基于IPV6的網(wǎng)絡(luò)安全體系研究摘要隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的不斷普及，現(xiàn)行的網(wǎng)絡(luò)協(xié)議IPv4在地址空間、網(wǎng)絡(luò)安全等方面暴露出越來(lái)越多的不足，新一代網(wǎng)絡(luò)協(xié)議IPv6作為下一代互聯(lián)網(wǎng)的標(biāo)準(zhǔn)協(xié)議應(yīng)運(yùn)而生。本文的研究目的是研究如何在IPv6環(huán)境下構(gòu)建一個(gè)安全穩(wěn)定的基于IPSec協(xié)議的網(wǎng)絡(luò)模型，以提高現(xiàn)有網(wǎng)絡(luò)的安全性。本文首先簡(jiǎn)要介紹了研究背景和意義，然后分析了IPv6協(xié)議(包括IPv6報(bào)頭、地址結(jié)構(gòu)、網(wǎng)絡(luò)安全等)、IPSec協(xié)議(包括IPSec安全體系結(jié)構(gòu)、IPSec工作模式、IPSec認(rèn)證報(bào)頭協(xié)議、封裝的安全有效載荷協(xié)議等)，同時(shí)，引入安全審計(jì)和風(fēng)險(xiǎn)分析理論，構(gòu)建下一代多級(jí)動(dòng)態(tài)安全模型。最后，分析了防火墻保護(hù)網(wǎng)絡(luò)安全的實(shí)現(xiàn)，給出了在防火墻中實(shí)現(xiàn)保護(hù)的模塊，以進(jìn)一步了解防火墻在工業(yè)網(wǎng)絡(luò)運(yùn)行中的保護(hù)措施。本文闡述了研究的目的和收獲，明確了構(gòu)建新的安全模型對(duì)下一代網(wǎng)絡(luò)的安全具有重要意義。關(guān)鍵詞：IPV6；網(wǎng)絡(luò)安全體系；安全模型；IPSec目錄1緒論 緒論1.1研究背景1.1.1網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)入21世紀(jì)，隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透到社會(huì)的各個(gè)領(lǐng)域。人們?cè)絹?lái)越重視網(wǎng)絡(luò)的信息安全，網(wǎng)絡(luò)的開(kāi)放性和互聯(lián)互通在帶來(lái)信息交流和共享的同時(shí)，也給黑客和計(jì)算機(jī)犯罪帶來(lái)了可乘之機(jī)。自從美國(guó)學(xué)生Friedcohan1983年11月10日編寫了第一個(gè)測(cè)試計(jì)算機(jī)安全性的病毒以來(lái)，世界上的計(jì)算機(jī)病毒已經(jīng)發(fā)展了近40年。世界上有大約60,000種計(jì)算機(jī)病毒?，F(xiàn)在已經(jīng)嚴(yán)重威脅了網(wǎng)絡(luò)安全，給社會(huì)和個(gè)人帶來(lái)了巨大的危害。據(jù)調(diào)查，影響網(wǎng)絡(luò)安全的因素很多。這些因素包括攻擊者在目標(biāo)網(wǎng)絡(luò)上發(fā)起的主動(dòng)攻擊，例如密碼解密。有時(shí)由于用戶操作不當(dāng)而破壞系統(tǒng)網(wǎng)絡(luò)資源?？赡苁蔷W(wǎng)絡(luò)系統(tǒng)運(yùn)行不正確或管理員未正確配置的人為因素，也可能是由于網(wǎng)絡(luò)系統(tǒng)中軟件或硬件的不正確匹配而無(wú)法提供相應(yīng)的網(wǎng)絡(luò)服務(wù)。可以是系統(tǒng)外黑客發(fā)起的網(wǎng)絡(luò)攻擊，也可以是系統(tǒng)內(nèi)用戶對(duì)網(wǎng)絡(luò)資源的不合理使用。盡管人們對(duì)網(wǎng)絡(luò)安全和信息安全的保護(hù)越來(lái)越重視，但當(dāng)前網(wǎng)絡(luò)安全技術(shù)的發(fā)展仍跟不上步伐，各種網(wǎng)絡(luò)攻擊比比皆是，目前，網(wǎng)絡(luò)安全的保護(hù)仍有很大的提升空間。1.1.2網(wǎng)絡(luò)信息安全國(guó)際發(fā)展現(xiàn)狀自20世紀(jì)90年代以來(lái)，非法網(wǎng)絡(luò)入侵日益增多，為網(wǎng)絡(luò)信息安全系統(tǒng)的研究提出了新的課題。美國(guó)頒布了新的聯(lián)邦評(píng)估標(biāo)準(zhǔn)草案(FC)，用它來(lái)取代20世紀(jì)80年代發(fā)布的橙色書。國(guó)際合作也已經(jīng)開(kāi)始。世界各國(guó)都更加重視網(wǎng)絡(luò)系統(tǒng)的安全性。世界科技強(qiáng)國(guó)對(duì)信息安全提出了更高的要求，推動(dòng)了整個(gè)信息安全產(chǎn)業(yè)的快速發(fā)展。目前，“安全”和“信任”已成為下一代互聯(lián)網(wǎng)安全架構(gòu)研究人員關(guān)注的領(lǐng)域之一。美國(guó)許多大學(xué)和企業(yè)聯(lián)合發(fā)起了新一代互聯(lián)網(wǎng)研究項(xiàng)目，目的是利用現(xiàn)有網(wǎng)絡(luò)技術(shù)探索新一代網(wǎng)絡(luò)應(yīng)用的同時(shí)，試圖發(fā)現(xiàn)現(xiàn)有網(wǎng)絡(luò)架構(gòu)的缺陷和不足。在下一代網(wǎng)絡(luò)的體系結(jié)構(gòu)中提出了中間件的概念，主要為網(wǎng)絡(luò)和應(yīng)用之間的各種應(yīng)用系統(tǒng)提供安全服務(wù)。并已開(kāi)始在internet2上研究和部署網(wǎng)絡(luò)核心中間件，并分為識(shí)別、認(rèn)證、授權(quán)、目錄和安全服務(wù)五個(gè)方面。但是，沒(méi)有從系統(tǒng)結(jié)構(gòu)方面研究網(wǎng)絡(luò)類的安全服務(wù)和安全系統(tǒng)。南加州大學(xué)信息科學(xué)研究所和麻省理工學(xué)院計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室共同進(jìn)行了新一代結(jié)構(gòu)研究。在該項(xiàng)目的最新技術(shù)報(bào)告中，提出了新一代網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的“信任調(diào)整透明度”原則。認(rèn)為現(xiàn)實(shí)中的信任關(guān)系應(yīng)該反映在網(wǎng)絡(luò)上。基于信息交互雙方的互信需求，網(wǎng)絡(luò)可以提供一定范圍的服務(wù)。如果雙方都充分信任，他們的互動(dòng)是透明和無(wú)限的。如果雙方都不信任他們，他們將被檢查、過(guò)濾和限制。身份認(rèn)證和部署是信任調(diào)整透明度的關(guān)鍵。在我國(guó)，已有863項(xiàng)目和973項(xiàng)目提出大力支持基于ipv6的下一代網(wǎng)絡(luò)安全體系結(jié)構(gòu)的研究?，F(xiàn)有網(wǎng)絡(luò)在設(shè)計(jì)初期缺乏完整的安全體系。大多數(shù)安全技術(shù)都是補(bǔ)充原有網(wǎng)絡(luò)結(jié)構(gòu)的單元安全技術(shù)，而網(wǎng)絡(luò)設(shè)備沒(méi)有驗(yàn)證轉(zhuǎn)發(fā)數(shù)據(jù)包源地址的真實(shí)性，這是導(dǎo)致其難以跟蹤安全攻擊和實(shí)現(xiàn)安全服務(wù)的重要原因之一。因此，基于對(duì)新一代互聯(lián)網(wǎng)的研究，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層面進(jìn)行，實(shí)現(xiàn)全網(wǎng)IP的真實(shí)連接，在網(wǎng)絡(luò)安全服務(wù)層上實(shí)現(xiàn)可信安全服務(wù)中間件，支持新的安全可靠的網(wǎng)絡(luò)應(yīng)用，從結(jié)構(gòu)的角度解決網(wǎng)絡(luò)安全問(wèn)題，是基于ipv6的下一代網(wǎng)絡(luò)安全研究的主要方向。1.1.3IPv6的提出與發(fā)展現(xiàn)狀由于近年來(lái)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)已成為世界上最廣的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。早在1974年，IPv4技術(shù)在20世紀(jì)后就經(jīng)歷了20年的高速發(fā)展。在網(wǎng)絡(luò)地址的可用數(shù)量和網(wǎng)絡(luò)地址安全性方面，它已經(jīng)逐漸接近了自己的極限，在今天的網(wǎng)絡(luò)環(huán)境中慢慢不再使用。鑒于上述情況，國(guó)際網(wǎng)絡(luò)相關(guān)組織IETF提出了一個(gè)新的IP版本來(lái)取代ipv4。早在1992年，國(guó)際組織IETF就成立了IPNG工作組，主要用于研究下一代internet協(xié)議。1994年，提出了下一代ip協(xié)議，即IPv6推薦版本。1995年，IPNG工作組完成了對(duì)IPv6互聯(lián)網(wǎng)協(xié)議的研究。中美共同發(fā)起的IPv6產(chǎn)業(yè)鏈重新布局，目前已形成以北美、歐洲和亞太為核心的區(qū)域均衡發(fā)展戰(zhàn)略。各地區(qū)根據(jù)自身的發(fā)展特點(diǎn)，推動(dòng)整個(gè)產(chǎn)業(yè)的蓬勃發(fā)展。同時(shí)，全球IPv6的商用也將陸續(xù)啟動(dòng)，帶動(dòng)世界IPv6市場(chǎng)和產(chǎn)業(yè)鏈，形成以IPv6為核心的完整有序的下一代網(wǎng)絡(luò)共享體系。1.2IPv6網(wǎng)絡(luò)安全研究意義Pv6網(wǎng)絡(luò)安全的核心主要基于IPSec。與IPv4相比，IPv6具有以下優(yōu)點(diǎn):大量的網(wǎng)絡(luò)地址，支持分布式路由架構(gòu)，可以培養(yǎng)無(wú)狀態(tài)和有狀態(tài)的網(wǎng)絡(luò)地址，具有內(nèi)部IPSec安全策略，支持Qos服務(wù)，并具有一定的可擴(kuò)展性。2003年10月中國(guó)提出建立下一代互聯(lián)網(wǎng)項(xiàng)目，并將2005建設(shè)世界上最大的IPv6網(wǎng)絡(luò)。CNGI項(xiàng)目將為整個(gè)IPv6產(chǎn)業(yè)鏈的發(fā)展提供有力幫助。根據(jù)當(dāng)前國(guó)家高度重視IPv6發(fā)展的背景，通過(guò)利用自身豐富的科研資源，建立IPv6實(shí)驗(yàn)環(huán)境并進(jìn)行相關(guān)研究，推動(dòng)IPv6產(chǎn)業(yè)鏈的發(fā)展。當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)無(wú)法適應(yīng)ipv6的許多網(wǎng)絡(luò)應(yīng)用。隨著IPv6的快速發(fā)展，對(duì)IPv6下一代互聯(lián)網(wǎng)安全性的研究變得越來(lái)越重要，研究新的網(wǎng)絡(luò)安全解決方案和解決現(xiàn)有IPv6安全體系下的兼容性問(wèn)題已成為當(dāng)務(wù)之急。1.3論文的主要內(nèi)容及結(jié)構(gòu)安排第一章，緒論。主要介紹了本課題研究的背景，以及IPv6網(wǎng)絡(luò)安全在國(guó)內(nèi)外的研究進(jìn)展與應(yīng)用情況，并對(duì)下一代網(wǎng)絡(luò)安全通信協(xié)議IPSec的實(shí)驗(yàn)的意義進(jìn)行了概述，最后對(duì)本文研究?jī)?nèi)容和文章結(jié)構(gòu)進(jìn)行了介紹。第二章，IPv6網(wǎng)絡(luò)技術(shù)。主要介紹了IPv6的發(fā)展，對(duì)IPv6的發(fā)展進(jìn)行了概述，然后對(duì)IPv4和IPv6進(jìn)行了對(duì)比分析，并對(duì)IPv6優(yōu)點(diǎn)進(jìn)行了總結(jié)。最后對(duì)國(guó)內(nèi)外IPv6的發(fā)展做介紹。第三章，基于IPSec的IPv6安全機(jī)制研究。分析了IPv6的安全協(xié)議IPSec的安全能力、IPSec的安全體系的構(gòu)成、IPSec的工作方式。第四章，IPv6網(wǎng)絡(luò)運(yùn)行中的安全防御體系研究。詳細(xì)闡述了在IPv4向IPv6過(guò)渡時(shí)期一些安全工具如何實(shí)現(xiàn)改進(jìn)的，對(duì)網(wǎng)絡(luò)安全保障作用，在原有模型APPDRR網(wǎng)絡(luò)安全模型的基礎(chǔ)上加入了新的安全審計(jì)和IPSec安全體制，構(gòu)建了新一代網(wǎng)絡(luò)安全模型。第五章，基于防火墻對(duì)IPv6的安全實(shí)驗(yàn)。主要介紹IPv6下基于IPSec的VPN網(wǎng)關(guān)的實(shí)現(xiàn)。2IPv6網(wǎng)絡(luò)技術(shù)2.1IPv6發(fā)展概述隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)中的主機(jī)數(shù)量不斷增加。傳統(tǒng)的IPv4網(wǎng)絡(luò)協(xié)議已經(jīng)不足以滿足用戶的需求。針對(duì)當(dāng)前網(wǎng)絡(luò)現(xiàn)狀，IETF提出了128位網(wǎng)絡(luò)地址長(zhǎng)度的IPv6協(xié)議，以緩解當(dāng)前IPv4網(wǎng)絡(luò)地址協(xié)議數(shù)量不足的缺點(diǎn)。而IPv6在數(shù)據(jù)包轉(zhuǎn)發(fā)效率、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全方面也有了很大的提升。從網(wǎng)絡(luò)安全的角度來(lái)看，評(píng)價(jià)網(wǎng)絡(luò)安全的主要因素主要包括:保密性、完整性和身份認(rèn)證。與傳統(tǒng)網(wǎng)絡(luò)協(xié)議IPv4的數(shù)據(jù)加密傳輸模式相比，IPv6采用IPSec加密技術(shù)提高了當(dāng)前網(wǎng)絡(luò)的安全性。IPv6具有ipv4的優(yōu)點(diǎn)。IPv4運(yùn)行多年，暴露出越來(lái)越多的問(wèn)題。IPv6從經(jīng)驗(yàn)中吸取了修改問(wèn)題和擴(kuò)展功能的經(jīng)驗(yàn)。與IPv4相比，IPv6具有更強(qiáng)大、更高效的處理性能。與互聯(lián)網(wǎng)發(fā)展中出現(xiàn)的其他技術(shù)相比，IPv6是爭(zhēng)議最小的一種。IPv4被ipv6取代是不可避免的。IPv6的地址空間將被耗盡的概率幾乎為零。一些數(shù)據(jù)顯示IPv6的128位地址空間相當(dāng)于提供665570793348943地球表面每平方米的898599(6.65×1023)地址。更夸張的是，IPv6能讓地球上的每一粒沙子都有一個(gè)ip地址。128位地址空間可以容納多級(jí)層次結(jié)構(gòu)，使尋址和路由層次結(jié)構(gòu)的設(shè)計(jì)更加靈活，這是IPv4-based互聯(lián)網(wǎng)所缺乏的。2.2IPv6和IPV4的特點(diǎn)其中，基于IPv6網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)包結(jié)構(gòu)如圖2-1所示。圖2-1IPv6數(shù)據(jù)報(bào)文頭結(jié)構(gòu)如圖2-1所示，在IPv6網(wǎng)絡(luò)數(shù)據(jù)中一些關(guān)鍵的數(shù)據(jù)字段描述如下。（1）version：傳輸協(xié)議版本號(hào)，4個(gè)字節(jié)。（2）class：數(shù)據(jù)包的類別和傳輸優(yōu)先級(jí)別，8個(gè)字節(jié)。（3）label：IPv6協(xié)議所新增的字段，用于請(qǐng)求特定服務(wù)，20個(gè)字節(jié)。（4）length：數(shù)據(jù)包的有效載荷長(zhǎng)度，20個(gè)字節(jié)。（5）next：協(xié)議字段，用于表明是否還有后續(xù)的傳輸層包頭，8個(gè)字節(jié)。（6）ttl：防止數(shù)據(jù)包在網(wǎng)絡(luò)中被永久轉(zhuǎn)發(fā)，規(guī)定了數(shù)據(jù)包轉(zhuǎn)發(fā)次數(shù)，8個(gè)字節(jié)。（7）src和dest：分別為數(shù)據(jù)包發(fā)送的源地址和目標(biāo)的值，分別為128字節(jié)。IPv4協(xié)議數(shù)據(jù)包的報(bào)頭結(jié)構(gòu)如圖2-2所示：圖2-2IPv4數(shù)據(jù)報(bào)文頭結(jié)構(gòu)通過(guò)如圖2-1和圖2-2的對(duì)比可以看出，IPv4網(wǎng)絡(luò)數(shù)據(jù)報(bào)頭結(jié)構(gòu)和IPv6網(wǎng)絡(luò)數(shù)據(jù)報(bào)頭結(jié)構(gòu)明顯不同，為此在入侵檢測(cè)過(guò)程中，對(duì)IPv4網(wǎng)絡(luò)數(shù)據(jù)和IPv6網(wǎng)絡(luò)數(shù)據(jù)的處理也不盡相同。IPv6的特點(diǎn)相比于Ipv4來(lái)說(shuō)，體現(xiàn)在以下方面:(1)IP地址長(zhǎng)度由IPv4的32位增加到IPv6的128位，可支持?jǐn)?shù)量更大的可尋址節(jié)點(diǎn)、更多級(jí)的地址層次和較為簡(jiǎn)單的地址自動(dòng)配置。改進(jìn)了多目(multicast)路由選擇的規(guī)?？烧{(diào)性。(2)定義了任一成員(anycast)地址，用來(lái)標(biāo)識(shí)一組接口，在不會(huì)引起混淆的情況下將簡(jiǎn)稱“任一地址”，發(fā)往這種地址的分組將只發(fā)給由該地址所標(biāo)識(shí)的一組接口中的一個(gè)成員。(3)簡(jiǎn)化的首部格式。IPv4首部的某些字段被取消或改為選項(xiàng)，以減少報(bào)文分組處理過(guò)程中常用情況的處理費(fèi)用，并使得工Pvfi首部的帶寬開(kāi)銷盡可能低，盡管地址長(zhǎng)度增加了。雖然IPv6地址長(zhǎng)度是工Pv4地址的四倍，IPv6首部的長(zhǎng)度只有工Pv4首部的兩倍。(6)支持自動(dòng)配置。IPv6支持多種形式的自動(dòng)配置，從孤立網(wǎng)絡(luò)節(jié)點(diǎn)地址的“即插即用”自動(dòng)配置，到DHCP提供的全功能的設(shè)施。(7)服務(wù)質(zhì)量能力。IPv6增加了一種新的能力，如果某些報(bào)文分組屬于特定的工作流，發(fā)送者要求對(duì)其給予特殊處理，則可對(duì)這些報(bào)文分組加標(biāo)號(hào)，例如非缺省服務(wù)質(zhì)量通信業(yè)務(wù)或“實(shí)時(shí)”服務(wù)?？傊?，IPv6高效的互聯(lián)網(wǎng)引擎引人注目的是，IPv6增加了許多新的特性，其中包括:服務(wù)質(zhì)量保證、自動(dòng)配置、支持移動(dòng)性、多點(diǎn)尋址(CMulticast)、安全性。基于以上改進(jìn)和新的特征，IPv6為互聯(lián)網(wǎng)換上一個(gè)簡(jiǎn)捷、高效的引擎，不僅可以解決工IPv4目前的地址短缺難題，而且可以使國(guó)際互聯(lián)網(wǎng)擺脫日益復(fù)雜、難以管理和控制的局面，變得更加穩(wěn)定、可靠、高效和安全。2.3IPv6報(bào)頭格式與地址IPv4地址采用十進(jìn)制點(diǎn)號(hào)表示法。而IPv6的128位地址按每16位劃分一個(gè)位段，每段轉(zhuǎn)換為一個(gè)4位的十六進(jìn)制數(shù)，并用冒號(hào)隔開(kāi)，稱為冒號(hào)十六進(jìn)制表示法（colonhexadecimal）。舉例如下：一個(gè)二進(jìn)制格式的IPv6地址為：00100001110110100000000011010011000000000000000000101111001110110000001010101010000000001111111111111110001010001001110001011010將其分為8個(gè)位段，并把每個(gè)位段轉(zhuǎn)換成十六進(jìn)制數(shù)，并用冒號(hào)隔開(kāi)，結(jié)果如下：21DA：00D3：0000：2F3B：02AA：00FF：FE28：9C5A通過(guò)壓縮每個(gè)位段中的前導(dǎo)零，可以進(jìn)一步簡(jiǎn)化IPv6地址的表示，稱為前導(dǎo)零壓縮法（但是每個(gè)位段至少應(yīng)該有一個(gè)數(shù)字）。根據(jù)前導(dǎo)零壓縮法，上面的結(jié)果可以進(jìn)一步表示為：21DA：00D3：0：2F3B：02AA：00FF：FE28：9C5A此外，如果IPv6地址中包含了一長(zhǎng)串0，若幾個(gè)連續(xù)位段的值都為0，那么這些0就可以簡(jiǎn)記為：：，稱為雙冒號(hào)法，但雙冒號(hào)在地址中只能出現(xiàn)一次。例如，一個(gè)IPv6的地址FF02：0：0：0：0：0：0：2可以簡(jiǎn)記為FF02：：2。RFC2373還規(guī)定了前綴的表示方法。格式前綴是一個(gè)IP地址的高位，它用來(lái)識(shí)別子網(wǎng)或某種特殊類型的地址，也被稱為全局路由前綴。該前綴的表示方法和IPv4地址在CIDR（無(wú)類域間路由）表示法中雖規(guī)定的表示法非常相似。該表示法的格式如下：IPv6地址/前綴長(zhǎng)度。64位前綴用來(lái)表示節(jié)點(diǎn)所在的單個(gè)子網(wǎng)。前綴小于64位，要么是一個(gè)路由前綴，要不就是包含了部分IPv6地址空間的一個(gè)地址范圍。此外，在IPv6和IPv4節(jié)點(diǎn)同時(shí)存在的環(huán)境下，IPv6地址的另一種簡(jiǎn)單表示方法是把IPv4地址放到該地址的4個(gè)低字節(jié)塊中。如IPv4地址可以表示為x：x：x：x：x：x：，而地址0：0：0：0：0：0：可以寫成：：或者：：C0A8：2。2.4IPv6網(wǎng)絡(luò)安全目前基于IPv4的網(wǎng)絡(luò)安全機(jī)制只建立在應(yīng)用程序級(jí)(如Small加密、HTTP以及SSL等接入安全)，無(wú)法從IP層來(lái)保證網(wǎng)絡(luò)的安全。為此，IETF從1995年開(kāi)始研究制定T一套IP安全(IPSecurity，IPsec)協(xié)議用來(lái)保障IP層的安全。通過(guò)集成IPSec}IPv6實(shí)現(xiàn)了IP級(jí)的安全，因而IPSec便成為了IPv6的安全體系架構(gòu)的核心。IPv6將網(wǎng)絡(luò)安全協(xié)議(IPSec)集成到協(xié)議內(nèi)部，從此iPSec將不單獨(dú)存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個(gè)部分。具體如下:①IPvb針對(duì)網(wǎng)絡(luò)安全做出的最大舉措就是集成了IPSec，這對(duì)IPv6網(wǎng)絡(luò)實(shí)現(xiàn)全網(wǎng)的安全認(rèn)證和加密封裝提供了協(xié)議上的保證;②地址解析放在互聯(lián)網(wǎng)控制協(xié)議(ICMP)的協(xié)議層使得ICMP協(xié)議與地址解析協(xié)議(ARP)相比與介質(zhì)的禍合性更小，而且可以使用標(biāo)準(zhǔn)的IP認(rèn)證機(jī)制;③除了IPSec和IPv6本身對(duì)安全所作的舉措之外，其他的安全防護(hù)機(jī)制在iPvb上仍然有效。IPv6網(wǎng)絡(luò)的安全性主要體現(xiàn)在3個(gè)層面，即協(xié)議安全、網(wǎng)絡(luò)安全和安全加密的硬件實(shí)現(xiàn)。在協(xié)議安全層面上，IPvb的認(rèn)證頭(AH)和封裝安全載荷(ESP)信息安全封裝擴(kuò)展頭結(jié)合多樣的加密算法可以滿足協(xié)議層面的安全需求。在AH認(rèn)證方面，加密算法可采用hmac-md5_6,hmac-sha1_6等認(rèn)證加密算法，在ESP封裝方面經(jīng)常采用的算法有DES_BC,3DES_CBC以及Null等3種。在網(wǎng)絡(luò)安全實(shí)現(xiàn)方面，通過(guò)IPSec的隧道和傳輸模式的各種應(yīng)用組合，可以滿足各個(gè)網(wǎng)絡(luò)層面的安全需要，諸如端到端的安全保證、對(duì)內(nèi)部網(wǎng)絡(luò)的保密、通過(guò)安全隧道構(gòu)建安全的VPN、以及通過(guò)嵌套隧道實(shí)現(xiàn)不同級(jí)別的網(wǎng)絡(luò)安全等。2.5本章小結(jié)本章主要介紹了IPv6的相關(guān)知識(shí)，首先介紹了IPv6的概述，對(duì)比了IPv6與IPv4的相關(guān)特點(diǎn)與不同之處，以及IPv6相較于IPv4的改變，隨后介紹了IPv6的報(bào)文格式與地址，以及IPv6的安全特性和IPv6網(wǎng)絡(luò)安全的需要，為后續(xù)研究提供了便捷。3基于IPSec協(xié)議的安全機(jī)制研究3.1IPSec概述對(duì)于物理層以上層面的安全隱患除了來(lái)自于針對(duì)各種協(xié)議的安全隱患以外，還有非法占用網(wǎng)絡(luò)資源或者耗盡網(wǎng)絡(luò)資源等隱患，諸如雙802.1Q封裝攻擊、廣播包攻擊、媒體訪問(wèn)控制(MAC)洪泛、生成樹(shù)攻擊等二層攻擊以及虛假的Internet控制消息協(xié)議((ICMP)報(bào)文、ICMP洪泛、源地址欺騙、路由振蕩等來(lái)自針對(duì)三層協(xié)議的攻擊。在應(yīng)用層還有針對(duì)HTTP,FTP/TFTP,TELNET以及通過(guò)電子郵件傳播病毒的攻擊手段。對(duì)于這些攻擊，可以采用的防護(hù)手段如下:①通過(guò)諸如TACACS+,RAI3IUS,AAA等安全訪問(wèn)控制協(xié)議控制用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限來(lái)防患針對(duì)應(yīng)用層的攻擊。②通過(guò)MAC地址和IP地址綁定、限制每端口的MAC地址使用數(shù)量、設(shè)立每端口廣播包流量門限、使用基于端口和VLAN的ACL、建立安全用戶隧道等來(lái)防范針對(duì)二層的攻擊。③通過(guò)進(jìn)行路由過(guò)濾、對(duì)路由信息的加密和認(rèn)證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來(lái)加強(qiáng)三層網(wǎng)絡(luò)的安全性。完善的IPv6的IPSec機(jī)制提供了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性的保證，并且為網(wǎng)絡(luò)安全提供了諸多的解決辦法。為了構(gòu)建安全網(wǎng)絡(luò)還可以結(jié)合AAA認(rèn)證，NATPT}VPN,ACL的標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表、防分片包攻擊來(lái)實(shí)現(xiàn)安全預(yù)防;通過(guò)路由過(guò)濾、靜態(tài)路由、策略路由和路由負(fù)荷分擔(dān)來(lái)實(shí)現(xiàn)安全路由;通過(guò)SSHv2,SNMPv3,EXC提供進(jìn)程訪問(wèn)安全、線路訪問(wèn)安全;通過(guò)分級(jí)管理、定制特權(quán)級(jí)管理等手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理;最后通過(guò)完善的告警、日志和審計(jì)功能實(shí)現(xiàn)網(wǎng)絡(luò)時(shí)鐘的安全，同時(shí)提供訪問(wèn)列表和關(guān)鍵事件的日志、路由協(xié)議事件和錯(cuò)誤記錄等供網(wǎng)絡(luò)管理人員進(jìn)行故障分析、定位和統(tǒng)計(jì)。3.2IPSec的四種功能與IPv4相比，工Pv6具有許多優(yōu)勢(shì)。首先，IPv6解決了IP地址數(shù)量短缺的問(wèn)題;其次，工Pv6對(duì)IPv4協(xié)議中諸多不完善之處進(jìn)行了較大的改進(jìn)。其中最為顯著的就是將IPSec集成到協(xié)議內(nèi)部，從此IPSec將不再單獨(dú)存在，而是作為工Pv6協(xié)議固有的一部分貫穿于工Pv6的各個(gè)領(lǐng)域。IPSEC提供如下四種不同的形式來(lái)保護(hù)通過(guò)公有或私有IP網(wǎng)絡(luò)來(lái)傳送的私有數(shù)據(jù):1.安全關(guān)聯(lián)(SecurityAssociations，簡(jiǎn)稱SA)：IPSec中的一個(gè)基本概念是安全關(guān)聯(lián)(SA)，是在一次通信中的關(guān)聯(lián)對(duì)象(SA)和通信策略。決定了輸入和輸出業(yè)務(wù)的AH和ESP機(jī)制的控制方式，即安全關(guān)聯(lián)包含驗(yàn)證或者加密的密鑰和算法。2.IP認(rèn)證頭(AuthenticationHeader，簡(jiǎn)稱AH)：認(rèn)證協(xié)議頭(AH)是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過(guò)一個(gè)只有密鑰持有人才知道的“數(shù)字簽名”來(lái)對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過(guò)特別的算法得出的獨(dú)特結(jié)果;AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來(lái)。3.IP封裝安全載荷(EncryptionandauthenticationknownasEncapsulatingSecurityPayload，簡(jiǎn)稱ESP);安全加載封裝(ESP)通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)嚴(yán)格保證傳輸信息的完整性和機(jī)密性，這樣可以避免其他用戶通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩魮碛忻荑€打開(kāi)內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。4.密鑰管理(Keymanagement)。3.3密鑰交換的研究密鑰管理(C.Kaufmanetc.,2005;b.Harkinsetc.,1998;S.Deeringetc.,2005)是IPSec協(xié)議簇中最復(fù)雜最重要的一部分，因?yàn)樗袛?shù)據(jù)包的安全都建立在密鑰安全之上，因此最重要的一環(huán)就是在通信雙方數(shù)據(jù)都能被安全交換之前建立起通信雙方之間的一個(gè)契約，該契約稱為SA。在SA中，通信雙方試圖在如何交換和保護(hù)信息方而達(dá)成一致。為在通信雙方之間建立該契約，IETF制定了一個(gè)Interned密鑰交換協(xié)議IKE,IKE共有兩個(gè)版木:IKEvI和IKEv2，IKEvI結(jié)合了ISAKMP包格式、Oakley密鑰確定協(xié)議的交換模式和部分SKEME(SecureKeyCxchangeMEchani}m)的共享和密鑰更新技術(shù)。I5AKMP集中了安全聯(lián)盟管理，減少了連接時(shí)間;Qakley生成并管理用來(lái)保護(hù)信息的密鑰。IKEv2是IKEvI的第二版，是對(duì)IKEv1的升級(jí)和改進(jìn)。1、初始交換：一般來(lái)說(shuō)，IKEv2可以通過(guò)初始交換完成第一對(duì)IPSecSA的協(xié)商，IKEv2的初始交換包含兩次交換四條消息，如圖3-1所示。圖3-1IKEv2初始交換消息①和②屬于IKE_SA_INIT交換（第一次交換），以明文方式完成IKESA的參數(shù)協(xié)商，包括協(xié)商加密和驗(yàn)證算法，交換臨時(shí)隨機(jī)數(shù)和DH交換。第一次交換完成后會(huì)生成一個(gè)共享密鑰材料，IPSecSA的所有密鑰都可以從該共享密鑰材料中獲得。消息③和④屬于IKE_AUTH交換，即第二次交換，第二次交換以加密方式完成身份認(rèn)證、對(duì)前兩條信息的認(rèn)證和IPSecSA的參數(shù)協(xié)商。IKEv2支持RSA簽名認(rèn)證、預(yù)共享密鑰認(rèn)證以及擴(kuò)展認(rèn)證方法EAP（ExtensibleAuthenticationProtocol）。EAP認(rèn)證是作為附加的IKE_AUTH交換在IKE中實(shí)現(xiàn)的，發(fā)起者通過(guò)在消息3中省去認(rèn)證載荷來(lái)表明需要使用EAP認(rèn)證，IKEv2的協(xié)商過(guò)程如圖3-2所示。圖3-2IKEv2協(xié)商過(guò)程2、創(chuàng)建子SA交換：當(dāng)一個(gè)IKESA需要?jiǎng)?chuàng)建多對(duì)IPSecSA時(shí)，需要使用創(chuàng)建子SA交換來(lái)協(xié)商多于一對(duì)的IPSecSA。另外，創(chuàng)建子SA交換還可以用于IKESA的重協(xié)商。創(chuàng)建子SA交換包含一個(gè)交換兩條消息，交換的發(fā)起者可以是初始交換的協(xié)商發(fā)起方，也可以是初始交換的協(xié)商響應(yīng)方。創(chuàng)建子SA交換必須在初始交換完成后進(jìn)行，交換消息由初始交換協(xié)商的密鑰進(jìn)行保護(hù)。如果啟用PFS，創(chuàng)建子SA交換需要進(jìn)行一次DH交換，生成新的密鑰材料。生成密鑰材料后，子SA的所有密鑰都從這個(gè)密鑰材料衍生出來(lái)。3、通知交換：當(dāng)運(yùn)行IKE協(xié)商的兩端需要傳輸一些信息時(shí)，例如通告信息，這些信息在IKEv2中的傳遞就是通過(guò)通知交換來(lái)完成。如圖3-3所示。圖3-3通知交換通知交換必須在初始交換完成后進(jìn)行。如果協(xié)商過(guò)程中的控制信息是IKESA的，那么通知交換就必須由該IKESA來(lái)保護(hù)進(jìn)行；如果協(xié)商過(guò)程中的控制信息是是某子SA的，那么就是由生成該子SA的IKESA來(lái)保護(hù)進(jìn)行。3.4IPSec的操作模式的研究IPSec協(xié)議包含傳輸模式和隧道模式兩種操作模式。兩種模式與其所提供的服務(wù)是深入理解IPSec協(xié)議的基礎(chǔ)，如圖3-4所示。圖3-4傳輸模式與隧道模式傳輸方式是在IP消息頭和上級(jí)協(xié)議消息頭之間追加數(shù)據(jù)確認(rèn)所需的IPSec消息。如圖所示，報(bào)頭（ah或ESP報(bào)頭）用于保護(hù)IP分組的負(fù)載。一般來(lái)說(shuō)端到端的安全通信。換句話說(shuō)，該模式在兩個(gè)端點(diǎn)之間使用，并且通信的端點(diǎn)在IPSec端點(diǎn)，源主機(jī)主要保證分組的安全，目的主機(jī)主要完成其安全識(shí)別。保證端到端的安全性。在隧道模型中將整個(gè)IP數(shù)據(jù)存儲(chǔ)到新的IP組，并將其傳送給每個(gè)組的不同IP頭，包含內(nèi)部IP頭和外部IP頭。保存發(fā)送到內(nèi)部IP頭中的目的地地址是原始的IP頭，外部IP頭中存儲(chǔ)有IPSec處理分組的目的地址，是新的IP頭。IPSec協(xié)議中的數(shù)據(jù)當(dāng)您使用此傳輸模式時(shí)，只能在兩個(gè)由數(shù)據(jù)組成的主機(jī)之間傳送。如果使用隧道模式，數(shù)據(jù)不僅可以在兩個(gè)主機(jī)之間進(jìn)行通信，還可以在兩個(gè)網(wǎng)關(guān)或網(wǎng)關(guān)、主機(jī)之間可以相互通信，因此隧道模型被保護(hù)為整個(gè)IP組，一般IPSec兩側(cè)有安全的網(wǎng)關(guān)或共享器時(shí)需要使用隧道模式。3.5IPSec的安全體系結(jié)構(gòu)的研究3.5.1IPSec的工作原理IPSec協(xié)議實(shí)現(xiàn)方法比較靈活，它既可以在網(wǎng)關(guān)上實(shí)現(xiàn)，也可以在主機(jī)上實(shí)現(xiàn)。無(wú)論是哪種情況，當(dāng)IP數(shù)據(jù)包進(jìn)入或離開(kāi)支持IPSec的接口時(shí)，IPSec模塊將根據(jù)安全策略庫(kù)決定對(duì)該IP包進(jìn)行何種處理，如圖3.1所示。對(duì)IP包的處理方式分為3種：拋棄、旁路、根據(jù)安全關(guān)聯(lián)進(jìn)行IPSec處理。因此利用安全策略數(shù)據(jù)庫(kù)和這種處理方式，可以很容易地實(shí)現(xiàn)類似于IPv4中防火墻的訪問(wèn)控制安全。當(dāng)某接口收到一個(gè)IP數(shù)據(jù)包后，根據(jù)該數(shù)據(jù)包的屬性及制訂的一些安全設(shè)置，在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中尋找相應(yīng)的安全關(guān)聯(lián)，對(duì)該數(shù)據(jù)包進(jìn)行解密等處理，然后在安全策略庫(kù)中尋找相應(yīng)的安全策略。如果不存在與該數(shù)據(jù)包相對(duì)應(yīng)的安全策略，則將該數(shù)據(jù)包拋棄并作日志。在找到相應(yīng)的安全策略后，如果策略規(guī)定要拋棄該數(shù)據(jù)包，則將該數(shù)據(jù)包拋棄并作好日志；如果策略規(guī)定要旁路該數(shù)據(jù)包，則不對(duì)該數(shù)據(jù)包作更多處理，讓它通過(guò)；如果策略說(shuō)明要對(duì)該IP包進(jìn)行IPSec處理，則該策略里應(yīng)包含對(duì)該數(shù)據(jù)包進(jìn)行處理的一個(gè)或多個(gè)安全關(guān)聯(lián)指針，通過(guò)安全關(guān)聯(lián)指針可以在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中找到相應(yīng)的安全關(guān)聯(lián)，如果該安全關(guān)聯(lián)與剛才找到的安全關(guān)聯(lián)不一致的話，也要將該IP包拋棄。當(dāng)接口收到某IP包后，從該IP包中可以提取出安全關(guān)聯(lián)索引、目的IP地址和安全協(xié)議，根據(jù)該3項(xiàng)內(nèi)容即可在本地的安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中唯一地確定出一個(gè)安全關(guān)聯(lián)，從而作進(jìn)一步的處理；在發(fā)送時(shí)，如根據(jù)安全策略需對(duì)該IP包進(jìn)行IPSec處理，IPSec模塊將根據(jù)該IP包的屬性，在安全策略庫(kù)中找到相應(yīng)的對(duì)該IP包進(jìn)行處理的一個(gè)安全關(guān)聯(lián)(也可能是多個(gè))，并將該安全關(guān)聯(lián)的索引號(hào)填入待發(fā)送的IP包中，以提供給接收方用來(lái)確定相應(yīng)的安全關(guān)聯(lián)。3.5.2IPSec協(xié)議的安全體系結(jié)構(gòu)的研究IPSec協(xié)議包括：AH(驗(yàn)證頭)、ESP(封裝安全載荷)、IKE(密鑰交換協(xié)議)，其體系結(jié)構(gòu)如圖3-5所示。圖3-5IPSec協(xié)議的安全體系結(jié)構(gòu)圖中各項(xiàng)解釋如下：(1)封裝安全載荷協(xié)議(ESP)：覆蓋包加密與ESP使用相關(guān)的包格式和常規(guī)問(wèn)題。(2)驗(yàn)證頭協(xié)議(AH)：包含使用AH進(jìn)行包身份驗(yàn)證相關(guān)的包格式和一般問(wèn)題。(3)驗(yàn)證算法：描述各種身份驗(yàn)證算法如何用于AH和ESP身份驗(yàn)證選項(xiàng)。(4)密鑰管理：密鑰管理[19]的一組方案，其中IKE是默認(rèn)的密鑰自動(dòng)交換協(xié)議。(5)解釋域(DOI)：彼此相關(guān)部分的標(biāo)識(shí)符及運(yùn)作參數(shù)。(6)策略：決定兩個(gè)實(shí)體之間是否能夠通信，以及如何進(jìn)行通信。策略的核心由安全聯(lián)盟(SA)、安全聯(lián)盟數(shù)據(jù)庫(kù)(SAD)和安全策略數(shù)據(jù)庫(kù)(SPD)三部分組成。SA表示了策略實(shí)施的具體細(xì)節(jié)；SAD為進(jìn)入和外出包處理維持一個(gè)活動(dòng)的SA列表；SPD決定了整個(gè)VPN的安全需求。IPSec所使用的協(xié)議被設(shè)計(jì)成與算法無(wú)關(guān)，算法的選擇在安全策略數(shù)據(jù)庫(kù)(SPD)中指定。IPSec允許系統(tǒng)或網(wǎng)絡(luò)的用戶和管理員控制安全服務(wù)提供的粒度，通過(guò)使用安全聯(lián)盟(SA)，IPSec能夠區(qū)分對(duì)不同的數(shù)據(jù)流提供的安全服務(wù)。3.6IPSec協(xié)議處理流程的研究3.6.1輸出處理TCP/IP協(xié)議體系輸出時(shí).通過(guò)調(diào)用IP_output()函數(shù)，作用是調(diào)用IP層發(fā)送數(shù)據(jù)包，所以在應(yīng)用IPSec協(xié)議時(shí)，輸出端將信息輸出時(shí)IPSec的處理流程如圖3-6所示。圖3-6IPSec報(bào)文輸出處理3.6.2輸入處理TCP/IP協(xié)議體系輸入時(shí)，IPIntr（）函數(shù)會(huì)收到數(shù)據(jù)包，因此在輸入時(shí)，針對(duì)IPSec協(xié)議處理輸入報(bào)文的流程如圖3-7所示。圖3-7IPSec報(bào)文輸入處理3.7本章小結(jié)本章對(duì)IPSec協(xié)議的工作原理進(jìn)行了介紹，然后對(duì)IPSec的兩種模式，傳輸模式和隧道模式進(jìn)行了介紹，了解了IPSec協(xié)議下數(shù)據(jù)傳輸?shù)脑砗蛡鬏斶^(guò)程。對(duì)IPSec協(xié)議的安全體系結(jié)構(gòu)以及密鑰交換方式IKEv2進(jìn)行了研究，分析了IPSec協(xié)議的IP協(xié)議，并對(duì)IPSec協(xié)議的處理過(guò)程進(jìn)行了研究與分析。即輸入和輸出兩方面進(jìn)行處理的流程。4基于IPv6網(wǎng)絡(luò)的安全防御體系研究4.1IPv6產(chǎn)生的新問(wèn)題的分析IPv6作為新的協(xié)議在發(fā)展過(guò)程中也產(chǎn)生了一部分新的安全問(wèn)題，比如應(yīng)對(duì)DoS攻擊時(shí)乏力、包過(guò)濾式防火墻無(wú)法根據(jù)訪問(wèn)控制列表ACL正常工作、入侵檢測(cè)系統(tǒng)(IDS)遭遇拒絕服務(wù)攻擊后失去作用、被黑客篡改報(bào)頭等問(wèn)題。此外，在IPv6中還有一些問(wèn)題有待解決，主要包括:(1)IP網(wǎng)中許多不安全問(wèn)題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對(duì)于一些網(wǎng)管技術(shù)，如SNMP等，不管是移植還是重新另搞，其安全性都必須從本質(zhì)上有所提高。由于目前針對(duì)IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒(méi)有成熟產(chǎn)品出現(xiàn)，因此缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段，缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒(méi)有網(wǎng)管，無(wú)法保障網(wǎng)絡(luò)高效、安全運(yùn)行。(2)PKI管理在IPv6中是懸而未決的新問(wèn)題。(3)IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN,ID樂(lè)漏洞掃描、網(wǎng)絡(luò)過(guò)濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實(shí)上IPv6環(huán)境下的病毒己經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還尚需時(shí)日。(4)IPv6協(xié)議仍需在實(shí)踐中完善，例如IPv6組播功能僅僅規(guī)定了簡(jiǎn)單的認(rèn)證功能，所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能，而移動(dòng)IPv6(MobielIPv6)也存在很多新的安全挑戰(zhàn)。DHCP必須經(jīng)過(guò)升級(jí)才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。4.2網(wǎng)絡(luò)安全工具在IPv6下的改進(jìn)4.2.1漏洞掃描漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)。不論攻擊者是從外部還是從內(nèi)部攻擊某一網(wǎng)絡(luò)系統(tǒng)，攻擊的機(jī)會(huì)都是系統(tǒng)本身所存在的安全隱患。對(duì)于系統(tǒng)管理員來(lái)說(shuō)，漏洞掃描技術(shù)是最好的助手，能主動(dòng)發(fā)現(xiàn)主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全隱患，在系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時(shí)修補(bǔ)漏洞，構(gòu)筑堅(jiān)固的系統(tǒng)安全。在傳統(tǒng)的工Pv4網(wǎng)絡(luò)中，漏洞掃描系統(tǒng)一般部署于局域網(wǎng)的網(wǎng)管機(jī)上，負(fù)責(zé)對(duì)內(nèi)部網(wǎng)中的各服務(wù)器和聯(lián)網(wǎng)進(jìn)行安全檢測(cè)。在工Pv4向工PV6過(guò)渡階段，漏洞掃描系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境沒(méi)有發(fā)生大的改變。掃描器仍位于局域網(wǎng)內(nèi)，只是掃描的對(duì)象換成了雙棧主機(jī)或單純的工PV6主機(jī)。相應(yīng)的，IPV6下的掃描器也部署在局域網(wǎng)內(nèi)的雙棧主機(jī)上，利用下層的TPV6協(xié)議棧在原有工Pv4掃描器中添加IPV6掃描功SB。漏洞掃描器的核心是漏洞掃描模塊。該模塊具有一個(gè)通用的相對(duì)較小的操作引擎子模塊，只負(fù)責(zé)任務(wù)管理和過(guò)程調(diào)度，它并不關(guān)心要檢測(cè)誰(shuí)、要檢測(cè)什么或者檢測(cè)結(jié)果意味著什么。這些具體的任務(wù)將由周邊的子模塊來(lái)完成。4.2.2防火墻防火墻是一種重要安全防護(hù)技術(shù)，是多層安全防護(hù)中必要的一層，其主要作用是在網(wǎng)絡(luò)入口同關(guān)處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。防火墻為了提供穩(wěn)定可靠的安全性，必須跟蹤流經(jīng)它的所有通信信息，為了達(dá)到控制目的，防火墻首先必須獲得所有通信層和其它應(yīng)用的信息，然后存儲(chǔ)這些信息，還要能夠重新獲得以及控制這些信息。另一方面，防火墻必須在基于芯片加速的深度內(nèi)容過(guò)濾技術(shù)上實(shí)現(xiàn)真正的突破，并推出實(shí)用化的產(chǎn)品以解決當(dāng)前的網(wǎng)絡(luò)安全難題。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析、芯片解決計(jì)算加速、軟件解決過(guò)濾精確，防火墻必將以軟硬兼施的方案為用戶的應(yīng)用提供更安全的保障。而VPN,IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作，形成以芯片技術(shù)為主導(dǎo)的全系列硬件型安全網(wǎng)關(guān)。各系列的劃分將針對(duì)用戶群的不同需求，并在價(jià)格、功能、性能上為各個(gè)群體的用戶貼身定制。IPv6與IPv4的標(biāo)頭之間有一些的差異因此在設(shè)計(jì)過(guò)濾器的時(shí)候這需要被考慮進(jìn)來(lái)。由于IPv6的封包標(biāo)頭已經(jīng)被簡(jiǎn)化過(guò)了所以在這個(gè)層級(jí)做過(guò)濾變得更簡(jiǎn)單，但在IPv4選擇性標(biāo)頭的部分，過(guò)濾器在實(shí)作的時(shí)候并沒(méi)有考慮到。因此，確定IPv6延伸標(biāo)頭有無(wú)正確的被過(guò)濾是一件重要的事情。因?yàn)镮P過(guò)濾所出現(xiàn)的其它議題也是IPv6所關(guān)心的。其中最大的是：端對(duì)端連接與行動(dòng)能力。除了這兩個(gè)重點(diǎn)外，事實(shí)上IPsec也是IPv6必要的服務(wù)，他將會(huì)需要特別的處理，同時(shí)也會(huì)是個(gè)問(wèn)題所在。IPsec主要用在VPN的環(huán)境之中的兩個(gè)網(wǎng)關(guān)器之間。在端對(duì)端的情況中沒(méi)有用到IPsec。如果IPsec要在IPv6的環(huán)境中使用，在加密信道中傳遞的信息與如何過(guò)濾他是必須解決的根本性問(wèn)題。一個(gè)加密的信道允許任何使用者跳過(guò)安全性政策的檢查。要讓IPsec端對(duì)端的安全性擴(kuò)展到所有網(wǎng)絡(luò)必須先解決過(guò)濾IPsec加密信道的問(wèn)題。解決這問(wèn)題的辦法可能是下列幾個(gè)：1、在防火墻打斷連結(jié)。這將會(huì)有兩個(gè)加密信道，一個(gè)是從內(nèi)部主機(jī)到防火墻，另一個(gè)是從防火墻到遠(yuǎn)程主機(jī)。這個(gè)方法主要的問(wèn)題就是會(huì)打破端對(duì)端模式。2、集中IPsec的管理在一個(gè)工作站上，這工作站可以控制網(wǎng)絡(luò)中每部主機(jī)IPsec的行為。4.2.3入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)(IDS)是一種主動(dòng)的網(wǎng)絡(luò)安全防護(hù)措施，在分層安全中最為普遍的防護(hù)措施之一，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)采集信息，并分析其中可能存在的入侵和網(wǎng)絡(luò)攻擊。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)人侵后。入侵檢測(cè)系統(tǒng)會(huì)及時(shí)做出響應(yīng)。包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等，入侵檢測(cè)系統(tǒng)將有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵檢測(cè)系統(tǒng)按其輸入數(shù)據(jù)的來(lái)源來(lái)看，可以分為基于主機(jī)、基于網(wǎng)絡(luò)、分布式入侵檢測(cè)三種類型。目前市場(chǎng)上流行的入侵檢測(cè)系統(tǒng)是分布式入侵檢測(cè)系統(tǒng)，它能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。人侵檢測(cè)系統(tǒng)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施之后又一道安全閘門，它能識(shí)別針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意行為。4.3多層次動(dòng)態(tài)安全防御體系研究的建立4.3.1IKE處理模塊IKE處理模塊是基于IPSec的VPN系統(tǒng)的一部分，IKE是負(fù)責(zé)處理用戶的管理配置命令、同協(xié)商實(shí)體的交互、IKE數(shù)據(jù)報(bào)的處理以及同內(nèi)核的SADB的交互。整個(gè)IKE系統(tǒng)按照功能劃分成幾個(gè)模塊：IKE管理模塊、IKE驗(yàn)證模塊、消息處理模塊。為了各個(gè)模塊能對(duì)協(xié)商的數(shù)據(jù)進(jìn)行共享，設(shè)計(jì)了IKE狀態(tài)庫(kù)模塊，它能夠提供統(tǒng)一的接口，實(shí)現(xiàn)查詢、更新、刪除、添加等操作。IKE作為一個(gè)應(yīng)用層協(xié)議實(shí)現(xiàn)在應(yīng)用層，但是需要同內(nèi)核SADB進(jìn)行SA消息的傳遞。IKE協(xié)議的總體框架如圖4-1所示：圖4-1IKE總體框架整個(gè)系統(tǒng)的核心內(nèi)容是IKE認(rèn)證模塊，對(duì)IKE協(xié)議的載荷數(shù)據(jù)進(jìn)行驗(yàn)證，并負(fù)責(zé)創(chuàng)建響應(yīng)信息或數(shù)據(jù)報(bào)文的請(qǐng)求。IKE狀態(tài)庫(kù)是基礎(chǔ)，記錄IKE工作期間所需的協(xié)商信息和當(dāng)前SA信息。管理模塊的作用是處理命令并調(diào)用相應(yīng)的處理函數(shù)，分析運(yùn)行數(shù)據(jù)，返回到用戶管理接口。信息服務(wù)器模塊監(jiān)視管理消息、網(wǎng)絡(luò)消息、內(nèi)核消息以及SA狀態(tài)消息，并負(fù)責(zé)事件調(diào)用的處理功能。本文對(duì)IKE協(xié)商過(guò)程進(jìn)行的改進(jìn)，就是在IKE系統(tǒng)的消息服務(wù)器模塊中添加一個(gè)處理子模塊，在可信任第三方服務(wù)器端添加一個(gè)IKE協(xié)商數(shù)據(jù)包轉(zhuǎn)發(fā)處理服務(wù)模塊。處理子模塊對(duì)IKE第一階段雙方所交換的協(xié)商消息進(jìn)行過(guò)濾處理，對(duì)發(fā)送的符合條件的協(xié)商消息添加目的地選項(xiàng)報(bào)頭并修改目的地址，使之能夠由第三方可信服務(wù)器加密轉(zhuǎn)發(fā)，并對(duì)接收的消息進(jìn)行轉(zhuǎn)換處理成標(biāo)準(zhǔn)的IKE協(xié)商消息格式。該處理子模塊主要完成下列具體功能：（1）發(fā)送消息處理模塊：檢查發(fā)送消息時(shí)目的地址，對(duì)需要通過(guò)轉(zhuǎn)發(fā)來(lái)建立IPSec連接的數(shù)據(jù)包添加目的地選項(xiàng)報(bào)頭。并修改目的地址為可信第三方服務(wù)器地址。（2）接收消息處理模塊：檢查接收消息是否包含有目的地選項(xiàng)報(bào)頭，如目的地選項(xiàng)報(bào)頭中含有IKE轉(zhuǎn)發(fā)選項(xiàng)標(biāo)志的將其選項(xiàng)內(nèi)容填入該數(shù)據(jù)報(bào)的源地址，并去除目的地選項(xiàng)報(bào)頭交給上層IKE處理模塊處理。IKE協(xié)商數(shù)據(jù)包轉(zhuǎn)發(fā)處理服務(wù)模塊添加在可信第三方服務(wù)器端，該處理模塊主要完成下列具體功能：（1）驗(yàn)證主機(jī)合法性功能：對(duì)安全網(wǎng)絡(luò)內(nèi)的節(jié)點(diǎn)發(fā)送來(lái)的請(qǐng)求和另一節(jié)點(diǎn)建立IPSec安全連接的數(shù)據(jù)包做出響應(yīng)，根據(jù)對(duì)另一個(gè)節(jié)點(diǎn)身份的檢索返回成功或失敗的消息。（2）轉(zhuǎn)發(fā)IKE協(xié)商數(shù)據(jù)包功能：對(duì)接收到的含有目的地選項(xiàng)的數(shù)據(jù)報(bào)進(jìn)行檢查，將包含IKE轉(zhuǎn)發(fā)選項(xiàng)標(biāo)志的數(shù)據(jù)包進(jìn)行處理并轉(zhuǎn)發(fā)。4.3.2安全模型架構(gòu)網(wǎng)絡(luò)安全服務(wù)的五個(gè)基本目標(biāo)用于保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)資源，分別是：可用性:保證當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)受到網(wǎng)絡(luò)攻擊時(shí)依舊可以正常使用并提供相應(yīng)的服務(wù)。保密性:保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。完整性:確保數(shù)據(jù)在傳輸?shù)倪^(guò)程中沒(méi)有受到分非法的增刪改，保證數(shù)據(jù)無(wú)法被偽造。真實(shí)性:確保此網(wǎng)絡(luò)節(jié)點(diǎn)通信的對(duì)端是一個(gè)真正網(wǎng)絡(luò)節(jié)點(diǎn)，而非攻擊者偽造。不可否認(rèn)性:即確保一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)不能否認(rèn)之前的行為?；贗Pv6的網(wǎng)絡(luò)對(duì)于使用IPSec協(xié)議的強(qiáng)制使用，增強(qiáng)了安全性，并且提供實(shí)現(xiàn)了以上大部分安全服務(wù)，但是IPSec協(xié)議并不能完全解決當(dāng)前的網(wǎng)絡(luò)安全問(wèn)題。所以技術(shù)方案必須解決策略引入安全缺陷和網(wǎng)絡(luò)攻擊，通過(guò)對(duì)安全缺陷的實(shí)時(shí)檢查和修復(fù)，實(shí)時(shí)監(jiān)視、防御網(wǎng)絡(luò)攻擊，結(jié)合風(fēng)險(xiǎn)管理相關(guān)措施，提高防御的完整性和動(dòng)態(tài)性。主要是針對(duì)IPv6網(wǎng)絡(luò)的面臨的各種安全風(fēng)險(xiǎn)，通過(guò)引入安全審計(jì)和信息綜合分析模塊，強(qiáng)化系統(tǒng)的防御能力。最常見(jiàn)的安全模型之一——PDRR模型，PDRR模型就是由防護(hù)、檢測(cè)、恢復(fù)和響應(yīng)這四個(gè)部分構(gòu)成的動(dòng)態(tài)信息安全周期。如圖4-2所示。圖4-2PDRR模型網(wǎng)絡(luò)動(dòng)態(tài)安全模式可以為用戶提供更加完善、合理的安全機(jī)制。網(wǎng)絡(luò)整體動(dòng)態(tài)安全系統(tǒng)總結(jié)如下公式：也就是說(shuō)，網(wǎng)絡(luò)的安全性=風(fēng)險(xiǎn)分析+政策制定+防御系統(tǒng)+實(shí)時(shí)監(jiān)視+實(shí)時(shí)響應(yīng)+故障恢復(fù)，網(wǎng)絡(luò)的安全性即“APPDRR”動(dòng)態(tài)安全模型。如圖4-3所示。圖4-3APPDRR安全模型安全保護(hù)是網(wǎng)絡(luò)的第一防線，可以防止網(wǎng)絡(luò)的入侵和危害，安全檢測(cè)是第二防線，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵和破壞，實(shí)時(shí)響應(yīng)是第三防線，在發(fā)生攻擊時(shí)保持網(wǎng)絡(luò)“不壞”，恢復(fù)是第四道防線，受到攻擊后，網(wǎng)絡(luò)可以以最快的速度“起死回生”，最大限度地降低安全事件造成的損失，進(jìn)行風(fēng)險(xiǎn)評(píng)估，提出安全要求，從而制定網(wǎng)絡(luò)安全政策。風(fēng)險(xiǎn)分析是指確定網(wǎng)絡(luò)資產(chǎn)的安全威脅和脆弱性，并評(píng)估由此產(chǎn)生的損失或影響的過(guò)程，風(fēng)險(xiǎn)分析有兩種基本方法，定性分析和定量分析，要想制定網(wǎng)絡(luò)安全政策，整體上要根據(jù)風(fēng)險(xiǎn)分析的結(jié)果來(lái)決定。根據(jù)當(dāng)前的研究結(jié)果，本文提出了初步的IPv6網(wǎng)絡(luò)安全動(dòng)態(tài)防御技術(shù)系統(tǒng)結(jié)構(gòu)模型。該模型包含APPDRR模型的典型保護(hù)過(guò)程，并且還包含網(wǎng)絡(luò)安全管理。對(duì)于已知的風(fēng)險(xiǎn)，有強(qiáng)大的應(yīng)對(duì)能力，也擁有識(shí)別新攻擊的能力，判斷安全風(fēng)險(xiǎn)以及特征。系統(tǒng)的基本安全支持技術(shù)主要是基于IPSec的作用，并結(jié)合了IPv6網(wǎng)絡(luò)的基本特性和安全性質(zhì)。如圖4-4所示。圖4-4動(dòng)態(tài)網(wǎng)絡(luò)安全模型4.3.3安全性分析在該模型中，必須通過(guò)管理服務(wù)器建立相關(guān)的各個(gè)節(jié)點(diǎn)間安全。因此，管理服務(wù)器作為可靠的第三方，必須確保節(jié)點(diǎn)間通信的安全性，在IPSec安全機(jī)制的實(shí)現(xiàn)中，各個(gè)節(jié)點(diǎn)間安全相關(guān)的建立對(duì)于確保安全性非常重要，在標(biāo)準(zhǔn)的IKE定義中，安全相關(guān)的建立時(shí)的第一階段的6種信息包括雙方身份信息、D/h密鑰的交換值等重要信息，一般攻擊包括竊聽(tīng)、回放攻擊、中間人攻擊等將焦點(diǎn)放在這個(gè)階段。該方案通過(guò)事先設(shè)置的安全關(guān)系，一次來(lái)確保各個(gè)節(jié)點(diǎn)與服務(wù)器之間的安全通信，將通信數(shù)據(jù)加密，以避免這種攻擊。在建立節(jié)點(diǎn)間的安全關(guān)系在這一過(guò)程中，通過(guò)安全服務(wù)器的轉(zhuǎn)發(fā)，在網(wǎng)絡(luò)上傳送6條加密的信息，確保兩個(gè)通信節(jié)點(diǎn)的身份信息、交換DH值的信息的完整性，并通過(guò)服務(wù)器的信任機(jī)制實(shí)現(xiàn)相互認(rèn)證，以此來(lái)預(yù)防中間人的攻擊。本方案對(duì)前文介紹的針對(duì)IKE的攻擊，也能夠有效的防止。服務(wù)器作為密鑰交換信息的傳輸節(jié)點(diǎn)，無(wú)法獲得兩個(gè)節(jié)點(diǎn)最后建立的安全相關(guān)的參數(shù)，建立了安全關(guān)系后，所有的通信數(shù)據(jù)都受到IPSec安全機(jī)構(gòu)的保護(hù)，以IPSec為基準(zhǔn)的網(wǎng)絡(luò)安全系統(tǒng)。對(duì)竊聽(tīng)偽造等攻擊手段采取了加密和認(rèn)證措施，因此該方案的安全取決于IPSec的安全機(jī)制，在建立安全關(guān)聯(lián)時(shí)，選擇強(qiáng)度較高的加密認(rèn)證算法等安全參數(shù)，也是確保網(wǎng)絡(luò)安全的是重要的因素。4.4本章小結(jié)本章對(duì)IPv6產(chǎn)生的新問(wèn)題進(jìn)行了分析，IPv6對(duì)當(dāng)前的安全工具產(chǎn)生的影響以及改進(jìn)，并當(dāng)前廣泛采用的安全機(jī)制進(jìn)行了描述，對(duì)IKE協(xié)議處理模塊進(jìn)行介紹，闡述了本文對(duì)原機(jī)制的改進(jìn)方案，即在原處理模塊中添加子處理模塊，在可信任第三方處添加IKE協(xié)商數(shù)據(jù)包轉(zhuǎn)發(fā)處理服務(wù)模塊，將密鑰協(xié)商階段的消息通過(guò)加密方式傳輸以達(dá)到改進(jìn)安全性的目的。最后，重點(diǎn)描述了本文所架構(gòu)的根據(jù)APPDRR模型的典型防護(hù)過(guò)程以及引入了IPSec的作用并結(jié)合IPv6網(wǎng)絡(luò)的安全特性得到的多層次安全防御體系，達(dá)到了改進(jìn)網(wǎng)絡(luò)安全的預(yù)想目標(biāo)。5IPv6下基于IPSec的安全網(wǎng)關(guān)的實(shí)現(xiàn)5.1相關(guān)軟件的安裝本實(shí)驗(yàn)采用Linux系統(tǒng)RedHat9.0，系統(tǒng)內(nèi)核版本為2.4.20-8，自帶了IPv6模塊，具體配置如下：首先以root用戶登錄加載IPv6模塊運(yùn)行insmodipv6或者modprobeipv6命令加載IPv6模塊，然后用lsmod命令查看系統(tǒng)已加載的模塊列表，如果看到IPv6，表示模塊已加載成功。rmmodipv6命令用于刪除IPv6模塊。在/etc/sysconfig/network文件中加入NETWORKING_IPV6=YES就可以讓系統(tǒng)在啟動(dòng)時(shí)自動(dòng)加載IPv6模塊。配置IPv6地址在默認(rèn)情況下加載IPv6模塊，系統(tǒng)會(huì)自動(dòng)給網(wǎng)卡配置好IPv6的本地鏈路地址（linklocaladdress），該地址是以[fe80::]開(kāi)頭。如果設(shè)備接入的網(wǎng)絡(luò)中有支持IPv6的路由器，并且該路由器配置的是無(wú)狀態(tài)地址自動(dòng)配置，那么系統(tǒng)還會(huì)自動(dòng)給網(wǎng)卡配置一個(gè)全球地址（GlobalAddress）。本地鏈路地址是本地鏈路中唯一的，全球地址是全球IPv6網(wǎng)絡(luò)中唯一的。也可以手動(dòng)給網(wǎng)卡配置地址，比如當(dāng)網(wǎng)卡是以太網(wǎng)卡時(shí)，用以下命令即可為網(wǎng)卡配置一個(gè)全球地址為2001:250:1401:1::1:1，網(wǎng)絡(luò)前綴為112的IPv6地址：ifconfigeth0add2001:250:1401:1::1:1/112。在明確了Linux的內(nèi)核后，選用與之匹配的FreeS/WAN版本和IPSec6的支持版本以及X.509證書。本系統(tǒng)選用freeswan-1.99*、X.509和IPSec6包，分別下載到/usr/src/目錄下。FreeS/WAN的安裝step1：獲取RPM簽名，將它導(dǎo)入RPM數(shù)據(jù)庫(kù)中。輸入命令：rpm–importantfreeswan-rpmsign.ascstep2：安裝RPM。以root用戶登陸輸入：rpm–ivhfreeswan*step3：?jiǎn)⒂肍reeS/WAN。輸入命令：serviceipsecstart②X.509的安裝將freeswan.diff文件拷到FreeS/WAN目錄下，然后對(duì)FreeS/WAN源碼進(jìn)行修改：patch–pl<freeswan.diff編譯并安裝X.509，輸入命令：makeprogramsmakeinstall③IPSec6的安裝首先查看是否已經(jīng)有g(shù)mp庫(kù)，若無(wú)要先下載（可從/gmp下載gmp庫(kù)），然后安裝gmp，輸入以下命令：tarzxvfgmp*.tar.gz./configuremakemakeinstall然后安裝IPSec6包：tarzxvfipsec6*.tar.gz./install.sh執(zhí)行可執(zhí)行文件install.sh，根據(jù)實(shí)際情況對(duì)Linux內(nèi)核部分進(jìn)行必要的修改（如網(wǎng)絡(luò)選項(xiàng)），注意不要激活ipcompression。一些典型的必選項(xiàng)如下：NetworkOptions：IPv6：IPSecforIPv6debuggingIPv6：IPSecsupportIP：tunnel然后進(jìn)行編譯并將內(nèi)核映像和系統(tǒng)文件拷貝到啟動(dòng)目錄下，重新啟動(dòng)。cpboot/vmlinuz.ipsec6/boot/cpboot/system.map-2.4.*/boot/vi/etc/lilo.conflilo啟動(dòng)支持IPv6的FreeS/WAN：ipsecsetupstartipsecautoadd<connectionname>ipsecautoup<connectionname>5.2實(shí)驗(yàn)方案以及實(shí)現(xiàn)方案是以校園網(wǎng)中的純IPv6環(huán)境為例，通過(guò)FreeS/WAN來(lái)提供網(wǎng)絡(luò)安全服務(wù)。密鑰管理方式分為自動(dòng)密鑰管理和手動(dòng)密鑰管理兩種方式。自動(dòng)管理密鑰可自動(dòng)進(jìn)行密鑰協(xié)商，將密鑰存放在/etc/ipsec.conf中，通過(guò)后臺(tái)程序Pluto執(zhí)行IKE協(xié)議進(jìn)行定期的密鑰更新，實(shí)驗(yàn)中采取該方案。FreeS/WAN默認(rèn)的加密算法是3DES，ESP或IKE的認(rèn)證算法是HMAC-MD5和HMAC-SHA。一般優(yōu)先采用HMAC-MD5。本實(shí)驗(yàn)運(yùn)用ESP隧道模式在Linux網(wǎng)關(guān)之間構(gòu)造VPN。實(shí)驗(yàn)環(huán)境的拓?fù)鋱D如圖6-1所示。圖6-1Linux網(wǎng)關(guān)間ESP隧道模式VPN拓?fù)鋱D如圖，作為安全網(wǎng)關(guān)的兩臺(tái)主機(jī)配置是相同的，具體參數(shù)如下：CPU：IntelPentium42.4GHz（x86Family15Model2）內(nèi)存：256M，DDR網(wǎng)卡0：RealtekRTL8139（100M）網(wǎng)卡驅(qū)動(dòng)版本5.398.613.2003網(wǎng)卡1：IntelPRO/1000MT（1000M）網(wǎng)卡驅(qū)動(dòng)版本5.3測(cè)試及安全性分析在該實(shí)驗(yàn)中，兩個(gè)子網(wǎng)以ESP隧道模式建立VPN，為子網(wǎng)中的終端提供數(shù)據(jù)認(rèn)證以及加密。兩臺(tái)安全網(wǎng)關(guān)用安裝了兩塊網(wǎng)卡的PC機(jī)進(jìn)行模擬，每塊網(wǎng)卡連接一個(gè)網(wǎng)段。兩個(gè)子網(wǎng)分別是：net1（3ffe:3240:8002::/64）net2（2001:250:1401::/64）分別位于兩個(gè)子網(wǎng)的主機(jī)：host1（3ffe:3240:8002::10/64）host2（2001:250:1401::10/64）兩個(gè)子網(wǎng)的VPN網(wǎng)關(guān)：Gateway1（eth0=3ffe:3240:8002::1，eth1=3ffe:3240:8002:1::1）Gateway2（eth0=2001:250:1401::1，eth1=2001:250:1401:1::1）分別在網(wǎng)關(guān)1和網(wǎng)關(guān)2上安裝FreeS/WAN，步驟如前所述。獲取本地網(wǎng)關(guān)1的IPSec公鑰：ipsecshowhostkey-net1獲取遠(yuǎn)端網(wǎng)關(guān)2的IPSec公鑰：ipsecshowhostkey-net2獲取RSA公鑰過(guò)程以及形式見(jiàn)截圖6-3：圖6-2獲取RSA公鑰形式配置FreeS/WAN實(shí)施VPN：在/etc/ipsec.conf中根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境進(jìn)行配置，auth默認(rèn)為ESP認(rèn)證。ipsec.conf文件內(nèi)容如下：configuresetupinterfaces="ipsec0=eth0"interfaces=%defaultrouteklipsdebug=noneplutodebug=noneplutoload=%searchplutostart=%searchuniqueids=yesconn%defaultkeyingtries=0#Gateway1-Gateway2v6-linuxpskconnectionconnGateway1-Gateway2net1=3ffe:3240:8002:1::1net1subnet=3ffe:3240:8002:1::/64net1rsasigkey=*net2=2001:250:1401:1::1net2subnet=2001:250:1401::/64net2rsasigkey=*authby=secretkeyingtries=2ikelifetime=52mkeylife=30mrekeymargin=1mrekeyfuzz=1%type=tunnelconnaddrfamily=ipv6不作改動(dòng)將該文件拷貝到遠(yuǎn)端網(wǎng)關(guān)2上面，至此VPN網(wǎng)關(guān)就架設(shè)完畢。ipsec.secrets文檔：該文檔位于/etc/ipsec.secrets，由Pluto調(diào)用，為IKE/IPSec提供認(rèn)證。目前FreeS/WAN支持的自動(dòng)密鑰管理有兩種方式：PSK和RSA，其中PSK僅能提供認(rèn)證，無(wú)法提供加密。若需要實(shí)現(xiàn)加密功能，還需選用RSA。故本實(shí)驗(yàn)采用PSK和RSA相結(jié)合的方式，/etc/ipsec.secrets形式如圖6-3所示。圖6-3采用ESP隧道模式VPN時(shí)ipsec.secrets內(nèi)容首先檢查你的IPsec是否正常工作。執(zhí)行ipsecverify命令。當(dāng)只有一臺(tái)主機(jī)應(yīng)用了IPSec策略，兩臺(tái)主機(jī)是無(wú)法通信的。其它主機(jī)也無(wú)法與一臺(tái)應(yīng)用了IPSec策略策略的主機(jī)通信?，F(xiàn)有的linux下的嗅探工具tcpdump默認(rèn)支持IPv4。因此，需要重新下載并安裝IPv6支持包，進(jìn)行配置和編譯，具體命令如下：./configure–enable-ipv6makecleanmake將tcpdump安裝到/usr/local/sbin/tcpdump：makeinstall在沒(méi)有配置IPSec前，利用tcpdump在eth0上，截取數(shù)據(jù)包，可以看到源主機(jī)和目的主機(jī)的IPv6地址，傳輸層協(xié)議是tcp及其它信息，數(shù)據(jù)內(nèi)容以明文形式傳送。VPN測(cè)試：在host1上啟動(dòng)IPSec并建立連接，如下：ipsecauto–upGateway1-Gateway2通過(guò)tcpdump在VPN的兩個(gè)網(wǎng)關(guān)各自子網(wǎng)中的兩臺(tái)主機(jī)（如host1和host2）間進(jìn)行VPN連接測(cè)試。在host1上ping6host2：ping62001:250:1401::10–t使得host1始終處于ping6狀態(tài)，這時(shí)到Gateway1上執(zhí)行命令：tcpdump–nvvs512–ieth0ip6此時(shí)看到的是當(dāng)前時(shí)間，Gateway1的ipv6地址以及Gateway1和Gateway2之間ESP包頭相關(guān)參數(shù)，如圖6-4所示。圖6-4Gateway1上的tcpdump截圖從截圖中可以看出，host1的源IPv6地址和目的IPv6地址被保護(hù)起來(lái)，即在網(wǎng)絡(luò)中不可見(jiàn)，而只能看到它們各自網(wǎng)關(guān)的地址。由此可以得出Gateway1和Gateway2之間的隧道建立成功，即VPN已經(jīng)實(shí)現(xiàn)，Gateway1和Gateway2所在的兩個(gè)子網(wǎng)內(nèi)部的主機(jī)終端可以跨越網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)傳輸了。通過(guò)上面的實(shí)驗(yàn)，可以知道，應(yīng)用IPSec策略可以實(shí)現(xiàn)對(duì)數(shù)據(jù)保護(hù)的效果。如果采用常見(jiàn)的數(shù)據(jù)包監(jiān)聽(tīng)工具對(duì)未應(yīng)用IPSec策略的網(wǎng)絡(luò)進(jìn)行竊聽(tīng)，結(jié)果會(huì)話協(xié)商的內(nèi)容就會(huì)被看到。而一旦應(yīng)用了IPSec策略后，再使用監(jiān)聽(tīng)工具進(jìn)行監(jiān)控，竊聽(tīng)結(jié)果就大不一樣，會(huì)話協(xié)商的內(nèi)容變成了一堆亂碼。會(huì)話協(xié)商的安全性得到了保障。總之，經(jīng)過(guò)IPSec的認(rèn)證和加密的數(shù)據(jù)包，即使是數(shù)據(jù)監(jiān)聽(tīng)者也無(wú)法獲得真正有用的通信內(nèi)容。但是它的缺點(diǎn)是增大了網(wǎng)關(guān)的處理負(fù)荷，會(huì)有瓶頸問(wèn)題。而且