载荷数据(Payload Data):存放加密数据。
(4)填充字段(Padding:Extra Bytes):加密算法需要的任何填充字节。
(5)填充长度(Pad Length):包含填充长度字段的字节数。
(6)下一报头(Next Header):描述有效载荷数据字段包含的数据类型。
(7)验证数据(Authentication Data):用ICV加密算法加密的所有数据(非加密数据区)。
2)ESP计算(ESP Computation)
在IPv6中,加密是由ESP扩展报头来实现的。ESP用来为封装的有效载荷提供机密性、数据来源验证、无连接完整性、反重放服务和有限的业务流机密性。
3)局限性
ESP不保护任何IP报头字段,除非这些字段被ESP封装(隧道模式),而AH则为尽可能多的IP报头提供验证服务。所以,如果需要确保一个数据包的完整性、真实性和机密性,则需同时使用AH和ESP。先使用ESP,然后把AH报头封装在ESP报头的外面,从而接收方可以先验证数据包的完整性和真实性,再进行解密操作,AH能够保护ESP报头不被修改。
4.钥匙管理(Key Management)
密钥管理包括密钥确定和密钥分发两个方面,最多需要四个密钥,AH和ESP 各两个发送密钥和接收密钥。密钥本身是一个二进制字符串,通常用十六进制表示,例如,一个56位的密钥可以表示为5F39DA752E0C25B4。注意全部长度总共是64位,包括了8位的奇偶校验。56位的密钥(DES)足够满足大多数商业应用。密钥管理包括手工管理和自动管理两种方式。
1)手工管理(Manual)
手工管理方式是指管理员使用自己的密钥及其他系统的密钥手工设置每个系统。这种方法在小型网络环境中使用比较实际。
2)自动管理(Automated)
自动管理方式可以随时建立新的SA密钥,并可以对较大的分布式系统上使用的密钥进行定期更新。自动管理模式弹性很强,但需要花费更多的时间和精力去设置,同时,还需要使用更多的软件。
IP Sec的自动管理密钥协议的默认名称是ISAKMP/Oakley。
(1)Oakley协议(Oakley Key Determination)
Oakley协议,其基本机制是Diffie-Hellman密钥交换算法。Oakley协议支持完整转发的安全性,用户通过定义抽象的群结构来使用Diffie-Hellman算法,密钥更新及通过带外机制分发密钥集,并且兼容管理SA的ISAKMP协议。
(2)ISAKMP 协议(Internet Security Association and Key Management Protocol)
互联网安全关联和密钥管理协议(ISAKMP)定义了程序和信息包格式的建立、协商、修改和删除安全连接(SA)。SA包括各种网络安全服务执行所需的所有信息,这些安全服务包括 IP 层服务、传输或应用层服务、流通传输的自我保护的各种各样的网络协议。ISAKMP 定义交换密钥生成和认证数据的有效载荷。ISAKMP通过集中安全连接的管理减少了在每个安全协议中复制函数的数量。ISAKMP 还能通过一次对整个服务堆栈的协议来减少建立连接的时间。 
