IPv6的安全機(jī)制和實(shí)施

2019-11-03 09:07:58

字體：大中小

供稿：網(wǎng)友

汪軍崔元康

（解放軍廣州通信學(xué)院廣州 510500）

　　摘要本篇文章介紹了ipv6中用以實(shí)現(xiàn)IPSec安全服務(wù)功能的認(rèn)證報(bào)頭AH和封裝安全載荷ESP兩個(gè)協(xié)議的工作模式，并重點(diǎn)討論了IPSec的實(shí)施。

　　關(guān)鍵詞 IPv6 IPSec 認(rèn)證報(bào)頭安全封裝載荷

　　IP是網(wǎng)絡(luò)層最重要的協(xié)議，是實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)互連的關(guān)鍵。IPv6作為IP的新版本，其目的是繼承和取代IPv4。由于IP設(shè)計(jì)之初沒(méi)有考慮安全性，因而在早期的互聯(lián)網(wǎng)上時(shí)常發(fā)生諸如企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)遭到攻擊、機(jī)密數(shù)據(jù)被竊取等事情。從1995年開(kāi)始，IETF著手研究制定了一套用于保護(hù)IP通信的IP安全（IP Security，IPSec）協(xié)議，來(lái)保證IP數(shù)據(jù)傳輸?shù)陌踩?br>
1 安全標(biāo)準(zhǔn)IPSec

　　 IETF在RFC 1825、RFC 1826和RFC 1827中定義了IP的安全體系結(jié)構(gòu)（IP Security，IPSec）。IPSec是IPv6的一個(gè)組成部分，也是IPv4的一個(gè)可選擴(kuò)展協(xié)議。它由7個(gè)文件（體系結(jié)構(gòu)、ESP、AH協(xié)議、加密算法、認(rèn)證算法、解釋域、密鑰管理）組成，IPSec提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭到改動(dòng)。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼來(lái)保證數(shù)據(jù)的機(jī)密性。

1.1 IPSec的工作原理

　　 IPSec提供了3種不同的形式來(lái)保護(hù)通過(guò)IP網(wǎng)絡(luò)傳送的數(shù)據(jù)。

　　認(rèn)證：確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)一致，同時(shí)可以確定申請(qǐng)發(fā)送者實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。

　　數(shù)據(jù)完整：保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。

　　機(jī)密性：保證相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而未被授權(quán)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。

　　 IPSec通過(guò)3個(gè)基本要素來(lái)提供以上3種保護(hù)形式：認(rèn)證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密鑰管理協(xié)議（IKM）。認(rèn)證協(xié)議頭和安全加載封裝可以通過(guò)分開(kāi)或組合使用來(lái)達(dá)到所希望的保護(hù)等級(jí)。

　　認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過(guò)一個(gè)只有密鑰持有人才知道的“數(shù)字簽名”來(lái)對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過(guò)特別的算法得出的獨(dú)特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出。兩個(gè)最普遍的AH標(biāo)準(zhǔn)是md5和SHA-l，MD5使用最高到128bit的密鑰，而SHA-1通過(guò)最高到160bit的密鑰提供更強(qiáng)的保護(hù)。

　　安全加載封裝（ESP）通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)保證傳輸信息的機(jī)密性，這樣可以避免其他用戶通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換的內(nèi)容，只有擁有密鑰的用戶才能打開(kāi)內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。DES最高支持56bit的密鑰，而3DES使用3套密鑰加密，那就相當(dāng)于使用最高到168bit的密鑰。由于ESP實(shí)際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時(shí)間，從而導(dǎo)致性能下降。

　　密鑰管理包括密鑰確定和密鑰分發(fā)兩個(gè)方面，最多需要4個(gè)密鑰：AH和ESP各兩個(gè)發(fā)送和接收密鑰。密鑰本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示。密鑰管理包括手工和自動(dòng)兩種方式，手工管理系統(tǒng)保證有限的安全需要，而自動(dòng)管理系統(tǒng)能滿足其他所有的應(yīng)用要求。

　　使用手工管理系統(tǒng)時(shí)，密鑰由管理站點(diǎn)確定，然后分發(fā)到所有的遠(yuǎn)程用戶。真實(shí)的密鑰可以用隨機(jī)數(shù)字生成器或簡(jiǎn)單的任意拼湊計(jì)算出來(lái)，每一個(gè)密鑰可以根據(jù)用戶的安全策略進(jìn)行修改。使用自動(dòng)管理系統(tǒng)，可以動(dòng)態(tài)地確定和分發(fā)密鑰。自動(dòng)管理系統(tǒng)具有一個(gè)中央控制點(diǎn)，集中的密鑰管理者可以令自己更加安全，最大限度地發(fā)揮IPSec的效用。

　　 IPSec的一個(gè)最基本的優(yōu)點(diǎn)是它可以使用在共享網(wǎng)絡(luò)訪問(wèn)設(shè)備上，甚至在所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這在很大程度上避免了升級(jí)任何網(wǎng)絡(luò)的相關(guān)資源。在客戶端，IPSec架構(gòu)允許使用遠(yuǎn)程訪問(wèn)介入路由器和基于純軟件方式、使用普通Modem的PC機(jī)和工作站。而ESP通過(guò)兩種模式在應(yīng)用上提供更多的彈性：傳送模式和隧道模式。

　　傳送模式通常當(dāng)ESP在一臺(tái)主機(jī)（客戶機(jī)或服務(wù)器）上實(shí)現(xiàn)時(shí)使用，傳送模式使用原始明文IP包頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP包頭。隧道模式通常是當(dāng)ESP在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪問(wèn)介入裝置實(shí)現(xiàn)時(shí)使用，隧道模式處理整個(gè)IP包——包括全部TCP/IP或UDP/IP包頭和數(shù)據(jù)，它用自己的地址作為源地址加入到新的IP包頭。當(dāng)隧道模式用在用戶終端設(shè)置時(shí)，它可以提供更多的便利來(lái)隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。

1.2 安全關(guān)聯(lián)（SA）

　　在IP的身份驗(yàn)證的機(jī)密性技術(shù)中有一個(gè)關(guān)鍵概念是安全關(guān)聯(lián)（SA），它提供通信量安全服務(wù)的發(fā)送方和接受方的單項(xiàng)關(guān)系。對(duì)于雙向安全交換來(lái)說(shuō)如果需要對(duì)等關(guān)系，那么就需要兩個(gè)安全關(guān)聯(lián)。安全服務(wù)提供給使用AH或ESP的安全關(guān)聯(lián)，但并不同時(shí)提供這兩者的安全關(guān)聯(lián)。在任何IP包中，SA都是通過(guò)IPv6報(bào)頭中的目的地址和AH或ESP中的SPI唯一的標(biāo)識(shí)。

2 IPv6的安全機(jī)制

　　 IPSec的安全服務(wù)通過(guò)IPv6的身份驗(yàn)證頭（AH）和安全加載封裝（ESP）相結(jié)合的機(jī)制提供，輔以相關(guān)的密鑰管理協(xié)議。各個(gè)安全性包頭可以單獨(dú)使用，也可以一起使用。如果同時(shí)使用多個(gè)安全性擴(kuò)展頭，AH應(yīng)當(dāng)置于ESP之前，這樣，先進(jìn)行身份驗(yàn)證，再對(duì)ESP頭負(fù)載進(jìn)行解密。在使用IPSec隧道時(shí)，這些安全性擴(kuò)展頭也可以嵌套，也就是源節(jié)點(diǎn)對(duì)IP包進(jìn)行加密，應(yīng)用數(shù)字簽名，然后發(fā)送給本地的安全網(wǎng)關(guān)，由網(wǎng)關(guān)再次進(jìn)行加密和應(yīng)用數(shù)字簽名，然后發(fā)送到下一個(gè)安全網(wǎng)關(guān)。

2.1 身份驗(yàn)證頭（AH）

　　 AH有如下作用：IP數(shù)據(jù)報(bào)的完整性檢驗(yàn)服務(wù)；為IP數(shù)據(jù)報(bào)提供身份驗(yàn)證；使用順序號(hào)字段來(lái)防止攻擊。AH可以在傳送模式和隧道模式下使用，既可以用于為兩個(gè)節(jié)點(diǎn)間簡(jiǎn)單直接的數(shù)據(jù)報(bào)傳送提供身份驗(yàn)證和保護(hù)，也可以將發(fā)給安全網(wǎng)關(guān)或者由安全網(wǎng)關(guān)發(fā)出的數(shù)據(jù)報(bào)流進(jìn)行封裝。

　　 AH在與其他擴(kuò)展頭一起使用時(shí)，必須置于由中間路由處理的擴(kuò)展頭之后，以及只能由目的地處理的擴(kuò)展頭之前。在傳送模式中，AH保護(hù)IP包的凈負(fù)載，也保護(hù)在路由轉(zhuǎn)發(fā)中不發(fā)生變化的部分IP包頭。

　　當(dāng)AH用于隧道模式時(shí)，使用上有所不同。目的IP地址與整個(gè)IP包一起，封裝在新的IP包內(nèi)，然后發(fā)送到安全性網(wǎng)關(guān)。因此，整個(gè)IP包以及傳輸中不變的IP封裝頭都得以保護(hù)。

　　 ·負(fù)載長(zhǎng)度：此字段表示AH字段的長(zhǎng)度，等于序列號(hào)字段加上身份驗(yàn)證數(shù)據(jù)的長(zhǎng)度。

　　 ·安全性參數(shù)索引：用于標(biāo)識(shí)AH使用的安全協(xié)議（SA）。

　　 ·序列號(hào)：起計(jì)數(shù)器的作用，由發(fā)送者將其插入IP包頭，從0開(kāi)始，每發(fā)送一個(gè)數(shù)據(jù)包，計(jì)數(shù)器增加1。若接收者收到了與己接收數(shù)據(jù)包序列號(hào)相同的數(shù)據(jù)包，則接收者將其丟棄，這樣可以防止重放攻擊。如果接收者接收到了232 個(gè)數(shù)據(jù)包，那么必須與發(fā)送者重新協(xié)商新的SA才能繼續(xù)接收，否則將由于計(jì)數(shù)器復(fù)位導(dǎo)致所接收的數(shù)據(jù)全部丟棄。

　　 ·身份驗(yàn)證數(shù)據(jù)：該字段的長(zhǎng)度為32字節(jié)的整數(shù)倍。在遠(yuǎn)程通信系統(tǒng)中，數(shù)據(jù)的完整性通常是由對(duì)數(shù)據(jù)的適當(dāng)計(jì)算和檢查來(lái)得到保證的，這種技術(shù)被稱為信息摘要（Message Digest，MD）。通過(guò)摘要算法，例如，加密MD5，產(chǎn)生信息摘要，填充在該字段中。

2.2 安全加載封裝頭（ESP）

　　 ESP頭的功能包括：

　　 ·通過(guò)加密保證數(shù)據(jù)包的機(jī)密性。

　　 ·通過(guò)使用公共密鑰加密對(duì)數(shù)據(jù)源進(jìn)行身份驗(yàn)證。

　　 ·通過(guò)由AH提供的序列號(hào)機(jī)制對(duì)抗重放攻擊。

　　 ·通過(guò)使用安全網(wǎng)關(guān)來(lái)保證業(yè)務(wù)流的機(jī)密性。

　　 ESP既可以用于隧道模式，也可以用于傳送模式。在傳送模式中，如果有AH包頭，IP包頭和逐跳擴(kuò)展頭、選路頭等在ESP包頭前，后面是AH包頭。ESP頭之后的擴(kuò)展頭將被加密。

　　使用隧道模式時(shí)，ESP包頭對(duì)整個(gè)IP包進(jìn)行加密，并作為IP包頭的擴(kuò)展將數(shù)據(jù)包定向發(fā)送到安全性網(wǎng)關(guān)。安全性網(wǎng)關(guān)直接與節(jié)點(diǎn)連接，同時(shí)連接到下一個(gè)安全性網(wǎng)關(guān)。對(duì)于單個(gè)節(jié)點(diǎn)，可以在隧道模式中使用ESP，將所有流出網(wǎng)絡(luò)的數(shù)據(jù)包加密，并將其封裝在單獨(dú)的IP包流中，再發(fā)送給安全性網(wǎng)關(guān)，然后由目的地的網(wǎng)關(guān)將業(yè)務(wù)流解密，將解密后的IP包發(fā)給目的地。

3 IPSec的實(shí)施

　　 IPSec規(guī)定的組件包括安全協(xié)議驗(yàn)證頭（AH）和安全加載封裝（ESP）、安全策略數(shù)據(jù)庫(kù)（SPD）和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)（SAD）、IKE密鑰交換及加密和驗(yàn)證算法。

3.1 總體結(jié)構(gòu)

　　如圖5所示，IPSec實(shí)現(xiàn)的總體結(jié)構(gòu)分為IPSec協(xié)議引擎、策略管理、IKE密鑰交換及密碼算法4個(gè)模塊。其中IPSec安全協(xié)議的處理是數(shù)據(jù)流程的核心，策略管理模塊為其直接提供所需參數(shù)，IKE密鑰交換用于自動(dòng)管理SAD，而密碼算法是達(dá)到安全的基本工具。

3.2 功能分配

　　（1）策略管理：位于操作系統(tǒng)的內(nèi)核中，管理SPD和SAD，對(duì)數(shù)據(jù)包（要進(jìn)行IPSec處理的數(shù)據(jù)報(bào)或數(shù)據(jù)包的統(tǒng)稱）的安全保障起決定作用。功能包括SPD和SAD的管理（記錄的增加、刪除、修改、刷新和查詢）、同IPSec協(xié)議引擎的接口和同IKE的接口。

　　（2）IPSec協(xié)議引擎：位于操作系統(tǒng)的內(nèi)核中，實(shí)現(xiàn)安全協(xié)議AH和ESP。功能包括外出數(shù)據(jù)包的處理、進(jìn)入數(shù)據(jù)包的處理、同IP層和TCP層的接口。

　　（3）IKE密鑰交換：為一用戶級(jí)進(jìn)程，用于動(dòng)態(tài)管理SAD。功能包括IKE間的交互、同SAD和SPD的接口。　　（4）密碼算法：至少應(yīng)實(shí)現(xiàn)AES、DES、3DES等。

3.3 實(shí)現(xiàn)策略管理模塊和協(xié)議引擎

　　（1）策略管理模塊

　　 ①SPD和SAD在系統(tǒng)中的組織和管理：IPSec系統(tǒng)所使用的策略庫(kù)一般保存在一個(gè)策略服務(wù)器中。該服務(wù)器為域中的所有節(jié)點(diǎn)（主機(jī)和路由器）維護(hù)策略庫(kù)。各節(jié)點(diǎn)可將策略庫(kù)拷貝到本地，也可使用輕型目錄訪問(wèn)協(xié)議（LDAP）動(dòng)態(tài)獲取。一個(gè)IPSec系統(tǒng)中SPD分為進(jìn)入SPD和外出SPD，均處于內(nèi)核中。系統(tǒng)初始化時(shí)，將策略庫(kù)中的每一條記錄分別裝入進(jìn)入SPD和外出SPD中。為了確保SPD的有效性和安全性，應(yīng)定期進(jìn)行更新和刷新。

　　 SAD的每一條記錄對(duì)應(yīng)一個(gè)SA（安全關(guān)聯(lián)）。SA經(jīng)IKE協(xié)商得到，并以有序散列鏈表的形式組織。SAD也分為進(jìn)入SAD和外出SAD，分別與進(jìn)入散列鏈表和外出散列鏈表相對(duì)應(yīng)。進(jìn)入散列鏈表用SA中的IPSec源地址計(jì)算散列值，外出散列鏈表用SA中的IPSec目的地址計(jì)算散列值。

　　 SA的維護(hù)視SA的建立方式而定。如采用自動(dòng)方式協(xié)商SA，則根據(jù)SA生存期的狀態(tài)和序號(hào)計(jì)數(shù)器的溢出標(biāo)志來(lái)決定SA的有效性。生存期分為軟生存期和硬生存期。軟生存期狀態(tài)決定發(fā)送方是否可用SA發(fā)送數(shù)據(jù)包，硬生存期狀態(tài)決定接收方是否可用SA來(lái)處理收到的數(shù)據(jù)包。當(dāng)一個(gè)SA的軟生存期期滿時(shí)，發(fā)送方不能繼續(xù)用其來(lái)發(fā)送數(shù)據(jù)包，此時(shí)，可以啟動(dòng)或觸發(fā)IKE再協(xié)商一個(gè)。使用軟、硬生存機(jī)制可保證通信的持續(xù)性。如采用手工方式建立SA，則不存在生存期，僅根據(jù)序號(hào)計(jì)數(shù)器的溢出標(biāo)志來(lái)決定SA的有效性。

　　 ②SPD和SAD間的關(guān)系：對(duì)數(shù)據(jù)包進(jìn)行IPSec處理時(shí)，要查詢SPD和SAD。為了提高速度，SPD的每一條記錄都應(yīng)有指向SAD中相應(yīng)記錄的指針，反之亦然。對(duì)于外出處理，先查詢SPD，獲得指向SA的指針，再在SAD查詢進(jìn)行處理所需參數(shù)。如SA未建立，則應(yīng)使用IKE協(xié)商，并建立SPD和SAD間的指針。對(duì)于進(jìn)入處理，先查詢SAD，對(duì)IPSec包進(jìn)行還原，取出指向SPD的指針，然后驗(yàn)證該包應(yīng)用的策略與SPD中規(guī)定的是否相符。

　　（2）IPSec協(xié)議引擎

　　 ①外出處理：對(duì)于外出數(shù)據(jù)包，不論是本機(jī)產(chǎn)生的還是轉(zhuǎn)發(fā)的，IPSec協(xié)議引擎要先調(diào)用策略管理模塊，查詢SPD，確定為數(shù)據(jù)包應(yīng)使用的安全策略。根據(jù)策略管理模塊的指示，協(xié)議引擎對(duì)該數(shù)據(jù)包作出3種可能的處理：

　　 ·丟棄：丟棄數(shù)據(jù)包，并記錄出錯(cuò)信息。

　　 ·繞過(guò)IPSec：給數(shù)據(jù)包添加IP頭，然后發(fā)送。

　　 ·應(yīng)用IPSec：調(diào)用策略管理模塊，查詢SAD，確定是否存在有效的SA。

　　若存在有效的SA，則取出相應(yīng)的參數(shù)，將數(shù)據(jù)包封裝（包括加密、驗(yàn)證，添加IPSec頭和IP頭等），然后發(fā)送；若尚未建立SA，策略管理模塊啟動(dòng)或觸發(fā)IKE協(xié)商，協(xié)商成功后按上述步驟處理，不成功則應(yīng)將數(shù)據(jù)包丟棄，并記錄出錯(cuò)信息；若存在SA但無(wú)效，策略管理模塊將此信息向IKE通告，請(qǐng)求協(xié)商新的SA，協(xié)商成功后按上述步驟處理，不成功則應(yīng)將數(shù)據(jù)包丟棄，并記錄出錯(cuò)信息。

　　 ②進(jìn)入處理：對(duì)于進(jìn)入數(shù)據(jù)包，IPSec協(xié)議引擎先調(diào)用策略管理模塊，查詢SAD。如得到有效的SA，則對(duì)數(shù)據(jù)包進(jìn)行解封（還原），再查詢SPD，驗(yàn)證為該數(shù)據(jù)包提供的安全保護(hù)是否與策略配置的相符。如相符，則將還原后的數(shù)據(jù)包交給TCP層或轉(zhuǎn)發(fā)。如不相符，或要求應(yīng)用IPSec但未建立SA，或SA無(wú)效，則將數(shù)據(jù)包丟棄，并記錄出錯(cuò)信息。

4 驗(yàn)證加保密性

　　 AH和ESP安全報(bào)頭可以單獨(dú)使用，也可以一起使用。當(dāng)AH和ESP一起使用時(shí)，即把加密和驗(yàn)證結(jié)合起來(lái)，以在主機(jī)之間傳輸具有驗(yàn)證和機(jī)密性的IP包。可以通過(guò)以下幾種方法實(shí)現(xiàn)兩者的結(jié)合。

4.1 具有驗(yàn)證選項(xiàng)的ESP

　　該方法中，用戶首先對(duì)數(shù)據(jù)使用ESP來(lái)保護(hù)它，然后附加身份驗(yàn)證數(shù)據(jù)字段。實(shí)際上有以下兩種情況。　　 ·傳輸模式ESP：驗(yàn)證和加密應(yīng)用于交付到主機(jī)的IP有效載荷，但I(xiàn)P包頭沒(méi)有保護(hù)。

　　 ·隧道模式ESP：驗(yàn)證應(yīng)用于交付到外部IP目標(biāo)地址（如防火墻）的整個(gè)IP包，并且身份驗(yàn)證將會(huì)在目標(biāo)執(zhí)行。整個(gè)內(nèi)部IP包被保密機(jī)制保護(hù)，以交付到內(nèi)部IP目標(biāo)。

　　對(duì)于這兩種情況，身份驗(yàn)證將應(yīng)用于密文中，而不是明文。

4.2 捆綁傳輸

　　在加密之后應(yīng)用身份驗(yàn)證的另一種方法是，使用兩個(gè)捆綁的SA包，內(nèi)部是ESP SA，外部是AH的SA。在這種情況下，ESP的使用沒(méi)有身份驗(yàn)證選項(xiàng)。因?yàn)閮?nèi)部SA是一個(gè)傳輸SA，加密應(yīng)用在IP有效載荷。最終的包包含IP包頭，隨后是ESP。然后在傳輸模式中應(yīng)用AH，這樣，驗(yàn)證將會(huì)包括ESP加上除可變字段之外的起始報(bào)頭和擴(kuò)展。這種方法的優(yōu)點(diǎn)是僅用ESP身份驗(yàn)證選項(xiàng)使用一個(gè)ESP SA，身份驗(yàn)證覆蓋了更多的字段，包括源和目標(biāo)IP地址。缺點(diǎn)是需要兩個(gè)SA開(kāi)銷，而不是一個(gè)。

4.3 隧道傳輸

　　在加密之前使用身份驗(yàn)證，由于身份驗(yàn)證數(shù)據(jù)是通過(guò)加密保護(hù)的，對(duì)任何人來(lái)說(shuō)，要想截取消息并改變身份驗(yàn)證數(shù)據(jù)而不被發(fā)覺(jué)是不可能的。

　　在兩個(gè)主機(jī)之間，加密之前應(yīng)用身份驗(yàn)證的一種方法是使用一個(gè)SA包，它由一個(gè)內(nèi)部AH傳輸SA和一個(gè)外部ESP隧道SA構(gòu)成。在這種情況下，身份驗(yàn)證應(yīng)用于IP有效載荷及IP包頭和擴(kuò)展，但易變的字段除外。最終的IP包由ESP在隧道模式中處理；結(jié)果就是加密已經(jīng)驗(yàn)證的整個(gè)內(nèi)部包并加上一個(gè)新的外部IP包頭和擴(kuò)展。

5 結(jié)束語(yǔ)

　　隨著Internet應(yīng)用的不斷發(fā)展，人們對(duì)Internet上傳輸信息的安全性提出了更高的要求，并希望使用的協(xié)議的安全性級(jí)別更加提高，IPv6也不例外，它正在盡力達(dá)到這個(gè)目的。當(dāng)前AH包頭和ESP包頭正在以下方面進(jìn)行修改：充分地改變AH包頭的格式，以便能夠適應(yīng)新的、功能更加強(qiáng)大的身份驗(yàn)證算法，這些算法支持對(duì)分組的重新發(fā)送以及取消操作的預(yù)防功能；ESP包頭則僅僅進(jìn)行或多或少的修改，以便獲得與算法更好的正交性，簡(jiǎn)化不同解密算法的應(yīng)用程序。這些改動(dòng)的好處是將能夠獲得在網(wǎng)絡(luò)層次上更高的安全性，這樣，應(yīng)用程序就可以集中各種不同方面的安全性。

----《中國(guó)數(shù)據(jù)通信》